linux网络操作系统与安全管理(linux防火墙安全管理)

由于linux操作系统是一个开源的免费操作系统，因此受到越来越多用户的欢迎。随着Linux操作系统在中国的日益普及，

政府相关部门已经把基于Linux的自主版权操作系统的发展上升到了维护国家信息安全的高度，因此不难预测未来Linux操作系统在中国的发展会更快更大。尽管Linux与UNIX非常相似，

但是它们之间有一些重要的区别。对于很多习惯了UNIX和WindowsNT的系统管理员来说，如何保证Linux操作系统的安全性将面临很多新的挑战。本文介绍了一系列实用的Linux安全管理经验。

一、文件系统

在Linux系统中，为不同的应用程序安装单独的主分区，并将关键分区设置为只读，会大大提高文件系统的安全性。这主要涉及到Linux自带的ext2文件系统的两大属性：add-only(仅添加)和不可变。

文件分区Linux的文件系统可以分为几个主分区，每个分区的配置和安装都是不同的。一般至少要建立/、/usr/local、/var和/home分区。

/usr可以以只读方式安装，并被视为不可修改。如果/usr中的任何文件发生变化，系统将立即发出安全警报。当然，这不包括用户自己更改/usr中的内容。

/lib、/boot和/sbin的安装和设置是相同的。安装时应尽可能将它们设置为只读，对它们的文件、目录和属性的任何修改都会引起系统报警。

当然，不可能将所有主要分区都设置为只读。有些分区(如/var)本身不能设置为只读，但不应该允许它们具有执行权限。

利用ext2文件系统上add-only和immutable的文件属性，扩展ext2可以进一步提高安全级别。不变性和只添加属性只是扩展ext2文件系统属性标志的两种方式。无法修改标记为不可变的文件。

root用户甚至不能修改它。标记为仅添加的文件可以修改，但只有内容可以添加到它之后，即使是根用户也可以添加。

您可以通过chattr命令修改文件的这些属性，如果您想查看其属性值，可以使用lsattr命令。要了解关于ext2文件属性的更多信息，您可以使用命令manchattr获得帮助。

这两个文件属性对于检测试图在现有文件中安装入侵后门的黑客非常有用。为了安全起见，一旦检测到此类活动，应立即停止，并发出报警信息。

如果你的关键文件系统安装为只读，文件标记为不可变，入侵者必须重装系统删除这些不可变的文件，但这样会立刻报警，大大降低了被非法入侵的几率。

当与日志文件和日志备份一起使用时，为了保护日志文件不发生不变性，并且只添加这两个文件属性，这一点特别有用。系统管理员应将“活动日志文件”属性设置为“仅添加”。当日志更新时，

新生成的日志备份文件属性应设置为不可变，并且新的活动日志文件属性已变为仅添加。这通常需要向日志更新脚本添加一些控制命令。

二、备份

Linux系统安装完成后，要对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法篡改过。如果系统文件已经被破坏，

也可以使用系统备份来恢复到正常的状态。

CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，

那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。

如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使象/boot、/lib和/sbin这样不能被安装成只读的分区，你仍然可以根据光盘映像来检查它们，

甚至可以在启动时从另一个安全的映像重新下载它们。

其它方式的备份虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可以放到光盘上用于系统完整性验证。其它不经常进行修改的文件，可以备份到另一个系统（如磁带）或压缩到一个只读的目录中。

这种办法可以在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。

既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急启动盘或验证盘操作起来是十分方便的，它是一种十分有效而又可行的验证方法。

三、改进系统内部安全机制

可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击这种破坏力极强却又最难预防的攻击方式，虽然这样的改进需要系统管理员具有相当丰富的经验和技巧，

但对于许多对安全级别要求高的Linux系统来讲还是很有必要的。

SolarisDesigner的安全Linux补丁SolarisDesigner用于2.0版内核的安全Linux补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安全性。

缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难，

系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括LinuxTorvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。

但是需要引起注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。

不可执行的栈补丁已经在许多安全邮件列表（如securedistros@nl.linux.org）中进行分发，用户很容易下载到它们等。

StackGuardStackGuard是一个十分强大的安全补丁工具。你可以使用经StackGuard修补过的gcc版本来重新编译和链接关键的应用。

StackGuard进行编译时增加了栈检查以防止发生栈攻击缓冲区溢出，虽然这会导致系统的性能略有下降，但对于安全级别要求高的特定应用来讲StackGuard仍然是一个十分管用的工具。

现在已经有了一个使用了SafeGuard的Linux版本，用户使用StackGuard将会更加容易。虽然使用StackGuard会导致系统性能下降约1020%，但它能够防止整个缓冲区溢出这一类攻击。

增加新的访问控制功能Linux的2.3版内核正试图在文件系统中实现一个访问控制列表，这要可以在原来的三类（owner、group和other)访问控制机制的基础上再增加更详细的访问控制。

在2.2和2.3版的Linux内核中还将开发新的访问控制功能，它最终将会影响当前有关ext2文件属性的一些问题。与传统的具有ext2文件系统相比它提供了一个更加精确的安全控制功能。有了这个新的特性，

应用程序将能够在不具有超级用户权限的情况下访问某些系统资源，如初始套接等。

基于规则集的访问控制现在有关的Linux团体正在开发一个基于规则的访问控制（RSBAC）项目，该项目声称能够使Linux操作系统实现B1级的安全。

RSBAC是基于访问控制的扩展框架并且扩展了许多系统调用方法，它支持多种不同的访问和认证方法。这对于扩展和加强Linux系统的内部和本地安全是一个很有用的。

四、设置陷井和蜜罐

所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（honeypot）程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。

在许多大的网络中，一般都设计有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。

设置蜜罐的一种常用方法是故意声称Linux系统使用了具有许多脆弱性的IMAP服务器版本。当入侵者对这些IMAP服务器进行大容量端口扫瞄就会落入陷井并且激发系统报警。

另一个蜜罐陷井的例子就是很有名的phf，它是一个非常脆弱的Webcgi-bin脚本。最初的phf是设计来查找电话号码的，

但它具有一个严重的安全漏洞：允许入侵者使用它来获得系统口令文件或执行其它恶意操作。系统管理员可以设置一个假的phf脚本，但是它不是将系统的口令文件发送给入侵者，

而是向入侵者返回一些假信息并且同时向系统管理员发出报警。

另外一类蜜罐陷井程序可以通过在防火墙中将入侵者的IP地址设置为黑名单来立即拒绝入侵者继续进行访问。拒绝不友好的访问既可以是短期的，也可以是长期的。Linux内核中的防火墙代码非常适合于这样做。

五、将入侵消灭在萌芽状态

入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄行为，那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，

也可以是一个复杂的入侵检测系统或可配置的防火墙。

AbacusPortSentryAbacusPortSentry是开放源代码的工具包，它能够监视网络接口并且与防火墙交互操作来关闭端口扫瞄攻击。当发生正在进行的端口扫瞄时，

AbacusSentry可以迅速阻止它继续执行。但是如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。

AbacusPortSentry如果与Linux中透明的代理工具一起使用可以提供一个非常有效地入侵防范措施。这样可以将为所有IP地址提供通用服务的未使用端口重定向到PortSentry中，

PortSentry可以在入侵者采取进一步行动之前及时检测到并阻止端口扫瞄。

AbacusPortSentry能够检测到慢扫瞄（slowscan），但它不能检测到结构化攻击（structuredattack）。这两种方式最终目的都要试图掩盖攻击意图。

慢扫瞄就是通过将端口扫瞄分散到很长的时间内来完成，而在结构化的攻击中，攻击者试图通过扫瞄或探测多个源地址中来掩盖自己的真实攻击目标。

正确地使用这个软件将能够有效地