李碩 車宇

（中國核動力研究設(shè)計院 四川省成都市 610041）

互聯(lián)網(wǎng)時代下，網(wǎng)站服務(wù)器的訪問量不斷增加，網(wǎng)站需要面對的安全風(fēng)險問題也不斷增大，人們對網(wǎng)絡(luò)服務(wù)安全性重視程度隨之提高。Linux 系統(tǒng)服務(wù)器的興起，為安全操作系統(tǒng)提出了一條全新的途徑，不僅能夠滿足安全運轉(zhuǎn)的基本需求，也能夠成為電子商務(wù)共享平臺。因此，需要加強對其的進行一步的研究。

1 網(wǎng)絡(luò)安全的發(fā)展現(xiàn)狀

在計算機網(wǎng)絡(luò)系統(tǒng)正常運行的過程中，非常容易遭受到一些攻擊，導(dǎo)致系統(tǒng)被破壞、信息被更改、資源被泄露。尤其是在互聯(lián)網(wǎng)時代下，保證網(wǎng)絡(luò)具備安全性、保密性、可用性、完整性、可審查性等內(nèi)容。Linux 系統(tǒng)服務(wù)器作為目前應(yīng)用較為廣泛的網(wǎng)絡(luò)操作系統(tǒng)，保證其網(wǎng)絡(luò)安全性非常重要。登錄認(rèn)證是現(xiàn)階段的重要環(huán)節(jié)，是保證網(wǎng)絡(luò)安全的關(guān)鍵屏障，但從實際上看，也是網(wǎng)絡(luò)安全性能最低的部分。文件系統(tǒng)是操作系統(tǒng)中至關(guān)重要的軟件結(jié)構(gòu)，負責(zé)文件的管理和存儲，也是最常被木馬和黑客所利用的區(qū)域。除此之外，Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全中經(jīng)常會出現(xiàn)漏洞和后門，這也是主要的攻擊目標(biāo)。只有基于搭建完成的系統(tǒng)落實安全策略、完善安全機制，才能夠真正保證服務(wù)器安全。因此，本文針對Linux 系統(tǒng)服務(wù)器的網(wǎng)絡(luò)安全機制展開分析，構(gòu)建一個具有較高應(yīng)用性能和安全可靠性的操作系統(tǒng)[1]。

2 Linux系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全防范的策略方式

Linux 系統(tǒng)服務(wù)器是近幾年來出現(xiàn)的一個全新的開放源代碼，想要全面保證網(wǎng)絡(luò)安全，抵抗黑客等外部攻擊，就要全面落實安全防范。常見的安全防范對策包括以下幾種：

（1）詳細設(shè)置內(nèi)部用戶權(quán)限。資源是Linux 系統(tǒng)服務(wù)器中的核心關(guān)鍵，在開設(shè)內(nèi)部用戶賬號時，要仔細設(shè)置用戶的權(quán)限。按照“最小權(quán)限”原則，給予每一個用戶特定的訪問權(quán)限，雖然會在一定程度上加重系統(tǒng)管理人員的管理工作，但也要堅持。

（2）確保用戶口令文件安全。對于Linux 系統(tǒng)服務(wù)器而言，口令是最為危險的地方，因此，確保用戶口令文件安全是極為重要的。除了基本的安全口令之外，要適當(dāng)增加口令的長度和復(fù)雜程度，最大程度降低口令危險。不僅如此，如果用戶口令出現(xiàn)問題，要立即要求客戶進行修改[2]。

（3）加強系統(tǒng)運行監(jiān)督控制。Linux 系統(tǒng)服務(wù)器在實際運行過程中，會產(chǎn)生大量的信息，對這些網(wǎng)絡(luò)系統(tǒng)運行狀況進行監(jiān)控，收集運行記錄數(shù)據(jù)，可以更好的掌握網(wǎng)絡(luò)運行狀況。比如：對過往記錄的運行數(shù)據(jù)進行分析，能夠可以發(fā)現(xiàn)網(wǎng)絡(luò)活動，從而有針對性的采取措施，在入侵的第一時間識別危險，避免同類型安全事故再次發(fā)生。

（4）合理劃分子網(wǎng)及防火墻。防火墻是網(wǎng)絡(luò)安全機制中最為最基礎(chǔ)的內(nèi)容，在Linux 系統(tǒng)服務(wù)器中也要合理劃分子網(wǎng)、設(shè)置防火墻，為后續(xù)的安全管理奠定基礎(chǔ)。根據(jù)應(yīng)用效果上看，這一方式可以有效延緩，甚至阻止黑客入侵。

（5）定期展開網(wǎng)絡(luò)安全檢查。Linux 系統(tǒng)服務(wù)器是動態(tài)化運轉(zhuǎn)的，相應(yīng)的網(wǎng)絡(luò)安全管理也應(yīng)該實現(xiàn)實時變化。Linux 系統(tǒng)運維人員在完成了相應(yīng)的安全機制設(shè)計后，要定期對系統(tǒng)展開安全檢查，并且有針對性的考察系統(tǒng)能力，發(fā)現(xiàn)系統(tǒng)中的漏洞，從而展開補救。

（6）全面落實數(shù)據(jù)備份工作。除了上述幾個方面之外，還可以全面落實數(shù)據(jù)備份工作，最大程度降低數(shù)據(jù)丟失帶來的危害。任何一個系統(tǒng)都無法做到完全安全，Linux 系統(tǒng)服務(wù)器也不例外，可以利用磁帶機、光盤刻錄機、雙機熱備份等技術(shù)進行數(shù)據(jù)備份。即使系統(tǒng)遭受破壞，也能夠通過備份的數(shù)據(jù)信息在短時間內(nèi)恢復(fù)正常工作，將損失降到最低。

3 Linux系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制的具體內(nèi)容

在Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制中主要可以分為三個部分，分別為：登錄認(rèn)證、文件系統(tǒng)、操作系統(tǒng)。

3.1 登錄認(rèn)證

對于Linux 系統(tǒng)服務(wù)器而言，其在實際應(yīng)用中，用戶名、密碼面臨著被暴力破解、泄露、丟失等方面的問題。在登錄認(rèn)證的過程中，只有賬戶和賬戶組被真正用于服務(wù)器管理階段，才能降低安全性風(fēng)險?，F(xiàn)如今，絕大部分Linux 系統(tǒng)中擁有多種不同的賬戶和賬戶組。這就需要在實際應(yīng)用過程中，重新建立賬戶和賬戶組，刪除不必要的賬戶和賬戶組。還需要注意的是，默認(rèn)賬戶和賬戶組非常容易被黑客利用想要提高系統(tǒng)安全性，如：adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers 等。在Linux 系統(tǒng)服務(wù)器在進行運維遠程工作時，還可以采用密碼認(rèn)證方式、密鑰認(rèn)證的方式，最大程度保證系統(tǒng)安全。綜合對比了兩種登錄方式的效果，最終采用了密鑰認(rèn)證方式，此種方式不僅節(jié)省了工時，也讓Linux系統(tǒng)服務(wù)器更加安全。除此之外，在實際應(yīng)用過程中，要對服務(wù)器進行全面的分析，包括具體調(diào)度策略。常見的調(diào)度策略有四種，分別為：輪轉(zhuǎn)調(diào)度、加權(quán)輪轉(zhuǎn)調(diào)度算法、最小連接調(diào)度、加權(quán)最小連接算法。比如：Linux 系統(tǒng)服務(wù)器實現(xiàn)了三層負載均衡技術(shù)，最大程度保證所有調(diào)度工作可以在操作系統(tǒng)核心空間內(nèi)部完成，降低調(diào)度開銷的同時，切實提高文件的安全性[3]。

3.2 文件系統(tǒng)

文件系統(tǒng)的網(wǎng)絡(luò)安全機制可以分為兩個方面，分別為：文件系統(tǒng)安全性以及文件權(quán)限檢查和修改。對于Linux 系統(tǒng)服務(wù)器而言，運維人員可以利用chattr 命令改變文件或者目錄屬性，以此提高操作系統(tǒng)整體的安全性。比如：在升級軟件的過程中，可能會出現(xiàn)一些都無法取消的文件或者目錄，可以在軟件安裝、升級的過程中，使用chattr 命令改變文件或目錄屬性，以此保證日志輪換操作正常進行。但需要注意的是，在實際應(yīng)用的過程中，需要結(jié)合Linux 系統(tǒng)服務(wù)器實際情況，建立切實可行的文件和目錄屬性。從實際應(yīng)用效果上看，chattr 命令在Linux 系統(tǒng)服務(wù)器中可以提高文件安全性，但是該技術(shù)在實際操作過程中并不能全部適用，一些目錄無法被這一命令保護。比如：根目錄在實際應(yīng)用過程中，不能夠具有不可修改屬性，否則會對整個系統(tǒng)造成影響。因此，在Linux 系統(tǒng)服務(wù)器應(yīng)用安全性設(shè)置的過程中，要辯證的選擇重要性的文件進行保護，一些無法適用的文件目錄則通過其他方式進行保護。在Linux 系統(tǒng)服務(wù)器中保存著大量的文件，這些文件的權(quán)限直接影響著服務(wù)器的安全性，必須要情況下，要對文件的權(quán)限進行適當(dāng)修正，以此保證服務(wù)器安全。比如：服務(wù)器運維人員先要了解具有寫權(quán)限的文件和目錄，同時確定含有“s”位程序，此類型可執(zhí)行文件對服務(wù)器安全具有一定的負面影響，必須要提前進行確認(rèn)。而后還要進一步檢查服務(wù)器中的SUID 和SGID，確定特殊權(quán)限具體的文件訪問控制列表，借此提高服務(wù)器安全性。

3.3 操作系統(tǒng)

操作系統(tǒng)中非常容易出現(xiàn)后門、漏洞，一旦被木馬和黑客利用，就會對操作系統(tǒng)的安全運行帶來極大威脅，因此，必須要及時對后門和漏洞進行修補。對于正版操作系統(tǒng)而言，軟件廠商會定期對后門和漏洞提供補丁程序，完成修補。因此，作為Linux 系統(tǒng)服務(wù)器的運維人員只需要在實際發(fā)展過程中對服務(wù)器的系統(tǒng)進行修補，保證操作系統(tǒng)的安裝。

4 Linux系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制的輔助內(nèi)容

在完成Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制的基礎(chǔ)設(shè)置后，還需要進一步完善相應(yīng)輔助內(nèi)容，全方位保護操作系統(tǒng)安全。

4.1 服務(wù)器監(jiān)督控制

監(jiān)督控制的主要作用在于實現(xiàn)對服務(wù)器的動態(tài)化管理，確保工作人員可以在第一時間了解服務(wù)器的工作狀態(tài)?，F(xiàn)如今，市面上很多開源軟件和付費軟件都提供了最基本的服務(wù)器監(jiān)控功能，借助軟件可以對在服務(wù)器的運行軟件實現(xiàn)智能化分析，如：服務(wù)器報表、曲線圖、報警等。在設(shè)計Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制的過程中，可以結(jié)合軟件的實際情況，有針對性的選擇監(jiān)控軟件。以Cockpit管理軟件為例，作為一款基于Web 的服務(wù)器監(jiān)控管理工具。在實際應(yīng)用過程中，可以以峰值圖的方式給運維人員展現(xiàn)出當(dāng)前的運行狀況，并且保存相應(yīng)的日志信息、服務(wù)信息、賬戶信息，為后續(xù)的研究奠定基礎(chǔ)。此外，在Linux系統(tǒng)服務(wù)器中也擁有很多監(jiān)控服務(wù)器，最常見的命令包括：命令top 和vmstat，前者可以監(jiān)控CPU 運行狀態(tài)，后者則可以的獲取服務(wù)器的內(nèi)存、進程、內(nèi)存分頁等信息。綜合來看，在開展服務(wù)器監(jiān)督控制的過程中?？梢詫⑼獠勘O(jiān)控軟件和內(nèi)部操作系統(tǒng)命令進行充分融合使用，可以及時處理服務(wù)器運行過程中可能出現(xiàn)的故障和安全事故。

4.2 服務(wù)器遠程維護

一般情況下，服務(wù)器都會被存放在專用機房中，因此日常運維都會采用遠程方式實現(xiàn)。在運維過程中，考慮到網(wǎng)絡(luò)安全性，并不對外網(wǎng)進行遠程維護，在進行內(nèi)網(wǎng)維護的過程中，可以隨機選擇一臺內(nèi)網(wǎng)PC 機作為維護用機，展開服務(wù)器維護工作。比如：可以采用從外網(wǎng)對內(nèi)網(wǎng)進行維護的方式，以此將服務(wù)器和外網(wǎng)隔離開來，從最大程度保證服務(wù)器網(wǎng)絡(luò)安全。TeamViewer 作為一種遠程控制軟件，可以用于外網(wǎng)連通內(nèi)網(wǎng)維護使用。確定安全策略后，還要選擇遠程登錄方式。Telnet 是早前較為常見的遠程登錄方式，但是在登陸時用明文傳輸口令和數(shù)據(jù)，安全性較低，非常容易被黑客利用，攻擊服務(wù)器。目前，保密性、安全性較高的登錄方式中，SSH 服務(wù)方式較為常見，對于Linux 系統(tǒng)服務(wù)器而言，會采用SecureCRT、putty、Xshell 等工具軟件，這些軟件的密鑰認(rèn)證方式都是基于SSH服務(wù)方式實現(xiàn)的。根據(jù)前文分析可知，防火墻是目前最為常見的安全屏障，是服務(wù)器的第一道關(guān)卡，可以有效防止非法訪問的侵入。比如：美國國家安全局就是利用SELinux 實現(xiàn)的強制訪問控制，這也是Linux 系統(tǒng)服務(wù)器中最為接觸的安全子系統(tǒng)。綜合SELinux 和防火墻這兩種功能，可以有效阻止惡意攻擊，能夠保護服務(wù)器不受攻擊和破壞，繼而保證服務(wù)器安全。除了上述內(nèi)容之外，Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制中，合理使用SU、SUDO 命令也是較為常見的一種措施。其中，SUDO 命令需要進行授權(quán)認(rèn)證，因此，對于超級用戶而言，root 較為安全。

5 Linux系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制的配置實例

通過前文分析，對Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全機制有了全面的了解，在此基礎(chǔ)上，通過具體案例，進一步介紹安全機制的配置情況。

某網(wǎng)站的文件中包含了一個名為/popgame 的目錄，且該目錄開放給網(wǎng)絡(luò)文件系統(tǒng)的每一個客戶機，目錄中的文件可以被下載共享。已知，該Linux 系統(tǒng)服務(wù)器IP 地址為：202.168.10.8。那么想要保證該Linux 系統(tǒng)服務(wù)器的網(wǎng)絡(luò)安全，就要對其進行配置，具體的配置流程如下：

最為主要的任務(wù)就是，編寫服務(wù)器端的/etc/exports 文件。該目錄最大的權(quán)限只有共享、下載這兩個方面，不具備創(chuàng)建目錄、修改文件等功能，如果在編寫過程中，提供了這些功能，可能會出現(xiàn)極大的安全隱患。因此，在編寫時不能對原文件上已經(jīng)有的內(nèi)容進行修改，只需要將保護性、安全性內(nèi)容加入其中。避免在完成安全性配置的同時對其他系統(tǒng)配置造成負面影響，導(dǎo)致文件系統(tǒng)的安全性不增反降。最終編寫完成的內(nèi)容為：

202.168.10 .8:/popgame /mnt/game nfs ro 0 0

借助這一編碼，客戶機用戶就可以通過訪問本地目錄的方式，來共享原目錄中的文件。與此同時，還需要進一步完成后續(xù)配置工作，確保每一臺客戶機上都具備Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全配置。需要注意的是，如果想要在客戶機上掛接Linux 系統(tǒng)服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)，需要先關(guān)閉客戶機上的防火墻，在完成安全操作系統(tǒng)的安裝后，就能夠放心的使用網(wǎng)絡(luò)資源[4]。

6 總結(jié)

綜上所述，在研究Linux 系統(tǒng)服務(wù)器以及網(wǎng)絡(luò)文件的安全性問題時，需要從實際出發(fā)，科學(xué)的完成安全性配置。從網(wǎng)絡(luò)發(fā)展現(xiàn)狀來看，網(wǎng)絡(luò)中的安全問題始終存在，而文件的安全性保障是重中之重。相比較傳統(tǒng)操作系統(tǒng)而言，Linux 系統(tǒng)安全性和整體性都相對較高，基于此進一步構(gòu)建安全操作系統(tǒng)可以讓網(wǎng)絡(luò)資源得到真正保護。