Linux系统安全

已于 2022-02-18 15:17:42 修改
阅读量6.4k 收藏 22
点赞数 2
分类专栏: linux内核 文章标签: 系统安全 linux 运维
于 2021-11-05 15:47:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gengzhikui1992/article/details/121163767
版权

1. Linux 的安全模型

Linux 可以分为内核层和用户层。用户层通过内核层提供的操作接口来执行各类任务。内核层提供的权限划分、进程隔离和内存保护的安全功能,是用户层的安全基础。

一旦内核安全被突破(比如黑客能够修改内核逻辑),黑客就可以任意地变更权限、操作进程和获取内存了。这个时候,任何用户层的安全措施都是没有意义的。既然 Linux 的内核安全这么重要,那我们是不是要在防护上付出大量的精力呢?

事实上,正如我们不需要在开发应用时(尤其是使用 Java 这类相对高层的语言时),过多地关心操作系统相关的内容一样,我们在考虑 Linux 安全时,也不需要过多地考虑内核的安全,更多的是要考虑用户层的安全。所以,对于 Linux 内核层的安全,我们只需要按照插件漏洞的防护方法,确保使用官方的镜像并保持更新就足够了。

既然,使用最多的是用户层,那我们就来看一下,用户层的操作都有什么。

在 Linux 中,用户层的所有操作,都可以抽象为“主体 -> 请求 -> 客体”这么一个流程。比如,“打开 /etc/passwd”这一操作的主体是实际的用户,请求是读,客体是 /etc/passwd 这个文件。

在这个过程中,Linux 内核安全提供了基于权限的访问控制,确保数据不被其他操作获取。

2. linux中的认证/授权/审计

2.1 Linux 中的认证机制

Linux 系统是一个支持多用户的操作系统,它通过普通的文本文件来保存和管理用户信息。这其中,有两个比较关键的文件:/etc/passwd和/etc/shadow。

在 Linux 中,/etc/passwd是全局可读的,不具备保密性。因此,/etc/passwd不会直接存储密码,而是用 x 来进行占位。那实际的用户密码信息,就会存储到仅 ROOT 可读的/etc/shadow中。

认证这个功能是由 Linux 内核来提供的,所以在用户层,我们需要关心的安全问题,就是弱密码导致的身份信息泄露。

2.2 Linux 中的授权机制

在 Linux 中,客体只有文件和目录两种,针对这两种类型的客体,Linux 都定义了读、写和执行这三种权限。

Linux 系统面临的安全威胁其实就是权限问题。也就是说,要么就是敏感文件的权限配置不当,导致这些文件可以被额外的用户访问或执行;要么就是应用存在漏洞或密码泄露,导致低权限用户可以获得更高的权限。

比如说,我们可以通过 mysqld 启动 MySQL 服务,mysqld 会将 MySQL 的进程分配到“mysql”这个用户。

类似地,当启动 Nginx 时,Nginx 会将 Worker 节点以 nobody 的用户身份来执行。

2.3 Linux 中的审计机制

在 Linux 系统中,系统的日志信息通常存储在 /var/log 目录下,部分应用程序也会把相关日志记录到这个目录中。系统日志主要分为 3 类,用户登录日志、特殊事件日志和进程日志。

用户登录日志主要是/var/log/wtmp和/var/run/utmp,用来保存用户登录相关的信息。用户登录日志本身为二进制文件,我们无法直接通过文本方式查看,但是可以配合who/users/ac/last/lastlog这样的命令来获取。

特殊事件日志主要包括/var/log/secure和/var/log/message。其中,/var/log/secure主要记录认证和授权相关的记录,如果有人试图爆破 SSH,我们就可以从这个日志中观察出来。/var/log/message由 syslogd 来维护,syslogd 这个守护进程提供了一个记录特殊事件和消息的标准机制,其他应用可以通过这个守护进程来报告特殊的事件。

进程日志:当通过 accton 来进行系统进程管理时,会生成记录用户执行命令的 pacct 文件。

那如何对日志进行监控呢? 2 种常见的日志分析工具 ELK 和 Zabbix,你可以利用这些工具来监控 Linux 的安全日志。也就是说,我们可以通过在这些分析平台配置恰当的规则(如 SSH 登录尝试失败 3 次以上),来及时发现黑客的部分入侵尝试,迅速产生报警。

3. 自主访问控制(DAC)与强制访问控制(MAC)

传统上,Linux 和 UNIX 系统都采用 DAC。SELinux 是 Linux 采用 MAC 机制的一个示例。

3.1 DAC

DAC基本上,就是依据程序的拥有者与文件资源的 rwx 权限来决定有无存取的能力。 不过这种 DAC 的存取控制有几个困扰,那就是:

  • root 具有最高的权限:如果不小心某支程序被有心人士取得, 且该程序属於 root 的权限,那么这支程序就可以在系统上进行任何资源的存取!真是要命!
  • 使用者可以取得程序来变更文件资源的存取权限:如果你不小心将某个目录的权限配置为 777 ,由於对任何人的权限会变成 rwx ,因此该目录就会被任何人所任意存取!

3.2 MAC

为了避免 DAC 容易发生的问题,因此 SELinux引入MAC的方法。

MAC可以针对特定的程序与特定的文件资源来进行权限的控管!也就是说,即使你是 root ,那么在使用不同的程序时,你所能取得的权限并不一定是 root , 而得要看当时该程序的配置而定。

如此一来,我们针对控制的『主体』变成了『程序』而不是使用者, 控制项目就细的多了

举例来说, WWW 服务器软件的达成程序为 httpd 这支程序, 而默认情况下, httpd 仅能在 /var/www/ 这个目录底下存取文件,如果 httpd 这个程序想要到其他目录去存取数据时, 除了守则配置要开放外,目标目录也得要配置成 httpd 可读取的模式 (type) 才行喔!限制非常多! 所以,即使不小心 httpd 被 cracker 取得了控制权,他也无权浏览 /etc/shadow 等重要的配置!

4. Linux安全模块LSM

Linux安全模块(英语:Linux Security Modules,简称LSM)是Linux内核的一个轻量级通用访问控制框架,LSM只是一个框架,用户可根据实际需要动态加载各种具体的安全增强功能模块。

一方面,以Linus Torvalds为代表的内核开发人员对LSM提出了三点要求:

  • 真正的通用,当使用一个不同的安全模型的时候,只需要加载一个不同的内核模块
  • 概念上简单,对Linux内核影响最小,高效
  • 能够支持现有的POSIX.1e capabilities逻辑,作为一个可选的安全模块

另一方面,各种不同的Linux安全增强系统对LSM提出的要求是:
能够允许它们以可加载内核模块的形式重新实现其安全功能,并且不会在安全性方面带来明显的损失,也不会带来额外的系统开销。

为了满足这些设计目标,LSM采用了通过在内核源代码中放置钩子的方法,来仲裁对内核内部对象进行的访问,这些对象有:任务,inode结点,打开的文件等等。
用户进程执行系统调用(open system call),首先通过Linux内核原有的逻辑找到并分配资源(look up inode),进行错误检查(error checks),并经过经典的UNIX自主访问控制(DAC checks),「恰好」在Linux内核试图对内部对象进行访问之前,一个LSM的钩子(LSM hook)对安全模块所必须提供的函数进行一个调用,并对安全模块提出这样的问题”是否允许访问执行?”,安全模块根据其安全策略进行决策,作出回答:允许,或者拒绝进而返回一个错误。
lsm架构
LSM本身不提供任何具体的安全策略,而是提供了一个通用的基础体系给安全模块,由安全模块来实现具体的安全策略。其主要在五个方面对Linux内核进行了修改:

  1. 在特定的内核数据结构中加入了安全域(Opaque Security Fields)
  2. 在内核源代码中不同的关键点插入了对安全钩子函数的调用(Calls to Security Hook Functions)
  3. 加入了一个通用的安全系统调用(Security System Call)
  4. 提供了函数允许内核模块注册为安全模块或者注销(Registering Security Modules)
  5. 将capabilities逻辑的大部分移植为一个可选的安全模块(Capabilities)

LSM本身只提供增强访问控制策略的机制,而由各个安全模块实现具体特定的安全策略。
下面简要介绍一些已经实现的安全模块:

  • SELinux。这是一个Flask灵活访问控制体系在Linux上的实现,并且提供了类型增强,基于角色的访问控制,以及可选的多级安全策略。SELinux原来是作为一个内核补丁实现的,现在已经使用LSM重新实现为一个安全模块。SELinux可以被用来限制进程为最小特权,保护进程和数据的完整性和机密性,并且支持应用安全需求。
  • DTE Linux。这是一个域和类型增强在Linux上的实现。就像SELinux一样,DTE Linux原来是作为一个内核补丁实现的,现在已经使用LSM重新实现为一个安全模块。当这个安全模块被加载到内核上时,类型被赋给对象,域被赋给进程。DTE策略限制域之间和从域到类型的访问。
    Openwall 内核补丁的LSM移植。Openwall内核补丁提供了一系列的安全特性集合来保护系统免受例如缓冲区溢出和临时文件竞争这样的攻击。有安全模块正在被开发出来以支持Openwall补丁的一个子集。
  • POSIX.1e capabilities。Linux内核中已经存在有POSIX.1e capabilities逻辑,但是LSM把这个逻辑划分到了一个安全模块中。这样的修改使得不需要的用户可以从他们的内核中把这个功能略去;也使得capabilities逻辑的开发可以脱离内核开发获得更大的独立性。
  • LIDS。这是由国人谢华刚发起的项目。开始时作为一个入侵检测系统开发,后来逐渐演变为使用访问控制系统的形式来进行入侵预防,它通过描述一个给定的程序可以访问哪些文件来进行访问控制。同样的,LIDS原来是作为一个内核补丁实现的并附带了一些管理工具,现在已经使用LSM重新实现为一个安全模块。
网络安全研发随想
关注
  • 2
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统安全
moRickyer的博客
07-27 2406
在贝尔实验室的UNIX实施文档的早期版本中,/etc表示是“其他(etcetera)目录”,因为从历史上看,这个目录是存放各种不属于其他目录的文件(然而,文件系统目录标准FSH限定/etc用于存放静态配置文件,这里不该存有二进制文件)。也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户“再过n天你的密码就要过期了,请尽快重新设置你的密码!...
Linux -- Samba访问控制
weixin_34314962的博客
09-15 549
访问控制(1)在6.3.3节中主要是针对某些特定用户使用共享资源权限的控制,其管理主体为用户。如果需要针对主机进行控制,方法也比较多,可以使用IPTables(具体见第17章),也可以使用Samba服务自身的控制。其实Samba所提供的访问控制功能已经非常强大。Samba的访问控制通过hosts allow(配置允许访问的客户端)、hosts deny(配置拒绝访问的客户端...
Linux 系统安全
m0_72359405的博客
06-27 338
系统安全:非常重要对于个人,对于企业1.数据安全,主要就是防止个人的敏感信息被窃取、盗用、破坏。2.企业法律法规要求。3.企业形象。1.usermod -s /sbin/nologin 用户名 #限制用户登录生产服务器一般人接触不到,测试环境,预生产环境 程序用户做限制。
Linux系统安全安全技术 和 防火墙(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
02-16 1438
netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”(内核空间)是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables位于/sbin/iptables用来管理防火墙规则的工具称为Linux防火墙的“用户态”
Linux系统安全及应用
weixin_55707333的博客
08-01 209
1.1账号基本安全措施在Linux系统中,确保账号的基本安全是非常重要的,因为账号是系统安全的第一道防线,以下是一些账号安全措施的基本设置。
linux系统安全配置基线
07-27
linux系统安全配置基线,linux安全加固手册,linux系统安全防护,系统安全防护,linux系统维护,linux系统安全维护
linux系统安全配置要求
03-27
linux系统安全配置要求
7.Linux系统安全
03-27
7.Linux系统安全
Linux系统安全配置指南(基线).pdf
09-13
...
Linux系统安全及应用
m0_70893463的博客
06-27 172
su -ky31 su -root 配置文件---su模块是否启动---用户uid在不在wheel组---不在不允许切换---在就正常切换。vim /etc/sudoers 是一个只读文件,提升sudo命令的安全范围限制,只能使用特定的命令,或者禁止使用一些命令。限制用户进行切换:为了方便,会给一些普通用户类似管理员的权限,这些用户是禁止切换的,只能自己用,不能随便切换到其他用户。打开认证---su这个命令进行验证和限制---用户不能随便切换用户---除非加入wheel,否则不能进行用户切换。
linux安全系统安全
小郑
04-06 717
选择稳定版操作系统是 因为项目部署的时候就要测试系统环境和软件的兼容性,不稳定的操作系统可能开机不能自启最小化安装是因为CentOS系统没有权限把新的软件卸载然后装旧的gcc,make安装了,黑客就不用安装了,直接用更新系统到最小化安装最新版是 为了让系统更稳定update是更新源里的软件列表 man yum /update 查看帮助upgrade顾名思义是升级,升级你系统里的软件。
简单认识linux系统安全及应用
qq_67633755的博客
05-18 166
则只有wheel组内的用户可以使用su命令切换用户(编辑/etc/pam.d/su文件)。su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换。注意:su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,此项可省略,缺省时以root用户的身份来运行命令。默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,命令程序列表:允许授权的用户通过sudo方式执行的特权命令, 需填写命令程序的完整路径,
Linux系统安全加固浅谈
m0_62089210的博客
10-21 1306
注意,第一步加固表明只有wheel组中的用户才能使用su命令切换到root用户,因此必须将需要切换到root的用户添加到wheel组,以使它可以使用su命令成为root用户,如果系统不存在wheel组,则新增,新增方法:groupadd wheel。具体的内容取决于日志的来源。[root@wenzhiyi ~]# vim /etc/rsyslog.conf,增加如下内容:*.* @Syslog日志服务器IP ###注意:*和@之间存在的是tab键,非空格。
Linux系统安全安全技术和防火墙
Riky12的博客
06-09 3144
传输层端口防火墙网络层IP路由器三层数据链路层MAC交换机按保护范围划分:主机防火墙: 服务范围为当前一台主机网络防火墙: 服务范围为防火墙一侧的局域网。按实现方式划分:硬件防火墙: 在专用硬件级别实现部分功能的防火墙:另一个部分功能基于软件实现,如: 华为,山石hillstone,天融信,启明星辰,绿盟,深信服,PaloAlto,(Juniper2004年40亿美元收购) 等fortinet.。
Linux服务器必备的安全设置,建议收藏!!!
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-24 86
来源:http://uusama.com/69.html好不容易买了服务器,如果因为自己的疏忽,被黑客黑掉的话,那真的是太糟糕了!下面告诉你一些简单的方法提高服务器的安全系数,我的云服务器就是这么配置的,虽然有些麻烦,但是感觉安心一些。修改 ssh 登陆配置打开 ssh 配置文件vim/etc/ssh/sshd_config#修改以下几项Port10000#更改SSH端口,最好改为10000以...
linux系统安全加固
11-02
Linux系统安全加固是为了保护系统免受恶意攻击和非法访问的操作。以下是一些常见的Linux系统安全加固措施: 1. 更新补丁:及时应用最新的系统和软件补丁,以修补已知的漏洞,降低系统被攻击的风险。 2. 禁用不必要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值