隨著（zhe）Linux企業應用的擴展，有大量的（de）網絡服（fú）務器使用Linux操作係（xì）統。Linux服務器的（de）安全（quán）性能受到越來越多的關（guān）注，這裏根據（jù）Linux服務器受到攻擊的深度（dù）以級別形式列出（chū），並提出不同（tóng）的解（jiě）決（jué）方案。

對Linux服務（wù）器攻（gōng）擊的定（dìng）義是：攻擊是一種旨（zhǐ）在妨（fáng）礙、損害、削弱、破壞Linux服務器安全的未（wèi）授權（quán）行為。攻擊的範圍可以（yǐ）從服務拒絕直至（zhì）完全危（wēi）害和破壞Linux服務器（qì）。對Linux服（fú）務器攻擊有許多種類，本文從攻擊深度的角度說明，我（wǒ）們把（bǎ）攻擊分（fèn）為（wéi）四（sì）級。

攻擊級別一：服（fú）務拒絕攻（gōng）擊（jī）(DoS)

由於DoS攻擊工具（jù）的（de）泛（fàn）濫，及所針（zhēn）對的協（xié）議層的缺陷短（duǎn）時無法改變（biàn）的事實，DoS也就成為了流傳（chuán）最廣、最難（nán）防範（fàn）的攻擊方式。

服務拒絕（jué）攻擊包括分布式拒（jù）絕（jué）服（fú）務（wù）攻擊（jī）、反射式分布拒絕服務攻（gōng）擊、DNS分布（bù）拒絕服務攻擊、FTP攻擊等。大多數服務拒絕（jué）攻（gōng）擊導致相（xiàng）對低（dī）級的危險，即便是那些可能導（dǎo）致（zhì）係（xì）統（tǒng）重（chóng）啟的攻擊也僅僅是暫時性的問題（tí）。這類攻擊在（zài）很大程度上不同於那些想獲取網絡控製（zhì）的攻擊，一（yī）般（bān）不會對數據安全有影響，但（dàn）是服（fú）務拒（jù）絕攻擊會持續很長一段時間，非常難纏（chán）。

到目前為止，沒有一個絕對的方（fāng）法可以製止這類攻（gōng）擊。但這並不表明我（wǒ）們就應束手就擒（qín），除了（le）強調個人主機加強保護不被利用的（de）重要性外，加強對服務器的管理是（shì）非常重要的一環。一定要（yào）安裝（zhuāng）驗證軟（ruǎn）件（jiàn）和過濾（lǜ）功（gōng）能（néng），檢驗該（gāi）報文的源地址的真實地址（zhǐ）。另（lìng）外對於（yú）幾種服務拒絕（jué）可（kě）以采用以下措施：關閉不必要的服務、限製（zhì）同時打開（kāi）的Syn半連接數目、縮（suō）短Syn半連接的time out 時間、及時（shí）更新（xīn）係統補（bǔ）丁。

攻擊級別二：本（běn）地用戶獲（huò）取了他們非授權的文件（jiàn）的讀（dú）寫權限本（běn）地用戶（hù）是（shì）指在本地網（wǎng）絡的任一台機器上有（yǒu）口令、因而（ér）在某一驅動器上有一個目錄的用（yòng）戶。本（běn）地用（yòng）戶獲（huò）取到了他（tā）們非（fēi）授權（quán）的文件的（de）讀（dú）寫權限的（de）問題是否構成危險很（hěn）大程（chéng）度上要看被訪問文件的關鍵性。任何本地用戶隨意訪問臨時文（wén）件目錄(/tmp)都（dōu）具有危險性，它能夠潛（qián）在地鋪設一條通向（xiàng）下一級別攻擊的（de）路徑。

級別二（èr）的主要攻擊方法是：黑客誘騙合法用戶告（gào）知其機密信息或執（zhí）行任務（wù），有時黑客會假（jiǎ）裝網絡管理（lǐ）人員向用戶發送郵件，要（yào）求（qiú）用戶給他係統（tǒng）升級的密碼。

由本地用戶啟動的（de）攻擊幾乎都是（shì）從遠（yuǎn）程登錄開始。對於Linux服務器，最好的辦法是把所有shell賬號（hào）放置於一個單獨（dú）的（de）機器上，也就是說，隻在一台或多台分配（pèi）有shell訪問的服務（wù）器上接受注冊。這（zhè）可以（yǐ）使日誌管理、訪問控（kòng）製管理、釋放協議（yì）和其他潛在的（de）安全（quán）問（wèn）題管理更容易些。還應該把存放用戶（hù）CGI的係統區分出來。這些（xiē）機器應（yīng）該隔離在（zài）特定的網絡（luò）區段（duàn），也就是說，根（gēn）據（jù）網絡的配（pèi）置（zhì）情況，它們應（yīng）該被路由（yóu）器或網絡交換機包圍。其拓（tuò）撲結（jié）構應（yīng）該確保硬件地址欺騙也（yě）不能超（chāo）出（chū）這個區（qū）段（duàn）。

攻擊級別三：遠程用（yòng）戶獲得特權文（wén）件的（de）讀寫權限

第三級別的攻（gōng）擊能做到的（de）不隻是核實特定文（wén）件是否存在，而且還能讀寫這些文件。造成這種情況的原（yuán）因是：Linux服務器配置（zhì）中出現這樣一些弱點：即遠（yuǎn）程用戶無需有效賬號就可以在服務器上執行（háng）有限數量（liàng）的命令（lìng）。

密碼攻擊（jī）法（fǎ）是第三級別中的主要攻擊法，損壞密碼是最常見的攻擊（jī）方法。密碼破解（jiě）是用以描述（shù）在使用或不使用（yòng）工具的情況下滲透網絡（luò）、係統或資源（yuán）以（yǐ）解鎖用密（mì）碼保護的資（zī）源的一個術語。用戶常常忽略他們的（de）密碼，密碼（mǎ）政策很難得到實施。黑客（kè）有（yǒu）多種工（gōng）具可以擊敗技術（shù）和社會（huì）所保護的密碼。主要包（bāo）括：字典攻擊(Dictionary attack)、混合攻擊(Hybrid attack)、蠻力攻擊(Brute force attack)。一旦黑客擁有了用戶（hù）的密碼，他就有很多用戶（hù）的特權。密碼猜想是（shì）指手工進（jìn）入普（pǔ）通密碼或通過（guò）編好程序的正本取得密碼。一些用戶（hù）選（xuǎn）擇簡單的密碼—如生日、紀念日和配偶名字，卻（què）並不遵循應使用字（zì）母、數字混（hún）合使用的規則（zé）。對黑客來說要猜出一串8個字生日數據不用花多長時間。

防範第三級別的攻擊的最好（hǎo）的防衛（wèi）方法（fǎ）便是嚴格控製進（jìn）入特權，即使用有效的密碼（mǎ）。

◆ 主要（yào）包（bāo）括密碼應當遵循字母（mǔ）、數字、大小寫(因為Linux對大小寫是有區分)混（hún）合使（shǐ）用的規則。

◆ 使用象“#”或“%”或“$”這樣的特殊字符也會（huì）添加複（fù）雜性。例如采（cǎi）用（yòng）"countbak"一詞，在它後麵（miàn）添加“#$”(countbak#$)，這樣（yàng）您就擁（yōng）有了一個相當有效的密碼。

攻擊級別四：遠程用戶（hù）獲（huò）得根權限

第（dì）四攻擊級別（bié）是指（zhǐ）那些決不應該發生（shēng）的事發生（shēng）了，這是致命的（de）攻擊（jī）。表示攻擊者（zhě）擁（yōng）有Linux服務器的根（gēn）、超級（jí）用戶或管理（lǐ）員許可權，可（kě）以讀、寫並執行所有文件。換句（jù）話說，攻（gōng）擊者具有對Linux服（fú）務（wù）器的全部控製權，可以在任何（hé）時（shí）刻都能夠完全關閉甚（shèn）至毀滅此網絡。

攻擊級別四主要攻（gōng）擊形式是TCP/IP連續偷竊，被動通道聽取和信（xìn）息包攔截。TCP/IP連續（xù）偷竊，被（bèi）動通（tōng）道聽（tīng）取和信（xìn）息（xī）包攔截，是為進入（rù）網絡收集重要信息的方法，不像（xiàng）拒絕服務（wù）攻擊，這些方法有更多類似偷竊的（de）性質，比較隱蔽不易被發現。一次成（chéng）功（gōng）的TCP/IP攻擊能讓黑客阻（zǔ）攔兩個團體（tǐ）之間（jiān）的交易，提供中間人襲擊（jī）的（de）良好機會，然後黑客會在不被受害者注意的（de）情況下控製（zhì）一方或雙方的交易。通（tōng）過被（bèi）動竊聽（tīng），黑客會操縱和（hé）登（dēng）記信息，把文件送達，也（yě）會從目標（biāo）係統上所有可通（tōng）過的通道找到可通過的致（zhì）命要害。黑客會尋找聯機和密碼（mǎ）的結合點，認出申請合法的（de）通（tōng）道。信息包攔截（jié）是指（zhǐ）在目標（biāo）係統約束（shù）一個活躍的聽者程序以攔截（jié）和（hé）更改（gǎi）所有的或特別的信（xìn）息的地址（zhǐ）。信（xìn）息可被（bèi）改送到非法係統（tǒng）閱讀，然（rán）後不加改變地（dì）送回給黑客。

TCP/IP連續偷竊實際就是網絡嗅探，注意如果您（nín）確信有人接了嗅（xiù）探器到自己（jǐ）的網（wǎng）絡上，可以去找一些（xiē）進行驗證的工具。這種工具稱為時域（yù）反（fǎn）射計量器(Time Domain Reflectometer，TDR)。TDR對（duì）電磁（cí）波的傳播和變（biàn）化進行測量。把一個TDR連（lián）接到（dào）網絡上，能夠檢測到未授權的獲取網絡數據的設備。不過（guò）很多（duō）中小公司沒有這種價（jià）格昂貴的工具。對（duì）於防範嗅探器的攻擊最好（hǎo）的方法是：

1、安全的拓（tuò）撲（pū）結構。嗅（xiù）探器隻能在當前網絡段上進行數據捕獲。這就（jiù）意味（wèi）著，把（bǎ）網（wǎng）絡（luò）分段工作（zuò）進（jìn）行得（dé）越細（xì），嗅探（tàn）器能夠收集的信（xìn）息（xī）就（jiù）越少（shǎo）。

2、會話加（jiā）密。不用特別地（dì）擔心數據被嗅探，而是要想辦法使得嗅（xiù）探器不認識嗅探到的數（shù）據。

這種方法（fǎ）的優點（diǎn）是明顯的：即使攻擊者嗅探到了數據，這些數據對他也是（shì）沒有用的。

特（tè）別提示：應對攻擊的反（fǎn）擊措施

對於超過第二級別的攻擊您（nín）就要（yào）特別注意了。因為（wéi）它們可以不斷的提升攻（gōng）擊級（jí）別，以（yǐ）滲（shèn）透Linux服務器。此（cǐ）時，我們可以采取的反擊措施有：

◆ 首先備份重要的企業關鍵數據。

◆ 改變係統中（zhōng）所有（yǒu）口令，通知用戶（hù）找係統管（guǎn）理員得到新口令。

◆ 隔離該網（wǎng）絡網段使攻擊行為僅出現（xiàn）在一個小範（fàn）圍（wéi）內。

◆ 允許行為繼續進行。如有可能，不（bú）要急於把攻擊者趕出係統，為下一（yī）步作準（zhǔn）備。

◆ 記錄所有行為，收集證（zhèng）據。這些（xiē）證據（jù）包括：係統（tǒng）登錄文件、應用登錄文件、AAA(Authentication、Authorization、 Accounting，認證、授權、計費)登錄文件，RADIUS(Remote Authentication Dial-In User Service) 登錄，網絡單（dān）元登錄(Network Element Logs)、防火牆登錄、HIDS(Host-base IDS，基於主機的入侵檢測（cè）係統) 事件、NIDS(網絡入侵檢測係統（tǒng）)事（shì）件、磁盤驅動（dòng）器、隱含文件等。收集證據（jù）時要注意：在移動或拆卸任何設（shè）備之前都要拍（pāi）照;在（zài）調查中要遵循兩人法（fǎ）則，在信息收集中要（yào）至少有兩個人，以防止篡（cuàn）改（gǎi）信息;應記錄所（suǒ）采取的所有步驟以及對配置設置的（de）任何改變，要把這些記（jì）錄保存在安全的地方。檢查係統所有目（mù）錄的（de）存取許可，檢測Permslist是否被修改（gǎi）過。

◆ 進行各種嚐試(使用網絡的（de）不同部分)以識別出攻擊源。

◆ 為了（le）使用法（fǎ）律武器打擊犯（fàn）罪行為，必須保（bǎo）留（liú）證據，而（ér）形（xíng）成證據需要時間。為了做到這一點，必須忍（rěn）受攻擊的衝擊(雖然可以製（zhì）定（dìng）一些安（ān）全（quán）措（cuò）施來（lái）確保攻擊不損害網（wǎng）絡)。對此情形，我們（men）不（bú）但要采取一些法律手（shǒu）段，而且還要至少（shǎo）請（qǐng）一（yī）家有權威的安全公（gōng）司協助阻止（zhǐ）這種犯罪。這（zhè）類操（cāo）作的最重要（yào）特點就是取得（dé）犯（fàn）罪的證據、並（bìng）查找（zhǎo）犯罪（zuì）者的（de）地址，提（tí）供所擁有的日誌。對（duì）於（yú）所搜（sōu）集到的證（zhèng）據，應進行有效地保存。在（zài）開始時製作兩份，一（yī）個用於評估證據（jù），另一個用於法律驗證。

◆ 找到係統（tǒng）漏洞後設法（fǎ）堵住漏洞，並進行自（zì）我攻擊測試。

網絡安（ān）全已經不僅僅是技術（shù）問題，而是一個社會問題（tí）。企（qǐ）業應當提高對網（wǎng）絡安全重視（shì），如果一味地隻依靠技（jì）術工具，那就會越來（lái）越被動;隻有發揮社會（huì）和法律方麵打擊網絡犯罪，才（cái）能更加有效（xiào）。我國對於打擊網（wǎng）絡犯罪已（yǐ）經有了明確的司法解釋，遺憾（hàn）的是大（dà）多數企業隻重視技術環節（jiē）的作用而忽略法律（lǜ）、社會因（yīn）素，這也（yě）是本文的（de）寫作目（mù）的。

拒絕服務攻擊(DoS)

DoS即Denial Of Service，拒絕服務（wù）的縮寫，可不能認為是微（wēi）軟的DOS操（cāo）作係統!DoS攻（gōng）擊即讓目標機器停止（zhǐ）提供服務（wù）或資源訪（fǎng）問，通常是（shì）以消（xiāo）耗服務器端（duān）資源為（wéi）目（mù）標，通過偽造超過服務（wù）器（qì）處理能力的請求數據造成服務器響應阻塞，使正常的用戶請（qǐng）求（qiú）得不到應答，以實現攻擊目的。