构建安全可靠的Linux服务平台(上) （1）

随着电脑技术日新月异的发展和各种各样网络应用的流行，网络操作系统在服务器领域里扮演了非常重要的角色。由于Windows操作系统的广泛应用，以及人们对其内部机制的深入剖析，导致利用其漏洞攻击服务器的黑客软件越来越多。于是，随着对安全问题的日益关注，另一操作系统——Linux出现在人们面前。

Linux秉承Unix高端操作系统的血脉，其安全性、可靠性、高伸缩性的特点与生俱来。再加上Linux独创的源码开放模式，从 1989年其源代码出现在Internet上起，短短十几年间，来自世界各地的开发人员对其进行了不断地修改及完善，如今Linux已经逐渐成长为一个功能强大、可操作性强的网络操作系统。通过构建Linux服务器，可以架设Web服务器、Mail服务器、DNS服务器、DHCP服务器、FTP服务器、代理服务器及NFS服务器等；也可以用Linux作为防火墙接入，充当路由器等各种重要角色；或是开发基于Linux的入侵检测系统（IDS）、语音呼叫系统、桌面应用等。由此可见Linux的强大和重要，尤其是在服务器领域越来越多的应用平台建立在Linux系统架构上。随着应用范围不断扩大，Linux 必将受到来自世界各地黑客们的攻击，其安全性也越发显得重要。

如何保证安全的最大化呢？量体裁衣，有的放矢，取舍得当是关键。现从以下几个方面加以详述。

控制文件的属性和权限

密切关注文件的属性和权限设置是保证主机文件系统完整性的至关紧要的操作。

两种特殊的文件访问权限分别是SUID(八进制为4000)和SGID（八进制为2000）。设置这两种权限的文件，将使其它用户在执行它们时拥有所有者的权限。也就是说，如果一个设置为SUID的程序，即使是普通用户使用也是作为root来运行的。因此，SUID/SGID文件是安全的隐患。

SUID和SGID攻击方式的预防：

1．严格审查系统内的文件权限。可以找出系统内使用SUID/SGID的文件，列出清单保存，做到心中有数。命令如下：

[root#] find / -type f -perm +6000 -ls | less 

[root#] find / -type f -perm +6000 > Suid-Sgid.txt

2．对于一部分程序必须设置为SUID的，可以让它们自成一组，集中管理。但是绝对不允许在用户的家目录下有SUID程序存在。

3．确保重要的SUID脚本不可写。命令如下：

[root#] find / -perm -2 ! -type l -ls

4．对于并非绝对需要被设置成SUID的程序，改变它们的访问权限或者卸载程序。如：

[root#] chmod -s [program]

5．查找系统内所有不属于任何用户和组的文件。因为这些文件很容易被利用来获得入侵主机的权限，造成潜在的威胁。命令如下：

[root#] find / -nouser -o -nogroup