基于等級保護思想實現Linux操作系統的安全防護研究

朱立喆　邵二東　陳志賓

摘 要：隨著攻擊技術的發展和泄密事件的頻繁發生，業界對服務器的安全防范要求越來越高，本文從信息安全等級保護的角度出發，參照《信息系統安全等級保護基本要求》中 “主機安全”相關要求，針對Redhat Linux操作系統安全展開研究和論證，提出安全加固方法。

關鍵詞：等級保護；安全防護；系統加固

隨著互聯網技術的快速發展，其對政治經濟的促進效果愈加明顯。隨著兩會期間李克強總理 “切實把互聯網轉化為新型經濟驅動力”要求的提出，有效推動了云計算和大數據的快速發展，而隨之，大型應用系統及基礎數據價值變得前所未有的重要。作為應用和數據的載體，主機安全尤其是操作系統層已成為關系經濟發展乃至國計民生的國家戰略問題。

1 操作系統防護需求

在傳統的IT構架中，設計者往往過多關注底層的網絡互通和上層的應用實現，而對中間層包括主機、操作系統、中間件等考慮較少。而在安全事件中，多數恰恰是因為主機層防護措施的薄弱，使得病毒、黑客有了可乘之機。而操作系統的癱瘓或失控，其影響將直接傳遞到上層的應用和數據。操作系統層的安全，已成為IT安全鏈中的關鍵環節，利用什么標準對主機進行安全加固，保障服務器本身的安全，已經成為當前信息系統亟待解決的問題。

本文以等級保護思想為引線，以《信息系統安全等級保護基本要求》為指導框架，從“主機安全”這個控制層面展開論述，通過參照等級保護基本要求第三級的要求，分析操作系統安全防護需求，提出安全防護思路，并以Redhat Linux為例詳細闡述安全防護的具體方法。

2 操作系統防護思路

針對重要信息系統在主機安全防護層面的各種需求，《信息系統安全等級保護基本要求》

2.1 從七個方面予以考慮：

（1）身份鑒別：通過身份鑒別模塊，對系統用戶進行有效性驗證，通過鑒別才能進入系統。

（2）訪問控制：通過對系統用戶進行權限劃分，按照最小化授權原則訪問系統資源，實現用戶對重要文件和目錄進行讀寫控制。

（3）安全審計：通過監控系統運行情況，跟蹤系統用戶行為，提供事后追溯分析依據。

（4）剩余信息保護：通過及時清除存儲在硬盤、內存或緩沖區中的剩余信息，降低非法獲取可能性。

（5）入侵防御：通過主機層入侵檢測和防御機制，抵御內部非法訪問與攻擊。

（6）惡意代碼防范：通過主機層惡意代碼檢測處理，避免文件、數據被惡意修改或資源被非法利用。

（7）資源控制：根據服務優先級分配系統資源，限制單個用戶的多重會話，設置系統的超時退出，防止資源被濫用或非法使用。

3 操作系統防護設計

操作系統需要多方面多維度的安全防護，以常用的Redhat Linux操作系統為例，對其安全加固也要通過全面的考慮。

3.1 身份鑒別

身份鑒別主要通過密碼復雜度、口令鎖定策略來實現。用戶的身份鑒別信息首先應具有不易被冒用的特點，同時口令應有復雜度要求，最后在管理上要求定期更換；口令鎖定策略要求系統具有鑒別失敗處理功能，當短時間內多次輸入錯誤用戶、密碼，要求采取措施鎖定相關賬戶。

（1）通過passwd命令設置帳戶密碼：passwd username **（密碼）；

（2）編輯文件/etc/pam.d/system-auth，設定密碼復雜度：password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8，要求包含至少1個數字，1個小寫字母，1個大寫字母，1個特殊字符，最短長度8位；

（3）編輯文件/etc/login.defs，設定最長密碼使用期限：PASS_MAX_DAYS 180（密碼最長使用天數不大于180）；

（4）編輯文件/etc/pam.d/system-auth，在首行編輯條目如下：auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180 even_deny_root root_unlock_time=180，用戶（含root）連續輸入密碼錯誤5次，鎖定180秒。

3.2 訪問控制

配置用戶的角色，授予用戶所需的最小權限，啟用訪問控制功能，控制用戶對資源的訪問。

（1）編輯文件/etc/ssh/sshd_config，限制root用戶SSH遠程登錄：修改PermitRootLogin值為no；

（2）刪除UID為0的用戶：userdel username（切記不要刪除root用戶）；

（3）編輯文件/etc/profile，設置文件與目錄缺省權限為027，修改完成后重置profile環境：umask 027，source /etc/profile；

（4）賦予用戶最小權限：chmod 644 /etc/passwd /etc/group /etc/services，chmod 400 /etc/shadow /etc/gshadow，chmod 600 /etc/xinetd.conf/etc/security；

3.3 安全審計

啟用系統本身的syslog日志功能和audit審計功能，記錄安全事件和用戶登錄事件；啟用遠程日志功能，保護日志不被非法篡改。

（1）編輯文件/etc/syslog.conf，記錄安全事件和登錄事件：*.err；kern.debug；daemon.notice/var/log/security_messages，authpriv.* /var/log/authlog；（須提前創建日志文件、修改權限并重啟日志服務：/var/log/security_messages，/chmod 600 /var/log/security_messages，/service syslog restart；

（2）編輯文件 /etc/syslog.conf或者/etc/rsyslog.conf：*.* @172.26.159.1

（日志服務器ip或者域名），啟用遠程日志功能，實現對日志的集中存儲和分析；

（3）更改所有日志文件屬性，使文件只可追加不可修改：chattr +a /var/log/messages /var/log/secure /var/log/maillog /var/log/cron。

3.4 剩余信息保護

當前操作系統剩余信息保護機制有限，主要通過其他安全加固措施予以彌補，如操作系統加固軟件等。

3.5 入侵防范

系統安裝的組件和應用程序遵循最小化安裝原則，禁用不必要的符合和端口，實時檢測入侵行為并報警。

（1）定期查看文件/var/log/secure：more /var/log/secure | grep refused，確保不具有非法連接主機的記錄；

（2）定期查看是否啟用不必要的端口：netstat-an；

（3）定期查看危險的網絡服務是否已關閉：service --status-all | grep runing，重點關注echo、shell、login、finger等；

（4）開啟iptables并配置相關策略。

3.6 惡意代碼防范

系統應安裝網絡版防病毒軟件，并及時更新軟件版本和特征庫（主機防病毒軟件應與網絡邊界防病毒產品采用不同的特征庫）。

3.7 資源控制

設定終端接入方式、網絡地址范圍，設置登錄終端超時鎖定，監控服務器資源使用情況，限制單個用戶對系統資源使用額度。

（1）編輯文件/etc/hosts.allow，增加可信終端網段：sshd：192.168.1.

*：allow，允許192.168.1.0的整個網段訪問SSH服務進程；編輯文件/etc/hosts.deny，拒絕一切遠程訪問：ssh：all；（用IPTABLES命令也可實現上述功能）

（2）編輯文件/etc/profile，設置登陸超時時間：TMOUT=600，export TMOUT，全局600秒超時；

（3）利用top命令，查看當前資源利用率；

（4）查看文件/etc/security/limits.conf，根據實際要求設置資源限制。

3.8 其他補充

由于當前操作系統自身功能限制，還不能通過安全策略修改來完全滿足等級保護相關要求，需要通過其他安全措施來進行彌補：

（1）操作系統加固軟件：增加敏感標記，實現強制訪問控制和剩余信息保護功能；

（2）數據庫審計系統：實現對數據庫自身行為的審計和SQL語句增刪改查的操作記錄；

（3） IT運維管理系統：實現對主機的資源、性能監控（CPU、內存、磁盤存儲空間）。

4 結語

本文參照等級保護主機安全第三級的要求，通過修改Redha Linux操作系統的默認配置，啟用相關安全選項，禁用不必要服務，增加外界安全設備等措施，實現安全加固，提高操作系統安全性，為上層應用安全和數據安全提供基礎保障。

參考文獻：

[1] 孫鐵.安全等級保護咨詢服務淺議[J].網絡安全技術與應用.2007（11）：6-7.

[2] 詹榜華.落實信息安全等級保護的基本要求[J].信息化建設.2008（05）：46-47.

[3] 程斌.湖南省召開公安機關信息安全等級保護培訓工作會議[J].信息網絡安全.2011（05）：95.

[4] 詹榜華.落實信息安全等級保護的基本要求[J].信息化建設.2008（05）：46-47

[5] 左曉棟 ，李曉勇.關于信息安全等級保護中認證認可工作的思考[J].網絡安全技術與應用.2004（06）：55-57.

[6] 李曉勇 ，李秉棟.信息安全等級保護中的信息和信息系統安全分類[J].網絡安全技術與應用.2004（07）：65-66.

[7] 胡明浩.在檔案信息化中實施信息安全等級保護[J].湖北檔案.2005（07）：15-16.