Linux操作系統(tǒng)安全性防護

程潔

摘要：隨著計算機科技技術的發(fā)展，我們越來越注重計算機安全，為了讓用戶對數(shù)據(jù)進行完整性操作、安全性操作、以及可用性操作，以下就Linux操作系統(tǒng)的安全性防護做出簡要分析以及如何防護提出策略。操作系統(tǒng)的安全與國家的利益關系密切相關。因為目前我國的操作系統(tǒng)都是從國外直接引進的，所以操作系統(tǒng)存在安全性隱患，為了研究開源的Linux操作系統(tǒng)的安全缺陷，下文對Linux系統(tǒng)的安全機制以及如何防護避免安全因素的影響做出簡要分析以及怎樣從安全的角度使用Linux操作系統(tǒng)。

關鍵詞： Linux操作系統(tǒng)；安全策略

一、引言

1.安全目的：要目的包括機密性、完整性、和可用性，機密性是保障用戶的數(shù)據(jù)不被別人所知道，完整性為了讓數(shù)據(jù)具有它本身所具有的健壯性，可用性是指數(shù)據(jù)不能被破壞，應該具有它本身所具有的作用，即可執(zhí)行性。

2.安全策略：關注信息系統(tǒng)中的信息控制、管理和分發(fā)，規(guī)定信息系統(tǒng)或產(chǎn)品對敏感信息的處理和使用方式的法律，存在兩種最重要的安全策略模型BLP模型和Biba模型，此處不做詳細介紹。

二 、Linux操作系統(tǒng)安全機制分析

1.身份標識和鑒別，在Linux系統(tǒng)中身份標識與鑒別機制是基于用戶名和口令來實現(xiàn)的，允許系統(tǒng)管理員通過useradd命令為用戶指定唯一用戶名和初始口令，將這個信息放在/etc/passwd文件里面，其實密碼信息文件是在/etc/shadows文件中存儲的。

2.文件訪問控制，Linux對文件包括設備都是通過訪問控制機制來實現(xiàn)的，這種簡單自主訪問控制機制的基本思想，系統(tǒng)每一個用戶擁有自己唯一的UID，并且屬于某一用戶組，而且用戶組都有一個唯一的組號，這些信息存放在/etc/group文件里面，系統(tǒng)中的文件權限主題分為所屬用戶、所屬組、其他用戶，并且在這個基礎之上，每一個文件權限都對應有三個系統(tǒng)權限，分別為r、w、x，稱作讀權限、寫權限、執(zhí)行權限，可以通過命令進行修改文件或者目錄的權限，所以在這里需要對個文件權限進行妥善管理

3.特權管理，因為Linux操作系統(tǒng)是類Unix系統(tǒng)，所以普通用戶沒有任何特權，而超級用戶擁有系統(tǒng)內(nèi)的所有特權，所以，在很多現(xiàn)有的基于Linux操作系統(tǒng)內(nèi)核的操作系統(tǒng)都沒有開放root用戶，這樣很大一部分的原因就是root用戶具有至高無上的權利，它要是被黑客攻擊，那么后果不堪設想，所以建議對root用戶使用的時候，要多加防范。

4.安全審計，它的基本思想就是將審計事件分為系統(tǒng)事件和內(nèi)核事件兩部分進行維護與管理，系統(tǒng)事件有審計進程syslogd來維護和管理，而內(nèi)核事件由審計線程klogd來維護和管理。

三、從安全的角度管理和使用Linux系統(tǒng)

1.口令管理，頂起更換口令，而且使用口令的標準是大小寫字母加數(shù)字和標點符號混用，提高用戶本身的安全性，這是用戶做的最基本的安全性防護措施。

2.不要將口令輕易告訴別人，而且不建議在很多地方使用同一個口令?？梢允褂每诹罟芾碥浖?，將自己的用戶密碼進行管理。

3.用戶權限管理，通過正確限制所有用戶對文件的區(qū)別訪問來控制用戶權限安全性。

4.定期升級系統(tǒng)補丁和應用程序補丁。

5.對系統(tǒng)用戶文件進行備份，普通用戶對自己的數(shù)據(jù)，超級用戶需要備份系統(tǒng)重要配置文件的數(shù)據(jù)主要配置文件數(shù)據(jù)在/etc文件夾下面。

6.定期查看日志文件，日志文件是記錄整個操作系統(tǒng)的使用狀況，可以幫助我們安全使用以及排除錯誤的信息支持，例如以下文件：

7.關閉不必要的系統(tǒng)服務，Linux操作系統(tǒng)在安裝的時候包括了較多的網(wǎng)絡服務，如果作為服務器來講的話，這樣使用起來會很方便，但作為用戶的工作站就不太好，會出現(xiàn)安全問題。用戶應該關閉不需要的服務。/etc/ined服務器程序承擔網(wǎng)絡服務的任務，它同時監(jiān)聽多個網(wǎng)絡端口，一旦收到外界網(wǎng)絡傳來的連接信息，就執(zhí)行響應的TCP或者UDP網(wǎng)絡連接任務。

8.要確保操作系統(tǒng)端口安全，TCP或者UDP網(wǎng)絡數(shù)據(jù)通過使用端口號才能夠被正確的指向相應的應用程序，這樣才能正確的訪問該應用程序，而其中的每個程序也被賦予了特別的TCP或者UDP端口號，網(wǎng)絡數(shù)據(jù)進入計算機后，操作系統(tǒng)會根據(jù)它包含的端口號，將其發(fā)送到相對應的應用程序中，攻擊者會利用各種手段對目標主機的端口進行掃描和探測，這樣就能確定一些信息，這樣給攻擊者增加了攻擊的可能性，建議使用網(wǎng)絡工具，定期檢測網(wǎng)絡端口的異常，如果發(fā)現(xiàn)有可疑端口活動，立即做出安全性防護措施。

9.用戶在管理自己的目錄的時候，不會讓自己私有的目錄給予別的用戶訪問的權限，除非特定需求的用戶，而且原則是，只能讓其他用戶具有讀取的權限，一般不會賦予寫和執(zhí)行的權限。在管理目錄的時候，應該遵循各個用戶數(shù)據(jù)建立自己的用戶目錄，這樣系統(tǒng)便于管理。

10.設置用戶密碼之外，還需要給Linux上每個賬戶可以被賦予不同的權限，因此在建立一個新用戶賬戶時候，系統(tǒng)管理員應該根據(jù)需要賦予該賬戶不同的權限，并且管理到不同的用戶組。

11.用戶需要時常檢測用戶自己的目錄與文件的信息變化情況，如果發(fā)現(xiàn)文件和目錄的權限有異常情況發(fā)生，需要立即修改用戶密碼，以及查看其他用戶所在組的變化情況。

12.如果由特殊文件可以使用文件加密的方式，將文件加密過后，可以提高該文件所在場景的安全性，由于加密過后，不使用解密，攻擊對象即使獲得該文件，也無法獲取里面的信息。如果用戶在使用Linux操作系統(tǒng)的過程中，使用文件只是用到一次，那么可以建立在/usr/tmp文件夾下面，這是共用的目錄，而且最大的特點，在系統(tǒng)重啟的時候，會將該目錄下面的文件刪除。