关于Linux网络安全的内在限制
本文关键词:Linux网络安全防火墙漏洞
Linux为美国以外的其它国家提供了自主发展操作系统的一条捷径。主要是因为Linux操作系统本身的源代码是公开的,操作系统开发方可以对源代码自由修改并且从新编译成二进制机器码,也就是说用户可以对系统及网络安全的源代码根据自己的需要在进行研究后而进行修改从而轻松拥有自己版本的操作系统。而特别是在网络安全方面,Linux的关于防火墙及其它网络安全协议的源代码公开性使商家能够更加了解操作系统安全的弱点及漏洞所在,通过对源代码的修改对安全进行加强巩固。可是仅仅是源代码公开并不能解决网络不安全的问题。由于对源代码进行编译的编译程序GCC及Linux的内核(Kernel)程序本身有诸多弱点,这就造成了躲在防火墙后面的Linux系统程序仍然极其容易受到网络黑客的袭击。
防火墙仅仅提供了最基本的网络保护
防火墙的主要目的是封锁不必要的端口,并且对网络通讯数据进行转接过滤。但是只要有开放的端口,网络侵袭便是在所难免。如一般单位网络服务器端口,通常为80号端口,网络服务器主要任务是为用户发送网页因此必须全天开通。而黑客则可以通过浏览网页的HTTP协议轻松通过80号端口穿过防火墙从而对服务器进行攻击。举个例子说,防火墙就好象是一道密集铁丝网,虽然它可以挡住豺狼虎豹的袭击,可是马蜂蚊子还是可以轻松穿过。
GCC的内在漏洞造成服务器易受攻击
由于GCC源于网络前时代,因此对不少由网络而衍生的特殊情况毫无准备。GCC有诸多内在弱点,包括输出命令printf对特殊状态检查不足及对参数值变量值范围检查不足等两点,这些两点会导致内存地址轻易受到突破性侵袭。由GCC加工编译而成的Linux服务器自然就携带了GCC的弱点。这种情况与遗传性基因疾病非常类似,只要是GCC编译成的程序均有此遗传性弱点。黑客经过80号端口通过HTTP协议便可以对组成服务器的printf发送怪异数值或者对其它内存参数值输入超大或者超小值,服务器程序对此特殊状态不知所措便会在内存内胡乱读取内存地址及内容,黑客在获得内存地址后便可对其进行修改从而达到从修改网页内容到瘫痪服务器等各种非法目的。
本文转自
http://net.zdnet.com.cn/network_security_zone/2007/1109/622063.shtml