李曉靖

摘要隨著時(shí)代的發(fā)展，社會(huì)的進(jìn)步，第三次科技革命成果不斷滲透到人們生活的各個(gè)領(lǐng)域，計(jì)算機(jī)的使用被廣泛普及。隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，越來越多的用戶認(rèn)識(shí)到了微軟公司的Windows 2003 Server與Linux系統(tǒng)在穩(wěn)定性、安全性和運(yùn)行效率方面的區(qū)別比較，把服務(wù)器的操作系統(tǒng)更換成Linux操作系統(tǒng)，因?yàn)樵谌矫娴谋容^中，Linux系統(tǒng)更占優(yōu)勢(shì)。但是，我們不能忽略的是網(wǎng)絡(luò)本身在安全問題方面也面臨著巨大的挑戰(zhàn)，所以，Linux網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制也應(yīng)該相應(yīng)的完善和升級(jí)。文章重點(diǎn)分析Linux網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制、安全缺陷，并提出相應(yīng)的安全策略。

關(guān)鍵詞Linux網(wǎng)絡(luò)操作系統(tǒng)；安全機(jī)制；安全缺陷；安全策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）11-0160-01

嵌入式系統(tǒng)能夠正常運(yùn)行離不開Linux的支持，是嵌入式系統(tǒng)極為重要的組成部分。在大量應(yīng)用Internet/Intranet的過程中，不論是網(wǎng)絡(luò)本身還是信息安全問題都日益突出，黑客攻擊和計(jì)算機(jī)病毒是最主要的對(duì)網(wǎng)絡(luò)安全造成威脅的兩個(gè)主要途徑。那么，如何保證操作系統(tǒng)的安全，避免網(wǎng)絡(luò)操作系統(tǒng)不受破壞，這是網(wǎng)絡(luò)安全的根本問題。要想使網(wǎng)絡(luò)的安全性得到可靠保障，就必須從網(wǎng)絡(luò)操作系統(tǒng)的安全可靠性方面著手。因此，對(duì)Linux系統(tǒng)的安全機(jī)制進(jìn)行分析，找出安全缺陷，并提供相應(yīng)的安全策略和保護(hù)措施，是具有重要現(xiàn)實(shí)意義的研究課題。

1Linux網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制和安全缺陷

1.1 Linux網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制

Linux網(wǎng)絡(luò)操作系統(tǒng)本身已經(jīng)提供了用戶賬號(hào)、文件系統(tǒng)權(quán)限和系統(tǒng)日志文件等基本安全機(jī)制，以此來保證網(wǎng)絡(luò)的安全性。首先，在Linux系統(tǒng)中，用戶賬號(hào)象征著用戶的身份，由用戶名和密碼組成。在正常的狀態(tài)下，用戶密碼以及其他的信息都是由信息系統(tǒng)保管的，也只有root以及其他有限的應(yīng)用程序可以對(duì)這些信息進(jìn)行訪問。其次，文件系統(tǒng)權(quán)限也是由用戶名和密碼組成的，在進(jìn)行用戶登錄時(shí)，要輸入用戶名和密碼，由login確定用戶名和密碼是否一致。其中，用來維護(hù)系統(tǒng)中合法用戶信息的叫做用戶密碼文件加密后的口令也可能存在于系統(tǒng)的日志文件中。第三，在Linux網(wǎng)絡(luò)操作系統(tǒng)中，系統(tǒng)日志文件的用途是對(duì)整個(gè)系統(tǒng)的使用狀況進(jìn)行記錄的。這樣，用戶在登錄后，只要用lastlog命令查看一下最后日志文件中記錄的所用賬號(hào)的最后登錄時(shí)間，再與自己的用機(jī)記錄對(duì)比一下就可以發(fā)現(xiàn)該賬號(hào)是否被黑客盜用。此外，為了彌補(bǔ)系統(tǒng)中密碼的易猜測(cè)性以及泄漏性，Linux系統(tǒng)還提供了其他的安全機(jī)制，主要有在設(shè)置口令時(shí)的脆弱性警告和有效期，還有一次性口令的設(shè)置、先進(jìn)的口令加密算法、影子文件的使用、賬戶加鎖等，在一定程度上降低了Linux網(wǎng)絡(luò)操作系統(tǒng)中的安全隱患，提高了網(wǎng)絡(luò)安全性。

1.2 Linux網(wǎng)絡(luò)操作系統(tǒng)的安全缺陷

雖然Linux網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制在不斷地加強(qiáng)和完善，但是，仍然有很多安全缺陷存在，這些安全缺陷的存在使得網(wǎng)絡(luò)安全和信息安全受到嚴(yán)重的威脅。首先表現(xiàn)在自主訪問控制機(jī)制方面，自主訪問控制機(jī)制的實(shí)現(xiàn)基礎(chǔ)是控制位，但是在這種狀態(tài)下，訪問授權(quán)管理無法向更加細(xì)粒度的方向發(fā)展。因此，在內(nèi)核中進(jìn)行訪問控制列表的設(shè)計(jì)，可以為訪問授權(quán)管理向更高的細(xì)粒度發(fā)展提供方便。其次，缺乏強(qiáng)制訪問控制機(jī)制是Linux操作系統(tǒng)的又一安全缺陷的具體表現(xiàn)。自主訪問控制機(jī)制賦予了用戶全權(quán)管理該文件的權(quán)利，但是該機(jī)制沒法區(qū)分特洛伊木馬，所以一旦被木馬病毒利用，勢(shì)必會(huì)造成不可估量的后果。Linux系統(tǒng)安全缺陷的第三個(gè)表現(xiàn)是root權(quán)限的濫用。root也就是系統(tǒng)管理員，管理系統(tǒng)的一切權(quán)限都掌握在它手中，另外，某些普通用戶在運(yùn)行特定的程序時(shí)也被賦予了root的權(quán)限。所以，如果root的密碼被攻擊者所捕獲，將無人能夠阻止攻擊者對(duì)系統(tǒng)的肆意妄為。第四，審計(jì)機(jī)制不足也是Linux系統(tǒng)安全缺陷重要的表現(xiàn)。

2Linux網(wǎng)絡(luò)操作系統(tǒng)安全策略

2.1 Linux網(wǎng)絡(luò)操作系統(tǒng)的安全防范策略

要對(duì)Linux網(wǎng)絡(luò)操作系統(tǒng)的安全問題進(jìn)行防范，首先應(yīng)該將普通用戶的權(quán)限進(jìn)行限制到最小，也就是要將開設(shè)賬戶時(shí)的“最小權(quán)限”原則落實(shí)到實(shí)踐中，雖然這樣會(huì)使得系統(tǒng)管理員的工作量有所增加，但是，網(wǎng)絡(luò)的安全系數(shù)卻得到了提高。其次，系統(tǒng)管理員必須保證用戶口令文件/etc/shadow的安全性，防止非法用戶通過John等程序?qū)υ撐募_展字典攻擊。另一方面，管理員應(yīng)該定期通過John程序進(jìn)行字典攻擊的模擬，通過模擬發(fā)現(xiàn)問題，并及時(shí)對(duì)用戶口令進(jìn)行調(diào)整。第三，系統(tǒng)管理員應(yīng)該不斷加強(qiáng)對(duì)系統(tǒng)運(yùn)行狀況的監(jiān)控，并做好記錄工作，通過對(duì)監(jiān)控?cái)?shù)據(jù)的分析，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的可疑之處，防患于未然。第四，系統(tǒng)管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)系統(tǒng)開展安全檢查工作，及時(shí)發(fā)現(xiàn)動(dòng)態(tài)變化中的網(wǎng)絡(luò)系統(tǒng)運(yùn)轉(zhuǎn)的異?，F(xiàn)象，管理員也可以通過攻擊的方法發(fā)現(xiàn)系統(tǒng)內(nèi)存在的問題。最后，系統(tǒng)管理員應(yīng)該適當(dāng)?shù)貙?duì)重要數(shù)據(jù)進(jìn)行備份工作，以防黑客攻擊導(dǎo)致的信息損失。

2.2 加強(qiáng)對(duì)Linux網(wǎng)絡(luò)服務(wù)器的管理

加強(qiáng)對(duì)Linux網(wǎng)絡(luò)服務(wù)器管理的措施主要有：1）利用工具，對(duì)訪問Linux網(wǎng)絡(luò)操作系統(tǒng)的用戶進(jìn)行記錄，定期對(duì)其進(jìn)行查看、分析、及時(shí)發(fā)現(xiàn)問題；2）對(duì)Telnet等服務(wù)的應(yīng)用要慎重，沒有特別需要，就不要用，減小用戶名和密碼泄露的機(jī)會(huì)；3）服務(wù)器的安全設(shè)置也至關(guān)重要，Linux系統(tǒng)中的Apache和MySql數(shù)據(jù)庫(kù)的補(bǔ)丁包應(yīng)該定期更新，以更好地完善舊版本中存在的不足和漏洞。

3結(jié)束語(yǔ)

隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，人類早已邁入信息時(shí)代。計(jì)算機(jī)的應(yīng)用過程中，網(wǎng)絡(luò)安全和信息安全總是成為人們最關(guān)心的問題。Linux網(wǎng)絡(luò)操作系統(tǒng)的應(yīng)用可以使網(wǎng)絡(luò)安全和信息安全問題得到一定的保證，可天下沒有十全十美的東西，該系統(tǒng)也還需要不斷地完善，才能更好地保證計(jì)算機(jī)網(wǎng)絡(luò)不被黑客或者計(jì)算機(jī)病毒入侵。除了文中提到的安全策略之外，確保Linux網(wǎng)絡(luò)操作系統(tǒng)的安全策略還應(yīng)該包括架構(gòu)包過濾防火墻，同時(shí)，sudo、sniffit、nmap等網(wǎng)絡(luò)安全工具的使用也可以大大增加計(jì)算機(jī)網(wǎng)絡(luò)的安全性。本文分析了Linux網(wǎng)絡(luò)操作系統(tǒng)的安全機(jī)制和安全缺陷、安全策略等方面的問題，希望能夠?yàn)橄嚓P(guān)工作人員提供一些借鑒。

參考文獻(xiàn)

[1]李亞鵬.Linux網(wǎng)絡(luò)操作系統(tǒng)安全機(jī)制探究[J].科技視界，2013（01）.

[2]葛偉，湯金艷.淺談LINUX系統(tǒng)安全[J].經(jīng)營(yíng)管理者，2011（10）.

[3]汪海濤，張平華.Linux系統(tǒng)網(wǎng)絡(luò)安全的研究與分析[J].電腦編程技巧與維護(hù)，2012（04）.

endprint