◆劉仁維 李 杜 翟 琛

Linux系統(tǒng)安全與加固

◆劉仁維 李 杜 翟 琛

(蘭州職業(yè)技術(shù)學(xué)院 甘肅 730070)

本文從系統(tǒng)架構(gòu)的視角出發(fā)對(duì)Linux的安全體系進(jìn)行分析，以高效、夠用和安全的標(biāo)準(zhǔn)探討了Linux安全配置的原則，從不同層面提出了對(duì)Linux系統(tǒng)進(jìn)行安全加固的具體方法。

信息安全技術(shù)；系統(tǒng)安全；Linux；安全配置

0 引言

Linux操作系統(tǒng)開(kāi)源、免費(fèi)、自由使用開(kāi)發(fā)，穩(wěn)定可靠。中央國(guó)家機(jī)關(guān)政府采購(gòu)中心正版軟件采購(gòu)網(wǎng)推薦的桌面操作系統(tǒng)中80%以上是Linux內(nèi)核的，Windows只有win7一家入選[1]，據(jù)中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《2017年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》統(tǒng)計(jì)，國(guó)家信息安全漏洞共享平臺(tái)(CNVD)2017年所收錄的安全漏洞共15955個(gè)，較2016年增長(zhǎng)了47.4%，操作系統(tǒng)漏洞占所有收錄漏洞的12.9%，Linux全年收錄漏洞228個(gè)，占所有收錄漏洞的1.4%，環(huán)比增長(zhǎng)4.6%[2]?？梢?jiàn)Linux安全可靠，在國(guó)內(nèi)使用日趨廣泛。本文探討如何在高效、夠用和安全的原則下選擇和配置Linux安全工具，加固Linux系統(tǒng)安全。

1 Linux與其它操作系統(tǒng)的比較

Linux是類(lèi)UNIX系統(tǒng)，其安全模型及實(shí)現(xiàn)本質(zhì)與UNIX相同。Linux是完全多用戶(hù)操作系統(tǒng)，核心區(qū)域與用戶(hù)區(qū)域嚴(yán)格區(qū)分，在架構(gòu)中采用了“最少特權(quán)”概念，具有以角色為基礎(chǔ)的接近權(quán)控制，用戶(hù)只能使用系統(tǒng)中他們需要的那部分資源。Windows用戶(hù)程序和操作系統(tǒng)的核心集成在一起，某些第三方應(yīng)用軟件需要管理員權(quán)限才能正確運(yùn)行，通過(guò)應(yīng)用軟件發(fā)起的攻擊很可能直接取得管理員權(quán)限；Linux嚴(yán)格區(qū)分root和其它用戶(hù)，應(yīng)用軟件無(wú)需特權(quán)權(quán)限即可正常運(yùn)行，通過(guò)應(yīng)用軟件攻擊系統(tǒng)直接獲得管理員權(quán)限的可能性很小。微軟每個(gè)月的第二個(gè)星期二發(fā)布Windows操作系統(tǒng)和其他應(yīng)用軟件的補(bǔ)丁程序；由于開(kāi)源，Linux系統(tǒng)無(wú)休止地接受各方面的研究和改進(jìn)，使安全漏洞更容易暴露，發(fā)現(xiàn)的漏洞能及時(shí)得到透徹的研究和修補(bǔ)，并把補(bǔ)丁程序發(fā)布給用戶(hù)，基本上達(dá)到實(shí)時(shí)解決。比起Windows“以隱匿求安全”，Linux“以透明求安全”更為安全。

2 Linux的安全體系

Linux的核心安全機(jī)制是身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)三部分。一個(gè)新的安全機(jī)制，最先以第三方軟件或補(bǔ)丁的形式進(jìn)入Linux系統(tǒng)，經(jīng)過(guò)廣泛深入地測(cè)試，如果確認(rèn)很優(yōu)秀，就會(huì)被收集到某個(gè)發(fā)行版甚至內(nèi)核之中，這種遴選機(jī)制使Linux安全之樹(shù)常青。Linux不缺安全工具，難題是在眾多的安全工具中做選擇和正確配置。

Linux安全體系的結(jié)構(gòu)性變革是在2.6及以后版本的內(nèi)核集成Linux安全框架(Linux security module，LSM)，為授權(quán)與訪問(wèn)控制提供統(tǒng)一管理的方法。LSM本身不提供任何安全策略，只為各種安全策略提供通用框架，用戶(hù)根據(jù)自己的需求選擇安全策略以安全模塊的形式加載到內(nèi)核上實(shí)現(xiàn)。LSM的安全域設(shè)計(jì)使第一個(gè)安全模塊以主模塊身份加載到LSM，起管理和綜合作用，其余安全模塊作為從屬通過(guò)主安全模塊加載到LSM。LSM不具有任何的決策綜合能力，當(dāng)有多個(gè)安全機(jī)制共同協(xié)調(diào)工作時(shí)，多個(gè)安全模塊的決策結(jié)果由主模塊綜合后實(shí)施。

Linux系統(tǒng)安全大幅度提升的另一個(gè)因素是SELinux安全機(jī)制。SELinux是內(nèi)核級(jí)的模塊，基于域和類(lèi)型增強(qiáng)(DTE)實(shí)現(xiàn)基于角色的訪問(wèn)控制，通過(guò)LSM框架合并到內(nèi)核中。SELinux使用Linux本身文件系統(tǒng)來(lái)管理可執(zhí)行程序，只有當(dāng)標(biāo)準(zhǔn)Linux訪問(wèn)檢查成功后SELinux才會(huì)生效。正確配置SELinux可使Linux的安全級(jí)別從自主訪問(wèn)控制(DAC)提高到強(qiáng)制訪問(wèn)控制(MAC)的B1級(jí)[3]。

3 Linux安全配置

3.1 配置原則

應(yīng)用需求的多樣性，決定配置的復(fù)雜性，Linux安全配置應(yīng)遵循以下原則：

（1）使用最新的穩(wěn)定版內(nèi)核。

（2）關(guān)閉所有不需要的服務(wù)和程序。

（3）及時(shí)修補(bǔ)系統(tǒng)和服務(wù)漏洞。

（4）使用安全的服務(wù)器。可以使用現(xiàn)代虛擬技術(shù)，做到一機(jī)一服務(wù)。

（5）盡量少用root登錄。.

3.2 安全配置

以下從12個(gè)方面討論Linux系統(tǒng)安全配置。

（1）防止物理接觸攻擊，設(shè)置BIOS密碼和屏幕保護(hù)口令，禁止U盤(pán)和光盤(pán)啟動(dòng)。

（2）確認(rèn)啟用棧上數(shù)據(jù)不可執(zhí)行：sysctl -w kernel.exec-shield=1；地址空間隨機(jī)化：sysctl -w kernel.randomize_va_space=2等內(nèi)存保護(hù)，防緩沖區(qū)溢出攻擊。

（3）系統(tǒng)和應(yīng)用安裝配置完成后，從黑客視角做一次強(qiáng)力的滲透測(cè)試并修補(bǔ)。對(duì)黑客的目標(biāo)目錄和文件建立數(shù)字指紋，生成文件完整性數(shù)據(jù)庫(kù)，定期進(jìn)行文件完整性檢查。常用工具有md5sum、tripwire、AIDE、MD5DEEP等，后者能對(duì)整個(gè)文件系統(tǒng)遞歸驗(yàn)證。

（4）禁用或刪除無(wú)用賬號(hào)、空口令賬號(hào)和非root但UID為零的賬號(hào)，用密碼策略強(qiáng)制密碼達(dá)到要求強(qiáng)度，配置PAM限定登錄次數(shù)預(yù)防無(wú)休止的登錄攻擊，嘗試登錄連續(xù)失敗次數(shù)超過(guò)預(yù)定次數(shù)時(shí)賬戶(hù)將被鎖定。配置root只能從控制臺(tái)登錄，如果確實(shí)需要從網(wǎng)絡(luò)登錄，用ssh+認(rèn)證密鑰文件登錄。

（5）定期檢查有SUID、SGID特性的程序和SBIT特性的目錄，消除本地提權(quán)攻擊入口。精心設(shè)置i,s等特殊權(quán)限。使用Wheel組，限制su范圍。謹(jǐn)慎配置/etc/sudoers文件，限制sudo用戶(hù)。

（6）環(huán)境變量越少越安全，環(huán)境變量中不要使用通配符，PATH路徑要精心設(shè)計(jì)。

（7）各項(xiàng)服務(wù)盡量使用chroot機(jī)制安裝，使用證書(shū)驗(yàn)證身份。

（8）Linux訪問(wèn)控制粒度太粗，只有所有者、組和其他人三個(gè)層，安裝訪問(wèn)控制列表程序包（Access Control List，ACL），在/etc/fstab文件中配置磁盤(pán)分區(qū)支持ACL，為重點(diǎn)目標(biāo)設(shè)置ACL權(quán)限細(xì)化。

（9）用命令setsebool精確設(shè)置SELinux，如果一定要關(guān)閉SELinux，在/etc/selinux/config中設(shè)置SELINUX=permissive，使SELinux在通過(guò)不符合策略的行為時(shí)，能繼續(xù)發(fā)出警告，并保持變動(dòng)的文件標(biāo)簽標(biāo)志正確。

（10）配置Netfilter防火墻只允許需要的IP地址和端口通過(guò)。使用防火墻結(jié)合端口碰撞技術(shù)隱藏重要服務(wù)器[4]。安裝使用Linux入侵檢測(cè)系統(tǒng)(LIDS)或Linux惡意軟件檢測(cè)工具（Linux Malware Detect，LMD）可以檢測(cè)和阻止已經(jīng)穿透了防火墻的大部分攻擊。

（11）Linux盡管穩(wěn)定可靠，但高危漏洞時(shí)有發(fā)現(xiàn)，美國(guó)國(guó)家漏洞庫(kù)(NVD)于2018年1月16日發(fā)布的CVE-2018-5703，是內(nèi)核中IPV6堆棧組件漏洞，危險(xiǎn)指數(shù)高達(dá)10分，攻擊復(fù)雜度低，無(wú)需身份認(rèn)證，無(wú)需內(nèi)網(wǎng)或本地訪問(wèn)權(quán)，能導(dǎo)致完全的信息泄露、系統(tǒng)完整性完全破壞和特權(quán)提升。安裝nessus并及時(shí)更新，可以查補(bǔ)最新漏洞，應(yīng)對(duì)此類(lèi)威脅。

（12）Linux使用日志系統(tǒng)和auditd程序組進(jìn)行審計(jì)，設(shè)置日志文件對(duì)所有用戶(hù)不能讀寫(xiě)，不能刪除，只能追加。注意防止日志因拒絕服務(wù)攻擊填滿(mǎn)，不能記錄隨之而來(lái)的真正攻擊。使用aureport生成簡(jiǎn)要報(bào)告，使用ausearch查看審計(jì)報(bào)告，盡早發(fā)現(xiàn)系統(tǒng)異常。

4 結(jié)束語(yǔ)

配置的便利性和安全性不可同時(shí)滿(mǎn)足。Linux訪問(wèn)控制粒度太粗，root用戶(hù)權(quán)限太大，在配置方便的同時(shí)也留下了眾多隱患，為消除這些隱患又開(kāi)發(fā)了眾多的安全機(jī)制，重復(fù)安裝功能重疊的組件不但降低效率，而且會(huì)引入漏洞。如何將安全組件本身精簡(jiǎn)到夠用并正確配置是本文的目標(biāo)。

[1]http://www.zycg.gov.cn/rjcg/software_product_more_basics/2741.

[2]http://www.cac.gov.cn/2018-05/30/c_1122910613.htm.

[3]管華，崔家源.基于SELinux的強(qiáng)制訪問(wèn)控制機(jī)制分析與研究[J].數(shù)字技術(shù)與應(yīng)用，2016.

[4]Chris.Binnie著，田洪譯.服務(wù)器安全攻防[M].清華大學(xué)出版社，2017.