引言

　　不管在哪个服务器系统上，任何一个文件的执行都必须具有一定的权限，如果黑客获得了这个权限，就有可能利用这个漏洞运行一些黑客程序，从而达到控制整个计算机的目的。反之，即使黑客能够把一些黑客程序上传到服务器上，由于权限的问题，这些黑客程序也将无法运行，不能危害我们的系统。例如findpass就是这样的。

　　1 Windows系统权限保护

　　首先关注密码安全。在很多安全事件发生之后，人们在查看原因时，都会发现一个非常惊人的事情，就是很多人一般不设置或者仅设置了很简单的Windows管理员密码。这实际上就等于把系统的控制权毫无保留地交给了黑客，网络安全的第二道防线，这一刻将变得相当的脆弱。

　　黑客经过扫描如果发现了这个令人高兴的消息，直接就可以进行远程控制或上传并运行病毒木马，系统将变成任人宰割的“肉鸡”。黑客往往可以在用户不知情的情况下，控制这些“肉鸡”去攻击其它计算机，而自己藏在幕后来躲避网络警察的追踪。这样用户不仅损失了自己的资源，包庇了黑客，还危害了他人的计算机，可谓损失惨重。所以一个安全的密码对一个系统来说是相当重要的，绝不能掉以轻心。

　　其次从权限管理方面来看，Windows的权限管理其实是比较简单的，只是定义了几个组和几个特殊用户来管理计算机，其中权力最高的Administrator也不能管理系统的所有东西，如果系统发现病毒，有时候Administrator也只能看着，无法结束进程。

　　但是如果Windows升级成域控制器(DC)，他的权限管理就会发生很大的变化，系统会根据域组策略对每个域用户进行严格的管理,这样就可以提高系统权限管理的安全性。但这样的权限管理仍不容乐观，例如不加入域的用户可能对网络造成安全隐患、域控制器本身也会存在漏洞等。

　　最后从安全策略的方面来看，Windows主要是通过注册表对系统进行管理的，但是注册表非常复杂。为解决这个问题，Windows提供了一些注册表管理工具：本地安全策略、本地组策略、控制面板等。它们如果经过精心配置，从而修改注册表，可以达到提高网络安全的目的，并且不占用系统资源。但是这种方式配置起来非常复杂、不灵活，修改起来比较麻烦，对于专业人士来说还可以接受，如果是普通用户则不太适合。

　　2 Linux系统权限保护

　　Linux的权限设置从根本上就与Windows有着很大的差别。Linux权限管理的各个方面是一个完整的系统，而Windows在这方面很零碎，不成体系，并且每个模块之间的配合几乎没有，同时很多功能仅仅只是存在，并没有实际意义。

　　(1)从密码安全方面来看，Linux跟Windows一样，都需要安全密码。但是Linux的密码如果丢失，虽然系统会出现安全隐患，但不至于像Windows那样很快成为“肉鸡”。因为在Linux中还有其它安全措施可以弥补密码丢失造成的问题。尽管如此，密码安全仍不容忽视。

　　(2)从Linux的权限管理来看，Linux的文件系统就是一棵“树”，而权限管理就是为了服务这棵“树”而设计的。但是Linux的权限设置比较简单，只有“属主”、“属组”、“其它”3部分，控制起来很不灵活。Linux为了弥补这些，加入了ACL权限管理机制，使得用户的权限管理灵活起来。

　　(3)从Linux的安全策略来看，Tcpwarpper是一个简单的安全策略，是一种可以限制一个IP或一个IP段的计算机访问Linux服务器的某个服务的安全策略，而且功能强大，可以很好地限制远程计算机对Linux服务器的访问。如果再配合IPtables防火墙，就可以实现对很多危险信息的隔离，有效降低服务器受到网络威胁的概率，提高系统的安全性。

　　(4)从Linux的安全认证来看，强大的PAM认证机制，一般翻译成“可插拔式认证模块”，或是“可插入式认证模块”。它是一种性能健壮、灵活方便的用户级认证方式，是Linux和Unix首选的安全认证方式。它通过模块化的结构，方便灵活地解决了很多繁琐的用户接入认证问题，规范了用户接入及其已授权行为，严格限制了非授权用户的接入及其行为，是一种不可多得的认证机制。

　　(5)从Linux的IPtables防火墙来看，IPtables防火墙的本质就是Linux内核集成的IP信息包过滤系统。这个系统功能非常强大，可以非常轻松地管理防火墙的规则，并且资源占用很小。IPtables包过滤系统在内核中有一个通用构架netfilter，它提供了“表”，每个“表”中又包含了“链”，“链”中配置了相应的“规则”。归根结底IPtables只是一个管理内核包过虑的工具。IPtables防火墙是一个贯串始终的安全体系，几乎所有的安全策路都会用到防火墙。

　　当有数据包进入系统时，系统首先根据相应的表决定将数据包发给哪一条链，当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则的条件。如果满足，系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。如果该数据包不符合该链中任何一条规则，系统就会根据该链预先定义的策略来处理该数据包。

　　IPtables防火墙功能非常强大，简单易用，安全性高，并且还能完成NAT等其它功能，因而受到了很多用户的好评。

　　(6)从Linux的入侵检测方面来看，Snort有着非常强大的系统监视功能，并拥有丰富的规则(可从官方网站上下载)，可以有效地监控网络的运行状态，是一个免费的基于Libpcap的轻量级网络入侵检测系统。它能够跨平台操作，用于监视小型的企业网络并结合其它安全机制作出快速反应，把威胁限制在一个最小的范围里。同时，它支持大量可扩展插件，有效配合系统中的其它安全机制来保护系统安全。例如本文中提到的Guardian包，就是开发人员编写的Snort扩展模块(用于跟IPtables联动的插件)。

　　(7)从Linux的SELinux来看，它实际上就是加强系统权限管理的一套机制，能有效弥补系统帐号密码泄露所带来的安全隐患。如果使用SElinux限制权限和存储机制，就必须使用Enforcing模式。在这种模式下，即使是root用户对一些系统的关键进程的直接控制和管理也无能为力。如果有了SElinux的保护，在黑客得到root帐号的情况下，要想实现对系统的控制，就必须经过层层审核和限制，最终也无法修改文件内容。这样，就把入侵之后的风险降到了最低。

　　(8)从Linux的安全审计方面来看，Audit是个集成在2.6内核中的事件记录器，可以有效地监控服务器的系统状态。在监控之前加入特定的规则，当满足规则时就视为入侵，并发出警报。与入侵检测不同的是，Audit的监控对象是服务器，而入侵检测监控对象是网络数据流。

　　安全审计本身是一个庞大的系统，在大多数情况下，Linux都是用Audit配合其它安全机制来完成对系统安全方面事件的记录，供系统管理人员进行分析和提出警告。Audit系统搜集的信息包括：事件名称，事件状态和其它安全的信息。

　　纵观整个Linux安全体系，我们不难发现，系统的各个环节都配合相当紧密。在一般情况下，黑客很难完成对权限的控制，更不用说进行远程控制了。即使一些黑客高手利用未知的漏洞可以获得一定的系统权限，但是他们很难对系统进行远程控制，而且即使可以上传木马病毒，由于权限的限制，也不能运行这些病毒，所以对系统的危害是有限的。

　　本文来源于江城论文范文：http://www.xoock.com