日期:2014-05-16  浏览次数:20704 次

【转帖】Linux 安全组件比较和介绍
Linux审计子系统(Linux Aduit Subsystem)
LAus可以用来监控文件访问和操作系统的一些情况,是linux为了通过evl-4级认证的一个完全策略。从下面的一个连接可以大体的推断其支持的 kernel和各发行版,http://www.securityfocus.com/bid/12309,尽管这是一个bug报告。

SELinux
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。
参考连接:
SELinux实例:使用安全增强的Linux
从头开始生成 SELinux
揭开 SE Linux 的秘密:第 1部分
SELinux 中基于角色的访问控制
Gentoo SELinux Handbook

ACL
ACL是Access Control List的缩写,主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的细部权限设定。 ACL可以针对单一使用者,单一档案或目录来进行r,w,x的权限规范,对于需要特殊权限的使用状况非常有帮助。 Grsecurity是其中比较典型和成熟的一种。
Grsecurity ACL系统
Linux 安全系列:用 grsecurity 保护 Linux

CHROOT
CHROOT就是Change Root,也就是改变程序执行时所参考的根目录位置。可以将程序限制在指定的目录之内。

iptables
Linux提供了一个非常优秀的防火墙工具—netfilter/iptables。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。netfilter/iptabels应用程序,被认为是Linux中实现包过滤功能的第四代应用程序。 netfilter/iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。 netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。netfilter/iptables从ipchains和 ipwadfm(IP防火墙管理)演化而来,功能更加强大。
参考资料:
iptables从入门到精通
Iptables 指南 1.1.19

Linux-PAM 的 limit
Linux-PAM 的 limit 也很有用,可以限制用户启动进程所占用的资源。(为用户级别的限制,不能为单个程序制定限制。)
配置文件在 /etc/security/limits.conf
参考资料:
Linux Shell命令ulimit的用法

Tripwire 或 AIDE(Advanced Intrusion Detection Environment)

AIDE即Advanced Intrusion Detection Environment,直译为高级入侵检测环境,AIDE,是一个文件完整性检测工具,AIDE 能够构造一个指定文件的数据库。

Tripwire 是目前最为著名的unix下文件系统完整性检查的软件工具,这一软件采用的技术核心就是对每个要监控的文件产生一个数字签名,保留下来。当文件现在的数字签名与保留的数字签名不一致时,那么现在这个文件必定被改动过了。

对了,各种虚拟技术也可以算上。
用户模式内核为了安全需要为主机内核打上补丁,不然虚拟机内的程序可以访问其他程序的内存。