网络安全已经成为当前信息社会所共同面对的重要问题,服务器安全加固作为安全领域中一个不容忽视的重要角色,一直以来都发挥着积极的作用。本文展开对于Linux服务器安全加固问题展开深入的分析,从发展的角度考察其主要的几个加固形态,而后进一步结合具体的实际工作,指出其中的重点问题,从整体上看,对于加强该领域的认知,把握服务器安全加固工作要点有着一定积极意义。
服务器是网络环境中保证安全的重要环节之一,服务器安全加固的重要性也因此不言而喻,其核心思想是在服务器操作系统中引入第三方机制应对外来安全威胁。而针对第三方相关技术的发展进程进行审视,可以发现,服务器的安全加固经历了三个主要形态,即配置加固、合规性加固以及反控制加固。在实际的工作中,这三个主要形态并不会因为新的形态出现而造成旧有形态的消亡,而是会出现多个形态安全加固技术共存,并且相互之间形成配合的整体态势。
在这三个主要加固形态中,配置加固以及合规性加固都是关注网络环境中不同账号以及对应授权工作的,而对于反控制加固技术而言,其加固面对的对象多为一种行为,到了具体的操作层面。这些差异,也决定了三种安全加固形态在操作过程中存在显著差异。
首先,对于配置加固而言,主要是面向针对服务器的操作来进行安全加固,同时也会锁定对应异常账户。诸如限制密码错误登录次数,从而实现有效的对抗密码暴力破解;将系统管理员的权限进行分散,尤其是取消超级管理员的存在,避免安全攻击通过获取超级管理员的权限来实现全面破坏;关闭无用端口,减少攻击入侵的着力点;并且对远程登录者的权限进行限制,尤其是不支持远程登录对于系统进行管理和修改。从总体上看,配置加固的地位略高于静态安全策略,但是不足之处仍然十分突出,例如入侵者在完成入侵之后仍然可以将配置进行恢复,从而让系统无法有效了解到入侵损伤。并且主机IDS的工作方式,主要是面向网络安全配置进行动态监控,这种工作方式虽然相对而言比较主动的发现安全异常情况,但是也会出现误报率偏高的问题发生。如果高精频繁发生,相关工作人员反而会选择忽略。
其次,对于合规定加固而言,其控制的重点在于实现强制性访问控制。对于这一方面,需要对提出数据访问的用户和将要被访问的数据两个方面进行确认,确定访问者的身份和对应的权限,以及被访问的数据的安全等级,并且对二者进行匹配。合规加固需要为用户提供能够实现用户账户与数据文件安全等级管理的平台,通过这个平台来进行访问控制,并且这个平台能够执行广义上的强制访问控制,其中不仅仅包括文件和数据,对于进程、内存等网络资源的调用,同样要经由这个平台来实现。并且在这个框架之下,管理员的分权也必须得到落实,比较常规的操作是设置系统管理员、系统安全员和安全审计员三个身份,来从不同层面上实现网络的安全管理。
上述两种安全加固虽然存在不足之处,但是这一类安全加固仍然有着一定的市场,可以说是安全加固工作的根基,因此仍然不能放弃。在实际操作中,首先需要确定系统中的账号需要。通常大部分操作系统都只有一个 root 账号,少部分操作系统会存在多个账号,而依据合规性加固的思路,可以设定超级管理员、配置员和审计员三种类型的用户,并且对超级管理员角色慎重保存。用户信息在 Linux 系统中存储于 /etc/passwd 文件中,该文件中的每一行即为一个用户,使用 cat 命令可以对其内容进行查看,如果发现不必要的账号,则应当确认并且删除,对于系统中只有一个 root 账号的情况,应当建立起其他新账号,实现系统的分权管理。
………………
Linux 服务器安全加固问题的几点建议 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/vTLEHmJiaSx 提取码: 68cb