Linux操作系统原理与应用第十一章课件.ppt

1、第十一章 Linux操作系统安全管理 11.1操作系统安全性概述 n在计算机系统中，操作系统是控制中心，所以操作系统的安全性是其他软件职能的根基，缺乏这个安全的根基，构筑在其上的应用系统以及安全系统的安全性就得不到保证。一个有效可靠的操作系统应具有良好的安全性能，可提供必要的安全保障措施。11.1.1计算机系统安全性的内涵 n保密性n完整性n可用性 11.1.2操作系统的安全性 n有选择的访问控制n内存管理和对象重用n审计能力n加密的数据传送n加密的文件系统n安全的进程间通信机制11.1.3计算机系统安全性评价的标准 nD类安全等级 nC类安全等级 nB类安全等级 nA类安全等级 11.2操作

2、系统的安全机制 n操作系统的安全机制的功能是防止非法用户登录计算机系统，防止合法用户非法使用计算机系统资源，以及加密在网络上传输的信息，防止外来的恶意攻击。nLinux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制，网络系统管理员必须小心地设置这些安全机制。11.2.1内存保护机制 n操作系统可以在硬件中有效地使用硬保护机制进行存储器的安全保护，现在比较常用的有界址、界限寄存器、重定位、特征位、分段、分页和段页式机制等。11.2.2用户身份认证机制 n操作系统的许多保护措施大都基于鉴别系统的合法用户，身份鉴别是操作系统中相当重要的一个方面，也是用户获取权限的关键。为防止非

3、法用户存取系统资源，许多操作系统采取了切实可行的、极为严密的安全措施。目前最常用的用户身份认证机制是口令。11.2.3访问控制技术 n访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。其目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。11.2.4加密技术 n加密技术将信息编码成如密码文本一样含义模糊的形式，在现代计算机系统中，加密技术越来越重要，是最为常用的安全保密手段。11.2.5病毒及其防治机制 n病毒可经过计算机系统或计算机网络进行

4、传播。病毒防御措施通常将系统的存取控制、实体保护等安全机制结合起来，通过专门的防御程序模块为计算机建立病毒的免疫系统和报警系统。11.2.6监控和审计日志 n监控可以检测和发现那些可能的违反系统安全的活动。n日志文件是安全系统的一个重要组成部分，它记录计算机系统所发生的情况。11.3Linux系统的安全设置 nLinux操作系统是一种多用户、多任务的操作系统，它的基本功能就是防止使用同一台计算机的不同用户互相之间产生干扰以及安全危害。Linux操作系统仍然存在不少安全问题，还需要在不断地发展中加入新的功能和安全特性。11.3.1系统记录文件的安全性管理 n系统管理员应可以通过secure程序定

5、期检查系统中的各个系统文件。nLinux系统中有许多文件和目录不允许用户写。11.3.2启动和登录系统的安全性设置 n在Linux系统中，系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令以加密的形式存放在/etc/shadow文件中。在正常情况下，这些口令和其它信息由操作系统保护，能够对其进行访问的只能是超级用户（root）和操作系统的一些应用程序。11.3.3限制网络访问的设置 n慎用Telnet服务 n合理设置NFS服务和NIS服务 n小心配置FTP服务 n合理设置POP-3和Sendmail等电子邮件服务 n加强对WWW服务器的管理，提供安全的WWW服务 n最好禁止提

6、供finger 服务 11.3.4增强系统的安全性设置 n取消不必要的服务 n限制系统的出入 n保持最新的系统核心 n检查登录密码 11.3.5防止攻击的设置 n仔细设置每个内部用户的权限 n确保用户口令文件/etc/shadow的安全 n加强对系统运行的监控和记录 n合理划分子网和设置防火墙 n定期对Linux网络进行安全检查 11.4Linux系统的防火墙管理 nLinux操作系统的安全性是众所周知的，所以，现在很多企业的服务器，如文件服务器、WEB服务器等等，都采用的是Linux的操作系统。Linux内置防火墙通过包过滤手段来加强对网络的访问控制，从而提高网络与服务器的安全。11.4.1

7、防火墙简介 n防火墙是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。11.4.2防火墙的类型和设计策略 n网络级防火墙n应用级网关n电路级网关n规则检查防火墙 11.4.3Linux常用的网络命令 nsudo nsniffit nttysnoop(s)nnmap nJohntheripper nLogcheck nTripwire 11.4.4配置Linux防火墙 n对于连接到网络上的Linux 系统来说，防火墙是必不可少的防御机制，它只允许合法的网络流量进出系统，而禁止其它任何网络流量。n抵御SYN n抵御DDOS 本章小结 n由于Linux操作系统使用广泛，又公开了源代码，因此是被广大计算机用户研究得最彻底的操作系统。本章首先介绍了操作系统的安全性标准和安全机制，然后从用户、网络及文件系统等方面详尽的论述了Linux系统的安全问题，同时说明了Linux系统的防火墙管理及其配置命令，从而更好的保护系统安全。