如何保护Linux 网络安全

关键词： 钱款 球鞋 女性 保护

如何保护Linux 网络安全（共15篇）

篇1：如何保护Linux 网络安全

目前，许多中小用户因业务发展，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，在服务器端大多使用 Linux 和 Unix 的，PC 端使用 Windows 9X//XP，

如何保护Linux 网络安全

，

所以在企业应用中往往是 Linux/Unix 和 Windows 操作系统共存形成异构

篇2：如何保护Linux 网络安全

一、保持最新的系统核心

由于Linux流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。

Kernel是Linux操作系统的核心，它常驻内存，用于加载操作系统的其他部分，并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能，因此，它的安全性对整个系统安全至关重要。

早期的Kernel版本存在许多众所周知的安全漏洞，而且也不太稳定，只有2.0.x以上的版本才比较稳定和安全，新版本的运行效率也有很大改观。在设定Kernel的功能时，只选择必要的功能，千万不要所有功能照单全收，否则会使Kernel变得很大，既占用系统资源，也给 留下可乘之机。

在Internet上常常有最新的安全修补程序，Linux系统管理员应该消息灵通，经常光顾安全新闻组，查阅新的修补程序。

二、增强安全防护工具

SSH是安全套接层的简称，它是可以安全地用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密，并且用其密钥充当身份验证的工具。

由于SSH将网络上的信息加密，因此它可以用来安全地登录到远程主机上，并且在两台主机之间安全地传送信息，

实际上，SSH不仅可以保障Linux主机之间的安全通信，Windows用户也可以通过SSH安全地连接到Linux服务器上。

三、限制超级用户的权力

我们在前面提到，root是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。Sudo就是这样的工具。

Sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。

四、设定用户账号的安全等级

除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。

在Linux系统上的tcpd中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hosts.allow中设置，不允许上机人员名单在/etc/hosts.deny中设置。设置完成之后，需要重新启动inetd程序才会生效。此外，Linux将自动把允许进入或不允许进入的结果记录到/rar/log/secure文件中，系统管理员可以据此查出可疑的进入记录。

每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。

在用户账号之中， 最喜欢具有root权限的账号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。

篇3：如何保护Linux 网络安全

FTP是Internet上多年的通信协议, 以往它是客户端与Internet服务器相互传递数据的重要工具, 虽然目前WWW (万维网) 已包含了FTP部分的功能, 但它至今仍具有独树一帜的特色。

1 FTP的相关概念

1.1 FTP服务

自从有了网络以后, 通过网络来传输文件一直是很重要的工作。在互联网诞生初期, FTP就已经被应用在文件传输服务上, 而且一直是文件传输服务的主角。在互联网上, FTP一直占有最大的数据流量。

FTP服务是Internet上最早应用于主机之间进行数据处理传输的基本服务之一。FTP服务的一个非常重要的特点是其实现可以独立于平台, 也就是说在UNIX、DOS、Windows等操作系统中都可以实现FTP的客户端和服务器。

不管目前已经普遍采用HTTP方式传送文件, 但FTP仍然是跨平台直接传送文件的主要方式。一般来说, 通过FTP传送文件要比使用其他协议 (如HTTP) 更加有效, 这主要有以下两个原因:

(1) FTP协议就是用来传输文件的, 而且仅仅用来传输文件。它不像HTTP还有其他的一些功能, FTP的唯一工作就是确保文件正确的传送, 除了校验发送和接收的文件是否一致以外, 它不像HTTP那样停下来翻译文件的内容。

(2) 通常主机的FTP事务处理是FTP服务器的惟一工作。既然这样, 计算机的处理器资源被完全投入到FTP事务处理中, 而不会被几个竞争服务器 (处理器的时间) 的工作所分割。

因此, 当用户在想要获取大型文件时, 首先应该访问知名FTP站点。

1.2 FTP协议

文件传输协议, 顾名思义是在文件传输时使用的通信协议该协议定义了一个在远程计算机和本地计算机系统之间传输文件的一个标准。FTP运行在OSI模型的应用层, 并利用传输控制协议TCP在不同的主机之间提供可靠的数据传输。由于TCP是一种面向连接的、可靠的传输协议, 正是这种可靠性保证了FTP文件传输的可靠性。在实际的传输中, FTP靠TCP来保证数据传输的正确性并在发生错误的情况下, 对错误进行相应的修正。FTP在文件传输中还具有的一个重要的特点, 就是支持断点续传功能, 这样做可以大幅地减少CPU和网络带宽的开销。

1.3 FTP运行原理

与大多数的Internet服务一样, FTP协议也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序, 连接到远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令, 服务器程序执行用户所发出的命令, 并将执行的结果返回给客户机。

一个FTP会话通常要包括5个软件元素的交互, 这5个软件元素, 如表1所示, 图1描述了FTP协议的模型。

大多数的TCP应用协议使用单个连接, 一般是客户向服务器的一个知名端口发起连接。然后使用这个连接进行通讯。但是, FTP协议却有所不同, FTP协议在运作时要使用两个TCP连接。

在FTP会话中, 会存在有两个独立的TCP连接, 一个是由CPI和SPI使用的, 被称作控制连接, 另一个是由CDTP和SDTP使用的, 被称作数据连接。

对数据传输和控制命令传输来使用不同的独立连接有如下优点:两个连接可以选择不同的服务质量, 如对控制连接来说需要更小的延迟时间, 对数据连接来说需要更大的数据吞吐量, 而且可以避免实现数据流中的命令的透明性及逃逸。

控制连接主要用来传送在实际通信过程中需要执行的FTP命令以及命令的响应。控制连接是在执行FTP命令时由客户端发起的通往FTP服务器的连接。控制连接并不传输数据, 只用来传输控制数据传输的FTP命令集及其响应。因此, 控制连接只需要很小的网络带宽。通常情况下, FTP服务器监听端口号21来等待控制连接建立请求。控制连接建立以后并不立即建立数据连接, 而是服务器通过一定的方式来验证客户的身份, 以决定是否可以建立数据传输。

在FTP连接期间, 控制连接始终保持通畅的连接状态;而数据连接是要等到目录列表、传输文件时才临时建立的, 并且每次客户端使用不同的端口号来建立数据连接。一旦传输完毕, 就中断这条临时的数据连接。

数据连接用来传输用户的数据。在客户端要求进行目录列表、上传和下载等操作时, 客户和服务器将建立一条数据连接。这里的数据连接是全双工的, 允许同时进行双向的数据传输, 即客户和服务器都可能是数据发送者。

1.4 FTP的数据传输模式

FTP的数据传输模式是针对FTP数据连接而言的, 分为主动传输模式、被动传输模式和单口传输模式3种。

(1) 主动传输模式。当FTP的控制连接建立后, 且客户提出目录列表、传输文件时, 客户端发出PORT命令与服务器进行协商, FTP服务器使用一个标准的端口20作为服务器端的数据连接端口与客户建立数据连接。端口20只用于数据连接的源地址是服务器端的情况, 并且在端口20上根本就没有监听进程监听客户请求。

在主动传输模式下, FTP的数据连接和控制连接的方向是相反的, 也就是说, 是服务器向客户端发起一个用于数据传输的连接。客户端的连接端口是由服务器端和客户端通过协商确定的。

(2) 被动传输模式。当FTP的控制连接建立后, 且客户提出目录列表、传输文件时, 客户端发出PASV命令使服务器出于被动传输模式, FTP服务器等待客户与其联系。FTP服务器在非20端口的其它数据传输端口上监听客户的请求。

在被动传输模式下, FTP的数据连接和控制连接的方向是一致的, 也就是说, 是客户端向服务器发起一个用于数据传输的连接。客户端的连接端口是发起这个数据连接请求时使用的端口号。

(3) 单端口传输模式。在FTP协议中, 除了被动传输模式和主动传输模式之外, 还有另外一种数据传输模式。如果客户程序既不向服务器发出PASV命令也不发送PORT命令, 当FTP的控制连接建立后, 且客户提出目录列表、传输文件时, FTP服务器就会使用FTP协议的数据传输端口20和客户端的控制连接源端口建立一个数据传输连接。这就需要客户程序在这个端口上监听。

这种模式的数据连接请求是由FTP服务器发起的。使用这种传输模式时, 客户端的控制连接所使用的端口和客户端的数据连接所使用的端口是一致的。

2 FTP的安全隐患与防范措施

早期FTP并没有涉及安全问题, 随着互连网应用的快速增长, 人们对安全的要求也不断提高。目前在各种平台上包括UNIX、Windows、Linux等网络操作系统, 都实现了FTP的客户和服务器。FTP是为了共享资源、方便用户文件下载而制定的文件传输协议, 那么必然有对系统读写的权利, 所以它也是整个网络系统的薄弱环节, 一些网上的黑客常常利用FTP作为侵入和破坏系统的突破口。他们有时利用FTP将一些监控程序装入系统, 以窃取管理口令;有时利用FTP获取系统的passwd文件, 从而了解系统的用户信息;有时利用FTP的puts和gets功能, 增加系统负担, 从而导致硬盘塞满甚至系统崩溃。FTP会话没有加密因此没有隐蔽性。

下面介绍在Linux操作系统环境下, FTP安全的几个漏洞与防范措施。

2.1 FTP的“跳转攻击”

FTP“跳转攻击”的目标是配置为拒绝来自指定IP地址 (或IP地址掩码) 连接的主机。通常一个入侵者的IP地址正好在限制区域, 因此他不能访问FTP服务器的目录。为了克服这种限制, 入侵者使用另一台机器来访问目标机器。

为了实现这种方法, 入侵者向中介FTP目录写一个文件, 该文件包含有连接到目标机器并获得一些文件的命令。当该中介连接目标主机时, 使用它自己的地址 (而不是入侵者的地址) 。因此, 目标主机信任该连接请求并返回要求的文件。

原来的FTP规范假定使用TCP进行数据链接, TCP端口号从0到1023时报留给一些众所周知的服务的, 比如邮件, 网络新闻和FTP控制链接。FTP规范对数据链接没有限制TCP端口号。因此, 使用代理FTP, 客户端就可以命令服务器去攻击任何机器上众所周知的服务。

为了避免跳转攻击, 服务器最好不要打开数据链接到小于1024的TCP端口号。另外, 我们注意到跳转攻击一般需要攻击者首先上传一个报文到FTP服务器然后再下载到准备攻击的服务端口上。使用适当的文件保护措施就可以阻止这种情况发生。然而攻击者也可能通过从远程FTP服务器发送一些能破坏某些服务的数据来攻击它。禁止使用PORT命令也是避免跳转攻击的一种方法。大多数文件传输可以仅通过PASV命令来实现。但这样做的缺点就是丧失了使用代理FTP的能力, 当然代理FTP并不是在所有场合都需要的。

2.2 文件许可权限错误

权限错误就是攻击者发现目标主机上错误的文件和目录权限获得特权甚至根据用户访问权限来达到入侵的目的。

其安全性问题主要包括:

(1) 未经授权的用户禁止在服务器上进行FTP操作。

解决问题的方法是, 采用FTP服务器验明用户的身份, 具体包括以下措施:

(1) FTP用户所使用的用户账号必须在/etc/passwd文件中有所记载 (匿名FTP用户除外) , 并且他的口令不能为空。在没有正确输入用户账号和口令的情况下, 服务器拒绝访问。

(2) FTP守护进程FTPd还使用一个/etc/FTPusers文件, 凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立”不受欢迎”的用户目录, 拒绝这些用户访问。

只有在服务器的/etc/passwd文件中存在名为”FTP”用户时, 服务器才可以接受匿名FTP连接, 匿名FTP用户可以用”anonymous”或”FTP”作为用户名, 自己的Internet电子邮件地址作为保密字。

(2) FTP用户不能读取未经系统所有者允许的文件或目录。

(3) 未经允许, FTP用户不能在服务器上建立文件或目录。

(4) FTP用户不能删除服务器上的文件或目录。

为了解决上述安全性的三个问题, 应该对FTP主目录下的文件属性进行管理, 建议对每个目录及其文件采取以下一些措施:

FTP主目录:将这个目录的所有者设为“FTP”, 并且将属性设为所有的用户都不可写, 防止不怀好意的用户删改文件。

FTP/bin目录:该目录主要放置一些系统文件, 应将这个目录的所有者设为“root” (即超级用户) , 并且将属性设为所有的用户都不可写。为保证合法用户可显示文件, 应将目录中的ls文件属性设为可执行。

FTP/etc目录:将这个目录的所有者设为“root”, 并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性, 并用编辑器将passwd文件中用户加过密的口令删掉。

FTP/pub目录:将这个目录的所有者置为“FTP”, 并且将它的属性设为所有用户均可读、写、执行。这样经过设置, 既保证了系统文件不被删改, 又保证了FTP合法用户的正常访问。

2.3 执行远程命令漏洞

SITE EXEC漏洞就是在早期的wu-ftpd版本允许远程用户通过向21端口发起telnet会话获得shell。SITE EXEC它是FTP扩展命令, 即允许客户端执行服务器上任意的命令, 这种特性显然需要非常小心。为了检查有没有该漏洞, 启动一个与21端口的telnet对话并发出命令SITE EXEC。如果获得shell, 就存在该漏洞。

2.4 密码

为了减少通过FTP服务器进行强力密码猜测攻击的风险, 建议服务器限制尝试发送正确的密码的次数。在几次尝试 (3次) 后, 服务器应该结束和该客户的控制连接。另外, 服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效性。若可能的话, 目标操作系统提供的机制可以用来完成上述建议。攻击者可能通过与服务器建立多个、并行的控制连接破坏上述的机制。为了搏击多个并行控制连接的使用, 服务器可以限制控制连接的最大数目, 或探查会话中的可疑行为并在以后拒绝该站点的连接请求。

然而上述两种措施又引入了“服务否决”攻击, 攻击者可以故意的禁止有效用户的访问。标准FTP在明文文本中使用“PASS”命令发送密码。建议FTP客户端和服务器端使用备用的鉴别机制, 这种鉴别机制不会遭受窃听。

2.5 私密性

在FTP标准中, 所有在网络上被传送的数据和控制信息 (包括密码) 都未被加密。为了保障FTP传输数据的私密性, 应尽可能使用强壮的加密系统。

2.6 端口盗用

通常操作系统以递增的顺序动态的分配端口号。通过合法的传输, 攻击者能够观察当前由服务器端分配的端口号, 并“猜”出下一个即将使用的端口号。攻击者可以与这个端口建立连接, 然后就剥夺了下一个合法用户进行传输的能力。或者, 攻击者可以盗取给合法用户的文件。另外, 攻击者还可能在从授权用户发出的数据流中插入伪造的文件。

为了避免端口被盗用, 可以通过使FTP客户和服务器随机的给数据连接分配端口号, 或者要求操作系统随机分配端口号, 或者使用与系统无关的机制都可以减少端口盗用的发生。

3 结束语

FTP被我们广泛应用, 但在Internet迅猛发展的形势下, 其安全问题日趋突出, 因此对于FTP的使用首先应做到正确地配置FTP, 防止系统文件被窃取或者目录下程序进程被启动。其次, 注意定期观察FTP服务器的运行情况, 检查硬盘的大小, 并做出相应处理。

参考文献

[1]鸵鸟工作室编著.LINUX网络应用大全.北京:机械工业出版社.2001.

[2]李蔚泽编著.Red Hat Linux9架站实务.北京:机械工业出版社.2005.

篇4：如何保护Linux 网络安全

关键词:LINUX;WAP;无线网络

中图分类号:TP393.17文献标识码:A文章编号:1006-8937(2009)08-0119-02

Linux是一套免费使用和自由传播类Unix操作系统,其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。目前Linux的版本有很多,比较知名的有Red hat,Open SUSE以及目前比较流行的Ubuntu等。Ubuntu作为新兴的Linux版本,以其便捷的图形化操作界面,相比其他版本的Linux而言,大大减少了用户所需要记忆的各种枯燥的命令,而获得更多用户的青睐。目前无线接入相对于有线接入方式来说,最大的好处莫过于可以甩开网线,实现随时随地网络接入。Ubuntu虽然提供了无线接入方式,但是需要用户进行相应的配置,而且Ubuntu下的网络管理图形界面Network Management对于WPA无线身份认证协议支持不是很好,经常出现无法连接到使用WPA身份认证的无线AP的情况,下面介绍使用wpa_supplicant+wifi-radar方式实现接入WPA身份认证无线AP方法。

1无线网络相关术语

无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency; RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络。

AP是(Wireless) Access Point的缩写,即(无线)访问接入点。如果无线网卡可比作有线网络中的以太网卡,那么AP就是传统有线网络中的HUB,也是目前组建小型无线局域网时 最常用的设备。AP相当于一个连接有线网和无线网的桥梁,其主要作用是将各个无线网络客户端连接到一起,然后将无线网络接入以太网(这正是Access Point名称的本义)。

SSID是Service Set Identifier的缩写,意思是:服务集标识。SSID技术可以将一个无线局域网络分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络,SSID也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。

WEP--Wired Equivalent Privacy加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性,目标就是通过对无线电波里的数据加密提供安全性,如同端-端发送一样。

WPA 全名为 Wi-Fi Protected Access,有WPA 和 WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统。WPA 实作了 IEEE 802.11i 标准的大部分,是在 802.11i 完备之前替代 WEP 的过渡方案。在使用家庭中和小型办公室最可能选用的“个人”模式时,为了保全的完整性,所需的密码一定要超过六到八个字符。

2配置实例

在配置计算机前,首先要对AP进行相应的配置,以启用WPA身份认证。这里以常见的无线宽带路由器TP-LINK的TL-WR340G型无线宽带路由器配置为例,其他型号的无线宽带路由器可以参考说明书进行相应的设置。首先在连接到无线宽带路由器的计算机上启动浏览器,在地址栏输入无线宽带路由器管IP地址,通常默认地址为:192.168.1.1,在弹出的登录对话框中输入用户名和密码,默认用户名和密码都是:admin。切换到无线参数选项栏中,首先对默认的SSID进行修改。为了提高无线网络安全性,建议将广播SSID功能取消,避免授权用户对AP进行扫描。将无线路由器的“开启安全设置”打开,在“安全类型”中,可以选择“WEP”,“WPA/WPA2”,“WPA-PSK/WPA2-PSK”,根据上面的介绍,WEP作为较旧的无线加密技术,RC4目前已经被破解,继续采用WEP方式已经无法满足安全的需求了,而 WPA/WPA2方式是指采用企业级的 WPA/WPA2身份认证方式,网络上还需要一台 RADIUS 服务器完成802.1x身份认证协议的支持,对于一般用户使用不到。PA-PSK/WPA2-PSK方式为个人版的WPA,已经可以足够满足搭建安全无线网络的需求了,所以这里“安全类型”选择“WPA-PSK/WPA2-PSK”。在“安全选项”中,选择类型有:“自动”,“WPA-PSK”,“WPA2-PSK”,最好选择安全性更高的WPA2-PSK。在“加密方式”:“自动”,“TKIP”,“AES”三个选项中,最好选择“自动”,表示同时启用“TKIP”,“AES”两种方式,因为TKIP: Temporal Key Integrity Protocol负责处理无线安全问题的加密部分,TKIP由WEP使用的同样的加密引擎和RC4算法组成,不过TKIP中密码使用的密钥长度为128位,AES用于对密匙进行加密。在PSK密码栏输入加密密匙:“TestPassw0rd123456”(注意:这里输入的密码长度最短为8个字符,最长不超过63个字符)。一切输入完毕以后点击保存,将配置保存。配置如图1所示。在配置完无线安全参数后,可以根据需要打开无线AP的DHCP功能,为了保护无线网络的安全,不建议打开该功能。

配置完无线AP以后,就可以在Ubuntu下进行配置了。配置之前首先需要进行一些准备工作:{1}检查你所安装的Ubuntu版本,目前最新的Ubuntu版本为8.10版,而8.04版以上的Ubuntu默认已经安装了wpa_supplicant,如果不清楚自己所安装的Ubuntu版本,可以在终端模式下输入命令:$uname -r 以检查自己的Ubuntu版本,8.04版本以上所使用的内核编号为2.6.24-19-generic。{2}安装wifi-radar软件包。wifi-radar是一个用Python语言编写的带图形化界面的WiFi管理软件,而我们就是使用wifi-radar代替Ubuntu自带的Network Management完成连接到无线网络工作。默认情况下Ubuntu是不安装wifi-radar软件包的,需要我们手动添加该软件包。从wifi-radar软件包的官方主页上进行下载安装包了,需要注意的是wifi-radar软件包对系统的其他软件包具有依赖关系,在安装wifi-radar软件包之前,要确认具有依赖关系的其他软件包都已经安装完毕。wpa_supplicant程序是在Linux,,BSD,Mac OS X以及Windows平台下提供对WPA/WPA2协议的支持。wpa_supplicant提供WPA-PSK,WPA(RADIUS 认证服务器) ,支持AES(Ubuntu下为CCMP)以及TKIP加密算法 ,支持PMKSA,以及预分配两种密匙管理方式。启用wpa_supplicant方法为:在终端模式下输入命令:$sudo wpa_supplicant -Bw -i wlan0 -c ~/wpa2-psk-tkip.conf就可以了(注意运行wpa_supplicant需要提升为root权限。-B:程序运行于后台。-w:等待直到网卡准备好,如果不带该参数wpa_supplicant运行后就会自动退出。-i:指定在哪一块网卡上监听。-c:指定wpa_supplicant所需要使用的配置文件。WPA-PSK协议中需要指定无线AP的SSID,使用的加密算法,以及使用的密匙等信息,就是通过wpa_supplicant配置文件提供的。在使用wpa_supplicant之前,要先建立所要使用的配置文件,根据无线AP上进行的安全配置选项,在当前用户目录下建立wpa2-psk-tkip.conf配置文件如下:

# WPA-PSK/TKIP

ctrl_interface=/var/run/wpa_supplicant

network={

ssid="wireless-home"

#输入无线AP的SSID

key_mgmt=WPA-PSK

#密匙管理采用WPA-PSK方式

proto=WPA2

#使用WPA2协议

pairwise=TKIP

#加密方式TKIP

group=TKIP

#密匙组TKIP

psk="TestPassw0rd123456"#输入无线AP中保存的密匙

}

在以上这些工作都结束以后,在终端模式下运行:$sudo wpa_supplicant -Bw -i wlan0 -c ~/wpa2-psk-tkip.conf,wpa_supplicant程序就已经在后台中运行,检查程序是否已经运行,在终端模式下输入:$ps -A | grep wpa_supplicant查看是否有wpa_supplicant进程正在运行。在完成wpa_supplicant程序进行身份认证的部分后,就可以开始使用wifi-radar管理无线网络连接了。在终端模式下运行:$sudo wifi-radar(需要提升至root权限)。wifi-radar是一个图形化界面的无线网络连接管理程序。单击“New”,在弹出的对话框中Network Name输入无线AP的SSID:wireless-home,在WPA项点击“Use WPA”,“Driver”项栏目保持为空,如果之前的无线AP配置中打开了DHCP功能的话,保持“Automatic network configuration(DHCP)”不作修改,否则填入与无线AP所在同一网段的IP地址以及网关。配置完毕以后,点击“Save”保存,回到wifi-radar界面下点击“Connect”,就可以连接到无线AP。

在使用过程中,如果出现无法连接到无线AP的情况,通常是wpa_supplicant配置文件出现了问题,为了确定身份认证是否成功,可以在运行wpa_supplicant时不带控制参数-B,此时wpa_supplicant程序运行在终端控制台中,通过查看wpa_supplicant运行信息,即可判断是否是因为身份认证失败导致无法连接到无线AP,如(见图2)。

当看到“WPA: Group rekeying completed with 00:1d:0f:43:30:54 [GTK=TKIP]”这条信息,表示身份认证已经成功。

3结语

篇5：如何保护Linux 网络安全

Linux启动后出现boot:提示时，使用一个特殊的命令，如Linuxsingle或Linux 1，就能进入单用户模式(Single-User mode)。这个命令非常有用，比如忘记超级用户(root)密码。重启系统，在boot:提示下输入Linux single(或Linux 1)，以超级用户进入系统后，编辑Passwd文件，去掉root一行中的x即可。

防范对策：

以超级用户(root)进入系统，编辑/etc/inittab文件，改变id：3：initdefault的设置，在其中额外加入一行(如下)，让系统重新启动进入单用户模式的时候，提示输入超级用户密码：

S:walt:/sbin/sulogin

然后执行命令：/sbin/init q，使这一设置起效。

在系统启动时向核心传递危险参数

在Linux下最常用的引导装载(boot loader)工具是LILO，它负责管理启动系统(可以加入别的分区及操作系统)。但是一些非法用户可能随便启动Linux或者在系统启动时向核心传递危险参数，这也是相当危险的。

防范对策：

编辑文件/etc/lilo.conf，在其中加入restricted参数，这一参数必须同下面一个要讲的password参数一起使用，表明在boot：提示下，传递给Linux内核一些参数时，需要你输入密码。

password参数可以同restricted一起使用，也可以单独使用，下面将分别说明。

同restricted一起使用：只有在启动时需要传递给内核参数时，才会要求输入密码，而在正常(缺省)模式下，是不需要密码的，这一点一定要注意，

单独使用(没有同restricted一起使用)：表示不管用什么启动模式，Linux总会要求输入密码;如果没有密码，就没有办法启动Linux，在这种情况下的安全程度更高，相当于外围又加入一层防御措施。当然也有坏处――你不能远程重启系统，除非你加上restricted参数。

由于密码是明文没有加密，所以/etc/lilo.conf文件一定要设置成只有超级用户可读，可使用下面的命令进行设置：

chmod 600 /ietc/lilo.conf

然后执行命令：

/sbin/lilo -V，将其写入boot sector，并使这一改动生效。

为了加强/etc/liIo.conf文件的安全，你还可以设置这个文件为不可改变的属性，可使用命令：

chattr 十i/etc/lilo.conf

如果日后你要修改/etc/liIo.conf文件，用chattr -i/etc/lilo.conf命令去掉这个属性即可。

使用“Ctrl+Alt+Del”组合键重新启动对于这一点，非常重要，也非常容易忽略，如果非法用户能接触到服务器的键盘，他就可以用组合键“Ctrl+AIt+Del”使你的服务器重启。

防范对策：

编辑/etc/inittab文件，给ca：：ctrlaltdel：/sbin/shutdown-t3 -r now加上注释###ca：：ctrlaltdeI：/sbin/shutdown-t3 -r now。

然后执行命令：

/sbin/init q，使这一改动生效。

篇6：如何保护Linux 网络安全

Gmail的出现，让大家看到了更新式更全面的互联网应用模式。从Gmail开始，新浪、雅虎、网易等相继推出免费2GB信箱，

获得Google Gmail信箱的方式跟传统网站的Webmail信箱申请不一样，要通过拥有Gmail的好友邀请才能得到一个电子信箱。当你收到好友的邀请信后登录Gmail的页面就拥有了Gmail的信箱。你成为Gmail的用户后，你也可以邀请你自己的好友加入到Gmail中来，让他也可以感受到Gmail的方便快捷高效和多功能。而你的朋友接受你的邀请成为Gmail用户后，这种邀请就可以继续延续下去。现在Gmail的用户可以发送50-1000个邀请，让自己的朋友获取免费的2G的Gmail信箱。这一举措很好地避免了邮件服务器硬盘空间的浪费，传统的在线填写申请表的格式就容易造成单人多次申请引起的浪费。2GB的信箱几乎没人嫌不够。以下是Linux网络环境下的Gmail应用技巧。

一、让Gmail也支持POP3收信、SMTP发信

篇7：信息安全如何保护?

不动产权统一登记后，可以对房产信息进行查询。有人怕出现“以人查房”现象，即用姓名查询的方式获得他人的房产信息，用作不法用途。

对此，《不动产登记暂行条例实施细则》指出，“任何单位和个人不得泄露不动产登记信息”，同时明确提出“三类人”可以查询不动产登记资料。

一是权利人可以查询、复制其不动产登记资料;二是因不动产交易、继承、诉讼等涉及的利害关系人可以查询、复制不动产自然状况、权利人及其不动产查封、抵押、预告登记、异议登记等状况;三是人民法院、人民检察院、国家安全机关、监察机关等可以依法查询、复制与调查和处理事项有关的不动产登记资料。

篇8：如何保护Linux 网络安全

个人信息泄露:无处不在

“白领名录”、“股民信息”、“豪车车主名单”、“老板手机号码”甚至“家长信息”、“新生婴儿信息”……, 电信机构、需要注册的网站、银行、保险公司、各类中介、教育机构乃至政府部门和医院……, 你若历数自己的信息可能被泄的“端口”, 能列出一长串名字。你能不注册天涯、淘宝、途牛, 但你能不办银行卡、不办手机业务、不买房买车吗?个人重要信息, 联系方式, 家庭住址, 手机号码, 身份证号码, 邮箱与QQ号等。这种信息我们多数是通过一个特定的场合和环境小范围公开, 您把自己的个人信息提供给了他们。如果将这些数据卖给其他组织而从中谋利, 则变成了个人信息泄露。快递公司手里有成千上万的客户具体信息, 如何规范这些行业企业不利用客户信息谋利, 将是未来一段时间的大问题。据公安部有关负责人近日介绍, 近年来, 非法出售、提供和获取公民个人信息犯罪迅速蔓延, 不仅严重危害国家和公民信息安全, 而且极易引发多种犯罪。不法分子借助互联网实时、快捷地交易个人信息数据, 已构成覆盖全国的巨大信息交易犯罪网络。

依法保护个人信息

《关于加强网络信息保护的决定》明确规定, 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息, 不得出售或者非法向他人提供公民个人电子信息。同时规定, 网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息, 应当遵循合法、正当、必要的原则, 明示收集使用信息的目的、方式和范围, 未经被收集者同意, 不得违反法律、法规的规定和双方的约定收集、使用信息。

注重提高公民的个人信息保护意识

网上填写表格须慎重:加强个人信息保护, 应该从自身做起, 比如, 在网上不要随意填写表格, 应该选择安全防范能力较强的网站存储重要个人信息;在马路上接受市场调查, 或者在商店里填写贵宾卡等时, 要留个心眼, 别随便将自己的资料泄露给他人。遇到介绍、推荐保险业务、房产业务、理财投资以及冒充公安、检察、法院、银行工作人员的点对点电信诈骗案件, 要时刻提高警惕, 以防上当受骗。遇到个人信息被非法使用时, 市民应通过各种途径维权, 别任由自己的个人信息外泄。

实名车票不要随意丢:铁路部门表示, 实名制车票不要随意处置, 丢弃之前, 可将二维码、身份证号码和姓名等部位涂黑或者粉碎处理。

快递收件单要撕干净:很多市民都会网购, 很少有人会留意快递箱上的收件单, 那上面可是赫然印着你的真实姓名、住址和手机号码。假如你撒手不管, 那你的有关信息就有可能经这条“路”径传出去。

篇9：女性在外如何保护自身安全

一、夜间行走注意安全

1．最好结伴而行，万不得已必须单独夜间外出时要做好防范准备。比如，不要携带大笔钱款和佩戴贵重饰物；不要穿高跟鞋、皮鞋，最好穿球鞋并系紧鞋带，以便于行走。有条件的带上手电筒或一个哨子；遇有违法犯罪分子，手电筒既可晃照其眼睛，也可当防身工具，亦可吹哨示警。女生夏天晚上不要穿短裤或短裙外出等等。

2．走在路上要提高警惕，最好走宽街大道，避免走偏僻小巷。注意走在路中间和明亮处。走过角落、障碍、桥梁时，应防备突然袭击。

3．一旦遇上违法犯罪分子拦路抢劫，不要慌张，要巧妙与之周旋、斗争，或麻痹对方，寻机摆脱。如果在宿舍区或教学楼，应当高声呼喊求助。违法犯罪分子一般都做贼心虚，遇到勇敢的受害者往往会踌躇或逃遁。而你越是害怕、不知所措，他们就越胆大嚣张。

二、乘车时防止被骚扰

上车时，面对像沙丁鱼般拥挤的人群，女生可以把随身的挎包放在胸前，或把书放在臂部，自然而然地抵御“色狼”的侵袭；还可以在上车前将外套脱下来绑在腰际的穿着，以降低下流男性的欲念，达到保护自身安全的目的。乘车途中，不要打瞌睡，如果确实很累不得不在车上打个盹，最好戴上黑色的墨镜，并且仍然保持正常的姿势，切勿低头沉睡。另外，在车上看书、看报、听收音机，引起周围人的注目，以减少异性对你骚扰的机会。

选好自身在车中的位置，女性应记住这样一个原则，即女性最安全的位置是妇女较多的地方；其次，车厢前面和中间是人们容易观察的地方，可以减少“色狼”的骚扰；再次，千万不要停留在车门口或车厢的连接处，因“色狼”常趁人多拥挤时，对女性偷摸一把或冲撞以达到性骚扰的目的。

三、女生集体宿舍也要注意安全

1．要经常进行安全检查。如发现门窗损坏，及时报告有关部门修理。

2．就寝前，要关好门窗，在天热时也不能例外，防止犯罪分子趁自己熟睡时作案。

3．夜间上厕所要格外小心，最好有人结伴。如厕所照明设备已坏，应带上电筒，上厕所前先仔细查看一下。

4．夜间如有人敲门问讯，要问清是谁再开门。如发现有人想撬门砸窗闯进来，应集体一起呼喊，并准备可供搏斗的东西，做好齐心协力反抗的准备。

5．周末或节假日，其他人回家，最好不要独自一人留宿。回宿舍就寝时，要留心门窗是否敞开，防止有犯罪分子潜伏待机作案，如遇异常情况，可请其他人同时进去，以确保安全。

篇10：如何保护手机信息安全

不要在USB模式下直接安装APP

当手机连接电脑下载应用时，PC端的手机助手会通过USB模式将软件装进你的手机，这个过程会直接跳过查看应用权限这一项。一些隐私权限会顺势进入这个疏漏的.网，随时侵害你的手机安全。

对危险权限请谨慎say no

对于APP里那些涉及用户隐私的权限，例如短信相关权限、联系人权限、地理位置权限等，如果该APP本身不需要这些权限，就应该谨慎安装。

不必要时，请关闭位置信息访问权限

在安装应用时，我们是默认关闭该位置信息访问权限的。如若有需，再由我们自行开启，但在不使用时，请随时关闭。以免一些应用对我们的位置信息进行读取。

禁止浏览器接受cookie

我们常常会为方便而保存大量浏览器里的登录信息。但实际上这种行为很容易泄露个人信息。为了隐私安全，我们应该把浏览器里接受cookie的设置关闭。

禁用后台进程

很多APP都会不知不觉在手机的后台自动开启。一旦开启，在有网络的状况下自行传输后台数据。为了用户信息安全，请关闭平时不常使用的应用的后台进程。

尽量使用原生应用

非手机自带的第三方通讯录、短信等软件。可以直接访问用户的隐私信息，容易造成意思泄露。如果手机的原生应用已具备使用功能，请尽量不要安装此类第三方应用。

篇11：如何保护Linux 网络安全

第一反应是：肯定是某个东西的日志文件造成的，因为以前在WINDOWS下有过类似的经历。

分析了一下，找到原因：MYSQL日志文件。

大家也可以用下面的命令查一下(如果不是LNMP，路径可能不同)：

1du-h --max-depth=1 /usr/local/mysql/var/*

如果看到大量大文件，且名为 mysql-bin.000014 这样的，说明你也需要关闭日志文件，因为你不知道哪一天它们会把你VPS的硬盘塞满，

用WINSCP把这些文件删除吧。

如何关闭：

1vi/etc/my.cnf

找到：

1log-bin=mysql-bin

2binlog_format=mixed

将这两行注释掉，前面加上#

然后保存。

最后用下面的指令重启下LNMP。收工。

1/root/lnmp restart

篇12：如何保护隐私不暴露在网络

一、清除IE缓存记录

为了加快上网浏览速度，IE会将最近浏览过的网站内容保存在缓存中，这样下一次再访问该网站时就可以直接从缓存中读取数据。这虽然加快了浏览速度中，但是却埋下了安全隐患。

对此，我们可以打开浏览器的“工具”菜单，选择“Internet选项”命令，在打开的窗口“常规”标签中单击“Internet临时文件”区的“删除文件”按钮，这样会弹出一个询问窗口，选中其中的“删除所有脱机内容”复选框并确定，这样即可把所有文件都删除了。

二、清除Cookies记录

Cookies主要是为了提供网站跟踪用户，保存了网站的IP地址、用户名等。它是在我们访问网站后自动生成的，并保存在安装目录的Cookies目录中。因此我们只需要打开系统所在分区，然后进入WINDOWSsystem32configsystemprofile文件夹，将其中的文件全部删除即可。

三、删除历史记录

History文件夹记录了最近一段时间内浏览过的网站内容，如果是Win2000系统则会记录访问过的文件夹。这样通过这个信息就可以了解用户一段时间内访问过的操作。因此，在离开电脑前，一定要把这些记录彻底清除掉，才能保证个人隐私的安全。打开IE浏览器，执行“工具-Internet选项”命令，然后在“常规”标签中单击“清除历史记录”按钮就可以了，

四、密码记录清除

登录电子信箱、在网上进行各种注册登记等操作时，都会要求输入密码。有时为了方便，经常会使用系统的自动完成功能，系统会记忆下您的密码，在下一次输入同样的用户名时会自动完成密码的输入。如我们在退出系统时没有把密码清除掉，那就太危险了。

为了不让危险存在，提醒你要将其清除掉，打开IE浏览器，执行执行“工具-Internet选项”命令，然后在“内容”标签中单击“自动完成”按钮，在这里可以通过“清除自动完成历史记录”下的“清除表单”和“清除密码”将曾经的记录全部删除。

五、恢复已访问过IE地址颜色

IE以及WEB页面设计者一般都将页面上未访问过的和访问过的链接设置成不同的颜色，虽然这是为了方便用户浏览，但不经意间却会泄露你的浏览足迹。不过，通过下面的方法，就可以消除这种颜色的变化。

打开IE的Internet选项设置窗口，在“常规”标签中单击“辅助功能”按钮，在随后打开的对话框中，勾选格式区域的“不要使用WEB页中指定的颜色”项，按“确定”按钮退出。再单击“颜色”按钮，在颜色区域选中“使用Windows颜色”，在链接区域通过调色板将未访问过的和访问过的链接颜色再设为一致，按“确定”退出即可。

六、关闭IE自动填写表单

IE中自动完成功能给用户填写表单和输入WEB地址带来一些便利，但同时也给用户带来了潜在的泄密危险，尤其是对于在网吧或公共场所上网的网民。若需要禁止该功能，只须打开Internet选项窗口，然后在“内容”标签中单击“自动完成”按钮，在打开的窗口中取消“自动完成功能应用于”下的各个选项，这样浏览器以后就不会再自动记录信息以便于填写表单了。

篇13：浅谈如何加强档案安全保护工作

一、健全档案保护制度

做好档案安全保护工作, 应贯彻“以防为主, 防治结合”的原则, 建立和健全各种行之有效的保护制度, 避免泄密、丢失等事故的发生。一是建立健全档案保密制度。档案的库房管理是档案保密的重点。档案库房应指定专人负责管理, 制定严格的库房管理制度, 无关人员一律禁止入内。档案管理人员必须有较强的责任心、事业心和高度的保密意识, 模范地遵守保密制度, 严守保密纪律, 把保守国家秘密作为自己的神圣职责和应尽的义务。二是建立健全档案材料接收制度。接收档案应当由交接双方当面清点核对, 确认无误后填写交接清单, 并由双方经手人签字。入库前要通过机械或手工方式进行除尘, 入库后要在总帐、分类帐及其它登记表和检索工具上及时登记, 确保数据一致、方便查询。三是建立健全档案借阅制度。借阅档案, 应当填写借阅登记表。查阅完毕, 需及时归还, 如有特殊原因需延长借阅期限者, 应向档案管理人员办理续借手续。档案管理人员应及时催还, 避免档案遗失。涉密档案的调阅、移出、销毁等应严格按照规定手续办理, 必须经指定领导人审批, 认真履行相关登记手续。涉密档案使用完毕后应及时清队、检查, 发现失密、泄密问题, 应及时查明原因, 进行补救。四是建立健全档案统计制度。按照规定的统一格式, 对档案的收进、移出、整理、鉴定、保管、利用、销毁等情况进行认真统计, 综合分析, 准确及时地反映档案管理工作中的变化情况。

二、完善库房安全措施

随着社会的发展和技术的进步, 影响档案安全的因素越来越复杂, 要求我们不断完善、提高档案安全保护措施。一是控制温湿度, 档案库房应控制在规定的温湿度范围内, 库房安设温湿度记录仪, 建立记录本, 对库房温湿度进行测量, 根据测定结果及时进行调节。二是防虫鼠, 库房内严禁存放食品、杂物;档案材料, 入库前进行消毒;档案柜架应放置驱虫药, 并按要求定期更换, 发现虫害及时采取措施消除。三是防尘, 库房要保持清洁, 经常清扫;工作人员进入库房穿专用拖鞋、外来人员入库穿鞋套;库房要采取密闭措施, 防止或减少有害气体进入。四是防水, 库房屋顶要防止漏水, 地面要有防止水浸入措施;档案不得堆放在库房地面上;库房内有水管、暖气片及管线时, 要及时检查、及时抢修, 防止损坏档案。五是防火, 根据档案馆规模, 在不同角落, 配备一定数量的灭火器, 并确定专人管理。要安全使用电器设备, 定期检查电器线路。库房内不得有明火装置, 不得吸烟和存放易燃易爆物品。六是防盗, 库房门应包铁皮, 上保险锁;平房或楼房的一层库房的窗户应安装铁栅栏;随时检查门窗, 如有损坏, 及时修理。七是防光, 库房应避免阳光直射, 有外窗的应安置窗帘或窗板;采用白炽灯作光源, 防止损伤档案材料。

三、加强电子档案的保护

随着档案信息化建设水平的不断提高, 电子档案的比重逐渐增大, 这对档案保护工作提出了更高的要求, 档案工作人员要做好防消磁、防泄漏、防病毒等保护措施。①软盘、录音 (像) 带等磁性载体的保护:存放在无强磁场干扰、无震动、无尘、无腐蚀气体和温湿度适中的环境里, 环境空气相对湿度控制在40%~50%, 温度控制在14~24℃。每2年转储一次, 转储后的载体与原载体同样编号保存。②光盘的保护:光盘存放的温度宜控制在14~24℃, 相对湿度40%~65%, 每5年转储一次, 转储后的载体与原载体同样编号保存。光盘比磁盘有良好的抗干扰能力和结构稳定性, 有利于归档电子文件的长期保存, 因此, 提倡档案部门配备刻录机, 将归档电子文件转储到光盘上。

四、做好网络信息安全管理

建立健全计算机和网络系统的各项规章制度, 做好计算机信息处理系统保密工作。严格计算机网络的保密管理, 严禁涉密档案信息上传, 对涉密信息系统应采取物理隔离并按涉密程序分级保护, 按照国家保密标准配备保密设施、设备。要制定包括通讯设备、网络线路、服务器、机房管理制度, 对网络上支持档案管理机构内部档案信息管理系统运行的网络基础设施定期维护、定期检查, 发现不良苗头及时提醒, 把事故消灭在萌芽状态, 要专人负责, 落实责任人。加强对计算机密码、口令授权的管理, 对上网的档案信息进行保密检查, 运用防火墙技术、存取权限控制、数据加密法、数字水印法、认证、数字签名、报文摘要、数字证书等方法, 保护电子文件信息不被修改、删除、窃取, 确保档案的安全。

五、强化应急管理制度建设

档案馆要根据应对突发事件相应法律, 结合自己本单位的实际情况, 制定相应的应急制度, 并保证各项制度跟上突发事件发展要求。面对突发事件, 完备的设施建设、先进的技术装备、科学的技术手段, 将对处理突发事件起到事半功倍的作用。建设档案异地存储库、加快馆藏档案备份工作步伐以及购进必要的运输、转移设备, 能有效地减轻突发事件对档案造成的损失。同时, 做好危机后的重建工作, 尽快使档案工作走向正常轨道, 尽快恢复档案服务社会、服务民生的功能。

参考文献

[1] .冯惠玲.张辑哲.档案学概论.北京:中国人民大学出版社, 2006

篇14：网络时代，如何保护个人信息？

我国目前对网络个人信息保护的立法，原先仅体现在一些零散的法律条文中，如《中华人民共和国电信条例》第58条、《全国人大常委会关于维护互联网安全的决定》第4条、《计算机信息网络国际联网管理暂行规定实施办法》第18条、《互联网电子公告服务管理规定》第12条等。此外，还有一些地方性法规做了简要概括的规定。

值得一提的是，2012年12月28日通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，从法律层面明确了网络个人信息保护的概念范畴、规范主体、责任主体、实名注册、公民权利、行政主体、侵权责任等问题，是目前我国最新最全的有关个人信息保护的法律规范。该法具有很多亮点，例如确立保护个人电子信息的立法宗旨、加强网络身份管理、为个人维权提供法律保障、规定违法者承担的法律责任类型等。但该法是为了应急解决我国网络信息安全立法的滞后问题而制定的，仅具有12个条文，内容较为概括，例如条文多处出现“有关主管机关”，却未明确哪些机关具有管理权，势必为个人维权带来困难。

此外，于2013年2月出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》，提出了个人信息保护的原则，相对全面地规范了个人信息处理的整个流程。但这个指南仅属于“技术指导文件”，没有强制性，即没有法律效力。因此，为了更好地保护网络个人信息，我国应尽快出台《个人信息保护法》作为个人信息安全保障的基本法。在该法中，应当专设一章针对网络环境下个人信息的特殊性作特别规定，主要建议如下：

首先，明确规定网络环境下个人对其信息资料享有以下权利：1.控制权：个人对其信息有权决定保密或是公开；2.利用权：个人有权决定如何利用个人信息及获得报酬；3.知悉权：个人有权获知其信息是否被采用及如何被利用等状况；4.安全请求权：个人有权请求网络服务商履行安全保障义务以及请求个人信息保护机构保护个人网络信息安全；5.损害赔偿请求权：在个人信息受到侵害的情况下，个人可以提起民事诉讼，请求判令侵权人承担侵权责任。

其次，明确规定网络服务商及其他主体收集、储存、使用和传播个人数据的条件和程序，即网络服务商在征得个人同意合法收集个人信息时，应当告知其对个人信息的收集目的、利用方法、保密措施及违约责任等内容。若有不当利用或违反保密义务情形应当承担相应法律責任。同时也应当规定网络服务商对个人信息的安全保障义务，网络服务商有义务监管网络信息的交流。若明知或获知侵害个人信息权的情形却未采取措施尽到监管义务的，应当承担法律责任。

再次，应当成立专门的网络个人信息保护机构，对网络个人信息的收集、处理、利用进行监控和管理，禁止个人或组织非法收集、传播、利用他人的信息。因为在网络环境下，对个人信息侵害的“无形性”使得权利很难实现及时的救济。通过赋予执法机构合理的网络监控权，有利于实现对个人信息的侵害行为进行及时取证、调查，从而实现权利的保障和维护。目前，许多国家和地区都设立了保护网络信息的专门机构，实践证明，这些机构对于网络个人信息的保护起到了积极作用。

在党的十八届三中全会通过的决定中，“法治中国”被作为一项关键内容提出，网络社会也应当是法治社会，因此，应当加快立法完善进度，确保网络个人信息安全。

（来源：《光明日报》 吴文嫔/文）

篇15：如何保护Linux 网络安全

用户在使用 Linux 系统时难免会出现口令遗失、配置错误、系统故障等问题，导致不能正常登录进自己的 Linux 系统。如果能够以其它的方式去读写 Linux 文件，对文件进行修改，则有可能恢复问题，至少也可以拷贝出重要文件，使重要数据不会被丢失。在此，有以下几种方法可以在不能正常登录时实现对 Linux 文件的读写。

紧急修复模式

紧急修复模式是以紧急修复软盘或 Linux 安装光盘引导启动后，在 boot 提示符下输入 “linux rescue” 参数引导进入的 Linux 基本环境。在紧急修复模式下，能够使用 chmod、vi、fsck 等命令去读写硬盘上的 Linux 文件，从而挽回某种过失，恢复系统正常。

单用户模式

与紧急修复模式只能加载本机 Linux 上的文件系统不同，单用户模式是在本机 Linux 内核引导启动后进入的一个运行级别(运行级别是1)。单用户指的是系统运行惟一的用户??超级用户模式下，进入时无需口令验证。进入此模式时，系统只是加载了可以运行的最低软硬件配置，可以做 Kernel 升级、设备安装等维护工作。在系统维护时，系统管理员往往要进入单用户模式来维护系统。

进入单用户模式的方法有许多种，如果安装了 LILO 多重启动管理器，在系统启动时的 “LILO boot” 提示符下输入 “linux single” 参数，即可进入单用户模式。

如果没有安装多重启动管理器，可以用系统启动盘引导。在 boot 提示符下输入 “linux single” 参数也可引导进入单用户模式。

如果没有系统启动盘，也可以在 DOS 环境下以 loadlin 程序引导进入单用户模式。如果主机上安装有 Windows 9x 系统，在 Windows 9x 启动时按 F8 可以进入 MS-DOS，如果没有安装 DOS 或 Windows 9x， 可以用 Windows 9x 安装光盘引导进入 DOS 环境，然后输入如下命令：

D:DOSUTILS>loadlin autobootvmlinuz root=/dev/hda5 ro single

即可引导进入 Linux 单用户模式(假设 D 盘是光盘驱动器，/dev/hda5 是 Linux 系统的根分区)。

软盘上的 Linux

把 Linux 系统做在一张或数张软盘上，以此软盘引导启动就能进入一个完全独立于硬盘的 Linux 系统。用 mount 命令加载硬盘上相应的分区，就能够对该分区上的文件进行读写和系统维护。软盘上的 Linux 体积虽小，但五脏俱全，而且功能还不少，不仅可以用于 Linux 的学习试用、系统维护等，也有人将它应用于防火墙、简单路由器管理等方面。

软盘上的 Linux 有很多种，大家可以到相关网站下载img 或 zip 等文件，并用 rawrite 等程序把它制作到软盘上。

下面是相关网站：

◆ Tomsrtbt(The most GNU/Linux on 1 floppy disk)www.toms.net/rb/

◆ HAL91 www.itm.tu-clausthal.de/?perle/hal91/

◆ LOAF(Linux on a floopy) www.ecks.org/projects/loaf/

◆ MuLinux linux/“>sunsite.dk/mulinux/

◆ Coyotelinux linux.com”>www.coyotelinux.com

◆ FloppyFW www.zelow.no/floppyfw/

◆ LinuxRouter lrp.steinkuehler.net

光盘上的 Linux

DemoLinux 是一个可以直接运行在光盘上的 Linux，不需要分区、安装等复杂的步骤，只需以 DemoLinux 安装光盘引导启动就能进入 Linux 环境，而且不会将 Linux 安装到硬盘上，完全独立于硬盘，

默认情况下它会自动检测硬盘上的分区，并且 mount 到相应的目录，例如设硬盘上 Linux 系统的根分区是 /dev/hda5，那么就可以进入 /mnt/hda5 目录去读写相关文件。

DemoLinux 对文件系统有着广泛的支持，不仅支持 Linux 系统要用到的 ext 文件系统，而且也支持 FAT、NTFS 等文件系统，所以，如果 Windows 系统发生故障，那么也能用 DemoLinux 引导启动后去读写 Windows 系统所在分区内的文件，从而修复 Windows 系统故障。

DemoLinux 发行的本意是为了推广 Linux，用于 Linux 演示，让初学者了解 Linux 的使用方法和体会它的强大功能，让软件开发商知道基于 Linux 的开发并不是一件复杂的事情。因为它的功能非常强大，在本人看来它也是 Linux 系统管理员要必备的工具盘。相关网站 linux.org“>www.demolinux.org。

在 DOS/Windows 下读写 Linux 文件

几乎所有版本的 DOS/Windows 都没有提供对 Linux 文件系统(如 ext2、ext3 文件系统等)的支持，但借助不少软件可以帮助实现这一点，如 FSDext2、ext2fsnt、ext2ifs、Ltools 和 Explore2fs 等，并且这些工具都是免费的。

在操作方式上，FSDext2、ext2fsnt 和 ext2ifs 以设备驱动的方式让 Windows 提供了对 ext2 文件系统的支持。把 Linux 上的 ext2 文件系统直接挂载到某个盘符上，对它的访问就相当于访问 Windows 上的某个盘符，这样就非常易于使用。ext2 tools、Ltools 和 Explore2fs 提供了命令或图形界面等的方式来访问 Linux 上的 ext2 文件系统。虽然这些工具说是用来提供访问 ext2 文件系统，但在本人实际使用中，大多数也支持最新的 ext3 文件系统。这些工具都非常易于安装使用，大家只要看一下它的操作界面或帮助说明就基本不成问题了。

如上所述，如果主机上安装有 DOS/Windows 和 Linux 等多操作系统，那么就可以在 DOS/Windows 系统下实现对 Linux 文件的读写，以便修复 Linux 系统故障。相关网站如下：

◆ LTOOLS 主页www.it.fht-esslingen.de/?zimmerma/software/ltools.html，有关 LTOOLS 更详细的介绍以及下载，支持 DOS 和所有版本的 Windows;

◆ EXT2 IFS 主页 linux/ext2ifs.htm”>uranus.it.swin.edu.au/?jn/linux/ext2ifs.htm，仅支持 Windows NT//XP;

◆ Ext2fsnt 主页 ashedel.chat.ru/ext2fsnt/，仅支持 Windows NT/2K/XP;

◆ Explore2fs 主页 linux/explore2fs.htm“>uranus.it.swin.edu.au/?jn/linux/explore2fs.htm，仅能读 ext2 分区，支持所有版本的 Windows;

◆ FSDext2 主页www.yipton.demon.co.uk/，仅能读 ext2 分区，仅支持 Windows 9x/ME;

◆ Filesystems-HOWTO 主页 www.tldp.org/HOWTO/Filesystems-HOWTO.html，有各文件系统的介绍，包括提供大量有关各系统间文件互访的资料和工具。

第二硬盘法

如果你的主机上既没有软驱、光驱、没有安装双操作系统，也没有安装 LILO、Grub 等多重启动管理器，导致以上方法都失效，那么除了在这台主机上增加软驱或光驱设备外，还可以把这台主机上的硬盘拆卸下来挂接到别的 Linux 主机上做为第二块硬盘，然后用 mount 命令加载第二块硬盘内相应的分区来达到读写这块硬盘内 Linux 文件的目的。

从上面可以看出，只要能在本地重新启动系统，那么即使没有超级用户的口令也能很轻易地去读写 Linux 文件，从而获取重要数据。所以，系统管理员有必要加强机房安全管理，以免重要数据失窃。