1、Linux 操作系统 共 9 页第 1 页LINUX 在企业中的应用(【摘 要】随着科技的不断发展和社会的不断进步,电脑应用的越来越普遍,其中的操作系统成为了重中之重,尤其是 Linux 操作系统使用越来越广泛,关系Linux 的安全越来越受到人们的重视,本文结合笔者在 Linux 选修课上的一些收获和感悟,从 Linux 操作系统的由来,现状,特点,安全及策略分析账户、密码、文件权限,日志管理、远程访问,等多个 Linux 应用方面,和对 linux操作系统浅谈一下它发展前景,商业价值方面自己的体会。一Linux 操作系统的由来和现状 Linux 是一个开放式系统,它是一套免费使用和自由传播
2、的类Unix 操作系统,它主要用于基于 Intel x86 系列 CPU 的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的 Unix 兼容产品。针对 Linux 的基本安全防护,这里稍做介绍:Linux 作为最早开发的操作系统之一越来越受到大家的欢迎,国际上有名的硬、软件厂商都与之结盟、捆绑。这是因为它作为自由软件有两个特点:一是它免费提供源码,二是爱好者可以按照自己的需要自由修改、复制和发布程序的源码,并公布在 Internet 上。这就吸引了世界各地的操作系统高手为 Linux 编写各种各样的驱动程序和应用软
3、件,使得 Linux 成为一种不仅只是一个内核,而且包括系统管理工具、完整的开发环境和开发工具、应用软件在内,用户很容易获得的操作系统。 由于可以得到 Linux 的源码,所以操作系统的内部逻辑可Linux 操作系统 共 9 页第 2 页见,这样就可以准确地查明故障原因,及时采取相应对策。在必要的情况下,用户可以及时地为 Linux 打 “补丁” ,这是其它操作系统所没有的优势。第二,究其根本,Linux 是一个 UNIX 系统变种,因此也就具有了 Unix 系统的一系列优良特性,Unix 上的应用可以很方便地移植到 Linux 平台上,这使得 Unix 用户很容易掌握Linux。二Linux
4、 的主要特色 早期 UNIX 的主要特色是结构简炼、便于移植和功能相对强大,经过多来年的发展和进化,形成了一些极为重要并稳定的特色,其中主要包括: 1. 技术成熟,可靠性高 经过 30 来年开放式道路的发展,UNIX 的一些基本技术已变得十分成熟,有的已成为各类操作系统的常用技术。实践表明,UNIX是能达到大型主机(mainframe)可靠性要求的少数操作系统之一。目前许多 UNIX 大型主机和服务器在国外的大型企业中每天 24 小时,每年 365 天不间断地运行。例如,不少大企业或政府部门,即所谓肩负关键使命的场合/部门将其整个企业/部门信息系统建立并运行在以 UNIX 为主服务器的 Cli
5、ent/Server 结构上。但到目前为止,世界上还没有一家大型企业将其重要的信息系统完全建立在 NT 上。 2. 极强的可伸缩性 UNIX 系统是世界上唯一能在笔记本电脑、PC、工作站,直至巨Linux 操作系统 共 9 页第 3 页型机上运行的操作系统,而且能在所有主要 CPU 芯片搭建的体系结构上运行(包括 Intel/AMD 及 HP-PA、MIPS、PowerPC、UltraSPARC、ALPHA 等 RISC 芯片) 。至今为止,世界上没有第二个操作系统能达到这一点。此外,由于 UNIX 系统能很好地支持 SMP、MPP 和 Cluster 等技术,使其可伸缩性又有了很大的增强。目
6、前,商品化 UNIX 系统能支持的 SMP,CPU 数已达到几百甚至更多个,MPP 系统中的节点甚至已超过 1024 个 UNIX 支持的异种平台 Cluster 技术也已投入使用。UNIX 的伸缩性远远超过了 NT操作系统目前所能达到的水平 3. 网络功能强 网络功能是 UNIX 系统的一又一重要特色,作为 Internet 网技术和异种机连接重要手段的 TCP/IP 协议就是在 UNIX 上开发和发展起来的。TCP/IP 是所有 UNIX 系统不可分割的组成部分。因此,UNIX 服务器在 Internet 服务器中占 80以上,占绝对优势。此外,UNIX 还支持所有常用的网络通信协议,包括
7、NFS、DCE、IPX/SPX、SLIP、PPP 等,使得 UNIX 系统能方便地与已有的主机系统,以及各种广域网和局域网相连接,这也是 UNIX 具有出色的互操作性的根本原因。 4. 强大的数据库支持能力 由于 UNIX 具有强大的支持数据库的能力和良好的开发环境,因此多年来,所有主要数据库厂商,包括Linux 操作系统 共 9 页第 4 页Oracle、Informix、Sybase、Progress 等,都把 UNIX 作为主要的数据库开发和运行平台,并创造出一个又一个性价比的新记录。UNIX 服务器正在成为大型企业数据中心替代大型主机的主要平台。 5. 开发功能强 UNIX 系统从一开
8、始就为软件开发人员提供了丰富的开发工具。成为工程工作站的首选和主要的操作系统和开发环境。可以说,工程工作站的出现和成长与 UNIX 是分不开的。至今为止,UNIX 工作站仍是软件开发厂商和工程研究设计部门的主要工作平台。有重大意义的软件新技术的出现几乎都在 UNIX 上,如TCP/IP、WWW、OODBMS 等。 6. 开放性好 开放性是 UNIX 最重要的本质特性。开放系统概念的形成与UNIX 是密不可分的。UNIX 是开放系统的先驱和代表。由于开放系统深入人心,几乎所厂商都宣称自己的产品是开放系统,确实每一种系统都能满足某种开放的特性,如可移植性、可兼容性、可伸缩性、互操作性等。但所有这些
9、系统与开放系统的本质特征不受某些厂商的垄断和控制相去甚远,只有 UNIX 完全符合这一条件。 7. 标准化 过去,Unix 界被分析家和用户批判,因为没有为所有 Unix 操作系统提供统一的标准。其实,到目前为止,国际标准化组织(ISO) 、工业团体恰恰是以 UNIX 基础制订了一系列标准化,如 ISO/IEC 的Linux 操作系统 共 9 页第 5 页POSIX 标准、IEEE POSIX 标准、X/Open 组织的 XPG3/4 工业标准以及后来的 Spec 1170(因为它包含了 1170 个应用编程接口,后来改名为 UNIX95)标准。不少人对标准及标准化组织的作用及职权产生了误解。
10、事实上,当标准化组织企图驾驭互相竞争的力量,和企图为用户规定他们的要求时是注定要失败的。比方说,标准只能用于给出道路的规则,而不应用于制造汽车。如果厂家被强迫完全遵从单一的标准,而不允许他们产品有特色,则用户将受害,Unix 将变成象任何单一厂家的产品一样,没有任何特色。三Linux 系统的安全及策略1.Linux 系统的用户账号策略 在管理 Linux 主机的账号时,一个最重要的方面就是确保每一个 UID 仅仅使用一次。 另外就是设置有限的登陆次数来预防无休止的登陆攻击,通过编辑/etc/pam.d/system-auth,添加下面两句可以设置账户最多连续登陆 5 次,超过 5 次账户将被锁
11、定,只有管理员才能帮助解锁。 auth required pam_tally.so deny=5 account required pam_tally.so 2.密码策略要求 (1)口令时效和口令长度的设置。口令时效和口令长度是一种系统机制,用于强制口令在特定的时间长度后失效。对用户来说,这可能带来了一些麻烦,但是它确保了口令会定期进行更改,是一Linux 操作系统 共 9 页第 6 页项很好的安全措施。默认情况下,绝大多数的 Linux 版本并没有打开口令时效,不过要想打开却非常简单。通过编辑/etc/login.defs,你可以指定几个参数,来设置口令实效和口令长度的默认设定: PASS_
12、MAX_DAYS99999 PASS_MIN_DAYS 0 PASS_MIN_LEN5 PASS_WARN_AGE7 当设置口令时效的天数为 99999 时,实际上相当于关闭了口令时效。一般设定为 90 天或者更短时间来更改一次。PASS_MIN_DAYS参数则设定了在本次密码修改后,下次允许更改密码之前所需的最少天数。PASS_MIN_LEN 是指密码设置的最小长度,一般定义为 8 位以上。PASS_WARN_AGE 的设定则指明了在口令失效前多少天开始通知用户更改密码(一般在用户刚刚登陆系统时就会收到警告通知)。(2)控制密码使用频率。控制适度的密码重用频率,也可以为密码的安全策略提供良好
13、的保护,可以通过编辑/etc/pam.d/system-auth 设定密码重用。一般设置重用密码前更换密码的最小次数为 4次。 Linux 操作系统 共 9 页第 7 页password required pam_unix.so remember=3 use_authtok md5 shadow 或者 password sufficient pam_unix.so remember=3 use_authtok md5 shadow。 3.Linux 的基本文件权限要求 Linux 中每一个文件都具有特定的属性,主要包括文件类型和文件权限两个方面。可以分为 5 种不同的类型:普通文件、目录文件、
14、链接文件、设备文件和管道文件。所谓的文件权限,是指对文件的访问权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,它允许多个用户同时登录和工作。因此正确的文件权限设定是非常重要的。 4.Linux 日志文件管理 日志对于系统安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。因此,保护系统日志安全,不被内部用户或外部入侵者修改或删除显得尤为重要。 在 Linux 系统中,有三个主要的日志子系统: 连接时间日志由多个程序执行,把纪录写入到/var/log/wtmp 和/var/run/utmp,login
15、 等程序更新 wtmp 和 utmp文件,使系统管理员能够跟踪谁在何时登录到系统。 Linux 操作系统 共 9 页第 8 页进程统计由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct 或 acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。 错误日志由 syslogd(8)执行。各种系统守护进程、用户程序和内核通过 syslog(3)向文件/var/log/messages 报告值得注意的事件。另外有许多 UNIX 程序创建日志。像 HTTP 和 FTP 这样提供网络服务的服务器也保持详细的日志。 Linux 的日志文件很多,但是/var/log/
16、wtmp,/var/log/messages,/var/log/faillog(权限设置为 600) ,/var/log/secure (如果是Debian,/var/log/auth.log 将代替它)最好是存在的。 如果服务器支持很多的用户的话,这些日志文件的大小会很快地增加,在服务器硬盘不是非常充足的情况下,必须采取措施限制日志文件的大小,定期做好日志备份和清除是非常重要的。 5.Linux 的远程登录:使用 OPENSSH 代替 FTP 和 Telnet 我们通常使用的网络传输程序 FTP 和 Telnet 等在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,黑客利用嗅探器非
17、常容易截 获这些口令和数据。SSH 的英文全称是 Secure SHell。通过使用 SSH,用户可以把所有传输的数据进行加密,这样即使网络中的黑客能够劫持用户所传输的数据,如果不能解密的话,也不能对数据传输构成真正的威胁。另外,传输的数据是经过压缩Linux 操作系统 共 9 页第 9 页的,所以可以加快传输的速度。SSH 有很多功能,它既可以代替Telnet,又可以为 FTP 提供一个安全的“传输通道”。在不安全的网路通信环境中,它提供了很强的验证机制与非常安全的通信环境。SSH(Secure Shell)最初由芬兰的一家公司开发,但由于受版权和加密算法的限制,很多人转而使用免费的替代软件
18、 OpenSSH。命令行使用 OPENSSH 比较麻烦。这里介绍 gFTP 和 OPENSSH 整合在一齐,提供一个图形化加密传输方案。gFTP 和 Windows 下的 CuteFTP 一样使用非常简单,而且几乎所有的 Linux 发行版本都带有 gFTP,不需要安装就可以使用本论文由无忧论文网整理提供 。Windows 下支持SSH 的客户端软件不少,推荐使用 Putty 和 Filezilla。 目前很多公司企业对信息安全问题日益重视,完善的信息安全控制架构,先进的管理和技术的结合,才能真正满足公司企业的需要。Linux 存在的缺点以及发展前景和商业价值软件 Linux 是绝对的热点、焦
19、点。Linux 正以咄咄逼人之势与Windows 展开了激烈的竞争,新的竞争格局已经形成。UNIX 平台和Windows 平台占据了 98.3的市场份额,而 Linux 平台软件销售额仅有 0.5 亿元,仅占 0.7的市场份额。尽管如此,由于 Linux 平台软件开放、稳定的特征,其出货量增长迅速,大大改变了在平台软件市场 UNIX、Windows NT 一统天下的局面,形成了新的系统平台竞争格局。另一方面是众多厂商的涉足也使得本不平静的市场掀起Linux 操作系统 共 9 页第 10 页了更多的涟漪。目前已经在国内市场占有一席之地的主要有中科红旗、拓林思、冲浪平台、中软和博利思等企业。由于 Linux 根植于 IT 产业,信息产业占据着最大的市场份额达到了 41%。其次,是钟情于 Linux 安全、稳定的金融业,它的市场占有率达到 19%。由于一些大型行业用户开始尝试使用 Linux,因此大型制造业的市场占有率也比较高,为 11%,其次是教育和服务业。【参考文献】: 1王一川 Linux 黑客大曝光:Linux 安全机密与解决方案M.清华大学出版社,2002101 2汪 辉等:Linux 安全最大化(第二版)M.电子工业出版社, 200211 3前导工作室 Linux 安全:入侵防范、检测、恢复M.机械工业出版社,200211
