第1章

Linux系统安全概述

著名网站技术调查公司W3Techs（官方网站：https://w3techs.com）于2018年11月17日发布的调查报告中指出，Linux在网站服务器操作系统中使用比例高达37.2%。除了被广泛使用在网站平台上以外，Linux也常常被作为FTP服务器、电子邮件服务器、域名解析服务器和大数据分析服务器等而部署在互联网上。Linux作为互联网基础设施的一个重要组成部分，保障其安全的重要性不言而喻。虽然Linux是一款被大量部署的优秀的开源操作系统，但是这并不意味着不需要关注其安全性。在互联网上，有许许多多针对Linux系统的攻击。例如，中国国家计算机病毒应急处理中心（官方网站：http://www.cverc.org.cn）在《病毒预报 第七百六十九期》中指出：“通过对互联网的监测，发现了一款旨在感染Linux设备的加密货币挖矿恶意程序Linux.BtcMine.174。该恶意程序在不经过设备所有者同意的情况下使用CPU或GPU资源来进行隐蔽的加密货币挖掘操作。”

如果缺乏严密细致的防御措施、积极主动的安全扫描、行之有效的入侵检测系统、切实到位的安全管理制度和流程保障，那么Linux系统很容易***客入侵或利用，而保障业务和数据安全也将成为一句空话。

本章概览性地介绍信息安全和系统安全的概念、常见的威胁分析模型和保障安全的主要原则。对于从全局上把握Linux系统安全来说，这些知识是不可或缺的，它们是构建完整Linux系统安全体系的指南，引导着本书后续章节内容。

1.1　什么是安全

1500多年前，由从梵文译成汉文的《百喻经·愿为王剃须喻》中讲述了亲信救王的故事。故事中写道：“昔者有王，有一亲信，于军阵中，殁命救王，使得安全。”这里的安全指的就是“平安、不受威胁”。

同样，笔者认为，安全是指一种状态，在这种状态下，某种对象或者对象的某种属性是不受威胁的。例如，《中华人民共和国国家安全法》第二条对国家安全的定义是：“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。”《中华人民共和国网络安全法》第五条中指出，网络安全的目的之一就是“保护关键信息基础设施免受攻击、侵入、干扰和破坏”，也就是保护关键信息基础设施不受威胁。

1.1.1　什么是信息安全

对于什么是信息安全（Information Security），不同的组织和个人可能有不同的定义。

ISO/IEC、美国国家安全系统委员会和国际信息系统审计协会对信息安全的定义是被大部分信息安全从业人员所认可并支持的。《ISO/IEC 27001:2005 信息安全管理体系规范与使用指南》中对信息安全的定义是：“保护信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及其他属性，如真实性、可确认性、不可否认性和可靠性。”

美国国家安全系统委员会（Committee on National Security Systems，CNSS）在《Committee on National Security Systems: CNSS Instruction No. 4009》对信息安全的定义是：“为了保障机密性、完整性和可用性而保护信息和信息系统，以防止未授权的访问、使用、泄露、中断、修改或者破坏。”

国际信息系统审计协会（Information Systems Audit and Control Association，ISACA）对信息安全的定义是：“在企业组织内，信息被保护，以防止被泄露给未授权用户（机密性）、防止非恰当的修改（完整性）、防止在需要的时候无法访问（可用性）。”

通过以上这3个定义我们可以看出，保障信息安全的最重要目的是保护信息的机密性、完整性和可用性这3个属性。

机密性：信息仅仅能够被已授权的个人、组织、系统和流程访问。例如，个人的银行账户交易流水和余额信息，除了账户持有人、经账户持有人授权的第三方组织、依相关法律法规规定有查询权限的组织以外，不应该被任何其他实体获取到。另外，商业组织的客户联系信息往往也具有较高的价值，也需要保护其机密性。在某些对安全要求较高的行业，甚至特别强调了对机密性的保障。例如，在《支付卡行业数据安全标准3.2.1版本（Payment Card Industry Data Security Standard, Version 3.2.1）》3.2.2条中明确指出，在授权完成后，不能在日志、数据库等位置存储信用卡验证码（CVV2、CVC2、CID、CAV2等）。这是一个强调信用卡验证码机密性的例子。

完整性：保护信息的一致性（Consistency）、准确性（Accuracy）和可信赖性（Trustworthiness）。例如，A公司向B公司提供的数据报告是通过电子邮件附件的形式来传输的，那么A公司就需要和B公司预先确定一种机制，来检查和确认B公司收到的电子邮件附件确实与A公司发送的一模一样，是未被在传输过程中篡改的。

可用性：当需要访问的时候，信息可以提供给合法授权用户访问。没有了可用性的保障，信息的价值就难以持续体现出来。

在学习信息安全的机密性、完整性和可用性这3个属性时，我们可以使用信息安全的C.I.A金三角帮助记忆，如图1-1所示。

在考虑信息安全的时候，必须把保障信息的机密性、完整性、可用性作为最重要目标，才能建立完善和有效的保护机制，避免顾此失彼。例如，华为公司2019年一号文《全面提升软件工程能力与实践，打造可信的高质量产品—致全体员工的一封信》（电邮讲话【2019】001号 签发人：任正非）指出：“公司已经明确，把网络安全和隐私保护作为公司的最高纲领。”其同时指出，“安全性（Security）”的要求就是“产品有良好的抗攻击能力，保护业务和数据的机密性、完整性和可用性”。

图1-1　信息安全的C.I.A金三角记忆图