安全操作系统[004]

安全操作系统安全操作系统中国科学技术大学计算机系中国科学技术大学计算机系陈香兰（陈香兰（051287161312）助教：裴建国助教：裴建国Autumn 2008主流操作系统的安全技术主流操作系统的安全技术vLinux/Unix安全技术vWindows安全技术Linux/UNIX安全概述安全概述vUNIX多用户、多任务实现了有效的访问控制、身份标识与验证、审计记录等安全措施安全性一般能达到TCSEC的C2级vLinux一种类UNIX的OS一个开放式系统v本课程：LinuxLinux/UNIX安全技术安全技术vLinux身份验证vLinux访问控制vLinux网络服务安全vLinux备份/恢复vLinux日志系统vLinux内核安全技术v安全Linux服务器配置参考Linux/UNIX安全技术安全技术vLinux身份验证身份验证vLinux访问控制vLinux网络服务安全vLinux备份/恢复vLinux日志系统vLinux内核安全技术v安全Linux服务器配置参考Linux身份标识和验证身份标识和验证vLinux系统的登录过程vLinux的主要帐号管理文件vPAM安全验证机制Linux身份标识和验证身份标识和验证vLinux系统的登录过程系统的登录过程vLinux的主要帐号管理文件vPAM安全验证机制Linux系统的登录过程系统的登录过程v基于用户名和口令v通过终端登录Linux的过程：1.Init进程确保为每个终端连接（或虚拟终端）运行一个getty进程，getty进程监听对应的终端并等待用户登录2.Getty输出一条欢迎信息（此欢迎信息保存在/etc/issue文件中），并提示用户输入用户名，接着getty激活login3.login要求用户输入口令，并根据系统中的etc/passwd文件来检查用户名和口令的一致性4.若一致，启动一个shell；否则login进程推出，进程终止5.Init进程注意到login进程终止，则会再次为该终端启动getty进程/etc/passwd文件用来维护系统中每个合法用户的信息，包括用户登录名、经过加密的口令、口令时限、用户号UID、用户组号GID、用户主目录以及用户使用的shell加密后的口令也可能存放在系统的/etc/shadow文件中Linux身份标识和验证身份标识和验证vLinux系统的登录过程vLinux的主要帐号管理文件的主要帐号管理文件vPAM安全验证机制Linux的主要帐号管理文件的主要帐号管理文件v口令文件/etc/passwd/etc/passwd文件用于存放用户的基本信息l每个账户在该文件中有拥有一个相应的条目Reading：lHacking Linux exposed，ch1，p7；&ch9，p284lhttp:/ Authentication Modules，是SUN提出的一种验证机制，最初集成在Solaris系统中v目前已经移植到Linux，SunOS，HP-UX 9.0等v目的：提供一个框架和一套编程接口，将认证工作由程序员交给管理员v允许管理员在多种认证方法之间做出选择，v能够改变本地认证方法而不需要重新编译与认证相关的应用程序v以共享库的形式提供PAM的组成的组成vPAM APIvPAM SPIvPAM 库vPAM配置文件服务程序服务程序各种认证手段各种认证手段v功能包括：加密口令（包括DES和其他加密算法）对用户进行资源限制，防止DOS攻击允许随意Shadow口令限制特定用户在指定时间从指定地点登录引入概念“client plug-in agents”，使PAM支持C/S应用中的机器Linux PAMv主页：http:/www.kernel.org/pub/linux/libs/pam/v最新版本为1.0.1v下载地址：http:/www.kernel.org/pub/linux/libs/pam/library/Linux-PAM-1.0.1.tar.gzLinux/UNIX安全技术安全技术vLinux身份验证vLinux访问控制访问控制vLinux网络服务安全vLinux备份/恢复vLinux日志系统vLinux内核安全技术v安全Linux服务器配置参考Linux的访问控制的访问控制vLinux基于权限字的文件系统访问控制vLinux的访问控制表ACLLinux基于权限字的文件系统访问控制基于权限字的文件系统访问控制v在Linux中，所有的活动都可以看成是主体对客体的一系列操作客体：一种信息实体，或是从其他主体/客体接受信息的实体l如文件、内存、进程消息、网络包或者I/O设备主体：一个用户或者代表用户的进程，它引起信息在客体之间的流动v访问控制机制：控制系统中的主体对客体的读、写和执行等各种访问vLinux采用一种比较简单的访问控制机制传统UNIX的基于访问权限位的单一的自主访问控制Linux中自主访问控制机制的基本思想中自主访问控制机制的基本思想1.系统中每个主体都有唯一的UID，并且总是属于某一个用户组，而每个用户组有唯一的GID由超级用户或授权用户为系统内的用户设定，保存在/etc/passwd文件中通常情况下，代表用户的进程继承用户的uid和gid用户登录并进入第一个shell时，该用户的uid和gid就被设置到该shell进程的task_struct中，此后的进程按照继承规则继承uid和gid（除非SETUID）2.对客体的访问权限：r/w/x 三种。3.针对某客体，用户：u/g/o 三种。4.上述信息构成一个访问控制矩阵，允许客体的所有者和特权用户通过这个访问控制矩阵为客体设定访问控制信息当用户访问客体时，根据进程的uid、gid和文件的访问控制信息检查访问的合法性举例：chmod/chown/chgrp命令命令vchmod命令用来重新设定对客体的访问权限vchown命令用来修改某个文件或目录的属主vchgrp命令用来修改某个文件或目录的用户组setuid/setgidv为维护系统的安全性，对于某些客体，普通用户不应具有某种访问权限，但是出于某些特殊需要，用户由必须能超越对这些客体的受限访问v例如，对/etc/passwd文件，用户不具有写访问权限，但又必须允许用户能够修改该文件，以修改自己的密码。vsetuid/setgid使得代表普通用户的进程不继承用户的uid和gid，而是继承该进程所对应的应用程序文件的所有者的uid和gid，即普通用户暂时获得其他用户身份，并通过该身份访问客体Linux的访问控制表的访问控制表ACLLinux/UNIX安全技术安全技术vLinux身份验证vLinux访问控制vLinux网络服务安全网络服务安全vLinux备份/恢复vLinux日志系统vLinux内核安全技术v安全Linux服务器配置参考Linux网络服务安全网络服务安全Linux的网络层次结构图的网络层次结构图早期的网络服务管理程序早期的网络服务管理程序inetd（守护进程）（守护进程）v/etc/rc.d/rc.local激活inetdv根据/etc/inetd.conf监听处理客户连接v例子（本地）（网络链接）v应当禁止不需要的服务，降低风险扩展后的扩展后的xinetdv配置文件：/etc/xinetd.conf与前者完全不同，而且不兼容组合了下列文件l/etc/inetd.confl/etc/hosts.allowl/etc/hosts.deny系统默认使用系统默认使用xinetd的服务的服务v标准internet服务，如http，telnet，ftp等v信息服务，如finger，netstat，systat等v邮件服务，如imap，pop3，smtp等vRPC服务，如rquotad，rstatd，rusersd，sprayd，walld等vBSD服务，如comsat，exec，login，ntalk，shell talk等v内部服务，如chargen，daytime，echo等v安全服务，如irc等v其他，如name，tftp，uucp，wu-ftp等典型例子典型例子各种服务，可以添加到这个文件中各种服务，可以添加到这个文件中也可以放在指定的目录中也可以放在指定的目录中目录目录/etc/xinetd.d/v文件名：相关服务v大多默认关闭目录目录/etc/xinetd.d/下的文件下的文件 v文件格式：以以telnet为例：为例：/etc/xinetd.d/telnet 改成改成“no”，打开服务，打开服务修改后，需要重启修改后，需要重启xinetd运行如下命令：运行如下命令：/etc/rc.d/init.d/xinetd restartLinux/UNIX安全技术安全技术vLinux身份验证vLinux访问控制vLinux网络服务安全vLinux备份备份/恢复恢复vLinux日志系统vLinux内核安全技术v安全Linux服务器配置参考Linux备份备份/恢复恢复v备份技术脚本一些商业化软件v备份的存储设备远程网络设备、磁带驱动器、其他可移动媒体v备份单位文件（目录）驱动器映像v制定备份策略WhatWhereWhenHowv备份与还原：Linux与Windows？Linux只需要打包和解包v一般情况下，以下目录需要备份/etc/var/home/root/optv一般不需备份的/proc/dev等等常用的备份命令常用的备份命令vtar，打包含义：Tape archive，磁带归档举例：还原-c，创建，创建-p，保留文件访问权限，保留文件访问权限-f，归档文件名，归档文件名备份整个文件系统备份整个文件系统SCSI磁带设备磁带设备-x，提取，提取-C/，还原从，还原从“/”开始开始更深入的使用，参见更深入的使用，参见tar相关相关使用手册使用手册v压缩tar，可以压缩，使用-z选项（gzip格式）vdump/restore；cpio；ddv一些商业化备份产品Tivoli Storage ManagerAmandaArkeia等等Linux/UNIX安全技术安全技术vLinux身份验证vLinux访问控制vLinux网络服务安全vLinux备份/恢复vLinux日志系统日志系统vLinux内核安全技术v安全Linux服务器配置参考Linux日志系统日志系统v记录和捕捉各种活动，包括黑客的活动v系统记账连接记账：跟踪当前用户的会话、登录和退出的活动进程记账：对进程活动的记录v系统日志管理连接记账连接记账v由多个程序执行，把记录写入到/var/log/utmp/var/log/wtmpvLogin等程序使用utmp，wtmp等工具更新上述文件v系统管理员据此跟踪谁在何时登录到系统ac：对用户连接进行大概统计last：提供每一个用户的登录信息who：报告当前正在登录的用户的信息等进程记账进程记账v由系统内核执行v当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录/var/log/pacctv打开进程记账v可以在每次启动系统的时候，打开进程记账/etc/rc.d/rc.local中添加进程记账信息的解读进程记账信息的解读vdump_acctvsa统计系统进程记账的大致情况vlastcomm列出系统执行的命令sa命令举例命令举例lastcomm命令举例命令举例系统日志系统日志v有各种日志文件v系统日志工具syslogd配置文件：/etc/syslog.confv守护进程klogd获得并记录Linux内核信息v其他日志Linux/UNIX安全技术安全技术vLinux身份验证vLinux访问控制vLinux网络服务安全vLinux备份/恢复vLinux日志系统vLinux内核安全技术内核安全技术v安全Linux服务器配置参考Linux的内核安全技术的内核安全技术v可加载的内核模块LKMvLinux的内核防火墙v早期，Monolithic的缺陷混杂，各组成部分之间的界限不明显可扩展性、可剪裁性差；需要重新编译vLinux 0.99，引入LKMLoadable Kernel Module内核功能动态扩充技术v双刃剑威胁：内核级入侵LKM入侵举例入侵举例vLinux 2.2，knarkv可以改变netstat的输出结果v改变运行进程的UID和GIDv可以不用SUID就能获得root访问权限Linux内核防火墙内核防火墙v内核防火墙早期的ipfwadmIpchainsNetfilter/iptables组合Netfilter举例举例Netfilter体系结构体系结构ThanksThanks！The end.特权管理特权管理vLinux继承了传统Unix的特权管理机制，即基于超级用户的特权管理机制。v基本思想：1）普通用户没有任何特权，超级用户拥有系统内所有的特权2）当进程要进行某特权操作时，系统检查进程所代表的用户是否为超级用户，即检查进程的UID是否为03）当普通用户的某些操作涉及特权操作时，通过setuid/setgid来实现v缺点：容易被hacker利用v从2.1版开始，Linux内核中实现了基于权能的特权管理机制基于权能的特权管理机制基于权能的特权管理机制v基本思想：（以2.4.0内核为例）1）使用权能分割系统内的所有特权，使同一类敏感操作具有相同的权能2）普通用户及其shell没有任何权能，而超级用户及其shell在系统启动之初拥有所有权能3）在系统启动后，系统管理员为了系统的安全可以剥夺超级用户的某些特权，并且该剥夺过程是不可逆的。（只能重新启动系统来恢复）4）进程可以放弃自己的某些权能，该过程也是不可逆的5）进程被创建时拥有的权能由它所代表的用户目前所具有的权能、父进程权能两者的与运算来确定6）每个进程的权能被保存在进程控制块的cap_effective域中7）当一个进程要进行某个特权操作时，操作系统检查进程是否具有相应特权操作所应该具有的权能8）当普通用户的某些操作涉及特权操作时，仍然通过setuid来实现安全审计安全审计vLinux系统的审计机制，基本思想：审计事件分为系统事件和内核事件系统事件由审计服务进程syslogd来维护与管理内核事件由内核审计线程klogd来维护与管理v图安全注意键安全注意键其他安全机制其他安全机制1.口令脆弱性警告2.口令有效期3.一次性口令4.口令加密算法5.影子文件6.帐户加锁7.限制性shell8.特殊属性1.文件系统加载限制2.加密文件系统与透明加密文件系统3.根用户的限制4.安全shell5.防火墙6.入侵检测安全安全Linux服务器配置参考服务器配置参考vBIOS的安全设置vLILO的安全设置v口令安全v自动注销帐号的登录v取消普通用户的控制台访问权限v取消并卸载所有不用的服务vTCP_Wrapperv修改/etc/host.conf文件v使/etc/services文件免疫v从不允许从不同的控制台进行root登录v使用PAM禁止任何人通过su命令改变身份为rootvShell logging bashv禁止Ctrl+Alt+Del键盘关闭命令v给/etc/rc.d/init.d下script文件设置权限v隐藏系统信息v禁止不使用的SUID/SGID程序Windows安全技术安全技术vWindows身份验证与访问控制vWindows分布式安全服务vWindows审核机制vWindows注册表vWindows加密文件系统vWindows基准安全注意事项vWindows 2003中的新安全技术简介Windows操作系统安全机制操作系统安全机制vNT设计目标：TCSEC标准的C2级，这就要在用户级实现自主访问控制必须提供对客体的访问的审计机制必须实现客体重用Windows NT/2000/XP的体系结构的体系结构Windows NT的安全模型的安全模型vWindows NT的安全模型包括5个主要部分登录(WinLogon)本地安全认证子系统(LSA)msv1_0安全帐户管理器(SAM)NT LAN Manager(NTLM)Windows 2000/XP的安全模型的安全模型Windows的域和委托的域和委托Windows安全性组件安全性组件v安全引用监视器v本地安全认证vLSA策略数据库v安全帐号管理器服务vSAM数据库v默认身份认证包v登录进程v网络登录服务Windows NT/2000/XP的系统登录过程的系统登录过程v登录是通过登录进程WinLogon、LSA、一个或多个身份认证包和SAM的相互作用发生的身份认证包：执行身份验证检查的动态链接库。lMsvl_0：用于交互式登录的身份认证包WinLogon：一个受托进程，负责管理与安全性相关的用户相互作用l是从键盘截取登录请求的唯一进程WinLogon的初始化的初始化用户登录步骤用户登录步骤Windows NT/2000/XP的资源访问的资源访问v安全性描述符和访问控制v访问令牌与模仿Windows NT/2000/XP安全审计安全审计