LINUX是一種當今世界上廣為流行的免費操作系統，它與UNIX完全兼容，但以其開放性的平臺，吸引著無數高等院校的學生和科研機構的人員紛紛把它作為學習和研究的對象。這些編程高手在不斷完善LINUX版本中網絡安全功能。下面介紹Linux的Internet安全漏洞與防范措施，希望對大家有一定的幫助。 在LINUX的Internet安全中，主要包括的就是FTP安全、電子郵件安全、Telnet安全、Web服務器安全和安全Web協議。

Web服務器安全

保護Web主機安全首先就要去掉不必要的服務。去掉不必要的服務之前首先要明確的是：你要建立的是什么類型的主機。主機有三種類型：

Intranet Web主機--無Internet連接的主機，通常與一個局域網連接。

私人或外部Web主機--與Internet相連但只對非常有限的客戶提供服務的主機。

公共或犧牲Web主機--知道或不知道的用戶可以通過Internet，全天候公共訪問的普通Web主機。

每種不同的主機類型就決定了要提供不同的服務，不需要的服務一律屏蔽掉。這是因為將運行的服務很可能會打開安全漏洞。對于要運行的服務，就要實施訪問控制，可以使用TCPWrapper工具包，這個工具提供對遠程服務基于模式匹配的訪問控制，可以利用它禁止或允許對某些用戶的服務。減少服務后，就應在Web服務器上建立訪問控制和認證。Apache是在LINUX中最流行的Web服務器。為網絡訪問控制建立規則，就要用到以下命令：

#Controls who can get stuff from this server. 
Order allow,deny 
Allow from all

這些命令提供了三條控制通道，allow命令控制哪臺主機可以連接，deny控制哪臺主機不可以連接，order命令則控制allow/deny命令執行的順序。通過這些命令可以明確允許授權主機和阻止未授權主機。

Apache的安全設置有很多選項，這些設置已足夠嚴格，但是選項的不同配置方法都會引起安全問題。例如，ExecCGI選項，是選擇是否允許CGI程序運行，CGI程序很不安全，所以，能不用執行CGI程序，就盡量不執行。還有別的選項會有不同的問題，安裝時要注意。目前Apache除了提供基本類型認證，還支持使用MD5的基于摘要的加密認證。

安全Web協議

上文所提到的安全Shell是用來防止愛打聽的用戶（本地或遠程）用嗅探器捕獲系統口令，可以極大地增強內部網絡安全。但是如果把LINUX系統作為一個電子商務服務器，就必須向客戶提供從服務器外部的Web瀏覽器向服務器建立安全連接。

一般基于Web的通信有幾個弱點：

HTTP沒有提供加密機制，因此第三方可以在客戶和服務器之間竊聽通訊。

HTTP是一個無狀態協議不保存有關用戶的信息，因此不能證實用戶的身份。

HTTP沒有提供方法來認證正在進行的會話。因此不能判斷是否有第三方竊聽了會話。

為了解決這些缺陷，Netscape Communications開發了安全套接層協議SSL。 安全套接層是采用RSA和DES認證與加密以及MD5完整性檢查而包裝起來的方法。使用這些方法，SSL解決了基于Web通訊的三個問題：

在連接期間，客戶和服務器定義和交換秘密密鑰，該密鑰用于加密傳輸的數據。因此，即使SSL的通訊可被竊聽，由于經過加密于是難以破解。

SSL支持公開密鑰加密，因此服務器可以使用公共方案如RSA和數字簽名標準(DSS)來認證用戶。

服務器可以使用消息摘要算法，如MD5和SHA來檢驗正在進行會話的完整性，因此SSL可以防止第三方劫持會話。

SSL通過兩層和兩個步驟保護數據。開始，客戶和服務器進行握手（與TCP握手相同）。在這一過程中，它們交換密鑰并在它們之間建立并同步一個加密狀態。接下來，SSL獲得應用數據（在記錄層）并加密數據。然后，在接收端這一過程以相反的方式執行。這些性能使得SSL成為在所控制的服務器和未知用戶之間進行安全電子商務交易的出色工具電子郵件安全