• 进入"运维那点事"后,希望您第一件事就是阅读“关于”栏目,仔细阅读“关于Ctrl+c问题”,不希望误会!

Linux系统安全等级

信息安全 彭东稳 8年前 (2015-12-01) 28940次浏览 已收录 0个评论

安全这个问题,从计算机诞生开始就一直跟随比如各种木马、病毒、各种攻击等等。刚学习Linux的人看着“黑屏白字”马上会联想到美国大片,内心激动不已。再加上平时使用的windows系统总会被黑。由此就自然而然地想到windows不行,没有Linux安全。但是现实中正好相反,windows可是通过了美国C2级安全认证的。而windows的安全问题之所以被人们广为诟病,就是因为受它“庇护”的人太多了。由于可攻击的“肉”多,自然攻击它的狼也多了。

Linux系统安全等级

安全认证

美国国防部为计算机安全的不同级别指定了4个准则,从高到低顺序是A、B、C、D,每一个级别还细分了若干子级。

作为A、B这两个最高安全等级是应用于国防的,我们一般人玩不起它,也不是操作系统自己能够搞定的。比如A级设置中,一个磁盘驱动器从生产厂房直至其安装到计算机上都要被严格跟踪。想想都心累。

C级,本身被划分为C1和C2两个子级。作为C1级的系统也要求硬件有一定的安全措施,不过只是要求给机箱加个锁。对于软件的要求是在使用之前必须登录,并且具有安全的访问控制能力,允许系统管理员为一些程序或数据设立访问权限。但是C1级不要求控制进入系统的用户的访问级别,这就允许用户可以把系统的数据任意移走。

C2则对C1进行了加强,引入了受控访问。这一特性不仅为用户权限为基础,还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够给用户分组,授予它们访问某些程序的权限或访问分级目录。另一方面,用户权限以个人为单位来授权用户对某一个程序所在目录的访问。如果其他程序和数据也在同一个目录下,那么用户也将自动得到访问这些信息的权限。C2级别系统还采用了系统审计。审计特性跟踪所有的“安全事件”,如登陆(成功和失败)、系统管理员所作的操作等。可以说C2安全级别是普通用户能够负担得起且不会给使用上造成太大麻烦的最高安全等级。windows能够达到这个高度,作为一个面向个人电脑的操作系统已经是最高的了,因为更高的就不是软件能做到的了。其实被人们普遍认为“安全”的Linux也不过如此了,有些地方可能还不如windows。但是没办法就是喜欢“一种信仰”。

可以说我们现在使用的系统几乎都是运行在C1级别这个样子,最主要的原因就是我们从来不想受到系统的束缚,直接拿管理员账号来用,这才导致要借助第三方软件来维持你计算机的安全。

到目前为止有关的Linux安全问题的报道却寥寥无几,这并不是说Linux真的很安全,毕竟针对Linux的病毒不是没有。只能说给Linux写病毒不赚钱,所以干这种事情的人少。但这也并不是说Linux一点安全防护措施都没有,

Linux安全问题

入侵

其主要对象是企业级用户,因为企业的信息时有价值的且企业是Linux的大客户。那么黑客们是如何入侵企业的Linux主机呢?一些类似于密码暴力破解的方法就没必要说了,是一个管理员都知道把密码设置长一点复杂一点,所以基本是无用的。当然,还有一些所谓的端口扫描啊、监听啊等等伎俩基本都是无用的,因为现在大家都在使用ssh一类的远程控制工具而不是明文的telnet。那么下面就剩下“漏洞”的入侵方式。而漏洞是怎么被黑客发现的呢?这里所说的是黑客不是脚本小子。基本都是尝试、分析。经过不断地尝试和分析,在目前任何一台运行着的Linux系统主机上都能找出安全漏洞来。因为代码是人写的而是人就会犯错。而漏洞就是开发人员所犯下的错误,并且是非常难于被擦觉的错误。知名的漏洞如“缓冲区溢出”,“SQL注入”等.

病毒

就Linux本身而言,从科学层面定义的计算机病毒是很难在Linux系统中长期生存下去的。1996年秋诞生了Linux上的第一个病毒staog,后来在1997年初又诞生了第二个病毒bliss,它们两者之所以能够成为病毒是因为当时Linux内核存在某种缺陷,而当缺陷被修正了之后,它们就随之消亡了。直到现在,十几年过去了。没有发生任何实质性的Linux病毒大流行的情况出现。而防止病毒入侵的最好方法就是按照软件从官网下载并比对MD5码是否一致。甚用root账号来操作系统。

DDOS

Dos(denial of service)称为拒绝服务攻击,这是一种非常缺德地侵犯计算机系统安全的行为。如果针对个人那么你将无法正常使用你的计算机,除非断开网络。它要是攻击某些商业性服务器,那么不单提供服务的系统会瘫痪,所有需要得到服务的用户也将失去服务。然而实行这种攻击的“人”却得不到什么实际的好处。除非是处于某种所谓的“商业”目的。

其实以现在个人计算机的运算能力,加之linux系统优秀的TCP/IP协议栈实现,普通的DOS攻击并不会带来特别大的威胁。但是如今DOS也就变成了更为恐怖的DDOS(distributed denial of service)分布式拒绝服务攻击。就是同一时间有很多Dos攻击源向某一个计算机发起攻击,而且与被攻击计算机处于同一个网络的其他无辜计算机也会受连累。国内最为著名的发生于2009年5月19日的“暴风门”事件就是一起规模空前的DDos攻击,直接导致了中国电信的大面积网络瘫痪,面积覆盖大半个中国。足见DDos的可怕之处。

面对这种攻击可以说说是操作系统都无能为力,因为这设计了一个计算机科学历史性的“巨大bug”,TCP协议的机制问题,TCP协议是一种面向连接的协议,两台计算机通过TCP协议通信时,这两台主机要负责维护这个连接。这必然会消耗一定的计算资源和操作系统资源。比如文件描述符,作为服务端的计算机往往需要同时维护多个TCP连接,但是这个数量是有限制的,因为文件描述符会占用内存,Dos攻击就是利用了这个漏洞,比计算机系统资源耗尽,当然这还是很普通的dos手法,更厉害的还有TCP sync flood、UDP flood等等。


如果您觉得本站对你有帮助,那么可以支付宝扫码捐助以帮助本站更好地发展,在此谢过。
喜欢 (7)
[资助本站您就扫码 谢谢]
分享 (0)

您必须 登录 才能发表评论!