第12章 Linux系统安全相关技术
12.1 操作系统安全概述
-
12.1.1 信息安全的设计原则:
- 介绍了保护信息安全的三个基本原则,即机密性、完整性和可用性,这些是确保操作系统安全的基础。
-
12.1.2 操作系统安全的设计目标:
- 明确了操作系统安全的四个主要目标:访问控制、用户认证、系统监督和系统自身的安全性保证。
12.2 Linux系统的安全机制
-
12.2.1 Linux系统的用户账号:
- 解释了Linux系统如何管理用户账号和组,以及重要的系统文件(如/etc/passwd和/etc/shadow)在用户身份管理中的作用。
-
12.2.2 Linux文件系统的权限:
- 讲述了Linux系统中文件权限的设置方式,如读、写、执行权限,以及它们对系统安全的影响。
-
12.2.3 Linux的日志文件:
- 强调了日志文件在跟踪系统事件和安全监控中的重要性。
-
12.2.4 Linux纵深防御体系:
- 提到了各种防御机制,如防火墙、VPN、IDS等,来构建更安全的Linux环境。
12.3 Linux系统的访问控制
-
12.3.1 Linux系统访问控制概述:
- 介绍了访问控制的基础知识,包括引用监视器、认证和授权。
-
12.3.2 Linux Capabilities:
- 解释了如何通过Linux Capabilities细化权限管理,以避免root权限的滥用。
-
12.3.3 AppArmor:
- 讨论了AppArmor如何限制应用程序的行为,以提高系统安全性。
-
12.3.4 SELinux:
- 讲述了SELinux是如何提供更严格的访问控制策略来加强Linux系统的安全性。
12.4 可信计算和机密计算
-
12.4.1 secGear机密计算框架:
- 描述了secGear框架如何提供一个安全的环境来保护数据和计算过程的隐私性。
-
12.4.2 secGear开发指南:
- 给出了如何使用secGear框架来开发应用程序的具体步骤,包括设置开发环境和构建应用程序。
小结
读完这章之后,我感觉Linux系统的安全机制非常全面(不知道比Win11高到哪里去了),从基础的账号和权限管理到高级的访问控制策略,每一层都有其独特的作用,每一层都很重要。
至于SELinux和AppArmor这样的工具,它们提供了额外的安全层来防止未授权的访问。
此外,这是我第一次接触可信计算和机密计算的概念,保护数据不仅仅是存储和传输过程中的问题,而且还包括在计算过程中的保护。secGear框架作为实现这一目标的工具,展示了如何在现代云计算和多租户环境中保护敏感数据,如果我以后想要在Linux系统上构建安全应用程序,可能会用到这一框架。