Linux操作系統安全性防護

程潔

摘要：隨著計算機科技技術的發展，我們越來越注重計算機安全，為了讓用戶對數據進行完整性操作、安全性操作、以及可用性操作，以下就Linux操作系統的安全性防護做出簡要分析以及如何防護提出策略。操作系統的安全與國家的利益關系密切相關。因為目前我國的操作系統都是從國外直接引進的，所以操作系統存在安全性隱患，為了研究開源的Linux操作系統的安全缺陷，下文對Linux系統的安全機制以及如何防護避免安全因素的影響做出簡要分析以及怎樣從安全的角度使用Linux操作系統。

關鍵詞： Linux操作系統；安全策略

一、引言

1.安全目的：要目的包括機密性、完整性、和可用性，機密性是保障用戶的數據不被別人所知道，完整性為了讓數據具有它本身所具有的健壯性，可用性是指數據不能被破壞，應該具有它本身所具有的作用，即可執行性。

2.安全策略：關注信息系統中的信息控制、管理和分發，規定信息系統或產品對敏感信息的處理和使用方式的法律，存在兩種最重要的安全策略模型BLP模型和Biba模型，此處不做詳細介紹。

二 、Linux操作系統安全機制分析

1.身份標識和鑒別，在Linux系統中身份標識與鑒別機制是基于用戶名和口令來實現的，允許系統管理員通過useradd命令為用戶指定唯一用戶名和初始口令，將這個信息放在/etc/passwd文件里面，其實密碼信息文件是在/etc/shadows文件中存儲的。

2.文件訪問控制，Linux對文件包括設備都是通過訪問控制機制來實現的，這種簡單自主訪問控制機制的基本思想，系統每一個用戶擁有自己唯一的UID，并且屬于某一用戶組，而且用戶組都有一個唯一的組號，這些信息存放在/etc/group文件里面，系統中的文件權限主題分為所屬用戶、所屬組、其他用戶，并且在這個基礎之上，每一個文件權限都對應有三個系統權限，分別為r、w、x，稱作讀權限、寫權限、執行權限，可以通過命令進行修改文件或者目錄的權限，所以在這里需要對個文件權限進行妥善管理

3.特權管理，因為Linux操作系統是類Unix系統，所以普通用戶沒有任何特權，而超級用戶擁有系統內的所有特權，所以，在很多現有的基于Linux操作系統內核的操作系統都沒有開放root用戶，這樣很大一部分的原因就是root用戶具有至高無上的權利，它要是被黑客攻擊，那么后果不堪設想，所以建議對root用戶使用的時候，要多加防范。

4.安全審計，它的基本思想就是將審計事件分為系統事件和內核事件兩部分進行維護與管理，系統事件有審計進程syslogd來維護和管理，而內核事件由審計線程klogd來維護和管理。

三、從安全的角度管理和使用Linux系統

1.口令管理，頂起更換口令，而且使用口令的標準是大小寫字母加數字和標點符號混用，提高用戶本身的安全性，這是用戶做的最基本的安全性防護措施。

2.不要將口令輕易告訴別人，而且不建議在很多地方使用同一個口令。可以使用口令管理軟件，將自己的用戶密碼進行管理。

3.用戶權限管理，通過正確限制所有用戶對文件的區別訪問來控制用戶權限安全性。

4.定期升級系統補丁和應用程序補丁。

5.對系統用戶文件進行備份，普通用戶對自己的數據，超級用戶需要備份系統重要配置文件的數據主要配置文件數據在/etc文件夾下面。

6.定期查看日志文件，日志文件是記錄整個操作系統的使用狀況，可以幫助我們安全使用以及排除錯誤的信息支持，例如以下文件：

7.關閉不必要的系統服務，Linux操作系統在安裝的時候包括了較多的網絡服務，如果作為服務器來講的話，這樣使用起來會很方便，但作為用戶的工作站就不太好，會出現安全問題。用戶應該關閉不需要的服務。/etc/ined服務器程序承擔網絡服務的任務，它同時監聽多個網絡端口，一旦收到外界網絡傳來的連接信息，就執行響應的TCP或者UDP網絡連接任務。

8.要確保操作系統端口安全，TCP或者UDP網絡數據通過使用端口號才能夠被正確的指向相應的應用程序，這樣才能正確的訪問該應用程序，而其中的每個程序也被賦予了特別的TCP或者UDP端口號，網絡數據進入計算機后，操作系統會根據它包含的端口號，將其發送到相對應的應用程序中，攻擊者會利用各種手段對目標主機的端口進行掃描和探測，這樣就能確定一些信息，這樣給攻擊者增加了攻擊的可能性，建議使用網絡工具，定期檢測網絡端口的異常，如果發現有可疑端口活動，立即做出安全性防護措施。

9.用戶在管理自己的目錄的時候，不會讓自己私有的目錄給予別的用戶訪問的權限，除非特定需求的用戶，而且原則是，只能讓其他用戶具有讀取的權限，一般不會賦予寫和執行的權限。在管理目錄的時候，應該遵循各個用戶數據建立自己的用戶目錄，這樣系統便于管理。

10.設置用戶密碼之外，還需要給Linux上每個賬戶可以被賦予不同的權限，因此在建立一個新用戶賬戶時候，系統管理員應該根據需要賦予該賬戶不同的權限，并且管理到不同的用戶組。

11.用戶需要時常檢測用戶自己的目錄與文件的信息變化情況，如果發現文件和目錄的權限有異常情況發生，需要立即修改用戶密碼，以及查看其他用戶所在組的變化情況。

12.如果由特殊文件可以使用文件加密的方式，將文件加密過后，可以提高該文件所在場景的安全性，由于加密過后，不使用解密，攻擊對象即使獲得該文件，也無法獲取里面的信息。如果用戶在使用Linux操作系統的過程中，使用文件只是用到一次，那么可以建立在/usr/tmp文件夾下面，這是共用的目錄，而且最大的特點，在系統重啟的時候，會將該目錄下面的文件刪除。