Linux安全十二法则2

文章来源：计算机世界网

5、设定用户账号的安全等级

   除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新的用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。

   在Linux系统中的部分文件中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hosts.allow中设置，不允许上机人员名单在/etc/hosts.deny中设置。此外，Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中，系统管理员可以据此查出可疑的进入记录。

   每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号而发生的。

   在用户账号之中，黑客最喜欢具有root权限的账号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。

   Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如，在Red Hat    Linux系统中，该文件的初始值仅允许本地虚拟控制台（rtys）以root权限登录，而不允许远程用户以root权限登录。最好不要修改该文件，如果一定要从远程登录为root权限，最好是先以普通账号登录，然后利用su命令升级为超级用户。

6、谨慎使用“r”远程管理程序

   在Linux系统中，有一系列r字头的公用程序，比如rlogin、rcp等等。它们非常容易被黑客用来入侵系统，因而非常危险，因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用.rhosts文件或者hosts.equiv文件核准进入的，因此一定要确保root账号不包括在这些文件之内。

   由于r字头远程指令是黑客们用来攻击系统的较好途径，因此很多安全工具都是针对这一安全漏洞而设计的。例如，PAM工具就可以用来将r字头公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令，使整个系统的用户都不能使用自己home目录下的.rhosts文件。

7、采用加密传输手段

   由于协议在最初设计时候的不成熟，没有考虑到网络发展到今天会存在如此严重的安全问题，所以诸如FTP、Telnet等服务都是采用明文传输口令和数据，所以我们要尽可能地利用现在的安全技术，对传输的数据进行加密。SSH是安全Shell的简称，它可以安全地被用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密，并且用其密钥充当身份验证的工具。

   由于SSH将网络上的信息加密，因此它可以用来安全地登录到远程主机上，并且在两台主机之间安全地传送信息。实际上，SSH不仅可以保障Linux主机之间的安全通信，Windows用户也可以通过SSH安全地连接到Linux服务器上。(关于SSH的具体使用方法可参阅本报2005年9月12 日第35期C10版《使用SHH实现Linux下的安全数据传输》，或访问www2.ccw.com.cn/05/0535/d/0535d04_3.asp)

8、限制超级用户的权力

   我们在前面提到，root是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。

   sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。例如，应用sudo后，可以让管理磁带备份的管理人员每天按时登录到系统中，取得超级用户权限去执行文档备份工作，但却没有特权去做其他只有超级用户才能作的工作。

   sudo不但限制了用户的权限，而且还将每次使用sudo所执行的指令记录下来，不管该指令的执行是成功还是失败。在大型企业中，有时候有许多人同时管理Linux系统的各个不同部分，每个管理人员都有用sudo授权给某些用户超级用户权限的能力，从sudo的日志中，可以追踪到谁做了什么以及改动了系统的哪些部分。

   值得注意的是，sudo并不能限制所有的用户行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。例如，一般用来显示文件内容的/etc/cat指令，如果有了超级用户的权限，黑客就可以用它修改或删除一些重要的文件。

   对于该程序的使用，我们将在《充分使用Linux安全防护工具》一文中对其进行详细讲述。

9、留意和追踪黑客的踪迹

当用户仔细设定了各种与Linux相关的配置（最常用日志管理选项），并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证能防止那些比较熟练的网络黑客的入侵。

   在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：

● 正常用户在半夜三更登录；

● 不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了；

● 用户从陌生的网址进入系统；

● 因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败但却有一定模式的试错法；

● 非法使用或不正当使用超级用户权限su的指令；

● 重新开机或重新启动各项服务的记录。

   上述这些问题都需要系统管理员随时留意系统登录的用户状况以及查看相应日志文件，许多背离正常行为的蛛丝马迹都应当引起高度注意。（具体的方法请参阅本报2005年6月20日第23期C15版《使用日志系统保护Linux安全》一文，或访问www2.ccw.cow.cn/05/0523/d/0523d04_2.asp）

10、结合使用防火墙、IDS等防护手段

   防火墙、IDS等防护技术已经成功地应用到网络安全的各个领域，而且都有非常成熟的产品。目前，分布式防火墙是一种新的防火墙体系结构，其包含如下产品：

● 网络防火墙：用于内部网与外部网之间（即传统的边界防火墙）和内部网子网之间的防护产品，后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。

● 主机防火墙：对于网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。

● 中心管理：边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。

   在Linux系统来说，有一个自带的Netfilter/iptables防火墙框架，通过合理地配置也能起到主机防火墙的功效。（该技术的使用请参阅本报2005年5月9日第17期C10版《Linux下的防火墙机制应用》一文，或访问www2.ccw.com.cn/05/0517/d/0517d04_2.asp）

   对于IDS来说，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。按照技术以及功能来划分，入侵检测系统可以分为如下几类：

● 基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

● 基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

● 采用上述两种数据来源的分布式入侵检测系统：能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。

   在Linux系统中也有相应的轻量级的Snort，使用它可以快速、高效地进行防护。(关于Snort的具体使用请参阅本报2005年4月11日第13期C16版《使用Snort塔建安全的Linux服务器》一文，或访问www2.ccw.com.cn/05/0513/d/0513d04_1.asp)

   需要提醒读者注意的是：在大多数的应用情境下，我们需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包（部分或者全部）来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势。目前，基于多个安全产品间的联动的研究正在进行，这是一个很有前途的方向。

11、保持对新技术及其系统漏洞的跟踪

   计算机技术、网络通信技术以及网络攻防对抗技术的发展一直就没有停止过。Linux作为一种优秀的开源软件，其自身的发展也日新月异，同时，它存在的安全问题也会在日后的应用中慢慢暴露出来。黑客对新技术的关注从一定程度上来说要高于我们防护人员，所以要想在网络攻防的战争中处于有利地位，保护Linux系统的安全，就要求我们要保持高度的警惕性和对新技术的高度关注。特别是使用Linux作为关键业务系统的企业的系统管理员，需要通过Linux的一些权威网站和论坛尽快地获取有关该系统的一些新技术以及一些新的系统漏洞的信息，做到防范于未然，提早行动，在漏洞出现后的最短时间内对其进行封堵，并且在实践中不断地提高安全防护的技能，这样才是比较好的解决办法和出路，单纯地依靠一些现有的工具是不行的。

12、综合防御，确保安全

   从计算机安全的角度看，世界上没有绝对密不透风、百分之百安全的计算机系统，Linux系统也不例外。采用以上的安全法则，虽然可以使Linux系统的安全性大大提高，使一般地黑客和电脑玩家不能轻易闯入，但却不一定能阻挡那些比较高明的黑客，因此，用户需要灵活地综合采用上述原则，并且根据实际的应用场景进行调整，才能取得比较好的实践效果。

   李洋，中国科学院计算技术研究所博士。主要研究方向为大规模网络信息安全、计算机软件与理论。多年来一直从事网络信息安全领域的研究与开发工作。曾参与过多项“国家自然科学基金重大专项”、“国家863计划”、“国家242信息安全计划”等重大国家项目的研发工作。

上一篇：Linux安全十二法则1
下一篇：找回Linux/Unix下各系统的密码

---

【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台，不为其版权负责。如涉及侵犯您的知识产权的文章，请联系我们，我们将尽快做出更正。并向您表示感谢！同时特别感谢对本站所有支持的网友。