4月 122012
 

  引言

  不管在哪个服务器系统上,任何一个文件的执行都必须具有一定的权限,如果黑客获得了这个权限,就有可能利用这个漏洞运行一些黑客程序,从而达到控制整个计算机的目的。反之,即使黑客能够把一些黑客程序上传到服务器上,由于权限的问题,这些黑客程序也将无法运行,不能危害我们的系统。例如findpass就是这样的。

  1 Windows系统权限保护

  首先关注密码安全。在很多安全事件发生之后,人们在查看原因时,都会发现一个非常惊人的事情,就是很多人一般不设置或者仅设置了很简单的Windows管理员密码。这实际上就等于把系统的控制权毫无保留地交给了黑客,网络安全的第二道防线,这一刻将变得相当的脆弱。

  黑客经过扫描如果发现了这个令人高兴的消息,直接就可以进行远程控制或上传并运行病毒木马,系统将变成任人宰割的“肉鸡”。黑客往往可以在用户不知情的情况下,控制这些“肉鸡”去攻击其它计算机,而自己藏在幕后来躲避网络警察的追踪。这样用户不仅损失了自己的资源,包庇了黑客,还危害了他人的计算机,可谓损失惨重。所以一个安全的密码对一个系统来说是相当重要的,绝不能掉以轻心。

  其次从权限管理方面来看,Windows的权限管理其实是比较简单的,只是定义了几个组和几个特殊用户来管理计算机,其中权力最高的Administrator也不能管理系统的所有东西,如果系统发现病毒,有时候Administrator也只能看着,无法结束进程。

  但是如果Windows升级成域控制器(DC),他的权限管理就会发生很大的变化,系统会根据域组策略对每个域用户进行严格的管理,这样就可以提高系统权限管理的安全性。但这样的权限管理仍不容乐观,例如不加入域的用户可能对网络造成安全隐患、域控制器本身也会存在漏洞等。

  最后从安全策略的方面来看,Windows主要是通过注册表对系统进行管理的,但是注册表非常复杂。为解决这个问题,Windows提供了一些注册表管理工具:本地安全策略、本地组策略、控制面板等。它们如果经过精心配置,从而修改注册表,可以达到提高网络安全的目的,并且不占用系统资源。但是这种方式配置起来非常复杂、不灵活,修改起来比较麻烦,对于专业人士来说还可以接受,如果是普通用户则不太适合。

  2 Linux系统权限保护

  Linux的权限设置从根本上就与Windows有着很大的差别。Linux权限管理的各个方面是一个完整的系统,而Windows在这方面很零碎,不成体系,并且每个模块之间的配合几乎没有,同时很多功能仅仅只是存在,并没有实际意义。

  (1)从密码安全方面来看,Linux跟Windows一样,都需要安全密码。但是Linux的密码如果丢失,虽然系统会出现安全隐患,但不至于像Windows那样很快成为“肉鸡”。因为在Linux中还有其它安全措施可以弥补密码丢失造成的问题。尽管如此,密码安全仍不容忽视。

  (2)从Linux的权限管理来看,Linux的文件系统就是一棵“树”,而权限管理就是为了服务这棵“树”而设计的。但是Linux的权限设置比较简单,只有“属主”、“属组”、“其它”3部分,控制起来很不灵活。Linux为了弥补这些,加入了ACL权限管理机制,使得用户的权限管理灵活起来。

  (3)从Linux的安全策略来看,Tcpwarpper是一个简单的安全策略,是一种可以限制一个IP或一个IP段的计算机访问Linux服务器的某个服务的安全策略,而且功能强大,可以很好地限制远程计算机对Linux服务器的访问。如果再配合IPtables防火墙,就可以实现对很多危险信息的隔离,有效降低服务器受到网络威胁的概率,提高系统的安全性。

  (4)从Linux的安全认证来看,强大的PAM认证机制,一般翻译成“可插拔式认证模块”,或是“可插入式认证模块”。它是一种性能健壮、灵活方便的用户级认证方式,是Linux和Unix首选的安全认证方式。它通过模块化的结构,方便灵活地解决了很多繁琐的用户接入认证问题,规范了用户接入及其已授权行为,严格限制了非授权用户的接入及其行为,是一种不可多得的认证机制。

  (5)从Linux的IPtables防火墙来看,IPtables防火墙的本质就是Linux内核集成的IP信息包过滤系统。这个系统功能非常强大,可以非常轻松地管理防火墙的规则,并且资源占用很小。IPtables包过滤系统在内核中有一个通用构架netfilter,它提供了“表”,每个“表”中又包含了“链”,“链”中配置了相应的“规则”。归根结底IPtables只是一个管理内核包过虑的工具。IPtables防火墙是一个贯串始终的安全体系,几乎所有的安全策路都会用到防火墙。

  当有数据包进入系统时,系统首先根据相应的表决定将数据包发给哪一条链,当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则的条件。如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。如果该数据包不符合该链中任何一条规则,系统就会根据该链预先定义的策略来处理该数据包。

  IPtables防火墙功能非常强大,简单易用,安全性高,并且还能完成NAT等其它功能,因而受到了很多用户的好评。

  (6)从Linux的入侵检测方面来看,Snort有着非常强大的系统监视功能,并拥有丰富的规则(可从官方网站上下载),可以有效地监控网络的运行状态,是一个免费的基于Libpcap的轻量级网络入侵检测系统。它能够跨平台操作,用于监视小型的企业网络并结合其它安全机制作出快速反应,把威胁限制在一个最小的范围里。同时,它支持大量可扩展插件,有效配合系统中的其它安全机制来保护系统安全。例如本文中提到的Guardian包,就是开发人员编写的Snort扩展模块(用于跟IPtables联动的插件)。

  (7)从Linux的SELinux来看,它实际上就是加强系统权限管理的一套机制,能有效弥补系统帐号密码泄露所带来的安全隐患。如果使用SElinux限制权限和存储机制,就必须使用Enforcing模式。在这种模式下,即使是root用户对一些系统的关键进程的直接控制和管理也无能为力。如果有了SElinux的保护,在黑客得到root帐号的情况下,要想实现对系统的控制,就必须经过层层审核和限制,最终也无法修改文件内容。这样,就把入侵之后的风险降到了最低。

  (8)从Linux的安全审计方面来看,Audit是个集成在2.6内核中的事件记录器,可以有效地监控服务器的系统状态。在监控之前加入特定的规则,当满足规则时就视为入侵,并发出警报。与入侵检测不同的是,Audit的监控对象是服务器,而入侵检测监控对象是网络数据流。

  安全审计本身是一个庞大的系统,在大多数情况下,Linux都是用Audit配合其它安全机制来完成对系统安全方面事件的记录,供系统管理人员进行分析和提出警告。Audit系统搜集的信息包括:事件名称,事件状态和其它安全的信息。

  纵观整个Linux安全体系,我们不难发现,系统的各个环节都配合相当紧密。在一般情况下,黑客很难完成对权限的控制,更不用说进行远程控制了。即使一些黑客高手利用未知的漏洞可以获得一定的系统权限,但是他们很难对系统进行远程控制,而且即使可以上传木马病毒,由于权限的限制,也不能运行这些病毒,所以对系统的危害是有限的。

  本文来源于江城论文范文:http://www.maogege.com

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)