Linux系统安全问题及其解决策略.doc

资源描述

《Linux系统安全问题及其解决策略.doc》由会员分享，可在线阅读，更多相关《Linux系统安全问题及其解决策略.doc（5页珍藏版）》请在三一办公上搜索。

1、2012-07-13#L#i#n#u#x#2012-07-13#2012-07-13#庞松鹤（广西建设职业技术学院广西南宁 530003 ）【摘要】：本文简单介绍 Linux 系统的安全机制，并主要从 Linux 的系统安装、用户管理、文件管理、预防攻击、数据备份等五个给出了 Linux 个系统安全的解决方案。【关键词】： Linux 系统；安全；策略1、Linux 安全概述在 Linux V2.6 内核版本中，新增加 Linux 安全模块（x）。文件或目录的创建者对所创建的文件或目录拥有特别权限，文件或目录的所有权是可以转让的，但

2、只有（LSM）为 Linux 系统增加更多的安全机制，而在这之文件主或 root 用户才有权转让。引入提高文件访问的安全性。文件存取许可机制的前，这些功能是通过内核补丁的形式提供的。 LSM 是Linux 内核的一个轻量级通用访问控制框架，它使得各种不同的安全访问控制模型能够以 Linux 可加载内核 Linux 为每个用户都设置了用户主目录，一个用户对主目录以外的其他目录的文件存取权限受限较多。（3）日志Linux 系统提供日志文件来记录整个操作系统的使用状况，比如用户登录、用户切换、权限改变等，管理员可以通过察看这些日志文件，来对系统进行维护。（4）加密文件Linux 系统提供多种

3、附加工具来加密数据。较有代表性的是 TCFS，它将加密服务和文件系统紧密集成，用户感觉不到加密过程，TCFS 能够使保密文件对非授权用户不可读，而对于授权用户，访问加密文件与访问模块的形式实现，用户可以根据其需求选择适合的安全模块加载到 Linux 内核中，大大提高了 Linux 安全访问控制机制的灵活性和易用性。基于最新版本的内核，Linux 系统提供以下安全机制。（1）身份验证身份验证是 Linux 系统的第一道防线，Linux 为合法用户提供帐号，用户登录时必须输入合法的帐号和口令；创建一个新用户必须为它指定一个私有组或其他组，而且必须为用户设置密码后，才能登录；系统对帐

4、号和口令进行验证后才能进入，败将禁止再登录。连续多次登录失普通用户几乎没有区别。性。（5）文件系统提高文件存放或传输的安全用户帐号保存在/etc/passwd 文件中，但是这个文件不保存对应的用户密码，密码另外保存在一个“影子”文件（/etc/shadow）中，这个“影子”文件只对 root 用在目录结构上，Linxu 是先有目录再有分区，它的各个文件系统可以很方便的挂载在系统中，或者从户可读，即使其他用户通过非授权方式获得这个文件目录结构中卸载。可以很方便隐藏一些重要数据分区。在文件类型上，ext3 比 FAT、NTFS 更有优势。（6）程序角色切换Linux 为大多数系统服务都定义

5、了软件角色。程序的读取权限，也很难获得原始密码，因为文件中的密码是经过不可逆转加密算法计算的。 Linux 系统通过将用户信息与密码数据分开而提高了安全性。可以对用户密码文件进行加密，码存储和传输的安全性。以提高用户密从 root 用户启动以后，通常需要切换到服务的软件角色上，比如 Apache。当攻击者获得该服务权利时的身 Linux 允许为用户帐号设置安全等级。（2）访问控制 Linux 系统对文件的访问使用了文件存取许可机制。 Linux 为每个文件都分配了一个文件所有者，系统中的每个文件（包括设备文件）和目录都有对应的访问许可权限，只有有相应权限的用户才可以进行读、写或执行操

6、作。访问权限规定三种不同类型的用户，即文份就不在是超级用户 root。（7）内存管理Linux 系统采取内存保护模式来执行程序，避免了因一个程序执行失败而影响整个系统的运行。（8）客体重用客体重用是指当主体（如用户、进程、I/O 设备等）获得对一个已经释放的客体（如内存、外存储设备等）件主（owner）、组用户（group）和其他用户（others），访问的访问权时，可以获得原主体活动所产生的信息。为了2012-0文7件-或13目#录#的#权#限#也#有#三#种#，#即#读#（#r）、#写#（#w）2和0可1执2行-0避7免-这1一3#情#况#发#生#，L#in#ux#2系0统1实2行-

7、禁0止7客-体1重3#用#机# 禁止内存客体重用。系统在用户、进程申请内存空间时对该空间原有的信息清除，使得用户、进程在申请到该空间后，开始访问时总是空的，无法得到上一个用户遗留在内存的信息。禁止外存储设备客体重用。在文件被删除时，系（4）隐藏登录信息在文件/etc/inetd.conf 中加入下面一行代码：telnet stream tcp nowait root/user/sbin/tcpdin.telnetd -h使得其他系统登录到本系统时，不显示操作系统和版本信息，增强系统的安全性。（5）及时安装系统补丁程序经常访问 Linux 技术支持网站，下载最新的补丁安装程序并及时

8、安装，修补系统的安全漏洞。2.2 用户帐号、密码管理和登录技术（1）用户密码安装 Linux 系统时默认的密码长度为 5，最好将密码最短长度修改为 8。具体设置方法是：将文件/etc/ login.defs 中的“PASS_MIN_LEN 5”改为“PASS_MIN_L EN 8”。统将无用信息写入存储原文件的物理空间，防止外存储设备上的客体重用。这个机制类似 DOS 下使用“copy nul filename”来删除文件（而通常在 DOS 下，我们更习惯用“del filename”来删除文件）。（9）防火墙内核中集成了 Netfilter/iptables 系统，

9、其中 Netfilter负责将流经系统 IP 协议栈的数据包提出来，并且定义了 iptables 中各个表和规则的数据结构，以及各个操作，实现对 iptables 中数据包的要求；iptables 定义了若干个表，用户可以通过注入模块，并调用 Netfilter 的接口函数创建新表，来实现所需的安全模块。（10）扫描器Linux 提供众多的扫描检测工具，管理员可以利用这些工具可以探测系统的缺陷以采取相应的安全防范措施。（11）冗余磁盘阵列另外，到的字符。密码应设成自己容易记住而其他人难以猜（2）超时注销帐号操作员尤其是 root 用户在离开系统时应及时注销帐号，如果操作员离开时忘记注销

10、，系统应能自动注销。具体设置方法是：修改/etc/profile 文件，在 HISTFII ESIZE：后面加上一行 TMOUT -300，其中 300 表示300 秒，意即如果用户在 300 秒内没有任何操作，系统会自动注销这个帐户。（3）用户帐号的安全等级通常情况下，中高端服务器端都使用各种 RAID（冗余磁盘阵列）技术来保护数据，而硬件 RAID 控制器价格昂贵。 Linux 系统提供软件 RAID,使得更多的中低端服务器在资金不充裕的前提下也可以使用 RAID技术，极大地增强磁盘 I/O 性能和安全性。虽然 Linux 系统提供多种类型的安全机制来保证在系统建立一个新用户时

11、，应根据需要赋予该用户帐号不同的安全等级，并且归并到不同的用户组中。比如除了一些重要的用户外，建议屏蔽掉其他用户的 telnet 权限，而只给 ftp 权限，这样可以防止一些人利用其他帐号登录到系统上。（4）用户等级转换禁止普通用户 su 为 root 用户。修改/etc/pam.d/su文件，在文件内加入下面一行代码：auth sufficient/lib/security/pam_rootok.sodebug（5）删除不必要的帐户和组号Linux 提供了许多默认帐号，而帐号越多，系统就系统的安全性达到一个较高的标准，但是也有不完善的地方，坏，等等。比如它无法阻止对信息的非法访问和恶意

12、破2、提高 Linux 系统安全的策略Linux 提供了众多的安全机制，安全性、稳定性要好于目前装机量排在第一的 Windows 系统，但 Linux 系统的安全性不是进行简单的安装就能获得的，而是要进行完善的配置，只有配置得当，才能发挥 Linux 的安全性和稳定性的优势。下面介绍一些可以增强 Linux 安全性的措施。2.1 系统安装及启动、登录技术（1）选择最小化安装安装 Linux 时，最好选择最小化安装，然后再根据需要添加必要的服务软件，因为安装的服务越少，出现安全漏洞的机会就越小，系统安全性就越高。（2）划分多个分区安装时，除了划分/分区外，还应该为/tmp、/var

13、、超级用户的 root 目录等划分单独的分区。越容易受到攻击。可以用以下命令来删除不必要的帐号，如 sync、shutdown、halt、news、games、adm、lp、mail、operator、uucp 等。#userdel 用户名使用以下命令删除不必要的组号，如 adm、lp、u-ucp、mail、news、games、dip 等。#groupdel 用户名2.3 文件管理（1）文件加密将重要的文件进行加密处理来加以保护。使用（3）BIOS 密码#gpg-gen-key 产生密钥对，将公钥发布，以便其他用户20设1置2-BI0OS7密-码1且3修#改#启#动#时#的

14、#引#导#次#序2，禁0止1从2-0下7载-该1公3钥#加#密#2发#0回#1文#2件#-，#收0到7加-密13文#件#后#，用#配#对#的#（2）文件的存放为了确保安全，通过查看这些信息，改情况。（5）防火墙可以判断系统是否有异常修系统应把不同的用户目录分离开来，每个用户都有自己的主目录和硬盘空间，这块空间与系统区域、其他用户空间分离开，这样可以防止普通用户的操作影响到整个文件系统。（3）文件和目录的访问权限使用 chown 或 chgrp 命令正确设置文件的所有权或用户组关系，使得文件的不同用户（文件主、组用户最简单的防火墙就是设置基于内核 netfilter/ipta-bles 框架

15、的防火墙。防火墙用一台安装有两块网卡的Linux 机器担任，其中一块网卡连接外网，另一块连接内网；通过设置（设置步骤比较复杂，本文不作介绍）可以实现具有包过滤网络地址转换等功能的防火墙。设置防火墙后，受保护的内网不能直接访问外网，外网也不能直接访问内网，这样可以有效地阻止恶意攻击，提高网络系统的安全性。（6）受到攻击后要及时处理和其它用户）只能对必需的文件具有的必须的访问权限（读、写和可执行），提高文件访问的安全性。（4）SUID/SGID具有 SUID/SGID 权限标志的程序需要以 root 身份运行，这是一个潜在的安全漏洞。因此，除了类似一旦发现了一个用户正从未知的机器登录，

16、且该password 程序必须具有 root 身份外，应限制具有 SUID/SGID 权限标志的程序数量。2.4 防止攻击技术（1）防止 ping 攻击在文件/etc/rc.d/rc.local 中加入下面一行代码来防止系统响应来自系统外部或内部的 ping 请求，以达到防止 ping 攻击，增强系统的安全性。echo1/proc/sys/net/ipv4/icmp_echo_ignore_all（2）防止 IP 欺骗在文件 host.conf 中加入下面一行代码来防止 IP欺骗攻击。nospoof on（3）防止 DoS 攻击通过对系统所有用户设置资源（如最大进程数、内用户在系

17、统中没有相应的帐号，表明系统正在受到攻击。为防止系统的安全被进一步破坏，应该马上断开主机与网络的连接，撤消此用户的所有进程，并把此主机的 IP 地址掩码加入到文件 hosts.deny 中。（7）病毒预防虽然目前尚未出现能在 Linux 上广泛流行的病毒，但不能掉以轻心，系统管理员应及时了解病毒预告及预防病毒的技术发展，以防止系统受到病毒的攻击，以及受到攻击后将损失减到最小程度。2.5 数据备份技术（1）日志备份对系统的异常检查需要对日志内容进行审计，因此，及时备份日志文件对保证日志的完整性、正确性非常重要。（2）常规系统（数据）备份为了防止系统在使用过程中发生意外情况而难以存使用数量等

18、）的限制，可以防止 DoS 攻击。分如下两个步骤。具体设置在文件/etc/security/limits.conf 中添加下面三行代码：hard core 0 hard rss 10000 hard nproc 25 确定文件/etc/pam.d/login 存在下面一行代码：session required /lib/security/pam_limits.so正常运行，应该使用硬盘或光盘定期（比如一周）对Linux 完好的系统（包括数据）进行常规的备份，以便定期验证系统是否遭到破坏，或遭到破坏时，能进行一定程度的恢复。（3）双机热备份双机热备份是目前计算机系统一种高性能、高安全性的解决

19、方案，主要用于中高端服务器。在 Linux 系统实现双机热备份，需要两台各安装有两块网卡的计算机，一条交叉线通过两台计算机的网卡连接，用于两通过以上设置可以禁止调试文件，为 10MB，限制进程数为 25。（4）定时进行日志审计限制内存使用台计算机进行备份数据传输，另一块网卡将计算机连经常检查日志可以发现入侵者留下的痕迹。系统管理员，要充分用好以下几个日志文件。作为接到交换机。使用 HeartBeat 软件进行设置（设置步骤较复杂，本文不作介绍）。（4）磁盘阵列/var/log/lastlog 文件：记录最后进入系统的用户信息，包括登录时间、登录是否成功等信息。目前，可以根据硬盘的数

20、量设置目前较流行的 /var/log/secure 文件：记录系统自开通以来所有用RAID 0 或 RAID 5 两种磁盘阵列模式，RAID 0 使用两块硬盘进行镜像备份，安全性最高，但磁盘利用率低户的登录时间和地点，可以给系统管理员提供更多的信息。（50% ）；RAID 5 使用 n 块（n3）进行交叉存储，是目20/1va2r/l-og/0wt7mp-文1件3：#记#录#当#前#和#历#史#上#登#录2到0系1统2-0前7较-好1地3兼#顾#安#全2#0性#1和#2磁#-盘#0利7用-率1的3模#(下#转#第#44#页#) #序调试遇见的错误和常见错误讲解，时就会轻松，事半功倍

21、。2.4 以案例、项目为驱动的教学方法这样学生在编程情况、实训报告完成情况等进行考察。2.6 建立快速解决学习中遇到问题的办法老师应该教会学生如何解决学习该课程所遇到的问题，以及解决各种问题的技巧。根据该课程，可以建立一个 “教师、工程师、学生”三方参与的一个面向对象程序设计技术群，一个 qq 群，这样，学生一旦有问题，可以及时发出问题，从而，大家可以看见问题，迅速立即地解决问题。这样，可以激发学生兴趣，增强学生的自信心。3、结论教学改革是教学活动的一个重要主题 , 面向对象程序设计教学在计算机专业教学中非常重要。本文针对教学过程中存在的问题, 进行了思考和探索, 并将该

22、课程本身就是一门重实践的课程，所以实践环节不可少，而且应该突出其重要的位置，我们可以以多案例的方式讲解章节，通过“提出问题分析问题解决问题总结”的过程，然后学生举一反三，重点练习；确定教学内容之后，选择一个综合性的项目贯穿整个教学课堂，例如坦克游戏，学生管理系统等项目。项目可以根据学习情境分成一系列局部功能，在不同的学习情境中，学生将学会实现某些局部功能，让学生进行实际的编程，培养学生的实际编程能力。通过实际的设计、编码、调试、验证和分析结果环节，在锻炼操作能力的同时也巩固了基本理论知识。实验中主要指导学所提出的新方法在教学活动中实施，这些措施使学生生如何跟踪程序的运行，如何设置被

23、监视的变量，如何设置断点，如何单步运行，如何使用 Debug 工具，培养学生阅读程序代码的能力。2.5 多样式的考核方式，注重实践环节的考核以往的考核方式单一，一般采用“平时表现+作业+期末考试”形式，对于实际动手能力的考核很少甚至几乎没有，不能很好地检验学生实际的操作技能水平。因此，需要采用一种多样式合理的考核机制，较好地检验教学效果。课程考核应紧紧围绕以能力为中心，通过课堂教学过程考核、实训项目考核、期末理论和实验考核强化对面向对象概念的理解，灵活运用面向对象思想建立模型，学会采用面向对象的思维进行分析问题 ,并用面向对象程序设计语言编程解决具体的问题，大部分学生的实

24、践动手能力和编程的能力得到了很大的提高，激发了学生的兴趣, 调动了学生的学习积极性, 加强了学生的实践能力，取得了较好的教学效果。参考文献:1StanleyB.Lippman,BarbaraE.Moo,JoseLaJoie. C+ Primer 中文版-(第四版)M. 北京:人民邮电出版社,2006.2钱能.C+程序设计教程M.北京:清华大学出版社,2003.3 谭浩强 .C+ 面向对象程序设计 M. 北京 : 清华大学出版社 ,2006.4韩娜,王洋，关明山.“C + + 程序设计 ”课程改革探讨J.计算机教育

25、,2009.相结合的方式进行。其中课堂教学过程考核强调课堂表现、基本作业、知识掌握情况。期末考核分上机和理论两部分内容，主要考查学生对课程知识的理解及实际的综合运用能力。实训注重考核学生的实际编程能力、分析问题与解决问题的能力。因此，应主要对学生(上接第 76 页)式。可以通过内核的 raidtool 工具来进行设置（设置步骤较复杂，本文不作介绍）。3、结束语参考文献：1周昕,刘勇,沈熙,谢俊元.Linux 安全性能改进研究 J. 计算机工程,2001,27(10).2刘兴丽. Linux 网络安全问题及其对策J.黑龙江气象,2004,2. 3朱元忠

26、.Linux 网络安全问题的探讨及其解决策略 J.北京工业职业技术学院学报,2004,3(3).4潘瑜.基于 Linux 环境的网络安全防火墙和入侵检测系统的研究J.江苏技术师范学院学报,2005,11(2).综上所述，Linux 系统提供较多的安全机制，但是要使 Linux 系统的安全性有较大的提高，还要求我们在使用、管理 Linux 系统时，有策略地、综合地采用以上的安全措施，正确地进行设置。但即使如此，也不能保证 Linux 系统万无一失，因为任何计算机系统都不可能做到密不透风的、百分之百安全。从安全性的角度5孟庆昌.走进 L in ux 世界(第五讲)Lmux 文件管理J.开放系统2看0，L1inu2x-系0统7仍-需1不3断#的#改#进#和#完#善#。#2012-0世界7,-20014,53. #2#0#1#2#-#07-13#Your request could not be processed because of a configuration error: Could not connect to LDAP server.For assistance, contact your network support team.

展开阅读全文