| UNIX/Linux是一种多用户、多任务的操作系统,因而,UNIX/Linux操作系统基本的安全功能需求就是不同用户之间避免相互干扰,禁止非授权访问系统资源。下面介绍UNIX/Linux系统的主要安全机制。
|
|
|
|
|
| 认证是UNIX/Linux系统中的第一道关卡,用户在进入系统之前,首先经过认证系统识别身份,然后再由系统授权访问系统资源。目前,UNIX/Linux常用的认证方式有如下几种。
|
|
|
|
|
| 基于口令的认证方式是UNIX/Linux最常用的一种技术,用户只要给系统提供正确的用户名和口令就可以进入系统。
|
|
|
|
|
| 在UNIX/Linux系统中,还提供一个限制超级用户从远程登录的终端认证。
|
|
|
|
|
| UNIX/Linux系统提供不同主机之间的相互信任机制,这样使得不同主机用户之间无须系统认证就可以登录。
|
|
|
|
|
| 第三方认证是指非UNIX/Linux系统自身带有的认证机制,而是由第三方提供认证。在UNIX/Linux中,系统支持第三方认证,例如一次一密口令认证S/Key、Kerberos认证系统、插入式身份认证PAM(Pluggable Authentication Modules)。
|
|
|
|
|
| 普通的UNIX/Linux系统一般通过文件访问控制列表ACL来实现系统资源的控制,也就是常说的通过“9bit”位来实现。例如,某个文件的列表显示信息如下:
|
|
|
|
|
| 由这些信息看出,用户test对文件sample.txt的访问权限有“读、写、执行”,而test这个组的其他用户只有“读、执行”权限,除此以外的其他用户只有“读”权限。
|
|
|
|
|
| 审计机制是UNIX/Linux系统安全的重要组成部分,审计有助于系统管理员及时发现系统入侵行为或系统安全隐患。不同版本的UNIX/Linux日志文件的目录是不同的,早期版本UNIX的审计日志目录放在/usr/adm;较新版本的在/var/adm;Solaris、Linux和BSD在UNIX/var/log。常见日志文件如下:
|
|
|
|
|
|
|
| . messages:记录输出到系统主控台以及由syslog系统服务程序产生的消息;
|
|
|
|
|
|
|
| . wtmp:记录每一次用户登录和注销的历史信息;
|
|
|
|
|
| . vold.log:记录使用外部介质出现的错误;
|
|
|
|
|
|
|
|
|
