亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 操作系統(tǒng) > Linux教程 > linux操作系統(tǒng)安全性

      linux操作系統(tǒng)安全性

      時(shí)間: 春健736 分享

      linux操作系統(tǒng)安全性

        Linux操作系統(tǒng)由于其開(kāi)放源代碼的特性,可在一定程度上避免后門(mén)程序的隱患,這對(duì)于關(guān)注信息保密性的用戶(hù)而言非常重要。下面大家與學(xué)習(xí)啦小編一起來(lái)學(xué)習(xí)一下linux操作系統(tǒng)的安全性吧。

        linux操作系統(tǒng)安全性

        1、用戶(hù)/文件權(quán)限的劃分

        用戶(hù)權(quán)限在Windows操作系統(tǒng)里也不陌生,但是Linux操作系統(tǒng)的用戶(hù)權(quán)限和文件權(quán)限要比Windows操作系統(tǒng)里嚴(yán)格有效。比較明顯的一個(gè)案例就是,即便是你在Windows操作系統(tǒng)里設(shè)置了多用戶(hù),但是不同的用戶(hù)之間通過(guò)一定的方式,還是能夠互訪文件的,這就失去了權(quán)限的意義。

        LINUX文件權(quán)限針對(duì)的對(duì)象分三類(lèi)(互斥的關(guān)系):

        1. user(文件的擁有者)

        2. group(文件擁有者所在的組,但不包括user)

        3. other(其它用戶(hù),即user和group以外的)

        LINUX用一個(gè)3位二進(jìn)制數(shù)對(duì)應(yīng)著文件的3種權(quán)限(1表示有該權(quán)限,0表示無(wú)):

        第1位 讀 r 100 4

        第2位 寫(xiě) w 010 2

        第3位 執(zhí)行 x 001 1

        查看權(quán)限

        #ls -l

        第一列,一共10位(drwxrwxrwx),就代表了文件的權(quán)限:

        1)第一個(gè)d代表是一個(gè)目錄,如果顯示“-”,則說(shuō)明不是一個(gè)目錄

        2)2-4代表user的權(quán)限

        3)5-7代表group的權(quán)限

        4)8-10代表other的權(quán)限

        對(duì)于后9位:

        r 代表可讀(read),其值是4

        w 代表可寫(xiě)(write),其值是2

        x 代表可執(zhí)行(execute),其值是1

        - 代表沒(méi)有相應(yīng)權(quán)限,其值是0

        修改文件權(quán)限

        # chmod [ugoa][+-=][rwx] 文件名

        1)用戶(hù)

        u 代表user

        g 代表group

        o 代表other

        a 代表全部的人,也就是包括u,g和o

        2)行動(dòng)

        + 表示添加權(quán)限

        - 表示刪除權(quán)限

        = 表示使之成為唯一的權(quán)限

        3)權(quán)限

        rwx也可以用數(shù)字表示法,不過(guò)很麻煩要自己算,比如 rw=6

        常見(jiàn)權(quán)限

        -rw—— (600) 只有所有者才有讀和寫(xiě)的權(quán)限

        -rw-r——r—— (644) 只有所有者才有讀和寫(xiě)的權(quán)限,組群和其他人只有讀的權(quán)限

        -rwx—— (700) 只有所有者才有讀,寫(xiě),執(zhí)行的權(quán)限

        -rwxr-xr-x (755) 只有所有者才有讀,寫(xiě),執(zhí)行的權(quán)限,組群和其他人只有讀和執(zhí)行的權(quán)限

        -rwx——x——x (711) 只有所有者才有讀,寫(xiě),執(zhí)行的權(quán)限,組群和其他人只有執(zhí)行的權(quán)限

        -rw-rw-rw- (666) 每個(gè)人都有讀寫(xiě)的權(quán)限

        -rwxrwxrwx (777) 每個(gè)人都有讀寫(xiě)和執(zhí)行的權(quán)限,最大權(quán)限。

        也許你會(huì)說(shuō),Windows操作系統(tǒng)里不也內(nèi)置了防火墻,Linux系統(tǒng)內(nèi)置防火墻有什么特殊之處。其實(shí),iptables不僅僅是一個(gè)防火墻,而且即便是一個(gè)防火墻,它與我們常見(jiàn)的Windows操作系統(tǒng)下的防火墻相比,更加的專(zhuān)業(yè)性能更強(qiáng)大。

        iptables是與Linux內(nèi)核集成的IP信息包過(guò)濾系統(tǒng),如果Linux系統(tǒng)連接到因特網(wǎng)或LAN、服務(wù)器或連接LAN和因特網(wǎng)的代理服務(wù)器,則該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過(guò)濾和防火墻配置。

        netfilter/iptables IP信息包過(guò)濾系統(tǒng)是一種功能強(qiáng)大的工具,可用于添加、編輯和除去規(guī)則,這些規(guī)則是在做信息包過(guò)濾決定時(shí),防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲(chǔ)在專(zhuān)用的信息包過(guò)濾表中,而這些表集成在 Linux 內(nèi)核中。在信息包過(guò)濾表中,規(guī)則被分組放在我們所謂的鏈(chain)中。

        雖然netfilter/iptables IP信息包過(guò)濾系統(tǒng)被稱(chēng)為單個(gè)實(shí)體,但它實(shí)際上由兩個(gè)組件netfilter和iptables組成。

        netfilter組件也稱(chēng)為內(nèi)核空間(kernelspace),是內(nèi)核的一部分,由一些信息包過(guò)濾表組成,這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。

        iptables組件是一種工具,也稱(chēng)為用戶(hù)空間(userspace),它使插入、修改和除去信息包過(guò)濾表中的規(guī)則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否則需要下載該工具并安裝使用它。

        netfilter/iptables 的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻,這是 ipfwadm 和 ipchains 等以前的工具都無(wú)法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過(guò)濾時(shí),防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài),名稱(chēng)分別為 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。

        狀態(tài) ESTABLISHED 指出該信息包屬于已建立的連接,該連接一直用于發(fā)送和接收信息包并且完全有效。INVALID 狀態(tài)指出該信息包與任何已知的流或連接都不相關(guān)聯(lián),它可能包含錯(cuò)誤的數(shù)據(jù)或頭。狀態(tài) NEW 意味著該信息包已經(jīng)或?qū)?dòng)新的連接,或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)。最后, RELATED 表示該信息包正在啟動(dòng)新連接,以及它與已建立的連接相關(guān)聯(lián)。

        netfilter/iptables 的另一個(gè)重要優(yōu)點(diǎn)是,它使用戶(hù)可以完全控制防火墻配置和信息包過(guò)濾。您可以定制自己的規(guī)則來(lái)滿(mǎn)足您的特定需求,從而只允許您想要的網(wǎng)絡(luò)流量進(jìn)入系統(tǒng)。

        另外,netfilter/iptables 是免費(fèi)的,這對(duì)于那些想要節(jié)省費(fèi)用的人來(lái)說(shuō)十分理想,它可以代替昂貴的防火墻解決方案。

        SELinux是Security-Enhanced Linux的簡(jiǎn)稱(chēng),是美國(guó)國(guó)家安全局NSA(The National Security Agency)和SCC(Secure Computing Corporation)開(kāi)發(fā)的 Linux的一個(gè)擴(kuò)張強(qiáng)制訪問(wèn)控制安全模塊。原先是在Fluke上開(kāi)發(fā)的,2000年以GNU GPL發(fā)布。

        SELinux(Security-Enhanced Linux) 是對(duì)于強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn),是Linux上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開(kāi)發(fā)了一種訪問(wèn)控制體系,在這種訪問(wèn)控制體系的限制下,進(jìn)程只能訪問(wèn)那些在他的任務(wù)中所需要文件。SELinux 默認(rèn)安裝在 Fedora 和 Red Hat Enterprise Linux 上,也可以作為其他發(fā)行版上容易安裝的包得到。

        對(duì)于目前可用的 Linux安全模塊來(lái)說(shuō),SELinux 是功能最全面,而且測(cè)試最充分的,它是在 20 年的 MAC 研究基礎(chǔ)上建立的。SELinux 在類(lèi)型強(qiáng)制服務(wù)器中合并了多級(jí)安全性或一種可選的多類(lèi)策略,并采用了基于角色的訪問(wèn)控制概念。

        大部分使用SELinux的人使用的都是SELinux就緒的發(fā)行版,他們都是在內(nèi)核中啟用SELinux的,并且提供一個(gè)可定制的安全策略,還提供很多用戶(hù)層的庫(kù)和工具,它們都可以使用 SELinux 的功能。

        SELinux是一種基于域-類(lèi)型模型(domain-type)的強(qiáng)制訪問(wèn)控制(MAC)安全系統(tǒng),它由NSA編寫(xiě)并設(shè)計(jì)成內(nèi)核模塊包含到內(nèi)核中,相應(yīng)的某些安全相關(guān)的應(yīng)用也被打了SELinux的補(bǔ)丁,最后還有一個(gè)相應(yīng)的安全策略。

        眾所周知,標(biāo)準(zhǔn)的UNIX安全模型是"任意的訪問(wèn)控制"DAC。就是說(shuō),任何程序?qū)ζ滟Y源享有完全的控制權(quán)。假設(shè)某個(gè)程序打算把含有潛在重要信息的文件扔到/tmp目錄下,那么在DAC情況下沒(méi)人能阻止他!而MAC情況下的安全策略完全控制著對(duì)所有資源的訪問(wèn)。這是MAC和DAC本質(zhì)的區(qū)別。SELinux提供了比傳統(tǒng)的UNⅨ權(quán)限更好的訪問(wèn)控制。

        點(diǎn)評(píng):

        Linux操作系統(tǒng)在服務(wù)器領(lǐng)域已經(jīng)占據(jù)了很強(qiáng)的領(lǐng)地,這與其自身的免費(fèi)、開(kāi)源以及極高的安全性分不開(kāi)的。做好Linux操作系統(tǒng)的維護(hù),需要善用Linux系統(tǒng)高效的工具資源。只有熟練運(yùn)用、熟知Linux脾性才能將這個(gè)默默無(wú)聞的寶物發(fā)揮到極致。

      看過(guò)“ linux操作系統(tǒng)安全性 ”的人還看了:

      1.如何保護(hù)Linux操作系統(tǒng)安全技巧

      2.怎么保護(hù)Linux操作系統(tǒng)安全

      3.怎么提高Linux系統(tǒng)安全

      4.LINUX操作系統(tǒng)如何更改用戶(hù)或組

      5.linux虛擬機(jī)怎么安裝

      655628