linux服務(wù)器安全加固演示教學(xué)

1、Good is good, but better carries it.精益求精，善益求善。linux服務(wù)器安全加固目錄TOCo1-3hzuHYPERLINKl_Toc2817292431.概述PAGEREF_Toc281729243h3HYPERLINKl_Toc2817292441.1信息系統(tǒng)建設(shè)的規(guī)劃模型PAGEREF_Toc281729244h3HYPERLINKl_Toc2817292451.2服務(wù)器操作系統(tǒng)及數(shù)據(jù)安全的重要性PAGEREF_Toc281729245h4HYPERLINKl_Toc2817292461.3面臨的安全風(fēng)險(xiǎn)PAGEREF_Toc281729246h4HYP

2、ERLINKl_Toc2817292471.4安全的服務(wù)器需求PAGEREF_Toc281729247h7HYPERLINKl_Toc2817292482.linux系統(tǒng)服務(wù)器模塊功能PAGEREF_Toc281729248h8HYPERLINKl_Toc2817292492.1內(nèi)核級(jí)文件強(qiáng)制訪問(wèn)控制模塊PAGEREF_Toc281729249h8HYPERLINKl_Toc2817292502.2內(nèi)核級(jí)進(jìn)程強(qiáng)制保護(hù)模塊PAGEREF_Toc281729250h8HYPERLINKl_Toc2817292512.3內(nèi)核級(jí)網(wǎng)絡(luò)強(qiáng)制訪問(wèn)模塊PAGEREF_Toc281729251h9HYPERLI

3、NKl_Toc2817292523啟動(dòng)和登錄安全性PAGEREF_Toc281729252h9HYPERLINKl_Toc2817292533.1BIOS安全PAGEREF_Toc281729253h9HYPERLINKl_Toc2817292543.2用戶口令PAGEREF_Toc281729254h10HYPERLINKl_Toc2817292553.3默認(rèn)賬號(hào)PAGEREF_Toc281729255h10HYPERLINKl_Toc2817292563.4口令文件PAGEREF_Toc281729256h10HYPERLINKl_Toc2817292573.5禁止Ctrl+Alt+Del

4、ete重新啟動(dòng)機(jī)器命令PAGEREF_Toc281729257h10HYPERLINKl_Toc2817292583.6限制su命令PAGEREF_Toc281729258h10HYPERLINKl_Toc2817292593.7減登錄信息PAGEREF_Toc281729259h11概述1.1信息系統(tǒng)建設(shè)的規(guī)劃模型信息建設(shè)框架圖如上圖所示：根據(jù)建設(shè)對(duì)象和實(shí)現(xiàn)目標(biāo)不同，客戶的信息化建設(shè)架構(gòu)應(yīng)該分為四個(gè)部分，分別是IT基礎(chǔ)設(shè)施建設(shè)和管理，安全系統(tǒng)建設(shè)和管理、安全網(wǎng)管平臺(tái)建設(shè)和管理、應(yīng)用系統(tǒng)建設(shè)和管理。建設(shè)的順序也是自下而上依次或者同步進(jìn)行。但是在實(shí)際的建設(shè)工程中，集成商往往引導(dǎo)客戶重視兩頭的建設(shè)

5、既基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)的建設(shè)卻對(duì)中間過(guò)程的安全系統(tǒng)建設(shè)及安全網(wǎng)絡(luò)管理平臺(tái)建設(shè)比較忽視（信息建設(shè)框架圖中紅色的模塊部分）。即使在建設(shè)中涉及了部分內(nèi)容，也只是網(wǎng)絡(luò)安全的邊界防護(hù)、PC終端的防病毒建設(shè)等等，對(duì)于數(shù)據(jù)庫(kù)的數(shù)據(jù)安全以及服務(wù)器的自身安全管理并不是太重視。更不要說(shuō)建設(shè)集中的安全的網(wǎng)絡(luò)安全管理中心了。當(dāng)基礎(chǔ)設(shè)施結(jié)構(gòu)越來(lái)越龐大、應(yīng)用系統(tǒng)越來(lái)越復(fù)雜，業(yè)務(wù)和基礎(chǔ)設(shè)施之間的脫節(jié)感就會(huì)越來(lái)越強(qiáng)，越來(lái)越多的問(wèn)題也會(huì)被提出來(lái)，例如：什么是影響業(yè)務(wù)的主要瓶頸？業(yè)務(wù)帶來(lái)的安全問(wèn)題如何去解決？需要增加網(wǎng)絡(luò)帶寬嗎？網(wǎng)絡(luò)故障導(dǎo)致業(yè)務(wù)受阻，問(wèn)題出在什么地方？業(yè)務(wù)網(wǎng)絡(luò)內(nèi)安全狀況到底是什么狀態(tài)，業(yè)務(wù)的數(shù)據(jù)傳輸安全嗎？.等

6、等因此，浪潮提供的信息建設(shè)和管理不僅僅關(guān)注純粹的IT技術(shù)，更多地關(guān)注如何把客戶的應(yīng)用業(yè)務(wù)和基礎(chǔ)結(jié)構(gòu)這兩個(gè)層面中間的空白連接在一起，使他們之間的鴻溝更好地彌合。也就是努力的將框架中通常缺失的紅色部分完整地提供給大家。1.2服務(wù)器操作系統(tǒng)及數(shù)據(jù)安全的重要性長(zhǎng)期以來(lái)我們對(duì)基于網(wǎng)絡(luò)應(yīng)用的外部防范技術(shù)關(guān)注較多，但是往往忽略了信息安全的“終點(diǎn)問(wèn)題”。安全網(wǎng)絡(luò)管理是通過(guò)網(wǎng)絡(luò)層、鏈路層以及分析審計(jì)信息來(lái)對(duì)信息網(wǎng)絡(luò)的整體安全和網(wǎng)絡(luò)狀況進(jìn)行監(jiān)控和管理。我們知道所有的攻擊來(lái)源和攻擊目標(biāo)最終都會(huì)歸結(jié)到承載企事業(yè)單位信息業(yè)務(wù)的終端和服務(wù)器上。浪潮安全網(wǎng)管系統(tǒng)能夠很好的全面對(duì)服務(wù)器進(jìn)行監(jiān)控，但是操作系統(tǒng)的漏洞是層出不窮的

7、，一旦最后一道防線被攻破，即使我們有監(jiān)控證據(jù)和管理措施，服務(wù)器的重要數(shù)據(jù)丟失造成的影響我們還是無(wú)法估量的。業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)庫(kù)已不再是只存在可靠性高的網(wǎng)絡(luò)中。慢慢地，數(shù)據(jù)庫(kù)與多個(gè)應(yīng)用相連接，其間網(wǎng)絡(luò)多是不可靠的。數(shù)據(jù)庫(kù)中的數(shù)據(jù)是單位信息業(yè)務(wù)的生命血液，存放的信息又重要又廣泛。對(duì)數(shù)據(jù)庫(kù)的非授權(quán)訪問(wèn)引起了人們的關(guān)注，產(chǎn)生了新的難題。IT和安全管理員已相繼配置了安全策略和技術(shù)，但很少企業(yè)能足以抵御攻擊，保護(hù)自己的數(shù)據(jù)庫(kù)。面對(duì)不斷增長(zhǎng)的風(fēng)險(xiǎn)，國(guó)家制定了相關(guān)的行業(yè)法規(guī)。隱私權(quán)保護(hù)、數(shù)據(jù)保護(hù)以及重要信息的長(zhǎng)期存儲(chǔ)和歸檔隱患，企業(yè)需要保證他們的數(shù)據(jù)保護(hù)上處于不斷改進(jìn)中。面對(duì)需求變更的商業(yè)壓力，越來(lái)越多的企業(yè)想

8、在標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)包的安全控制之外仍然取得一定級(jí)別的數(shù)據(jù)庫(kù)安全性，尤其是，他們希望能夠限制查看數(shù)據(jù)庫(kù)中重要數(shù)據(jù)項(xiàng)的人員訪問(wèn)。當(dāng)前緊迫問(wèn)題是如何最好地實(shí)現(xiàn)這一點(diǎn)？怎樣配置訪問(wèn)控制，如何加密以實(shí)現(xiàn)嚴(yán)格的安全策略，而不影響到日常的數(shù)據(jù)庫(kù)操作？加密/解密可以配置在應(yīng)用程序，或數(shù)據(jù)庫(kù)中，或文件系統(tǒng)上。所以浪潮建議客戶在數(shù)據(jù)安全建設(shè)上要抓住關(guān)鍵，即安全的服務(wù)器和安全的操作系統(tǒng)。1.3面臨的安全風(fēng)險(xiǎn)1.來(lái)自內(nèi)部的攻擊威脅隱患某些內(nèi)部員工有攻擊所在公司的目的或動(dòng)機(jī)并且他們熟知資源的訪問(wèn)控制；內(nèi)部網(wǎng)物理竊聽(tīng)容易，有很多的網(wǎng)絡(luò)工具可以監(jiān)聽(tīng)局域網(wǎng)傳輸?shù)娜魏涡畔?；一般的?nèi)部服務(wù)應(yīng)用所傳輸?shù)拿舾行畔⒍际敲魑模鐃elnet時(shí)

9、輸入的帳號(hào)和口令，網(wǎng)頁(yè)登錄頁(yè)面輸入的用戶名和口令；內(nèi)部員工所連接的電腦在物理上直接與服務(wù)器相連，來(lái)自用戶的請(qǐng)求未經(jīng)任何過(guò)濾，直接連到服務(wù)器，而相比之下，Internet上的服務(wù)器一般都有防火墻的保護(hù)。這些原因?qū)е铝藘?nèi)部網(wǎng)存在的安全威脅相比Internet更值得關(guān)注。內(nèi)部網(wǎng)Intranet指的是一個(gè)基于TCP/IP通訊協(xié)議的內(nèi)部信息系統(tǒng)，為用戶提供網(wǎng)絡(luò)服務(wù)。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，很多企業(yè)以及政府部門(mén)經(jīng)常在自己內(nèi)部的Intranet中集成了多種應(yīng)用，包括基于瀏覽器方式的WWW應(yīng)用以及基于數(shù)據(jù)庫(kù)的Client-Server方式應(yīng)用。使用者憑用戶名和口令進(jìn)入每個(gè)應(yīng)用，應(yīng)用也根據(jù)用戶名和口令識(shí)別用戶身份，

10、判斷用戶的權(quán)限。這樣應(yīng)用的增加給內(nèi)部網(wǎng)絡(luò)帶來(lái)了兩方面的問(wèn)題。對(duì)用戶而言，將擁有多個(gè)用戶名和口令，用戶如何有效的管理自己在各個(gè)應(yīng)用中對(duì)應(yīng)的用戶名和口令？如何保護(hù)自己的身份信息不被別人竊取呢？如果用戶遺忘了某個(gè)用戶名或口令時(shí)將會(huì)影響他的工作，可能給自己造成很大的損失；如果用戶為了方便記憶在各個(gè)應(yīng)用中都使用同一個(gè)用戶名和口令或把自己的各個(gè)用戶名、口令記錄在紙上，就會(huì)帶來(lái)很大的口令泄露的風(fēng)險(xiǎn)。對(duì)整個(gè)內(nèi)部網(wǎng)而言，如何在多個(gè)應(yīng)用中統(tǒng)一管理用戶的權(quán)限？如何提供保護(hù)用戶身份信息的安全機(jī)制？如何有效地確保合法用戶在自己擁有的權(quán)限內(nèi)安全地、方便地使用Intranet，同時(shí)防止內(nèi)部人員非法越權(quán)訪問(wèn)？又如何防止網(wǎng)上傳

11、輸?shù)臋C(jī)密信息泄露呢？大多數(shù)的WWW服務(wù)都使用明文來(lái)傳輸用戶名和口令，這很容易被他人從網(wǎng)上截獲。即使是相當(dāng)好的口令，由于口令的長(zhǎng)度很有限，也抵御不了類似字典攻擊這樣的窮舉攻擊。2.來(lái)自外部網(wǎng)絡(luò)的攻擊隨著Internet網(wǎng)絡(luò)上計(jì)算機(jī)的不斷增長(zhǎng)，所有計(jì)算機(jī)之間存在很強(qiáng)的依存性。一旦某些計(jì)算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如DNS系統(tǒng)、路由器的攻擊也越來(lái)越成為嚴(yán)重的安全威脅。以下是網(wǎng)絡(luò)攻擊的幾大主要趨勢(shì)。趨勢(shì)一：攻擊過(guò)程的自動(dòng)化；攻擊工具的快速更新攻擊工具的自動(dòng)化程度繼續(xù)不斷增強(qiáng)。自動(dòng)化攻擊涉及到的四個(gè)階段都發(fā)生了變化。掃描潛在的受害者從1997

12、年起大量的掃描活動(dòng)就開(kāi)始了。目前，新的掃描工具利用了更先進(jìn)的掃描技術(shù)，變得更加有威力，并且提高了速度。入侵具有漏洞的系統(tǒng)以前，對(duì)具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描之后的?，F(xiàn)在，攻擊工具已經(jīng)將對(duì)漏洞的入侵設(shè)計(jì)成為了掃描活動(dòng)的一部分，這樣大大加快了入侵的速度。攻擊擴(kuò)散2000年之前，攻擊工具需要一個(gè)人來(lái)發(fā)起其余的攻擊過(guò)程?，F(xiàn)在，攻擊工具能夠自動(dòng)發(fā)起新的攻擊過(guò)程。例如紅色代碼和Nimda病毒這些工具就在18個(gè)小時(shí)之內(nèi)傳遍了全球。攻擊工具的協(xié)同管理自從1999年起，隨著分布式攻擊工具的產(chǎn)生，攻擊者能夠管理大量分布在Internet之上的攻擊工具發(fā)起攻擊?，F(xiàn)在，攻擊者能夠更加有效地發(fā)起一個(gè)分布式拒

13、絕服務(wù)攻擊。協(xié)同功能利用了大量大眾化的協(xié)議如IRC（InternetRelayChat）、IR（InstantMessage）等的功能。趨勢(shì)二：攻擊工具的不斷復(fù)雜化攻擊工具的編寫(xiě)者采用了比以前更加先進(jìn)的技術(shù)。攻擊工具的特征碼越來(lái)越難以通過(guò)分析來(lái)發(fā)現(xiàn)，并且越來(lái)越難以通過(guò)基于特征碼的系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測(cè)系統(tǒng)。其中三個(gè)重要的特點(diǎn)是反檢測(cè)功能，動(dòng)態(tài)行為特點(diǎn)以及攻擊工具的模塊化。反檢測(cè)攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得安全專家想要通過(guò)各種分析方法來(lái)判斷新的攻擊的過(guò)程變得更加困難和耗時(shí)。動(dòng)態(tài)行為以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻。現(xiàn)在的自動(dòng)攻擊工具能夠按照不同的方法更改它們的特

14、征，如隨機(jī)選擇、預(yù)定的決策路徑或者通過(guò)入侵者直接的控制。攻擊工具的模塊化和以前攻擊工具僅僅實(shí)現(xiàn)一種攻擊相比，新的攻擊工具能夠通過(guò)升級(jí)或者對(duì)部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來(lái)越多的平臺(tái)上運(yùn)行。例如，許多攻擊工具采用了標(biāo)準(zhǔn)的協(xié)議如IRC和HTTP進(jìn)行數(shù)據(jù)和命令的傳輸，這樣，想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了。趨勢(shì)三：漏洞發(fā)現(xiàn)得更快每一年報(bào)告給CERT/CC的漏洞數(shù)量都成倍增長(zhǎng)。對(duì)于管理員來(lái)說(shuō)想要跟上補(bǔ)丁的步伐是很困難的。另外，每年都會(huì)發(fā)現(xiàn)新的類型的漏洞。對(duì)于新的漏洞類型的代碼實(shí)例分析常常導(dǎo)致數(shù)以百計(jì)的其它不同軟件漏洞的發(fā)現(xiàn)。而且，入侵者往往能夠在軟件廠商更正這些漏洞

15、之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動(dòng)化趨勢(shì)，留給用戶打補(bǔ)丁的時(shí)間越來(lái)越短。趨勢(shì)四：滲透防火墻我們常常依賴防火墻提供一個(gè)安全的主要邊界保護(hù)。但是目前已經(jīng)存在一些繞過(guò)典型防火墻配置的技術(shù)，如IPP（theInternetPrintingProtocol）和WebDAV（Web-basedDistributedAuthoringandVersioning），另外，一些標(biāo)榜是“防火墻適用”的協(xié)議實(shí)際上設(shè)計(jì)為能夠繞過(guò)典型防火墻的配置。特定特征的“移動(dòng)代碼”（如ActiveX控件，Java和JavaScript）使得保護(hù)存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。當(dāng)前常用的網(wǎng)絡(luò)安全技術(shù)與工具的局限

16、性當(dāng)前常用的網(wǎng)絡(luò)安全技術(shù)與工具主要有：防火墻技術(shù)、入侵檢測(cè)系統(tǒng)技術(shù)(IDS)、Scanner技術(shù)、VPN技術(shù)和防病毒技術(shù)等，但每種技術(shù)都存在其局限性。防火墻號(hào)稱“一夫當(dāng)關(guān)，萬(wàn)夫莫開(kāi)”的關(guān)口,一定程度上簡(jiǎn)化了網(wǎng)絡(luò)的安全管理，但入侵者可尋找防火墻背后可能敞開(kāi)的后門(mén),對(duì)于這種入侵者可能就在防火墻內(nèi)的網(wǎng)絡(luò)內(nèi)部攻擊基本無(wú)法防范。入侵檢測(cè)IDS很難跟蹤新的入侵模式，且時(shí)有誤報(bào)警。漏洞掃描Scanner安全咨詢系統(tǒng)，很難跟蹤新的漏洞，并不能真正全面實(shí)時(shí)地掃描漏洞。綜上所述，正是由于以上常用網(wǎng)絡(luò)安全技術(shù)與工具存在的局限性，所以構(gòu)建由應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品與內(nèi)核加固技術(shù)內(nèi)外結(jié)合的立體網(wǎng)絡(luò)系統(tǒng)防護(hù)體系必將成網(wǎng)絡(luò)安全防

17、護(hù)技術(shù)的一種發(fā)展趨勢(shì)。而內(nèi)核加固技術(shù)作為應(yīng)用層網(wǎng)絡(luò)安全技術(shù)的一個(gè)堅(jiān)強(qiáng)后備與補(bǔ)充，在網(wǎng)絡(luò)安全體系中越來(lái)越占有重要地位并發(fā)揮其突出作用。1.4安全的服務(wù)器需求目前，通過(guò)對(duì)服務(wù)器的系統(tǒng)內(nèi)核加固對(duì)用戶信息的保密性、完整性、可靠性進(jìn)行有效的保護(hù)，以守住數(shù)據(jù)安全的最后一道防線，正在成為繼應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品后又行之有效的技術(shù)手段。眾所周知，各種操作系統(tǒng)的超級(jí)用戶權(quán)限超大可謂無(wú)所不能，一旦被通過(guò)外部或內(nèi)部的非法攻擊者所竊取與盜用對(duì)系統(tǒng)安全的威脅其后果不堪設(shè)想。內(nèi)核加固技術(shù)通過(guò)對(duì)操作系統(tǒng)的超級(jí)用戶權(quán)限進(jìn)行合理分散與適度制約，從而使萬(wàn)一出現(xiàn)的超級(jí)用戶“大權(quán)旁落”的威脅風(fēng)險(xiǎn)與破壞程度大大降低。特別就Internet

18、85%的信息泄露來(lái)自于內(nèi)部（OHiggins,1997），超過(guò)80%的計(jì)算機(jī)犯罪是由內(nèi)部員工實(shí)施這一現(xiàn)實(shí)而言，內(nèi)核加固技術(shù)的實(shí)現(xiàn)更具重要意義安全操作系統(tǒng)技術(shù)我們知道，公司或者企業(yè)或者政府等的重要數(shù)據(jù)都是保存在磁盤(pán)上的文件系統(tǒng)上的，所以我們需要保護(hù)操作系統(tǒng)的文件子系統(tǒng)，那么最好的方法是什么呢？就是一個(gè)安全的操作系統(tǒng)，做一個(gè)安全操作系統(tǒng)的最好的解決方法是安全內(nèi)核，也就是securitykernel。安全內(nèi)核加固系統(tǒng)在系統(tǒng)訪問(wèn)界面這一層旁路所有的文件訪問(wèn)操作，從而從驅(qū)動(dòng)層來(lái)達(dá)到為主客體進(jìn)行安全表示判斷的目的，實(shí)現(xiàn)了一個(gè)真正的安全內(nèi)核。實(shí)現(xiàn)安全內(nèi)核(Securitykernel)圖示如下：Thepro

19、tectioninformationofcorporationis:filesystemThebestideathatprotectedthefilesystemis:SecureOSThesecureOSsolutionis?(SecurityKernel)SecurityKernel(從根本上解決攻擊)操作系統(tǒng)內(nèi)核加固在驅(qū)動(dòng)層（0層）加上安全內(nèi)核模塊，攔截所有的內(nèi)核訪問(wèn)路徑，從而達(dá)到三級(jí)的技術(shù)要求，達(dá)到的安全效果和重構(gòu)操作系統(tǒng)源代碼技術(shù)差不多，好處是不會(huì)影響客戶的業(yè)務(wù)連續(xù)性，甚至不需要客戶重啟系統(tǒng)，對(duì)上層的所有應(yīng)用都支持，對(duì)下層所有系統(tǒng)和機(jī)器都支持，而且能在操作系統(tǒng)粒度上保證上層應(yīng)用的安全

20、，是安全服務(wù)器標(biāo)準(zhǔn)的技術(shù)基礎(chǔ)2.linux系統(tǒng)服務(wù)器模塊功能2.1內(nèi)核級(jí)文件強(qiáng)制訪問(wèn)控制模塊對(duì)于Linux系統(tǒng)：針對(duì)文件為客體，主體我們SSR中選取兩個(gè)，一個(gè)是用戶（gid），一個(gè)是進(jìn)程（進(jìn)程名的絕對(duì)路徑），為這些主客體加上我們的安全標(biāo)記，在系統(tǒng)訪問(wèn)界面這一層建有兩張表，來(lái)旁路DAC操作，實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制（MAC）。當(dāng)針對(duì)同一客體時(shí)，SSR提供了三個(gè)策略供用戶選擇，也就是用戶主體優(yōu)先的MAC以及進(jìn)程主體優(yōu)先的MAC，還有就是同時(shí)滿足的MAC策略。對(duì)于文件客體來(lái)說(shuō)，我們?cè)诳腕w綁定了一個(gè)雙向循環(huán)的規(guī)則表，該表符合標(biāo)準(zhǔn)的ACL機(jī)制，同時(shí)，我們的主體即用戶或者進(jìn)程也綁定了各自的雙向循環(huán)的規(guī)則表然后我們

21、在系統(tǒng)的各個(gè)文件訪問(wèn)入口加以控制，遍歷該規(guī)則鏈表來(lái)判斷主客體之間是否有權(quán)限進(jìn)行信息交互。2.2內(nèi)核級(jí)進(jìn)程強(qiáng)制保護(hù)模塊對(duì)于UNIX/Linux系統(tǒng)：保護(hù)的進(jìn)程是磁盤(pán)上的程序，也就是客體實(shí)質(zhì)上還是文件，主體是用戶，當(dāng)文件從磁盤(pán)上被執(zhí)行的時(shí)候就成了進(jìn)程，這時(shí)客體就變成了進(jìn)程，我們的強(qiáng)制訪問(wèn)控制也就是在文件被執(zhí)行變成進(jìn)程后起作用，所以這使進(jìn)程的強(qiáng)制訪問(wèn)控制。這樣做的好處是可以保護(hù)那些將要啟動(dòng)而未啟動(dòng)的進(jìn)程。內(nèi)核級(jí)防緩沖溢出模塊緩沖溢出攻擊是一種危害性極大，而且又是非常高級(jí)的攻擊手法，目前大多數(shù)的重量級(jí)的網(wǎng)絡(luò)安全漏洞基本上都是緩沖溢出的漏洞，這種攻擊手法是防火墻甚至IDS都無(wú)法防范的，SSR從內(nèi)核層控制

22、內(nèi)存頁(yè)面的訪問(wèn)執(zhí)行權(quán)限，從而達(dá)到根本的自身免疫系統(tǒng)。2.3內(nèi)核級(jí)網(wǎng)絡(luò)強(qiáng)制訪問(wèn)模塊SSR在網(wǎng)絡(luò)客體上綁定雙向規(guī)則鏈表，并且在相關(guān)的入口的函數(shù)里進(jìn)行攔截，通過(guò)規(guī)則鏈表和主體的標(biāo)識(shí)的比對(duì)，來(lái)判斷是否有訪問(wèn)權(quán)限，默認(rèn)情況下我們禁止所有的用戶主體訪問(wèn)網(wǎng)絡(luò)資源。身份認(rèn)證技術(shù)數(shù)字證書(shū)是一種使用公鑰體制來(lái)進(jìn)行身份認(rèn)證的數(shù)據(jù)實(shí)體。用來(lái)管理SSR規(guī)則的設(shè)置與刪除以及日志審計(jì)功能，從而標(biāo)識(shí)唯一的安全管理員的身份。公鑰體制保證從一個(gè)公開(kāi)密鑰不能推算出對(duì)應(yīng)的秘密密鑰，因此不必對(duì)證書(shū)本身進(jìn)行保密，證書(shū)都存放在公共服務(wù)器中。當(dāng)他人想和你安全通信時(shí)，可以到公共服務(wù)器查找到你的證書(shū)，也就是擁有了你的公鑰。審計(jì)日志技術(shù)SSRfo

23、rUNIX的日志審計(jì)功能是通過(guò)內(nèi)核直接寫(xiě)文件實(shí)現(xiàn)的，在各個(gè)權(quán)限判斷的函數(shù)入口里都有寫(xiě)日志文件記錄時(shí)間的行為，日志格式以二進(jìn)制形式存放在SSR/log目錄下，SSR自身對(duì)日志文件進(jìn)行了保護(hù)，日志結(jié)構(gòu)分為各個(gè)事件的id，行為字段，時(shí)間，成功已否等等，按照順序排列，目前不具備手動(dòng)排序功能。眾所周知，網(wǎng)絡(luò)安全是一個(gè)非常重要的課題，而服務(wù)器是網(wǎng)絡(luò)安全中最關(guān)鍵的環(huán)節(jié)。Linux被認(rèn)為是一個(gè)比較安全的Internet服務(wù)器，作為一種開(kāi)放源代碼操作系統(tǒng)，一旦Linux系統(tǒng)中發(fā)現(xiàn)有安全漏洞，Internet上來(lái)自世界各地的志愿者會(huì)踴躍修補(bǔ)它。然而，系統(tǒng)管理員往往不能及時(shí)地得到信息并進(jìn)行更正，這就給黑客以可乘之機(jī)

24、。然而，相對(duì)于這些系統(tǒng)本身的安全漏洞，更多的安全問(wèn)題是由不當(dāng)?shù)呐渲迷斐傻模梢酝ㄟ^(guò)適當(dāng)?shù)呐渲脕?lái)防止。服務(wù)器上運(yùn)行的服務(wù)越多，不當(dāng)?shù)呐渲贸霈F(xiàn)的機(jī)會(huì)也就越多，出現(xiàn)安全問(wèn)題的可能性就越大。對(duì)此，本文將介紹一些增強(qiáng)Linux/Unix服務(wù)器系統(tǒng)安全性的知識(shí)。系統(tǒng)安全記錄文件操作系統(tǒng)內(nèi)部的記錄文件是檢測(cè)是否有網(wǎng)絡(luò)入侵的重要線索。如果你的系統(tǒng)是直接連到Internet，你發(fā)現(xiàn)有很多人對(duì)你的系統(tǒng)做Telnet/FTP登錄嘗試，可以運(yùn)行“#more/var/log/securegreprefused”來(lái)檢查系統(tǒng)所受到的攻擊，以便采取相應(yīng)的對(duì)策，如使用SSH來(lái)替換Telnet/rlogin等。3啟動(dòng)和登錄安全性

25、3.1BIOS安全設(shè)置BIOS密碼且修改引導(dǎo)次序禁止從軟盤(pán)啟動(dòng)系統(tǒng)。3.2用戶口令用戶口令是Linux安全的一個(gè)基本起點(diǎn)，很多人使用的用戶口令過(guò)于簡(jiǎn)單，這等于給侵入者敞開(kāi)了大門(mén)，雖然從理論上說(shuō)，只要有足夠的時(shí)間和資源可以利用，就沒(méi)有不能破解的用戶口令。但選取得當(dāng)?shù)目诹钍请y于破解的，較好的用戶口令是那些只有他自己容易記得并理解的一串字符，并且絕對(duì)不要在任何地方寫(xiě)出來(lái)。3.3默認(rèn)賬號(hào)應(yīng)該禁止所有默認(rèn)的被操作系統(tǒng)本身啟動(dòng)的并且不必要的賬號(hào)，當(dāng)你第一次安裝系統(tǒng)時(shí)就應(yīng)該這么做，Linux提供了很多默認(rèn)賬號(hào)，而賬號(hào)越多，系統(tǒng)就越容易受到攻擊?？梢杂孟旅娴拿顒h除賬號(hào)。#userdel用戶名或者用以下的命令刪除組用戶賬號(hào)。#groupdelusername3.4口令文件chattr命令給下面的文件加上不可更改屬性，從而防止非授權(quán)用戶獲得權(quán)限。#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/e