| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

Linux

数据库
邮件服务
Linux
Win9x/ME
Win2000/NT
WinXP/Server

本类阅读TOP10

·Linux日志管理详解
·创建iptables NAT规则
·使用Linux实现负载均衡
·在局域网中设置Linux时间服务器
·使用Linux建立IP隧道
·漂亮的国产Linux操作系统Open Desktop赏析
·构建Linux局域网
·LINUX系统初始化过程解析
·做个ADSL+Linux软路由器
·Linux下的网关设置

站内搜索

构建安全Linux系统十二守则

    计算机系统的核心是操作系统,因此,操作系统的安全与否直接决定着信息是否安全。是开放源代码的操作系统安全还是不开放源代码的操作系统安全?这一点在业界有不同的声音。但有一点可以肯定,开放源代码有利于迅速地对缺乏安全性的代码进行及时修改,以达到安全要求。

  由于Linux的开放性,使得我们可以通过修改系统源代码,结合现有的系统安全技术以及加入我们自有的加密算法,构建一个安全的Linux操作系统。这里需要解决以下12个方面的问题。

  1. 身份识别和认证
  身份识别和认证是信息系统的最基本要求。一般的Linux系统采用用户名和口令对的形式来进行身份识别和认证。这包含了一些不安全因素,比如系统的密码文件被窃,入侵者采用穷举的方式侵入等。我们可以通过加入其他认证形式来提高系统身份识别和认证的安全性,例如使用公钥算法,将用户的私钥存于用户随身携带的硬件介质上(如IC卡、USB钥匙),系统只保留用户认证信息中的公钥信息。这样,即使公钥信息被窃,入侵者也不可能算出私钥,攻入系统。

  2. 基本的入口控制
  通过提供明显的警告信息,用户登录时相关信息的显示,以及对登录失败次数的限制,也能有效的防范入侵者。

  3. 安全的审计
  改善Linux原有的审计功能,对用户、进程及其他客体行为进行完善的跟踪审计。首先,审计要保证本身的审计信息不会被篡改或者删除。其次,系统要能够对所有的敏感操作进行记录。

  4. 访问控制
  在Linux系统中加入必须的访问控制的实现,比如强制访问控制(MAC)以及自主访问控制(DAC)。自主访问控制允许系统的用户对于属于自己的客体,按照自己的意愿,允许或者禁止其他用户访问。目前Linux提供类似传统UNIX系统的“属主用户/同组用户/其他组”权限保护机制。为了对用户信息提供更好的保护,应能够为用户提供用户级的控制力度。使自主存取控制更接近真实的情况。强制存取控制是由系统管理员进行的安全访问权限设置,提供比自主存取控制更严格的访问约束。

  5. 加密文件系统
  通过在系统中加入加密文件系统机制,保证系统的数据安全,即使系统的存储介质被窃,在入侵者没有取得密钥的情况下,数据依然是不可读的。Linux的开放源代码为我们了解认识Linux的文件系统构架成为可能,也方便了我们对文件系统进行修改,这就使得加密文件系统的实施成为可能。

  6. 完整性保护
  通过对文件和文件系统的跟踪及维护相应的数据库,我们可以对系统中的变化一清二楚,在系统的某些数据发生非法的变化时,我们能够迅速地发现,从而避免入侵者后门程序的存在。这种保护与备份机制相结合,使系统能够迅速地进行自我恢复。

  7. 入侵攻击检测与防范
  采用对敏感资源、IP或者端口进行监测等办法,可以及时地发现入侵行为,并采取相应的措施。比如大量半开的TCP连接,源地址为非法IP的外部数据包,对138和139端口的操作等等,都有可能是入侵的特征。我们通过编写相应的代码,和系统有机地结合在一起,就能有效地防范这类入侵。

  8. 提供完善的安全API
  在系统中为用户提供一套完善的安全API,有利于用户结合系统实现自己的安全应用。

  9. 修改系统中的服务,加入安全的机制
  升级系统服务版本,修改服务中的安全漏洞。

  10.提供安全的服务和应用
  比如支持SSL的Web服务、SSH、IPSEC、支持PGP的邮件程序等。

  11.提供完善的系统安全扫描与检测工具
  在系统中提供完善的安全扫描与检测工具,管理员可以经常对系统进行安全检测,及时发现安全隐患。

  12.采用安全的加密算法
  采用更长密钥(128位以上)的公认安全加密算法来实现系统中的加密应用。

  开放源代码的Linux为我们实现安全的操作系统平台提供了新的机遇。通过对基于Linux的安全操作系统的研究,将有助于我们实现自有版权的安全操作系统,构建国人自己的信息安全平台。





相关文章
  • 遭受拒绝服务攻击事件的分析及对策
  • 通过TCP/IP堆栈特征探测远程操作系统
  • 通过IP欺骗进行攻击的原理及预防
  • 远程连接作为root的用法和总结
  • 远程shell特洛伊木马病毒
  • 运用CrackLib构建安全的Unix口令
  • 调整 TCP/IP 防范攻击
  • 设置Unix启动密码
  • 解剖恶意网站代码
  • 虚拟服务器实现方法
  • 虚拟文件系统 (VFS) 简介
  • 网络最高安全指南
  • 网络安全的几项关键技术
  • 网络安全漏洞检测
  • 系统遭受入侵后使用TCT进行紧急恢复并分析
  • 系统管理进阶-内存管理
  • 系统管理员安全(2)
  • 系统管理员安全(1)
  • 系统管理员安全
  • 系统的安全检查
  • 相关软件


    下载首页关于我们广告服务联系方式常见问题隐私声明法律条款本站声明下载帮助发布软件站点地图谷歌卫星地图