在Linux的發展過程中,人們最關心的還是安全問題。作為一個快速成長的後起之秀,Linux肩負了人們太多的使命和期望。事實上,Linux的安全性已經有了很大提高,完全經得起各種應用的考驗。這一看法是中軟公司Linux項目經理安泱先生告訴記者的。
中軟自去年推出中軟Linux V2.0希望版、標准版以及中軟V2.0企業版套件以來,獲得了良好的市場聲譽。為了更好地滿足用戶不斷增長的新需求,中軟公司新近推出了基於2.4.3內核的“八面玲珑”中軟Linux 3.0應用套件。與老產品相比,該產品在安全性方面有很大提高,增加了入侵檢測系統。
中軟在Linux系統安全性方面采取了兩種策略:其一是對通用系統采用安全加固措施;其二是根據企業用戶的特殊需求進行定制。據介紹,中軟Linux安全性的主要思路是在體系結構上進行改革,從操作系統、網絡、應用系統三個層面上整體思考,增強系統的可管理性。中軟Linux 3.0系統采用了多層次的安全工具,可以在一定程度上防止系統被黑客攻擊,而且可以保護系統不被入侵。
在通用系統中采用入侵檢測技術算得上是國內首創,它采用四層結構提供入侵保護,這四層結構從上至下依次是防火牆、Port Sentry、LIDS和LogCheck。
防火牆用來防止系統中的TCP和UDP端口被黑客利用並禁止不必要的Daemon;Port Sentry是負責監控TCP/IP端口活動的監控器,所有被Port Sentry監控的端口活動都會被報告,系統管理員也可以設置某些參數禁止非法訪問。這是一個很重要的防御措施,因為黑客在入侵之前都會通過掃描端口來探查系統的弱點;LogCheck用來檢查系統日志,查看是否有異常活動。LogCheck掃描不同於系統日志文件(在Linux系統中是在“/var/log”目錄下),它一旦發現有異常情況,就會用Email通知系統管理員。如果有黑客企圖攻擊系統或者已經攻擊了系統,則在日志文件中肯定可以找到一些蛛絲馬跡。
LIDS是一個基於Linux內核的入侵檢測與防范系統。LIDS的防范措施包括限制Root賬戶的權力,不允許Root用戶隨意改變系統的關鍵部分。LIDS的其他重要特性還包括經過加強的文件系統保護、防止直接對端口或內存進行訪問、防止直接訪問磁盤以及保護日志文件。LIDS還能夠阻止某些系統“動作”,如安裝Sniffer軟件或改變防火牆規則。
