Linux系统的安全检测与增强技术分析

乌兰图亚

摘要：Linux系统无论是在性能上、功能上或是价格上都有很多优点，然而，作为一个开放式的操作系统，它必然会存在一定的安全隐患。关于怎样解决这些隐患，提供给应用一个安全的操作平台，该文会对一些最有效、最基本和最常用的Linux系统的安全检测与增强技术进行分析。

关键词：安全监测；增强技术；分析

中图分类号：TP313 文献标识码：A 文章编号：1009-3044（2014）27-6325-02

Abstract： The Linux system both in performance， function or prices have many advantages， however， as an open operating system， it is bound to the existence of certain security risks. On how to deal with these risks， to provide a secure application platform， this paper will be on the safety detection of some of the most effective， the most basic and most commonly used in Linux system and enhance the technical analysis.

Key words： security enhancement technology； monitoring； analysis

1 Linux系统的安全检测和增强的重要性

由于Linux操作系统是多用户操作系统，一些黑客群体为了匿名对系统进行破坏和篡改，常常就会选择Linux系统进行攻击。因此在使用Linux系统时，对Linux系统的安全性能就要格外关注，使用必要的办法去报Linux系统的安全。安全性是重大且极具挑战性的主题，所以任何一位负责服务器端的工作者，都要掌握Linux系统的安全检测和增强的基本步骤。安全性是一个棘手的问题，它并不是一成不变的，而且工作人员还很难知道它需要扩展到何种程度。

2 增强自己的账户安全的措施

2.1增强自己的账户安全的首要内容

尽管使计算安全性的每个方面跟上潮流极具挑战性，但一些领域已经相对比较成熟，应该对其进行系统地学习。其中账户管理应该是每个使用Linux服务器的用户学习的第一个领域。在首次出版的对Linux管理和编程进行详细介绍的书中，说明的意图十分的简洁明了，就是怎样为使用你主机的人设置和维护计算帐户和组关系。因此，要“使用”计算机时也就必须要先“登录”。帐户管理的全部内容就是：使用像useradd 、chsh之类的命令来配置Linux帐户，这样一来，就可以达到相同部门开发人员中的大部分用户群使用。

2.2清除/etc/pass wd的大部分内容

大多数服务器应该清除/etc/passwd的大部分内容。由于种种原因，大多数电子邮件服务器、Web服务器、文件服务器等，都是由/etc/passwd对它们的用户访问进行严格的管理。但实际的使用中证明，在大多数情况下，着就是一个错误。早期，很有可能出现几十个工程师共享一台高端工作站的情况，这时采取这种方法不失为明智的选择。但是，如果出现一台电子邮件服务器要对成千上万名用户（他们中的大多数只是把计算当成和饮水器或电话系统一样的公用设施）的邮箱进行处理时，再采用传统的/etc/passwd方式来进行管理，显然是一个错误。

2.3将用户帐户移到专门的数据存储

因为/etc/passwd方式经历了许多次的漏洞修补和功能调整，所以应付巨大的工作量绰绰有余。但是解决问题的办法并非一种。若是将用户帐户移至诸如LDAP或是RDBMS专门的数据存储，如此一来用户将会得到很大的好处和方便。要设置/etc/passwd的权限，使其只能让开发与管理人员登陆。这样系统的安全性能将会大幅大提升，这是由于诸如电子邮件和Web等服务的用户的忙闲度和负责开发的工作人员的完全不一样。一旦用户对一台新的服务器设置完毕之后，它的/etc/passwd就不可以在短时间内频繁的更改。若是期间其被有所更新，或者是被一些电脑黑客恶意的篡改过，就很难检测出来。但是，若是用户正在运行一个较大的服务器，这样的话每天出现几个新添加的或者是过期的电子邮件帐户更改是十分常见的。这就需要将这些帐户从/etc/passwd赋予的更大的访问权隔离开来。

2.4构建一个替代性帐户数据存储

构建一个替代性帐户数据存储非常重要。为了使由无需登录的用户占多数的非常庞大的/etc/passwds正常工作，在以前的一段时间相关人员已经做出了很大的努力。如果用户已经下定决心编写个人帐户认证，并且诸如sendmail这样比较传统电子邮件程序，那么用户就会发现自己等同于正在为SMTP与IMAP4服务器编写更改。

2.5注重对方案的选择

对于存在的一些问题会使开发人员更加喜好上采用目前现有的软件，但这种方法是不正确的。开发人员应当采用目前现有但能够为自己再次利用的解决方案。一般情况下，对于用户至关重要的一项就是把安全性考虑事项做到模块化。大多数使用者都想将开发人员和管理员帐户与最终用户服务进行完全分开式的管理。然后通过将后者从/etc/passwd清除，这样就能够十分容易地对一方进行锁定，对另一方也不会造成影响。

3 策略自动化

3.1策略自动化的重要性

虽然为了达到创建与删除开发人员和最终用户的目的，并将这些做法纳入可执行文件看起来是十分不错的规定，但仔细思考就会发现其并不具备必要性。这么做的目的就是为了使用户能够更好的理解和明确这一内容。在帐户创建和删除的过程中，如果不小心就会留下安全性漏洞。为了防止这一问题的出现，就应该在账户创建与删除之后和相关部门一起对这个过程进行仔细的检查。如果自己不亲自采纳并使用替代方案，就很难发现其重要性。

3.2策略自动化的优点

当没有为添加和除去用户帐号编写过程时，将会最终导致同样的结果重复出现多次。我们简单的做一个情景假设，等那个一个新的工作人员在周一报到，那么这个员工很有可能到了仍无法访问它所在公司的文件。又比如，一个人从某公司辞去的职位，但是在辞职一段时间后还可以检索出特殊用途的公司资产。因此可以看出帐户自动化一个非常好的附带优点就是它支持较为彻底的验证。

4 其他注意事项

4.1保持高度警觉

一般情况下，就普通用户而言，解决安全性最重要的难题就是怎样避免其错误的出现，这是因为它比较薄弱，如果出现一个漏洞，就有可能导致目前客户所有投资付之东流。只有综合考虑，。面面俱到，全面的处理突发问题，这样安全性工作才能更上一层楼。比如很多单位和部门应对密码在短时间内多次丢失的办法就是，根据部分公共信息对密码进行指定。

4.2尽量避免灾难性错误

现阶段。尚未有科学系统的方法能够规避灾难性的错误。但是认真仔细研究RISKS文摘，以及严格工程检查是十分见效的步骤。RISKS是一位工程师自上个世纪80年代就开始编写的在线时事通讯。对事情（特别是Linux服务器上的安全性）出现的原因进行详细的思考。有些用户对“软件检查”的认识十分狭隘，只知道它是将开发人员在编写源代码的过程中一些错误的符号查出的一种办法，其实，它并非那么简单，他是一种非常高效的实践。

4.3严格管理好口令

在操作系统是，一定要注意不能泄露自己的个人资料和口令，若是黑客得到了根权限帐号，他们就可以恶意的篡改和攻击系统。大多数用户都会将口令保存到/etc/passwd文件中，认为/etc/passwd已经加密，能够很好的保存自己口令，但一些黑客为了达到自己的目的，就会选用一些特殊的收缩方法来搜索客户的口令，若是一些用户在保存或是选择口令时过于简单或是方式不正确，就会加大被黑客查找到的几率。另外，用户最好能够安装一个口令过滤工具，检测一下所设置口令的安全性能如何。

5 小结

在选择阅读参考资料时，应该只想更为丰富的读物，主要是和加固服务器、Linux安全性以及检查方面密切相关的主题，可以让自己快速的对Linux系统的安全检测与增强技术进行学习，使操作的安全性大幅度提高。

参考文献：

[1] 赵德志，章勇，廖书红.嵌入式Linux及BOA服务器在S3C2410上的移植[A].2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集（上册）[C]，2010.

[2] 丁涛，郝沁汾，张冰.内核虚拟机调度策略的研究与分析[A].2010系统仿真技术及其应用学术会议论文集[C]，2010.

[3] 章慧锋，陈立定.基于Linux和XML的环保数据传输技术[J]；计算机工程与设计，2010（01）.