浅谈linux系统的安全

田子兰

摘要：Linux为唯一开放源代码的免费正版软件，其网络服务功能良好，和其他微软操作系统相比，稳定性、灵活性、安全性更好，使用Linux作为web网络服务器中小企业不断增加。在l-inux系统被广泛应用到Intemet中，黑客攻击、网络病毒属于服务器信息安全主要威脅。本文分析Linu～系统的安全机制，并且研究所存在的安全隐患，实现针对性安全对策与保护措施的制定。

关键词：Linux系统;系统安全;防火墙

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2019）30-0029-02

Linux和mac系统、Windows系统称之为三大操作系统，和其他操作系统一样，其也具有安全隐患。在其比广泛应用到全世界范围中，对于其的攻击也在不断增加，安全事件也在不断提高，形势与越来越严峻。要想在技术不断发展、纷繁芜杂的网络环境中，对Linux系统的安全性进行保证，就要做好事前预防和事后恢复工作。在对Linux安全保证的过程中，业界经历多年积累，通过系统管理到网络管理方面都具有成熟经验能够借鉴%

1Linux系统可能会受到的攻击

此攻击不仅会出现在Linux系统中，还会出现在其他操作系统中，部分管理人员都具有此种经验，方法方法也都大致相同：

其一，拒绝服务攻击。非法登录人员利用伪造源地址或者受控其他地方多台计算机同时对目标计算机发送大量连续IP请求，导致目标服务器系统瘫痪。防范方法可以使用防火墙系统，在防火墙中运行端口映射程序与扫描程序。大部分攻击事件是因为防火墙配置不当导致的，提高DoS/DDoS的攻击成功率，以此就要对特权端口与非特权端口认真的检查;

其二，欺骗用户攻击。网络黑客装扮成专业的技术工程人员将呼叫信息发送给系统用户，并且要求用户输人口令，如果用户将正确的口令输入导致口令失密，黑客就能够通过此用户账号进入到系统中。用户要时刻的提防，创建心中防线，从而防范此种攻击;

其三，扫描程序攻击。网络中部分非法人侵就是通过各种扫描工具寻找目标主机中的漏洞，扫描攻击也能够直接攻击系统，导致系统崩溃或者重要的信息丢失。网络管理人员要经常使用网络漏洞扫描工具对系统进行扫描，检查漏洞过程中及时利用补丁程序与相应工具补上漏洞嘲。

2Linux系统的安全机制

Linux属于开放式的系统，其能够通过网络寻找大量工具与程序，不仅方便用户，还方便黑客潜人到Linux系统中、盗取Linux系统中重要的信息。以此分析系统安全机制，寻找其中的安全隐患，给出相应保护措施与安全策略。Linux系统使用多种安全机制措施，部分是通过补丁方式发布，以下对Linux系统安全机制进行分析：

其一，PAM机制。插件式鉴别模块（PAMI）机制为使用灵活并且具有强大功能的用户鉴别机制，利用模块化设计和插件功能，将全新鉴别模块插入到应用程序中，不需要修改应用程序，以此便于软件维持、定制、升级，应用程序利用PAM API便于使用其中鉴别功能。PAM API能够承上启下，连接程序和鉴别模块。在应用程序对PAM API鉴别的时候，应用接口层根据配置文件pam.conf规定对相应鉴别模块进行加载。以后请求传递底层鉴别模块，实现具体鉴别操作的执行。在执行鉴别模型操作后，使结果返回到应用接口层中，利用接口层中的配置情况，在应用程序中返回应答。图1为工作原理。

Pam.conf配置文件也在应用接口层中存储，和PAM API结合使用，以此能够在应用过程中灵活的插入需要鉴别的模块。其主要作用就是为应用程序选择具体鉴别模块，模块之间组合和规定模块行为。

其二，加密文件系统。加密文件系统属于有效数据加密存储技术，备受人们的重视，其能够避免非法人侵人员窃取用户机密数据。其次，在多个用户共享一个系统时，能够对用户私有数据进行保护。加密文件系统能够在文件系统中引入加密服务器，使计算机系统安全得到提高。

其三，防火墙。Linux防火墙具有身份验证、抗攻击、审计与访问控制等功能，正确设置防火墙能够使系统安全性得到提高。

3Linux系统的安全部署

3.1用户权限配置

用户权限配置是利用具体设置提高或者降低用户进入到系统的权限，具体通过以下方面配置：

其一，假如linux系统具有大量用户，就要实现不同用户的分配与分组，在用户长时间不使用或者对于系统自身具有危害的时候，就要考虑用用户的删除与屏蔽。大部分用户对于linux系统自身构成不安全因素，以此就要对用户进行删除与屏蔽提高系统安全性。

命令：userdel用户组

Groupdel用户组名

其二，在用户登录到linux系统的时候，为了使系统安全性得到提高，会在登录系统的时候将密码输入，但是部分用户所设置密码比较简单，或者使用自己生日与身份证号码作为密码，破解起来比较容易。以此，为了使系统安全性得到提高，要在linux系统中强制性的要求用户密码长度大于8位，还是数字、大小写字母的组合。

vi.etc.login.defs

命令：PASS_MAX_DAYS 60

PASS_MIN_LENGTH 8

其三，在用户使用系统的时候，就因为有事中途离开，或者忘记注销，在这段时间会受到系统侵入，威胁到用户系统，以此就要在系统中设置用户，在某段时间没有操作就使用强制注销命令，利用强制注销对用户自身数据与资料安全性进行保证。

命令：Vi.etc.profile

TMOUT=300

其四，部分用户为了方便没有设置密码，就会使用户系统被侵犯与盗取信息可能性得到增加。以此，系统要对是否具有空密码用户进行定时的检测，假如存在就要强行更改密码，直接删除不正常的黑名单用户。

命令：gawk-F"，”（S=2{print sl}.etc.shadow

其五，系统中具有root特权用户，能够更改系统权限，对除了特权用户之外是否还有其他用户定期的检测。一般，一个hnux系统只需要一个root特权用户，假如还具有其他特权用户，就要通过降权或者删除的方法对系统安全性保证。

命令：gawk-F”：”（S=3S！1="root"）{printsl}etc.password

3.2取消不必要网络服务

在创建服务器的时候，所创建系统要尽可能高效、快速地实现预期功能。一般，除了smtp、http、ftp等，要取消其他服务，比如简单文件传输协议、网络邮件存储和接受使用的差u传输协议等，从而使系统安全性得到提高。

Redhat7.0之后linux中大部分TCP后者UDP服务器都是通过/etc/xinetd.conf文件中设置，将不必要服务器取消的第一步就是对此文件进行检查。但是，具体将哪些服务取消并不能够一概而论，要以实际情况决定，但是系统管理人员要心中有数，如果出现系统问题，要能够有步骤的查漏补救。

3.3对系统核心更新

Linux属于优秀开源软件，具有良好的安全性、稳定性、可用性，世界linux高手对此产品进行维护，所以具有比较多的流通渠道，经常有更新程序与系统补丁出现。所以，为了使系统安全得到加强，就要对系统内核进行更新。内核为linux操作系统核心，其位于内存中，对操作系统其他部位进行加载。因为内核对计算机与网络功能进行控制，所以其安全陛对于系统具有重要的安全。

在Internet中具有最新安全修补程序，linux系统管理人员要消息灵通，时常观看安全新闻组，对全新修补程序进行查阅。一般，用户能够利用hnux中权威网站与论坛尽快得到和系统相关新技术和新系统漏洞信息，从而能够防患于未然。对系统最新核心及时的更新，并且打上安全补丁，对linux系统的安全进行保证。

3.4网页防篡改的部署

业务系统web网站属于攻击主要目标，目前一般使用的网站防篡改方法为通过业务系统实现自动恢复与防篡改或者部署专业的防篡改软件，避免篡改网站页面。另外，为了促进业务信息系统稳定的运行，避免系统出现死角，公司通过编制shell脚本，简单的防护Linux操作系统web网站。通过chattr+i命令设置web网站文件与文件夹的属性，使原本的网页页面内容不会因为未授权攻击出现变化，对于不安全新增页面及时的删除，自动恢复改写网页页面。通过shell脚本实现自动监控，使网页防篡改功能得到实现，公司在基于业务系统稳定的开展中实现安全防护。

4结束语

信息安全为信息化建设过程中的主要内容，其主要包括技术、管理、运维、使用等方面的内容。其不僅为系统自身问题，还是物理、逻辑等问题。在现代信息化建设过程中，要重视业务信息系统的安全威胁管理，以此实现信息系统建设、科研、运维、设计等安全管理，提供给信息系统良好安全服务，降低信息安全威胁，此也是公司在对新世纪信息发展的主要需求。