Linux操作系统安全策略浅析

在计算机技术飞速发展的今天。人们的学习、工作和生活与计算机联系得越来越紧密,其安全性问题也被提到了前所未有的高度。随着具有开源特性的Linux操作系统的广泛应用。它的安全性也越来越受到用户的关注。在实际应用中,用户要求希望得到诸如卡巴斯基、360安全卫士等安装操作简单、界面形象直观、易于管理的安全软件。但是Linux的大多数用户都是以前使用Windows系统的用户,对Linux操作系统感到既新奇又陌生。我们在应用Linux强大网络功能的同时,如果解决不好安全性问题,不但收不到预期效果,还会适得其反。

下面,针对市面上常见的Red Hat、Sues、Defiant等Linux操作系统,通过总结归纳其中的一些共性设置,提出一些适合的安全策略。

1　初步安装操作,合理规划实现多系统共存

现在许多用户习惯使用Windows、Linux双系统,鉴于这种情况,建议使用双硬盘,分别安装Windows和Linux操作系统。具体操作如下:找两块硬盘,现在多是SATA接口的,第一块硬盘安装Windows系统,第二块硬盘安装好Linux服务器版和默认安装GRUB(引导装载管理器),并确保GRUB安装在第二块硬盘的主引导扇区,接好两块硬盘的数据线,借助Linux的GRUB进行配置,自动接管双重系统的启动选单。

2　制定密码策略,多管齐下保证系统安全登录

密码是保证系统安全的第一道防线,因此,必须要有一个强健的密码。密码设置的原则:足够长,不要用完整的单词,尽可能要包括数字、字母、特殊字符和大小写混写,经常进行修改。在Linux系统中除了要遵循以上原则外。还要注意以下方面:

首先,在Linux登录和登出过程中的密码安全问题有很多容易忽视的地方,比如:BIOS的密码设置不要和系统密码相同。此外Linux是一个多用户操作系统,为了保证系统安全,在登出和锁定屏幕的时候也是非常重要的,特别是在系统上是唯一用户时,建议锁定屏幕保证系统安全。

其次,在启动和加载程序时,要尽量使用GRUB而不要使用LILO,因为ULO在配置文件中使用的是明文口令,而GRUB使用的是MD5加密算法,可以防止使用被定制的内核来启动系统。

再次,建议使用SELinux安全策略,SELinux(Security_EnhancedLinux)是由美国国家安全局NSA开发的访问控制机制。与日常Linux系统相比,SELinux系统安全性能要高很多。它通过对用户进程权限进行最小化限制,即使受到外部侵入或者用户进程被劫持,也不会对整个系统造成重大影响。没有SELinux保护的Linux的安全级别和Windows一样,是C2级,经过SELinux保护的Linux安全级别可以达到B1级。

3　严格文件操作,细微之处打造安全的系统策略

一是隐藏文件夹,如果有不想让别人直接看到的文件,最简单的办法就是在文件名前加个“.”,也可以在终端通过“mv test.test”命令实现。例如“test”文件会出现在文件夹中。但“.test”则不会出现;如果需要查看隐藏文件,可以在终端进入对应文件夹,用“Jsa”命令查看。

二是拒绝文件共享,杜绝因启用文件共享引起的重要信息的丢失。

三是将“/home”文件夹进行转移,在Linux系统中。“/home”默认的安装路径恰好在root目录下。因此一旦获得本地计算机权限的人就会马上知道数据存放在哪里,所以在重要环境下,应将“/home”进行转移或全部分割。

另外,对整个系统而言,勤打补丁,保持定时更新也是十分重要的。

4　规范用户管理,严格权限禁止非法切换

在Linux中,“su”是一个很常用的命令,它可以完成从普通用户到root用户的切换,也可以用于普通用户之间的切换,只要用户知道root密码就可以完成此项操作,使系统存在一定风险,因此,有必要限制使用“su”进行用户切换。只有属于wheel组的用户才可以使用“su”命令来切换用户,这个限制是由PAM机制来限定的。PAM是由SUN提出的一种认证机制,它通过提供一系列动态链接库和一套统一的API,将系统提供的服务和认证方式分开。使得系统管理员可以灵活地根据服务需要配置不同的认证方式,同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其他系统中。

上面列举的几点关于Unux安全的策略,用户平时只要结合实际进行配置,对提高系统的安全性将十分有帮助。