[摘 要] Linux系统使用越来越广泛,关系Linux的安全越来越受到人们的重视,本文结合笔者在Linux系统安全管理方面的一些经验体会,从账户、密码策略、文件权限,日志管理、远程访问等5个方面,对linux系统安全谈谈自己的体会,供大家参考。
一、引言
随着Internet/Intranet网络的日益普及,Linux作为一个现代的操作系统,正在各个方面得到广泛的应用。Linux在服务器、嵌入式等方面已经取得不俗的成绩,在桌面系统方面,也逐渐受到欢迎。于是Linux的安全问题也逐渐受到人们的重视。
Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux系统,或者盗取Linux系统上的重要信息。因此,详细分析Linux系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。针对Linux的基本安全防护,笔者这里稍做介绍。
二、Linux系统的安全策略
1.Linux系统的用户账号策略
管理员的工作中,相当重要的一环就是管理账号。在管理 Linux 主机的账号时,一个最重要的方面就是确保每一个UID仅仅使用一次。
另外就是设置有限的登陆次数来预防无休止的登陆攻击,通过编辑/etc/pam.d/system-auth,添加下面两句可以设置账户最多连续登陆5次,超过5次账户将被锁定,只有管理员才能帮助解锁。
auth required pam_tally.so deny=5
account required pam_tally.so
2.密码策略要求
(1)口令时效和口令长度的设置。口令时效和口令长度是一种系统机制,用于强制口令在特定的时间长度后失效。对用户来说,这可能带来了一些麻烦,但是它确保了口令会定期进行更改,是一项很好的安全措施。默认情况下,绝大多数的Linux版本并没有打开口令时效,不过要想打开却非常简单。通过编辑/etc/login.defs,你可以指定几个参数,来设置口令实效和口令长度的默认设定:
PASS_MAX_DAYS99999
PASS_MIN_DAYS 0
PASS_MIN_LEN5
PASS_WARN_AGE7
当设置口令时效的天数为99999时,实际上相当于关闭了口令时效。一般设定为90天或者更短时间来更改一次。PASS_MIN_DAYS参数则设定了在本次密码修改后,下次允许更改密码之前所需的最少天数。PASS_MIN_LEN是指密码设置的最小长度,一般定义为8位以上。PASS_WARN_AGE的设定则指明了在口令失效前多少天开始通知用户更改密码(一般在用户刚刚登陆系统时就会收到警告通知)。
(2)控制密码使用频率。控制适度的密码重用频率,也可以为密码的安全策略提供良好的保护,可以通过编辑/etc/pam.d/system-auth设定密码重用。一般设置重用密码前更换密码的最小次数为4次。
password required pam_unix.so remember=3 use_authtok md5 shadow 或者 password sufficient pam_unix.so remember=3 use_authtok md5 shadow。
3.Linux的基本文件权限要求
Linux中每一个文件都具有特定的属性,主要包括文件类型和文件权限两个方面。可以分为5种不同的类型:普通文件、目录文件、链接文件、设备文件和管道文件。所谓的文件权限,是指对文件的访问权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,它允许多个用户同时登录和工作。因此正确的文件权限设定是非常重要的。与系统安全关系较为密切的几个文件目录权限设置要求如下表:
4.Linux日志文件管理
日志对于系统安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。因此,保护系统日志安全,不被内部用户或外部入侵者修改或删除显得尤为重要。
在Linux系统中,有三个主要的日志子系统:
连接时间日志——由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志——由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
Linux的日志文件很多,但是/var/log/wtmp,/var/log/messages,/var/log/faillog(权限设置为600) ,/var/log/secure (如果是Debian,/var/log/auth.log将代替它)最好是存在的。
如果服务器支持很多的用户的话,这些日志文件的大小会很快地增加,在服务器硬盘不是非常充足的情况下,必须采取措施限制日志文件的大小,定期做好日志备份和清除是非常重要的。
5.Linux的远程登录:使用OPENSSH代替FTP和Telnet
我们通常使用的网络传输程序FTP和Telnet等在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,黑客利用嗅探器非常容易截 获这些口令和数据。SSH的英文全称是Secure SHell。通过使用SSH,用户可以把所有传输的数据进行加密,这样即使网络中的黑客能够劫持用户所传输的数据,如果不能解密的话,也不能对数据传输构成真正的威胁。另外,传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP提供一个安全的“传输通道”。在不安全的网路通信环境中,它提供了很强的验证机制与非常安全的通信环境。SSH(Secure Shell)最初由芬兰的一家公司开发,但由于受版权和加密算法的限制,很多人转而使用免费的替代软件OpenSSH。命令行使用OPENSSH比较麻烦。这里介绍gFTP和OPENSSH整合在一齐,提供一个图形化加密传输方案。gFTP和Windows下的 CuteFTP一样使用非常简单,而且几乎所有的Linux发行版本都带有gFTP,不需要安装就可以使用本论文由无忧论文网整理提供 。Windows下支持SSH的客户端软件不少,推荐使用Putty和Filezilla。
目前很多公司企业对信息安全问题日益重视,完善的信息安全控制架构,先进的管理和技术的结合,才能真正满足公司企业的需要。
参考文献:
[1]王一川 Linux黑客大曝光:Linux安全机密与解决方案[M].清华大学出版社,2002~10~1
[2]汪 辉等:Linux安全最大化(第二版)[M].电子工业出版社, 2002~1~1
[3]前导工作室 Linux安全:入侵防范、检测、恢复[M].机械工业出版社,2002~1~1
本论文由无忧论文网整理提供
课题名称:基于Linux系统的Web服务器的安装与配置
姓 名: 班 级:
完成时间: 指导老师:
内容安排:
首先对WEB服务器的可行性进行研究,然后对主机的硬件和软件进行需求分析,在此基础上进行概要设计和详细设计。接下来对软件框架的各组成部分的实现分章进行详细的描述,最后总结实现一些关键的解决方法和改进的几个思路。
1、 绪论
简单介绍了一下架设WEB网站的意义, WEB服务器的工作原理, 企业背景介绍,并简要介绍了论文的内容要求。
2、 Web服务器的基础知识
对什么是WEB服务、服务器软件Apache、脚本语言PHP、HTTP协议作了详细的介绍。
3、 Web服务器的设计过程
根据可行性的研究,对整个系统的软件和硬件需求进行分析。对软硬件进行架构设计,描述如何实现,包括基础理论分析,设计思路和设计方法,并对具体的设计步骤进行了重点理论解析。
4、 WEB服务器的建立
对系统的运行进行安装,了解Apache的体系结构及性能、PHP脚本配置环境,用Apache进行设置虚拟主机,实现基于IP地址虚拟主机服务,先规划IP地址:为虚拟主机申请新的IP地址,让ISP做好相应的域名解析工作,为网卡设置IP别名,重新设置“/etc/httpd/conf/httpd.conf”文件,建立相应的目录,将主页的内容放到相应的目录中去就行了,再配置一下PHP语言脚本环境。测试一下能否实现的可行性。
5、问题和改进
实现中可能遇到的问题及解决方法,服务器改进的方向。
6、作简要的总结。
论文的技术路线及预期目标:
技术路线:在Linux平台下配置一个WEB服务器环境,使网站正常运行,首先需要在一台PC机上创建一个Linux平台,由于我们绝大部分PC用的是Windows的操作系统,对此,我们可采用虚拟机VMware Workstation在Windows系统下虚拟一个Linux平台,然后运用与Linux兼容性良好的Apache服务软件、PHP语言脚本配置环境,基于Linux操作系统,架设一个稳定、安全、高效的WEB服务器环境,可支持运行以PHP或者HTML为基础的网页,要求正确安装好操作系统Linux WEB服务器软件Apache、脚本语言PHP,了解有关参数,同时合理设置,使得服务器环境简易高效。
预期目标:在Linux环境下运用兼容性良好的Apache服务软件实现一个Web服务器,在局域网内,将此服务器程序在一台计算机上运行,使网内其它计算机访问这台服务器时,实现HTTP协议的传输,并能解析以PHP或者HTML为基础的网页。
课题进度计划:
完成课题所需条件及落实措施:
所需条件:计算机一台、CentOS 5.2版本的Linux操作系统、虚拟机软件VMware Workstation及各种相关软件,有关Linux操作系统方面的资料(书籍、网络资料)。
落实措施:在计算机上先安装虚拟机软件VMware Workstation,采用虚拟机VMware在Windows系统下虚拟一个Linux平台,然后运用与Linux兼容性良好的Apache服务软件,PHP语言脚本配置环境。
参考文献、资料:
[1] Red Hat Linux大全,David Pitls编著,姚彦忠 译,机械工业出版社,1999年1月出版
[2] Linux服务器性能调整,(美)约翰逊,(美)威曾格,(美)普拉瓦提 著,韩智文 译,清华大学出版社,2009年9月出版
[3] Linux服务器架设,杨鹏编著,清华大学出版社,2008年出版
[4] Linux网络服务器应用教程,王兴主编,中国铁道出版社,2009年9月出版
计算机操作系统的基本功能及应用论文
在平时的学习、工作中,大家都接触过论文吧,论文是讨论某种问题或研究某种问题的文章。那么问题来了,到底应如何写一篇优秀的论文呢?以下是我收集整理的计算机操作系统的基本功能及应用论文,仅供参考,希望能够帮助到大家。
一、绪言
现代计算机系统,无论是哪一类型的计算机,都毫不例外地配置有操作系统。由此可见,操作系统好比是计算机系统的灵魂,机算机系统不能缺少操作系统,而且操作系统的性能,在很大程度上决定了计算机系统的性能。用户要想快速高效地使用计算机操作系统,就必须对操作系统有一定的认识和了解,只有正确地掌握了操作系统的功能和特性,才能充分利用操作系统的性能和优势为社会服务。本文以Windows操作系统为例对其概念、作用和特征以及功能应用作一个阐述。
二、操作系统的概念及作用和特征
在计算机系统中,为了使系统的各种资源能协调、高效地工作,使所有资源最大限度地发挥作用,就必须有一个管理者来进行统一的调度和管理,这个管理者就是操作系统。它是紧挨硬件的第一层软件,是对硬件功能的首次扩充,统一管理和支持各种软件的运行,其它软件是建立在操作系统之上的。
操作系统的作用有以下两方面:
1、管理系统中的各种资源:计算机系统的资源包括硬件资源和软件资源。其中,所有的硬部件(包括CPU、存储器、输入和输出设备等)通称为硬件资源,而各类程序和用户文件称为软件资源。操作系统用来负责在各个程序之间分配和调度资源,使系统中的各种资源得以有效地利用。
2、为用户提供服务功能和友好界面:操作系统的用户界面也称为用户接口或人机界面,是实现计算机系统和用户之间的通信功能的。其界面有两种:一种是以命令行方式出现的界面(如MS-DOS),方便高级用户的使用,是通过键盘及命令行操作来进行的;另一种是以图形和窗口方式出现的界面(如Windows窗口),方便普通用户的使用,它以图形菜单、任务栏、桌面图标等界面出现,是通过键盘和鼠标的交替操作来进行的`。
操作系统的特征有以下三方面:
1、并发性:在中可以在同一时段内相继打开和运行两个及以上的程序,并可以相互交替和穿插着进行操作。
2、共享性:在操作系统中,其系统资源可以被多个在同一时段内相继打开和运行的程序共同使用,而并非被某个程序独占。
3、异步性:异步性又称随机性。在多个程序环境中,允许多个进程并发执行,并发活动会导致随机事件发生。如程序执行的速度不可预测;系统作业的类型和时间是随机的;程序运行出错或异常的时间是随机的等。操作系统就必须妥善处理好每个随机事件,以确保计算机系统的正常运行。
三、操作系统的功能和应用
操作系统提供了五种基本功能:进程管理、存储管理、文件管理、设备管理和作业管理。现将功能特性和应用作如下阐述:
1、进程管理:进程管理的主要任务是对CPU的时间进行合理分配,并对CPU的运行实施有效管理,充分发挥其效能。为提高CPU的利用率,操作系统允许同时加载多个程序到内存,为描述多个程序的并发执行,系统引入了进程概念。所谓进程,就是程序的一次执行过程,它是系统进行资源调配的单位。进程具有生命周期,当一个程序被加载到内存,系统就创建了一个进程,程序执行结束,其进程也就相应结束。在Windows XP环境下,用户可以通过在任务栏单击鼠标右键,在弹出菜单中选择“任务管理器”(或同时按Ctrl+Alt+Del键)将其打开,并能看到被打开程序的任务和进程情况。
2、存储管理:存储管理主要管理内存资源,内存是CPU可以直接访问的存储器。一个进程要被CPU执行,必须先将其程序装入内存。内存的特点是存取速度快,但大小不能满足实际需要。为解决此问题,系统采用了“虚拟内存”技术,即把部分外存空间 “模拟”为内存,为用户提供比实际内存大的虚拟存储空间。在进程运行过程中,当前使用部分保留在内存,其它暂不使用部分放在外存,系统根据需要负责内外存数据的交换。虚拟内存文件在系统安装时就被建立,其默认大小为实际内存的1.5倍。用户可根据需要进行调整,方法是:用鼠标右击“我的电脑”,在弹出菜单上选择“属性”,打开系统属性对话框,选择“高级”选项,在性能框内点“设置”按钮,打开性能选项对话框,再选择“高级”选项,在虚拟内存框内点“更改”按钮,用户便可在打开的虚拟内存对话框中根据情况来改变其大小。
3、文件管理:系统信息资源是以文件形式存放在外存储器上的。其中包括安装程序所建立的文件和用户创建的文档,每个文件都是由文件主名和扩展名组成的一组信息的集合。文件主名由用户命名,一般与文件内容和用途相符。扩展名由系统自动命名,它代表文件的类型,如扩展名为.doc表示Word文档,.xls表示Excel工作表等。文件主名可以修改,但扩展名不能修改,否则系统将不能识别。文件还有三类属性:即只读、隐藏和存档。被设置为只读的文件只能读取信息,不能进行修改;被设置为隐藏的文件在窗口中不显示,但可以通过工具栏“文件夹选项”来选择显示(显示为浅色);新创建的文件都有存档属性,当用“系统工具”的“备份”对其备份后其存档属性就会消失。另外文件可以进行操作,但不同文件其操作是不同的,如对文档文件可以进行编辑,对可执行文件可以执行程序。而所有文件还具有它的通性,即可以对它进行通用操作,包括对文件的查找、打开、建立、复制、剪切、删除、移动、以及更改属性和重命名等。在Windows XP环境下,通过资源管理器可实现对文件的通用操作。方法是:用鼠标右击“开始”菜单在弹出菜单上选择“资源管理器”即可将其打开。在资源管理器中系统的各种文件资源呈树形目录结构。可用鼠标点击其左边的文件夹进行浏览和操作。
4、设备管理:设备管理就是对系统中所有输入/输出设备进行有效的管理。为了提高设备的使用效率和整个系统的运行速度,操作系统采用中断、通道、缓冲和虚拟设备等技术,最大限度地发挥外部设备和主机并行工作的能力。用户使用设备管理提供的界面,可方便灵活地使用外部设备。在Windows XP环境下,打开设备管理器的方法是:用鼠标右击“我的电脑”在弹出菜单上选择“管理”打开计算机管理对话框,在其左边的菜单目录中选择“设备管理器”即可将其打开。
5、作业管理:作业管理的任务主要包括两个方面:其一,是通过作业控制语言或操作控制命令向用户提供实现作业控制手段。其二,是按一定的策略实现作业调度,为用户提供一个使用系统的良好环境,有效地组织其工作流程,使整个系统高效地运行。
四、结束语
现代操作系统除上述五大基本功能外,还具有系统安全和网络通信功能,即能够提供系统安全机制和网络通信、网络服务、网络接口和网络资源管理等功能。但无论怎样,操作系统的目标却只有一个,即必须实现对计算机系统软硬件资源的合理管理,并向用户提供一个快速、高效和安全的操作环境。