随着Linux企業應用的擴展，有(yǒu)大(dà)量的網絡服務器(qì)使用Linux操作(zuò)系統。Linux服務器(qì)的安全性能受到越來(lái)越多(duō)的關注，這裏根據Linux服務器(qì)受到攻擊的深度以級别形式列出，并提出不同的解決方案。

對Linux服務器(qì)攻擊的定義是：攻擊是一種旨在妨礙、損害、削弱、破壞Linux服務器(qì)安全的未授權行(xíng)為(wèi)。攻擊的範圍可(kě)以從服務拒絕直至完全危害和(hé)破壞Linux服務器(qì)。對Linux服務器(qì)攻擊有(yǒu)許多(duō)種類，本文從攻擊深度的角度說明(míng)，我們把攻擊分為(wèi)四級。

攻擊級别一：服務拒絕攻擊（DoS）

由于DoS攻擊工具的泛濫，及所針對的協議層的缺陷短(duǎn)時(shí)無法改變的事實，DoS也就成為(wèi)了流傳最廣、最難防範的攻擊方式。

服務拒絕攻擊包括分布式拒絕服務攻擊、反射式分布拒絕服務攻擊、DNS分布拒絕服務攻擊、FTP攻擊等。大(dà)多(duō)數(shù)服務拒絕攻擊導緻相對低(dī)級的危險，即便是那(nà)些(xiē)可(kě)能導緻系統重啓的攻擊也僅僅是暫時(shí)性的問題。這類攻擊在很(hěn)大(dà)程度上(shàng)不同于那(nà)些(xiē)想獲取網絡控制(zhì)的攻擊，一般不會(huì)對數(shù)據安全有(yǒu)影(yǐng)響，但(dàn)是服務拒絕攻擊會(huì)持續很(hěn)長一段時(shí)間(jiān)，非常難纏。

到目前為(wèi)止，沒有(yǒu)一個(gè)絕對的方法可(kě)以制(zhì)止這類攻擊。但(dàn)這并不表明(míng)我們就應束手就擒，除了強調個(gè)人(rén)主機加強保護不被利用的重要性外，加強對服務器(qì)的管理(lǐ)是非常重要的一環。一定要安裝驗證軟件和(hé)過濾功能，檢驗該報文的源地址的真實地址。另外對于幾種服務拒絕可(kě)以采用以下措施：關閉不必要的服務、限制(zhì)同時(shí)打開(kāi)的Syn半連接數(shù)目、縮短(duǎn)Syn半連接的time out 時(shí)間(jiān)、及時(shí)更新系統補丁。
攻擊級别二：本地用戶獲取了他們非授權的文件的讀寫權限

本地用戶是指在本地網絡的任一台機器(qì)上(shàng)有(yǒu)口令、因而在某一驅動器(qì)上(shàng)有(yǒu)一個(gè)目錄的用戶。本地用戶獲取到了他們非授權的文件的讀寫權限的問題是否構成危險很(hěn)大(dà)程度上(shàng)要看被訪問文件的關鍵性。任何本地用戶随意訪問臨時(shí)文件目錄（/tmp）都具有(yǒu)危險性，它能夠潛在地鋪設一條通(tōng)向下一級别攻擊的路徑。

級别二的主要攻擊方法是：黑(hēi)客誘騙合法用戶告知其機密信息或執行(xíng)任務，有(yǒu)時(shí)黑(hēi)客會(huì)假裝網絡管理(lǐ)人(rén)員向用戶發送郵件，要求用戶給他系統升級的密碼。

由本地用戶啓動的攻擊幾乎都是從遠程登錄開(kāi)始。對于Linux服務器(qì)，最好的辦法是将所有(yǒu)shell賬号放置于一個(gè)單獨的機器(qì)上(shàng)，也就是說，隻在一台或多(duō)台分配有(yǒu)shell訪問的服務器(qì)上(shàng)接受注冊。這可(kě)以使日志(zhì)管理(lǐ)、訪問控制(zhì)管理(lǐ)、釋放協議和(hé)其他潛在的安全問題管理(lǐ)更容易些(xiē)。還(hái)應該将存放用戶CGI的系統區(qū)分出來(lái)。這些(xiē)機器(qì)應該隔離在特定的網絡區(qū)段，也就是說，根據網絡的配置情況，它們應該被路由器(qì)或網絡交換機包圍。其拓撲結構應該确保硬件地址欺騙也不能超出這個(gè)區(qū)段。

攻擊級别三：遠程用戶獲得(de)特權文件的讀寫權限

第三級别的攻擊能做(zuò)到的不隻是核實特定文件是否存在，而且還(hái)能讀寫這些(xiē)文件。造成這種情況的原因是：Linux服務器(qì)配置中出現這樣一些(xiē)弱點：即遠程用戶無需有(yǒu)效賬号就可(kě)以在服務器(qì)上(shàng)執行(xíng)有(yǒu)限數(shù)量的命令。

密碼攻擊法是第三級别中的主要攻擊法，損壞密碼是最常見的攻擊方法。密碼破解是用以描述在使用或不使用工具的情況下滲透網絡、系統或資源以解鎖用密碼保護的資源的一個(gè)術(shù)語。用戶常常忽略他們的密碼，密碼政策很(hěn)難得(de)到實施。黑(hēi)客有(yǒu)多(duō)種工具可(kě)以擊敗技(jì)術(shù)和(hé)社會(huì)所保護的密碼。主要包括：字典攻擊（Dictionary attack）、混合攻擊（Hybrid attack）、蠻力攻擊（Brute force attack）。一旦黑(hēi)客擁有(yǒu)了用戶的密碼，他就有(yǒu)很(hěn)多(duō)用戶的特權。密碼猜想是指手工進入普通(tōng)密碼或通(tōng)過編好程序的正本取得(de)密碼。一些(xiē)用戶選擇簡單的密碼—如生(shēng)日、紀念日和(hé)配偶名字，卻并不遵循應使用字母、數(shù)字混合使用的規則。對黑(hēi)客來(lái)說要猜出一串8個(gè)字生(shēng)日數(shù)據不用花(huā)多(duō)長時(shí)間(jiān)。

防範第三級别的攻擊的最好的防衛方法便是嚴格控制(zhì)進入特權，即使用有(yǒu)效的密碼。

◆ 主要包括密碼應當遵循字母、數(shù)字、大(dà)小(xiǎo)寫（因為(wèi)Linux對大(dà)小(xiǎo)寫是有(yǒu)區(qū)分）混合使用的規則。

◆ 使用象“#”或“%”或“$”這樣的特殊字符也會(huì)添加複雜性。例如采用"countbak"一詞，在它後面添加“#$”（countbak#$），這樣您就擁有(yǒu)了一個(gè)相當有(yǒu)效的密碼。
攻擊級别四：遠程用戶獲得(de)根權限