操作系統(tǒng)安全.doc

操作系統(tǒng)安全第一章 安全法則概述：基本概念 NT的安全性 UNIX的安全性一、基本概念： 1、安全級別： 低安全性：在一個安全的位置，沒有保存 掃描病毒 敏感信息 中等安全性：保存公眾數(shù)據(jù)，需要被多人使 設(shè)置權(quán)限，激活審核，實現(xiàn)賬號策略用 高安全性：位于高風(fēng)險的位置，保存有敏感 最小化操作系統(tǒng)的功能，最大化安全機制信息 2、安全機制： 具體的安全機制： 環(huán)繞機制：在進(jìn)程或系統(tǒng)之間加密數(shù)據(jù) 簽名機制：抗抵賴性和抗修改性 填充機制：增加數(shù)據(jù)捕獲的難度 訪問控制機制：確保授權(quán)的合法性 數(shù)據(jù)統(tǒng)一性機制：確保數(shù)據(jù)的順序發(fā)送 廣泛的安全性機制： 安全標(biāo)記：通過指出數(shù)據(jù)的安全性級別來限制對數(shù)據(jù)的訪問 信任機制：提供了敏感信息的傳輸途徑 審核：提供了監(jiān)控措施 安全恢復(fù)：當(dāng)出現(xiàn)安全性事件的時候采取的一組規(guī)則 3、安全管理： 系統(tǒng)安全管理：管理計算機環(huán)境的安全性，包括定義策略，選擇安全性機制，負(fù)責(zé)審核和恢復(fù)進(jìn)程 安全服務(wù)管理： 安全機制管理：實現(xiàn)具體的安全技術(shù)二、NT的安全性：當(dāng)一個系統(tǒng)剛安裝好的時候，處于一個最不安全的環(huán)境 1、NT的安全性組件： 隨機訪問控制：允許對象的所有人制定別人的訪問權(quán)限 對象的重復(fù)使用： 強制登陸： 審核： 通過對象來控制對資源的訪問 對象：將資源和相應(yīng)的訪問控制機制封裝在一起，稱之為對象，系統(tǒng)通過調(diào)用對象來提供應(yīng)用對資源的訪問，禁止對資源進(jìn)行直接讀取 包括：文件（夾），打印機，I/O設(shè)備，視窗，線程，進(jìn)程，內(nèi)存安全組件： 安全標(biāo)識符：SID，可變長度的號碼，用于在系統(tǒng)中唯一標(biāo)示對象，在對象創(chuàng)建時由系統(tǒng)分配，包括域的SID和RID。創(chuàng)建時根據(jù)計算機明、系統(tǒng)時間、進(jìn)程所消耗CPU的時間進(jìn)行創(chuàng)建。 S-1-5-500AdministratorA user account for the system administrator. This account is the first account created during operating system installation. The account cannot be deleted or locked out. It is a member of the Administrators group and cannot be removed from that group. S-1-5-501GuestA user account for people who do not have individual accounts. This user account does not require a password. By default, the Guest account is disabled.S-1-5-32-544AdministratorsA built-in group. After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group. The Administrators group has built-in capabilties that give its members full control over the system. The group is the default owner of any object that is created by a member of the group.S-1-5-32-545UsersA built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer. Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer. Users can install applications that only they are allowed to use if the installation program of the application supports per-user installation.實驗：察看用戶的SID訪問控制令牌：包含創(chuàng)建：僅在用戶登錄的時候，刷新作用：訪問資源的憑證安全描述符：每一個對象都具有，包括對象的SID，組的SID，隨機訪問控制列表和系統(tǒng)訪問控制列表訪問控制列表：進(jìn)行訪問控制和審核的方式，由一系列ACE構(gòu)成DACL：控制資源的訪問類型和深度SACL：控制對資源的審核ACL ACE：表示一個用戶對此資源的訪問權(quán)限，拒絕優(yōu)先于允許訪問過程：安全子系統(tǒng)：Figure 6.1 Windows NT Security Components重要組件：LSASAM：存儲用戶密碼Netlogon：在驗證的雙方之間建立安全通道三、UNIX安全性：1、病毒攻擊：2、緩存區(qū)溢出： crond, wu-ftp, sendmail3、/etc/passwd和/etc/shadow文件的安全4、non-root user access to sensitive commands: poweroff, reboot, haltPluggable authentication modules: PAMs, create additional authentication parameters without affecting existing authentication systemsPAM directory: /etc/pam.d/ determine what must occur before a user can logged in /etc/security/ set limits concerning users and daemons once they have logged onto the system /lib/security/ the actual location of the PAM modulesPAM entry format: Module type flags path argsModule type: determine authentication typeFlags: determine module type priorityPath: determine module location in the systemArgs: optional, customize PAM behavior/etc/security directory:access.conf: determines who can access the machine and from where group.conf: determines which group can logintime.conf: set logon time limitslimits.conf: set limits based upon percentage of processor usage or number of processes a user can run simultaneously第二章 賬號安全性概述：賬號安全性概述NT賬號的安全性 UNIX賬號的安全性一、賬號安全性：歸根結(jié)底是保護(hù)密碼的安全性 1、強力密碼：包含大小寫，數(shù)字和特殊字符，不包含用戶名和個人信息 2、賦予最低的權(quán)限和及時清理無用的賬號二、NT賬號的安全性 1、定期檢查賬號數(shù)據(jù)庫，掌握賬號的變化；同時定期察看系統(tǒng)的的調(diào)度任務(wù) 2、使用賬號策略來強化密碼的安全性： 在2000中賬號策略必須在域的級別來進(jìn)行設(shè)置 密碼策略賬號鎖定策略 Kerberos策略 區(qū)別：2000最多支持127位密碼，NT最多14位，在存儲密碼時以7位為單位，所以選擇密碼時應(yīng)為7的整數(shù)倍 NT缺省不禁用管理員賬戶，2000可以遠(yuǎn)程禁用 在設(shè)置賬號鎖定時，要考慮會產(chǎn)生拒絕服務(wù)的攻擊 3、激活密碼復(fù)雜性需要 4、重命名管理員賬戶 5、限制管理員登錄的工作站 6、限制賬戶的登錄時間 7、使用SYSKEY加強對SAM的安全防護(hù)三、UNIX賬號的安全性 1、密碼文件： /etc/passwd：everyone can read, but only root can own it and change it /etc/shadow：only root can read and write it 2、賬號策略： 3、限制登錄： Solaris: /etc/default/login console = /dev/console Linux: /etc/security list the device name where root can login Log: /etc/default/su can include sulog = /var/adm/sulog 4、限制shell:使用rksh來限制用戶所能夠完成的工作 限制輸入輸出的重定向 檢查路徑 限制更改路徑 限制更改環(huán)境變量 5、監(jiān)視賬戶：wtmp 6、檢查路徑參數(shù)：Windows 2000: looks in current directory for application looks at path statement Unix: only looks at path statement Do not set the current directory in the first place of the PATH Do not allow write permission for normal users about directory in PATH of root 7、使用系統(tǒng)級別的日志 syslogd: 使用/etc/syslog.conf進(jìn)行配置 inetd: 使用-t選項激活日志功能，可以記錄相應(yīng)服務(wù)的運行情況第三章 文件系統(tǒng)安全性概述：windows文件安全性 Linux文件安全性一、windows 文件系統(tǒng)安全： 1、所支持的文件系統(tǒng)： FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS 2、NTFS權(quán)限： 標(biāo)準(zhǔn)的權(quán)限 權(quán)限單元 權(quán)限的繼承：ACL列表的拷貝 權(quán)限的遷移：移動和拷貝 磁盤的分區(qū)：系統(tǒng)，程序和數(shù)據(jù)注意： erveryone和authenticated users的區(qū)別 缺省，新建的文件權(quán)限為everyone full control 新添加用戶的權(quán)限位read only 3、EFS: 作用：利用公鑰技術(shù)，對磁盤上存儲的靜態(tài)數(shù)據(jù)進(jìn)行加密保護(hù)的措施。 原理：根據(jù)用戶的身份為每個用戶構(gòu)建一對密鑰 實現(xiàn)： 恢復(fù)代理：為了防止出現(xiàn)由于密鑰損壞造成數(shù)據(jù)不能正常解密而構(gòu)建的一種補救措施。 如何恢復(fù)： 如何添加恢復(fù)代理： 注意事項： 只有被授權(quán)的用戶或恢復(fù)代理才能訪問加密的文件加密和壓縮是相斥的對文件的重命名，移動不會影響加密屬性至少需要一個恢復(fù)代理僅能對靜態(tài)存儲的數(shù)據(jù)進(jìn)行加密，若需要網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)提供安全性，可使用IPSec和PPTP對一個文件夾加密，則此文件夾內(nèi)所有新創(chuàng)建的文件均會被加密若將一個加密后的文件移動一個非NTFS文件系統(tǒng)上，則加密屬性丟失，除Backup外,所以應(yīng)該分別分配備份和恢復(fù)的權(quán)利并謹(jǐn)慎分配恢復(fù)的權(quán)利 4、磁盤限額： 基于文件和文件夾的所有權(quán)來統(tǒng)計用戶所使用的磁盤空間對于壓縮狀態(tài)的文件按非壓縮狀態(tài)統(tǒng)計磁盤空間的使用量 基于分區(qū)水平上的剩余空間是指可供用戶使用的磁盤限額內(nèi)剩余空間的大小可以設(shè)置當(dāng)用戶超出限額時是僅僅提出警告還是拒絕提供空間 可以針對所有用戶也可針對個別用戶設(shè)置設(shè)置限額后，對已有的用戶存儲不進(jìn)行限額，但可對老用戶添加限額管理員組的成員不受限額的影響僅管理員組的成員有權(quán)利設(shè)置限額 5、共享安全性：謹(jǐn)對網(wǎng)絡(luò)訪問生效 僅能對文件夾設(shè)置共享，不能針對文件設(shè)置缺省Administrators、Server Operators、Power Users group有權(quán)利設(shè)置共享 新建共享后，Everyone group是FC所能接受的最大用戶數(shù)：Win 2k Professional 10 Win 2k Serve CALPermission：Read、Change、FCDeny優(yōu)先于Allow的權(quán)限若用戶屬于多個組，則share security取并集可以在FAT、FAT32、NTFS上設(shè)置共享 6、聯(lián)合NTFS安全性和共享安全性：網(wǎng)絡(luò)訪問取交集 本地訪問僅考慮NTFS安全性 隱藏文件：attrib +H directoryNTFS文件分流：不需要重新共建文件系統(tǒng)就能夠給一個文件添加屬性和信息的機制，Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cpcp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后oso001.009大小沒有變化，但修改日期可能會有變化分流后不能直接執(zhí)行：start oso001.009:nc.exe刪除：需把文件拷貝到FAT分區(qū)，在拷貝會NTFS分區(qū)搜索：唯一可靠的工具是ISS的Streamfinder.二、linux file system security:ls l output:d rwx rwx rwx 5 james james 120 Mar 21 17:22 accountd: directory-: normal file5: link counter120: file or directory sizefile permission:each file has its ownerevery file belongs to one group, primary grouponly one permission is suitable for you if you have three kinds of permissionsowner may have no any permission to the file that he ownsdirectory permission:讀權(quán)限僅在列舉目錄時有效寫權(quán)限可以管理控制目錄執(zhí)行權(quán)限允許你訪問子目錄和相應(yīng)的文件umask commond:file default: rw-rw-rw-directory default: rwx rwx rwxumask:027 - -w- rwxchange umask: umask numberchange permissions: chmodabsolute mode: chmod 666 filenamesymbolic mode: chmod ogw+/-/=rwx filenameset bits: change shell during execute the command setuid setgid sticky: user can control and management the whole directory if user has write permission about the directory, it means the user can delete other users files. You may set sticky so that you assign write permission but no administrative permission to the directory. Chmod u=rwx,og=wxt directory name查看危險的setuid和setgid許可權(quán)限：find /-perm -4000 print diff .oldChange file owner: chown new owner filenameChange file group: chgrp new group filename第四章 評估風(fēng)險一、安全性威脅： 1、隨機的威脅 2、有意圖的威脅：消極的攻擊 積極的攻擊二、windows的安全性威脅： 1、改變?nèi)笔〉哪夸洠?2、改變?nèi)笔〉馁~號： 3、改變?nèi)笔〉墓蚕恚篐KLMSystemCCSservices lanmanagerserver parameters autoshareserver (autosharewks)=0 4、檢驗：系統(tǒng)掃描三、UNIX的安全性威脅：1、 R*系列程序：不需要輸入密碼即可遠(yuǎn)程執(zhí)行程序。Rsh ps -auwx安全機制：1）、采用/etc/hosts.equiv和用戶主目錄下的.rhosts兩個文件來進(jìn)行訪問控制2）、對于in.rshd，為了讀取某一用戶的.rhosts文件，要保證文件柜該用戶所有，且其他人對該文件進(jìn)行寫訪問，接受600或644的權(quán)限3）、對提出請求的主機進(jìn)行ip的反向搜索不安全性：1）、偽造.rhosts2）、進(jìn)行DNS的毒化3）、配置自己的系統(tǒng)成為可信系統(tǒng) 2、NIS：允許在網(wǎng)絡(luò)上共享系統(tǒng)的管理數(shù)據(jù)。 NIS+2、 NFS：允許透明的訪問遠(yuǎn)程系統(tǒng)的文件和目錄安全漏洞：許多與mountd和NFS服務(wù)器相關(guān)的緩沖區(qū)溢出條件已被發(fā)現(xiàn) 依賴于RPC服務(wù)，可以輕易的安裝遠(yuǎn)程系統(tǒng)上的文件 在共享文件是沒有合理配置權(quán)限防護(hù)：禁用NFS和相關(guān)服務(wù) 實現(xiàn)客戶機和用戶的訪問控制，/etc/exports和/etc/dfs/dfstab能夠控制進(jìn)行訪問控制 在允許安裝某個文件系統(tǒng)的客戶機列表中決不要加上相應(yīng)服務(wù)器的本地ip或localhost. 早期的portmapper會打開代理中轉(zhuǎn)，會代理供給者中轉(zhuǎn)連接請求接受廠家的補丁 第五章 減少風(fēng)險一、增強Windows的安全性： 1、對于系統(tǒng)漏洞：定期的添加services pack和hot fixes，如果系統(tǒng)沒有相關(guān)服務(wù)，不要隨意的安裝補丁 2、注冊表安全性： 注冊表的結(jié)構(gòu)：相當(dāng)于win.ini，集中存儲了系統(tǒng)的配置信息 5個配置單元（hive key），4個存放于winntsystem32config目錄下：SAM, SYSTEM, SECURITY, SOFTWARE，對此4個文件設(shè)置權(quán)限，僅允許system賬號訪問。HARDWARE又稱易失關(guān)鍵字，每次系統(tǒng)啟動時由進(jìn)行硬件檢測，將檢測的結(jié)果只與此關(guān)鍵字中，保存在內(nèi)存中 H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系統(tǒng)及硬件相關(guān)信息(例如計算機總線類型，系統(tǒng)可用內(nèi)存，當(dāng)前裝載了哪些設(shè)備驅(qū)動程序以及啟動控制數(shù)據(jù)等)的配置單元。實際上，H K L M保存著注冊表中的大部分信息，因為另外四個配置單元都是其子項的別名。不同的用戶登錄時，此配置單元保持不變。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置單元包含著當(dāng)前登錄到由這個注冊表服務(wù)的計算機上的用戶的配置文件。其子項包含著環(huán)境變量、個人程序組、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機和應(yīng)用程序首選項(環(huán)境變量在Windows 2000中被用來允許腳本、注冊表條目，以及其它應(yīng)用程序使用通配符來代替可能會發(fā)生改變的重要的系統(tǒng)信息)，存儲于用戶配置文件的ntuser.dat中。優(yōu)先于H K L M中相同關(guān)鍵字。這些信息是HKEY_USERS 配置單元當(dāng)前登錄用戶的Security ID(SID)子項的映射。H K E Y _ U S E R S ( H K U )配置單元包含的子項含有當(dāng)前計算機上所有的用戶配置文件。其中一個子項總是映射為H K E Y _ C U R R E N T _ U S E R (通過用戶的S I D值)。另一個子項H K E Y _U S E R S D E FA U LT包含用戶登錄前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置單元包含的子項列出了當(dāng)前已在計算機上注冊的所有C O M服務(wù)器和與應(yīng)用程序相關(guān)聯(lián)的所有文件擴展名。這些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子項的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置單元包含的子項列出了計算機當(dāng)前會話的所有硬件配置信息。硬件配置文件出現(xiàn)于Windows NT版本4，它允許你選擇在機器某個指定的會話中支持哪些設(shè)備驅(qū)動程序。這些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子項的映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子樹：HARDWARE：在系統(tǒng)啟動時建立，包含了系統(tǒng)的硬件的信息SAM：包含了用戶帳號和密碼信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含應(yīng)用程序的配置信息SYSTEM：包含了服務(wù)和設(shè)備的配置信息設(shè)置注冊表的權(quán)限：Windows NT：使用C2Config和C2regacl.infWindows 2000：使用組策略審核注冊表： 3、禁止和刪除不必要的服務(wù) 刪除OS/2和POSIX 在web服務(wù)器上禁止server services 在firewall上過濾相應(yīng)的數(shù)據(jù)包 4、保護(hù)網(wǎng)絡(luò)連接安全性： SMB connection process Establish a TCP connection negotiate dialect set up SMB session access resource Pc network program 1.0 Microsoft networks 1.03 Lanman 1.0 LM 1.2X002 LanMan 2.1 Windows NTLM 禁止匿名連接：HKLM SYSTEMCCScontrollsarestrictanonymous=1 服務(wù)器控制驗證方法：lmcompatibilitylevel 0 任何都是可用的 1 由服務(wù)器決定使用哪種方法 2 不使用LM驗證 激活SMB簽名：HKLM SYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1 HKLM SYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/1 5、其他的配置： 禁止除管理員和打印操作員以外的用戶安裝打印驅(qū)動程序： HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers=1 隱藏上一次登錄的系統(tǒng)名 限制對打印機和串口的使用： HKLM SYSTEMCCScontrolsession managerprotectionmode=1 在系統(tǒng)關(guān)機時清空頁面文件 HKLM SYSTEMCCScontrol session managermemory managementclearpagefileatshutdown =1 禁止緩存登錄證書 限制對scheduler服務(wù)的使用 限制對可移動介質(zhì)的訪問二、增強UNIX的安全性： 1、禁用或刪除服務(wù)： finger：誕生于internet的溫和期，遠(yuǎn)程用戶可以使用它獲得有關(guān)用戶的信息，包括所登錄用戶的名稱、郵件地址、登錄路徑、shell的類型和.plan、.project中的內(nèi)容。 在/etc/inetd.conf中 # finger stream tcp nowait nobady /usr/sbin/tcpd in.fingerd 使用TCPWrapper限制對他的使用 /etc/hosts.allow rwhod：允許遠(yuǎn)程用戶察看察看登錄到你的系統(tǒng)的用戶名 rpm e rwho刪除rwhod rwalld：允許