系统安全之Linux系统安全管理高级技巧

●CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。

如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使象/boot、/lib和/sbin这样不能被安装成只读的分区，你仍然可以根据光盘映像来检查它们，甚至可以在启动时从另一个安全的映像重新下载它们。

●其它方式的备份虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可以放到光盘上用于系统完整性验证。其它不经常进行修改的文件，可以备份到另一个系统（如磁带）或压缩到一个只读的目录中。这种办法可以在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。

既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急启动盘或验证盘操作起来是十分方便的，它是一种十分有效而又可行的验证方法。

三、改进系统内部安全机制可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击这种破坏力极强却又最难预防的攻击方式，虽然这样的改进需要系统管理员具有相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统来讲还是很有必要的。

●Solaris Designer的安全Linux补丁Solaris Designer用于2.0版内核的安全Linux补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安全性。

缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括Linux Torvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。

不可执行的栈补丁已经在许多安全邮件列表（如securedistros@nl.linux.org）中进行分发，用户很容易下载到它们等。

●StackGuardStackGuard是一个十分强大的安全补丁工具。你可以使用经StackGuard修补过的gcc版本来重新编译和链接关键的应用。

StackGuard进行编译时增加了栈检查以防止发生栈攻击缓冲区溢出，虽然这会导致系统的性能略有下降，但对于安全级别要求高的特定应用来讲StackGuard仍然是一个十分管用的工具。

现在已经有了一个使用了SafeGuard的Linux版本，用户使用StackGuard将会更加容易。虽然使用StackGuard会导致系统性能下降约10～20%，但它能够防止整个缓冲区溢出这一类攻击。

内容导航

• 第1页：系统安全之Linux系统安全管理高级技巧
• 第2页：系统安全之Linux系统安全管理高级技巧(2)
• 第3页：系统安全之Linux系统安全管理高级技巧(3)
• 第4页：系统安全之Linux系统安全管理高级技巧(4)
• 第5页：系统安全之Linux系统安全管理高级技巧(5)
• 第6页：系统安全之Linux系统安全管理高级技巧(6)