田子蘭

摘要：Linux為唯一開(kāi)放源代碼的免費(fèi)正版軟件，其網(wǎng)絡(luò)服務(wù)功能良好，和其他微軟操作系統(tǒng)相比，穩(wěn)定性、靈活性、安全性更好，使用Linux作為web網(wǎng)絡(luò)服務(wù)器中小企業(yè)不斷增加。在l-inux系統(tǒng)被廣泛應(yīng)用到Intemet中，黑客攻擊、網(wǎng)絡(luò)病毒屬于服務(wù)器信息安全主要威脅。本文分析Linu～系統(tǒng)的安全機(jī)制，并且研究所存在的安全隱患，實(shí)現(xiàn)針對(duì)性安全對(duì)策與保護(hù)措施的制定。

關(guān)鍵詞：Linux系統(tǒng);系統(tǒng)安全;防火墻

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）30-0029-02

Linux和mac系統(tǒng)、Windows系統(tǒng)稱之為三大操作系統(tǒng)，和其他操作系統(tǒng)一樣，其也具有安全隱患。在其比廣泛應(yīng)用到全世界范圍中，對(duì)于其的攻擊也在不斷增加，安全事件也在不斷提高，形勢(shì)與越來(lái)越嚴(yán)峻。要想在技術(shù)不斷發(fā)展、紛繁蕪雜的網(wǎng)絡(luò)環(huán)境中，對(duì)Linux系統(tǒng)的安全性進(jìn)行保證，就要做好事前預(yù)防和事后恢復(fù)工作。在對(duì)Linux安全保證的過(guò)程中，業(yè)界經(jīng)歷多年積累，通過(guò)系統(tǒng)管理到網(wǎng)絡(luò)管理方面都具有成熟經(jīng)驗(yàn)?zāi)軌蚪梃b%

1Linux系統(tǒng)可能會(huì)受到的攻擊

此攻擊不僅會(huì)出現(xiàn)在Linux系統(tǒng)中，還會(huì)出現(xiàn)在其他操作系統(tǒng)中，部分管理人員都具有此種經(jīng)驗(yàn)，方法方法也都大致相同：

其一，拒絕服務(wù)攻擊。非法登錄人員利用偽造源地址或者受控其他地方多臺(tái)計(jì)算機(jī)同時(shí)對(duì)目標(biāo)計(jì)算機(jī)發(fā)送大量連續(xù)IP請(qǐng)求，導(dǎo)致目標(biāo)服務(wù)器系統(tǒng)癱瘓。防范方法可以使用防火墻系統(tǒng)，在防火墻中運(yùn)行端口映射程序與掃描程序。大部分攻擊事件是因?yàn)榉阑饓ε渲貌划?dāng)導(dǎo)致的，提高DoS/DDoS的攻擊成功率，以此就要對(duì)特權(quán)端口與非特權(quán)端口認(rèn)真的檢查;

其二，欺騙用戶攻擊。網(wǎng)絡(luò)黑客裝扮成專業(yè)的技術(shù)工程人員將呼叫信息發(fā)送給系統(tǒng)用戶，并且要求用戶輸人口令，如果用戶將正確的口令輸入導(dǎo)致口令失密，黑客就能夠通過(guò)此用戶賬號(hào)進(jìn)入到系統(tǒng)中。用戶要時(shí)刻的提防，創(chuàng)建心中防線，從而防范此種攻擊;

其三，掃描程序攻擊。網(wǎng)絡(luò)中部分非法人侵就是通過(guò)各種掃描工具尋找目標(biāo)主機(jī)中的漏洞，掃描攻擊也能夠直接攻擊系統(tǒng)，導(dǎo)致系統(tǒng)崩潰或者重要的信息丟失。網(wǎng)絡(luò)管理人員要經(jīng)常使用網(wǎng)絡(luò)漏洞掃描工具對(duì)系統(tǒng)進(jìn)行掃描，檢查漏洞過(guò)程中及時(shí)利用補(bǔ)丁程序與相應(yīng)工具補(bǔ)上漏洞嘲。

2Linux系統(tǒng)的安全機(jī)制

Linux屬于開(kāi)放式的系統(tǒng)，其能夠通過(guò)網(wǎng)絡(luò)尋找大量工具與程序，不僅方便用戶，還方便黑客潛人到Linux系統(tǒng)中、盜取Linux系統(tǒng)中重要的信息。以此分析系統(tǒng)安全機(jī)制，尋找其中的安全隱患，給出相應(yīng)保護(hù)措施與安全策略。Linux系統(tǒng)使用多種安全機(jī)制措施，部分是通過(guò)補(bǔ)丁方式發(fā)布，以下對(duì)Linux系統(tǒng)安全機(jī)制進(jìn)行分析：

其一，PAM機(jī)制。插件式鑒別模塊（PAMI）機(jī)制為使用靈活并且具有強(qiáng)大功能的用戶鑒別機(jī)制，利用模塊化設(shè)計(jì)和插件功能，將全新鑒別模塊插入到應(yīng)用程序中，不需要修改應(yīng)用程序，以此便于軟件維持、定制、升級(jí)，應(yīng)用程序利用PAM API便于使用其中鑒別功能。PAM API能夠承上啟下，連接程序和鑒別模塊。在應(yīng)用程序?qū)AM API鑒別的時(shí)候，應(yīng)用接口層根據(jù)配置文件pam.conf規(guī)定對(duì)相應(yīng)鑒別模塊進(jìn)行加載。以后請(qǐng)求傳遞底層鑒別模塊，實(shí)現(xiàn)具體鑒別操作的執(zhí)行。在執(zhí)行鑒別模型操作后，使結(jié)果返回到應(yīng)用接口層中，利用接口層中的配置情況，在應(yīng)用程序中返回應(yīng)答。圖1為工作原理。

Pam.conf配置文件也在應(yīng)用接口層中存儲(chǔ)，和PAM API結(jié)合使用，以此能夠在應(yīng)用過(guò)程中靈活的插入需要鑒別的模塊。其主要作用就是為應(yīng)用程序選擇具體鑒別模塊，模塊之間組合和規(guī)定模塊行為。

其二，加密文件系統(tǒng)。加密文件系統(tǒng)屬于有效數(shù)據(jù)加密存儲(chǔ)技術(shù)，備受人們的重視，其能夠避免非法人侵人員竊取用戶機(jī)密數(shù)據(jù)。其次，在多個(gè)用戶共享一個(gè)系統(tǒng)時(shí)，能夠?qū)τ脩羲接袛?shù)據(jù)進(jìn)行保護(hù)。加密文件系統(tǒng)能夠在文件系統(tǒng)中引入加密服務(wù)器，使計(jì)算機(jī)系統(tǒng)安全得到提高。

其三，防火墻。Linux防火墻具有身份驗(yàn)證、抗攻擊、審計(jì)與訪問(wèn)控制等功能，正確設(shè)置防火墻能夠使系統(tǒng)安全性得到提高。

3Linux系統(tǒng)的安全部署

3.1用戶權(quán)限配置

用戶權(quán)限配置是利用具體設(shè)置提高或者降低用戶進(jìn)入到系統(tǒng)的權(quán)限，具體通過(guò)以下方面配置：

其一，假如linux系統(tǒng)具有大量用戶，就要實(shí)現(xiàn)不同用戶的分配與分組，在用戶長(zhǎng)時(shí)間不使用或者對(duì)于系統(tǒng)自身具有危害的時(shí)候，就要考慮用用戶的刪除與屏蔽。大部分用戶對(duì)于linux系統(tǒng)自身構(gòu)成不安全因素，以此就要對(duì)用戶進(jìn)行刪除與屏蔽提高系統(tǒng)安全性。

命令：userdel用戶組

Groupdel用戶組名

其二，在用戶登錄到linux系統(tǒng)的時(shí)候，為了使系統(tǒng)安全性得到提高，會(huì)在登錄系統(tǒng)的時(shí)候?qū)⒚艽a輸入，但是部分用戶所設(shè)置密碼比較簡(jiǎn)單，或者使用自己生日與身份證號(hào)碼作為密碼，破解起來(lái)比較容易。以此，為了使系統(tǒng)安全性得到提高，要在linux系統(tǒng)中強(qiáng)制性的要求用戶密碼長(zhǎng)度大于8位，還是數(shù)字、大小寫字母的組合。

vi.etc.login.defs

命令：PASS_MAX_DAYS 60

PASS_MIN_LENGTH 8

其三，在用戶使用系統(tǒng)的時(shí)候，就因?yàn)橛惺轮型倦x開(kāi)，或者忘記注銷，在這段時(shí)間會(huì)受到系統(tǒng)侵入，威脅到用戶系統(tǒng)，以此就要在系統(tǒng)中設(shè)置用戶，在某段時(shí)間沒(méi)有操作就使用強(qiáng)制注銷命令，利用強(qiáng)制注銷對(duì)用戶自身數(shù)據(jù)與資料安全性進(jìn)行保證。

命令：Vi.etc.profile

TMOUT=300

其四，部分用戶為了方便沒(méi)有設(shè)置密碼，就會(huì)使用戶系統(tǒng)被侵犯與盜取信息可能性得到增加。以此，系統(tǒng)要對(duì)是否具有空密碼用戶進(jìn)行定時(shí)的檢測(cè)，假如存在就要強(qiáng)行更改密碼，直接刪除不正常的黑名單用戶。

命令：gawk-F"，”（S=2{print sl}.etc.shadow

其五，系統(tǒng)中具有root特權(quán)用戶，能夠更改系統(tǒng)權(quán)限，對(duì)除了特權(quán)用戶之外是否還有其他用戶定期的檢測(cè)。一般，一個(gè)hnux系統(tǒng)只需要一個(gè)root特權(quán)用戶，假如還具有其他特權(quán)用戶，就要通過(guò)降權(quán)或者刪除的方法對(duì)系統(tǒng)安全性保證。

命令：gawk-F”：”（S=3S！1="root"）{printsl}etc.password

3.2取消不必要網(wǎng)絡(luò)服務(wù)

在創(chuàng)建服務(wù)器的時(shí)候，所創(chuàng)建系統(tǒng)要盡可能高效、快速地實(shí)現(xiàn)預(yù)期功能。一般，除了smtp、http、ftp等，要取消其他服務(wù)，比如簡(jiǎn)單文件傳輸協(xié)議、網(wǎng)絡(luò)郵件存儲(chǔ)和接受使用的差u傳輸協(xié)議等，從而使系統(tǒng)安全性得到提高。

Redhat7.0之后linux中大部分TCP后者UDP服務(wù)器都是通過(guò)/etc/xinetd.conf文件中設(shè)置，將不必要服務(wù)器取消的第一步就是對(duì)此文件進(jìn)行檢查。但是，具體將哪些服務(wù)取消并不能夠一概而論，要以實(shí)際情況決定，但是系統(tǒng)管理人員要心中有數(shù)，如果出現(xiàn)系統(tǒng)問(wèn)題，要能夠有步驟的查漏補(bǔ)救。

3.3對(duì)系統(tǒng)核心更新

Linux屬于優(yōu)秀開(kāi)源軟件，具有良好的安全性、穩(wěn)定性、可用性，世界linux高手對(duì)此產(chǎn)品進(jìn)行維護(hù)，所以具有比較多的流通渠道，經(jīng)常有更新程序與系統(tǒng)補(bǔ)丁出現(xiàn)。所以，為了使系統(tǒng)安全得到加強(qiáng)，就要對(duì)系統(tǒng)內(nèi)核進(jìn)行更新。內(nèi)核為linux操作系統(tǒng)核心，其位于內(nèi)存中，對(duì)操作系統(tǒng)其他部位進(jìn)行加載。因?yàn)閮?nèi)核對(duì)計(jì)算機(jī)與網(wǎng)絡(luò)功能進(jìn)行控制，所以其安全陛對(duì)于系統(tǒng)具有重要的安全。

在Internet中具有最新安全修補(bǔ)程序，linux系統(tǒng)管理人員要消息靈通，時(shí)常觀看安全新聞組，對(duì)全新修補(bǔ)程序進(jìn)行查閱。一般，用戶能夠利用hnux中權(quán)威網(wǎng)站與論壇盡快得到和系統(tǒng)相關(guān)新技術(shù)和新系統(tǒng)漏洞信息，從而能夠防患于未然。對(duì)系統(tǒng)最新核心及時(shí)的更新，并且打上安全補(bǔ)丁，對(duì)linux系統(tǒng)的安全進(jìn)行保證。

3.4網(wǎng)頁(yè)防篡改的部署

業(yè)務(wù)系統(tǒng)web網(wǎng)站屬于攻擊主要目標(biāo)，目前一般使用的網(wǎng)站防篡改方法為通過(guò)業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)自動(dòng)恢復(fù)與防篡改或者部署專業(yè)的防篡改軟件，避免篡改網(wǎng)站頁(yè)面。另外，為了促進(jìn)業(yè)務(wù)信息系統(tǒng)穩(wěn)定的運(yùn)行，避免系統(tǒng)出現(xiàn)死角，公司通過(guò)編制shell腳本，簡(jiǎn)單的防護(hù)Linux操作系統(tǒng)web網(wǎng)站。通過(guò)chattr+i命令設(shè)置web網(wǎng)站文件與文件夾的屬性，使原本的網(wǎng)頁(yè)頁(yè)面內(nèi)容不會(huì)因?yàn)槲词跈?quán)攻擊出現(xiàn)變化，對(duì)于不安全新增頁(yè)面及時(shí)的刪除，自動(dòng)恢復(fù)改寫網(wǎng)頁(yè)頁(yè)面。通過(guò)shell腳本實(shí)現(xiàn)自動(dòng)監(jiān)控，使網(wǎng)頁(yè)防篡改功能得到實(shí)現(xiàn)，公司在基于業(yè)務(wù)系統(tǒng)穩(wěn)定的開(kāi)展中實(shí)現(xiàn)安全防護(hù)。

4結(jié)束語(yǔ)

信息安全為信息化建設(shè)過(guò)程中的主要內(nèi)容，其主要包括技術(shù)、管理、運(yùn)維、使用等方面的內(nèi)容。其不僅為系統(tǒng)自身問(wèn)題，還是物理、邏輯等問(wèn)題。在現(xiàn)代信息化建設(shè)過(guò)程中，要重視業(yè)務(wù)信息系統(tǒng)的安全威脅管理，以此實(shí)現(xiàn)信息系統(tǒng)建設(shè)、科研、運(yùn)維、設(shè)計(jì)等安全管理，提供給信息系統(tǒng)良好安全服務(wù)，降低信息安全威脅，此也是公司在對(duì)新世紀(jì)信息發(fā)展的主要需求。