教你配置Linux操作系统安全管理服务

教你配置Linux操作系统安全管理服务

作者：dj5221314　来源：黑客基地

任何计算机安全措施的一个重要方面是维持实际控制服务的运行，让不必要的网络服务接受请求将提高系统的安全风险。即使这些网络服务对于服务器的某些功能是必要的也需要仔细管理，并且对其进行配置最小化不受欢迎的入侵和登录的可能性。

为Linux系统配置安全性时，使用/etc/inittab文件、runlevels和一两个服务管理“superdaemons”如inetd或xinetd直接管理服务。

Inittab

/etc/inittab文件用于系统的初始化过程启动系统服务。在一个配置好的系统上，虽然它一般都不会包括很多服务，但是在某些Linux系统的默认安装中会加载很多其他服务。/etc/inittab文件内容有些模糊，它的重要之处在于让服务管理变得相对简单。

首先，可不要通过/etc/inittab文件方式向系统启动项中添加服务。

第二，不要移除/etc/inittab文件中第一个冒号之前其第一个字段是单精度型的数字，或整个登录服务的前面部分。以单精度数字开头的行可以打开TTY控制台，所有服务在它们打开之前都一一列出，甚至列出其更重要的功能。也许有些例外情况，在不改动它时是很安全的，尤其如果不确定的情况下请不要改动。

第三，/etc/inittab在导入和runlevel选择的时候用于过程管理。一般不用于正常的系统操作。

第四，在导入时由rc系统开始添加步骤，而不是init系统。如果看看/etc/inittab的内容，将会注意到登录以rc0到rc6这样的字符结束。这是初始化系统如何处理runlevels的说明。

Runlevels

基于Linux操作系统的运转可以通过runlevels进行管理。不同的runlevels被定义成有不同的行为，就像Windows操作系统一样，它有正常操作模式、安全模式、在某些情况下还有DOS模式。

Runlevel 0用于关闭系统，如果软电源设置恰当，它能关闭系统电源。

Runlevel 1是单用户无网络的模式，它用于低水平的故障修复和管理操作。

Runlevel 2到Runlevel 5正常系统操作的多用户模式。Runlevel2和3是命令行模式，3有网络连接而2没有网络连接。Runlevel 5用于启动X Windows提供图形用户接口。

Runlevel 6用于系统重启，当整个init系统甚至bootloader 需要重启时采用它。

其他runlevels由系统管理员进行定义，但是“传统”UNIX系统没有此功能。这种情况下，他们不能被定义也不能被使用。

在shell处，可以输入runlevel命令找到以前的renlevel和当前runlevel。如果没有更改系统 runlevel ，命令的输出结果为大写N后面跟runlevel的数字，这里的N表示没有前runlevel，如果要更改runlevel，可以使用init命令，后面跟想要使用到的runlevel的数字。例如，输入init 6表示重启系统，或init 1 进入单用户模式。

配置runlevel的过程每一版本的情况都不同。例如，在Debian GNU/Linux系统中，位于/etc/init.d的服务脚本有来自/etc/rcN.d的路径与它们进行链接，这里的N表示需要配置的runlevel数字。以字母K开头的symlinks指示在进入runlevel时被杀死的程序，而以字母 S开头的symlinks指示在进入runlevel时被启动的程序。字母后面的数字值越大，从1到99，表示启动或杀死的时间愈靠后。

大多数基于RPM的版本都采用RedHat所用到的rc系统。比起基于Debian的系统，这一系统使用更复杂的路径结构，并且不同的基于RPM的系统之间也有很大的不同。说明书上提供了更多的关于管理runlevel的信息。

Inetd

一个用于Linux后台程序管理的“superdaemon”是众所周知的inetd，它是个用于服务管理的命令行工具。终止服务很简单：首先，作为根用户用文本编辑器打开/etc/inetd.conf文件。接下来，找到文件中需要终止的服务。最后，在服务所在行的最前面添加#符号(其他还有“尖顶符”和“英镑符”)，如下所示。“注释掉”这一行，因此inted以后都不会启动这一服务。

编辑之前服务登录可能是下面这样：

ident stream tcp wait identd /usr/sbin/identd identd

停止之后，服务登录变成下面这个样子：

# ident stream tcp wait identd /usr/sbin/identd identd

如果正在卸载被登录参考的后台程序，可以删除文件中的某些行——是否通过包管理器进行卸载或删除执行文件卸载(对于上面的例子是/usr/sbin/identd文件)。

编辑/etc/inetd.conf文件之后，保存它，inetd以后则可以使用更改。编辑和保存一旦完成，可以在根部输入下面的命令使更改即时生效：

kill -HUP `pidofinetd`

使用修改(保存)后的配置文件会导致inetd重启。

Xinetd

另外一个称为xinetd的superdaemon比inetd更新颖更复杂，能完成更多的功能。但是对于关闭服务来说，他们的使用方法相似。

使用xinetd时，必须在/etc/xinetd.conf文件中添加一行关闭服务。如果只想简单的删除服务，必须删除好几行代码而不是一行。找到想要关闭的服务所在的那一块，在块的后面添加“disable = yes”这一行，或者删除整个块。例如，如果关闭telnet服务，需要像下面这样做。(这里的省略号代表了块的其他内容)

　　service telnet

　　{

　　. . .

　　disable = yes

　　}

在某些系统中，对于某些服务，服务配置并不在/etc/xinetd.conf文件中。例如，像telnet这样的服务有可能在文件/etc/xinetd.d/telnet中，改变其服务配置方法与它在/etc/xinetd.conf文件中的方法是一样的。

编辑保存了/etc/xinetd.conf文件后或者更改了服务文件后，可以输入下面的命令让修改即时生效：

kill -USR2 `pidofxinetd`

这将通知xinetd程序，使用更改后的配置。

Xinetd除了关闭或移除服务配置之外，还可以用于控制远程主机登录服务。这将通过几个机制完成：

可以为服务指定一个允许的主机。例如：可以通过在服务配置文件中添加only_from = 192.168.0.101这一行限制主机登录telnet服务。尽管使用了词语“only”，但是它只能限制主机的数目，而不仅仅只一台主机。也可以使用部分地址指定完整的网络。例如：可以使用“only_from = 192.168.0.to”表示本地Class C的任何主机都能访问这个服务。

可以在配置文件中为某个服务指定禁止的主机。例如：可以在配置文件中添加“no_access = 192.168.0.102”这一行禁止这个主机远程访问telnet服务。这个也可以使用多次而且也可以使用部分地址指定多个主机。万一某个主机满足only_from和no_access两个限制，则会权衡确定其访问权限。如果xinetd不能确定哪个限制能被应用，则系统默认更安全的选项——服务不会开启。

超越服务管理

对于安全的远程服务访问，还有更多的事情可以做。应该恰当配置防火墙保护服务免受攻击。代理服务器、通过网关服务器端口推进以及网络地址转移都能有效减少服务攻击的风险。针对安全使用，那些用于登录正在运行的服务工具也应进行配置，例如，如果使用安全shell进行远程连接而没有使用X Server时，在SSH中调低X forwarding是很重要的。直接进行安全管理是保证Linux系统安全的重要部分，但是它也只是全面安全计划的一部分。

系统安全解读Linux文件权限设置方法

作者：lvvl　来源：赛迪网安全社区

Windows系统其实和Linux系统有相似的地方，Windows系统文件、目录的属性有只读、隐藏，而Linux也一样。

Linux中，每一个文件都具有特定的属性。主要包括文件类型和文件权限两个方面。可以分为5种不同的类型：普通文件、目录文件、链接文件、设备文件和管道文件。

所谓的文件权限，是指对文件的访问权限，包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统，它允许多个用户同时登录和工作。因此 Linux 将一个文件或目录与一个用户或组联系起来。访问控制列表(ACL：Access Control List)为计算机提供更好的访问控制，它的作用是限制包括root用户在内的所有用户对文件、资源或者套接字的访问。下面就来教大家简单的设置方法。

步骤1 检查系统核心

首先检查你的Linux系统的核心是否有支持ACL的功能。因为Linux系统并不是每一个版本的核心都有支持ACL的功能，而最简单的方法就是检查系统目前的核心能否支持：

　　[root@mail /]# cat /boot/config-kernel-version | grep -i ext3

　　CONFIG_EXT3_FS=m

　　CONFIG_EXT3_IDEX=y

　　CONFIG_EXT3_FS_XATTR_SHARING=y

　　CONFIG_EXT3_FS_XATTR_USER=y

　　CONFIG_EXT3_FS_XATTR_TRUSTED=y

　　CONFIG_EXT3_FS_ACL=y

此时如果能看到上面的几项则表示已经编译到核心中,ext3文件系统已支持ACL功能，这些功能在编译核心选项中都可以找到。

步骤2 挂载分区

你可以用下列的方式挂载分区并启用ACL：

#mount -t ext3 -o acl /dev/sda1 /fs1

你也可以直接写在/etc/fstab文件中,这样就可以在开机后支持ACL功能：

#vi /etc/fstab

步骤3 设置ACL权限

ACL常常针对个别用户来进行设置，下面是多个不同的例子：

例如需要创建test1、test2、test3三个用户，可以先用root身份登录系统，然后执行以下命令分别创建三个用户名和密码：

　　[root@mail root]#adduser test1

　　[root@mail root]#adduser test2

　　[root@mail root]#adduser test3

　　[root@mail root]#passwd test1

　　[root@mail root]#passwd test2

　　[root@mail root]#passwd test3

然后mount一个ext3文件到目录/fs1：

[root@mail root]#mount -t ext3 -o acl /dev/sda1 /fs1

再将test1 建立的文件设置读写的权限给test2 ：

[root@mail root]#chmod -R 777 /fs1

让所有的用户都能增加文件到目录的权限。先用test1登录系统，执行命令：

　　[test1@mail test1]# cd /fs1

　　[test1@mail fs1]# echo "Create by test1" > test1.txt

　　[test1@mail fs1]# chmod go-r test1.txt

　　[test1@mail fs1]# ll test1.txt

　　-rw------- 1 test1 test1 17 Jul 14 22:11 test1.txt

而如下操作则可以让除了test1有读写的权限外其他人没有读写test1.txt的权限（root除外），先用test2 登录系统后执行以下命令：

　　[test2@mail test2]# cd /fs1

　　[test2@mail fs1]# cat test1.txt

　　cat : test1.txt Permission denied

接着用test1登录系统，执行如下命令：

[test1@mail fs1]# setfacl -m u:test2:rw test1.txt

这样就修改权限允许test2 有这个文件的读写权限。再看一下它的文件属性的变化：

[test1@mail fs1]# ll

-rw-rw-r--+ 1 test1 test1 10 Feb 16 13:52 test1.txt

会看到后面多了一个“+”，表示这个文件使用ACL的属性设置，再用命令getfacl来看ACL的文件属性设置：

　　[test1@mail fs1]# getfacl test1.txt

　　# file: test1.txt

　　# owner: test1

　　# group: test1

　　user::rw-

　　user:test2:rw-

　　group::rw-

　　mask::rw-

　　other::r--

可以看到 test2 有权限读写这个文件。我们再用test2登录系统执行以下命令，看看发生了什么？

　　[test2@mail test2]# cd /fs1

　　[test2@mail fs1]# cat test1.txt

　　Create by test1

原来test2可以读取test1.txt文件了。

　　[test2@mail fs1]# echo "Modify by test2" >> test1.txt

　　[test2@mail fs1]# cat test1.txt

　　Create by test1

　　Modify by test2

现在test2也可以修改test1.txt文件了。接着用test3 登录系统：

　　[test3@mail test3]# cd /fs1

　　[test3@mail fs1]# cat test1.txt

　　cat : test1.txt Permission denied

嘿嘿，除了test1、test2外没有其他用户有读写test1.txt的权限（root 除外）。

看着虽然有点晕，其实命令就是这么一两条，主要是把各种情况给大家讲清楚，这样，大家在使用Linux中才会发现，比起脆弱的Windows的权限防护，Linux实在是做得相当不错！

谈谈针对Linux的病毒起源发展及分类

作者：lvvl　来源：赛迪网安全社区　

1996年的Staog是Linux系统下的第一个病毒，它出自澳大利亚一个叫VLAD的组织(Windows 95下的第一个病毒程序Boza也系该组织所为)。Staog病毒是用汇编语言编写，专门感染二进制文件，并通过三种方式去尝试得到root权限。 Staog病毒并不会对系统有什么实质性的损坏。它应该算是一个演示版。它向世人揭示了Linux可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是Bliss病毒，它是一个不小心被释放出来的实验性病毒。与其它病毒不同的是，Bliss本身带有免疫程序，只要在运行该程序时加上 “disinfect-files-please”选项，即可恢复系统。

如果说刚开始时Linux病毒向人们展示的仅仅是一个概念，那么，在2001年发现的Ramen病毒，则已经开始引起很多人的担心。Ramen病毒可以自动传播，无需人工干预，所以和1988年曾使人们大受其苦的 Morris蠕虫非常相似。它只感染Red Hat 6.2和7.0版使用匿名FTP服务的服务器，它通过两个普通的漏洞RPC.statd和wu-FTP感染系统。

表面看来，这不是一个危险的病毒。它很容易被发现，且不会对服务器做出任何有破坏性的事情。但是当它开始扫描时，将消耗大量的网络带宽。

从1996年至今，新的Linux病毒屈指可数，这说明Linux是一个健壮的具有先天病毒免疫能力的操作系统。当然，出现这种情况，除了其自身设计优秀外，还有其它的原因。

首先，Linux早期的使用者一般都是专业人士，就算是今天，虽然其使用者激增，但典型的使用者仍为那些有着很好的电脑背景且愿意帮助他人的人，Linux 高手更倾向于鼓励新手支持这样一种文化精神。正因为如此，Linux使用群中一种倾向就是以安全的经验尽量避免感染病毒。其次，年轻，也是Linux很少受到病毒攻击的原因之一。事实上，所有的操作系统(包括DOS和Windows)在其产生之初，也很少受到各种病毒的侵扰.

然而，2001年3月，美国SANS学院的全球事故分析中心(Global Incident Analysis Center——GIAC)发现，一种新的针对使用Linux系统的计算机的蠕虫病毒正通过互联网迅速蔓延，它将有可能对用户的电脑系统造成严重破坏。这种蠕虫病毒被命名为“狮子”病毒，与Ramen蠕虫病毒非常相似。但是，这种病毒的危险性更大，“狮子”病毒能通过电子邮件把一些密码和配置文件发送到一个位于china.com的域名上。Dartmouth学院安全技术研究所工程师威廉·斯蒂恩斯说：“攻击者在把这些文件发回去之后就可以通过第一次突破时的缺口再次进入整个系统。这就是它与Ramen蠕虫病毒的不同之处。事实上，Ramen病毒是一种比较友善的病毒，它在侵入系统后会自动关闭其中的漏洞，而这个病毒却让那些漏洞敞开并开辟新的漏洞。以至于如果你的系统感染了这个病毒，我们不能百分之百确信这个系统有挽救的价值，更加合理的选择很有可能是转移你的数据并且重新格式化硬盘。”

一旦计算机被彻底感染，“狮子”病毒就会强迫电脑开始在互联网上搜寻别的受害者。不过，感染“狮子”病毒的系统少于感染Ramen病毒的系统，但是它所造成的损失却比后者大得多。

随着Klez病毒在Linux平台上的传染，防毒软件厂商开始提醒我们微软的操作系统不再是唯一易受病毒攻击的操作系统了。即使Linux和其他一些主流 UNIX平台的用户可能不是微软捆绑应用软件的大用户，不可能通过这些软件造成病毒的泛滥，Linux和UNIX仍然有它们自身并不引人注目的脆弱点。除了Klez以外，其他Linux/UNIX平台的主要威胁有：Lion.worm、OSF.8759病毒、Slapper、Scalper、 Linux.Svat和BoxPoison病毒，这些都很少被提及。

病毒的制造者是一些精通编写代码的黑客，他们远比那些胡乱涂改网站却对编写病毒知之甚少的黑客要危险。一个被黑掉的网站可以很快修好，而病毒却更加隐蔽，会带来潜在的安全隐患，它会一直潜伏，直到给系统带来不可挽回的损害。

另外，越多的Linux系统连接到局域网和广域网，就会有越多受攻击的可能，这是因为很多Linux病毒正在快速地扩散着。使用WINE的 Linux/UNIX系统特别容易受到病毒的攻击。WINE是一个公开源代码的兼容软件包，能让Linux平台运行Windows应用软件。 WINE系统特别容易遭受病毒的攻击，因为它们会使无论是对Linux的还是对 Windows的病毒、蠕虫和木马都能对系统产生威胁。

Linux平台下的病毒分类

可执行文件型病毒：可执行文件型病毒是指能够寄生在文件中的，以文件为主要感染对象的病毒。病毒制造者们无论使用什么武器，汇编或者C，要感染ELF文件都是轻而易举的事情。这方面的病毒如Lindose，当其发现一个ELF文件时，它将检查被感染的机器类型是否为Intel 80386，如果是，则查找该文件中是否有一部分的大小大于 2,784字节(或十六进制AEO)，如果满足这些条件，病毒将用自身代码覆盖它并添加宿主文件的相应部分的代码，同时将宿主文件的入口点指向病毒代码部分。一个名为Alexander Bartolich的学生发表了一篇名为《如何编写一个Linux的病毒》的文章，详细描述了如何制作一个感染在Linux/i386的ELF可执行文件的寄生文件病毒。有了这样具启发性的、在网上发布的文档，基于Linux的病毒数量只会增长的更快，特别是自Linux的应用越来越广泛之后。

蠕虫(worm)病毒：1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。” (worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。在Linux平台下，蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen，lion，Slapper……这些臭名远播的家伙每一个都感染了大量的 Linux系统，造成了巨大的损失。它们就是开放原代码世界的nimda，红色代码。在未来，这种蠕虫病毒仍然会愈演愈烈，Linux系统应用越广泛，蠕虫的传播程度和破坏能力也会随之增加。

脚本病毒：目前出现比较多的是使用shell脚本语言编写的病毒。此类病毒编写较为简单，但是破坏力同样惊人。我们知道，Linux系统中有许多的以.sh结尾的脚本文件，而一个短短十数行的shell脚本就可以在短时间内遍历整个硬盘中的所有脚本文件，进行感染。因此病毒制造者不需要具有很高深的知识，就可以轻易编写出这样的病毒，对系统进行破坏，其破坏性可以是删除文件，破坏系统正常运行，甚至下载一个木马到系统中等等。

后门程序：在广义的病毒定义概念中，后门也已经纳入了病毒的范畴。活跃在Windows系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系统超级用户账号的简单后门，到利用系统服务加载，共享库文件注射，rootkit工具包，甚至可装载内核模块(LKM)，Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除。是Linux系统管理员极为头疼的问题。

病毒、蠕虫和木马基本上意味着自动化的黑客行为，也许被病毒攻击比被黑客攻击更可能发生。直接的黑客攻击目标一般是服务器，而病毒是等机会的麻烦制造者。如果你的网络包含了Linux系统，特别危险的是服务器，不要在作出反应之前等待寻找Linux病毒、蠕虫和木马是否存在。做一些调查然后选择一个适合你系统的防毒产品，它们能帮你防止病毒的传播。至于Linux平台病毒在未来的发展，一切皆有可能。Windows下的病毒发展史，也有可能在Linux上重演，这取决于Linux的发展。