UNIX操作系统的安全管理探讨

摘要：UNIX系统目前已几近成熟，在商业环境中得到广泛应用，如金融、保险等行业。UNIX系统的网络功能十分强大，且稳定和安全性良好。但由于UNIX系统的开放性特点，系统具备通信的功能，这一功能致使UNIX系统存在一定的安全隐患，容易被黑客入侵。基于此，该文对UNIX操作系统的安全管理对策进行探讨，以期为UNIX操作系统的不断完善，以及安全性能的提升提供一些参考和借鉴。

关键词：UNIX；操作系统；安全管理

中图分类号：TP316 文献标识码：A 文章编号：1009-3044（2013）17-4030-02

1 UNIX存在的安全隐患

UNIX系统广泛应用于我国企事业单位计算机中，利用这一系统可对文件与记录进行适时锁定、对用户的资料进行加密保护、同时执行多任务等。但由于UNIX系统在设计之初就存在一些漏洞，在与网络连接后，存在诸多安全隐患。UNIX是在编程的环境下进行设计开发的，设计理念并非是用来批量处理业务，也不是为企业管理量身订做可以用来储存商业机密，因此UNIX系统存在先天的安全漏洞。

UNIX系统的编写程序为C语言，由于程序的动态连接性能比较强，因此在各主机之前进行移植操作较容易。而动态连接是计算机病毒的温床，在移植过程中容易产生病毒。UNIX系统可以实现文件和文件映像的网络传送，UNIX可以建立系统进程，并且可以对进程进行远程建立、激活，新建立的子进程可拥有与原进程相同的权限，这就为恶意软件的入侵敞开了大门，有的恶意软件会以更为隐蔽的方式进行入侵：以“补丁”的方式在合法用户上“驻扎”，如果“驻扎”在root用户上，则系统进程与监视程序都无法察觉这一软件的存在。UNIX系统设计了后台守护进程，这些进程只要激活就可运行，一些黑客也常利用这一特点进行非法操作。黑客以这些进程为跳板进行攻击，是由于这些进程能够行使核心层软件的权力[1]。

在UNIX系统中，root具有系统的最高权限。可以对系统进行读写、删除、更改等任意操作，因此得到黑客的特别关注。由于缺乏完整的身份验证机制，黑客对root权限的窃取则难以制止，仅能以道德准则来约束。这成为UNIX系统的一大缺陷。

由于在设计上存在漏洞，UNIX系统具有诸多安全隐患，黑客时常抓住这些漏洞，利用盗取密码、窃取特权等方式对系统进行攻击。

2 UNIX系统安全防护机制

UNIX系统有两种比较基本的安全防护机制，具体如下：一是用口令来加强安全防护，防止未授权的用户进入系统进行操作；二是用文件许可权来加强安全防护，防止未授权的用户对文件、程序等系统资源进行利用[2]。从理论角度出发，用口令可制止非法用户进入系统进行操作，文件许可能制止一些未授权的操作行为，对于与网络无连接的孤立系统，上述防护完全可以实现。但由于网络这一终端的存在，问题就复杂得多，大大降低了系统的安全性。作为系统的管理人员，应对工作过程中每个环节的安全都加以把握，并制定安全防范的计划，有序的开展系统安全维护工作。

3 UNIX系统管理员安全策略的实施

3.1 口令安全策略

在UNIX系统中，/etc/passwd文件涵盖的信息十分广泛，包括每个用户的登录名、用户组号、加密口令等。其中用户名和用户组号是UNIX系统的有效标识，可以用来对用户的访问权限进行区分。在UNIX系统中，超级用户拥有诸多特权，其用户号用0来表示，为了引起混乱，其它用户的用户号应避免再使用0[3]。/etc/passwd中的口令，是判断用户能否登录的基准，当用户将口令输入系统，经过系统的运算后，如果与原始的加密口令相同，则用户可以登录，如不同，则用户禁止登录。基于安全考虑，用户应定期更改口令，此时，用户可用passwd对口令进行修改，但对于/etc/passwd中的口令则无法进行直接修改。此外，要对/etc/passwd进行定期检查，确认其中是否存在陌生用户的痕迹，是否有用户将用户号篡改为0，以及用户的口令是否存在等事项。口令通常由6至8个字符组成，字符类型无限定，数字、字母、标点等多种类型皆可，但口令的设定尽量避免涉及到生日、电话等个人信息，也避免过于简单，仅使用英语单词或拼音。

3.2 访问控制策略

1）文件和目录访问控制

文件和目录能否被访问或执行是由他们的属性决定的。基于此，我们可以用chmod对文件许可的方式进行改变，用chown对文件的组名和属性进行改变，用umask创建文件的缺省屏蔽值[4]。文件许可权可以对文件重写或不意删除的问题进行解决，还能防止未经授权的用户访问文件。我们应尽量避免将chmod给普通用户授权。此外，我们还可以用chroot（）建立一个隔离、安全的环境，将用户限定在系统中的某一固定层次中。这样，用户便不能调用chmod进入其他层次中，用户也不能对其他层次的文件进行存取操作。

2）设备访问控制。

UNIX系统在处理设备时，会将设备与文件类同处理，在设备上进行的输入或输出操作，需经过很少的路径，用户没有权限对设备进行直接存取。因此，如果对UNIX系统磁盘分区设置了存取许可，用户对磁盘进行存取只有在UNIX文件系统这一平台中进行，在文件系统中又设置了文件许可这一安全措施，双重许可大大提升了系统的安全性能。但如果磁盘分区的存取许可设置不正确，用户通过i节点就可以了解磁盘地址表中的块号，再相应的对文件进行读取，无论文件的所有者谁都可以如此操作。基于此，除root权限外，对于任何用户都不能给予磁盘分区的可写权。为了避免有些用户在系统提示状态下，进行一些不合规的操作，可以利用UNIX系统建立自动启动的终端，在用户使用系统时，省去登陆这一环节，这样既给用户带来了便利，又降低了损坏系统的机率。

3.3 备份策略

对系统备份也可以做一种安全策略来使用，当系统的程序被非法攻击或损坏后，把备份的数据进行还原，可使系统恢复到备份时的状态。系统的备份程序务必要放到无法受到侵害的地方，以防被窃取或复制。如果条件允许，应多备份几份放在几处，以防发生火灾等不可抗因素破坏系统。磁介质的使用时间通常很短，极易破损，因此管理员应对系统进行定期备份，对于一些重要的文件要加强测试的力度，并时常对其进行替换。如果备份的介质出现报废的情况，应妥善处置，以防被不法者加以利用。在利用备份加强系统安全性时，备份的频率是一个重要指标。一般对于重要的文件备份频率要高些，对系统的一部分进行备份时，频率可提高，对系统进行整体备份时，频率可适当降低。对文件进行备份时，可使用“汉诺塔”方法进行操作。

4 结论

综上所述，UNIX系统由于具有优良的性能，在工业、商业、教育等诸多行业得到了广泛应用。但即使是安全性能非常高的系统，也存在被入侵的可能性，因此，UNIX系统的用户应对系统信息安全进行深入了解，不断探索、寻找有效的安全管理对策，开发功能齐全、可靠性高、管理性能优良的管理程序，以弥补UNIX系统在设计上的先天不足，为用户打造一个安全、信任、可依赖的工作平台。

参考文献：

[1] 邱晓理.浅谈Unix操作系统的安全策略[J].华南金融电脑，2008（10）： 125-126.

[2] 陈有为，王旭启.基于Unix网络信息安全加密机的设计[J].网络安全技术与应用，2010（9）：289-290.

[3] 裴立公.金融领域Unix网络系统的安全管理策略[J].金融科技时代，2013（3）：167-168.

[4] 周鹏梅.Unix主机系统的安全策略[J].科技信息，2010（4）：344-345.