探秘Linux操作系統安全性的過人之處
Linux操作系統的安全性是有目共睹的,相比Windows操作系統,到底Linux有哪些過人之處?這里我們就拋磚引玉,挑選三點重要的特點給大家說明,為什么說Linux操作系統安全性有其他系統無可比擬的優越性。
1、用戶/文件權限的劃分
用戶權限在Windows操作系統里也不陌生,但是Linux操作系統的用戶權限和文件權限要比Windows操作系統里嚴格有效。比較明顯的一個案例就是,即便是你在Windows操作系統里設置了多用戶,但是不同的用戶之間通過一定的方式,還是能夠互訪文件的,這就失去了權限的意義。
LINUX文件權限針對的對象分三類(互斥的關系):
1. user(文件的擁有者)
2. group(文件擁有者所在的組,但不包括user)
3. other(其它用戶,即user和group以外的)
LINUX用一個3位二進制數對應著文件的3種權限(1表示有該權限,0表示無):
- 第1位 讀 r 100 4
- 第2位 寫 w 010 2
- 第3位 執行 x 001 1
查看權限
#ls -l
第一列,一共10位(drwxrwxrwx),就代表了文件的權限:
1)第一個d代表是一個目錄,如果顯示“-”,則說明不是一個目錄
2)2-4代表user的權限
3)5-7代表group的權限
4)8-10代表other的權限
對于后9位:
- r 代表可讀(read),其值是4
- w 代表可寫(write),其值是2
- x 代表可執行(execute),其值是1
- - 代表沒有相應權限,其值是0
修改文件權限
# chmod [ugoa][+-=][rwx] 文件名
1)用戶
- u 代表user
- g 代表group
- o 代表other
- a 代表全部的人,也就是包括u,g和o
2)行動
- + 表示添加權限
- - 表示刪除權限
- = 表示使之成為唯一的權限
3)權限
rwx也可以用數字表示法,不過很麻煩要自己算,比如 rw=6
常見權限
- -rw—— (600) 只有所有者才有讀和寫的權限
- -rw-r——r—— (644) 只有所有者才有讀和寫的權限,組群和其他人只有讀的權限
- -rwx—— (700) 只有所有者才有讀,寫,執行的權限
- -rwxr-xr-x (755) 只有所有者才有讀,寫,執行的權限,組群和其他人只有讀和執行的權限
- -rwx——x——x (711) 只有所有者才有讀,寫,執行的權限,組群和其他人只有執行的權限
- -rw-rw-rw- (666) 每個人都有讀寫的權限
- -rwxrwxrwx (777) 每個人都有讀寫和執行的權限,最大權限。#p#
也許你會說,Windows操作系統里不也內置了防火墻,Linux系統內置防火墻有什么特殊之處。其實,iptables不僅僅是一個防火墻,而且即便是一個防火墻,它與我們常見的Windows操作系統下的防火墻相比,更加的專業性能更強大。
iptables是與Linux內核集成的IP信息包過濾系統,如果Linux系統連接到因特網或LAN、服務器或連接LAN和因特網的代理服務器,則該系統有利于在Linux系統上更好地控制IP信息包過濾和防火墻配置。
netfilter/iptables IP信息包過濾系統是一種功能強大的工具,可用于添加、編輯和除去規則,這些規則是在做信息包過濾決定時,防火墻所遵循和組成的規則。這些規則存儲在專用的信息包過濾表中,而這些表集成在 Linux 內核中。在信息包過濾表中,規則被分組放在我們所謂的鏈(chain)中。
雖然netfilter/iptables IP信息包過濾系統被稱為單個實體,但它實際上由兩個組件netfilter和iptables組成。
netfilter組件也稱為內核空間(kernelspace),是內核的一部分,由一些信息包過濾表組成,這些表包含內核用來控制信息包過濾處理的規則集。
iptables組件是一種工具,也稱為用戶空間(userspace),它使插入、修改和除去信息包過濾表中的規則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否則需要下載該工具并安裝使用它。
netfilter/iptables 的最大優點是它可以配置有狀態的防火墻,這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。有狀態的防火墻能夠指定并記住為發送或接收信息包所建立的連接的狀態。防火墻可以從信息包的連接跟蹤狀態獲得該信息。在決定新的信息包過濾時,防火墻所使用的這些狀態信息可以增加其效率和速度。這里有四種有效狀態,名稱分別為 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。
狀態 ESTABLISHED 指出該信息包屬于已建立的連接,該連接一直用于發送和接收信息包并且完全有效。INVALID 狀態指出該信息包與任何已知的流或連接都不相關聯,它可能包含錯誤的數據或頭。狀態 NEW 意味著該信息包已經或將啟動新的連接,或者它與尚未用于發送和接收信息包的連接相關聯。最后, RELATED 表示該信息包正在啟動新連接,以及它與已建立的連接相關聯。
netfilter/iptables 的另一個重要優點是,它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規則來滿足您的特定需求,從而只允許您想要的網絡流量進入系統。
另外,netfilter/iptables 是免費的,這對于那些想要節省費用的人來說十分理想,它可以代替昂貴的防火墻解決方案。#p#
SELinux是Security-Enhanced Linux的簡稱,是美國國家安全局NSA(The National Security Agency)和SCC(Secure Computing Corporation)開發的 Linux的一個擴張強制訪問控制安全模塊。原先是在Fluke上開發的,2000年以GNU GPL發布。
SELinux(Security-Enhanced Linux) 是對于強制訪問控制的實現,是Linux上最杰出的新安全子系統。NSA是在Linux社區的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,進程只能訪問那些在他的任務中所需要文件。SELinux 默認安裝在 Fedora 和 Red Hat Enterprise Linux 上,也可以作為其他發行版上容易安裝的包得到。
對于目前可用的 Linux安全模塊來說,SELinux 是功能最全面,而且測試最充分的,它是在 20 年的 MAC 研究基礎上建立的。SELinux 在類型強制服務器中合并了多級安全性或一種可選的多類策略,并采用了基于角色的訪問控制概念。
大部分使用SELinux的人使用的都是SELinux就緒的發行版,他們都是在內核中啟用SELinux的,并且提供一個可定制的安全策略,還提供很多用戶層的庫和工具,它們都可以使用 SELinux 的功能。
SELinux是一種基于域-類型模型(domain-type)的強制訪問控制(MAC)安全系統,它由NSA編寫并設計成內核模塊包含到內核中,相應的某些安全相關的應用也被打了SELinux的補丁,最后還有一個相應的安全策略。
眾所周知,標準的UNIX安全模型是"任意的訪問控制"DAC。就是說,任何程序對其資源享有完全的控制權。假設某個程序打算把含有潛在重要信息的文件扔到/tmp目錄下,那么在DAC情況下沒人能阻止他!而MAC情況下的安全策略完全控制著對所有資源的訪問。這是MAC和DAC本質的區別。SELinux提供了比傳統的UNⅨ權限更好的訪問控制。
