Linux系統(tǒng)的安全檢測與增強技術(shù)分析

烏蘭圖亞

摘要：Linux系統(tǒng)無論是在性能上、功能上或是價格上都有很多優(yōu)點，然而，作為一個開放式的操作系統(tǒng)，它必然會存在一定的安全隱患。關于怎樣解決這些隱患，提供給應用一個安全的操作平臺，該文會對一些最有效、最基本和最常用的Linux系統(tǒng)的安全檢測與增強技術(shù)進行分析。

關鍵詞：安全監(jiān)測；增強技術(shù)；分析

中圖分類號：TP313 文獻標識碼：A 文章編號：1009-3044（2014）27-6325-02

Abstract： The Linux system both in performance， function or prices have many advantages， however， as an open operating system， it is bound to the existence of certain security risks. On how to deal with these risks， to provide a secure application platform， this paper will be on the safety detection of some of the most effective， the most basic and most commonly used in Linux system and enhance the technical analysis.

Key words： security enhancement technology； monitoring； analysis

1 Linux系統(tǒng)的安全檢測和增強的重要性

由于Linux操作系統(tǒng)是多用戶操作系統(tǒng)，一些黑客群體為了匿名對系統(tǒng)進行破壞和篡改，常常就會選擇Linux系統(tǒng)進行攻擊。因此在使用Linux系統(tǒng)時，對Linux系統(tǒng)的安全性能就要格外關注，使用必要的辦法去報Linux系統(tǒng)的安全。安全性是重大且極具挑戰(zhàn)性的主題，所以任何一位負責服務器端的工作者，都要掌握Linux系統(tǒng)的安全檢測和增強的基本步驟。安全性是一個棘手的問題，它并不是一成不變的，而且工作人員還很難知道它需要擴展到何種程度。

2 增強自己的賬戶安全的措施

2.1增強自己的賬戶安全的首要內(nèi)容

盡管使計算安全性的每個方面跟上潮流極具挑戰(zhàn)性，但一些領域已經(jīng)相對比較成熟，應該對其進行系統(tǒng)地學習。其中賬戶管理應該是每個使用Linux服務器的用戶學習的第一個領域。在首次出版的對Linux管理和編程進行詳細介紹的書中，說明的意圖十分的簡潔明了，就是怎樣為使用你主機的人設置和維護計算帳戶和組關系。因此，要“使用”計算機時也就必須要先“登錄”。帳戶管理的全部內(nèi)容就是：使用像useradd 、chsh之類的命令來配置Linux帳戶，這樣一來，就可以達到相同部門開發(fā)人員中的大部分用戶群使用。

2.2清除/etc/pass wd的大部分內(nèi)容

大多數(shù)服務器應該清除/etc/passwd的大部分內(nèi)容。由于種種原因，大多數(shù)電子郵件服務器、Web服務器、文件服務器等，都是由/etc/passwd對它們的用戶訪問進行嚴格的管理。但實際的使用中證明，在大多數(shù)情況下，著就是一個錯誤。早期，很有可能出現(xiàn)幾十個工程師共享一臺高端工作站的情況，這時采取這種方法不失為明智的選擇。但是，如果出現(xiàn)一臺電子郵件服務器要對成千上萬名用戶（他們中的大多數(shù)只是把計算當成和飲水器或電話系統(tǒng)一樣的公用設施）的郵箱進行處理時，再采用傳統(tǒng)的/etc/passwd方式來進行管理，顯然是一個錯誤。

2.3將用戶帳戶移到專門的數(shù)據(jù)存儲

因為/etc/passwd方式經(jīng)歷了許多次的漏洞修補和功能調(diào)整，所以應付巨大的工作量綽綽有余。但是解決問題的辦法并非一種。若是將用戶帳戶移至諸如LDAP或是RDBMS專門的數(shù)據(jù)存儲，如此一來用戶將會得到很大的好處和方便。要設置/etc/passwd的權(quán)限，使其只能讓開發(fā)與管理人員登陸。這樣系統(tǒng)的安全性能將會大幅大提升，這是由于諸如電子郵件和Web等服務的用戶的忙閑度和負責開發(fā)的工作人員的完全不一樣。一旦用戶對一臺新的服務器設置完畢之后，它的/etc/passwd就不可以在短時間內(nèi)頻繁的更改。若是期間其被有所更新，或者是被一些電腦黑客惡意的篡改過，就很難檢測出來。但是，若是用戶正在運行一個較大的服務器，這樣的話每天出現(xiàn)幾個新添加的或者是過期的電子郵件帳戶更改是十分常見的。這就需要將這些帳戶從/etc/passwd賦予的更大的訪問權(quán)隔離開來。

2.4構(gòu)建一個替代性帳戶數(shù)據(jù)存儲

構(gòu)建一個替代性帳戶數(shù)據(jù)存儲非常重要。為了使由無需登錄的用戶占多數(shù)的非常龐大的/etc/passwds正常工作，在以前的一段時間相關人員已經(jīng)做出了很大的努力。如果用戶已經(jīng)下定決心編寫個人帳戶認證，并且諸如sendmail這樣比較傳統(tǒng)電子郵件程序，那么用戶就會發(fā)現(xiàn)自己等同于正在為SMTP與IMAP4服務器編寫更改。

2.5注重對方案的選擇

對于存在的一些問題會使開發(fā)人員更加喜好上采用目前現(xiàn)有的軟件，但這種方法是不正確的。開發(fā)人員應當采用目前現(xiàn)有但能夠為自己再次利用的解決方案。一般情況下，對于用戶至關重要的一項就是把安全性考慮事項做到模塊化。大多數(shù)使用者都想將開發(fā)人員和管理員帳戶與最終用戶服務進行完全分開式的管理。然后通過將后者從/etc/passwd清除，這樣就能夠十分容易地對一方進行鎖定，對另一方也不會造成影響。

3 策略自動化

3.1策略自動化的重要性

雖然為了達到創(chuàng)建與刪除開發(fā)人員和最終用戶的目的，并將這些做法納入可執(zhí)行文件看起來是十分不錯的規(guī)定，但仔細思考就會發(fā)現(xiàn)其并不具備必要性。這么做的目的就是為了使用戶能夠更好的理解和明確這一內(nèi)容。在帳戶創(chuàng)建和刪除的過程中，如果不小心就會留下安全性漏洞。為了防止這一問題的出現(xiàn)，就應該在賬戶創(chuàng)建與刪除之后和相關部門一起對這個過程進行仔細的檢查。如果自己不親自采納并使用替代方案，就很難發(fā)現(xiàn)其重要性。

3.2策略自動化的優(yōu)點

當沒有為添加和除去用戶帳號編寫過程時，將會最終導致同樣的結(jié)果重復出現(xiàn)多次。我們簡單的做一個情景假設，等那個一個新的工作人員在周一報到，那么這個員工很有可能到了仍無法訪問它所在公司的文件。又比如，一個人從某公司辭去的職位，但是在辭職一段時間后還可以檢索出特殊用途的公司資產(chǎn)。因此可以看出帳戶自動化一個非常好的附帶優(yōu)點就是它支持較為徹底的驗證。

4 其他注意事項

4.1保持高度警覺

一般情況下，就普通用戶而言，解決安全性最重要的難題就是怎樣避免其錯誤的出現(xiàn)，這是因為它比較薄弱，如果出現(xiàn)一個漏洞，就有可能導致目前客戶所有投資付之東流。只有綜合考慮，。面面俱到，全面的處理突發(fā)問題，這樣安全性工作才能更上一層樓。比如很多單位和部門應對密碼在短時間內(nèi)多次丟失的辦法就是，根據(jù)部分公共信息對密碼進行指定。

4.2盡量避免災難性錯誤

現(xiàn)階段。尚未有科學系統(tǒng)的方法能夠規(guī)避災難性的錯誤。但是認真仔細研究RISKS文摘，以及嚴格工程檢查是十分見效的步驟。RISKS是一位工程師自上個世紀80年代就開始編寫的在線時事通訊。對事情（特別是Linux服務器上的安全性）出現(xiàn)的原因進行詳細的思考。有些用戶對“軟件檢查”的認識十分狹隘，只知道它是將開發(fā)人員在編寫源代碼的過程中一些錯誤的符號查出的一種辦法，其實，它并非那么簡單，他是一種非常高效的實踐。

4.3嚴格管理好口令

在操作系統(tǒng)是，一定要注意不能泄露自己的個人資料和口令，若是黑客得到了根權(quán)限帳號，他們就可以惡意的篡改和攻擊系統(tǒng)。大多數(shù)用戶都會將口令保存到/etc/passwd文件中，認為/etc/passwd已經(jīng)加密，能夠很好的保存自己口令，但一些黑客為了達到自己的目的，就會選用一些特殊的收縮方法來搜索客戶的口令，若是一些用戶在保存或是選擇口令時過于簡單或是方式不正確，就會加大被黑客查找到的幾率。另外，用戶最好能夠安裝一個口令過濾工具，檢測一下所設置口令的安全性能如何。

5 小結(jié)

在選擇閱讀參考資料時，應該只想更為豐富的讀物，主要是和加固服務器、Linux安全性以及檢查方面密切相關的主題，可以讓自己快速的對Linux系統(tǒng)的安全檢測與增強技術(shù)進行學習，使操作的安全性大幅度提高。

參考文獻：

[1] 趙德志，章勇，廖書紅.嵌入式Linux及BOA服務器在S3C2410上的移植[A].2010通信理論與技術(shù)新發(fā)展——第十五屆全國青年通信學術(shù)會議論文集（上冊）[C]，2010.

[2] 丁濤，郝沁汾，張冰.內(nèi)核虛擬機調(diào)度策略的研究與分析[A].2010系統(tǒng)仿真技術(shù)及其應用學術(shù)會議論文集[C]，2010.

[3] 章慧鋒，陳立定.基于Linux和XML的環(huán)保數(shù)據(jù)傳輸技術(shù)[J]；計算機工程與設計，2010（01）.