论文导读:Linux是完全免费使用和自由传播的符合POSIX标准的类Unix操作系统,遵循公共版权许可证(GPL),源代码公开、自由修改、自由发布,能在各类硬件平台上运行的多用户、多任务的操作系统。Linux在服务器、嵌入式等领域应用广泛并取得了很好的成绩,在桌面系统方面,也逐渐受到人们的欢迎,Linux系统的安全问题也逐渐受到人们的重视。Linux防火墙可以提供访问控制、审计、抗攻击、身份验证等功能,通过防火墙的正确设置可以大大提高系统安全性。所以,重要的计算机要放在上锁的机房,同时还要对计算机的BIOS进行设置。
关键词:Linux,系统安全,设置,应用
1 引言
Linux 是完全免费使用和自由传播的符合POSIX标准的类Unix操作系统,遵循公共版权许可证(GPL),源代码公开、自由修改、自由发布,能在各类硬件平台上运行的多用户、多任务的操作系统。
Linux在服务器、嵌入式等领域应用广泛并取得了很好的成绩,在桌面系统方面,也逐渐受到人们的欢迎,Linux系统的安全问题也逐渐受到人们的重视。用户可以根据自己的环境定制 Linux系统、提供补丁、检查源代码中的安全漏洞,也可以对Linux系统作一些简单的防范措施来增强系统的安全。
2 Linux系统的安全机制
Linux是一个开放式系统,可以在网络上找到许多程序和工具,这既方便了用户,也方便了黑客,他们通过这些程序和工具潜入 Linux系统,或者盗取Linux系统上的重要信息。因此,详细分析Linux系统的安全机制,找出可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
Linux采取了许多安全技术措施,有些是以“补丁”的形式发布的,下面简单介绍Linux系统的安全机制:
2.1 PAM机制
插件式鉴别模块(PAM)机制是一种使用灵活、功能强大的用户鉴别机制,采用模块化设计和插件功能,可以在应用程序中插入新的鉴别模块,而不必对应用程序做修改,从而使软件的定制、维持和升级更加轻松,应用程序通过PAM API方便的使用 PAM 提供的各种鉴别功能。
PAM API 起着承上启下的作用,它是应用程序和鉴别模块之间联系的纽带:当应用程序调用PAM API 时,应用接口层按照配置文件 pam.conf 的规定,加载相应的鉴别模块。然后把请求传递给底层的鉴别模块,鉴别模块就可以根据要求执行具体的鉴别操作了。当鉴别模块执行完相应操作后,将结果返回给应用接口层,然后由接口层根据配置的具体情况将来自鉴别模块的应答返回给应用程序。下图说明了系统登录应用程序、PAM 库、pam.conf 文件和PAM 服务模块之间的关系。
图 PAM 工作原理
pam.conf配置文件也放在了在应用接口层中,与 PAM API 配合使用,从而达到在应用中灵活插入所需鉴别模块的目的。它的作用主要是为应用程序选定具体的鉴别模块,模块间的组合以及规定模块的行为。
2.2 加密文件系统
加密文件系统作为一种有效的数据加密存储技术而受到人们的青睐,它可以有效防止非法入侵者窃取用户的机密数据;另外,在多个用户共享一个系统的情况下,可以很好地保护用户的私有数据。加密文件系统就是将加密服务引入文件系统,从而提高计算机系统的安全。
2.3 防火墙
Linux防火墙可以提供访问控制、审计、抗攻击、身份验证等功能,通过防火墙的正确设置可以大大提高系统安全性。
3 Linux系统安全防范及设置
3.1 物理安全防范
物理安全是保护计算机免受硬件级别的侵害,为计算机安全提供有力的保障。管理员首先考虑将计算机放置在安全的位置,还有机房配电、环境安全等方面的因素,其次考虑不能让未授权用户接触到计算机,如果不法用户或黑客可以接触到计算机,那么,基本可以宣告这台计算机“挂了”,因为不法用户或黑客可以用软驱或光驱启动你的计算机或直接进入单用户模式,然后为所欲为。免费论文参考网。或拆了机箱拿走硬盘,说不定还会砸了你的计算机。所以,重要的计算机要放在上锁的机房,同时还要对计算机的BIOS进行设置。
BIOS是为计算机提供最低层、最直接的硬件设置和控制。为防范不法用户或黑客通过改变BIOS的引导顺序,从其它媒体介质引导系统,进入你的Linux,可以修改BIOS中设备的启动顺序为硬盘启动,同时为防止别人改动BIOS的设置,需设置进入CMOS的密码和开机密码。
3.2 Linux引导程序安全设置
在Linux系统装载前,必须由一个引导装载程序(boot loader)中的特定指令告诉它去引导系统,Linux系统默认选择GRUB作为引导装载程序。
GRUB密码保护功能是在开机时,进入系统之前,需要输入密码验证,防止未授权用户登录系统,另外,未授权用户没有权限更改GRUB的启动功能,进入单用户模式和GRUB命令行。密码加在/boot/grub/grub.conf配置文件中,为防止通过grub.conf配置文件查看密码,可以使用md5进行加密和校验,通过grub-md5-crypt命令对明文密码进行加密。免费论文参考网。GRUB的密码是系统安全措施的一部分,如果没有GRUB密码,任何人都不能登入到Linux系统中,这样能更安全地保护系统。
3.3 防止使用组合键重启系统
默认情况下,Linux可以使用Ctrl+Alt+Del组合键重启系统,为防止别人重启系统,修改/etc/inittab配置文件,将ca::ctrlaltdel:/sbin/shutdown –t3 –r now这行前加“#”,使本行不生效。
3.4 安全登录、注销
平时使用Linux系统切记使用普通用户登录系统,尽可能地避免直接使用超级用户root登录系统,因为root是系统最高权限的拥有者,如果使用不当,会对系统安全造成威胁。在普通用户登录下可以使用sudo作为超级用户执行某些命令, 但必须通过sudo的配置文件/etc/sudoers进行授权。
通过在/etc/profile文件中加入TMOUT=200使登录的用户在离开系统200秒后自动注销,来防止安全隐患。
3.5用户账号安全管理
Linux系统在安装后会内置很多账号,如果没有使用某些服务,有些账号是用不到的,对于这些不使用的账号,若允许用户登录,可能会给系统带来潜在的威胁。
对于安全性较高的Linux系统,安装完系统后可以禁止系统默认的且不需要的账号,甚至删除它,对一个系统而言,账号越多,系统可能越不安全。还可以通过/etc/passwd文件设置用户的shell访问权。
有些用户设置了非常简单的口令,也会对系统构成威胁。用户口令是Linux安全的一个最基本的起点,网络上很多系统入侵都是从截获口令开始的。所以口令安全至关重要。系统管理员可以强制用户定期修改口令,强制用户使用一定长度的口令,以增强系统的安全性。通过修改/etc/login.defs文件中相关项目,可以增强口令安全。还可以使用shadow,使所有用户的口令单独存放在/etc/shadow文件中,可以更好保证口令安全。
3.6 文件的安全
在Linux系统中,文件和目录都具有访问控制权限,这些访问控制权限决定了谁能访问和如何访问文件和目录,可以通过建立访问权限来限制用户访问文件和目录的范围。
3.7 资源使用的限制
限制用户对Linux系统资源的使用,可以避免拒绝服务这种攻击。编辑/etc/security/limits.conf文件对登录到系统中的用户进行设置,能更好地控制系统中的用户对进程、core文件和内存的使用。
3.8 清除历史记录
Linux默认会保存曾经使用过的命令,这样会为入侵者提供方便,通过将/etc/profile文件中的“histsize”行的值修改较小的数值或改为0,禁止保存用过的历史命令。
3.9 系统服务的访问控制
hosts.allow和hosts.deny文件是tcpd服务器的主配置文件,tcpd服务器可以控制外部IP对本机服务的访问,修改hosts.allow和hosts.deny文件就可以许可或拒绝哪些IP、主机、用户的访问。
3.10 Linux日志安全
Linux日志对于安全来说非常重要,日志记录了系统每天发生的各种各样的事情,可以通过日志来检查错误发生的原因,或找出受到攻击时攻击者留下的痕迹。
Linux系统中,有三个主要的日志子系统:连接时间日志、进程统计日志、错误日志。作为系统管理员要用好以下几个日志文件:/var/log/lastlog、/var/log/secure、/var/log/wtmp。
3.11 关闭不需要的服务
关闭不使用的服务以减少系统漏洞,可以通过ntsysv命令,将其中不需要的服务关闭掉。
3.12 病毒防范
随着技术的发展,Linux系统开始出现病毒,为保证系统安全,有必要安装防病毒软件。
3.13 防火墙
安装好Linux后,连上网络就会面临着网络中的各种威胁,可以使用Linux系统提供的内置防火墙来减少对系统的威胁,提高系统的安全。
Linux防火墙是包过滤防火墙,包过滤防火墙是在网络层中检查数据流中的数据包,依据系统内设置的过滤规则,对数据包实施有选择的通过。过滤规则通常称为访问控制列表,只有满足过滤规则的数据包才被转发到相应的目的地,其余数据包则从数据包流中删除。
3.14 常用安全工具的使用
Linux系统的安全防护离不开各种安全工具的使用,如协议分析工具Ethereal、网络监测工具tcpdump、网络端口扫描工具nmap等。
3.15 备份重要文件
很多木马、蠕虫和后门会替换重要文件来隐藏自己,将最重要和常用的命令及重要数据进行备份,防止计算机病毒,保护数据安全。
3.16 升级
由于Linux流通渠道很多,经常会有更新的程序和系统补丁,为了加强系统安全,一定要经常更新系统软件、应用软件和系统内核。
Kernel是Linux操作系统的核心,它常驻内存,用于加载操作系统的其他部分,并实现操作系统的基本功能。Kernel控制计算机和网络的各种功能,因此,它的安全性对整个系统安全至关重要。
4 结束语
通过上述内容的讨论,可以进一步增强Linux系统的安全性、完整性和可用性,但作为Linux系统管理员,头脑中一定要有安全防范意识,定期对系统进行安全检查,发现漏洞要立即采取措施,不给黑客可乘之机。
参考文献
1.Brian Hatch,James Lee,George Kurtz 著,王一川 译,Linux黑客大曝光:Linux安全机密与解决方案[M].清华大学出版社,2002年10月2.Bob Toxen著,前导工作室 译,Linux安全:入侵防范、检测、恢复[M].机械工业出版社,2002年1月3.李洋 著,Linux安全策略与实例[M].机械工业出版社,2009年11月
|