第12章-Unix與Linux操作系統(tǒng)安全

第12章Unix與Linux操作系統(tǒng)平安李劍北京郵電大學信息平安中心E-mail:：130－01936882版權所有，盜版必糾概述Linux被認為是一個比較平安的Internet效勞器。作為一種開放源代碼操作系統(tǒng)，一旦Linux系統(tǒng)中發(fā)現(xiàn)有平安漏洞，Internet上來自世界各地的志愿者會踴躍修補它。Unix系統(tǒng)作為一個穩(wěn)定的操作系統(tǒng)，也有許多漏洞需要修補。然而，系統(tǒng)管理員往往不能及時地對Linux/Unix系統(tǒng)的漏洞進行修補，這就給黑客以可乘之機。但是，相對于這些系統(tǒng)本身的平安漏洞，更多的平安問題是由不當?shù)呐渲迷斐傻模梢酝ㄟ^適當?shù)呐渲脕矸乐?。本章將介紹一些增強Linux/Unix系統(tǒng)平安性配置的根本知識。版權所有，盜版必糾目錄第12章Unix與Linux操作系統(tǒng)平安12.1Unix與Linux系統(tǒng)概述12.2Unix與Linux系統(tǒng)平安思考題版權所有，盜版必糾1969年，KenThompson、DennisRitchie和其他一些人在AT&T貝爾實驗室開始進行一個“l(fā)ittle-usedPDP-7inacorner〞的工作，它便是Unix的雛形。10年里，Unix在AT&T的開展經(jīng)歷了數(shù)個版本。V4〔1974〕用C語言重寫，這成為系統(tǒng)間操作系統(tǒng)可移植性的一個里程碑。V6〔1975〕第一次在貝爾實驗室以外使用，成為加州大學伯克利分校開發(fā)的第一個Unix版本的根底。貝爾實驗室繼續(xù)在Unix上工作到80年代，有1983年的System5版本和1989年的System4版本。同時，加利福尼亞大學的程序員改動了AT&T發(fā)布的源代碼，引發(fā)了許多主要論題。BSD〔BerkeleyStandardDistribution〕成為第2個主要“Unix〞版本。12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾Unix操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務的通用操作系統(tǒng)。它從一個實驗室的產(chǎn)品開展成為當前使用普遍、影響深遠的主流操作系統(tǒng)。Unix操作系統(tǒng)經(jīng)過20多年的開展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在開展過程中逐步形成了一些新的特色，其中主要特色包括5個方面。12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾可靠性高極強的伸縮性網(wǎng)絡功能強強大的數(shù)據(jù)庫支持功能開放性好12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾在這期間，Unix操作系統(tǒng)出現(xiàn)了許多“變種〞，如Linux、Solaris等如下圖12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾Linux是一套可以免費使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intelx86系列CPU的計算機上。這個系統(tǒng)是由全世界各地的成千上萬的程序員設計和實現(xiàn)的。其目的是建立不受任何商品化軟件的版權制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開始于一位名叫LinusTorvalds的計算機業(yè)余愛好者，當時他是芬蘭赫爾辛基大學的學生。目的是想設計一個代替Minix〔是由一位名叫AndrewTannebaum的計算機教授編寫的一個操作系統(tǒng)示教程序〕的操作系統(tǒng)。這個操作系統(tǒng)可用于386、486或奔騰處理器的個人計算機上，并且具有Unix操作系統(tǒng)的全部功能。12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾Linus看到了一個叫做Minix的小型Unix系統(tǒng)，覺得自己能做得更好。1991年秋天，他發(fā)行了一個叫“Linux〞的免費軟件內核的源代碼—是他的姓和Minux的組合。到1994年，Linus和一個內核開發(fā)小組發(fā)行了Linux1.0版。Linus和朋友們有一個免費內核，Stallman和朋友們擁有一個免費的Unix克隆系統(tǒng)的其余局部。人們把Linux內核和GNU合在一起組成一個完整的免費系統(tǒng)，該系統(tǒng)被稱為“Linux〞，盡管Stallman更愿意取名為“GNU/LinuxSystem〞。有幾種不同類別的GNU/Linux：一些可以被公司用來支持商業(yè)使用，如RedHat、CalderaSystems和；其他如DebianGNU/Linux，更接近于最初的免費軟件概念。Linux能在幾種不同體系結構的芯片上運行，并已經(jīng)被各界接納或支持。其支持者有惠普、硅谷圖像和Sun等有較長歷史的Unix供給商，還有康柏和戴爾等PC供給商以及Oracle和IBM等主要軟件供給商。12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾Linux是一個免費的操作系統(tǒng)，用戶可以免費獲得其源代碼，并能夠隨意修改。它是在共用許可證(GPL，GeneralPublicLicense)保護下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國內的XteamLinux、紅旗Linux等。Linux的流行是因為它具有許多優(yōu)點，典型的優(yōu)點有如下7個：12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾〔1〕完全免費；〔2〕完全兼容POSIX1.0標準；〔3〕多用戶、多任務；〔4〕良好的界面；〔5〕豐富的網(wǎng)絡功能；〔6〕可靠的平安、穩(wěn)定性能；〔7〕支持多種平臺。由于Unix與Linux系統(tǒng)相似，所以本章將二者合起來介紹。12.1Unix與Linux系統(tǒng)概述版權所有，盜版必糾Unix系統(tǒng)中的/etc/passwd文件含有全部系統(tǒng)需要知道的關于每個用戶的信息(加密后的口令也可能存于/etc/shadow文件中)。/etc/passwd中包含用戶的登錄名、經(jīng)過加密的口令、用戶號、用戶組號、用戶注釋、用戶主目錄以及用戶所用的shell程序。其中用戶號(UID)和用戶組號(GID)用于Unix系統(tǒng)惟一標識用戶和同組用戶及用戶的訪問權限。/etc/passwd中存放的是加密后的口令，用戶在登錄時需要輸入的口令經(jīng)計算后與/etc/passwd對應局部相比較,符合那么允許登錄,否那么拒絕用戶登錄。用戶可用passwd命令修改自己的口令,但不能直接修改/etc/passwd中的口令部份。12.2.1系統(tǒng)口令平安版權所有，盜版必糾一個好的口令應當至少有6個字符長,不要用個人信息做口令(如生日、名字、反向拼寫的登錄名、房間中可見的物品等),普通的英語單詞也不好(因為可用字典攻擊法),口令中最好有一些非字母(如數(shù)字、標點符號、控制字符等),還要好記一些,不能寫在紙上或計算機里的文件中。選擇口令的一個推薦方法是將兩個不相關的詞用一個數(shù)字或控制字符相連,并截斷為8個字符。當然,如果能記住8位亂碼自然更好。不應使用同一個口令在不同機器中使用,特別是不同級別的用戶使用同一口令,可能導致平安隱患。用戶應定期改變口令,至少6個月要改變一次,系統(tǒng)管理員可以強制用戶定期做口令修改。為防止別人竊取口令,在輸入口令時應注意保密。12.2.1系統(tǒng)口令平安版權所有，盜版必糾1.禁用帳號 在/etc/passwd文件中用戶名前加一個“#〞，把“#〞去掉即可取消限制。在對操作系統(tǒng)做配置的時候，可以將一些不用的帳號刪除。12.2.2帳號平安版權所有，盜版必糾2.保護root帳號 (1)除非必要，防止以超級用戶登錄。 (2)嚴格限制root只能在某一個終端登陸，遠程用戶可以使用/bin/su-l來成為root。 (3)不要隨意把rootshell留在終端上。 (4)假設某人確實需要以root來運行命令，那么考慮安裝sudo這樣的工具，它能使普通用戶以root來運行個人命令并維護日志。 (5)不要把當前目錄(“./〞)和普通用戶的bin目錄放在root帳號的環(huán)境變量PATH中。 (6)永遠不以root運行其他用戶的或不熟悉的程序12.2.2帳號平安版權所有，盜版必糾UNIX中的SUID(SetUserID)/SGID(SetGroupID)設置了用戶id和分組id屬性，允許用戶以特殊權利來運行程序,這種程序執(zhí)行時具有宿主的權限。當用戶執(zhí)行一個SUID文件時，用戶ID在程序運行過程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級用戶。同樣，當一個用戶執(zhí)行SGID文件時，用戶的組被置為文件的組。如passwd程序,它就設置了SUID位：12.2.3SUID和SGID版權所有，盜版必糾這樣，passwd程序執(zhí)行時就具有root的權限SUID程序是為了使普通用戶完成一些普通用戶權限不能完成的事而設置的。比方每個用戶都允許修改自己的密碼，但是修改密碼時又需要root權限，所以修改密碼的程序需要以管理員權限來運行。SUID程序會對系統(tǒng)平安帶來威脅，它會使非法命令執(zhí)行和權限提升。為了保證SUID程序的平安性，在SUID程序中要嚴格限制功能范圍，不能有違反平安性規(guī)那么的SUID程序存在。并且要保證SUID程序自身不能被任意修改。12.2.3SUID和SGID版權所有，盜版必糾可以通過檢查權限模式來識別一個SUID程序。如果“x〞被改為“s〞，那么程序是SUID。如：另外，用命令chmodu-sfile可去掉file的SUID位。12.2.3SUID和SGID版權所有，盜版必糾效勞就是運行在網(wǎng)絡效勞器上監(jiān)聽用戶請求的進程，效勞是通過端口號來區(qū)分的。常見的效勞及其對應的端口：ftp:21telnet:23(www):80pop3:11012.2.4效勞平安版權所有，盜版必糾在Unix系統(tǒng)中,效勞是通過inetd進程或啟動腳本來啟動。通過inetd來啟動的效勞可以通過在/etc/inetd.conf文件中注釋來禁用。Inetd配置文件如下圖。12.2.4效勞平安版權所有，盜版必糾通過啟動腳