Linux
操作系统的安全性是有目共睹的,相比Windows
操作系统,到底Linux
有哪些过人之处?这里我们就抛砖引玉,挑选三点重要的特点给大家说明,为什么说Linux
操作系统安全性有其他系统无可比拟的优越性。
Linux安全性有哪些过人之处
1、用户/文件权限的划分
用户权限在Windows
操作系统里也不陌生,但是Linux
操作系统的用户权限和文件权限要比Windows
操作系统里严格有效。比较明显的
一个案例就是,即便是你在Windows
操作系统里设置了多用户,但是不同的用户之间通过一定的方式,还是能够互访文件的,这就失去了权限的意义。
LINUX
文件权限针对的对象分三类(
互斥的关系)
:
1. user(
文件的拥有者)
2. group( 文件拥有者所在的组,但不包括user)
3. other( 其它用户,即user 和group 以外的)
2. group( 文件拥有者所在的组,但不包括user)
3. other( 其它用户,即user 和group 以外的)
LINUX
用一个3
位二进制数对应着文件的3
种权限(1
表示有该权限,0
表示无)
:
第1
位
读 r 100 4
第2 位 写 w 010 2
第3 位 执行 x 001 1
第2 位 写 w 010 2
第3 位 执行 x 001 1
查看权限
#ls -l
第一列,一共10
位(drwxrwxrwx)
,就代表了文件的权限:
1)
第一个d
代表是一个目录,如果显示“-”
,则说明不是一个目录
2)2-4 代表user 的权限
3)5-7 代表group 的权限
4)8-10 代表other 的权限
2)2-4 代表user 的权限
3)5-7 代表group 的权限
4)8-10 代表other 的权限
对于后9
位:
r
代表可读(read)
,其值是4
w 代表可写(write) ,其值是2
x 代表可执行(execute) ,其值是1
- 代表没有相应权限,其值是0
w 代表可写(write) ,其值是2
x 代表可执行(execute) ,其值是1
- 代表没有相应权限,其值是0
修改文件权限
# chmod [ugoa][+-=][rwx]
文件名
1)
用户
u
代表user
g 代表group
o 代表other
a 代表全部的人,也就是包括u ,g 和o
g 代表group
o 代表other
a 代表全部的人,也就是包括u ,g 和o
2)
行动
+
表示添加权限
- 表示删除权限
= 表示使之成为唯一的权限
- 表示删除权限
= 表示使之成为唯一的权限
3)
权限
rwx
也可以用数字表示法,不过很麻烦要自己算,比如 rw=6
常见权限
-rw—— (600)
只有所有者才有读和写的权限
-rw-r——r—— (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx—— (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx——x——x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
-rwxrwxrwx (777) 每个人都有读写和执行的权限,最大权限。
-rw-r——r—— (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx—— (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx——x——x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
-rwxrwxrwx (777) 每个人都有读写和执行的权限,最大权限。
Iptables Linux系统芯里的防火墙
也许你会说,Windows
操作系统里不也内置了防火墙,Linux
系统内置防火墙有什么特殊之处。其实,iptables
不仅仅是一个防火墙,而且即便是一个防火墙,它与我们常见的Windows
操作系统下的防火墙相比,更加的专业性能更强大。
iptables
是与Linux
内核集成的IP
信息包过滤系统,如果Linux
系统连接到因特网或LAN
、服务器或连接LAN
和因特网的代理服务器,则该系统有利于在Linux
系统上更好地控制IP
信息包过滤和防火墙配置。
netfilter/iptables IP
信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用
的信息包过滤表中,而这些表集成在 Linux
内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)
中。
虽然netfilter/iptables IP
信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter
和iptables
组成。
netfilter
组件也称为内核空间(kernelspace)
,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables
组件是一种工具,也称为用户空间(userspace)
,它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1
或更高版本,否则需要下载该工具并安装使用它。
netfilter/iptables
的最大优点是它可以配置有状态的防火墙,这是 ipfwadm
和 ipchains
等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信
息。在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态,名称分别为 ESTABLISHED
、 INVALID
、 NEW
和 RELATED
。
状态 ESTABLISHED
指出该信息包属于已建立的连接,该连接一直用于发送和接收信息包并且完全有效。INVALID
状态指出该信息包与任何已知的流或连接都不相关联,它可能包含错误的数据或头。状态 NEW
意味着该信息包已经或将启动新的连接,或者它与尚未用于发送和接收信息包的连接相关联。最后, RELATED
表示该信息包正在启动新连接,以及它与已建立的连接相关联。
netfilter/iptables
的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求,从而只允许您想要的网络流量进入系统。
参考来源:唯C教育,【资讯】Linux操作系统的安全性有哪些过人之处
http://www.weicedu.com/forum.php?mod=viewthread&tid=612&fromuid=18
(出处: http://www.weicedu.com/)
1513
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
