如何对linux系统进行高级的安全管理

　　Linux操作系统是一个开放源代码的免费操作系统，因此受到越来越多用户的欢迎。近年来发展迅猛，是目前非常流行的类UNIX网络操作系统。虽然Linux与UNIX很类似，但其实也有一些重要的区别。对于众多的习惯了UNIX和Windows NT的系统管理员来说，如何保证linux操作系统的安全将面临许多新的挑战。本文介绍了一系列实用的Linux安全管理经验。

　　一、将主要分区设置为只读

　　文件系统在Linux系统中，分别为不同的应用安装单独的主分区，将关键的分区设置为只读，可以提高文件系统的安全。这主要涉及到Linux自身的ext2文件系统的只添加和不可变这两大属性。

　　1.文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。

　　当然将所有主要的分区都设置为只读是不可能的，有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但不应该允许它具有执行权限。

　　扩展ext2。使用ext2文件系统上的只添加和不可变这两种文件属性，可以进一步提高安全级别。不可变和只添加属性只是两种扩展ext2文件系统的属性标志的方法。一个标记为不可变的文件不能被修改，甚至不能被根用户修改。一个标记为只添加的文件可以被修改，但只能在它的后面添加内容，即使根用户也只能如此。

　　可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用lsattr命令。要想了解更多的关于ext2文件属性的信息，可使用命令manchattr来寻求帮助。这两上文件属性在检测黑客企图在现有的文件中安装入侵后门时是很有用的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。

　　如果你的关键的文件系统安装成只读的并且文件被标记为不可变的，入侵者必须重新安装系统才能删除这些不可变的文件，但会立刻产生报警，这样就大大减少了被非法入侵的机会。

　　2.保护log文件当与log文件和log备份一起使用时，不可变和只添加这两种文件属性特别有用。系统管理员应该将活动的log文件属性设置为只添加。当log被更新时，新产生的log备份文件属性应该设置成不可变的，而新的活动的log文件属性又变成了只添加。这通常需要在log更新脚本中添加一些控制命令。

　　二、备份

　　在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法篡改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。

　　1.CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。

　　如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使像/boot、/lib和/sbin这样不能被设置成只读的分区，你也可以根据光盘映像来检查它们，甚至可以在启动时从另一个安全的映像重新下载它们。

　　2.其它方式的备份。虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可以放到光盘上用于系统完整性验证。其它不经常进行修改的文件，可以备份到另一个系统(如磁带)或压缩到一个只读的目录中。这种办法可以在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。

　　既然绝大多数操作系统都是随光盘一起提供的，制作一个CD-ROM紧急启动盘或验证盘操作起来是十分方便的，它是一种十分有效而又可行的验证方法。

　　三、改进系统内部安全机制

　　可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击，这种攻击方式的破坏力极强且最难预防，虽然这样的改进要求系统管理员要有相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统来说是很有必要的。

　　1.SolarisDesigner的安全Linux补丁SolarisDesigner用于2.0版内核的安全Linux补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安全性。

　　缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现，以及它在内存中的什么位置出现。预防缓冲区溢出也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件，才能防止这种方式的攻击。正因为如此，许多人甚至包括Linux Torvalds本人，也认为这个安全Linux补丁十分重要，因为它防止所有使用缓冲区溢出的攻击。但要注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题将给系统管理员带来新的挑战。

　　不可执行的栈补丁已经在许多安全邮件列表(如linux.org">securedistros@nl.linux.org)中进行分发，用户很容易下载到它们等。

　　2.Stack Guard Stack Guard是一个十分强大的安全补丁工具。你可以使用经Stack Guard修补过的gcc版本来重新编译和链接关键的应用。

　　Stack Guard进行编译时增加了栈检查，以防止发生栈攻击缓冲区溢出，虽然这会导致系统的性能略有下降，但对于安全级别要求高的特定应用来讲，Stack Guard仍然是一个十分管用的工具。

　　如今有了一个使用Safe Guard的Linux版本，用户使用Stack Guard将变得更加容易。使用Stack Guard能够防止整个缓冲区溢出这一类攻击，尽管它会导致系统性能下降约10～20%。

　　3.增加新的访问控制功能。Linux的2.3版内核正试图在文件系统中实现一个访问控制列表，这要在原来的三类(owner、group和other)访问控制机制可行的基础上再增加更详细的访问控制。

　　在2.2和2.3版的Linux内核中，还将开发新的访问控制功能，它最终会影响当前有关ext2文件属性的一些问题。与传统的具有ext2文件系统相比，它提供了一个更加精确的安全控制功能。有了这个新的特性，应用程序将能够在不具有超级用户权限的情况下访问某些系统资源，如初始套接等。

　　4.基于规则集的访问控制。现在有关的Linux团体正在开发一个基于规则的访问控制(RSBAC)项目，该项目声称能够使Linux操作系统实现B1级的安全。RSBAC是基于访问控制的扩展框架，并且扩展了许多系统调用方法，它支持多种不同的访问和认证方法。这对于扩展和加强Linux系统的内部和本地安全十分有用。

　　四、设置陷井和蜜罐

　　所谓陷井就是激活时能够触发报警事件的软件，而蜜罐(honey pot)程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多大的网络中，一般都设计有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种会同时采取报复行动。

　　设置蜜罐的一种常用方法是，故意声称Linux系统使用了具有许多脆弱性的IMAP服务器版本，当入侵者对这些IMAP服务器进行大容量端口扫瞄就会落入陷井，并且激发系统报警。

　　另一个蜜罐陷井的例子就是很有名的phf，它是一个非常脆弱的Webcgi-bin脚本。最初的phf设计是用来查找电话号码的，但它有一个严重的安全漏洞：允许入侵者使用它来获得系统口令文件或执行其它恶意操作。系统管理员可以设置一个假的phf脚本，但它不是将系统的口令文件发送给入侵者，而是向入侵者返回一些假信息并且同时向系统管理员发出报警。

　　另外一类蜜罐陷井程序可以通过在防火墙中将入侵者的IP地址设置为黑名单，以立即拒绝入侵者继续进行访问。拒绝不友好的访问既可以是短期的，也可以是长期的。Linux内核中的防火墙代码非常适合于这样做。

　　五、将入侵消灭在萌芽状态

　　入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄行为，那么可以大大降低入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂的入侵检测系统或可配置的防火墙。

　　Abacus Port Sentry Abacus Port Sentry是开放源代码的工具包，它能够监视网络接口，并且与防火墙交互操作来关闭端口扫瞄攻击。当发生正在进行的端口扫瞄时，Abacus Sentry可以迅速阻止它继续执行。但如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。

　　Abacus Port Sentry如果与Linux中透明的代理工具一起使用，将可以提供一个非常有效的入侵防范措施。这样可以将为所有IP地址提供通用服务的未使用端口重定向到Port Sentry中，Port Sentry可以在入侵者采取进一步行动之前及时检测到并阻止端口扫瞄。

　　Abacus Port Sentry能够检测到慢扫瞄(slow scan)，但它不能检测到结构化攻击(structured attack)。这两种方式的最终目的都要试图掩盖攻击意图。慢扫瞄就是通过将端口扫瞄分散到很长的时间内来完成，而在结构化的攻击中，攻击者试图通过扫瞄或探测多个源地址中来掩盖自己的真实攻击目标。

　　正确地使用这个软件将能够有效地防止对IMAP服务大量的并行扫瞄并且阻止所有这样的入侵者。Abacus Sentry与Linux2.2内核的IP Chains工具一起使用时最有效，IP Chains能够自动将所有的端口扫瞄行为定向到Port Sentry.Linux2.0内核可以使用IPChains进行修补，Abacus Port Sentry也可以与早期的2.0版内核中的ipfwadm工具一起使用，ipfwadm在2.2版本以后被IP Chains取代了。

　　AbacusPortSentry还可以被配置来对Linux系统上的UDP扫瞄作出反应，甚至还可以对各种半扫瞄作出反应，如FIN扫瞄，这种扫描试图通过只发送很小的探测包而不是建立一个真正的连接来避免被发现。

　　更好的办法是使用专门的入侵检测系统，如ISS公司的Real Secure等，它们可以根据入侵报警和攻击签名重新配置防火墙。但一般这样的产品价格会较高，普及的用户承受起来有困难。

　　六、反攻击检测系统

　　反攻击检测系统主要通过阻止入侵企图来防止入侵，而反攻击系统则可以反向进行端口扫瞄或发起其它的攻击，这一着让入侵者不仅入侵阴谋未能得逞，反而“引狼入室”，招致反攻击。

　　有些安全系统具有一定的反攻击能力，如Abacus Sentry。比如有的站点可以防止用户通过telnet进行连接，在应答telnet连接请求时，系统将返回一些不受欢迎的恶意信息。这只是一种最简单也是最轻微的反攻击措施。

　　一般情况下，不提倡使用反攻击功能，因为这样的反攻击措施很容易被非法利用来攻击其它的系统。

　　七、改进登录服务器

　　将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器来取代Linux自身的登录工具也可以提高安全级别。

　　在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求，且拥有足够的磁盘空间的服务器系统，这个系统中要没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统篡改日志文件的能力。

　　即使安全syslog使用单独的登录服务器，Linux自身的syslog工具也是不安全的。因此，有人开发了安全log服务器，将密码签名集成到日志中。这会确保入侵者即使在篡改系统日志以后也无法不被发现。现在最常用的、用于取代syslog的安全log服务器称为"安全syslog(ssyslong)"，用户可以从Core SDI站点下载。这个守护程序实现一个称为PEQ-1的密码协议，以实现对系统日志的远程审计。即使在入侵者获得系统超级用户权限的情况下，也仍然可以进行审计，因为协议保证了：若没有审计者(在远程可信任的主机上)的通知，以前的和正在入侵的log信息将无法被修改。

　　1.syslog-ng。另一个取代syslog的工具是syslog-ng(syslog的下一代)。这是一个更加可配置的守护进程，它提供了密码签名来检测对日志文件的篡改。密码安全登录服务器和远程审计功能一起，可以避免入侵者对日志进行篡改，并且非常容易检测到入侵者的不良企图。

　　八、使用单一登录系统

　　对于系统管理员来说，维护分散的大网络环境中的多个用户帐号是一件非常头疼的事。现在有一些单一的登录(signon)系统不仅可以减轻管理员的负担，同时还提高了安全级别。

　　1.网络信息服务(NIS)。这是一个很好的单一登录系统，它是在Sun公司的Yellow Page服务的基础上发展来的。但它的基本安全特性不够健壮，由于不断公布出有一些bug和脆弱性，因此有人戏称它为网络入侵者服务(Network Intruder Service)。NIS的更新版本NIS+对原NIS的不足进行了改进，现在已经有了用于Linux的NIS+版本。

　　2.Kerberos。Kerberos也是一种非常有名的单一登录系统。Kerberosv4具有一些很有名的安全漏洞，如入侵者可以离线进行隐蔽的穷尽攻击Kerberos cookie。Ketberosv5则有了大大的改进，不会再有v4的问题。

　　在大的网络中，像NIS和Kerberos这样的单一的登录系统既有有利的一面，也有不利的一面。一方面，在不同系统上都具有认证机制有助于隔离该功能，且减少它与其它服务相互之间的影响。另一方面，一旦一个系统中的某个帐号被破坏，所有可通过这个帐号访问的系统都将同样遭到破坏。因此在单一的登录系统中特别要求具有较高防猜测水平的口令字。

　　基于Windows的网络在Windows NT域系统中有自己的单一登录系统。Linux系统可以根据Windows系统进行认证。这允许用户在Windows系统下修改、维护和管理它们的帐号和口令，并且修改结果会同时在UNIX登录中得到体现。如使用pam_smb，Linux系统可以根据Windows SMB Domain进行认证。这在以Windows网络管理为中心的网络中是相当方便的，但它也带来了Windows认证系统自身的一些不安全性。

　　九、掌握最新的安全产品和技术

　　作为一个系统管理员，还必须时刻跟踪Linux安全技术的发展动向，并且适时采用更先进的Linux安全工具。目前国际上有许多有关Linux安全的研究和开发项目，目前至少有三个安全Linux项目已经启动，每个项目的目标都有自己的侧重点，它们分别是：

　　1.安全Linux(SecureLinux)。安全Linux项目的目标是提供一个用于Internet服务器系统的安全的Linux分发。该项目管理者正寻求在这个产品中集成强大的密码和一些额外的Web服务器功能。既然它是在美国之外创建的，人们可望能够得到改进的密码安全而不会受到美国安全产品出口法律的限制。

　　2.BastilleLinux。BastilleLinux项目寻求在Linux环境中建立一个类似OpenBSD的标准。该项目宣称的目标是为台式机创建一个安全的分发，使网络管理者可以不用担心用户的安全。

　　3.Kha0s Linux。Kha0s Linux正寻求创建一个具有强加密和类似Open BSD的安全政策的、最小的安全Linux分发。该小组目前正在它的Web站点上请求全球用户和厂商的参与和合作。

　　此外，还有下面两点，可以帮助管理员提高Linux安全管理水平的：

　　1.访问安全Linux邮件列表。现在有许多关于Linux安全的邮件列表，如secure distros@nl.linux.org、Kh>a0s-dev@kha0s.org等，经常访问这些邮件列表可以得到大量的安全信息。

　　2.security-audit@ferret.lmh.ox.ac.uk。这个通用的邮件列表是专门讨论源代码的安全审计的。这个列表可能与其它的邮件列表有大量的重复，但如果想了解源代码审计和相关的安全问题，还是很值得一读的。

　　十、多管齐下

　　任何一种单一的安全措施，其防范能力都是有限的，一个安全的系统必须采取多种安全措施，多管齐下，才能更好的保证安全。假如一个Linux系统采取了以上这么多种安全措施，那么要想侵入你的系统就很难了，因为攻击者不得不绕过防火墙、避开入侵检测系统、跳过陷井程序、通过系统过滤器、逃过你的日志监视器、修改文件系统属性、破坏安全登录服务器才能最终达到目的。由于其中任何一个环节都可能激发报警，所以入侵者要想侵入这样的系统而又不被发现几乎是不可能的。

　　如果能在linux系统管理中，实现了以上这么多方面的安全措施，那么，linux系统的安全将得到大大的提高。