Linux操作系统安全初探

Linux操作系统的安全性是有目共睹的，相比Windows操作系统，到底Linux有哪些过人之处？这里我们就抛砖引玉，挑选三点重要的特点给大家说明，为什么说Linux操作系统安全性有其他系统无可比拟的优越性。 Linux操作系统安全初探 1、用户/文件权限的划分用户权限在Windows操作系统里也不陌生，但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是，即便是你在Windows操作系统里设置了多用户，但是不同的用户之间通过一定的方式，还是能够互访文件的，这就失去了权限的意义。 LINUX文件权限针对的对象分三类（互斥的关系）： 1. user（文件的拥有者） 2. group（文件拥有者所在的组，但不包括user） 3. other（其它用户，即user和group以外的） LINUX用一个3位二进制数对应着文件的3种权限（1表示有该权限，0表示无）：第1位读 r 100 4 第2位写 w 010 2 第3位执行 x 001 1 查看权限 #ls -l 第一列，一共10位（drwxrwxrwx），就代表了文件的权限： 1）第一个d代表是一个目录，如果显示“-”，则说明不是一个目录2）2-4代表user的权限3）5-7代表group的权限4）8-10代表other的权限对于后9位： r 代表可读（read），其值是4 w 代表可写（write），其值是2 x 代表可执行（execute），其值是1 - 代表没有相应权限，其值是0 修改文件权限 # chmod [ugoa][+-=][rwx] 文件名 1）用户 u 代表user g 代表group o 代表other a 代表全部的人，也就是包括u，g和o 2）行动 + 表示添加权限 - 表示删除权限 = 表示使之成为唯一的权限 3）权限 rwx也可以用数字表示法，不过很麻烦要自己算，比如 rw=6 常见权限 -rw—— （600）只有所有者才有读和写的权限 -rw-r——r—— （644）只有所有者才有读和写的权限，组群和其他人只有读的权限 -rwx—— （700）只有所有者才有读，写，执行的权限 -rwxr-xr-x （755）只有所有者才有读，写，执行的权限，组群和其他人只有读和执行的权限 -rwx——x——x （711）只有所有者才有读，写，执行的权限，组群和其他人只有执行的权限 -rw-rw-rw- （666）每个人都有读写的权限 -rwxrwxrwx （777）每个人都有读写和执行的权限，最大权限。 Iptables Linux系统芯里的防火墙也许你会说，Windows操作系统里不也内置了防火墙，Linux系统内置防火墙有什么特殊之处。其实，iptables不仅仅是一个防火墙，而且即便是一个防火墙，它与我们常见的Windows操作系统下的防火墙相比，更加的专业性能更强大。 iptables是与Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。虽然netfilter/iptables IP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。 netfilter组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要下载该工具并安装使用它。 netfilter/iptables 的最大优点是它可以配置有状态的防火墙，这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。状态 ESTABLISHED 指出该信息包属于已建立的连接，该连接一直用于发送和接收信息包并且完全有效。INVALID 状态指出该信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。状态 NEW 意味着该信息包已经或将启动新的连接，或者它与尚未用于发送和接收信息包的连接相关联。最后， RELATED 表示该信息包正在启动新连接，以及它与已建立的连接相关联。 netfilter/iptables 的另一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求，从而只允许您想要的网络流量进入系统。另外，netfilter/iptables 是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解决方案。

Linux Kernel mm: thp: pmd_present和PROT_NONE本地拒绝服务漏洞Air Disk Free本地文件包含和命令注入漏洞相关资讯 Linux操作系统 Linux操作系统安全

已经 25 岁的 Linux，但你知道它的（今 07:34）
日益强大的操作系统！Linux 25岁生（08月26日）
Linux将成为21世纪汽车主流操作系（05月12日）

25年Linux之路：没有它互联网可能（昨 08:32）
Linux发布25周年，正日益庞大和专（08月23日）
10大白帽黑客专用的 Linux 操作系（02月03日）

本文评论查看全部评论（0）