淺談linux系統的安全

田子蘭

摘要：Linux為唯一開放源代碼的免費正版軟件，其網絡服務功能良好，和其他微軟操作系統相比，穩定性、靈活性、安全性更好，使用Linux作為web網絡服務器中小企業不斷增加。在l-inux系統被廣泛應用到Intemet中，黑客攻擊、網絡病毒屬于服務器信息安全主要威脅。本文分析Linu～系統的安全機制，并且研究所存在的安全隱患，實現針對性安全對策與保護措施的制定。

關鍵詞：Linux系統;系統安全;防火墻

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）30-0029-02

Linux和mac系統、Windows系統稱之為三大操作系統，和其他操作系統一樣，其也具有安全隱患。在其比廣泛應用到全世界范圍中，對于其的攻擊也在不斷增加，安全事件也在不斷提高，形勢與越來越嚴峻。要想在技術不斷發展、紛繁蕪雜的網絡環境中，對Linux系統的安全性進行保證，就要做好事前預防和事后恢復工作。在對Linux安全保證的過程中，業界經歷多年積累，通過系統管理到網絡管理方面都具有成熟經驗能夠借鑒%

1Linux系統可能會受到的攻擊

此攻擊不僅會出現在Linux系統中，還會出現在其他操作系統中，部分管理人員都具有此種經驗，方法方法也都大致相同：

其一，拒絕服務攻擊。非法登錄人員利用偽造源地址或者受控其他地方多臺計算機同時對目標計算機發送大量連續IP請求，導致目標服務器系統癱瘓。防范方法可以使用防火墻系統，在防火墻中運行端口映射程序與掃描程序。大部分攻擊事件是因為防火墻配置不當導致的，提高DoS/DDoS的攻擊成功率，以此就要對特權端口與非特權端口認真的檢查;

其二，欺騙用戶攻擊。網絡黑客裝扮成專業的技術工程人員將呼叫信息發送給系統用戶，并且要求用戶輸人口令，如果用戶將正確的口令輸入導致口令失密，黑客就能夠通過此用戶賬號進入到系統中。用戶要時刻的提防，創建心中防線，從而防范此種攻擊;

其三，掃描程序攻擊。網絡中部分非法人侵就是通過各種掃描工具尋找目標主機中的漏洞，掃描攻擊也能夠直接攻擊系統，導致系統崩潰或者重要的信息丟失。網絡管理人員要經常使用網絡漏洞掃描工具對系統進行掃描，檢查漏洞過程中及時利用補丁程序與相應工具補上漏洞嘲。

2Linux系統的安全機制

Linux屬于開放式的系統，其能夠通過網絡尋找大量工具與程序，不僅方便用戶，還方便黑客潛人到Linux系統中、盜取Linux系統中重要的信息。以此分析系統安全機制，尋找其中的安全隱患，給出相應保護措施與安全策略。Linux系統使用多種安全機制措施，部分是通過補丁方式發布，以下對Linux系統安全機制進行分析：

其一，PAM機制。插件式鑒別模塊（PAMI）機制為使用靈活并且具有強大功能的用戶鑒別機制，利用模塊化設計和插件功能，將全新鑒別模塊插入到應用程序中，不需要修改應用程序，以此便于軟件維持、定制、升級，應用程序利用PAM API便于使用其中鑒別功能。PAM API能夠承上啟下，連接程序和鑒別模塊。在應用程序對PAM API鑒別的時候，應用接口層根據配置文件pam.conf規定對相應鑒別模塊進行加載。以后請求傳遞底層鑒別模塊，實現具體鑒別操作的執行。在執行鑒別模型操作后，使結果返回到應用接口層中，利用接口層中的配置情況，在應用程序中返回應答。圖1為工作原理。

Pam.conf配置文件也在應用接口層中存儲，和PAM API結合使用，以此能夠在應用過程中靈活的插入需要鑒別的模塊。其主要作用就是為應用程序選擇具體鑒別模塊，模塊之間組合和規定模塊行為。

其二，加密文件系統。加密文件系統屬于有效數據加密存儲技術，備受人們的重視，其能夠避免非法人侵人員竊取用戶機密數據。其次，在多個用戶共享一個系統時，能夠對用戶私有數據進行保護。加密文件系統能夠在文件系統中引入加密服務器，使計算機系統安全得到提高。

其三，防火墻。Linux防火墻具有身份驗證、抗攻擊、審計與訪問控制等功能，正確設置防火墻能夠使系統安全性得到提高。

3Linux系統的安全部署

3.1用戶權限配置

用戶權限配置是利用具體設置提高或者降低用戶進入到系統的權限，具體通過以下方面配置：

其一，假如linux系統具有大量用戶，就要實現不同用戶的分配與分組，在用戶長時間不使用或者對于系統自身具有危害的時候，就要考慮用用戶的刪除與屏蔽。大部分用戶對于linux系統自身構成不安全因素，以此就要對用戶進行刪除與屏蔽提高系統安全性。

命令：userdel用戶組

Groupdel用戶組名

其二，在用戶登錄到linux系統的時候，為了使系統安全性得到提高，會在登錄系統的時候將密碼輸入，但是部分用戶所設置密碼比較簡單，或者使用自己生日與身份證號碼作為密碼，破解起來比較容易。以此，為了使系統安全性得到提高，要在linux系統中強制性的要求用戶密碼長度大于8位，還是數字、大小寫字母的組合。

vi.etc.login.defs

命令：PASS_MAX_DAYS 60

PASS_MIN_LENGTH 8

其三，在用戶使用系統的時候，就因為有事中途離開，或者忘記注銷，在這段時間會受到系統侵入，威脅到用戶系統，以此就要在系統中設置用戶，在某段時間沒有操作就使用強制注銷命令，利用強制注銷對用戶自身數據與資料安全性進行保證。

命令：Vi.etc.profile

TMOUT=300

其四，部分用戶為了方便沒有設置密碼，就會使用戶系統被侵犯與盜取信息可能性得到增加。以此，系統要對是否具有空密碼用戶進行定時的檢測，假如存在就要強行更改密碼，直接刪除不正常的黑名單用戶。

命令：gawk-F"，”（S=2{print sl}.etc.shadow

其五，系統中具有root特權用戶，能夠更改系統權限，對除了特權用戶之外是否還有其他用戶定期的檢測。一般，一個hnux系統只需要一個root特權用戶，假如還具有其他特權用戶，就要通過降權或者刪除的方法對系統安全性保證。

命令：gawk-F”：”（S=3S！1="root"）{printsl}etc.password

3.2取消不必要網絡服務

在創建服務器的時候，所創建系統要盡可能高效、快速地實現預期功能。一般，除了smtp、http、ftp等，要取消其他服務，比如簡單文件傳輸協議、網絡郵件存儲和接受使用的差u傳輸協議等，從而使系統安全性得到提高。

Redhat7.0之后linux中大部分TCP后者UDP服務器都是通過/etc/xinetd.conf文件中設置，將不必要服務器取消的第一步就是對此文件進行檢查。但是，具體將哪些服務取消并不能夠一概而論，要以實際情況決定，但是系統管理人員要心中有數，如果出現系統問題，要能夠有步驟的查漏補救。

3.3對系統核心更新

Linux屬于優秀開源軟件，具有良好的安全性、穩定性、可用性，世界linux高手對此產品進行維護，所以具有比較多的流通渠道，經常有更新程序與系統補丁出現。所以，為了使系統安全得到加強，就要對系統內核進行更新。內核為linux操作系統核心，其位于內存中，對操作系統其他部位進行加載。因為內核對計算機與網絡功能進行控制，所以其安全陛對于系統具有重要的安全。

在Internet中具有最新安全修補程序，linux系統管理人員要消息靈通，時常觀看安全新聞組，對全新修補程序進行查閱。一般，用戶能夠利用hnux中權威網站與論壇盡快得到和系統相關新技術和新系統漏洞信息，從而能夠防患于未然。對系統最新核心及時的更新，并且打上安全補丁，對linux系統的安全進行保證。

3.4網頁防篡改的部署

業務系統web網站屬于攻擊主要目標，目前一般使用的網站防篡改方法為通過業務系統實現自動恢復與防篡改或者部署專業的防篡改軟件，避免篡改網站頁面。另外，為了促進業務信息系統穩定的運行，避免系統出現死角，公司通過編制shell腳本，簡單的防護Linux操作系統web網站。通過chattr+i命令設置web網站文件與文件夾的屬性，使原本的網頁頁面內容不會因為未授權攻擊出現變化，對于不安全新增頁面及時的刪除，自動恢復改寫網頁頁面。通過shell腳本實現自動監控，使網頁防篡改功能得到實現，公司在基于業務系統穩定的開展中實現安全防護。

4結束語

信息安全為信息化建設過程中的主要內容，其主要包括技術、管理、運維、使用等方面的內容。其不僅為系統自身問題，還是物理、邏輯等問題。在現代信息化建設過程中，要重視業務信息系統的安全威脅管理，以此實現信息系統建設、科研、運維、設計等安全管理，提供給信息系統良好安全服務，降低信息安全威脅，此也是公司在對新世紀信息發展的主要需求。