Linux系统权限保护

　　Linux的权限设置从根本上就与Windows有着很大的差别。Linux权限管理的各个方面是一个完整的系统，而Windows在这方面很零碎，不成体系，并且每个模块之间的配合几乎没有，同时很多功能仅仅只是存在，并没有实际意义。

　　(1)从密码安全方面来看，Linux跟Windows一样，都需要安全密码。但是Linux的密码如果丢失，虽然系统会出现安全隐患，但不至于像Windows那样很快成为“肉鸡”。因为在Linux中还有其它安全措施可以弥补密码丢失造成的问题。尽管如此，密码安全仍不容忽视。

　　(2)从Linux的权限管理来看，Linux的文件系统就是一棵“树”，而权限管理就是为了服务这棵“树”而设计的。但是Linux的权限设置比较简单，只有“属主”、“属组”、“其它”3部分，控制起来很不灵活。Linux为了弥补这些，加入了ACL权限管理机制，使得用户的权限管理灵活起来。

　　(3)从Linux的安全策略来看，Tcpwarpper是一个简单的安全策略，是一种可以限制一个IP或一个IP段的计算机访问Linux服务器的某个服务的安全策略，而且功能强大，可以很好地限制远程计算机对Linux服务器的访问。如果再配合IPtables防火墙，就可以实现对很多危险信息的隔离，有效降低服务器受到网络威胁的概率，提高系统的安全性。

　　(4)从Linux的安全认证来看，强大的PAM认证机制，一般翻译成“可插拔式认证模块”，或是“可插入式认证模块”。它是一种性能健壮、灵活方便的用户级认证方式，是Linux和Unix首选的安全认证方式。它通过模块化的结构，方便灵活地解决了很多繁琐的用户接入认证问题，规范了用户接入及其已授权行为，严格限制了非授权用户的接入及其行为，是一种不可多得的认证机制。

　　(5)从Linux的IPtables防火墙来看，IPtables防火墙的本质就是Linux内核集成的IP信息包过滤系统。这个系统功能非常强大，可以非常轻松地管理防火墙的规则，并且资源占用很小。IPtables包过滤系统在内核中有一个通用构架netfilter，它提供了“表”，每个“表”中又包含了“链”，“链”中配置了相应的“规则”。归根结底IPtables只是一个管理内核包过虑的工具。IPtables防火墙是一个贯串始终的安全体系，几乎所有的安全策路都会用到防火墙。

　　当有数据包进入系统时，系统首先根据相应的表决定将数据包发给哪一条链，当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则的条件。如果满足，系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。如果该数据包不符合该链中任何一条规则，系统就会根据该链预先定义的策略来处理该数据包。

　　IPtables防火墙功能非常强大，简单易用，安全性高，并且还能完成NAT等其它功能，因而受到了很多用户的好评。

　　(6)从Linux的入侵检测方面来看，Snort有着非常强大的系统监视功能，并拥有丰富的规则(可从官方网站上下载)，可以有效地监控网络的运行状态，是一个免费的基于Libpcap的轻量级网络入侵检测系统。它能够跨平台操作，用于监视小型的企业网络并结合其它安全机制作出快速反应，把威胁限制在一个最小的范围里。同时，它支持大量可扩展插件，有效配合系统中的其它安全机制来保护系统安全。例如本文中提到的Guardian包，就是开发人员编写的Snort扩展模块(用于跟IPtables联动的插件)。

　　(7)从Linux的SELinux来看，它实际上就是加强系统权限管理的一套机制，能有效弥补系统帐号密码泄露所带来的安全隐患。如果使用SElinux限制权限和存储机制，就必须使用Enforcing模式。在这种模式下，即使是root用户对一些系统的关键进程的直接控制和管理也无能为力。如果有了SElinux的保护，在黑客得到root帐号的情况下，要想实现对系统的控制，就必须经过层层审核和限制，最终也无法修改文件内容。这样，就把入侵之后的风险降到了最低。

　　(8)从Linux的安全审计方面来看，Audit是个集成在2.6内核中的事件记录器，可以有效地监控服务器的系统状态。在监控之前加入特定的规则，当满足规则时就视为入侵，并发出警报。与入侵检测不同的是，Audit的监控对象是服务器，而入侵检测监控对象是网络数据流。

　　安全审计本身是一个庞大的系统，在大多数情况下，Linux都是用Audit配合其它安全机制来完成对系统安全方面事件的记录，供系统管理人员进行分析和提出警告。Audit系统搜集的信息包括：事件名称，事件状态和其它安全的信息。

　　纵观整个Linux安全体系，我们不难发现，系统的各个环节都配合相当紧密。在一般情况下，黑客很难完成对权限的控制，更不用说进行远程控制了。即使一些黑客高手利用未知的漏洞可以获得一定的系统权限，但是他们很难对系统进行远程控制，而且即使可以上传木马病毒，由于权限的限制，也不能运行这些病毒，所以对系统的危害是有限的。