電腦店訊
1 Linux操作系統
Linux系統支持多用戶、多進程、多線程、實時性較好、功能強大而穩定,可以運行在Intel處理器、DEC的Alphas、Motorola的
M68k處理器、Sun Sparc、PowerPC、MIPS等平台上, 能運行的硬件平台目前是最多的。象現代Unix操作系統那樣,它也具有虛
擬內存、共享庫、命令裝載、執行代碼之間共享的拷貝一執行一寫盤頁操作(Cow機制)、優秀的內存管理和TCP/IP網絡等。Linux與其它操作系統一樣,也存在安全隱患。而隨著它在全世界范圍內的普及使用,目前針對其的攻擊越來越多,安全事件也呈上升趨勢,形勢非常嚴峻。要想在技術日益發展、紛繁蕪雜的網絡環境中,保證Linux系統的安全性,需要切實做好事
前預防以及事後恢復的工作。
2 對Linux操作系統安全缺陷的思考
2.1 系統上的缺陷
Linux是一個自由、開放的操作系統軟件,其最初設計目標並不是一種安全操作系統, 因此Linux在安全方面存在一些不
足、漏洞和後門。
(1)進行管理的文件操作劃分為讀、寫、執行3種操作,其他操作不包括在內。使許多系統文檔一旦可寫,就可以被任意修
改。在Linux系統中,有許多的重要文件,如/bir/login,如果入侵者修改該文件,那麼他再次登錄時。就會毫無困難。對設備的操
作與文件相似。
(2)進程終止後其運行時使用的內存等資源未能重置或清空,造成可能的洩密。
(3)未標識的隱蔽存儲信道存在,成為入侵系統或截獲機密信息的薄弱環節。
(4)對用戶的初始登錄和鑒別,未能提供可信通信路徑來傳輸用戶數據,導致鑒別用戶身份的數據例如密碼的洩露。
(5)系統內核可以輕易插入模塊。系統內核允許插入模塊能使用戶擴展Linux操作系統的功能,使Linux系統更加模塊化,同時這也是十分危險的。模塊插入內核後,就成為內核的一部分,可以做原來內核所能做的任何事情。
(6)進程不受保護。有些十分重要的進程,如VJEB服務器守護進程,但是並沒有得到系統的嚴格保護,十分容易遭到破壞。
(7)缺乏有效的審計機制,無法跟蹤記錄各種違規操作和破壞。
2.2 人為的安全性問題
作為多用戶的操作系統,Linux允許多個用戶同時訪問系統的資源,同一個用戶也可以同時執行多個任務。同時,現在的計算機大都在網絡環境下運行。多用戶和網絡環境必然存在安全問題。不僅要在理論上重視安全問題,實踐上更不能忽視,在實際使用Linux時要加強安全管理。這個問題如果不重視,解決不好,則容易為系統留下安全隱患,輕則導致系統無法正常使用,影響工作,重則導致重大損失,這種損失程度視Linux的應用環境而異。在操作系統的實際使用、操作、管理中,主要存在如下安全隱患:
(1)思想上不重視,認識不到操作系統安全的重要性及安全問題可能帶來的風險;存在麻痺和僥幸心理,認為安全問題不會或不可能發生在自己身上。
(2)有關計算機安全的規章制度不健全,甚至根本就無章可循;不認真貫徹和嚴格執行規章制度,甚至就根本不貫徹和執行,使制度形同虛設。
(3)有意犧牲安全性來換取工作上的便利。
(4)系統管理員和操作員技術水平差,不知怎樣提高系統的安全性。以上所說,也是造成計算機安全問題的主要原因。因此,必須重視Linux的安全使用與管理問題。
3 強化Linux操作系統安全的策略分析
如何強化Linux的安全,業界經歷了多年的積累,從系統管理到網絡管理都有比較成熟的經驗可以借鑒。
3.1 用戶管理與口令管理
也就是對用戶訪問系統資源進行控制,允許或禁止其訪問某些資源。
用戶對資源的訪問,主要是指訪問某些目錄、文件,運行某些程序。這可用權限管理的辦法來解決,不過限制的是普通用戶而非超級用戶。這裡提出如下設置原則:
(l)有關系統安全、設置方面的文件/目錄,一般不能讓普通用戶訪問,除非確有必要。
(2)普通用戶自己的文件/目錄應根據實際情況設置:一般情況下,重要的只讓主人自己訪問,共享的可讓其他人有一定程度的訪問權限,如只能讀不能寫,只能執行等。
(3)設置用戶創建文件/目錄時的初始權限。
(4)每個用戶應有自己的工作目錄,不要互相混用,以免出現混淆、麻煩。
口令更是保密的關鍵。每個用戶都有自己的口令,應該絕對保密,否則一旦洩露,尤其是超級用戶,則會對系統構成嚴重威脅。破獲超級用戶口令的人可以對系統做任何操作而不受限制。由此可見,加強口令的管理尤其重要。因此,盡量做到:定期更換口令;不要使用弱口令;鍵入口令時,不要有別人在旁邊;盡最不要把口告訴別人。
3.2 系統的安全管理工作
仔細設定Linux的各種系統功能, 並且加上必要的安全措施,讓黑客們無機可乘,這主要由超級用戶來完成。從安全使用與管理的角度來說,主要是指限制或允許哪些用戶、哪些主機可以訪問本系統的資源。目的是為了防止非授權的訪問,以提高安全性。這方面的方法也很多,例如刪除非法用戶,限制可疑用戶登錄,限制網上其它主機的訪問等等。一般來說, 對Linux系統的安全設定包括取消不必要的服務、限制遠程存取、隱藏重要資料、修補安全漏洞、采用安全工具以及經常性的安全檢查等。
3.3 及時下載補丁與更新內核
在Internet上常常有最新的安全修補程序,Linux系統管理員應該消息靈通,經常光顧安全新聞組,查閱新的修補程序。一般情況下, 用戶可以通過Linux的一些權威網站和論壇盡快地獲取有關該系統的一些新技術以及一些新的系統漏洞的信息,做到防范於未然, 及時更新系統的最新核心以及打上安全補丁,這樣能較好地保證Linux系統的安全。內核是Linux操作系統的核心,它常駐內存,用於加載操作系統的其他部分,並實現操作系統的基本功能。由於內核控制計算機和網絡的各種功能,因此,它的安全性對整個系統安全至關重要。
3.4 增強安全防護工具
系統自身的增強畢竟存在很大的局限性,因此,增強安全防護工具也是尤為重要。SSH是安全套接層的簡稱, 它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開密鑰技術對網絡上兩台主機之間的通信信息加密,並且用其密鑰充當身份驗證的工具。由於SSH將網絡上的信息加密,因此它可以用來安全地登錄到遠程主機上,並且在兩台主機之間安全地傳送信息。實際上, SSH不僅可以保障Linux主機之間的安全通信,Windows用戶也可以通過SSH安全地連接到Linux服務器上。
4 結束語
從計算機安全的角度看, 沒有百分之百安全的計算機系統,Linux系統也不例外。采用以上的安全守則,雖然可以使Linux
系統的安全性大大提高,但不能完全杜絕黑客入侵,同時系統管理員和用戶應加強學習與培訓,不斷提高安全使用、操作、管理操作系統的技能, 不斷提高安全意識與安全防范技能,在使用和管理操作系統的過程中,勤於思考,不斷探索,研究新情況,解決新問題,積累經驗,提高自己在安全使用和管理操作系統方面的知識水平和操作技能。