Linux系統安全策略研究

李 萍

（1. 中國海洋大學，山東 青島 266100；2. 壽光市安監局，山東 壽光 262700）

Linux系統安全策略研究

李 萍1，2

（1. 中國海洋大學，山東 青島 266100；2. 壽光市安監局，山東 壽光 262700）

文章對Linux系統當前的安全現狀進行了分析，在文件管理、KLW包層技術及禁止系統對ping命令等方面提出了Linux系統安全管理策略，進一步提高了Linux系統安全。

Linux；LSM；KLW包層技術

1 引言

Linux自1991年問世以來，其多用戶、多進程、多線程、實時性較好且功能強大而穩定的特點得到世界程序愛好者的青睞，在高端的服務器市場占有很大份額，隨著Linux的廣泛應用和網絡技術的發展，如何保證Linux系統的安全將變得非常重要。

2 Linux系統安全現狀及其重要性

Linux操作系統由于其出色的性能和穩定性，在操作系統市場已擁有了大批的用戶。并且由于Linux內核源代碼的開放性，為操作系統的研究帶來了極大的方便和靈活。然而，從Linux誕生起，在安全性方面，Linux內核只提供了自主訪問控制（DAC）、標識與識別、POSIX.1e的capabilities機制以及一些日志功能。2001年，在Linux內核峰會上，Linux安全模塊（Linux security module，LSM）應運而生。基于最新版本的內核提供以下安全機制：①身份驗證：作為Linux系統的第一道防線，Linux為合法用戶提供帳號，并允許為用戶帳號設置安全等級；②訪問控制：對文件的訪問使用了文件存取許可機制；③日志：提供日志文件來記錄整個操作系統的使用狀況，如用戶登錄、用戶切換、權限改變等，管理員可以通過察看這些日志文件，來對系統進行維護；④加密文件：提供多種附加工具來加密數據；⑤文件系統：在目錄結構上，先有目錄再有分區，它的各個文件系統可以很方便的掛載在系統中，或者從目錄結構中卸載；⑥程序角色切換：程序從root用戶啟動以后，通常需要切換到服務的軟件角色上，如Apache；⑦內存管理：Linux系統采取內存保護模式來執行程序，避免了因一個程序執行失敗而影響整個系統的運行；⑧客體重用：客體重用是指當主體（如用戶、進程、I/O設備等）獲得對一個已經釋放的客體（如內存、外存儲設備等）的訪問權時，可以獲得原主體活動所產生的信息；⑨防火墻：內核中集成了 Netfilter/iptables系統，其中Netfilter負責將流經系統IP協議棧的數據包提出來，并且定義了iptables中各個表和規則的數據結構，以及各個操作，實現對iptables中數據包的要求；用戶可以通過注入模塊，調用Netfilter的接口函數創建新表，來實現所需的安全模塊。

3 Linux系統安全管理策略

3.1 文件管理

3.1.1 文件加密

將重要的文件進行加密處理來加以保護。使用#gpg－gen－key產生密鑰對，將公鑰發布，以便其他用戶下載該公鑰加密發回文件，收到加密文件后，用配對的私鑰解密為明文。

3.1.2 文件的存放

為提高安全性，系統應把不同的用戶目錄分離開來，每個用戶都有自己的主目錄和硬盤空間，這塊空間與系統區域、其他用戶空間分離開，這樣可以防止普通用戶的操作影響到整個文件系統。

3.1.3 文件和目錄的訪問權限

使用chown或chgrp命令正確設置文件的所有權或用戶組關系，使得文件的不同用戶（文件主、組用戶和其他用戶）只能對必須的文件具有的必須的訪問權限（讀、寫和可執行），提高文件訪問的安全性。

3.1.4 SUID/SGID

具有SUID/SGID權限標志的程序需要以root身份運行，這是一個潛在的安全漏洞。因此，除了類似password程序必須具有root身份外，應限制具有SUID/SGID權限標志的程序數量。

3.2 KLW包層技術

目前被認為最有前途的安全技術是一種被稱作包層（wrapper）的技術。該包層可以纏繞在操作系統內核上，也可以纏繞在瀏覽器上、web服務器、應用程序上。它以系統擴展的方式增加安全性能，即可以滿足某些應用程序的特定安全需求。當包層嵌入到操作系統中時，也可以通過包層擴展系統安全功能，如同給OS和應用程序穿上防彈服一樣。在國外，如DARPA已投資開發用于開發包層軟件的包層定義語言。這樣一來，只要像編寫應用程序一樣來編寫安全包層，就可以滿足不同的安全需要。

在 Liunx安全領域，有一種稱作 KLW（Kernel Loadable Wrapper）的包層技術，其設計思想主要是在內核的包層通過截取系統調用，對系統調用進行改造處理，以增加系統的安全功能。KLW有以下特點：①任何對操作系統的訪問都必須經過KLW，不可旁路；②KLW對內核代碼不進行任何修改，KLW以模塊形式可以動態裝入；③KLW可滿足不同的安全需要，而且可以跨操作系統平臺。

3.3 禁止系統對ping命令的反應

禁止Linux系統對ping請求做出反應，可將計算機的網絡安全風險降到最小，因為沒人能通過ping指令對所攻擊的服務器中獲取任何反應。由于TCP協議本身有很多弱點，黑客可以利用一些技術，把傳輸正常數據包的通道用來偷偷地傳送數據。如果將系統設置對ping請求沒有反應，就能很好的避免黑客利用其漏洞來攻擊你的機器。

4 結束語

盡管Linux被認為是一個較為安全的服務器系統，但它仍然存在許多漏洞，只有不斷的完善安全防范措施，吸收先進的網絡安全技術，才能真正構建安全的網絡平臺，才能更加有效的避免由于開放性所帶來的漏洞而引發的攻擊。

1 周昕、劉勇、沈配等.Linux安全性能改進研究［J］.計算機工程，2001（10）：20～25

Linux System Security Strategy Research

Li ping

The article to the Linux system current security analysis of the current situation, in the file management, KLW packet layer technology and prohibited to ping command system is proposed as Linux system safety management strategy, further improve the Linux system security.

Linux;LSM;KLW packet layer technology

TP316.8

A

1000－8136（2011）33－0065－01