朱立喆　邵二东　陈志宾

摘 要：随着攻击技术的发展和泄密事件的频繁发生，业界对服务器的安全防范要求越来越高，本文从信息安全等级保护的角度出发，参照《信息系统安全等级保护基本要求》中 “主机安全”相关要求，针对Redhat Linux操作系统安全展开研究和论证，提出安全加固方法。

关键词：等级保护；安全防护；系统加固

随着互联网技术的快速发展，其对政治经济的促进效果愈加明显。随着两会期间李克强总理 “切实把互联网转化为新型经济驱动力”要求的提出，有效推动了云计算和大数据的快速发展，而随之，大型应用系统及基础数据价值变得前所未有的重要。作为应用和数据的载体，主机安全尤其是操作系统层已成为关系经济发展乃至国计民生的国家战略问题。

1 操作系统防护需求

在传统的IT构架中，设计者往往过多关注底层的网络互通和上层的应用实现，而对中间层包括主机、操作系统、中间件等考虑较少。而在安全事件中，多数恰恰是因为主机层防护措施的薄弱，使得病毒、黑客有了可乘之机。而操作系统的瘫痪或失控，其影响将直接传递到上层的应用和数据。操作系统层的安全，已成为IT安全链中的关键环节，利用什么标准对主机进行安全加固，保障服务器本身的安全，已经成为当前信息系统亟待解决的问题。

本文以等级保护思想为引线，以《信息系统安全等级保护基本要求》为指导框架，从“主机安全”这个控制层面展开论述，通过参照等级保护基本要求第三级的要求，分析操作系统安全防护需求，提出安全防护思路，并以Redhat Linux为例详细阐述安全防护的具体方法。

2 操作系统防护思路

针对重要信息系统在主机安全防护层面的各种需求，《信息系统安全等级保护基本要求》

2.1 从七个方面予以考虑：

（1）身份鉴别：通过身份鉴别模块，对系统用户进行有效性验证，通过鉴别才能进入系统。

（2）访问控制：通过对系统用户进行权限划分，按照最小化授权原则访问系统资源，实现用户对重要文件和目录进行读写控制。

（3）安全审计：通过监控系统运行情况，跟踪系统用户行为，提供事后追溯分析依据。

（4）剩余信息保护：通过及时清除存储在硬盘、内存或缓冲区中的剩余信息，降低非法获取可能性。

（5）入侵防御：通过主机层入侵检测和防御机制，抵御内部非法访问与攻击。

（6）恶意代码防范：通过主机层恶意代码检测处理，避免文件、数据被恶意修改或资源被非法利用。

（7）资源控制：根据服务优先级分配系统资源，限制单个用户的多重会话，设置系统的超时退出，防止资源被滥用或非法使用。

3 操作系统防护设计

操作系统需要多方面多维度的安全防护，以常用的Redhat Linux操作系统为例，对其安全加固也要通过全面的考虑。

3.1 身份鉴别

身份鉴别主要通过密码复杂度、口令锁定策略来实现。用户的身份鉴别信息首先应具有不易被冒用的特点，同时口令应有复杂度要求，最后在管理上要求定期更换；口令锁定策略要求系统具有鉴别失败处理功能，当短时间内多次输入错误用户、密码，要求采取措施锁定相关账户。

（1）通过passwd命令设置帐户密码：passwd username **（密码）；

（2）编辑文件/etc/pam.d/system-auth，设定密码复杂度：password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8，要求包含至少1個数字，1个小写字母，1个大写字母，1个特殊字符，最短长度8位；

（3）编辑文件/etc/login.defs，设定最长密码使用期限：PASS_MAX_DAYS 180（密码最长使用天数不大于180）；

（4）编辑文件/etc/pam.d/system-auth，在首行编辑条目如下：auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180 even_deny_root root_unlock_time=180，用户（含root）连续输入密码错误5次，锁定180秒。

3.2 访问控制

配置用户的角色，授予用户所需的最小权限，启用访问控制功能，控制用户对资源的访问。

（1）编辑文件/etc/ssh/sshd_config，限制root用户SSH远程登录：修改PermitRootLogin值为no；

（2）删除UID为0的用户：userdel username（切记不要删除root用户）；

（3）编辑文件/etc/profile，设置文件与目录缺省权限为027，修改完成后重置profile环境：umask 027，source /etc/profile；

（4）赋予用户最小权限：chmod 644 /etc/passwd /etc/group /etc/services，chmod 400 /etc/shadow /etc/gshadow，chmod 600 /etc/xinetd.conf/etc/security；

3.3 安全审计

启用系统本身的syslog日志功能和audit审计功能，记录安全事件和用户登录事件；启用远程日志功能，保护日志不被非法篡改。

（1）编辑文件/etc/syslog.conf，记录安全事件和登录事件：*.err；kern.debug；daemon.notice/var/log/security_messages，authpriv.* /var/log/authlog；（须提前创建日志文件、修改权限并重启日志服务：/var/log/security_messages，/chmod 600 /var/log/security_messages，/service syslog restart；

（2）编辑文件 /etc/syslog.conf或者/etc/rsyslog.conf：*.* @172.26.159.1

（日志服务器ip或者域名），启用远程日志功能，实现对日志的集中存储和分析；

（3）更改所有日志文件属性，使文件只可追加不可修改：chattr +a /var/log/messages /var/log/secure /var/log/maillog /var/log/cron。

3.4 剩余信息保护

当前操作系统剩余信息保护机制有限，主要通过其他安全加固措施予以弥补，如操作系统加固软件等。

3.5 入侵防范

系统安装的组件和应用程序遵循最小化安装原则，禁用不必要的符合和端口，实时检测入侵行为并报警。

（1）定期查看文件/var/log/secure：more /var/log/secure | grep refused，确保不具有非法连接主机的记录；

（2）定期查看是否启用不必要的端口：netstat-an；

（3）定期查看危险的网络服务是否已关闭：service --status-all | grep runing，重点关注echo、shell、login、finger等；

（4）开启iptables并配置相关策略。

3.6 恶意代码防范

系统应安装网络版防病毒软件，并及时更新软件版本和特征库（主机防病毒软件应与网络边界防病毒产品采用不同的特征库）。

3.7 资源控制

设定终端接入方式、网络地址范围，设置登录终端超时锁定，监控服务器资源使用情况，限制单个用户对系统资源使用额度。

（1）编辑文件/etc/hosts.allow，增加可信终端网段：sshd：192.168.1.

*：allow，允许192.168.1.0的整个网段访问SSH服务进程；编辑文件/etc/hosts.deny，拒绝一切远程访问：ssh：all；（用IPTABLES命令也可实现上述功能）

（2）编辑文件/etc/profile，设置登陆超时时间：TMOUT=600，export TMOUT，全局600秒超时；

（3）利用top命令，查看当前资源利用率；

（4）查看文件/etc/security/limits.conf，根据实际要求设置资源限制。

3.8 其他补充

由于当前操作系统自身功能限制，还不能通过安全策略修改来完全满足等级保护相关要求，需要通过其他安全措施来进行弥补：

（1）操作系统加固软件：增加敏感标记，实现强制访问控制和剩余信息保护功能；

（2）数据库审计系统：实现对数据库自身行为的审计和SQL语句增删改查的操作记录；

（3） IT运维管理系统：实现对主机的资源、性能监控（CPU、内存、磁盘存储空间）。

4 结语

本文参照等级保护主机安全第三级的要求，通过修改Redha Linux操作系统的默认配置，啟用相关安全选项，禁用不必要服务，增加外界安全设备等措施，实现安全加固，提高操作系统安全性，为上层应用安全和数据安全提供基础保障。

参考文献：

[1] 孙铁.安全等级保护咨询服务浅议[J].网络安全技术与应用.2007（11）：6-7.

[2] 詹榜华.落实信息安全等级保护的基本要求[J].信息化建设.2008（05）：46-47.

[3] 程斌.湖南省召开公安机关信息安全等级保护培训工作会议[J].信息网络安全.2011（05）：95.

[4] 詹榜华.落实信息安全等级保护的基本要求[J].信息化建设.2008（05）：46-47

[5] 左晓栋 ，李晓勇.关于信息安全等级保护中认证认可工作的思考[J].网络安全技术与应用.2004（06）：55-57.

[6] 李晓勇 ，李秉栋.信息安全等级保护中的信息和信息系统安全分类[J].网络安全技术与应用.2004（07）：65-66.

[7] 胡明浩.在档案信息化中实施信息安全等级保护[J].湖北档案.2005（07）：15-16.