淺談Linux系統(tǒng)的安全基線研究

王慶剛 黃龍

摘要：隨著信息化技術(shù)的高速發(fā)展，服務(wù)器系統(tǒng)的安全性變得越來越重要，特別是被廣泛應(yīng)用于服務(wù)器的Linux操作系統(tǒng)。本文從當(dāng)前Linux系統(tǒng)面臨的安全問題出發(fā)，針對口令容易被破解、用戶權(quán)限過高、文件傳輸協(xié)議設(shè)置不當(dāng)和其他的一些安全問題等方面進(jìn)行了分析和研究，并從安全基線配置的角度給出了提高Linux系統(tǒng)安全性的新思路和方法，對保障服務(wù)器的系統(tǒng)安全具有重要意義。

關(guān)鍵詞：Linux；系統(tǒng)安全性；安全基線配置

中圖分類號：TP316 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2018）07-0205-02

在計算機網(wǎng)絡(luò)技術(shù)迅速發(fā)展的時代背景下，信息安全對服務(wù)器系統(tǒng)的安全性要求也越來越高。Linux系統(tǒng)作為一種廣泛應(yīng)用于各類服務(wù)器的開源免費操作系統(tǒng)，其穩(wěn)定性和性價比方面無與倫比的優(yōu)勢使它受到眾多用戶的青睞，也正是因為Linux操作系統(tǒng)在當(dāng)前很多政府部門、企業(yè)服務(wù)器中的廣泛應(yīng)用，使得它成為黑客攻擊的重點目標(biāo)，Linux系統(tǒng)的安全問題已成為一個亟待解決的問題。盡管Linux操作系統(tǒng)自身保留了一定的系統(tǒng)安全特性，但在安裝時并沒有進(jìn)行相關(guān)的安全設(shè)置，造成系統(tǒng)安全基線配置成為影響系統(tǒng)安全的一個重大薄弱環(huán)節(jié)。安全基線是Linux系統(tǒng)中最基本的安全要求，但同時也在Linux安全系統(tǒng)中扮演著重要角色，本文針對Linux系統(tǒng)中面臨的一系列安全問題，通過對系統(tǒng)安全基線配置的研究，切實提高了Linux系統(tǒng)的安全性能。

1 Linux系統(tǒng)面臨的安全挑戰(zhàn)

1.1 存在弱口令風(fēng)險

口令是計算機安全系統(tǒng)的一個不可或缺的部分，是保護(hù)計算機系統(tǒng)的前沿陣地。由于Linux操作系統(tǒng)多數(shù)采用的是靜態(tài)口令認(rèn)證技術(shù)，許多黑客利用簡單的密碼嘗試登錄設(shè)備，口令猜測可以利用社會工程學(xué)通過猜測系統(tǒng)可能使用的口令進(jìn)行，也可以通過計算機編程的方式操控軟件程序自動地進(jìn)行多次猜測。過短項目組成單一的密碼相對比較容易被黑客通過以上的兩種暴力手段破解，從而導(dǎo)致系統(tǒng)關(guān)鍵數(shù)據(jù)文件流失，嚴(yán)重影響系統(tǒng)的正常運轉(zhuǎn)，甚至?xí)斐删薮蟮呢敭a(chǎn)損失。這種源于管理人員對系統(tǒng)的設(shè)置過于簡單產(chǎn)生的漏洞是可以避免的，但卻由于管理人員的惰性可能致使系統(tǒng)存在巨大的安全隱患。

1.2 系統(tǒng)用戶權(quán)限管理不規(guī)范

系統(tǒng)通常有明確的用戶權(quán)限管理，用戶僅可以訪問被授權(quán)范圍的特定資源。Linux操作系統(tǒng)中的用戶一般分為三類：root用戶、虛擬用戶和普通用戶。root用戶是系統(tǒng)管理員用戶，此用戶擁有系統(tǒng)的最高權(quán)限，可以操作系統(tǒng)中任何文件和命令；虛擬用戶也被稱為偽用戶，這類用戶是系統(tǒng)自身擁有的，也是系統(tǒng)運行不可缺少的用戶，但不具有登錄系統(tǒng)的能力；普通用戶是由系統(tǒng)管理員添加，能夠正常登錄Linux系統(tǒng)，但只能操作系統(tǒng)管理員分配給它宿主目錄的內(nèi)容。在實際管理工作中，系統(tǒng)管理員往往會給普通用戶分配一些特殊權(quán)限進(jìn)行系統(tǒng)的管理，但如果Linux系統(tǒng)特殊用戶權(quán)限分配過高，即普通用戶權(quán)限過高，一旦黑客攻陷了這些普通用戶賬號就能夠通過它們向操作系統(tǒng)發(fā)起攻擊，這可能會對整個系統(tǒng)造成不可估量的損失。

1.3 文件傳輸協(xié)議設(shè)置不合理

使用FTP進(jìn)行文件傳輸需要一個用戶名和相應(yīng)的口令，而在互聯(lián)網(wǎng)的每個FTP服務(wù)器系統(tǒng)中都申請一個帳號是不現(xiàn)實的，于是Internet提供了匿名FTP服務(wù)用來解決這個問題。匿名FTP服務(wù)充分體現(xiàn)了網(wǎng)絡(luò)的開放性，用戶可以通過網(wǎng)絡(luò)連接到遠(yuǎn)程服務(wù)器主機上，并且從中下載文件，而不需要在該服務(wù)器上擁有帳號。當(dāng)遠(yuǎn)程服務(wù)器提供匿名FTP服務(wù)時，會指定某些文件對網(wǎng)絡(luò)開放，允許網(wǎng)絡(luò)用戶匿名訪問和存取，而系統(tǒng)中的其他文件則禁止被用戶訪問。但匿名FTP服務(wù)也存在一些安全問題，例如用于文件傳輸?shù)腇TP協(xié)議的安全配置不合理，服務(wù)器中的其他私密信息就非?？赡鼙槐┞冻鰜恚瑥亩缓诳瞳@取和利用。

1.4 其他的安全問題

Linux操作系統(tǒng)中某些業(yè)務(wù)操作需要通過普通用戶su進(jìn)入root，但是如果普通用戶能夠輕松跳轉(zhuǎn)到root，那么系統(tǒng)的安全性就會大大降低；另外，Linux系統(tǒng)中若被植入了木馬病毒文件，這可能導(dǎo)致不需要密碼就可以登錄本地系統(tǒng)的所有非root帳號，從而盜取服務(wù)器中的文件信息。

2 Linux系統(tǒng)安全基線的研究

針對以上Linux系統(tǒng)中面臨的各種安全挑戰(zhàn)，下面我們對Linux系統(tǒng)的安全基線進(jìn)行了詳細(xì)的分析和研究，并通過合理的安全配置來解決這些安全問題，不斷提高Linux系統(tǒng)的安全性。

2.1 對帳號口令進(jìn)行安全配置

2.1.1 檢查口令的最小長度

在Linux系統(tǒng)中，控制密碼長度的配置文件為login.defs文件，該文件在目錄/etc下，在配置文件中可以手動添加關(guān)鍵字。對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，配置的匹配正則表達(dá)式為：/^＼s*PASS_MIN_LEN＼s+（＼w+），匹配規(guī)則為：>=8，配置方法就是在文件/etc/login.defs中設(shè)置PASS_MIN_LEN不小于標(biāo)準(zhǔn)值。

2.1.2 設(shè)置系統(tǒng)密碼復(fù)雜度策略

在設(shè)置了口令最小長度后，可能存在諸如1234567890、qwertyuiop等符合口令最小長度，但復(fù)雜性較低的口令。這些口令由于構(gòu)成比較單一，都屬于弱口令的范疇，即僅包含簡單數(shù)字和字母等元素。為了確保系統(tǒng)的安全性，在Linux系統(tǒng)中應(yīng)該對密碼的復(fù)雜度進(jìn)行配置，要求口令由大寫字母、小寫字母、數(shù)字和特殊字符的隨機組合構(gòu)成。Redhat系統(tǒng)中修改/etc/pam.d/system-auth文件， Suse10、Suse11修改/etc/pam.d/common-password文件，對屬性ucredit=-1、lcredit=-1、dcredit=-1、ocredit=-1都進(jìn)行選擇，并追加到password requisite pam_cracklib.so后面。

2.1.3 設(shè)置口令的生存周期

對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，即使按照上文對口令最小長度和復(fù)雜度都進(jìn)行合規(guī)的配置，仍然可能存在暴露給其他人的風(fēng)險，所以需要對口令進(jìn)行定期修改。/etc目錄下的login.defs文件可以實現(xiàn)對口令生存周期的設(shè)置。通常對于靜態(tài)口令來說，一般生存周期應(yīng)該不超過90天，配置的匹配正則表達(dá)式為：^＼s*PASS_MAX_ DAYS＼s+（＼w+），匹配規(guī)則為：<=90，即在文件/etc/login.defs中設(shè)置PASS_MAX_DAYS不大于標(biāo)準(zhǔn)值。

2.2 對用戶權(quán)限進(jìn)行設(shè)置

2.2.1 檢查用戶目錄默認(rèn)訪問權(quán)限

在Linux系統(tǒng)中，需要對不同權(quán)限、不同類型的用戶設(shè)置不同的umask值，以此來防止不同組的用戶或同組的不同用戶對某一特定用戶創(chuàng)建的文件進(jìn)行訪問、修改等。在創(chuàng)建新文件或目錄時應(yīng)設(shè)置合理的訪問權(quán)限，配置的匹配正則表達(dá)式為：^＼s*[u|U][m|M][a|A][s|S][k|K]＼s+（＼w+），匹配規(guī)則為：=027，配置方法是在login.defs文件的末尾增加UMASK 027來將訪問權(quán)限設(shè)置為750。

2.2.2 設(shè)置命令行界面超時退出

用戶對Linux系統(tǒng)進(jìn)行操作的過程中，如果因臨時事務(wù)暫時離開而沒有及時注銷賬號，此時可能發(fā)生非法用戶對系統(tǒng)進(jìn)行錯誤操作的情況，因此非常有必要對命令行界面設(shè)置超時退出。對于具備字符交互界面的設(shè)備，配置適當(dāng)?shù)膸舳〞r自動注銷功能，該配置的匹配正則表達(dá)式為：.+，匹配規(guī)則為：=<=300，配置方法是在root賬戶狀態(tài)下執(zhí)行vi/etc/profic命令添加export TMOUT=300配置語句，重新登錄后即可激活超時退出功能。

2.2.3 限制root用戶的遠(yuǎn)程登錄

為了保證Linux系統(tǒng)的安全，只允許root賬號的本地登錄，而不能通過ssh或telnet等方式進(jìn)行遠(yuǎn)程登錄，該配置的匹配正則表達(dá)式為：/^＼s*PermitRootLogin＼s+（＼w+）/i和/（auth＼s*required＼s *pam_securetty.so）/，配置方法是將/etc/ssh/sshd_config文件中PermitRootLogin的值修改為no和修改/etc/pam.d/login文件中的auth required pam_securetty.so。

2.3 對網(wǎng)絡(luò)協(xié)議進(jìn)行安全配置

2.3.1 禁止匿名用戶登錄FTP

主要是禁止系統(tǒng)的匿名VSFTP和WU-FTP用戶登錄，配置方法是在/etc/vsftpd.conf文件中設(shè)置anonymous_enable=NO，同時在/etc/password文件中刪除相應(yīng)的ftp用戶。

2.3.2 禁止root用戶登錄FTP

該配置主要是禁止系統(tǒng)的root賬號登錄VSFTP和WU-FTP，具體配置方式是在/etc/ftpusers文件中添加root用戶。

2.4 Linux系統(tǒng)其他安全項的配置

2.4.1 限制普通用戶su到root

一些普通用戶在業(yè)務(wù)操作中需要用到root權(quán)限，此時要為該普通用戶開通su到root的權(quán)限，并對其他用戶禁止su到root。配置方法是在/etc/pam.d/su文件的開頭添加auth sufficient pam_rootok.so和auth required pam_wheel.so group=wheel，并通過usermod -G wheel username命令將用戶添加到wheel組，即可實現(xiàn)對特定用戶開通su到root的權(quán)限。

2.4.2 刪除潛在的危險文件

Linux系統(tǒng)中的.rhosts、.netrc、hosts.equiv等類型文件都屬于危險文件，需要手動進(jìn)行發(fā)現(xiàn)和刪除?？赏ㄟ^執(zhí)行命令find/-maxdepth 3-name .rhosts/.netrc/hosts.equiv來發(fā)現(xiàn)系統(tǒng)中存在的危險文件，然后執(zhí)行命令mv .rhosts/.netrc/hosts.equiv） 完成危險文件的手動清除。

3 結(jié)語

Linux作為目前應(yīng)用最廣泛的服務(wù)器端操作系統(tǒng)，其系統(tǒng)安全性也受到用戶的重點關(guān)注。本文通過對安全基線配置的研究可以切實提高Linux系統(tǒng)的安全防護(hù)能力，這有效解決了當(dāng)前Linux系統(tǒng)所面臨的諸多安全問題，降低了系統(tǒng)遭受攻擊的風(fēng)險。網(wǎng)絡(luò)技術(shù)的快速發(fā)展必然會給Linux系統(tǒng)帶來新的安全挑戰(zhàn)，但只要我們積極應(yīng)對并不斷優(yōu)化系統(tǒng)的安全基線配置，必定能夠逐步完善Linux系統(tǒng)的安全性，為用戶提供一個良好的系統(tǒng)環(huán)境。

參考文獻(xiàn)

[1]卿斯?jié)h，曾山松，杜超.Windows安全基線研究[J].信息網(wǎng)絡(luò)安全，2015，（3）：6-13.

[2]王艷麗.淺談Linux用戶管理[J].電子科技，2010，23（5）：122.

[3]余柏山.Linux系統(tǒng)管理與網(wǎng)絡(luò)管理[M].清華大學(xué)出版社，2014.

[4]彭錦強.Linux系統(tǒng)root密碼的破解與防護(hù)研究[J].中國化工貿(mào)易，2017，（6）：252.