浅析LINUX安全管理技巧

天津 李洋

浅析LINUX安全管理技巧

天津 李洋

Linux是一款免费的操作系统，用户可以通过网络或其他途径免费获得，并可以任意修改其源代码。作为一种开放源代码操作系统，相对于一些系统本身的安全漏洞，更多的安全问题是由不当的配置造成的，可以通过适当的配置来防止。本文列举了多种方法对系统各个方面进行配置，以增强系统的安全性。

服务器；网络访问；安全机制

Linux是一种“自由(Free)软件”：所谓自由，是指用户可以自由地获取程序及其源代码，并能自由地使用他们，包括修改或拷贝等。它是网络时代的产物，众多的技术人员通过Internet共同完成它的研究和开发，无数用户参与了测试和除错，并可方便地加上用户自己编制的扩充功能。Linux是一种类Unix的操作系统。因为它不属于某一家厂商，没有厂商宣称对它提供安全保证，因此用户只有自己解决安全问题。

一、加固服务器

相对于这些系统本身的安全漏洞，更多的安全问题是由不当的配置造成的，可以通过适当的配置来防止。服务器上运行的服务越多，不当的配置出现的机会也就越多，出现安全问题的可能性就越大。

（一）系统安全记录文件

操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果你的系统是直接连到Internet，你发现有很多人对你的系统做Telnet/FTP登录尝试，可以运行“#more/var/log/secure grep refused”来检查系统所受到的攻击，以便采取相应的对策，如使用SSH来替换Telnet/rlogin等。

（二）限制网络访问

1.NFS访问

如果你使用NFS网络文件系统服务，应该确保你的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。

2.Inetd设置

首先要确认/etc/inetd.conf的所有者是root，且文件权限设置为600。设置完成后，可以使用“stat”命令进行检查。

#chmod 600/etc/inetd.conf

然后，编辑/etc/inetd.conf禁止以下服务。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

配置完成后，可以用tcpdchk检查。

3.登录终端设置

/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，你可以编辑/etc/securetty，让root仅可在tty1终端登录。

二、文件系统

在Linux系统中，分别为不同的应用安装单独的主分区，将关键的分区设置为只读，将大大提高文件系统的安全。这主要涉及到Linux自身的ext2文件系统的只添加（只添加）和不可变这两大属性。

·文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况下至少要建立 /、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。

·扩展ext2使用ext2文件系统上的只添加和不可变这两种文件属性可以进一步提高安全级别。不可变和只添加属性只是两种扩展ext2文件系统的属性标志的方法。可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用lsattr命令。这两种文件属性在检测黑客企图在现有的文件中安装入侵后门时是很有用的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。

·保护log文件当与log文件和log备份一起使用时不可变和只添加这两种文件属性特别有用。系统管理员应该将活动的log文件属性设置为只添加。当log被更新时，新产生的log备份文件属性应该设置成不可变的，而新的活动的log文件属性又变成了只添加。

三、备份

在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法篡改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。

四、改进系统内部安全机制

可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击这种破坏力极强却又最难预防的攻击方式，虽然这样的改进需要系统管理员具有相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统来讲还是很有必要的。

·Solaris Designer的安全Linux补丁。Solaris Designer用于2.0版内核的安全Linux补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安全性。

·StackGuard是一个十分强大的安全补丁工具。你可以使用经StackGuard修补过的gcc版本来重新编译和链接关键的应用。

·增加新的访问控制功能。Linux的2.3版内核正试图在文件系统中实现一个访问控制列表，这要可以在原来的三类（owner、group和other)访问控制机制的基础上再增加更详细的访问控制。

五、反攻击检测

系统主要通过阻止入侵企图来防止入侵，而反攻击系统则可以反向进行端口扫瞄或发起其它的攻击，这一招让入侵者不仅入侵阴谋未能得逞，反而“引狼入室”，招致反攻击。

有些安全系统如Abacus Sentry具有一定的反攻击能力。比如有的站点有了防止用户通过telnet进行连接，在应答telnet连接请求时，系统将返回一些不受欢迎的恶意信息。这只是一种最简单也是最轻微的反攻击措施。

六、设定用户账号的安全等级

用户账号有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。

在Linux系统上的tcpd中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hosts.allow中设置，不允许上机人员名单在/etc/hosts.deny中设置。设置完成之后，需要重新启动inetd程序才会生效。此外，Linux将自动把允许进入或不允许进入的结果记录到/rar/log/secure文件中，系统管理员可以据此查出可疑的进入记录。

每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。

七、限制超级用户的权力

root是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。

Linux操作系统是一种公开源码的操作系统，因此比较容易受到来自底层的攻击，所以一定要有安全防范意识，对系统采取一定的安全措施，这样才能提高linux系统的安全性。

[1]王秀平.Linux系统管理与维护[M].北京:北京大学出版社，2010.

[2]郇涛，陈萍.Linux网络服务器配置与管理[M].北京.机械工业出版社,2010.

（作者单位：天津工程职业技术学院）

（编辑 李艳华）