操作系统安全机制课件.ppt

1、第9章 操作系统安全v9.1 操作系统的安全性操作系统的安全性v9.2 Windows安全机制安全机制v9.3 Windows安全配置安全配置v9.4 Unix安全机制安全机制v9.5 Linux安全机制安全机制v9.6 Linux安全设置安全设置 v 9.1 操作系统的安全性操作系统的安全性v9.1.1操作系统安全功能操作系统安全功能v 一个安全的操作系统应该具有以下的功能一个安全的操作系统应该具有以下的功能：v 1有选择的访问控制有选择的访问控制v 对计算机的访问可以通过用户名和密码组对计算机的访问可以通过用户名和密码组合及物理限制来控制；对目录或文件级的访问则可合及物理限制来控制；对目录

2、或文件级的访问则可以由用户和组策略来控制。以由用户和组策略来控制。v 2内存管理与对象重用内存管理与对象重用v 系统中的内存管理器必须能够隔离每个不系统中的内存管理器必须能够隔离每个不同进程所使用的内存。在进程终止且内存将被重用同进程所使用的内存。在进程终止且内存将被重用之前，必须在再次访问它之前，将其中的内容清空之前，必须在再次访问它之前，将其中的内容清空。v 3审计能力审计能力v 安全系统应该具备审计能力，以便测试安全系统应该具备审计能力，以便测试其完整性，并可追踪任何可能的安全破坏活动。其完整性，并可追踪任何可能的安全破坏活动。审计功能至少包括可配置的事件跟踪能力、事件审计功能至少包括可

3、配置的事件跟踪能力、事件浏览和报表功能、审计事件、审计日志访问等。浏览和报表功能、审计事件、审计日志访问等。v 4加密数据传送加密数据传送v 数据传送加密保证了在网络传送时所截数据传送加密保证了在网络传送时所截获的信息不能被未经身份认证代理所访问。针对获的信息不能被未经身份认证代理所访问。针对窃听和篡改，加密数据具有很强的保护作用。窃听和篡改，加密数据具有很强的保护作用。v 5加密文件系统加密文件系统v 对文件系统加密保证了文件只能被具有对文件系统加密保证了文件只能被具有访问权的用户所访问。文件加密和解密的方式对访问权的用户所访问。文件加密和解密的方式对用户来说应该是透明的。用户来说应该是透明

4、的。v 6安全进程间通信机制安全进程间通信机制v 进程间通信也是给系统安全带来威胁的进程间通信也是给系统安全带来威胁的一个主要因素，应对进程间的通信机制做一些必一个主要因素，应对进程间的通信机制做一些必要的安全检查。要的安全检查。v9.1.2 操作系统安全设计操作系统安全设计v 操作系统的安全性遍及整个操作系统的操作系统的安全性遍及整个操作系统的设计和结构中，所以在设计操作系统时应多方面设计和结构中，所以在设计操作系统时应多方面考虑安全性的要求。下面是操作安全系统设计的考虑安全性的要求。下面是操作安全系统设计的一些原则：一些原则：v 1最小权限最小权限v 2机制的经济性机制的经济性v 3开放式

5、设计开放式设计v 4完整的策划完整的策划v 5权限分离权限分离v 6最少通用机制最少通用机制v 可共享实体提供了信息流的潜在通道，可共享实体提供了信息流的潜在通道，系统为防止这种共享的威胁要采取物理或逻辑分系统为防止这种共享的威胁要采取物理或逻辑分离的措施。离的措施。v9.1.3 操作系统的安全配置操作系统的安全配置v 操作系统安全配置主要是指操作系统访操作系统安全配置主要是指操作系统访问控制权限的合理设置、系统的及时更新以及对问控制权限的合理设置、系统的及时更新以及对攻击的防范三个方面。攻击的防范三个方面。v 1合理设置合理设置v 利用操作系统的访问控制功能，为用户利用操作系统的访问控制功能

6、，为用户和文件系统建立恰当的访问权限控制。和文件系统建立恰当的访问权限控制。 v 2及时更新及时更新v 及时地更新系统，能修正操作系统中已及时地更新系统，能修正操作系统中已发现的问题，会使整个系统的安全性、稳定性、发现的问题，会使整个系统的安全性、稳定性、易用性得到大幅度提高。易用性得到大幅度提高。v 3攻击防范攻击防范v 攻击的防范主要是指对于各种可能的攻攻击的防范主要是指对于各种可能的攻击，比如利用系统缓冲区溢出攻击等要进行合理击，比如利用系统缓冲区溢出攻击等要进行合理的预先防范，对各类攻击的防范是操作系统系统的预先防范，对各类攻击的防范是操作系统系统安全防护的一个重要内容。安全防护的一个

7、重要内容。 v9.1.4 操作系统的安全性操作系统的安全性v 1用户认证能力用户认证能力v 操作系统的许多保护措施大都基于鉴别系统操作系统的许多保护措施大都基于鉴别系统的合法用户，身份鉴别是操作系统中相当重要的一的合法用户，身份鉴别是操作系统中相当重要的一个方面，也是用户获取权限的关键。为防止非法用个方面，也是用户获取权限的关键。为防止非法用户存取系统资源，操作系统采取了切实可行的、极户存取系统资源，操作系统采取了切实可行的、极为严密的安全措施。为严密的安全措施。v 2抵御恶意破坏能力抵御恶意破坏能力v 恶意破坏可以使用安全漏洞扫描工具、特恶意破坏可以使用安全漏洞扫描工具、特洛伊木马、计算机病

8、毒等方法实现。一个安全的操洛伊木马、计算机病毒等方法实现。一个安全的操作系统应该尽可能减少漏洞存在，避免各种后门出作系统应该尽可能减少漏洞存在，避免各种后门出现。现。v 3监控和审计日志能力监控和审计日志能力v 从技术管理的角度考虑，可以从监控和从技术管理的角度考虑，可以从监控和审计日志两个方面提高系统的安全性。审计日志两个方面提高系统的安全性。v （1）监控（）监控（monitoring）v 监控可以检测和发现可能违反系统安全监控可以检测和发现可能违反系统安全的活动。例如，在分时系统中，记录一个用户登的活动。例如，在分时系统中，记录一个用户登录时输入的不正确口令的次数，当超过一定的数录时输入

9、的不正确口令的次数，当超过一定的数量时，就表示有人在猜测口令，可能就是非法的量时，就表示有人在猜测口令，可能就是非法的用户。用户。v （2）审计日志（）审计日志（audit log）v 日志文件可以帮助用户更容易发现非法日志文件可以帮助用户更容易发现非法入侵的行为，可以利用它综合各方面的信息，去入侵的行为，可以利用它综合各方面的信息，去发现故障的原因、侵入的来源以及系统被破坏的发现故障的原因、侵入的来源以及系统被破坏的范围。范围。v 9.2 Windows安全机制安全机制v9.2.1 Windows安全机制概述安全机制概述v Windows安全服务的核心功能包括了安全服务的核心功能包括了活动目

10、录活动目录AD服务、对服务、对PKI的集成支持、对的集成支持、对Kerberos V5鉴别协议的支持，保护本地数据鉴别协议的支持，保护本地数据的的EFS和使用和使用IPSec来支持公共网络上的安全来支持公共网络上的安全通讯等。通讯等。v9.2.2 活动目录服务活动目录服务v 活动目录是一种包含服务功能的目录，活动目录是一种包含服务功能的目录，它可以做到它可以做到“由此及彼由此及彼”的联想、映射。如找到了的联想、映射。如找到了一个用户名，可以联想到该用户的账号等，提高一个用户名，可以联想到该用户的账号等，提高了系统资源的利用效率。了系统资源的利用效率。v 活动目录包括目录和与目录相关的服务活动目

11、录包括目录和与目录相关的服务两个部分。两个部分。v 目录是存储各种对象的一个物理容器，目录是存储各种对象的一个物理容器，与与Windows9X中的中的“目录目录”和和“文件夹文件夹”没有本没有本质区别，仅仅是一个对象。质区别，仅仅是一个对象。v 目录服务是为目录中所有信息和资源发目录服务是为目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服挥作用的服务，活动目录是一个分布式的目录服务，能对用户提供统一的服务。务，能对用户提供统一的服务。v Windows系统的安全模型正是建立在系统的安全模型正是建立在活动目录结构之上，提供域间信任关系、组策略活动目录结构之上，提供域间信任关系、组

12、策略安全管理、身份鉴别与访问控制、管理委派等安安全管理、身份鉴别与访问控制、管理委派等安全性服务。全性服务。v 1域间信任关系域间信任关系v这里的域是指这里的域是指Windows网络系统的安全性边网络系统的安全性边界。界。 v Windows支持域间的信任关系，用来支支持域间的信任关系，用来支持直接身份验证传递，用户和计算机可以在目录持直接身份验证传递，用户和计算机可以在目录树的任何域中接受身份验证，使得用户或计算机树的任何域中接受身份验证，使得用户或计算机仅需登录一次网络就可以对任何他们拥有相应权仅需登录一次网络就可以对任何他们拥有相应权限的资源进行访问。限的资源进行访问。v 2组策略安全管

13、理组策略安全管理v 组策略安全管理可以实现系统的安全配组策略安全管理可以实现系统的安全配置。管理者可用此设置来控制活动目录中对象的置。管理者可用此设置来控制活动目录中对象的各种行为，使管理者能够以相同的方式将所有类各种行为，使管理者能够以相同的方式将所有类型的策略应用到众多计算机上，可以定义广泛的型的策略应用到众多计算机上，可以定义广泛的安全性策略。安全性策略。 v 3身份鉴别与访问控制身份鉴别与访问控制v 身份鉴别服务用来确认任何试图登录到身份鉴别服务用来确认任何试图登录到域或访问网络资源的用户身份。在域或访问网络资源的用户身份。在Windows环环境中，用户身份鉴别有两种方式：境中，用户身

14、份鉴别有两种方式：v （1）互动式登录，向域账户或本地计算）互动式登录，向域账户或本地计算机确认用户的身份；机确认用户的身份；v （2）网络身份鉴别，向用户试图访问的）网络身份鉴别，向用户试图访问的任何网络服务确认用户的身份。任何网络服务确认用户的身份。v 4管理委派管理委派v 将原来复杂的域管理任务分配给多个管将原来复杂的域管理任务分配给多个管理员进行管理。理员进行管理。 v9.2.3 认证服务认证服务v Windows使用使用Kerberos V5协议作协议作为网络用户身份认证的主要方法。为网络用户身份认证的主要方法。v Windows操作系统全面支持操作系统全面支持PKI，并，并作为操作

15、系统的一项基本服务而存在。作为操作系统的一项基本服务而存在。v9.2.4 加密文件系统加密文件系统v Windows提供了加密文件系统提供了加密文件系统EFS用用来保护本地系统，如硬盘中的数据安全。来保护本地系统，如硬盘中的数据安全。EFS是是 Windows 的的 NTFS 文件系统的一个组件，能文件系统的一个组件，能让用户对本地计算机中的文件或文件夹进行加密让用户对本地计算机中的文件或文件夹进行加密，非授权用户是不能对这些加密文件进行读写操，非授权用户是不能对这些加密文件进行读写操作的。作的。v9.2.5 安全设置模板安全设置模板v Windows提供了安全模板工具，它可提供了安全模板工具

16、，它可以方便组织网络安全设置的建立和管理。安全模以方便组织网络安全设置的建立和管理。安全模板是安全配置的实际体现，它是一个可以存储一板是安全配置的实际体现，它是一个可以存储一组安全设置的文件。组安全设置的文件。Windows包含一组标准安包含一组标准安全模板，模板适用的范围从低安全性域客户端设全模板，模板适用的范围从低安全性域客户端设置到高安全性域控制器设置都有。置到高安全性域控制器设置都有。v v9.2.6安全账号管理器安全账号管理器v Windows中对用户账户的安全管理使中对用户账户的安全管理使用了安全账号管理器用了安全账号管理器SAM （Security Account Manager

17、），是），是Windows的用户的用户账户数据库，所有用户的登录名及口令等相关信账户数据库，所有用户的登录名及口令等相关信息都会保存在这个文件中。息都会保存在这个文件中。Windows系统中对系统中对SAM文件中资料全部进行了加密处理，一般的文件中资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。编辑器是无法直接读取这些信息的。 v9.2.7其它方面其它方面v 1支持支持IPSec协议协议v IPSec提供了认证、加密、数据完整性提供了认证、加密、数据完整性和和TCP/IP数据的过滤功能。数据的过滤功能。v 2可扩展的安全体系结构可扩展的安全体系结构v 为了提供与现有客户端的兼容性

18、并利用为了提供与现有客户端的兼容性并利用特殊的安全机制，特殊的安全机制，Windows操作系统使用操作系统使用SSPI来确保在基于来确保在基于Windows环境中实现一致环境中实现一致的安全性。的安全性。SSPI为客户机服务器双方的身份为客户机服务器双方的身份认证提供了上层应用的认证提供了上层应用的API，屏蔽了网络安全协，屏蔽了网络安全协议的实现细节议的实现细节v 3安全审核安全审核v Windows允许用户监视与安全性相关允许用户监视与安全性相关的事件（如失败的登录尝试），因此，可以检测的事件（如失败的登录尝试），因此，可以检测到攻击者和试图危害系统数据的事件。到攻击者和试图危害系统数据的

19、事件。Windows还产生安全性日志，并提供查看日志还产生安全性日志，并提供查看日志中所报告安全性事件的方法。中所报告安全性事件的方法。v v 9.3 Windows安全配置安全配置v 基于基于NT技术的技术的Windows 操作系统自身操作系统自身带有强大的安全功能和选项，只要合理的配置它们带有强大的安全功能和选项，只要合理的配置它们， windows操作系统将会是一个比较安全的操操作系统将会是一个比较安全的操作系统。据说，有作系统。据说，有90的恶意攻击都是利用的恶意攻击都是利用Windows 操作系统安全配置不当造成的。操作系统安全配置不当造成的。v 1使用使用NTFS分区格式分区格式v

20、 NTFS文件系统具备高强度的访问控制机文件系统具备高强度的访问控制机制，保证用户不能访问未经授权的文件和目录，能制，保证用户不能访问未经授权的文件和目录，能够有效地保护数据不被泄漏与篡改。够有效地保护数据不被泄漏与篡改。v 同时同时NTFS文件系统还具有查找文件速文件系统还具有查找文件速度快，产生文件碎片少，节约磁盘空间等优点。度快，产生文件碎片少，节约磁盘空间等优点。v 2使用不同的分区使用不同的分区v安装操作系统时，应用程序不要和操作系统放安装操作系统时，应用程序不要和操作系统放在同一个分区中，至少要在硬盘上留出两个分区在同一个分区中，至少要在硬盘上留出两个分区，一个用来安装操作系统和重

21、要的日志文件，另，一个用来安装操作系统和重要的日志文件，另一个用来安装应用程序，以免攻击者利用应用程一个用来安装应用程序，以免攻击者利用应用程序的漏洞导致系统文件的泄漏与损坏。序的漏洞导致系统文件的泄漏与损坏。 v 3系统版本的选择系统版本的选择v Windows有各种语言的版本，可以选有各种语言的版本，可以选择英文版或简体中文版。择英文版或简体中文版。v 4安装顺序安装顺序v 在本地系统用光盘等安装，接着是安装在本地系统用光盘等安装，接着是安装各种应用程序，最后再安装最新系统补丁。各种应用程序，最后再安装最新系统补丁。v 5及时安装最新补丁程序及时安装最新补丁程序v 要经常访问微软和一些安全

22、站点，下载要经常访问微软和一些安全站点，下载最新的最新的SP（Service Pack）和漏洞补丁（）和漏洞补丁（Hot Fixes）程序，这是维护系统安全最简单也）程序，这是维护系统安全最简单也是最有效的方法。是最有效的方法。v 微软公司的产品补丁分为微软公司的产品补丁分为2类：类：SP和和Hot Fixes。SP是集合一段时间内发布的是集合一段时间内发布的Hot Fixes的所的所 有补丁，也称大补丁，一般命名为有补丁，也称大补丁，一般命名为SP1、SP2等，等， Hot Fixes是小补丁，是为解是小补丁，是为解决微软网站上最新安全告示中的系统漏洞而发布决微软网站上最新安全告示中的系统漏

23、洞而发布的。的。v 6组件的定制组件的定制v 最好只安装你确实需要的服务。在不确最好只安装你确实需要的服务。在不确定的情况下，选择是不安装，需要时再补装也不定的情况下，选择是不安装，需要时再补装也不晚。根据安全原则，最少的服务最小的权限晚。根据安全原则，最少的服务最小的权限最大的安全。最大的安全。v 7启动设置启动设置v 一旦系统安装完毕，除了硬盘启动外，一旦系统安装完毕，除了硬盘启动外，软盘、光盘、甚至是软盘、光盘、甚至是USB闪存的启动都可能带闪存的启动都可能带来安全的问题。可以在来安全的问题。可以在BIOS设置中禁止除硬盘设置中禁止除硬盘以外的任何设备的启动。同时，要在以外的任何设备的启

24、动。同时，要在BIOS中设中设置开机密码，开机密码是计算机安全的第一道防置开机密码，开机密码是计算机安全的第一道防线。线。v 8限制用户数量限制用户数量v 去掉所有测试用户、共享用户和普通部去掉所有测试用户、共享用户和普通部门账号等，要知道，系统的帐户越多，黑客们得门账号等，要知道，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。到合法用户的权限可能性一般也就越大。v v 9创建创建2个管理员用帐号个管理员用帐号 v 创建一个一般权限帐号用来处理一些日常创建一个一般权限帐号用来处理一些日常事物，另一个拥有事物，另一个拥有Administrators 权限的帐户权限的帐户只在需要的时

25、候使用。要尽量减少只在需要的时候使用。要尽量减少Administrators登陆的次数和时间，因为，只登陆的次数和时间，因为，只要登陆系统后，密码就存储在要登陆系统后，密码就存储在WinLogon中，非中，非法用户入侵计算机时就可以得到登陆用户密码。法用户入侵计算机时就可以得到登陆用户密码。v 10使用文件加密系统使用文件加密系统EFS v Windows强大的加密系统能够给磁盘、强大的加密系统能够给磁盘、文件夹（包括文件夹（包括temp文件夹）和文件加上一层安全文件夹）和文件加上一层安全保护，这样可以防止别人把你的硬盘上的数据读保护，这样可以防止别人把你的硬盘上的数据读出。出。 v 11目录

26、和文件权限目录和文件权限v 仅给用户真正需要的权限，权限的最小仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。化原则是安全的重要保障。v 12关闭默认共享关闭默认共享v 操作系统安装后，系统会创建一些默认操作系统安装后，系统会创建一些默认的共享，如共享驱动器、共享文件和共享打印等的共享，如共享驱动器、共享文件和共享打印等，这意味着进入网络的用户都可以共享和获得这，这意味着进入网络的用户都可以共享和获得这些资源。因此要根据应用需要，关闭不需要的共些资源。因此要根据应用需要，关闭不需要的共享服务。享服务。v v 13禁用禁用Guest账号账号v Guest帐户，即所谓的来宾帐户，它可以帐

27、户，即所谓的来宾帐户，它可以访问计算机，虽然受到限制，但也为为黑客入侵访问计算机，虽然受到限制，但也为为黑客入侵打开了方便之门，如果不需要用到打开了方便之门，如果不需要用到Guest帐户，帐户，最好禁用它。最好禁用它。v 14清除转储文件和交换文件清除转储文件和交换文件v 转储文件（转储文件（Dump File）是在系统崩溃）是在系统崩溃和蓝屏时，会把内存中的数据保存到转储文件，和蓝屏时，会把内存中的数据保存到转储文件，以帮助人们分析系统遇到的问题，但对一般用户以帮助人们分析系统遇到的问题，但对一般用户来说是没有用的。另一方面，转储文件可能泄漏来说是没有用的。另一方面，转储文件可能泄漏许多敏感

28、数据。交换文件（即页面文件）也存在许多敏感数据。交换文件（即页面文件）也存在同样问题。同样问题。v v 15使用安全密码使用安全密码v Windows允许设置口令的长度可达允许设置口令的长度可达127位，要实现最大的保护工作，就要为位，要实现最大的保护工作，就要为“Administrator”帐号创建至少帐号创建至少8位长度的口位长度的口令。开启令。开启Windows账号安全和密码策略，可以账号安全和密码策略，可以使设置的密码更加安全。使设置的密码更加安全。v 16随时锁定计算机随时锁定计算机 v 如果在使用计算机过程中，需要短暂离如果在使用计算机过程中，需要短暂离开计算机的话，可以通过使用开

29、计算机的话，可以通过使用CTRL+ALT+DEL组合键或屏幕保护程序来达组合键或屏幕保护程序来达到锁定屏幕的目的。到锁定屏幕的目的。v v v 17. 关闭不必要的端口 我们知道，Windows中每一项服务都对应相应的端口，而黑客大多是通过端口进行入侵的，关闭一些端口可以防止黑客的入侵。 18关闭不必要的服务 为了方便用户，Windows默认安装了许多我们暂时不用的服务，在系统资源相对紧张的情况下，额外的服务会导致系统资源紧张，引起系统的不稳定，它还会为黑客的远程入侵提供了多种途径。v 19备份和恢复数字证书备份和恢复数字证书v 在使用在使用Windows自带的加密文件系统自带的加密文件系统（

30、EFS）把一些重要数据加密保存后，在重装系）把一些重要数据加密保存后，在重装系统时如果没有原来备份的个人加密证书和密钥文统时如果没有原来备份的个人加密证书和密钥文件，被加密的文件将不能访问，所以数字证书的件，被加密的文件将不能访问，所以数字证书的备份和恢复就显得十分重要了。备份和恢复就显得十分重要了。v 20利用利用“网络监视器网络监视器”v “网络监视器网络监视器”可以细致到监视一个数可以细致到监视一个数据包的据包的 具体内容，以供用户详细了解服务器的具体内容，以供用户详细了解服务器的数据流动情况，使用数据流动情况，使用“网络监视器网络监视器”可以帮助网管可以帮助网管查看网络故障，检测黑客攻

31、击。查看网络故障，检测黑客攻击。 v v 21启用安全日志审核启用安全日志审核v安全日志是记录一个系统操作过程的重要手段安全日志是记录一个系统操作过程的重要手段，通过日志可以查看系统一些运行状态，是审，通过日志可以查看系统一些运行状态，是审核最基本的入侵检测方法。核最基本的入侵检测方法。 v 22保护注册表的安全保护注册表的安全v 对于注册表应严格限制只能在本地进行对于注册表应严格限制只能在本地进行注册，不能被远程访问。可以利用文件管理器注册，不能被远程访问。可以利用文件管理器设置只允许网络管理员使用注册表编辑工具设置只允许网络管理员使用注册表编辑工具regedit.exe，限制对注册表编辑工

32、具的访问，限制对注册表编辑工具的访问。也可使用一些工具软件来锁住注册表。或利。也可使用一些工具软件来锁住注册表。或利用用regedit.exe修改注册表键值的访问权限。修改注册表键值的访问权限。 v v 23物理安全物理安全v 服务器要放在装有监视器的隔离房间内服务器要放在装有监视器的隔离房间内，机箱等需要上锁，钥匙要放在安全的地方。，机箱等需要上锁，钥匙要放在安全的地方。因为任何人都可以把硬盘卸下来，到其它的系因为任何人都可以把硬盘卸下来，到其它的系统上读取数据，破坏安全防护。桌面机和服务统上读取数据，破坏安全防护。桌面机和服务器一样，要尽可能地避免物理接触。器一样，要尽可能地避免物理接触。

33、v v 9.4 Unix安全机制安全机制v 1用户帐号安全用户帐号安全v 用户号和用户组号是用户号和用户组号是Unix系统唯一地系统唯一地标识用户和同组用户及用户的访问权限，标识用户和同组用户及用户的访问权限， v 2口令安全口令安全v 为了防止普通用户访问为了防止普通用户访问passwd文件，文件，减少攻击者窃取加密口令信息的机会，超级用户减少攻击者窃取加密口令信息的机会，超级用户可以创建映像口令文件可以创建映像口令文件/etc/shadow。它使。它使得用户可以把口令放在一个只有超级用户才能访得用户可以把口令放在一个只有超级用户才能访问到的地方，从而避免系统中的所有用户都可以问到的地方，从

34、而避免系统中的所有用户都可以访问到这些信息。访问到这些信息。 v 3文件系统安全文件系统安全v 在在Unix系统中，文件访问权限主要通过系统中，文件访问权限主要通过文件的权限设置（文件的权限设置（chmod命令）来实现。在多命令）来实现。在多用户系统中，文件访问权限尽量应以满足要求为用户系统中，文件访问权限尽量应以满足要求为宜。宜。 v 4. FTP安全安全v 匿名匿名FTP是对网络文件传输进行安全保是对网络文件传输进行安全保护的一种有效手段，在使用时需注意以下几点：护的一种有效手段，在使用时需注意以下几点：v （1）使用最新的）使用最新的FTP版本。版本。v （2）确保没有任何文件及其所有者

35、属于）确保没有任何文件及其所有者属于FTP账户或必须不与它在同一组内。账户或必须不与它在同一组内。v v （3）确保）确保FTP目录及其下级子目录的所有目录及其下级子目录的所有者是者是root，以便对有关文件进行保护。，以便对有关文件进行保护。v （4）确保）确保FTP的的home目录下的目录下的passwd不是不是/etc/passwd的完全拷贝，否则容易给黑客的完全拷贝，否则容易给黑客破解整个系统的有关用户信息。破解整个系统的有关用户信息。v （5）不要允许匿名用户在任何目录下创建）不要允许匿名用户在任何目录下创建文件或目录。文件或目录。v 5文件加密文件加密v Unix用户可以使用用户可

36、以使用crypt命令加密文件，命令加密文件，用户选择一个密钥加密文件，再次使用此命令，用用户选择一个密钥加密文件，再次使用此命令，用同一密钥作用于加密后的文件，就可恢复文件内容同一密钥作用于加密后的文件，就可恢复文件内容。v v 一般来说，在加密文件前先用一般来说，在加密文件前先用pack或或compress命令对文件进行压缩后再加密。命令对文件进行压缩后再加密。 v 6Unix日志文件日志文件v 在在Unix系统中，比较重要的日志文件系统中，比较重要的日志文件有记录每个用户最后登录的时间（包括成功的有记录每个用户最后登录的时间（包括成功的和未成功的）的和未成功的）的 /user/adm/la

37、stlog文件文件，记录当前登录到系统的用户的，记录当前登录到系统的用户的/etc/utmp文件，记录用户的登录和注销的文件，记录用户的登录和注销的/usr/adm/wtmp文件，记录每个用户运行文件，记录每个用户运行的每个命令的的每个命令的 /usr/adm/acct文件。文件。 v v 9.5 Linux安全机制安全机制 v Linux采取了许多安全技术措施，如对采取了许多安全技术措施，如对读、取权限控制、审计跟踪等。有些是以读、取权限控制、审计跟踪等。有些是以“补丁补丁”程序的形式出现。程序的形式出现。 v9.5.1 PAM机制机制 v PAM是一套共享库，其目的是提供一个是一套共享库，

38、其目的是提供一个框架和一套编程接口，将认证工作由程序员交给框架和一套编程接口，将认证工作由程序员交给管理员处理，管理员处理，PAM允许管理员在多种认证方法允许管理员在多种认证方法之间作出选择，它能够改变本地认证方法而不需之间作出选择，它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。要重新编译与认证相关的应用程序。v v PAM的功能包括：的功能包括： v 1加密口令；加密口令； v 2对用户进行资源限制，防止对用户进行资源限制，防止DOS攻攻击；击； v 3允许任意允许任意Shadow口令；口令； v 4限制特定用户在指定时间从指定地限制特定用户在指定时间从指定地点登录；点登录；

39、v 5引入概念引入概念“client plug-in agents”，使，使PAM支持支持C/S应用中的机器认证应用中的机器认证成为可能。成为可能。v9.5.2 安全审计安全审计 v Linux提供网络、主机和用户级的日志提供网络、主机和用户级的日志信息信息,它可以提供攻击发生的真实证据。它可以提供攻击发生的真实证据。 v v 例如，例如，Linux可以记录以下内容：可以记录以下内容： v 1记录所有系统和内核信息；记录所有系统和内核信息； v 2记录每一次网络连接和它们的源记录每一次网络连接和它们的源IP地址、长度，有时还包括攻击者的用户名和地址、长度，有时还包括攻击者的用户名和使用的操作系

40、统；使用的操作系统； v 3记录远程用户申请访问哪些文件；记录远程用户申请访问哪些文件； v 4记录用户可以控制哪些进程；记录用户可以控制哪些进程； v 5记录具体用户使用的每条命令记录具体用户使用的每条命令 v 9.5.3 强制访问控制强制访问控制 v 强制访问控制是一种由系统管理员从强制访问控制是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性地限制信息的共标记系统中的主客体，强制性地限制信息的共享和流动，使不同的用户只能访问到与其有关享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上防止信息的失

41、的、指定范围的信息，从根本上防止信息的失泄密和访问混乱的现象。泄密和访问混乱的现象。v 由于由于Linux是一种自由操作系统，目前是一种自由操作系统，目前实现强制访问控制的比较典型系统有实现强制访问控制的比较典型系统有SElinux、RSBAC等，采用的策略也各不相同。等，采用的策略也各不相同。 v v 9.5.4 用户和文件配置用户和文件配置v 1删除所有不用的帐户。删除所有不用的帐户。 v 选择合适的密码策略。选择合适的密码策略。 v 超级用户配置。超级用户配置。 v 限制用户对主机资源的使用。限制用户对主机资源的使用。 v 保护一些文件免被改动。保护一些文件免被改动。 v /etc/ex

42、ports文件。文件。 v 9.5.5 网络配置网络配置v 1删除不用的服务删除不用的服务v 对于旧的对于旧的Linux系统，配置系统，配置/etc/inetd.conf，去掉不用的服务。对于较，去掉不用的服务。对于较新的系统，则在配置新的系统，则在配置xinetd.conf以及以及/etc/xinetd.d时，先备份原有配置，然后去时，先备份原有配置，然后去掉所有的服务，然后再根据需要添加。掉所有的服务，然后再根据需要添加。v 2防止系统信息暴露防止系统信息暴露v 通过编辑修改通过编辑修改/etc/rc.d/rc.local配配置文件，避免显示过多信息。置文件，避免显示过多信息。v v 3避

43、免域名欺骗避免域名欺骗v “/etc/host.conf”文件说明了如何文件说明了如何解析地址，通过编辑该文件可以避免域名欺骗解析地址，通过编辑该文件可以避免域名欺骗。v 4TCP/IP属性的配置属性的配置v可以通过编辑可以通过编辑/etc/rc.d/rc.local以使本地以使本地系统不响应远程系统的系统不响应远程系统的ping数据包，防止类似数据包，防止类似SYN Flood拒绝服务的攻击。拒绝服务的攻击。v v 9.5.6 Linux 安全模块安全模块LSMv Linux安全模块（安全模块（LSM）目前作为一）目前作为一个个Linux内核补丁的形式实现。其本身不提供内核补丁的形式实现。其

44、本身不提供任何具体的安全策略，而是提供了一个通用的任何具体的安全策略，而是提供了一个通用的基础体系给安全模块，由安全模块来实现具体基础体系给安全模块，由安全模块来实现具体的安全策略。其主要在五个方面对的安全策略。其主要在五个方面对Linux内核内核进行了修改：进行了修改：v 1在特定的内核数据结构中加入了安在特定的内核数据结构中加入了安全域；全域；v 2在内核源代码中不同的关键点插入在内核源代码中不同的关键点插入了对安全钩子函数的调用；了对安全钩子函数的调用；v v 4提供了函数允许内核模块注册为安全提供了函数允许内核模块注册为安全模块或者注销；模块或者注销；v 5将将capabilities

45、逻辑的大部分移植逻辑的大部分移植为一个可选的安全模块。为一个可选的安全模块。vLinux安全模块对于普通用户的价值在于安全模块对于普通用户的价值在于可以提供各种安全模块，由用户选择适合自己需可以提供各种安全模块，由用户选择适合自己需要加载到内核中，满足特定的安全功能。要加载到内核中，满足特定的安全功能。Linux安全模块本身只提供增强访问控制策略的机制，安全模块本身只提供增强访问控制策略的机制，而由各个安全模块实现具体特定的安全策略。而由各个安全模块实现具体特定的安全策略。v v 9.5.7 加密文件系统加密文件系统 v 目前目前Linux已有多种加密文件系统，已有多种加密文件系统，如如CFS

46、、TCFS、CRYPTFS等，较有代表性的等，较有代表性的是是TCFS，TCFS能够做到让保密文件对以下用能够做到让保密文件对以下用户不可读：户不可读： v 1合法拥有者以外的用户。合法拥有者以外的用户。 v 2用户和远程文件系统通信线路上用户和远程文件系统通信线路上的偷听者。的偷听者。 v 3文件系统服务器的超级用户。文件系统服务器的超级用户。v v 9.6 Linux安全设置安全设置v 下面将以下面将以Red Hat Linux操作系统为操作系统为环境，介绍环境，介绍Linux安全的基本设置。安全的基本设置。v 1安装安装v 要避免完全安装，即要避免完全安装，即Everything选项选项

47、。前面提到过系统提供的服务越多，漏洞越多。前面提到过系统提供的服务越多，漏洞越多，安全越差。，安全越差。v 2特别的帐号特别的帐号v 禁止所有默认的被操作系统本身启动的禁止所有默认的被操作系统本身启动的且不需要的帐号。且不需要的帐号。v v 3启动加载程序启动加载程序v 启动加载程序尽量使用启动加载程序尽量使用GRUB,而不使用而不使用LILO。v v v 9.6 Linux安全设置安全设置v 下面将以下面将以Red Hat Linux操作系统为操作系统为环境，介绍环境，介绍Linux安全的基本设置。安全的基本设置。v 1安装安装v 要避免完全安装，即要避免完全安装，即Everything选项

48、选项。前面提到过系统提供的服务越多，漏洞越多。前面提到过系统提供的服务越多，漏洞越多，安全越差。，安全越差。v v 2特别的帐号特别的帐号v禁止所有默认的被操作系统本身启动的且不需禁止所有默认的被操作系统本身启动的且不需要的帐号。要的帐号。v 3启动加载程序启动加载程序v启动加载程序尽量使用启动加载程序尽量使用GRUB而不使用而不使用LILO。 v 4使用使用sudo vsudo是一种以限制在配置文件中的命令为基是一种以限制在配置文件中的命令为基础，在有限时间内给用户使用并且记录到日志础，在有限时间内给用户使用并且记录到日志中的工具。中的工具。v v 5加强登录安全加强登录安全v 通过修改通过

49、修改/etc/login.defs文件可以文件可以增加对登录错误延迟、记录日志、登录密码长增加对登录错误延迟、记录日志、登录密码长度限制、过期限制等设置。度限制、过期限制等设置。v 6备份重要的文件备份重要的文件v 将最重要和常用的命令文件备份，防止将最重要和常用的命令文件备份，防止计算机病毒等。计算机病毒等。 v 7关闭一些服务关闭一些服务v 关闭不必要使用的服务进程以减少漏关闭不必要使用的服务进程以减少漏洞。洞。 v v 8NFS服务服务v 如果希望禁止用户任意的共享目录，可如果希望禁止用户任意的共享目录，可以增加以增加NFS限制。限制。v 首先要使用日志服务器，创建一台服务首先要使用日志

50、服务器，创建一台服务器专门存放日志文件，可以通过检查日志来发器专门存放日志文件，可以通过检查日志来发现问题，还应该设定日志远程保存。现问题，还应该设定日志远程保存。 v 10使用使用SSHv 为了防止被嗅探器捕捉敏感信息，使用为了防止被嗅探器捕捉敏感信息，使用SSH是最好的选择。是最好的选择。v 11其它其它v （1）使用更安全的文件传输工具。）使用更安全的文件传输工具。v （2）使用系统快照。系统快照是利用对）使用系统快照。系统快照是利用对系统文件编排数据库来定期发现系统的变化。系统文件编排数据库来定期发现系统的变化。 v （3）将系统软件和应用软件升级为最新）将系统软件和应用软件升级为最新