操作系统安全机制课件

,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Company Logo,*,Click to edit Master title style,LOGO,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,第,9,章 操作系统安全,9.1,操作系统的安全性,9.2 Windows,安全机制,9.3 Windows,安全配置,9.4 Unix,安全机制,9.5 Linux,安全机制,9.6 Linux,安全设置,第9章 操作系统安全9.1 操作系统的安全性,9.1,操作系统的安全性,9.1.1,操作系统安全功能,一个安全的操作系统应该具有以下的功能：,1,有选择的访问控制,对计算机的访问可以通过用户名和密码组合及物理限制来控制；对目录或文件级的访问则可以由用户和组策略来控制。,2,内存管理与对象重用,系统中的内存管理器必须能够隔离每个不同进程所使用的内存。在进程终止且内存将被重用之前，必须在再次访问它之前，将其中的内容清空。,9.1 操作,3,审计能力,安全系统应该具备审计能力，以便测试其完整性，并可追踪任何可能的安全破坏活动。审计功能至少包括可配置的事件跟踪能力、事件浏览和报表功能、审计事件、审计日志访问等。,4,加密数据传送,数据传送加密保证了在网络传送时所截获的信息不能被未经身份认证代理所访问。针对窃听和篡改，加密数据具有很强的保护作用。,3审计能力,5,加密文件系统,对文件系统加密保证了文件只能被具有访问权的用户所访问。文件加密和解密的方式对用户来说应该是透明的。,6,安全进程间通信机制,进程间通信也是给系统安全带来威胁的一个主要因素，应对进程间的通信机制做一些必要的安全检查。,5加密文件系统,9.1.2,操作系统安全设计,操作系统的安全性遍及整个操作系统的设计和结构中，所以在设计操作系统时应多方面考虑安全性的要求。下面是操作安全系统设计的一些原则：,1,最小权限,2,机制的经济性,3,开放式设计,4,完整的策划,5,权限分离,9.1.2 操作系统安全设计,6,最少通用机制,可共享实体提供了信息流的潜在通道，系统为防止这种共享的威胁要采取物理或逻辑分离的措施。,9.1.3,操作系统的安全配置,操作系统安全配置主要是指操作系统访问控制权限的合理设置、系统的及时更新以及对攻击的防范三个方面。,1,合理设置,利用操作系统的访问控制功能，为用户和文件系统建立恰当的访问权限控制。,6最少通用机制,2,及时更新,及时地更新系统，能修正操作系统中已发现的问题，会使整个系统的安全性、稳定性、易用性得到大幅度提高。,3,攻击防范,攻击的防范主要是指对于各种可能的攻击，比如利用系统缓冲区溢出攻击等要进行合理的预先防范，对各类攻击的防范是操作系统系统安全防护的一个重要内容。,2及时更新,9.1.4,操作系统的安全性,1,用户认证能力,操作系统的许多保护措施大都基于鉴别系统的合法用户，身份鉴别是操作系统中相当重要的一个方面，也是用户获取权限的关键。为防止非法用户存取系统资源，操作系统采取了切实可行的、极为严密的安全措施。,2,抵御恶意破坏能力,恶意破坏可以使用安全漏洞扫描工具、特洛伊木马、计算机病毒等方法实现。一个安全的操作系统应该尽可能减少漏洞存在，避免各种后门出现。,9.1.4 操作系统的安全性,3,监控和审计日志能力,从技术管理的角度考虑，可以从监控和审计日志两个方面提高系统的安全性。,（,1,）监控（,monitoring,）,监控可以检测和发现可能违反系统安全的活动。例如，在分时系统中，记录一个用户登录时输入的不正确口令的次数，当超过一定的数量时，就表示有人在猜测口令，可能就是非法的用户。,3监控和审计日志能力,（,2,）审计日志（,audit log,）,日志文件可以帮助用户更容易发现非法入侵的行为，可以利用它综合各方面的信息，去发现故障的原因、侵入的来源以及系统被破坏的范围。,（2）审计日志（audit log）,9.2 Windows,安全机制,9.2.1 Windows,安全机制概述,Windows,安全服务的核心功能包括了活动目录,AD,服务、对,PKI,的集成支持、对,Kerberos V5,鉴别协议的支持，保护本地数据的,EFS,和使用,IPSec,来支持公共网络上的安全通讯等。,9.2 Windows安,9.2.2,活动目录服务,活动目录是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射。如找到了一个用户名，可以联想到该用户的账号等，提高了系统资源的利用效率。,活动目录包括目录和与目录相关的服务两个部分。,目录是存储各种对象的一个物理容器，与,Windows9X,中的“目录”和“文件夹”没有本质区别，仅仅是一个对象。,9.2.2 活动目录服务,目录服务是为目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，能对用户提供统一的服务。,Windows,系统的安全模型正是建立在活动目录结构之上，提供域间信任关系、组策略安全管理、身份鉴别与访问控制、管理委派等安全性服务。,1,域间信任关系,这里的域是指,Windows,网络系统的安全性边界。,目录服务是为目录中所有信息和资源发挥作用的服务,Windows,支持域间的信任关系，用来支持直接身份验证传递，用户和计算机可以在目录树的任何域中接受身份验证，使得用户或计算机仅需登录一次网络就可以对任何他们拥有相应权限的资源进行访问。,2,组策略安全管理,组策略安全管理可以实现系统的安全配置。管理者可用此设置来控制活动目录中对象的各种行为，使管理者能够以相同的方式将所有类型的策略应用到众多计算机上，可以定义广泛的安全性策略。,Windows支持域间的信任关系，用来支持直,3,身份鉴别与访问控制,身份鉴别服务用来确认任何试图登录到域或访问网络资源的用户身份。在,Windows,环境中，用户身份鉴别有两种方式：,（,1,）互动式登录，向域账户或本地计算机确认用户的身份；,（,2,）网络身份鉴别，向用户试图访问的任何网络服务确认用户的身份。,4,管理委派,将原来复杂的域管理任务分配给多个管理员进行管理。,3身份鉴别与访问控制,9.2.3,认证服务,Windows,使用,Kerberos V5,协议作为网络用户身份认证的主要方法。,Windows,操作系统全面支持,PKI,，并作为操作系统的一项基本服务而存在。,9.2.4,加密文件系统,Windows,提供了加密文件系统,EFS,用来保护本地系统，如硬盘中的数据安全。,EFS,是,Windows,的,NTFS,文件系统的一个组件，能让用户对本地计算机中的文件或文件夹进行加密，非授权用户是不能对这些加密文件进行读写操作的。,9.2.3 认证服务,9.2.5,安全设置模板,Windows,提供了安全模板工具，它可以方便组织网络安全设置的建立和管理。安全模板是安全配置的实际体现，它是一个可以存储一组安全设置的文件。,Windows,包含一组标准安全模板，模板适用的范围从低安全性域客户端设置到高安全性域控制器设置都有。,9.2.5 安全设置模板,9.2.6安全账号管理器,Windows中对用户账户的安全管理使用了安全账号管理器SAM （Security Account Manager），是Windows的用户账户数据库，所有用户的登录名及口令等相关信息都会保存在这个文件中。Windows系统中对SAM文件中资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。,9.2.6安全账号管理器,9.2.7,其它方面,1,支持,IPSec,协议,IPSec,提供了认证、加密、数据完整性和,TCP/IP,数据的过滤功能。,2,可扩展的安全体系结构,为了提供与现有客户端的兼容性并利用特殊的安全机制，,Windows,操作系统使用,SSPI,来确保在基于,Windows,环境中实现一致的安全性。,SSPI,为客户机服务器双方的身份认证提供了上层应用的,API,，屏蔽了网络安全协议的实现细节,9.2.7其它方面,3,安全审核,Windows,允许用户监视与安全性相关的事件（如失败的登录尝试），因此，可以检测到攻击者和试图危害系统数据的事件。,Windows,还产生安全性日志，并提供查看日志中所报告安全性事件的方法。,3安全审核,9.3 Windows,安全配置,基于,NT,技术的,Windows,操作系统自身带有强大的安全功能和选项，只要合理的配置它们，,windows,操作系统将会是一个比较安全的操作系统。据说，有,90,的恶意攻击都是利用,Windows,操作系统安全配置不当造成的。,1,使用,NTFS,分区格式,NTFS,文件系统具备高强度的访问控制机制，保证用户不能访问未经授权的文件和目录，能够有效地保护数据不被泄漏与篡改。,9.3 Wi,同时,NTFS,文件系统还具有查找文件速度快，产生文件碎片少，节约磁盘空间等优点。,2,使用不同的分区,安装操作系统时，应用程序不要和操作系统放在同一个分区中，至少要在硬盘上留出两个分区，一个用来安装操作系统和重要的日志文件，另一个用来安装应用程序，以免攻击者利用应用程序的漏洞导致系统文件的泄漏与损坏。,同时NTFS文件系统还具有查找文件速度快，产,3,系统版本的选择,Windows,有各种语言的版本，可以选择英文版或简体中文版。,4,安装顺序,在本地系统用光盘等安装，接着是安装各种应用程序，最后再安装最新系统补丁。,5,及时安装最新补丁程序,要经常访问微软和一些安全站点，下载最新的,SP,（,Service Pack,）和漏洞补丁（,Hot Fixes,）程序，这是维护系统安全最简单也是最有效的方法。,3系统版本的选择,微软公司的产品补丁分为,2,类：,SP,和,Hot Fixes,。,SP,是集合一段时间内发布的,Hot Fixes,的所 有补丁，也称大补丁，一般命名为,SP1,、,SP2,等，,Hot Fixes,是小补丁，是为解决微软网站上最新安全告示中的系统漏洞而发布的。,6,组件的定制,最好只安装你确实需要的服务。在不确定的情况下，选择是不安装，需要时再补装也不晚。根据安全原则，最少的服务最小的权限最大的安全。,微软公司的产品补丁分为2类：SP和Hot Fi,7,启动设置,一旦系统安装完毕，除了硬盘启动外，软盘、光盘、甚至是,USB,闪存的启动都可能带来安全的问题。可以在,BIOS,设置中禁止除硬盘以外的任何设备的启动。同时，要在,BIOS,中设置开机密码，开机密码是计算机安全的第一道防线。,8,限制用户数量,去掉所有测试用户、共享用户和普通部门账号等，要知道，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。,7启动设置,9,创建,2,个管理员用帐号,创建一个一般权限帐号用来处理一些日常事物，另一个拥有,Administrators,权限的帐户只在需要的时候使用。要尽量减少,Administrators,登陆的次数和时间，因为，只要登陆系统后，密码就存储在,WinLogon,中，非法用户入侵计算机时就可以得到登陆用户密码。,10,使用文件加密系统,EFS,Windows,强大的加密系统能够给磁盘、文件夹（包括,temp,文件夹）和文件加上一层安全保护，这样可以防止别人把你的硬盘上的数据读出。,9创建2个管理员用帐号,11,目录和文件权限,仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。,12,关闭默认共享,操作系统安装后，系统会创建一些默认的共享，如共享驱动器、共享文件和共享打印等，这意味着进入网络的用户都可以共享和获得这些资源。因此要根据应用需要，关闭不需要的共享服务。,11目录和文件权限,13,禁用,Guest,账号,Guest,帐户，即所谓的来宾帐户，它可以访问计算机，虽然受到限制，但也为为黑客入侵打开了方便之门，如果不需要用到,Guest,帐户，最好禁用它。,14,清除转储文件和交换文件,转储文件（,Dump File,）是在系统崩溃和蓝屏时，会把内存中的数据保存到转储文件，以帮助人们分析系统遇到的问题，但对一般用户来说是没有用的。另一方面，转储文件可能泄漏许多敏感数据。交换文件（即页面文件）也存在同样问题。,13禁用Guest账号,15,使用安全密码,Windows,允许设置口令的长度可达,127,位，要实现最大的保护工作，就要为“,Administrator”,帐号创建至少,8,位长度的口令。开启,Windows,账号安全和密码策略，可以使设置的密码更加安全。,16,随时锁定计算机,如果在使用计算机过程中，需要短暂离开计算机的话，可以通过使用,CTRL+ALT+DEL,组合键或屏幕保护程序来达到锁定屏幕的目的。,15使用安全密码,17.,关闭不必要的端口,我们知道，,Windows,中每一项服务都对应相应的端口，而黑客大多是通过端口进行入侵的，关闭一些端口可以防止黑客的入侵。,18,关闭不必要的服务,为了方便用户，,Windows,默认安装了许多我们暂时不用的服务，在系统资源相对紧张的情况下，额外的服务会导致系统资源紧张，引起系统的不稳定，它还会为黑客的远程入侵提供了多种途径。,17. 关闭不必要的端口,19,备份和恢复数字证书,在使用,Windows,自带的加密文件系统（,EFS,）把一些重要数据加密保存后，在重装系统时如果没有原来备份的个人加密证书和密钥文件，被加密的文件将不能访问，所以数字证书的备份和恢复就显得十分重要了。,20,利用“网络监视器”,“网络监视器”可以细致到监视一个数据包的 具体内容，以供用户详细了解服务器的数据流动情况，使用“网络监视器”可以帮助网管查看网络故障，检测黑客攻击。,19备份和恢复数字证书,21,启用安全日志审核,安全日志是记录一个系统操作过程的重要手段，通过日志可以查看系统一些运行状态，是审核最基本的入侵检测方法。,22,保护注册表的安全,对于注册表应严格限制只能在本地进行注册，不能被远程访问。可以利用文件管理器设置只允许网络管理员使用注册表编辑工具,regedit.exe,，限制对注册表编辑工具的访问。也可使用一些工具软件来锁住注册表。或利用,regedit.exe,修改注册表键值的访问权限。,21启用安全日志审核,23,物理安全,服务器要放在装有监视器的隔离房间内，机箱等需要上锁，钥匙要放在安全的地方。因为任何人都可以把硬盘卸下来，到其它的系统上读取数据，破坏安全防护。桌面机和服务器一样，要尽可能地避免物理接触。,23物理安全,9.4 Unix,安全机制,1,用户帐号安全,用户号和用户组号是,Unix,系统唯一地标识用户和同组用户及用户的访问权限，,2,口令安全,为了防止普通用户访问,passwd,文件，减少攻击者窃取加密口令信息的机会，超级用户可以创建映像口令文件,/etc/shadow,。它使得用户可以把口令放在一个只有超级用户才能访问到的地方，从而避免系统中的所有用户都可以访问到这些信息。,3,文件系统安全,在,Unix,系统中，文件访问权限主要通过文件的权限设置（,chmod,命令）来实现。在多用户系统中，文件访问权限尽量应以满足要求为宜。,4. FTP,安全,匿名,FTP,是对网络文件传输进行安全保护的一种有效手段，在使用时需注意以下几点：,（,1,）使用最新的,FTP,版本。,（,2,）确保没有任何文件及其所有者属于,FTP,账户或必须不与它在同一组内。,3文件系统安全,（,3,）确保,FTP,目录及其下级子目录的所有者是,root,，以便对有关文件进行保护。,（,4,）确保,FTP,的,home,目录下的,passwd,不是,/etc/passwd,的完全拷贝，否则容易给黑客破解整个系统的有关用户信息。,（,5,）不要允许匿名用户在任何目录下创建文件或目录。,5,文件加密,Unix,用户可以使用,crypt,命令加密文件，用户选择一个密钥加密文件，再次使用此命令，用同一密钥作用于加密后的文件，就可恢复文件内容。,（3）确保FTP目录及其下级子目录的所有者是,一般来说，在加密文件前先用,pack,或,compress,命令对文件进行压缩后再加密。,6,Unix,日志文件,在,Unix,系统中，比较重要的日志文件有记录每个用户最后登录的时间（包括成功的和未成功的）的,/user/adm/lastlog,文件，记录当前登录到系统的用户的,/etc/utmp,文件，记录用户的登录和注销的,/usr/adm/wtmp,文件，记录每个用户运行的每个命令的,/usr/adm/acct,文件。,一般来说，在加密文件前先用pack或comp,9.5 Linux,安全机制,Linux,采取了许多安全技术措施，如对读、取权限控制、审计跟踪等。有些是以“补丁”程序的形式出现。,9.5.1 PAM,机制,PAM,是一套共享库，其目的是提供一个框架和一套编程接口，将认证工作由程序员交给管理员处理，,PAM,允许管理员在多种认证方法之间作出选择，它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。,PAM,的功能包括：,1,加密口令；,2,对用户进行资源限制，防止,DOS,攻击；,3,允许任意,Shadow,口令；,4,限制特定用户在指定时间从指定地点登录；,5,引入概念“,client plug-in agents”,，使,PAM,支持,C/S,应用中的机器认证成为可能。,9.5.2,安全审计,Linux,提供网络、主机和用户级的日志信息,它可以提供攻击发生的真实证据。,PAM的功能包括：,例如，,Linux,可以记录以下内容：,1,记录所有系统和内核信息；,2,记录每一次网络连接和它们的源,IP,地址、长度，有时还包括攻击者的用户名和使用的操作系统；,3,记录远程用户申请访问哪些文件；,4,记录用户可以控制哪些进程；,5,记录具体用户使用的每条命令,例如，Linux可以记录以下内容：,9.5.3,强制访问控制,强制访问控制是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性地限制信息的共享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上防止信息的失泄密和访问混乱的现象。,由于,Linux,是一种自由操作系统，目前实现强制访问控制的比较典型系统有,SElinux,、,RSBAC,等，采用的策略也各不相同。,9.5.3 强制访问控制,9.5.4,用户和文件配置,1,删除所有不用的帐户。,选择合适的密码策略。,超级用户配置。,限制用户对主机资源的使用。,保护一些文件免被改动。,/etc/exports,文件。,9.5.4 用户和文件配置,9.5.5,网络配置,1,删除不用的服务,对于旧的,Linux,系统，配置,/etc/inetd.conf,，去掉不用的服务。对于较新的系统，则在配置,xinetd.conf,以及,/etc/xinetd.d,时，先备份原有配置，然后去掉所有的服务，然后再根据需要添加。,2,防止系统信息暴露,通过编辑修改,/etc/rc.d/rc.local,配置文件，避免显示过多信息。,9.5.5 网络配置,3,避免域名欺骗,“,/etc/host.conf”,文件说明了如何解析地址，通过编辑该文件可以避免域名欺骗。,4,TCP/IP,属性的配置,可以通过编辑,/etc/rc.d/rc.local,以使本地系统不响应远程系统的,ping,数据包，防止类似,SYN Flood,拒绝服务的攻击。,3避免域名欺骗,9.5.6 Linux,安全模块,LSM,Linux,安全模块（,LSM,）目前作为一个,Linux,内核补丁的形式实现。其本身不提供任何具体的安全策略，而是提供了一个通用的基础体系给安全模块，由安全模块来实现具体的安全策略。其主要在五个方面对,Linux,内核进行了修改：,1,在特定的内核数据结构中加入了安全域；,2,在内核源代码中不同的关键点插入了对安全钩子函数的调用；,9.5.6 Linux 安全模块LSM,4,提供了函数允许内核模块注册为安全模块或者注销；,5,将,capabilities,逻辑的大部分移植为一个可选的安全模块。,Linux,安全模块对于普通用户的价值在于可以提供各种安全模块，由用户选择适合自己需要加载到内核中，满足特定的安全功能。,Linux,安全模块本身只提供增强访问控制策略的机制，而由各个安全模块实现具体特定的安全策略。,4提供了函数允许内核模块注册为安,9.5.7,加密文件系统,目前,Linux,已有多种加密文件系统，如,CFS,、,TCFS,、,CRYPTFS,等，较有代表性的是,TCFS,，,TCFS,能够做到让保密文件对以下用户不可读：,1,合法拥有者以外的用户。,2,用户和远程文件系统通信线路上的偷听者。,3,文件系统服务器的超级用户。,9.5.7 加密文件系统,9.6 Linux,安全设置,下面将以,Red Hat Linux,操作系统为环境，介绍,Linux,安全的基本设置。,1,安装,要避免完全安装，即,Everything,选项。前面提到过系统提供的服务越多，漏洞越多，安全越差。,2,特别的帐号,禁止所有默认的被操作系统本身启动的且不需要的帐号。,3,启动加载程序,启动加载程序尽量使用,GRUB,而不使用,LILO,。,3启动加载程序,9.6 Linux,安全设置,下面将以,Red Hat Linux,操作系统为环境，介绍,Linux,安全的基本设置。,1,安装,要避免完全安装，即,Everything,选项。前面提到过系统提供的服务越多，漏洞越多，安全越差。,2,特别的帐号,禁止所有默认的被操作系统本身启动的且不需要的帐号。,3,启动加载程序,启动加载程序尽量使用,GRUB,而不使用,LILO,。,4,使用,sudo,sudo,是一种以限制在配置文件中的命令为基础，在有限时间内给用户使用并且记录到日志中的工具。,2特别的帐号,5,加强登录安全,通过修改,/etc/login.defs,文件可以增加对登录错误延迟、记录日志、登录密码长度限制、过期限制等设置。,6,备份重要的文件,将最重要和常用的命令文件备份，防止计算机病毒等。,7,关闭一些服务,关闭不必要使用的服务进程以减少漏洞。,5加强登录安全,8,NFS,服务,如果希望禁止用户任意的共享目录，可以增加,NFS,限制。,首先要使用日志服务器，创建一台服务器专门存放日志文件，可以通过检查日志来发现问题，还应该设定日志远程保存。,10,使用,SSH,为了防止被嗅探器捕捉敏感信息，使用,SSH,是最好的选择。,8NFS服务,11,其它,（,1,）使用更安全的文件传输工具。,（,2,）使用系统快照。系统快照是利用对系统文件编排数据库来定期发现系统的变化。,（,3,）将系统软件和应用软件升级为最新版本。,（,4,）不断升级内核。,11其它,本章教学要求：,（,1,）知道操作系统的安全性的内容；,（,2,）掌握,Windows,安全机制；,（,3,）知道,Windows,安全配置方法；,（,4,）知道,Unix,安全机制；,（,5,）知道,Linux,安全机制；,（,6,）知道,Linux,安全设置方法。,本章教学要求：,