Linux網絡操作系統安全機制探究

李曉靖

摘要隨著時代的發展，社會的進步，第三次科技革命成果不斷滲透到人們生活的各個領域，計算機的使用被廣泛普及。隨著計算機技術的不斷進步，越來越多的用戶認識到了微軟公司的Windows 2003 Server與Linux系統在穩定性、安全性和運行效率方面的區別比較，把服務器的操作系統更換成Linux操作系統，因為在三方面的比較中，Linux系統更占優勢。但是，我們不能忽略的是網絡本身在安全問題方面也面臨著巨大的挑戰，所以，Linux網絡操作系統的安全機制也應該相應的完善和升級。文章重點分析Linux網絡操作系統的安全機制、安全缺陷，并提出相應的安全策略。

關鍵詞Linux網絡操作系統；安全機制；安全缺陷；安全策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）11-0160-01

嵌入式系統能夠正常運行離不開Linux的支持，是嵌入式系統極為重要的組成部分。在大量應用Internet/Intranet的過程中，不論是網絡本身還是信息安全問題都日益突出，黑客攻擊和計算機病毒是最主要的對網絡安全造成威脅的兩個主要途徑。那么，如何保證操作系統的安全，避免網絡操作系統不受破壞，這是網絡安全的根本問題。要想使網絡的安全性得到可靠保障，就必須從網絡操作系統的安全可靠性方面著手。因此，對Linux系統的安全機制進行分析，找出安全缺陷，并提供相應的安全策略和保護措施，是具有重要現實意義的研究課題。

1Linux網絡操作系統的安全機制和安全缺陷

1.1 Linux網絡操作系統的安全機制

Linux網絡操作系統本身已經提供了用戶賬號、文件系統權限和系統日志文件等基本安全機制，以此來保證網絡的安全性。首先，在Linux系統中，用戶賬號象征著用戶的身份，由用戶名和密碼組成。在正常的狀態下，用戶密碼以及其他的信息都是由信息系統保管的，也只有root以及其他有限的應用程序可以對這些信息進行訪問。其次，文件系統權限也是由用戶名和密碼組成的，在進行用戶登錄時，要輸入用戶名和密碼，由login確定用戶名和密碼是否一致。其中，用來維護系統中合法用戶信息的叫做用戶密碼文件加密后的口令也可能存在于系統的日志文件中。第三，在Linux網絡操作系統中，系統日志文件的用途是對整個系統的使用狀況進行記錄的。這樣，用戶在登錄后，只要用lastlog命令查看一下最后日志文件中記錄的所用賬號的最后登錄時間，再與自己的用機記錄對比一下就可以發現該賬號是否被黑客盜用。此外，為了彌補系統中密碼的易猜測性以及泄漏性，Linux系統還提供了其他的安全機制，主要有在設置口令時的脆弱性警告和有效期，還有一次性口令的設置、先進的口令加密算法、影子文件的使用、賬戶加鎖等，在一定程度上降低了Linux網絡操作系統中的安全隱患，提高了網絡安全性。

1.2 Linux網絡操作系統的安全缺陷

雖然Linux網絡操作系統的安全機制在不斷地加強和完善，但是，仍然有很多安全缺陷存在，這些安全缺陷的存在使得網絡安全和信息安全受到嚴重的威脅。首先表現在自主訪問控制機制方面，自主訪問控制機制的實現基礎是控制位，但是在這種狀態下，訪問授權管理無法向更加細粒度的方向發展。因此，在內核中進行訪問控制列表的設計，可以為訪問授權管理向更高的細粒度發展提供方便。其次，缺乏強制訪問控制機制是Linux操作系統的又一安全缺陷的具體表現。自主訪問控制機制賦予了用戶全權管理該文件的權利，但是該機制沒法區分特洛伊木馬，所以一旦被木馬病毒利用，勢必會造成不可估量的后果。Linux系統安全缺陷的第三個表現是root權限的濫用。root也就是系統管理員，管理系統的一切權限都掌握在它手中，另外，某些普通用戶在運行特定的程序時也被賦予了root的權限。所以，如果root的密碼被攻擊者所捕獲，將無人能夠阻止攻擊者對系統的肆意妄為。第四，審計機制不足也是Linux系統安全缺陷重要的表現。

2Linux網絡操作系統安全策略

2.1 Linux網絡操作系統的安全防范策略

要對Linux網絡操作系統的安全問題進行防范，首先應該將普通用戶的權限進行限制到最小，也就是要將開設賬戶時的“最小權限”原則落實到實踐中，雖然這樣會使得系統管理員的工作量有所增加，但是，網絡的安全系數卻得到了提高。其次，系統管理員必須保證用戶口令文件/etc/shadow的安全性，防止非法用戶通過John等程序對該文件開展字典攻擊。另一方面，管理員應該定期通過John程序進行字典攻擊的模擬，通過模擬發現問題，并及時對用戶口令進行調整。第三，系統管理員應該不斷加強對系統運行狀況的監控，并做好記錄工作，通過對監控數據的分析，及時發現系統運行中的可疑之處，防患于未然。第四，系統管理員應該定期對網絡系統開展安全檢查工作，及時發現動態變化中的網絡系統運轉的異常現象，管理員也可以通過攻擊的方法發現系統內存在的問題。最后，系統管理員應該適當地對重要數據進行備份工作，以防黑客攻擊導致的信息損失。

2.2 加強對Linux網絡服務器的管理

加強對Linux網絡服務器管理的措施主要有：1）利用工具，對訪問Linux網絡操作系統的用戶進行記錄，定期對其進行查看、分析、及時發現問題；2）對Telnet等服務的應用要慎重，沒有特別需要，就不要用，減小用戶名和密碼泄露的機會；3）服務器的安全設置也至關重要，Linux系統中的Apache和MySql數據庫的補丁包應該定期更新，以更好地完善舊版本中存在的不足和漏洞。

3結束語

隨著計算機技術的不斷進步，人類早已邁入信息時代。計算機的應用過程中，網絡安全和信息安全總是成為人們最關心的問題。Linux網絡操作系統的應用可以使網絡安全和信息安全問題得到一定的保證，可天下沒有十全十美的東西，該系統也還需要不斷地完善，才能更好地保證計算機網絡不被黑客或者計算機病毒入侵。除了文中提到的安全策略之外，確保Linux網絡操作系統的安全策略還應該包括架構包過濾防火墻，同時，sudo、sniffit、nmap等網絡安全工具的使用也可以大大增加計算機網絡的安全性。本文分析了Linux網絡操作系統的安全機制和安全缺陷、安全策略等方面的問題，希望能夠為相關工作人員提供一些借鑒。

參考文獻

[1]李亞鵬.Linux網絡操作系統安全機制探究[J].科技視界，2013（01）.

[2]葛偉，湯金艷.淺談LINUX系統安全[J].經營管理者，2011（10）.

[3]汪海濤，張平華.Linux系統網絡安全的研究與分析[J].電腦編程技巧與維護，2012（04）.

endprint