Linux網絡操作系統(tǒng)安全機制探究

李曉靖

摘要隨著時代的發(fā)展，社會的進步，第三次科技革命成果不斷滲透到人們生活的各個領域，計算機的使用被廣泛普及。隨著計算機技術的不斷進步，越來越多的用戶認識到了微軟公司的Windows 2003 Server與Linux系統(tǒng)在穩(wěn)定性、安全性和運行效率方面的區(qū)別比較，把服務器的操作系統(tǒng)更換成Linux操作系統(tǒng)，因為在三方面的比較中，Linux系統(tǒng)更占優(yōu)勢。但是，我們不能忽略的是網絡本身在安全問題方面也面臨著巨大的挑戰(zhàn)，所以，Linux網絡操作系統(tǒng)的安全機制也應該相應的完善和升級。文章重點分析Linux網絡操作系統(tǒng)的安全機制、安全缺陷，并提出相應的安全策略。

關鍵詞Linux網絡操作系統(tǒng)；安全機制；安全缺陷；安全策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）11-0160-01

嵌入式系統(tǒng)能夠正常運行離不開Linux的支持，是嵌入式系統(tǒng)極為重要的組成部分。在大量應用Internet/Intranet的過程中，不論是網絡本身還是信息安全問題都日益突出，黑客攻擊和計算機病毒是最主要的對網絡安全造成威脅的兩個主要途徑。那么，如何保證操作系統(tǒng)的安全，避免網絡操作系統(tǒng)不受破壞，這是網絡安全的根本問題。要想使網絡的安全性得到可靠保障，就必須從網絡操作系統(tǒng)的安全可靠性方面著手。因此，對Linux系統(tǒng)的安全機制進行分析，找出安全缺陷，并提供相應的安全策略和保護措施，是具有重要現實意義的研究課題。

1Linux網絡操作系統(tǒng)的安全機制和安全缺陷

1.1 Linux網絡操作系統(tǒng)的安全機制

Linux網絡操作系統(tǒng)本身已經提供了用戶賬號、文件系統(tǒng)權限和系統(tǒng)日志文件等基本安全機制，以此來保證網絡的安全性。首先，在Linux系統(tǒng)中，用戶賬號象征著用戶的身份，由用戶名和密碼組成。在正常的狀態(tài)下，用戶密碼以及其他的信息都是由信息系統(tǒng)保管的，也只有root以及其他有限的應用程序可以對這些信息進行訪問。其次，文件系統(tǒng)權限也是由用戶名和密碼組成的，在進行用戶登錄時，要輸入用戶名和密碼，由login確定用戶名和密碼是否一致。其中，用來維護系統(tǒng)中合法用戶信息的叫做用戶密碼文件加密后的口令也可能存在于系統(tǒng)的日志文件中。第三，在Linux網絡操作系統(tǒng)中，系統(tǒng)日志文件的用途是對整個系統(tǒng)的使用狀況進行記錄的。這樣，用戶在登錄后，只要用lastlog命令查看一下最后日志文件中記錄的所用賬號的最后登錄時間，再與自己的用機記錄對比一下就可以發(fā)現該賬號是否被黑客盜用。此外，為了彌補系統(tǒng)中密碼的易猜測性以及泄漏性，Linux系統(tǒng)還提供了其他的安全機制，主要有在設置口令時的脆弱性警告和有效期，還有一次性口令的設置、先進的口令加密算法、影子文件的使用、賬戶加鎖等，在一定程度上降低了Linux網絡操作系統(tǒng)中的安全隱患，提高了網絡安全性。

1.2 Linux網絡操作系統(tǒng)的安全缺陷

雖然Linux網絡操作系統(tǒng)的安全機制在不斷地加強和完善，但是，仍然有很多安全缺陷存在，這些安全缺陷的存在使得網絡安全和信息安全受到嚴重的威脅。首先表現在自主訪問控制機制方面，自主訪問控制機制的實現基礎是控制位，但是在這種狀態(tài)下，訪問授權管理無法向更加細粒度的方向發(fā)展。因此，在內核中進行訪問控制列表的設計，可以為訪問授權管理向更高的細粒度發(fā)展提供方便。其次，缺乏強制訪問控制機制是Linux操作系統(tǒng)的又一安全缺陷的具體表現。自主訪問控制機制賦予了用戶全權管理該文件的權利，但是該機制沒法區(qū)分特洛伊木馬，所以一旦被木馬病毒利用，勢必會造成不可估量的后果。Linux系統(tǒng)安全缺陷的第三個表現是root權限的濫用。root也就是系統(tǒng)管理員，管理系統(tǒng)的一切權限都掌握在它手中，另外，某些普通用戶在運行特定的程序時也被賦予了root的權限。所以，如果root的密碼被攻擊者所捕獲，將無人能夠阻止攻擊者對系統(tǒng)的肆意妄為。第四，審計機制不足也是Linux系統(tǒng)安全缺陷重要的表現。

2Linux網絡操作系統(tǒng)安全策略

2.1 Linux網絡操作系統(tǒng)的安全防范策略

要對Linux網絡操作系統(tǒng)的安全問題進行防范，首先應該將普通用戶的權限進行限制到最小，也就是要將開設賬戶時的“最小權限”原則落實到實踐中，雖然這樣會使得系統(tǒng)管理員的工作量有所增加，但是，網絡的安全系數卻得到了提高。其次，系統(tǒng)管理員必須保證用戶口令文件/etc/shadow的安全性，防止非法用戶通過John等程序對該文件開展字典攻擊。另一方面，管理員應該定期通過John程序進行字典攻擊的模擬，通過模擬發(fā)現問題，并及時對用戶口令進行調整。第三，系統(tǒng)管理員應該不斷加強對系統(tǒng)運行狀況的監(jiān)控，并做好記錄工作，通過對監(jiān)控數據的分析，及時發(fā)現系統(tǒng)運行中的可疑之處，防患于未然。第四，系統(tǒng)管理員應該定期對網絡系統(tǒng)開展安全檢查工作，及時發(fā)現動態(tài)變化中的網絡系統(tǒng)運轉的異常現象，管理員也可以通過攻擊的方法發(fā)現系統(tǒng)內存在的問題。最后，系統(tǒng)管理員應該適當地對重要數據進行備份工作，以防黑客攻擊導致的信息損失。

2.2 加強對Linux網絡服務器的管理

加強對Linux網絡服務器管理的措施主要有：1）利用工具，對訪問Linux網絡操作系統(tǒng)的用戶進行記錄，定期對其進行查看、分析、及時發(fā)現問題；2）對Telnet等服務的應用要慎重，沒有特別需要，就不要用，減小用戶名和密碼泄露的機會；3）服務器的安全設置也至關重要，Linux系統(tǒng)中的Apache和MySql數據庫的補丁包應該定期更新，以更好地完善舊版本中存在的不足和漏洞。

3結束語

隨著計算機技術的不斷進步，人類早已邁入信息時代。計算機的應用過程中，網絡安全和信息安全總是成為人們最關心的問題。Linux網絡操作系統(tǒng)的應用可以使網絡安全和信息安全問題得到一定的保證，可天下沒有十全十美的東西，該系統(tǒng)也還需要不斷地完善，才能更好地保證計算機網絡不被黑客或者計算機病毒入侵。除了文中提到的安全策略之外，確保Linux網絡操作系統(tǒng)的安全策略還應該包括架構包過濾防火墻，同時，sudo、sniffit、nmap等網絡安全工具的使用也可以大大增加計算機網絡的安全性。本文分析了Linux網絡操作系統(tǒng)的安全機制和安全缺陷、安全策略等方面的問題，希望能夠為相關工作人員提供一些借鑒。

參考文獻

[1]李亞鵬.Linux網絡操作系統(tǒng)安全機制探究[J].科技視界，2013（01）.

[2]葛偉，湯金艷.淺談LINUX系統(tǒng)安全[J].經營管理者，2011（10）.

[3]汪海濤，張平華.Linux系統(tǒng)網絡安全的研究與分析[J].電腦編程技巧與維護，2012（04）.

endprint