使用 Linux 的安全風險有哪些

使用linux的安全風險如下：

• 隨意許可：如果對許可配置不當，就會給黑客留下機會。處理許可問題的最簡單方法是使用所謂的RWE方法，即Read(讀取)、Write(寫入)、Execute(執行)。

• 忽視更新：這并不是說Linux管理員缺乏技巧。不過，許多Linux管理員在運行了Linux之后，以為日后就無事可做了，以為它安全可靠。其實，新的更新可以為一些新的漏洞打上補丁。維持更新可以在一個易受損的系統與一個安全的系統之間構造分水嶺。Linux的安全來自于不斷地維護。為了實現安全性，為了使用一些新的特性和穩定性，任何管理員都應當跟上Linux的更新步伐。

• 不經過嚴格審核，從多種渠道下載安裝各種類型的應用程序：乍看起來，這也許是一個不錯的主意。如果你在運行Ubuntu,你會知道包管理程序使用的是。deb軟件包。不過，你找到的許多應用程序是以源代碼的形式提供的。沒有問題嗎?這些程序安裝后也許能夠正常工作。但是你為什么不能隨意安裝程序呢?道理很簡單，如果你以源的形式安裝了程序，那么，你的軟件包管理系統將無法跟蹤你所安裝的東西。

• 將服務器啟動進入到X：在一臺機器是專用服務器時，你可能會想到安裝X,這樣一些管理任務就會簡單一些。不過，這并不意味著用戶需要將服務器啟動進入到X.這樣會浪費珍貴的內存和CPU資源。相反地，你應當在級別3上停止啟動過程，進入命令行模式。這樣做不但會將所有的資源留給服務器，而且還會防止泄露機器的機密。要登錄到X,用戶只需要以命令行方式登錄，然后鍵入startx進入到桌面。

• 糟糕的口令：記住，root的口令通常是linux王國的關鍵。所以為什么要讓root的口令那么容易被破解呢?保障你的用戶口令的健壯性至關重要。如果你的口令比較長，且難于記憶，可將這個口令存放在一個可被加密的位置。在需要這個口令時，可用解密軟件解開這個口令使用之。

• 沒有備份關鍵的配置文件：許多管理員都有這樣的體會，在升級到某個X版本，如X11之后，卻發現新版本破壞了你的xorg.conf配置文件，以至于你再也無法使用X?建議你在升級X之前，先對以前的/etc/x11/xorg.conf作一個備份，以免升級失敗。當然，X的升級程序會設法為用戶備份xorg.conf文件，但它卻在/etc/x11目錄內備份。即使這種備份看起來不錯，你最好還是自己做一個備份吧。將其備份到/root目錄中，這樣，用戶就可以知道只有根(root)用戶能夠訪問此文件。記住，安全第一。這里的方法也適用于其它的關鍵備份，如Samba、Apache、Mysql等。

• 忽視日志文件：/var/log的存在是有理由的。這是存放所有的日志文件的唯一位置。在發生問題時，你首先需要看一下這里。檢查安全問題，可看一下/var/log/secure.筆者看的第一個位置是/var/log/messages.這個日志文件保存著所有的一般性錯誤。在此文件中，你可以得到關于網絡、媒體變更等消息。在管理一臺機器時，用戶可以使用某個第三方的應用程序，如logwatch,這樣就可以創建為用戶創建基于/var/log文件的各種報告。

• 沒有安裝一個可正常運行的內核：你可能不會在一臺機器上安裝10個以上的內核。但你需要更新內核，這種更新并沒有刪除以前的內核。你是怎么做的呢?你一直保持使用最近的可正常工作的內核。假設你目前正常工作的內核是2.6.22,而2.6.20是備份內核。如果你更新到2.6.26,而在新內核中一切都工作正常，你就可以刪除2.6.20了。

• 逃避使用命令行：恐怕很少有人愿意記住那么多命令。在大多數情況下，圖形用戶界面是許多人的最愛。不過，有時，命令行使用起來更加容易、快捷、安全、可靠。逃避使用命令行是Linux管理的大忌。管理員至少應當理解命令行是如何工作的，至少還要掌握一些重要的管理命令。

• 以根用戶身份登錄：這是一種很危險的錯誤。如果用戶需要根特權來執行或配置一個應用程序，可以在一個標準的用戶賬戶中使用su切換到root用戶。登錄到root為什么不是一件好事兒?在用戶以標準用戶身份登錄時，所有正在運行的X應用程序仍擁有僅限于此用戶的訪問權。如果用戶以根用戶身份登錄，X就擁有了root的許可。這就會導致兩個問題，一、如果用戶由GUI犯了一個大錯，這個錯誤對系統來說，有可能是一個巨大的災難。二、以根用戶的身份運行X使得系統更易于遭受攻擊。

Linux服務器的安全防護措施如下：

• 強化密碼強度：只要涉及到登錄，就需要用到密碼，如果密碼設定不恰當，就很容易被黑客破解，如果是超級管理員(root)用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的后果。很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或者社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字符，且采用數字與字符、大小寫相結合的密碼，增加密碼被破譯的難度。

• 登錄用戶管理：進入Linux系統前，都是需要登錄的，只有通過系統驗證后，才能進入Linux操作系統，而Linux一般將密碼加密后，存放在/etc/passwd文件中，那么所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊權限的用戶操作。

• 賬戶安全等級管理：在Linux操作系統上，每個賬戶可以被賦予不同的權限，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的權限，且歸并到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。

• 謹慎使用”r”系列遠程程序管理：在Linux操作系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。

• root用戶權限管理：root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶權限，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的權限。sudo就是這樣的工具。

• 綜合防御管理：防火墻、IDS等防護技術已成功應用到網絡安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火墻相當于安全防護的第一層，它僅僅通過簡單地比較IP地址/端口對來過濾網絡流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網絡流量，是安全防護的第二層。綜合使用它們，能夠做到互補，并且發揮各自的優勢，最終實現綜合防御。

• 補丁管理：Linux作為一種優秀的開源軟件，其穩定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優秀的產品，因而起流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。

回答所涉及的環境：聯想天逸510S、Windows 10。