Linux操作系统安全性防护

摘要：随着计算机科技技术的发展，我们越来越注重计算机安全，为了让用户对数据进行完整性操作、安全性操作、以及可用性操作，以下就Linux操作系统的安全性防护做出简要分析以及如何防护提出策略。操作系统的安全与国家的利益关系密切相关。因为目前我国的操作系统都是从国外直接引进的，所以操作系统存在安全患，为了研究开源的Linux操作系统的安全缺陷，下文对Linux系统的安全机制以及如何防护避免安全因素的影响做出简要分析以及怎样从安全的角度使用Linux操作系统。

关键词： Linux操作系统；安全策略

一、引言

1.安全目的：要目的包括机密性、完整性、和可用性，机密性是保障用户的数据不被别人所知道，完整性为了让数据具有它本身所具有的健壮性，可用性是指数据不能被破坏，应该具有它本身所具有的作用，即可执行性。

2.安全策略：关注信息系统中的信息控制、管理和分发，规定信息系统或产品对敏感信息的处理和使用方式的法律，存在两种最重要的安全策略模型BLP模型和Biba模型，此处不做详细介绍。

二 、Linux操作系统安全机制分析

1.身份标识和鉴别，在Linux系统中身份标识与鉴别机制是基于用户名和口令来实现的，允许系统管理员通过useradd命令为用户指定唯一用户名和初始口令，将这个信息放在/etc/passwd文件里面，其实密码信息文件是在/etc/shadows文件中存储的。

2.文件访问控制，Linux对文件包括设备都是通过访问控制机制来实现的，这种简单自主访问控制机制的基本思想，系统每一个用户拥有自己唯一的UID，并且属于某一用户组，而且用户组都有一个唯一的组号，这些信息存放在/etc/group文件里面，系统中的文件权限主题分为所属用户、所属组、其他用户，并且在这个基础之上，每一个文件权限都对应有三个系统权限，分别为r、w、x，称作读权限、写权限、执行权限，可以通过命令进行修改文件或者目录的权限，所以在这里需要对个文件权限进行妥善管理

3.特权管理，因为Linux操作系统是类Unix系统，所以普通用户没有任何特权，而超级用户拥有系统内的所有特权，所以，在很多现有的基于Linux操作系统内核的操作系统都没有开放root用户，这样很大一部分的原因就是root用户具有至高无上的权利，它要是被黑客攻击，那么后果不堪设想，所以建议对root用户使用的时候，要多加防范。

4.安全审计，它的基本思想就是将审计事件分为系统事件和内核事件两部分M行维护与管理，系统事件有审计进程syslogd来维护和管理，而内核事件由审计线程klogd来维护和管理。

三、从安全的角度管理和使用Linux系统

1.口令管理，顶起更换口令，而且使用口令的标准是大小写字母加数字和标点符号混用，提高用户本身的安全性，这是用户做的最基本的安全性防护措施。

2.不要将口令轻易告诉别人，而且不建议在很多地方使用同一个口令。可以使用口令管理软件，将自己的用户密码进行管理。

3.用户权限管理，通过正确限制所有用户对文件的区别访问来控制用户权限安全性。

4.定期升级系统补丁和应用程序补丁。

5.对系统用户文件进行备份，普通用户对自己的数据，超级用户需要备份系统重要配置文件的数据主要配置文件数据在/etc文件夹下面。

6.定期查看日志文件，日志文件是记录整个操作系统的使用状况，可以帮助我们安全使用以及排除错误的信息支持，例如以下文件：

7.关闭不必要的系统服务，Linux操作系统在安装的时候包括了较多的网络服务，如果作为服务器来讲的话，这样使用起来会很方便，但作为用户的工作站就不太好，会出现安全问题。用户应该关闭不需要的服务。/etc/ined服务器程序承担网络服务的任务，它同时监听多个网络端口，一旦收到外界网络传来的连接信息，就执行响应的TCP或者UDP网络连接任务。

8.要确保操作系统端口安全，TCP或者UDP网络数据通过使用端口号才能够被正确的指向相应的应用程序，这样才能正确的访问该应用程序，而其中的每个程序也被赋予了特别的TCP或者UDP端口号，网络数据进入计算机后，操作系统会根据它包含的端口号，将其发送到相对应的应用程序中，攻击者会利用各种手段对目标主机的端口进行扫描和探测，这样就能确定一些信息，这样给攻击者增加了攻击的可能性，建议使用网络工具，定期检测网络端口的异常，如果发现有可疑端动，立即做出安全性防护措施。

9.用户在管理自己的目录的时候，不会让自己私有的目录给予别的用户访问的权限，除非特定需求的用户，而且原则是，只能让其他用户具有读取的权限，一般不会赋予写和执行的权限。在管理目录的时候，应该遵循各个用户数据建立自己的用户目录，这样系统便于管理。

10.设置用户密码之外，还需要给Linux上每个账户可以被赋予不同的权限，因此在建立一个新用户账户时候，系统管理员应该根据需要赋予该账户不同的权限，并且管理到不同的用户组。

11.用户需要时常检测用户自己的目录与文件的信息变化情况，如果发现文件和目录的权限有异常情况发生，需要立即修改用户密码，以及查看其他用户所在组的变化情况。

12.如果由特殊文件可以使用文件加密的方式，将文件加密过后，可以提高该文件所在场景的安全性，由于加密过后，不使用解密，攻击对象即使获得该文件，也无法获取里面的信息。如果用户在使用Linux操作系统的过程中，使用文件只是用到一次，那么可以建立在/usr/tmp文件夹下面，这是共用的目录，而且最大的特点，在系统重启的时候，会将该目录下面的文件删除。