网络安全技术第02章操作系统安全

2网站平安技术网站平安技术第第0202章章 操作系统平安操作系统平安本章内容本章内容WEBSEC-C02-01 操作系统平安概述WEBSEC-C02-02 Unix/Linux平安机制WEBSEC-C02-03 系统平安模型WEBSEC-C02-04 平安系统结构WEBSEC-C02-05 权能体系WEBSEC-C02-06 Flask平安体系WEBSEC-C02-07 LSM平安框架WEBSEC-C02-08 平安操作系统设计WEBSEC-C02-09 经典SELinux系统平安设计 本章目标本章目标1、掌握WEB应用在系统各层的平安实现2、掌握维护系统平安的根本技术3、熟悉经典SELinux系统设计第01节 操作系统平安概述知识点预览知识点预览#节节知识点知识点难点难点重点重点应用应用1WEBSEC-C02-01 操作系统安全概述1.操作系统面临安全威胁2.可信软件和不可信软件3.安全策略和安全模型4.系统访问控制思想5.可信计算基础 1.操作系统面临平安威胁-1操作系统面临平安威胁:平安操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的平安技术要求。平安操作系统主要特征：1、最小特权原那么，即每个特权用户只拥有能进行他工作的权力；2、自主访问控制；强制访问控制，包括保密性访问控制和完整性访问控制；3、平安审计；4、平安域隔离。只要有了这些最底层的平安功能，各种混为“应用软件 的病毒、木马程序、网络入侵和人为非法操作才能被真正抵抗，因为它们违背了操作系统的平安规那么，也就失去了运行的根底。1.操作系统面临平安威胁-2操作系统面临平安威胁:病毒和蠕虫：指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质或程序里，当到达某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。病毒的根本特点：1、隐蔽性：病毒程序代码驻存在磁盘等介质上，无法以操作系统提供的文件管理方法来检测和查看。2、传染性：当用户利用磁盘片、网络等载体交换信息时，病毒程序趁机以用户不能觉察的方式随之传播；即使在同一台计算机上，病毒程序也能在磁盘上的不同区域间进行传播，附着在多个文件上。1.操作系统面临平安威胁-3操作系统面临平安威胁:病毒的根本特点：3、潜伏性：病毒程序感染正常的计算机之后，一般不会立即发作，而是潜伏下来，等到激发条件比方日期、时间、特定的字符串满足时才触发执行恶意代码局部，从而产生破坏作用。4、破坏性：当病毒发作时，会在屏幕上输出一系列不正常的信息，同时破坏磁盘上的数据文件和程序；如果是引导型病毒，会使计算机无法启动。1.操作系统面临平安威胁-4操作系统面临平安威胁:蠕虫：蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序，它能传播自身功能的拷贝或自身蠕虫病毒的某些局部到其他的计算机系统中通常是经过网络连接。蠕虫可以侵入合法数据处理程序，更改或破坏这些数据。尽管蠕虫不像病毒那样复制自身，蠕虫攻击带来的破坏可能与病毒一样严重，最具代表性的是Ska蠕虫是一个Windows电子邮件和新闻组蠕虫，被伪装成Happy99.exe的电子邮件附件，运行之后，每个从本机发送的电子邮件和新闻组布告都会导致再次发送消息。1.操作系统面临平安威胁-5操作系统面临平安威胁:蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为宿主，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。随着网络和病毒编写技术的开展，综合利用多种途径的蠕虫也越来越多，比方有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。1.操作系统面临平安威胁-6操作系统面临平安威胁:逻辑炸弹：是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丧失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。逻辑炸弹的危害：(1)逻辑炸弹可以直接破坏计算机软件产品的使用当事人的计算机数据。而在微机公用的前提下，恶性炸弹的破坏具有较宽的涉及范围。(2)引发连带的社会灾难。包括直接和简介的损失，如经济损失、企业亏损、资料丧失、科学研究的永久性失败、当事人承受精神打击、失业或家庭破裂、连带的经济犯罪、刑事犯罪、或相关人的生命平安等等。(3)逻辑炸弹的逻辑条件具有不可控制的意外性。这次无辜用户遭受袭击，就是因为好奇而误用了具有特殊磁道的诱因软盘，还有的用户是因为操作顺序不当引起的 1.操作系统面临平安威胁-7操作系统面临平安威胁:逻辑炸弹的危害：(4)逻辑条件的判断很可能失常，以江民炸弹为例，比方，软盘驱动器的故障、磁盘的故障都是诱发逻辑炸弹的潜在因素。这虽然不是高概率事件，但却具有不可控性。(5)逻辑炸弹本身虽然不具备传播性，但是诱因的传播是不可控的。(6)新的病毒可以成为逻辑炸弹的新诱因，比方在软盘拷贝(如KV300升级)过程中，已经驻留而又没有被发现的病毒可以给软盘加工一下，使得正版磁盘成为诱因；(7)由于逻辑炸弹不是病毒体，因此无法正常复原和去除，必须对有炸弹的程序实施破解，这个工作是比较困难的。1.操作系统面临平安威胁-8操作系统面临平安威胁:特洛伊木马：完整的特洛伊木马套装程序含了两局部：效劳端效劳器局部和客户端控制器局部。植入对方电脑的是效劳端，而黑客正是利用客户端进入运行了效劳端的电脑。运行了木马程序的效劳端以后，会产生一个有着容易迷惑用户的名称的进程，暗中翻开端口，向指定地点发送数据如网络游戏的密码，实时通信软件密码和用户上网密码等，黑客甚至可以利用这些翻开的端口进入电脑系统。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无平安可言。特洛伊木马必须具有以下几项功能才能成功地侵入计算机系统：1、入侵者写一段程序进行非法操作，程序的行为方式不会引起用户的疑心；2、必须设计出某种策略诱使受骗者接收程序；3、必须使受骗者运行该程序；4、入侵者必须由某种手段回收有特洛伊木马作为它带来的实际利益；1.操作系统面临平安威胁-9操作系统面临平安威胁:特征特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以觉察的；运行时很难阻止它的行动，运行后，立刻自动登录在系统启动区，之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。特性包含在正常程序中，当用户执行正常程序时，启动自身，在用户难以觉察的情况下，完成一些危害用户的操作，具有隐蔽性。具有自动运行性。木马为了控制效劳端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。3.具备自动恢复功能。很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复可信软件和不可信软件：可信软件和不可信软件：将软件分为三大可信类别：将软件分为三大可信类别：可信的可信的软件保证可以平安运行，并且后来系统的平安也依软件保证可以平安运行，并且后来系统的平安也依赖于软件的无错操作；赖于软件的无错操作；良性的良性的软件并不能确保平安运行，但由于使用了特权或对软件并不能确保平安运行，但由于使用了特权或对敏感信息的存取权，因而必须确信它不会有意的违反规那么；敏感信息的存取权，因而必须确信它不会有意的违反规那么；良性软件的错误被视作偶然性的，这类错误不会影响系统的良性软件的错误被视作偶然性的，这类错误不会影响系统的平安；平安；恶意的恶意的软件来源不明，从平安的角度出发，该软件必须被软件来源不明，从平安的角度出发，该软件必须被当做恶意的，认为将对系统进行破坏；当做恶意的，认为将对系统进行破坏；系统内有一条将恶意程序和有错的良性程序分开的细微界限：系统内有一条将恶意程序和有错的良性程序分开的细微界限：有错的良性程序不会泄露或者破坏数据，但不能保证它偶尔有错的良性程序不会泄露或者破坏数据，但不能保证它偶尔与恶意程序有同样的不良效果。由于没有一个客观的方法度与恶意程序有同样的不良效果。由于没有一个客观的方法度量两者之间的区别和差异，经常把良性和恶意软件归为一类，量两者之间的区别和差异，经常把良性和恶意软件归为一类，即不可信软件。即不可信软件。2、可信软件和不可信软件、可信软件和不可信软件-12、可信软件和不可信软件、可信软件和不可信软件-2外部测量内部内部质量质量属性外部外部质量质量属性使用使用质量质量属性过程过程质量质量过程过程过程测量内部测量使用质量的测量软件产品软件产品软件产品的效用软件产品的效用使用条件影响影响影响依赖依赖依赖过程质量过程质量 有助于提高有助于提高 产品质量产品质量产品质量产品质量 有助于提高有助于提高 使用质量使用质量用户质量用户质量要求要求使用使用质量质量内部质量内部质量需求需求内部内部质量质量外部质量外部质量需求需求外部外部质量质量使用和反馈确认确认验证验证有助于确定指示指示有助于确定2、可信软件和不可信软件-3外部和内部质量外部和内部质量功能性功能性可靠性可靠性易用性易用性效率效率维护性维护性可移植性可移植性适合性适合性准确性准确性互操作性互操作性保密安全性保密安全性功能性的功能性的依从性依从性成熟性成熟性容错性容错性易恢复性易恢复性可靠性的可靠性的依从性依从性易理解性易理解性易学性易学性易操作性易操作性吸引性吸引性易用性的易用性的依从性依从性时间特性时间特性资源利用性资源利用性效率的依效率的依从性从性易分析性易分析性易改变性易改变性稳定性稳定性易测试性易测试性维护性的维护性的依从性依从性适应性适应性易安装性易安装性共存性共存性易替换性易替换性可移植性的可移植性的依从性依从性*的依从性：的依从性：软件产品遵循与软件产品遵循与*相关的标准、约定或法规以及类似规定的能力相关的标准、约定或法规以及类似规定的能力2、可信软件和不可信软件-4平安策略和平安模型：平安策略和平安模型：四层平安体系结构：所谓平安体系结构是把信息平安保障技术四层平安体系结构：所谓平安体系结构是把信息平安保障技术集成起来所构成的模型；是以平安防御为着眼点，以信息在系集成起来所构成的模型；是以平安防御为着眼点，以信息在系统中平安无缝的流动为目标，以系统的平安需求和平安策略为统中平安无缝的流动为目标，以系统的平安需求和平安策略为依据，为实现整个系统的平安提供根底。依据，为实现整个系统的平安提供根底。平安体系结构是一般的、抽象的体系结构而不涉及具体的实际平安体系结构是一般的、抽象的体系结构而不涉及具体的实际组件或软硬件；组件或软硬件；多网层：大型的网络或系统由于物理和平安等原因，通常是由多网层：大型的网络或系统由于物理和平安等原因，通常是由小型的网络和系统关联起来构成的，小型的系统和网络通常是小型的网络和系统关联起来构成的，小型的系统和网络通常是一些物理上隔开或逻辑上不同的通信网络。一些物理上隔开或逻辑上不同的通信网络。单网层：这一层所关心的是构成多网层中的那些单个网络，单单网层：这一层所关心的是构成多网层中的那些单个网络，单网层分析单个网络内存在的平安问题并给出相对应的平安防范网层分析单个网络内存在的平安问题并给出相对应的平安防范措施。措施。设备层：任何一个网络必然都是由各种各样的设备构成，从平设备层：任何一个网络必然都是由各种各样的设备构成，从平安角度把构成网络的这些设备抽象成一个层次安角度把构成网络的这些设备抽象成一个层次-设备层；设设备层；设备层处理设备范围内出现的平安问题：传输链路、交换机和管备层处理设备范围内出现的平安问题：传输链路、交换机和管理控制设施等设备中与平安有关的问题。理控制设施等设备中与平安有关的问题。数据层：数据是网络中最重要的资源，贯穿于网络的各个层次。数据层：数据是网络中最重要的资源，贯穿于网络的各个层次。在对数据的存储、传输、转移过程中可能存在的平安问题。将在对数据的存储、传输、转移过程中可能存在的平安问题。将数据层抽象出来便于集中考虑数据平安问题。数据层抽象出来便于集中考虑数据平安问题。3、平安策略和平安模型、平安策略和平安模型-1平安策略和平安模型：平安策略和平安模型：在根本的平安模型中，通信的双方在进行信息传输前，先建在根本的平安模型中，通信的双方在进行信息传输前，先建立起一条逻辑通道，并提供平安的机制和效劳，来实现在开立起一条逻辑通道，并提供平安的机制和效劳，来实现在开放网络环境中信息的平安传输。信息的平安传输主要包括两放网络环境中信息的平安传输。信息的平安传输主要包括两个局部：个局部：1、从源节点发出的信息，使用如信息加密等加密技术对其、从源节点发出的信息，使用如信息加密等加密技术对其进行平安的转发，从而实现该信息的保密性，同时也可以在进行平安的转发，从而实现该信息的保密性，同时也可以在该信息中附加一些特征的信息，作为源节点的身份验证。该信息中附加一些特征的信息，作为源节点的身份验证。2、源节点与目的节点应该共享如加密密钥这样的保密信息，、源节点与目的节点应该共享如加密密钥这样的保密信息，这些信息除了发送双方和可信任的第三方以外，对其他用户这些信息除了发送双方和可信任的第三方以外，对其他用户都是保密的。都是保密的。3、平安策略和平安模型、平安策略和平安模型-24、系统访问控制思想系统访问控制思想-1系统访问控制思想：系统访问控制思想：引用监控器引用监控器ReferenceMonitor目标是解决用户程序目标是解决用户程序的运行控制问题，根本职能是以访问控制信息库为依据，的运行控制问题，根本职能是以访问控制信息库为依据，对主体用户访问客体如系统中的各种资源的行为对主体用户访问客体如系统中的各种资源的行为进行平安验证，以此实现受控的资源共享。进行平安验证，以此实现受控的资源共享。平安策略所要求的的访问判定以抽象访问控制数据库中的平安策略所要求的的访问判定以抽象访问控制数据库中的信息为依据，访问判定是平安策略的具体表现。访问控制信息为依据，访问判定是平安策略的具体表现。访问控制数据库包含有关主体访问客体及其访问模式的信息，数据数据库包含有关主体访问客体及其访问模式的信息，数据库是动态的，随着主体和客体的产生或删除及其权限的修库是动态的，随着主体和客体的产生或删除及其权限的修改而改变。改而改变。4、系统访问控制思想系统访问控制思想-2系统访问控制思想：系统访问控制思想：引用验证机制引用验证机制RVMReferenceValidationMechanism需要满足三个原那么：需要满足三个原那么：1、RVM必须具有自我保护能力，即必须具有自我保护能力，即RVM即使受到攻击也即使受到攻击也能保持自身的完整性；能保持自身的完整性；2、RVM必须总是处于活动状态，即确保主体对客体的所必须总是处于活动状态，即确保主体对客体的所有引用都得到有引用都得到RVM的仲裁；的仲裁；3、RVM必须足够小巧，以利于分析和测试，从而能够方必须足够小巧，以利于分析和测试，从而能够方便地证明或验证便地证明或验证RVM的设计与实现的正确性；的设计与实现的正确性；4、系统访问控制思想系统访问控制思想-3系统访问控制思想：系统访问控制思想：平安内核的设计和实现的三个根本原那么：平安内核的设计和实现的三个根本原那么：1.完整性原那么完整性原那么完整性原那么要求主体引用客体时必须通过平安内核，即完整性原那么要求主体引用客体时必须通过平安内核，即所有信息的访问都必须经过平安内核；但是操作系统的实现与完所有信息的访问都必须经过平安内核；但是操作系统的实现与完整性原那么的明确要求之间有差距：操作系统认为系统的信息存整性原那么的明确要求之间有差距：操作系统认为系统的信息存在于明显的地方，比方文件，内存和输入输出缓冲区；在于明显的地方，比方文件，内存和输入输出缓冲区；2.隔离性原那么隔离性原那么隔离性原那么要求平安内核具有防篡改的能力，即可以保护自己，隔离性原那么要求平安内核具有防篡改的能力，即可以保护自己，防止偶然破坏。防止偶然破坏。3.可验证性原那么可验证性原那么可验证性原那么通过如下一些设计要素来实现：可验证性原那么通过如下一些设计要素来实现：利用最新的软件工程技术，包括结构设计、模块化、信息利用最新的软件工程技术，包括结构设计、模块化、信息隐藏、分层、抽象说明以及适宜的高级语言；隐藏、分层、抽象说明以及适宜的高级语言；内核接口简单化；内核接口简单化；代码检查；代码检查；5、可信、可信计计算根底算根底-1可信计算根底：可信计算根底：操作系统的平安依赖于具体实施平安策略的可信的软件和操作系统的平安依赖于具体实施平安策略的可信的软件和硬件；这些硬件、软件和负责系统平安管理的人员一起组硬件；这些硬件、软件和负责系统平安管理的人员一起组成了系统的可信计算基成了系统的可信计算基TrustedComputingBase，TCB。具体的组成局部：具体的组成局部：1、操作系统的平安内核；、操作系统的平安内核；2、具有特权的程序和命令；、具有特权的程序和命令；3、处理敏感信息的程序，如系统管理命令等；、处理敏感信息的程序，如系统管理命令等；4、与、与TCB实施平安策略有关的文件；实施平安策略有关的文件；5、其他有关的固件、硬件和设备；、其他有关的固件、硬件和设备；6、负责系统管理的人员、负责系统管理的人员7、保障固件和硬件正确的程序和诊断软件；、保障固件和硬件正确的程序和诊断软件；5、可信、可信计计算根底算根底-2可信计算根底：可信计算根底：可信计算基的软件局部是平安操作系统的核心内容，完成可信计算基的软件局部是平安操作系统的核心内容，完成的任务：的任务：内核的良好定义和平安运行方式；内核的良好定义和平安运行方式；标识系统中的每个用户；标识系统中的每个用户；保持用户到保持用户到TCB登录的可信路径；登录的可信路径；实施主体对客体的存取控制；实施主体对客体的存取控制；维持维持TCB功能的正确性；功能的正确性；监视和记录系统中的有关事件；监视和记录系统中的有关事件；在一个通用的平安操作系统中，在一个通用的平安操作系统中，TCB为用来构成一个平安为用来构成一个平安操作系统的所有平安保护装置的组合体。操作系统的所有平安保护装置的组合体。第02节 路由守护进程与协议知识点预览知识点预览#节节知识点知识点难点难点重点重点应用应用2WEBSEC-C02-02 路由守护进程与协议1.硬件安全机制2.系统运行保护3.Unix系统标识和鉴别4.Unix系统访问控制5.POSIX权能机制6.Unix系统密码7.Unix系统网络安全性1、硬件平安机制、硬件平安机制-1硬件平安机制：硬件平安机制：操作系统的平安性需要考虑的方面：操作系统的平安性需要考虑的方面：1、物理上别离：要求进程使用不同的物理实体；、物理上别离：要求进程使用不同的物理实体；2、时间上别离：具有不同平安要求的进程在不同的时、时间上别离：具有不同平安要求的进程在不同的时间运行；间运行；3、逻辑上别离：操作系统通过限制程序的访问，使程、逻辑上别离：操作系统通过限制程序的访问，使程序不能访问其允许序不能访问其允许之外的实体；之外的实体；4、密码上别离：进程以一种其他进程不可知的方式隐、密码上别离：进程以一种其他进程不可知的方式隐藏数据及计算；藏数据及计算；操作系统平安的主要目标：操作系统平安的主要目标：依据系统平安策略对用户的操作进行访问控制，防止用户依据系统平安策略对用户的操作进行访问控制，防止用户对计算机资源的非法访问窃取、篡改和破坏；对计算机资源的非法访问窃取、篡改和破坏；标识系统中的用户和身份鉴别；标识系统中的用户和身份鉴别；监督系统运行的平安性；监督系统运行的平安性；保证系统自身的平安性和完整性；保证系统自身的平安性和完整性；1、硬件平安机制、硬件平安机制-2硬件平安机制：硬件平安机制：存储器管理根本概念：存储器管理根本概念：虚地址空间：一个进程的运行需要一个虚地址空间：一个进程的运行需要一个“私有的存储空私有的存储空间，进程的程序与数据都存于该空间，这个空间不包括该间，进程的程序与数据都存于该空间，这个空间不包括该进程通过进程通过I/O指令访问的辅存空间磁带、磁盘；指令访问的辅存空间磁带、磁盘；这个进程地址空间中，每一个字都有一个固定的虚地址这个进程地址空间中，每一个字都有一个固定的虚地址并不是目标的物理地址，但每一个虚地址可映射成一个物并不是目标的物理地址，但每一个虚地址可映射成一个物理地址，进程通过这个虚地址访问这个字。理地址，进程通过这个虚地址访问这个字。段：一个进程的虚地址空间至少要被分为两局部或两个段：段：一个进程的虚地址空间至少要被分为两局部或两个段：一个用于用户程序与数据，称为用户空间；另一个用于操一个用于用户程序与数据，称为用户空间；另一个用于操作系统，称为系统空间；作系统，称为系统空间；两者的隔离是静态的，比较简单。驻留在内存中的操作系两者的隔离是静态的，比较简单。驻留在内存中的操作系统可以由所有进程分享，最灵活的分段虚存方式是：允许统可以由所有进程分享，最灵活的分段虚存方式是：允许一个进程拥有很多段，这些段中的任何一个都可以由其他一个进程拥有很多段，这些段中的任何一个都可以由其他进程共享。进程共享。1、硬件平安机制、硬件平安机制-3硬件平安机制：硬件平安机制：物理内存就是系统硬件提供的内存大小，是真正的内存，物理内存就是系统硬件提供的内存大小，是真正的内存，相对于物理内存，在相对于物理内存，在Linux下还有一个虚拟内存的概念，下还有一个虚拟内存的概念，虚拟内存就是为了满足物理内存的缺乏而提出的策略，它虚拟内存就是为了满足物理内存的缺乏而提出的策略，它是利用磁盘空间虚拟出的一块逻辑内存，用作虚拟内存的是利用磁盘空间虚拟出的一块逻辑内存，用作虚拟内存的磁盘空间被称为交换空间磁盘空间被称为交换空间SwapSpace。作为物理内存的扩展，作为物理内存的扩展，Linux会在物理内存缺乏时，使用会在物理内存缺乏时，使用交换分区的虚拟内存，更详细的说，就是内核会将暂时不交换分区的虚拟内存，更详细的说，就是内核会将暂时不用的内存块信息写到交换空间，这样以来，物理内存得到用的内存块信息写到交换空间，这样以来，物理内存得到了释放，这块内存就可以用于其它目的，当需要用到原始了释放，这块内存就可以用于其它目的，当需要用到原始的内容时，这些信息会被重新从交换空间读入物理内存。的内容时，这些信息会被重新从交换空间读入物理内存。1、硬件平安机制、硬件平安机制-4硬件平安机制：硬件平安机制：通过监控内存有助于了解内存的使用状态，比方内存占用是通过监控内存有助于了解内存的使用状态，比方内存占用是否正常，内存是否紧缺等等，监控内存最常使用的命令有否正常，内存是否紧缺等等，监控内存最常使用的命令有free、top。total：物理内存的总大小：物理内存的总大小used：已经使用的物理内存大小：已经使用的物理内存大小free：空闲的物理内存大小：空闲的物理内存大小shared：多个进程共享的内存大小：多个进程共享的内存大小buffers/cached：磁盘缓存的大小：磁盘缓存的大小第二行第二行Mem：代表物理内存使用情况：代表物理内存使用情况第三行第三行(-/+buffers/cached)：代表磁盘缓存使用状态：代表磁盘缓存使用状态第四行：第四行：Swap表示交换空间内存使用状态表示交换空间内存使用状态#freetotal usedfreesharedbufferscachedMem:389403634735444204920729721332348-/+buffers/cache:20682241825812Swap:409599290603631899561、硬件平安机制、硬件平安机制-5硬件平安机制：硬件平安机制：计算机系统提供透明的内存管理之前，访问判决是基于物理计算机系统提供透明的内存管理之前，访问判决是基于物理页号的识别，每个物理页号都被标以一个称为密钥的秘密信页号的识别，每个物理页号都被标以一个称为密钥的秘密信息；息；系统只允许拥有该密钥的进程访问该物理页，同时利用一些系统只允许拥有该密钥的进程访问该物理页，同时利用一些访问控制信息指明该页是的读写属性；访问控制信息指明该页是的读写属性；每个进程相应地分配一个密钥，该密钥由操作系统装入进程每个进程相应地分配一个密钥，该密钥由操作系统装入进程的状态字中，每次执行进程访问内存的操作时，由硬件对该的状态字中，每次执行进程访问内存的操作时，由硬件对该密钥进行检验，只有当进程的密钥与内存物理页的密钥相匹密钥进行检验，只有当进程的密钥与内存物理页的密钥相匹配，并且相应的访问控制信息与该物理页的读写模式想匹配配，并且相应的访问控制信息与该物理页的读写模式想匹配时，才允许该进程访问该页内存，否那么禁止访问。时，才允许该进程访问该页内存，否那么禁止访问。2、系统运行保护、系统运行保护-1系统运行保护系统运行保护运行域时进程运行的区域，在最内层具有最小环号的环具有最运行域时进程运行的区域，在最内层具有最小环号的环具有最高特权，在最外层具有最大环号的环是最小的特权环；高特权，在最外层具有最大环号的环是最小的特权环；环形结构中，最内层是操作系统，控制整个计算机系统的运行，环形结构中，最内层是操作系统，控制整个计算机系统的运行，靠近操作系统环之外的是受限使用的系统应用环；最外层是控靠近操作系统环之外的是受限使用的系统应用环；最外层是控制不同用户的应用环；制不同用户的应用环；等级域机制应该保护某一环不被其外层环侵入，并且允许在某等级域机制应该保护某一环不被其外层环侵入，并且允许在某一环内的进程能够有效的控制和利用该环以及低于该环特权的一环内的进程能够有效的控制和利用该环以及低于该环特权的环；环；当一个进程在某个环内运行时，进程隔离机制将保护该进程免当一个进程在某个环内运行时，进程隔离机制将保护该进程免遭在同一环内同时运行其他进程破坏，系统将隔离在同一环内遭在同一环内同时运行其他进程破坏，系统将隔离在同一环内同时运行的各个进程；同时运行的各个进程；对于以给定的内存段，仅需三个区域表示三种访问模式，对于以给定的内存段，仅需三个区域表示三种访问模式，称为环界称为环界Ring bracketRing bracket，R1R1，R2R2，R3R3分别表示该段可以写、分别表示该段可以写、读和运行的环界。读和运行的环界。R1R2R32、系统运行保护、系统运行保护-2系统运行保护系统运行保护u环内某一进程对内存某段具有写操作的特权，就不用限制该段的读与运行操作特权；如果进程对某段具有读操作的特权，那当然允许其运行该段的内容；所以，实际上总是设置：u如果某段对具有较低特权的环是可写的，那么在较高特权环内运行该段的内容将是危险的，因为该段内容中可能含有破坏系统运行或偷窃系统机密信息的非法程序。uI/O保护：保护：I/O操作通常是由操作系统完成的特权操作，所有操作系统都对读写文件操作提供一个相应的高层系统调用，由于所有的I/O不是向设备写数据就是从设备接收数据，所以一个进行I/O操作的进程必须受到对设备的读写两种访问控制。R1=R2SCU，系，系统统根据主体和客体的敏感根据主体和客体的敏感标记标记来决定来决定访问访问模模式。式。访问访问模式包括：模式包括：下下读读 readdown：用：用户级别户级别大于文件大于文件级别级别的的读读操作；操作；上写上写 Writeup：用：用户级别户级别小于文件小于文件级别级别的写操作；的写操作；下写下写 Writedown：用：用户级别户级别等于文件等于文件级别级别的写操作；的写操作；上上读读 readup：用：用户级别户级别小于文件小于文件级别级别的的读读操作；操作；4、Unix系统访问控制系统访问控制-6Unix系系统访问统访问控制：控制：强强制制访问访问控制控制对专对专用的或用的或简单简单的系的系统统是有效的，但是有效的，但对对通用、通用、大型系大型系统统并不那么有效。并不那么有效。强强制制访问访问控制采用的方法：控制采用的方法：1 限制限制访问访问控制。控制。一个持洛伊木一个持洛伊木马马可以攻破任何形式的自主可以攻破任何形式的自主访问访问控制，由于自控制，由于自主控制方式允主控制方式允许许用用户户程序来修改他程序来修改他拥拥有文件的存取控制表，有文件的存取控制表，因而因而为为非法者非法者带带来可乘之机。来可乘之机。MAC可以不提供可以不提供这这一方便，在一方便，在这类这类系系统统中，用中，用户户要修改存取控制表的唯一途径是要修改存取控制表的唯一途径是请请求一个求一个特特权权系系统调统调用。用。该调该调用的功能是依据用用的功能是依据用户终户终端端输输入的信息，入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。而不是靠另一个程序提供的信息来修改存取控制信息。2 过过程控制程控制在通常的在通常的计计算机系算机系统统中，只要系中，只要系统统允允许许用用户户自己自己编编程，就没程，就没方法杜方法杜绝绝特洛伊木特洛伊木马马。但可以。但可以对对其其过过程采取某些措施，程采取某些措施，这这种种方法称方法称为过为过程控制。例如，警告用程控制。例如，警告用户户不要运行系不要运行系统统目目录录以外以外的任何程序。提醒用的任何程序。提醒用户户注意，如果偶然注意，如果偶然调调用一个其它目用一个其它目录录的的文件文件时时，不要做任何，不要做任何动动作，等等。需要作，等等。需要说说明的一点是，明的一点是，这这些些限制取决于用限制取决于用户户本身本身执执行与否。行与否。3 系系统统限制限制要要对对系系统统的功能的功能实实施一些限制。比方，限制共享文件，但共施一些限制。比方，限制共享文件，但共享文件是享文件是计计算机系算机系统统的的优优点，所以是不可能加以完全限制的。点，所以是不可能加以完全限制的。再者，就是限制用再者，就是限制用户编户编程。不程。不过这过这种做法只适用于某些种做法只适用于某些专专用用系系统统。在大型的，通用系。在大型的，通用系统统中，中，编编程能力是不可能去除的。程能力是不可能去除的。4、Unix系统访问控制系统访问控制-7Unix系系统访问统访问控制：控制：依据依据Bell-Lapadula平安模型所制定的原那么是利用不上平安模型所制定的原那么是利用不上读读/不不下写来保下写来保证证数据的保密性数据的保密性 见图见图1。即不允。即不允许许低信任低信任级别级别的用的用户读户读高敏感度的信息，也不允高敏感度的信息，也不允许许高敏感度的信息写入低敏感高敏感度的信息写入低敏感度区域，禁止信息从高度区域，禁止信息从高级别级别流向低流向低级别级别。强强制制访问访问控制通控制通过过这这种梯度平安种梯度平安标签实现标签实现信息的信息的单单向流通。向流通。4、Unix系统访问控制系统访问控制-8Unix系系统访问统访问控制：控制：依据依据Biba平安模型所制定的原那么是利用不下平安模型所制定的原那么是利用不下读读/不上写来保不上写来保证证数据的完整性数据的完整性 见图见图2。在。在实际应实际应用中，完整性保用中，完整性保护护主要是主要是为为了防止了防止应应用程序修改某些重要的系用程序修改某些重要的系统统程序或系程序或系统统数据数据库库。5、POSIX权能机制权能机制-1POSIX权权能机制：能机制：权权能能 capabilities 是一种用于是一种用于实现实现恰当特恰当特权权的能力令牌；的能力令牌；POSIX权权能机制与能机制与传统传统的的权权能机制能机制类类似，似，为为系系统统提供了更提供了更为为便利的便利的权权能管理和控制：能管理和控制：提供了提供了为为系系统进统进程指派一个程指派一个权权能去能去调调用或用或执执行受限系行受限系统统效效劳劳的的便携方法；便携方法；同了一种使同了一种使进进程只能程只能调调用用执执行其特定任行其特定任务务必需必需权权能的限制方法，能的限制方法，支持最小特支持最小特权权平安策略的平安策略的实现实现；确切确切说说，POSIX权权能机制提供了一种比超能机制提供了一种比超级级用用户户模式更模式更细细粒粒度的授度的授权权控制，将特控制，将特权权划分划分为为一个一个权权能集合能集合明确定明确定义义了了进进程程获获取和改取和改变权变权能的能的语义语义：可可继继承承权权能集：能集：进进程的可程的可继继承承权权能集，决定一个能集，决定一个进进程程执执行程序行程序时时刻被保存的刻被保存的权权能；程序文件的可能；程序文件的可继继承承权权能集，决定能集，决定执执行行该该程程序序产产生的生的进进程可程可遗传给遗传给其后其后续进续进程、其父程、其父进进程也程也拥拥有的有的权权能。能。许许可可权权能集：能集：进进程的程的许许可可权权能集，决定当前能集，决定当前进进程允程允许许生效的最生效的最大大权权能集合；程序文件的能集合；程序文件的许许可可权权能集，是确保程序能集，是确保程序执执行行产产生的生的进进程能程能够够正确地完成其功能所需的正确地完成其功能所需的权权能，与能，与调调用它的用它的进进程是否程是否具有相关具有相关权权能无关。能无关。有效有效权权能集：能集：进进程的有效程的有效权权能集，决定当前能集，决定当前进进程中生效的程中生效的权权能能集合；程序文件的有效集合；程序文件的有效权权能集，决定程序能集，决定程序执执行行产产生的生的进进程映像程映像将将拥拥有的有效有的有效进进程程权权能集。能集。5、POSIX权能机制权能机制-2POSIX权权能机制：能机制：特特权细权细分：根据分：根据POSIX标标准要求，可以将超准要求，可以将超级级用用户户特特权细权细分分为为权权能集合，必能集合，必须满须满足足权权能能选择选择的的标标注：注：一个一个权权能能应该应该允允许许系系统统使一个使一个进进程不受一个特定平安需求的程不受一个特定平安需求的约约束；束；所定所定义权义权能的能的实际实际效果之效果之间应该间应该有最小交集；有最小交集；在支持以上两条的的根底上，在支持以上两条的的根底上，权权能定能定义义得越少越好；得越少越好；1.CAP_OWNER该权该权能可以超越限制文件主能可以超越限制文件主ID必必须须等于用等于用户户ID的的场场合，比方改合，比方改变该变该有效用有效用户标识户标识符所属的文件属性；符所属的文件属性；拥拥有有该权该权能可以改能可以改变变文件的属主或属文件的属主或属组组；可以超越可以超越IPC的属主关系的属主关系检查检查；两两进进程程间间通信通信时时，真，真实实的的UID或有效或有效UID必必须须相等，但相等，但拥拥有有该该权权能可以超越此能可以超越此规规那么；那么；2.CAP_AUDIT拥拥有有该权该权能可以操作平安能可以操作平安审计审计机制；机制；编编写各种写各种审计记录审计记录；3.CAP_COMPAT拥拥有有该权该权能可以超越限制能可以超越限制隐隐蔽通道所做的特蔽通道所做的特别约别约束；束；5、POSIX权能机制权能机制-3POSIX权权能机制：能机制：4.CAP_DACREAD：拥拥有有该权该权能可以能可以超越自主超越自主访问访问控制控制 DAC 读检查读检查。5.CAP_DACWRITE：拥拥有有该权该权能可以能可以超越自主超越自主访问访问控制控制 DAC 写写检查检查。6.CAP_DEV:当当设备处设备处于私有状于私有状态时设态时设置或置或获获取取设备设备平安属性以改平安属性以改变设备级变设备级别别并并访问设备访问设备。7.CAP_FILESYS：对对文件系文件系统进统进行特行特权权操作，包括操作，包括创创立与目立与目录录的的连连接、接、设设置有效置有效根目根目录录、制作特、制作特别别文件。文件。进进程的特程的特权权：当：当fork一个子一个子进进程程时时，父子，父子进进程的特程的特权权是一是一样样的；的；但是当通但是当通过过exec执执行某个可行某个可执执行文件行文件时时，进进程的特程的特权权决定于决定于调调用用进进程的特程的特权权和可和可执执行文件的特行文件的特权权集。集。每个每个进进程具有下程具有下马马两个特两个特权权集：集：最大特最大特权权集：包含固定的和可集：包含固定的和可继继承的所有特承的所有特权权；工作特工作特权权集：集：进进程当前使用的特程当前使用的特权权集；集；6、Unix系统密码系统密码-1Unix系系统统密密码码：Linux redhat 重置重置root密密码码：1.进进入入grub启启动动界面，按界面，按e，6、Unix系统密码系统密码-2Unix系系统统密密码码：Linux redhat 重置重置root密密码码：2.光光标标指到指到kernel一行，按一行，按e，6、Unix系统密码系统密码-3Unix系系统统密密码码：Linux redhat 重置重置root密密码码：3.将其中的将其中的rhgbquiet替替换换成成single，Grubeditkernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/rhgbquietGrubeditkernel/vmlinuz-2.6.9-5.ELroroot=LABEL=/single6、Unix系统密码系统密码-4Unix系系统统密密码码：Linux redhat 重置重置root密密码码：6、Unix系统密码系统密码-5Unix系系统统密密码码：Linux redhat 重置重置root密密码码：5.光光标还标还是在是在kernel行按行按b，进进入入单单用用户户模式，模式，执执行行passwd，6、Unix系统密码系统密码-6Unix系系统统密密码码：Linux redhat 重置重置root密密码码：6.重置完密重置完密码码后后执执行行init6,即可新密即可新密码码登登录录系系统统，7、Unix系系统统网网络络平安性平安性-1Unix系系统统网网络络平安性：平安性：用用户户/文件文件权权限的划分：限的划分：用用户权户权限在限在Windows操作系操作系统统里也不陌生，但是里也不陌生，但是Linux操作系操作系统统的用的用户权户权限和文件限和文件权权限要比限要比Windows操作操作系系统统里里严严格有效。比格有效。比较较明明显显的一个案例就是，即便是你在的一个案例就是，即便是你在Windows操作系操作系统统里里设设置了多用置了多用户户，但是不同的用，但是不同的用户户之之间间通通过过一定的方式，一定的方式，还还是能是能够够互互访访文件的，文件的，这这就失去了就失去了权权限限的意的意义义。LINUX文件文件权权限限针对针对的的对对象分三象分三类类 互斥的关系互斥的关系：1.user 文件的文件的拥拥有者有者 2.group 文件文件拥拥有者所在的有者所在的组组，但不包括，但不包括user 3.other 其它用其它用户户，即，即user和和group以外的以外的 LINUX用一个用一个3位二位二进进制数制数对应对应着文件的着文件的3种种权权限限 1表示有表示有该权该权限，限，0表示无表示无：第第1位位读读r1004第第2位位写写w0102第第3位位执执行行x00117、Unix系系统统网网络络平安性平安性-2Unix系系统统网网络络平安性：平安性：iptables是与是与Linux内核集成的内核集成的IP信息包信息包过滤过滤系系统统，如果，如果Linux系系统连统连接到因特网或接到因特网或LAN、效、效劳劳器或器或连连接接LAN和因特和因特网的代理效网的代理效劳劳器，那么器，那么该该系系统统有利于在有利于在Linux系系统统上更好地上更好地控制控制IP信息包信息包过滤过滤和防火和防火墙墙配置。配置。netfilter/iptablesIP信息包信息包过滤过滤系系统统是一种功能是一种功能强强大的工具，大的工具，可用于添加、可用于添加、编辑编辑和除去和除去规规那么，那么，这这些些规规那么是在做信息包那么是在做信息包过滤过滤决定决定时时，防火，防火墙墙所遵循和所遵循和组组成的成的规规那么。那么。这这些些规规那么存那么存储储在在专专用的信息包用的信息包过滤过滤表中，而表中，而这这些表集成在些表集成在Linux内核中。内核中。在信息包在信息包过滤过滤表中，表中，规规那么被分那么被分组组放在我放在我们们所所谓谓的的链链 chain 中。中。虽虽然然netfilter/iptablesIP信息包信息包过滤过滤系系统统被称被称为单为单个个实实体，体，但它但它实际实际上由两个上由两个组组件件netfilter和和iptables组组成。成。netfilter组组件也称件也称为为内核空内核空间间 kernelspace，是内核的一局，是内核的一局部，由一些信息包部，由一些信息包过滤过滤表表组组成，成，这这些表包含内核用来控制信些表包含内核用来控制信息包息包过滤处过滤处理的理的规规那么集。那么集。iptables组组件是一种工具，也称件是一种工具，也称为为用用户户空空间间 userspace，它使插入、修改和除去信息包它使插入、修改和除去信息包过滤过滤表中的表中的规规那么那么变变得容易。得容易。7、Unix系系统统网网络络平安性平安性-3Unix系系统统网网络络平安性：平安性：netfilter/iptables的最大的最大优优点是它可以配置有状点是它可以配置有状态态的防火的防火墙墙，这这是是ipfwadm和和ipchains等以前的工具都无法提供等以前的工具都无法提供的一种重要功能。有状的一种重要功能。有状态态的防火的防火墙墙能能够够指定并指定并记记住住为发为发送送或接收信息包所建立的或接收信息包所建立的连连接的状接的状态态。防火。防火墙墙可以从信息包可以从信息包的的连连接跟踪状接跟踪状态获态获得得该该信息。在决定新的信息包信息。在决定新的信息包过滤时过滤时，防火防火墙墙所使用的所使用的这这些状些状态态信息可以增加其效率和速度。信息可以增加其效率和速度。这这里有四种有效状里有四种有效状态态，名称分，名称分别为别为ESTABLISHED、INVALID、NEW和和RELATED。状状态态ESTABLISHED指出指出该该信息包属于已建立的信息包属于已建立的连连接，接，该该连连接一直用于接一直用于发发送和接收信息包并且完全有效。送和接收信息包并且完全有效。INVALID状状态态指出指出该该信息包与任何的流或信息包与任何的流或连连接都不相关接都不相关联联，它可能，它可能包含包含错误错误的数据或的数据或头头。状。状态态NEW意味着意味着该该信息包已信息包已经经或或将启将启动动新的新的连连接，或者它与尚未用于接，或者它与尚未用于发发送和接收信息包的送和接收信息包的连连接相关接相关联联。最后，。最后，RELATED表示表示该该信息包正在启信息包正在启动动新新连连接，以及它与已建立的接，以及它与已建立的连连接相关接相关联联。netfilter/iptables的另一个重要的另一个重要优优点是，它使用点是，它使用户户可以完可以完全控制防火全控制防火墙墙配置和信息包配置和信息包过滤过滤。您可以定制自己的。您可以定制自己的规规那那么来么来满满足您的特定需求，从而只允足您的特定需求，从而只允许许您想要的网您想要的网络络流量流量进进入系入系统统。第03节 系统平安模型知识点预览知识点预览#节节知识点知识点难点难点重点重点应用应用3WEBSEC-C02-03 系统安全模型1.安全模型的特性及作用2.形式化安全模型设计3.状态机模型原理4.完整性安全模型5.多策略安全模型1、平安模型的特性及作用、平安模型的特性及作用-1平安模型的特性及作用：平安模型的特性及作用：信息系统的平安需求：信息系统的平安需求：机密性机密性confidentialityconfidentiality；完整性完整性integrityintegrity；可追究性可追究性accountabilityaccountability；可用性可用性availabilityavailability；基于系统平安策略的定义和内涵可分为两大类：基于系统平安策略的定义和内涵可分为两大类：访问控制策略访问控制策略Access Control PolicyAccess Control Policy：反映了系统的：反映了系统的机密性和完整性要求；确立了相应的访问控制规那么以控制机密性和完整性要求；确立了相应的访问控制规那么以控制系统资源的访问；系统资源的访问；访问支持策略访问支持策略Access Supporting PolicyAccess Supporting Policy：反映系统的：反映系统的可追究性和可用性要求，以支持访问控制策略的面貌的出现。可追究性和可用性要求，以支持访问控制策略的面貌的出现。1、平安模型的特性及作用、平安模型的特性及作用-2平安模型的特性及作用：平安模型的特性及作用：参照参照OSIOSI和和TCP/IPTCP/IP协议的层次结构，可将协议的层次结构，可将UNIXUNIX的平安体系结构描述分成五的平安体系结构描述分成五个层次：个层次：策略层：主要负责进行平安策略的需求分析、平安方针的制定以及平策略层：主要负责进行平安策略的需求分析、平安方针的制定以及平安策略的制定：安策略的制定：用户层：主要是负责网络设备的人员，这对于用户层：主要是负责网络设备的人员，这对于UNIXUNIX多用户环境下的应多用户环境下的应用进程也算在其中。用进程也算在其中。主机层：包括计算机互联设备，如路由器、单一的主机层：包括计算机互联设备，如路由器、单一的UNIXUNIX主机等。主机等。包过滤层：对应用包过滤层：对应用OSIOSI的三层，通过用户层的进程和包过滤规那么对的三层，通过用户层的进程和包过滤规那么对IPIP包进行过滤。一般的包过滤算法是采用查一张规那么表来实现，它根据包进行过滤。一般的包过滤算法是采用查一张规那么表来实现，它根据条件动作这样的规那么序列来判断是前向路由还是弃包。条件动作这样的规那么序列来判断是前向路由还是弃包。物理连接层：包括进行网络物理连接的设备，对应于物理连接层：包括进行网络物理连接的设备，对应于OSIOSI的第的第1 1、2 2层；层；网络中的各种加密设备等。对于网络信息的机密性和完整性，可以在网网络中的各种加密设备等。对于网络信息的机密性和完整性，可以在网络上通过加密措施来实现对于络上通过加密措施来实现对于UNIXUNIX这样的分布式操作系统，要保证这样的分布式操作系统，要保证UNIXUNIX系统的平安性，必须从系统角度来考虑，以解决系统的平安性，必须从系统角度来考虑，以解决UNIXUNIX系统的多级平安互系统的多级平安互通问题。对此，可采用多级平安的通问题。对此，可采用多级平安的SocketSocket来编程，实现多级平安的来编程，实现多级平安的UNIXUNIX文件，进行网络的平安互通。文件，进行网络的平安互通。1、平安模型的特性及作用、