作者:黄景昌
计算机系统的核心是操作系统,因此,操作系统的安全与否直接决定着信息是否安全。是开放源代码的操作系统安全还是不开放源代码的操作系统安全?这一点在业界有不同的声音。但有一点可以肯定,开放源代码有利于迅速地对缺乏安全性的代码进行及时修改,以达到安全要求。
由于Linux的开放性,使得我们可以通过修改系统源代码,结合现有的系统安全技术以及加入我们自有的加密算法,构建一个安全的Linux操作系统。这里需要解决以下12个方面的问题。
1. 身份识别和认证
身份识别和认证是信息系统的最基本要求。一般的Linux系统采用用户名和口令对的形式来进行身份识别和认证。这包含了一些不安全因素,比如系统的密码文件被窃,入侵者采用穷举的方式侵入等。我们可以通过加入其他认证形式来提高系统身份识别和认证的安全性,例如使用公钥算法,将用户的私钥存于用户随身携带的硬件介质上(如IC卡、USB钥匙),系统只保留用户认证信息中的公钥信息。这样,即使公钥信息被窃,入侵者也不可能算出私钥,攻入系统。
2. 基本的入口控制
通过提供明显的警告信息,用户登录时相关信息的显示,以及对登录失败次数的限制,也能有效的防范入侵者。
3. 安全的审计
改善Linux原有的审计功能,对用户、进程及其他客体行为进行完善的跟踪审计。首先,审计要保证本身的审计信息不会被篡改或者删除。其次,系统要能够对所有的敏感操作进行记录。
4. 访问控制
在Linux系统中加入必须的访问控制的实现,比如强制访问控制(MAC)以及自主访问控制(DAC)。自主访问控制允许系统的用户对于属于自己的客体,按照自己的意愿,允许或者禁止其他用户访问。目前Linux提供类似传统UNIX系统的“属主用户/同组用户/其他组”权限保护机制。为了对用户信息提供更好的保护,应能够为用户提供用户级的控制力度。使自主存取控制更接近真实的情况。强制存取控制是由系统管理员进行的安全访问权限设置,提供比自主存取控制更严格的访问约束。
5. 加密文件系统
通过在系统中加入加密文件系统机制,保证系统的数据安全,即使系统的存储介质被窃,在入侵者没有取得密钥的情况下,数据依然是不可读的。Linux的开放源代码为我们了解认识Linux的文件系统构架成为可能,也方便了我们对文件系统进行修改,这就使得加密文件系统的实施成为可能。
6. 完整性保护
通过对文件和文件系统的跟踪及维护相应的数据库,我们可以对系统中的变化一清二楚,在系统的某些数据发生非法的变化时,我们能够迅速地发现,从而避免入侵者后门程序的存在。这种保护与备份机制相结合,使系统能够迅速地进行自我恢复。
7. 入侵攻击检测与防范
采用对敏感资源、IP或者端口进行监测等办法,可以及时地发现入侵行为,并采取相应的措施。比如大量半开的TCP连接,源地址为非法IP的外部数据包,对138和139端口的操作等等,都有可能是入侵的特征。我们通过编写相应的代码,和系统有机地结合在一起,就能有效地防范这类入侵。
8. 提供完善的安全API
在系统中为用户提供一套完善的安全API,有利于用户结合系统实现自己的安全应用。
9. 修改系统中的服务,加入安全的机制
升级系统服务版本,修改服务中的安全漏洞。
10.提供安全的服务和应用
比如支持SSL的Web服务、SSH、IPSEC、支持PGP的邮件程序等。
11.提供完善的系统安全扫描与检测工具
在系统中提供完善的安全扫描与检测工具,管理员可以经常对系统进行安全检测,及时发现安全隐患。
12.采用安全的加密算法
采用更长密钥(128位以上)的公认安全加密算法来实现系统中的加密应用。
开放源代码的Linux为我们实现安全的操作系统平台提供了新的机遇。通过对基于Linux的安全操作系统的研究,将有助于我们实现自有版权的安全操作系统,构建国人自己的信息安全平台。