Windows與Linux系統許可權的保護探析

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

引言

不管在哪個伺服器系統上，任何一個檔的執行都必須具有一定的許可權，如果駭客獲得了這個許可權，就有可能利用這個漏洞運行一些駭客程式，從而達到控制整個電腦的目的。 反之，即使駭客能夠把一些駭客程式上傳到伺服器上，由於許可權的問題，這些駭客程式也將無法運行，不能危害我們的系統。 例如findpass就是這樣的。

1 Windows系統許可權保護

首先關注密碼安全。 在很多安全事件發生之後，人們在查看原因時，都會發現一個非常驚人的事情，就是很多人一般不設置或者僅設置了很簡單的Windows管理員密碼。 這實際上就等於把系統的控制權毫無保留地交給了駭客，網路安全的第二道防線，這一刻將變得相當的脆弱。

駭客經過掃描如果發現了這個令人高興的消息，直接就可以進行遠端控制或上傳並運行病毒木馬，系統將變成任人宰割的「肉雞」。 駭客往往可以在使用者不知情的情況下，控制這些「肉雞」去攻擊其它電腦，而自己藏在幕後來躲避網路員警的追蹤。 這樣使用者不僅損失了自己的資源，包庇了駭客，還危害了他人的電腦，可謂損失慘重。 所以一個安全的密碼對一個系統來說是相當重要的，絕不能掉以輕心。

其次從版權管理方面來看，Windows的版權管理其實是比較簡單的，只是定義了幾個組和幾個特殊使用者來管理電腦，其中權力最高的Administrator也不能管理系統的所有東西，如果系統發現病毒， 有時候Administrator也只能看著，無法結束進程。

但是如果Windows升級成網域控制站(DC)，他的版權管理就會發生很大的變化，系統會根據域群組原則對每個域使用者進行嚴格的管理,這樣就可以提高系統版權管理的安全性。 但這樣的版權管理仍不容樂觀，例如不加入域的使用者可能對網路造成安全隱患、網域控制站本身也會存在漏洞等。

最後從安全性原則的方面來看，Windows主要是通過註冊表對系統進行管理的，但是註冊表非常複雜。 為解決這個問題，Windows提供了一些註冊表管理工具：本地安全性原則、本機群組策略、控制台等。 它們如果經過精心配置，從而修改註冊表，可以達到提高網路安全的目的，並且不佔用系統資源。 但是這種方式配置起來非常複雜、不靈活，修改起來比較麻煩，對於專業人士來說還可以接受，如果是普通使用者則不太適合。

2 Linux系統許可權保護

Linux的許可權設置從根本上就與Windows有著很大的差別。 Linux版權管理的各個方面是一個完整的系統，而Windows在這方面很零碎，不成體系，並且每個模組之間的配合幾乎沒有，同時很多功能僅僅只是存在，並沒有實際意義。

(1)從密碼安全方面來看，Linux跟Windows一樣，都需要安全密碼。 但是Linux的密碼如果丟失，雖然系統會出現安全隱患，但不至於像Windows那樣很快成為「肉雞」。 因為在Linux中還有其它安全措施可以彌補密碼丟失造成的問題。 儘管如此，密碼安全仍不容忽視。

(2)從Linux的版權管理來看，Linux的檔案系統就是一棵「樹」，而版權管理就是為了服務這棵「樹」而設計的。 但是Linux的許可權設置比較簡單，只有「屬主」、「屬組」、「其它」3部分，控制起來很不靈活。 Linux為了彌補這些，加入了ACL版權管理機制，使得使用者的版權管理靈活起來。

(3)從Linux的安全性原則來看，Tcpwarpper是一個簡單的安全性原則，是一種可以限制一個IP或一個IP段的電腦訪問Linux伺服器的某個服務的安全性原則，而且功能強大， 可以很好地限制遠端電腦對Linux伺服器的訪問。 如果再配合IPtables防火牆，就可以實現對很多危險資訊的隔離，有效降低伺服器受到網路威脅的概率，提高系統的安全性。

(4)從Linux的安全認證來看，強大的PAM認證機制，一般翻譯成「可插拔式認證模組」，或是「可插入式認證模組」。 它是一種性能健壯、靈活方便的使用者級認證方式，是Linux和Unix首選的安全認證方式。 它通過模組化的結構，方便靈活地解決了很多繁瑣的使用者接入認證問題，規範了使用者接入及其已授權行為，嚴格限制了非授權使用者的接入及其行為，是一種不可多得的認證機制。

(5)從Linux的IPtables防火牆來看，IPtables防火牆的本質就是Linux內核集成的IP資訊包過濾系統。 這個系統功能非常強大，可以非常輕鬆地管理防火牆的規則，並且資源佔用很小。 IPtables包過濾系統在內核中有一個通用構架netfilter，它提供了「表」，每個「表」中又包含了「鏈」，「鏈」中配置了相應的「規則」。 歸根結底IPtables只是一個管理內核包過慮的工具。 IPtables防火牆是一個貫串始終的安全體系，幾乎所有的安全策路都會用到防火牆。

當有資料包進入系統時，系統首先根據相應的表決定將資料包發給哪一條鏈，當一個資料包到達一個鏈時，系統就會從第一條規則開始檢查，看是否符合該規則的條件。 如果滿足，系統將根據該條規則所定義的方法處理該資料包;如果不滿足則繼續檢查下一條規則。 如果該資料包不符合該鏈中任何一條規則，系統就會根據該鏈預先定義的策略來處理該資料包。

IPtables防火牆功能非常強大，簡單易用，安全性高，並且還能完成NAT等其它功能，因而受到了很多使用者的好評。

(6)從Linux的入侵偵測方面來看，Snort有著非常強大的系統監視功能，並擁有豐富的規則(可從官方網站上下載)，可以有效地監控網路的運行狀態，是一個免費的基於Libpcap的羽量級網路入侵偵測系統。 它能夠跨平臺操作，用於監視小型的商業網路並結合其它安全機制作出快速反應，把威脅限制在一個最小的範圍裡。 同時，它支援大量可擴展外掛程式，有效配合系統中的其它安全機制來保護系統安全。 例如本文中提到的Guardian包，就是開發人員編寫的Snort擴展模組(用於跟IPtables聯動的外掛程式)。

(7)從Linux的SELinux來看，它實際上就是加強系統版權管理的一套機制，能有效彌補系統帳號密碼洩露所帶來的安全隱患。 如果使用SElinux限制許可權和存儲機制，就必須使用Enforcing模式。 在這種模式下，即使是root使用者對一些系統的關鍵進程的直接控制和管理也無能為力。 如果有了SElinux的保護，在駭客得到root帳號的情況下，要想實現對系統的控制，就必須經過層層審核和限制，最終也無法修改檔內容。 這樣，就把入侵之後的風險降到了最低。

(8)從Linux的安全審計方面來看，Audit是個集成在2.6內核中的事件記錄器，可以有效地監控伺服器的系統狀態。 在監控之前加入特定的規則，當滿足規則時就視為入侵，併發出警報。 與入侵偵測不同的是，Audit的監控物件是伺服器，而入侵偵測監控物件是網路資料流程。

安全審計本身是一個龐大的系統，在大多數情況下，Linux都是用Audit配合其它安全機制來完成對系統安全方面事件的記錄，供系統管理人員進行分析和提出警告。 Audit系統搜集的資訊包括：事件名稱，事件狀態和其它安全的資訊。

縱觀整個Linux安全體系，我們不難發現，系統的各個環節都配合相當緊密。 在一般情況下，駭客很難完成對許可權的控制，更不用說進行遠端控制了。 即使一些駭客高手利用未知的漏洞可以獲得一定的系統許可權，但是他們很難對系統進行遠端控制，而且即使可以上傳木馬病毒，由於許可權的限制，也不能運行這些病毒，所以對系統的危害是有限的。

本文來源於江城論文範文：HTTP://www.xoock.com