淺析LINUX系統(tǒng)服務器的安全問題

1、淺析LINUX系統(tǒng)服務器的安全問題摘要： 隨著Internet應用的廣泛深入，計算機系統(tǒng)的安全問題日益引起人們的高度重視。操作系統(tǒng)是連接計算機硬件與上層軟件及用戶的橋梁，它的安全性是至關重要的。論文闡述了B2級安全服務器的系統(tǒng)需求，重點對自主訪問服務器系統(tǒng)需求和功能描述進行說明,最后還就LINUX系統(tǒng)服務器的安全相關問題進行重點分析，有利于提高LINUX服務器安全性能設計水平。關鍵詞：LINUX；自主訪問控制（DAC）；訪問控制鏈表（ACL）；服務器安全1 引言 隨著計算機系統(tǒng)在社會各領域的廣泛應用，大量的數(shù)據(jù)和信息將在計算機系統(tǒng)中存放、傳輸和處理。計算機系統(tǒng)多用戶的應用，使得計算機系統(tǒng)安全成

2、為越來越重要的課題。尤其是在使用計算機系統(tǒng)的政府、國防、金融等信息敏感部門，計算機系統(tǒng)的安全顯得尤為重要。任何計算機系統(tǒng)敏感信息的泄漏都將帶來巨大的損失和災難性的后果。目前，隨著社會信息化的發(fā)展，計算機安全問題也日益嚴重，建立安全防范體系的需求越來越強烈。操作系統(tǒng)是整個計算機信息系統(tǒng)的核心，操作系統(tǒng)安全是整個安全防范體系的基礎。信息安全是涉及國家主權的問題，而操作系統(tǒng)安全又是信息安全的重要內(nèi)容。操作系統(tǒng)安全是計算機系統(tǒng)軟件安全的必要條件。本文主要探討了LINUX系統(tǒng)服務器的安全問題。 2Linux安全服務器的系統(tǒng)需求 此系統(tǒng)開發(fā)符合GB 17859中規(guī)定的結(jié)構化保護級(相當于TCSEC中規(guī)定的

3、B2級)功能要求的安全操作系統(tǒng)，其主要功能要求包括：（1）標識與鑒別；（2）自主訪問控制；（3）強制訪問控制；（4）安全審計；（5）客體重用；（6）最小特權管理；（7）可信路徑；（8）隱蔽通道分析；（9）加密卡支持等等。 首先，通過標識與鑒別機構，認證用戶的身份，登錄進入系統(tǒng)。標識機構用于唯一標識進入系統(tǒng)的每個用戶的身份，鑒別機構用于驗證用戶身份的合法性。一個用戶通過輸入登錄名(Login Name)和口令(Password)進入系統(tǒng)，存取系統(tǒng)的資源。口令必須嚴格地保護，口令的失密可能導致另一個用戶冒名頂替進入系統(tǒng)，訪問口令主人資源。在Linux安全服務器中，限制用戶只能在一定的安全級范圍登錄

4、進入系統(tǒng)。用戶登錄時可選擇安全級，若不選擇，則系統(tǒng)取該用戶的默認安全級；如果用戶選擇的安全級和默認安全線不在規(guī)定的范圍之內(nèi)，則系統(tǒng)拒絕該用戶進入系統(tǒng)。 第二，在操作系統(tǒng)中用戶建立一個進程，這個進程使用用戶的標識和安全級進行存取控制檢查，查看是否可以通過MAC和DAC機構。MAC提供客體在主體間共享的控制。與DAC不同的是，MAC由系統(tǒng)管理員管理，DAC由客體的擁有者管理?？腕w的擁有者可以改變客體的DAC方式，但不能改變客體的MAC方式。TCB根據(jù)安全級來實施MAC。系統(tǒng)中的每個主體和客體都具有一個安全級，主體的安全級在登錄時賦值，客體的安全級為創(chuàng)建它的主體的安全級。安全級由級別(Classif

5、ication)和類別(Category)組成。級別是線性關系，如絕密=機密=秘密；類別是集合的概念，為偏序關系。 安全級格式表示為：級別：類別1，類別2，?，類別n 對每個客體及用戶都分配一個安全級，一個安全級僅包含一個單一的級別，而它的類別集合可能包含任意數(shù)目的類別。我們將一個安全級寫成一個級別與一個類別表，下面是一個例子：secret；NATO，NUCLEAR，CKYPTO 多級安全策略的目的就是防止未被許可的用戶能夠訪問到具有一定密級的信息。在一個安全級中的級別是線性有序的，例如： unclassfiedconfidentialsecrettop secret 類別是彼此獨立的，并且是

6、無序的。為了合法的得到某一信息，用戶的級別必須大于或等于該信息的級別，并且用戶必須具有包括該信息所有訪問類別的類別集合。例如，考慮具有如下安全級的一個文件F：secret；NATO，NUCLEAR 如果一個用戶具有如下的安全級 top secret；NATO，NUCLEAR，CRYPTO 那該用戶就能夠訪問文件F，因為該用戶具有比文件F高的級別，并且它的類別集合包括了該文件的所有類別。而具有如下安全級的用戶就不能訪問該文件： top secret；NATO，CRYPTO 因為它缺少類別NUCLEAR。 第三，由MAC構成的訪問隔離防止普通用戶存取僅系統(tǒng)管理員才能訪問的敏感TCB文件。 第四，進

7、程的特權為用戶提供超越系統(tǒng)存取控制的能力。特權管理的思想是將UNIX超級用戶的特權劃分為一組細粒度的特權。管理員可以靈活地給予某(些)用戶執(zhí)行一系列操作和管理命令的特權，從而減少超級用戶操作和管理系統(tǒng)的安全風險；管理員也可以給予某些文件以它所執(zhí)行操作要求具有的固定特權。 第五，審計機構監(jiān)視和記錄用戶和管理員的敏感操作。審計是系統(tǒng)中對所發(fā)生的事件進行記錄的一種行為，它是安全系統(tǒng)中的一個重要方面。審計為系統(tǒng)進行事故原因的查詢、定位、事故發(fā)生前的預測、報警以及事故發(fā)生之后的實時處理提供詳細、可靠的依據(jù)或支持。 如上所述，TCB通過建立一系列的安全控制來保證系統(tǒng)的安全性。任何用戶都必須通過標識與答別機

8、構(login和passwd)，在系統(tǒng)中建立一個進程。然后，這個進程及其產(chǎn)生的后續(xù)進程只要通過了MAC和DAC檢查，就可以訪問系統(tǒng)中的相應客體。任何企圖超越MAC和DAC的特權任務都必須通過特權機構的檢查。最后，所有敏感操作都是在審計機構的監(jiān)視下完成的。 3 Linux安全服務器的設計和實現(xiàn) 3.1 系統(tǒng)安全體系結(jié)構 這里Linux 級安全服務器將采用FLASK體系結(jié)構和Linux組織提供的LSM(Linux Security Module)動態(tài)加載技術，通過安全相關模塊與系統(tǒng)原有功能的分離，以及實現(xiàn)不同策略的安全模塊的動態(tài)加載，實現(xiàn)對多安全策略的支持。根掘FLASK系統(tǒng)結(jié)構，本系統(tǒng)將分為兩個

9、主要部分： (1) 在原有系統(tǒng)中插入策略執(zhí)行點。策略執(zhí)行點一般在主體對客體進行操作前，如果當前的安全策略允許主體對客體進行該操作，則該操作繼續(xù)進行，一般是調(diào)用原有系統(tǒng)中的相關模塊來完成：如果當前的安全策略不允許主體對客體進行該操作，則該操作被終止，并返回錯誤信息。在策略執(zhí)行點同時對系統(tǒng)操作進行安全審計。策略執(zhí)行點并不直接對是否允許主體對客體的某種操作進行判定，而是通過hook(鉤子)函數(shù)調(diào)用安全服務器中的相關功能來完成策略判定。 (2) 安全服務器。安全服務器是安全系統(tǒng)的核心部分，負責對安全策略的執(zhí)行和判定，同時維護系統(tǒng)和主體客體的安全信息。hook函數(shù)是原有系統(tǒng)與安全服務器之間進行交互的唯一

10、方式。通過動態(tài)更改hook函數(shù)的指向，可以實現(xiàn)對不同安全策略的調(diào)用，實現(xiàn)對多安全策略的支持。通過采用LSM技術，可以實現(xiàn)對安全服務器或其中某個安全策略模塊的動態(tài)加載。 3.2 ACL機構 ACL機構兼容傳統(tǒng)的UNIX保護機構，UNIX文件中權限模式位直接對應為該文件的ACL表的基本項，兩者的保護功能完全相同。可以利用getfac1命令來顯示文件的ACL表：文件擁有者能夠利用setfac1命令在文件的ACL表中增加users(用戶)項或groups(用戶組)項；也可用該命令刪除這些項，也可以刪除基本項：還可用該命令來改變文件ACL表中的某一項的權限。 ACL機構能使客體擁有者以單個用戶為單位進行

11、授權訪問或拒絕訪問控制，從而使系統(tǒng)具有更細的存取控制粒度。所有ACL信息的改變都是以一個基本操作方式(系統(tǒng)調(diào)用)通過setfacl命令來完成的，這就避免了出現(xiàn)中間非安全狀態(tài)的可能性。當ACL表增大時，進程的運行速度必然降低，這實際上也就限制了ACL表項數(shù)不能太大。 為進一步解釋基本ACL，先看看文件初始化ACL表的表項與其模式位的直接對應關系。當一個文件創(chuàng)建時，其權限模式位及其基本ACL表也隨之建立?；続CL具有四項：user、group、other及mask。文件模式中擁有者的權限總與該文件ACL表user項的權限位相同；文件模式中其它用戶的權限位也總與其ACL表中的other項的權限位相

12、同，且兩者在ACL中是唯一的。文件基本ACL表中的group和mask項的權限位在初始化時與文件模式中擁有者的同組用戶的權限位一樣，它們同樣也是唯一的?；続CL表可以通過加入擴展user項和擴展group項來進行擴展。不同用戶組可以在擴展group項中指定相應的權限；擴展user項用于指定各用戶登錄到系統(tǒng)之后對文件所具有的訪問權限。 在文件創(chuàng)建時，該文件擴展ACL項是基于其父目錄的默認ACL項而獲得的。這些目錄文件的默認ACL項用于說明當在目錄下創(chuàng)建文件時，這些默認ACL項將被加入到新創(chuàng)建的文件ACL表中。 3.3 功能描述 自主存取控制(簡稱DAC)是根據(jù)用戶意愿進行信息存取的機制。目前在

13、Linux中存在的DAC機制是傳統(tǒng)的文件權限模式，本次開發(fā)的目的是在系統(tǒng)中加入ACL機制。利用ACL，用戶能夠有選擇地授予其他用戶某些存取權限，來對信息進行保護，防止信息被非法提取。ACL機制在兼容原有的文件權限模式的基礎上，使客體擁有者以單個用戶組為單位進行授權訪問或拒絕訪問控制，從而使系統(tǒng)具有更細致的存取控制粒度，也就是說不是文件屬主或者和文件屬主不在同一個組里的某些用戶可以和其它用戶有區(qū)別，擁有更多的訪問權限。 3.4 DAC部分系統(tǒng)構思 在原有的文件權限模式之上，加入ACL表。使客體擁有者以單個用戶組為單位進行授權訪問或拒絕訪問控制。原始的文件模式提供文件的基本ACL項(原始的文件模式

14、位usergroupother分別對應ACL表中的ACL_USER_OBJACL_GROUP_OBJ (ACL_MASK)ACL_OTHER類型的權限位，ACL表項的類型描述詳見數(shù)據(jù)結(jié)構部分)。目錄客體擁有默認ACL表項，可以繼承給在該目錄中創(chuàng)建的文件和子目錄。 客體擁有自己的ACL表?？腕w屬主和特權用戶可以任意修改客體的ACL表。系統(tǒng)對于ACL表是這樣存放的：每個不同的文件系統(tǒng)都擁有一個ACL表文件，該文件系統(tǒng)中所有ACL信息的文件的ACL信息都存放在該表文件中。每個文件在文件系統(tǒng)中都有唯一的一個I節(jié)點號，根據(jù)該I節(jié)點號和hash值的余數(shù)把該表文件劃分成不同的組。 I節(jié)點區(qū)第一個4個字節(jié)，放

15、的是該組已經(jīng)存放的文件(I節(jié)點)個數(shù)；第二個4個字節(jié)放的是數(shù)掘塊區(qū)的64字節(jié)data block的個數(shù)；第三個4個字節(jié)放的是按I節(jié)點號最小的該組的第一個inode number；第4個4個字節(jié)放的是I節(jié)點號是第三個4個字節(jié)中的值的文件在數(shù)據(jù)塊區(qū)中的偏移量(offset)，該offset以整個ACL表文件為基礎。I節(jié)點區(qū)從第三個4個字節(jié)開始每個在數(shù)據(jù)塊區(qū)中的文件都占8個字節(jié)，前4個是I節(jié)點號，后4個是浚文件的偏移量，并且按照I節(jié)點號從小到大升序排列整齊。 一個文件可能占多于1個data block的字節(jié)數(shù)，無論這個文件占多少字節(jié)，第一個data block的格式都是這樣的：數(shù)據(jù)塊區(qū)的第一個4個字節(jié)，記錄的是該文件一共有多少acl數(shù)據(jù)個數(shù)(ACL項數(shù))，每個acl數(shù)據(jù)一共占4個字節(jié)，1個字節(jié)的標識類型，2個字節(jié)的限定詞，1個字節(jié)的權限集。文件的acl數(shù)據(jù)個數(shù)是根據(jù)用戶來增加或者刪減的，基本ACL是有4個acl項。第二個4個字節(jié)是該文件的I節(jié)點號；第三個4個字節(jié)，是該文件的第一個acl項。 所有寫到磁盤表文件中的文件都至少包含一個不是ACL基本項的項，也就是至少有5個ACL項。主體對客體進行訪問時，在DAC檢查點通過ACL訪問校驗算法來控制。 4 結(jié)語 本文主要對于淺析LINUX系統(tǒng)服務器的安全