CISP0205操作系統(tǒng)安全_v30

1、操作系統(tǒng)平安培訓(xùn)機(jī)構(gòu)名稱講師名稱版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-11課程內(nèi)容操作系統(tǒng)與數(shù)據(jù)庫平安知識體知識域操作系統(tǒng)平安知識子域Windows系統(tǒng)安全機(jī)制操作系統(tǒng)安全概述Linux系統(tǒng)安全機(jī)制安全操作系統(tǒng)數(shù)據(jù)庫平安2知識域：操作系統(tǒng)平安知識子域：操作系統(tǒng)平安概念了解操作系統(tǒng)的作用與功能了解操作系統(tǒng)的主要平安設(shè)計機(jī)制理解操作系統(tǒng)的平安配置要點(diǎn)3操作系統(tǒng)的功能用戶與計算機(jī)硬件之間的接口操作系統(tǒng)為用戶提供了虛擬計算機(jī),把硬件的復(fù)雜性與用戶隔離計算機(jī)系統(tǒng)的資源管理者CPU管理存儲管理設(shè)備管理文件管理網(wǎng)絡(luò)與通信管理用戶接口硬件：CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等內(nèi)核系統(tǒng)調(diào)用接

2、口用戶進(jìn)程4操作系統(tǒng)平安目標(biāo)操作系統(tǒng)平安目標(biāo)標(biāo)識系統(tǒng)中的用戶和進(jìn)行身份鑒別依據(jù)系統(tǒng)平安策略對用戶的操作進(jìn)行訪問控制,防止用戶和外來入侵者對計算機(jī)資源的非法訪問監(jiān)督系統(tǒng)運(yùn)行的平安性保證系統(tǒng)自身的平安和完整性5操作系統(tǒng)平安機(jī)制（一）標(biāo)識與鑒別用戶身份合法性鑒別操作系統(tǒng)登錄訪問控制防止對資源的非法使用限制訪問主體對訪問客體的訪問權(quán)限D(zhuǎn)AC、MAC、RBAC最小特權(quán)管理限制、分割用戶、進(jìn)程對系統(tǒng)資源的訪問權(quán)限“必不可少的權(quán)限6操作系統(tǒng)平安機(jī)制（二）信道保護(hù)正常信道的保護(hù)可信通路（Trusted Path）平安鍵（SAK）7操作系統(tǒng)平安機(jī)制（三）平安審計對系統(tǒng)中有關(guān)平安的活動進(jìn)行記錄、檢查以及審核審計一

3、般是一個獨(dú)立的過程內(nèi)存存取保護(hù)進(jìn)程間/系統(tǒng)進(jìn)程內(nèi)存保護(hù)段式保護(hù)、頁式保護(hù)和段頁式保護(hù)文件系統(tǒng)保護(hù)分區(qū)文件共享文件備份8知識域：操作系統(tǒng)平安知識子域：Windows系統(tǒng)平安機(jī)制理解Windows系統(tǒng)標(biāo)識與鑒別、訪問控制、用戶賬戶控制、平安審計、文件系統(tǒng)的平安機(jī)制和平安策略掌握Windows系統(tǒng)的平安配置方法9Windows系統(tǒng)標(biāo)識與鑒別-平安主體平安主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機(jī)效勞10Windows系統(tǒng)標(biāo)識與鑒別-平安標(biāo)識平安標(biāo)識符（Security Identifier,SID）平安主體的代表（標(biāo)識用戶、組和計算機(jī)賬戶的唯一編碼）范例：S-1-5

4、-21-17364053-100011Windows系統(tǒng)標(biāo)識與鑒別-用戶鑒別賬戶信息管理機(jī)制登錄驗(yàn)證本地登錄驗(yàn)證遠(yuǎn)程登錄驗(yàn)證12Windows用戶身份鑒別帳號信息存儲（SAM:平安賬號管理）運(yùn)行期鎖定、存儲格式加密僅對system帳號有權(quán)限,通過效勞進(jìn)行訪問控制Windows用戶身份鑒別：本地登錄GINA（Graphical Identification and Authentication:圖形化識別和驗(yàn)證)LSA（Local Security Authority：本地平安授權(quán)）SAM賬戶信息庫 GINA LSA13Windows系統(tǒng)身份鑒別：遠(yuǎn)程登錄遠(yuǎn)程登錄鑒別協(xié)議SMB（Server M

5、essage Block）:口令明文傳輸LM（LAN Manager）：口令哈希傳輸,強(qiáng)度低NTLM（NT LAN Manager）：提高口令散列加密強(qiáng)度、挑戰(zhàn)/響應(yīng)機(jī)制Kerberos：為分布網(wǎng)絡(luò)提供單一身份驗(yàn)證14Windows系統(tǒng)訪問控制-ACL訪問控制列表（Access Control List,ACL）NTFS文件系統(tǒng)支持權(quán)限存儲流文件系統(tǒng)中自主訪問控制靈活性高,平安性不高15Windows系統(tǒng)訪問控制-用戶賬戶控制用戶帳戶控制（User Account Control,UAC）完全訪問令牌標(biāo)準(zhǔn)受限訪問令牌16Windows文件系統(tǒng)平安NTFS文件系統(tǒng)權(quán)限控制（ACL）文件、文件夾、

6、注冊表鍵值、打印機(jī)等對象平安加密EFS(EFS(Encrypting )Windows內(nèi)置,與文件系統(tǒng)高度集成對windows用戶透明對稱與非對稱算法結(jié)合Bitlocker對整個操作系統(tǒng)卷加密解決設(shè)備物理喪失平安問題17Windows系統(tǒng)審計機(jī)制Windows日志系統(tǒng)應(yīng)用程序平安設(shè)置應(yīng)用程序和效勞日志應(yīng)用訪問日志FTP訪問日志IIS訪問日志18Windows系統(tǒng)平安策略賬戶策略密碼策略賬戶鎖定策略本地策略審核策略用戶權(quán)限分配平安選項(xiàng)19Windows系統(tǒng)平安配置1、平安配置前置工作2、賬號平安設(shè)置3、關(guān)閉自動播放4、遠(yuǎn)程訪問控制5、本地平安策略6、效勞運(yùn)行平安設(shè)置7、使用第三方平安增強(qiáng)軟件20

7、Windows平安設(shè)置1-前置工作平安的安裝分區(qū)設(shè)置：不要只使用一個分區(qū)系統(tǒng)補(bǔ)?。篠P+Hotfix補(bǔ)丁更新設(shè)置：檢查更新自動下載安裝或手動21Windows平安配置2-賬號平安設(shè)置賬號平安設(shè)置系統(tǒng)賬號策略設(shè)置賬號平安選項(xiàng)設(shè)置22賬號平安設(shè)置-保護(hù)賬號平安默認(rèn)管理賬戶administrator更名設(shè)置“好的口令自己容易記、別人不好猜不平安口令實(shí)例：ZAQ!WSXzaq12wsx平安口令實(shí)例: WdSrS1Y28r!稍作變形：單數(shù)字母大寫,最后加個感慨號23賬號平安設(shè)置-系統(tǒng)賬號策略密碼策略：防止系統(tǒng)出現(xiàn)弱口令密碼必須符合復(fù)雜性要求密碼長度最小值密碼最短使用期限密碼最長使用期限強(qiáng)制密碼歷史用可復(fù)

8、原的加密來存儲密碼24賬號平安設(shè)置-賬號鎖定策略賬號鎖定策略：應(yīng)對口令暴力破解賬號鎖定時間賬號鎖定閥值重置賬號鎖定計數(shù)器25賬號權(quán)限控制-用戶權(quán)限分配用戶權(quán)限分配從網(wǎng)絡(luò)訪問這臺計算機(jī)拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)管理審核和平安日志從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)26賬戶權(quán)限控制-設(shè)置喚醒密碼設(shè)置喚醒計算機(jī)時的登錄密碼設(shè)置屏幕保護(hù)恢復(fù)時的登錄密碼27Windows平安配置3-自動播放功能的威脅為方便用戶而設(shè)計惡意代碼借助移動存儲介質(zhì)傳播的方式28Windows平安配置-關(guān)閉自動播放關(guān)閉自動播放功能可以有效阻斷U盤病毒的傳播路徑29Windows全配置4-遠(yuǎn)程訪問控制網(wǎng)絡(luò)訪問控制共享平安防護(hù)30網(wǎng)絡(luò)訪問控制-防火墻設(shè)

9、置確保啟用Windows自帶防火墻31網(wǎng)絡(luò)訪問控制-防火墻高級配置出站規(guī)則入站規(guī)則連接平安規(guī)則監(jiān)視防火墻連接平安規(guī)則平安關(guān)聯(lián)32共享平安防護(hù)-共享平安風(fēng)險IPC$的平安問題（空會話連接導(dǎo)致信息泄露）管理共享風(fēng)險(遠(yuǎn)程文件操作)普通共享的風(fēng)險（遠(yuǎn)程文件操作）33系統(tǒng)用戶列表用戶信息共享列表空會話連接33共享平安防護(hù)-關(guān)閉管理共享空會話連接控制本地平安策略設(shè)置中對匿名訪問的限制關(guān)閉管理共享：修改注冊表HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters34Windows平安設(shè)置5-本地平安策略審核策略用戶權(quán)限

10、分配平安選項(xiàng)35本地平安策略-平安選項(xiàng)管理工具本地平安策略平安設(shè)置本地策略平安選項(xiàng)交互式登錄：無須按Ctrl+Alt+Del,設(shè)置為已禁用交互式登錄：不顯示最后的用戶名,設(shè)置為已啟用設(shè)備：將CD-ROM 的訪問權(quán)限僅限于本地登錄的用戶,設(shè)置為已啟用36本地平安策略-平安選項(xiàng)管理工具本地平安策略平安設(shè)置本地策略平安選項(xiàng)網(wǎng)絡(luò)訪問：不允許SAM賬號的匿名枚舉,設(shè)置為已啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享,刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可匿名訪問的命名管道,刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑,刪除策略設(shè)置里的值37Windows平安配置6-效勞運(yùn)行平安Windows效勞（windows ser

11、vice)Windows效勞程序是一個長時間運(yùn)行的可執(zhí)行程序,不需要用戶的交互,也不需要用戶登錄38效勞運(yùn)行平安設(shè)置-關(guān)閉不必要的效勞關(guān)閉不需要的效勞方案任務(wù)遠(yuǎn)程操作注冊表控制效勞權(quán)限System(本地系統(tǒng))Local ServiceNetwork Service39Windows平安配置7-第三方平安軟件防病毒軟件平安防護(hù)軟件40安裝防病毒軟件安裝病毒防護(hù)軟件惡意代碼是終端平安的最大威脅確保病毒防護(hù)軟件病毒庫更新病毒防護(hù)軟件主要工作機(jī)制：特征碼掃描開啟云查殺41系統(tǒng)平安防護(hù)軟件系統(tǒng)平安保護(hù)軟件影子系統(tǒng)主機(jī)入侵檢測42知識域：操作系統(tǒng)平安知識子域：Linux系統(tǒng)平安機(jī)制理解Linux系統(tǒng)標(biāo)識與

12、鑒別、訪問控制、平安審計、文件系統(tǒng)、特權(quán)管理的平安機(jī)制掌握Linux系統(tǒng)的平安配置方法43Linux系統(tǒng)標(biāo)識與鑒別-平安主體平安主體用戶：身份標(biāo)識（User ID）組：身份標(biāo)識（Group ID）用戶與組根本概念文件必須有所有者用戶必須屬于某個或多個組用戶與組的關(guān)系靈活（一對多、多對多等都可以）根用戶擁有所有權(quán)限44Linux系統(tǒng)標(biāo)識與鑒別-帳號信息存儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow45用戶信息文件-passwd用于存放用戶信息（早期包括使用不可逆DES算法加密形成用戶密碼散列）特點(diǎn)文本格式全局可讀存儲條目格式n

13、ame:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh用戶名早期：密碼散列X:代替密碼散列*:賬號不可交互登錄用戶ID用戶所屬組ID用戶信息用戶目錄用戶登錄后使用的shell46用戶帳號影子文件-shadow用于存放用戶密碼散列、密碼管理信息等特點(diǎn)文本格式僅對root可讀可寫存儲條目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag條目例子#root:$1$acQMceF9:13402:0:999

14、99:7:用戶登錄名及加密的用戶口令上次修改口令日期口令兩次修改最小天數(shù)及最大天數(shù)口令失效前多少天向用戶警告被禁止登錄前還有效天數(shù)帳號被禁止登錄時間保存域47Linux系統(tǒng)身份鑒別口令鑒別本地登錄遠(yuǎn)程登錄（telnet、FTP等）主機(jī)信任（基于證書）PAM（PluggableAuthenticationModules,可插拔驗(yàn)證模塊）PAM APIlogintelnetSSHLinuxKerberosS/keyPAM SPI48Linux系統(tǒng)訪問控制-權(quán)限模式文件/目錄權(quán)限根本概念權(quán)限類型：讀、寫、執(zhí)行權(quán)限表示方式：模式位drwxr-xr-x 3 root root 1024 Sep 13 1

15、1:58 test文件類型：d為文件夾 -是文件文件擁有者的權(quán)限（U）文件擁有者所在組其他用戶的權(quán)限（G）系統(tǒng)中其他用戶權(quán)限（O）鏈接數(shù)文件擁有者UID文件擁有者GID文件大小最后修改時間文件名49Linux系統(tǒng)訪問控制-權(quán)限模式權(quán)限的數(shù)字表示法權(quán)限的特殊屬性 SUID、SGID、Sticky（防刪除）-r-s-x-x 1 root root 10704 Apr 15 2002 /usr/bin/passwd SUID程序50Linux系統(tǒng)平安審計-日志系統(tǒng)系統(tǒng)日志類型連接時間日志/var/log/wtmp和/var/run/utmp由多個程序執(zhí)行,記錄用戶登錄時間進(jìn)程統(tǒng)計由系統(tǒng)內(nèi)核執(zhí)行,為系

16、統(tǒng)根本效勞提供命令使用統(tǒng)計錯誤日志/var/og/messages由syslogd守護(hù)記錄,制定注意的事項(xiàng)應(yīng)用程序日志應(yīng)用程序如（HTTP、FTP）等創(chuàng)立的日志51Linux文件系統(tǒng)文件系統(tǒng)類型日志文件系統(tǒng)：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系統(tǒng)平安訪問權(quán)限文件系統(tǒng)加密eCryptfs（Enterprise Cryptographic ）基于內(nèi)核,平安性高,用戶操作便利加密元數(shù)據(jù)寫在每個加密文件的頭部,方便遷移,備份52文件系統(tǒng)目錄結(jié)構(gòu)/home bin proc usr boot lib dev etc varftp ljw linux bin lib ma

17、n tmp lib log run spool tmp53Linux系統(tǒng)的特權(quán)管理特權(quán)劃分分割管理權(quán)限,30多種管理特權(quán)根用戶（root）擁有所有特權(quán)普通用戶特權(quán)操作實(shí)現(xiàn)setuid setgid特權(quán)保護(hù)：保護(hù)root賬號不直接使用root登錄,普通用戶su成為root控制root權(quán)限使用54Linux系統(tǒng)平安設(shè)置1、平安配置前置工作2、賬號和口令平安3、系統(tǒng)效勞配置4、遠(yuǎn)程登錄平安5、文件和目錄平安6、系統(tǒng)日志配置7、使用平安軟件55Linux設(shè)置平安配置前置工作系統(tǒng)安裝使用官方/正版軟件分區(qū)掛載重要目錄根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）等應(yīng)分開到不同的磁盤分區(qū)自定義

18、安裝,選擇需要的軟件包不安裝全部軟件包,尤其是那些不需要的網(wǎng)絡(luò)效勞包系統(tǒng)補(bǔ)丁及時安裝系統(tǒng)補(bǔ)丁更新補(bǔ)丁前,要求先在測試系統(tǒng)上對補(bǔ)丁進(jìn)行可用性和兼容性驗(yàn)證56Linux設(shè)置賬號和口令平安賬號通用配置保護(hù)root賬號口令平安策略57賬號和口令平安賬號通用配置（1）檢查、去除系統(tǒng)中多余賬號檢查#cat /etc/passwd#cat /etc/shadow去除多余賬號鎖定賬號特殊保存的系統(tǒng)偽賬戶,可以設(shè)置鎖定登錄鎖定命令：#passwd -l 解鎖命令：#passwd -u 58賬號和口令平安賬號通用配置（2）禁用root之外的超級用戶翻開系統(tǒng)賬號文件/etc/passwd假設(shè)用戶ID=0,則表示該用

19、戶擁有超級用戶的權(quán)限檢查是否有多個ID=0禁用或刪除多余的賬號59賬號和口令平安賬號通用配置（3）檢查是否存在空口令賬號執(zhí)行命令#awk -F: ( = ) print $1 /etc/shadow如果存在空口令賬號,則對其進(jìn)行鎖定,或要求增加密碼要確認(rèn)空口令賬戶是否和已有應(yīng)用關(guān)聯(lián),增加密碼是否會引起應(yīng)用無法連接的問題60賬號和口令平安賬號通用配置（3）設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間修改賬戶超時值,設(shè)置自動注銷時間61賬號和口令平安保護(hù)root賬號root賬號權(quán)限很高保護(hù)措施禁止使用root登錄系統(tǒng)只允許普通用戶登陸,然后通過su命令切換到root不要隨意把root shell留在終端

20、上；不要把當(dāng)前目錄(“ . /)和普通用戶的bin目錄放在root賬號的環(huán)境變量PATH中永遠(yuǎn)不以root運(yùn)行其他用戶的或不熟悉的程序62賬號和口令平安口令平安策略口令平安策略要求使用平安口令口令長度、字符要求口令修改策略強(qiáng)制口令使用有效期設(shè)置口令修改提醒設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間vi/etc/login.def PASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE2863Linux設(shè)置系統(tǒng)效勞配置禁止危險的網(wǎng)絡(luò)效勞telnet、FTPecho、chargen、shell、finger、NFS、RPC等關(guān)閉非必需的網(wǎng)絡(luò)效勞t

21、alk、ntalk等確保最新版本使用當(dāng)前最新和最平安的版本的效勞軟件關(guān)閉郵件效勞：chkconfig -level 12345 sendmail off關(guān)閉圖形登錄效勞：編輯/etc/inittab文件,修改為id:3:initdefault:關(guān)閉X font效勞：chkconfig xfs off64Linux設(shè)置遠(yuǎn)程登錄平安禁用telnet,使用SSH進(jìn)行管理限制能夠登錄本機(jī)的IP地址禁止root用戶遠(yuǎn)程登陸限定信任主機(jī)修改banner信息65遠(yuǎn)程登錄平安使用SSH/限制登錄IP禁用telnet,使用SSH進(jìn)行管理開啟ssh效勞：#service sshd start限制能夠登錄本機(jī)的IP

22、地址#vi /etc/ssh/sshd_config添加（或修改）：AllowUsers 允許用戶xyz通過地址3來登錄本機(jī)AllowUsers *192.168.*.*僅允許/16網(wǎng)段所有用戶通過ssh訪問。66遠(yuǎn)程登錄平安禁止root/限定信任主機(jī)禁止root用戶遠(yuǎn)程登陸#cat /etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機(jī)#cat /etc/hosts.equiv#cat /$HOME/.rhosts查看上述兩個文件中的主機(jī),刪除其中不必要的主機(jī),防止存在多余的信任主機(jī)或直接關(guān)閉所有R系列遠(yuǎn)程效勞rloginrshrexec67遠(yuǎn)程登錄平安

23、修改banner信息系統(tǒng)banner信息一般會給出操作系統(tǒng)名稱、版本號、主機(jī)名稱等修改banner信息查看修改sshd_config#vi /etc/ssh/sshd_config如存在,則將banner字段設(shè)置為NONE查看修改motd：#vi /etc/motd 該處內(nèi)容將作為banner信息顯示給登錄用戶。查看該文件內(nèi)容,刪除其中的內(nèi)容,或更新成自己想要添加的內(nèi)容68Linux設(shè)置文件和目錄平安設(shè)置文件目錄權(quán)限設(shè)置默認(rèn)umask值檢查SUID/SGID文件69文件和目錄平安設(shè)置文件目錄權(quán)限保護(hù)重要的文件目錄,限制用戶訪問設(shè)置文件的屬主和屬性以進(jìn)行保護(hù)極其重要的文件或目錄可以設(shè)置為不可改變

24、屬性chattr+i/etc/passwd臨時文件不應(yīng)該有執(zhí)行權(quán)限常見文件權(quán)限及屬性的操作命令：chmod、chown、chattr70文件和目錄平安設(shè)置默認(rèn)umask值設(shè)置新創(chuàng)立文件的默認(rèn)權(quán)限掩碼可以根據(jù)要求設(shè)置新文件的默認(rèn)訪問權(quán)限,如僅允許文件屬主訪問,不允許其他人訪問umask設(shè)置的是權(quán)限“補(bǔ)碼設(shè)置方法使用umask命令如 #umask 066編輯/etc/profile文件,設(shè)置umask值71文件和目錄平安檢查SUID/SGID文件SUID/SGID的程序在運(yùn)行時,將有效用戶ID改變?yōu)樵摮绦虻乃姓?組)ID。因而可能存在一定的平安隱患找出系統(tǒng)中所有含s“位的程序,把不必要的s“位去掉,或者把根本不用的直接刪除,這樣可以防止用戶濫用及提升權(quán)限的可能性,其命令如下：查找SUID可執(zhí)行程序#find/-perm-4000-user0ls查找SGID程序#find/-perm-2000-user0ls72Linux設(shè)置系統(tǒng)日志配置（1）保護(hù)日志文件審查日志中不正常情況非常規(guī)時間登錄日志殘缺Su的使用效勞的啟動情況73Linux設(shè)置系統(tǒng)日志配置（2）啟用sys