Linux操作系統(tǒng)的安全性是有目共睹的，相比Windows操作系統(tǒng)，到底Linux有哪些過人之處？這里我們就拋磚引玉，挑選三點(diǎn)重要的特點(diǎn)給大家說明，為什么說Linux操作系統(tǒng)安全性有其他系統(tǒng)無可比擬的優(yōu)越性。

[[66038]]

　　1、用戶/文件權(quán)限的劃分

　　用戶權(quán)限在Windows操作系統(tǒng)里也不陌生，但是Linux操作系統(tǒng)的用戶權(quán)限和文件權(quán)限要比Windows操作系統(tǒng)里嚴(yán)格有效。比較明顯的一個(gè)案例就是，即便是你在Windows操作系統(tǒng)里設(shè)置了多用戶，但是不同的用戶之間通過一定的方式，還是能夠互訪文件的，這就失去了權(quán)限的意義。

　　LINUX文件權(quán)限針對(duì)的對(duì)象分三類（互斥的關(guān)系）：

　　1. user（文件的擁有者）

　　2. group（文件擁有者所在的組，但不包括user）

　　3. other（其它用戶，即user和group以外的）

　　LINUX用一個(gè)3位二進(jìn)制數(shù)對(duì)應(yīng)著文件的3種權(quán)限（1表示有該權(quán)限，0表示無）：

• 第1位 讀 r 100 4
• 第2位 寫 w 010 2
• 第3位 執(zhí)行 x 001 1

　　查看權(quán)限

　　#ls -l

　　第一列，一共10位（drwxrwxrwx），就代表了文件的權(quán)限：

　　1）第一個(gè)d代表是一個(gè)目錄，如果顯示“-”，則說明不是一個(gè)目錄

　　2）2-4代表user的權(quán)限

　　3）5-7代表group的權(quán)限

　　4）8-10代表other的權(quán)限

　　對(duì)于后9位：

• r 代表可讀（read），其值是4
• w 代表可寫（write），其值是2
• x 代表可執(zhí)行（execute），其值是1
• - 代表沒有相應(yīng)權(quán)限，其值是0

　　修改文件權(quán)限

　　# chmod [ugoa][+-=][rwx] 文件名

　　1）用戶

• u 代表user
• g 代表group
• o 代表other
• a 代表全部的人，也就是包括u，g和o

　　2）行動(dòng)

• + 表示添加權(quán)限
• - 表示刪除權(quán)限
• = 表示使之成為唯一的權(quán)限

　　3）權(quán)限

　　rwx也可以用數(shù)字表示法，不過很麻煩要自己算，比如 rw=6

　　常見權(quán)限

• -rw—— （600） 只有所有者才有讀和寫的權(quán)限
• -rw-r——r—— （644） 只有所有者才有讀和寫的權(quán)限，組群和其他人只有讀的權(quán)限
• -rwx—— （700） 只有所有者才有讀，寫，執(zhí)行的權(quán)限
• -rwxr-xr-x （755） 只有所有者才有讀，寫，執(zhí)行的權(quán)限，組群和其他人只有讀和執(zhí)行的權(quán)限
• -rwx——x——x （711） 只有所有者才有讀，寫，執(zhí)行的權(quán)限，組群和其他人只有執(zhí)行的權(quán)限
• -rw-rw-rw- （666） 每個(gè)人都有讀寫的權(quán)限
• -rwxrwxrwx （777） 每個(gè)人都有讀寫和執(zhí)行的權(quán)限，最大權(quán)限。#p#

　　也許你會(huì)說，Windows操作系統(tǒng)里不也內(nèi)置了防火墻，Linux系統(tǒng)內(nèi)置防火墻有什么特殊之處。其實(shí)，iptables不僅僅是一個(gè)防火墻，而且即便是一個(gè)防火墻，它與我們常見的Windows操作系統(tǒng)下的防火墻相比，更加的專業(yè)性能更強(qiáng)大。

　　iptables是與Linux內(nèi)核集成的IP信息包過濾系統(tǒng)，如果Linux系統(tǒng)連接到因特網(wǎng)或LAN、服務(wù)器或連接LAN和因特網(wǎng)的代理服務(wù)器，則該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過濾和防火墻配置。

　　netfilter/iptables IP信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時(shí)，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲(chǔ)在專用的信息包過濾表中，而這些表集成在 Linux 內(nèi)核中。在信息包過濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中。

　　雖然netfilter/iptables IP信息包過濾系統(tǒng)被稱為單個(gè)實(shí)體，但它實(shí)際上由兩個(gè)組件netfilter和iptables組成。

　　netfilter組件也稱為內(nèi)核空間（kernelspace），是內(nèi)核的一部分，由一些信息包過濾表組成，這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。

　　iptables組件是一種工具，也稱為用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規(guī)則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否則需要下載該工具并安裝使用它。

　　netfilter/iptables 的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻，這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過濾時(shí)，防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài)，名稱分別為 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。

　　狀態(tài) ESTABLISHED 指出該信息包屬于已建立的連接，該連接一直用于發(fā)送和接收信息包并且完全有效。INVALID 狀態(tài)指出該信息包與任何已知的流或連接都不相關(guān)聯(lián)，它可能包含錯(cuò)誤的數(shù)據(jù)或頭。狀態(tài) NEW 意味著該信息包已經(jīng)或?qū)?dòng)新的連接，或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)。最后， RELATED 表示該信息包正在啟動(dòng)新連接，以及它與已建立的連接相關(guān)聯(lián)。

　　netfilter/iptables 的另一個(gè)重要優(yōu)點(diǎn)是，它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規(guī)則來滿足您的特定需求，從而只允許您想要的網(wǎng)絡(luò)流量進(jìn)入系統(tǒng)。

　　另外，netfilter/iptables 是免費(fèi)的，這對(duì)于那些想要節(jié)省費(fèi)用的人來說十分理想，它可以代替昂貴的防火墻解決方案。#p#

　　SELinux是Security-Enhanced Linux的簡(jiǎn)稱，是美國(guó)國(guó)家安全局NSA（The National Security Agency）和SCC（Secure Computing Corporation）開發(fā)的 Linux的一個(gè)擴(kuò)張強(qiáng)制訪問控制安全模塊。原先是在Fluke上開發(fā)的，2000年以GNU GPL發(fā)布。

　　SELinux(Security-Enhanced Linux) 是對(duì)于強(qiáng)制訪問控制的實(shí)現(xiàn)，是Linux上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進(jìn)程只能訪問那些在他的任務(wù)中所需要文件。SELinux 默認(rèn)安裝在 Fedora 和 Red Hat Enterprise Linux 上，也可以作為其他發(fā)行版上容易安裝的包得到。

　　對(duì)于目前可用的 Linux安全模塊來說，SELinux 是功能最全面，而且測(cè)試最充分的，它是在 20 年的 MAC 研究基礎(chǔ)上建立的。SELinux 在類型強(qiáng)制服務(wù)器中合并了多級(jí)安全性或一種可選的多類策略，并采用了基于角色的訪問控制概念。

　　大部分使用SELinux的人使用的都是SELinux就緒的發(fā)行版，他們都是在內(nèi)核中啟用SELinux的，并且提供一個(gè)可定制的安全策略，還提供很多用戶層的庫和工具，它們都可以使用 SELinux 的功能。

　　SELinux是一種基于域-類型模型（domain-type）的強(qiáng)制訪問控制（MAC）安全系統(tǒng)，它由NSA編寫并設(shè)計(jì)成內(nèi)核模塊包含到內(nèi)核中，相應(yīng)的某些安全相關(guān)的應(yīng)用也被打了SELinux的補(bǔ)丁，最后還有一個(gè)相應(yīng)的安全策略。

　　眾所周知，標(biāo)準(zhǔn)的UNIX安全模型是"任意的訪問控制"DAC。就是說，任何程序?qū)ζ滟Y源享有完全的控制權(quán)。假設(shè)某個(gè)程序打算把含有潛在重要信息的文件扔到/tmp目錄下，那么在DAC情況下沒人能阻止他！而MAC情況下的安全策略完全控制著對(duì)所有資源的訪問。這是MAC和DAC本質(zhì)的區(qū)別。SELinux提供了比傳統(tǒng)的UNⅨ權(quán)限更好的訪問控制。