Linux系統(tǒng)安全策略研究

李 萍

（1. 中國(guó)海洋大學(xué)，山東 青島 266100；2. 壽光市安監(jiān)局，山東 壽光 262700）

Linux系統(tǒng)安全策略研究

李 萍1，2

（1. 中國(guó)海洋大學(xué)，山東 青島 266100；2. 壽光市安監(jiān)局，山東 壽光 262700）

文章對(duì)Linux系統(tǒng)當(dāng)前的安全現(xiàn)狀進(jìn)行了分析，在文件管理、KLW包層技術(shù)及禁止系統(tǒng)對(duì)ping命令等方面提出了Linux系統(tǒng)安全管理策略，進(jìn)一步提高了Linux系統(tǒng)安全。

Linux；LSM；KLW包層技術(shù)

1 引言

Linux自1991年問世以來，其多用戶、多進(jìn)程、多線程、實(shí)時(shí)性較好且功能強(qiáng)大而穩(wěn)定的特點(diǎn)得到世界程序愛好者的青睞，在高端的服務(wù)器市場(chǎng)占有很大份額，隨著Linux的廣泛應(yīng)用和網(wǎng)絡(luò)技術(shù)的發(fā)展，如何保證Linux系統(tǒng)的安全將變得非常重要。

2 Linux系統(tǒng)安全現(xiàn)狀及其重要性

Linux操作系統(tǒng)由于其出色的性能和穩(wěn)定性，在操作系統(tǒng)市場(chǎng)已擁有了大批的用戶。并且由于Linux內(nèi)核源代碼的開放性，為操作系統(tǒng)的研究帶來了極大的方便和靈活。然而，從Linux誕生起，在安全性方面，Linux內(nèi)核只提供了自主訪問控制（DAC）、標(biāo)識(shí)與識(shí)別、POSIX.1e的capabilities機(jī)制以及一些日志功能。2001年，在Linux內(nèi)核峰會(huì)上，Linux安全模塊（Linux security module，LSM）應(yīng)運(yùn)而生。基于最新版本的內(nèi)核提供以下安全機(jī)制：①身份驗(yàn)證：作為L(zhǎng)inux系統(tǒng)的第一道防線，Linux為合法用戶提供帳號(hào)，并允許為用戶帳號(hào)設(shè)置安全等級(jí)；②訪問控制：對(duì)文件的訪問使用了文件存取許可機(jī)制；③日志：提供日志文件來記錄整個(gè)操作系統(tǒng)的使用狀況，如用戶登錄、用戶切換、權(quán)限改變等，管理員可以通過察看這些日志文件，來對(duì)系統(tǒng)進(jìn)行維護(hù)；④加密文件：提供多種附加工具來加密數(shù)據(jù)；⑤文件系統(tǒng)：在目錄結(jié)構(gòu)上，先有目錄再有分區(qū)，它的各個(gè)文件系統(tǒng)可以很方便的掛載在系統(tǒng)中，或者從目錄結(jié)構(gòu)中卸載；⑥程序角色切換：程序從root用戶啟動(dòng)以后，通常需要切換到服務(wù)的軟件角色上，如Apache；⑦內(nèi)存管理：Linux系統(tǒng)采取內(nèi)存保護(hù)模式來執(zhí)行程序，避免了因一個(gè)程序執(zhí)行失敗而影響整個(gè)系統(tǒng)的運(yùn)行；⑧客體重用：客體重用是指當(dāng)主體（如用戶、進(jìn)程、I/O設(shè)備等）獲得對(duì)一個(gè)已經(jīng)釋放的客體（如內(nèi)存、外存儲(chǔ)設(shè)備等）的訪問權(quán)時(shí)，可以獲得原主體活動(dòng)所產(chǎn)生的信息；⑨防火墻：內(nèi)核中集成了 Netfilter/iptables系統(tǒng)，其中Netfilter負(fù)責(zé)將流經(jīng)系統(tǒng)IP協(xié)議棧的數(shù)據(jù)包提出來，并且定義了iptables中各個(gè)表和規(guī)則的數(shù)據(jù)結(jié)構(gòu)，以及各個(gè)操作，實(shí)現(xiàn)對(duì)iptables中數(shù)據(jù)包的要求；用戶可以通過注入模塊，調(diào)用Netfilter的接口函數(shù)創(chuàng)建新表，來實(shí)現(xiàn)所需的安全模塊。

3 Linux系統(tǒng)安全管理策略

3.1 文件管理

3.1.1 文件加密

將重要的文件進(jìn)行加密處理來加以保護(hù)。使用#gpg－gen－key產(chǎn)生密鑰對(duì)，將公鑰發(fā)布，以便其他用戶下載該公鑰加密發(fā)回文件，收到加密文件后，用配對(duì)的私鑰解密為明文。

3.1.2 文件的存放

為提高安全性，系統(tǒng)應(yīng)把不同的用戶目錄分離開來，每個(gè)用戶都有自己的主目錄和硬盤空間，這塊空間與系統(tǒng)區(qū)域、其他用戶空間分離開，這樣可以防止普通用戶的操作影響到整個(gè)文件系統(tǒng)。

3.1.3 文件和目錄的訪問權(quán)限

使用chown或chgrp命令正確設(shè)置文件的所有權(quán)或用戶組關(guān)系，使得文件的不同用戶（文件主、組用戶和其他用戶）只能對(duì)必須的文件具有的必須的訪問權(quán)限（讀、寫和可執(zhí)行），提高文件訪問的安全性。

3.1.4 SUID/SGID

具有SUID/SGID權(quán)限標(biāo)志的程序需要以root身份運(yùn)行，這是一個(gè)潛在的安全漏洞。因此，除了類似password程序必須具有root身份外，應(yīng)限制具有SUID/SGID權(quán)限標(biāo)志的程序數(shù)量。

3.2 KLW包層技術(shù)

目前被認(rèn)為最有前途的安全技術(shù)是一種被稱作包層（wrapper）的技術(shù)。該包層可以纏繞在操作系統(tǒng)內(nèi)核上，也可以纏繞在瀏覽器上、web服務(wù)器、應(yīng)用程序上。它以系統(tǒng)擴(kuò)展的方式增加安全性能，即可以滿足某些應(yīng)用程序的特定安全需求。當(dāng)包層嵌入到操作系統(tǒng)中時(shí)，也可以通過包層擴(kuò)展系統(tǒng)安全功能，如同給OS和應(yīng)用程序穿上防彈服一樣。在國(guó)外，如DARPA已投資開發(fā)用于開發(fā)包層軟件的包層定義語(yǔ)言。這樣一來，只要像編寫應(yīng)用程序一樣來編寫安全包層，就可以滿足不同的安全需要。

在 Liunx安全領(lǐng)域，有一種稱作 KLW（Kernel Loadable Wrapper）的包層技術(shù)，其設(shè)計(jì)思想主要是在內(nèi)核的包層通過截取系統(tǒng)調(diào)用，對(duì)系統(tǒng)調(diào)用進(jìn)行改造處理，以增加系統(tǒng)的安全功能。KLW有以下特點(diǎn)：①任何對(duì)操作系統(tǒng)的訪問都必須經(jīng)過KLW，不可旁路；②KLW對(duì)內(nèi)核代碼不進(jìn)行任何修改，KLW以模塊形式可以動(dòng)態(tài)裝入；③KLW可滿足不同的安全需要，而且可以跨操作系統(tǒng)平臺(tái)。

3.3 禁止系統(tǒng)對(duì)ping命令的反應(yīng)

禁止Linux系統(tǒng)對(duì)ping請(qǐng)求做出反應(yīng)，可將計(jì)算機(jī)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最小，因?yàn)闆]人能通過ping指令對(duì)所攻擊的服務(wù)器中獲取任何反應(yīng)。由于TCP協(xié)議本身有很多弱點(diǎn)，黑客可以利用一些技術(shù)，把傳輸正常數(shù)據(jù)包的通道用來偷偷地傳送數(shù)據(jù)。如果將系統(tǒng)設(shè)置對(duì)ping請(qǐng)求沒有反應(yīng)，就能很好的避免黑客利用其漏洞來攻擊你的機(jī)器。

4 結(jié)束語(yǔ)

盡管Linux被認(rèn)為是一個(gè)較為安全的服務(wù)器系統(tǒng)，但它仍然存在許多漏洞，只有不斷的完善安全防范措施，吸收先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，才能真正構(gòu)建安全的網(wǎng)絡(luò)平臺(tái)，才能更加有效的避免由于開放性所帶來的漏洞而引發(fā)的攻擊。

1 周昕、劉勇、沈配等.Linux安全性能改進(jìn)研究［J］.計(jì)算機(jī)工程，2001（10）：20～25

Linux System Security Strategy Research

Li ping

The article to the Linux system current security analysis of the current situation, in the file management, KLW packet layer technology and prohibited to ping command system is proposed as Linux system safety management strategy, further improve the Linux system security.

Linux;LSM;KLW packet layer technology

TP316.8

A

1000－8136（2011）33－0065－01