操作系統(tǒng)安全

1、操作系統(tǒng)安全第一章安然軌則概述：根本概念NT的安然性UNIX的安然性一、根本概念：1、安然級別：低安然性：在一個安然的地位，沒有保存掃描病毒敏感信息中等安然性：保存”大眾，數(shù)據(jù)，須要被多人使 設(shè)置權(quán)限，激活審核，實現(xiàn)賬號策略用髙安然性：位于髙風(fēng)險的地位，保存有敏感最小化操作體系的功能，最大年夜化安然機制信息2、安然機制：具體的安然機制：環(huán)繞機制：在過程或體系之間加密數(shù)據(jù)簽名機制：抗狡賴性和抗修改性填充機制：增長數(shù)據(jù)捕獲的難度拜訪控制機制：確保授權(quán)的合法性數(shù)據(jù)同一性機制：確保數(shù)據(jù)的次序發(fā)送廣泛的安然性機制：安然標記：經(jīng)由過程指出數(shù)據(jù)的安然性級別來限制對數(shù)據(jù)的拜訪信賴機制：供給了敏感信息的傳輸門路

2、審核：供給了監(jiān)控辦法安然恢復(fù)：當出現(xiàn)安然性事宜的時刻采取的一組規(guī)矩3、安然治理：體系安然治理：治理計算機情況的安然性，包含泄義策略，選擇安然性機制，負責(zé) 審核和恢復(fù)過程安然辦事治理：安然機制治理：實現(xiàn)具體的安然技巧二、NT的安然性：當一個體系剛安裝好的時刻，處于一個最不安然的情況1 NT的安然性組件： 隨機拜訪控制：許可對象的所有人制訂別人的拜訪權(quán)限 對象的反復(fù)應(yīng)用： 強迫上岸： 審核： 經(jīng)由過程對象來控制對資本的拜訪對象：將資本和響應(yīng)的拜訪控制機制封裝在一路，稱之為對象，體系經(jīng)由過程調(diào)用對 象來供給給用對資本的拜訪，禁止對資本進行直接讀取包含：文件（夾），打印機，I/O設(shè)備，視窗，線程，過程

3、，內(nèi)存安然組件： 安然標識符：SID,可變長度的號碼，用于在體系中獨一標示對象，在對象創(chuàng)建時由 體系分派，包含域的SID和RID.創(chuàng)建時根據(jù)計算機明、體系時光、過 程所消費CPU的時光進行創(chuàng)建。A user account for the system administrator This account is the first account created during operating S-l-5-500 Administrator system installation. The accountcannot be dele ted or locked out It is a mem

4、ber of the Administrators group and cannot be removed from that group A user account for people who do not have individual accounts This user S-1 -5-zQ 1 Guestaccount does not require a password Bydefault, the Guest account is disabledA built-in group After the initial installation of the operating

5、system, the only member of the group is the Administrator account When a computer joins a domain, the Domain Admins group is added to the Administrators group When a server becomes a domain ST-5-32-544Administrators controller, the Enterprise Adminsgroup also is added to the Administrators groupUser

6、sS-l-5-32-545The Administrators group has built-in capabilties that give its members full control over the system. The group is the default owner of any object that is created by a member of the group A built-in group After the initial實驗：不雅察用戶的SID拜訪控制令牌: 包含installation of the operating system, the o

7、nly member is the Authenticated Users group When a computer joins a domain, the Domain Users group is added to the Users group on the computer Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer Users can instal

8、l applications that only they are allowed to use if the installation program of the application supports per-user installation.UserAcctgASallyMgr (SID)Croups:Acctg，Woll (SID) Qcctg)MB Reports (SID) User (SID)Interactive (SID)Everyone (SID)Special privileges:SeSystemtimePrivilege創(chuàng)建：僅在用戶登錄的時刻，刷新1感化：拜訪

9、資本的憑證安然描述符：每一個對象都具有，包含對象的SID,組的SID,隨機拜訪控制列表和體系拜 訪控制列表拜訪控制列表：進行拜訪控制和審核的方法，由一系列ACE構(gòu)成DACL：控制資本的拜訪類型和深度SACL：控制對資本的審核ACLACE：表示一個用戶對此資本的拜訪權(quán)限，拒絕優(yōu)先于許可ACE Size | ACE TypeInherits nee and Audit FlagsAccess MaskSID拜訪過程:Desired accew寸re胡尿 iteBZI 5 10ACESecu rity TokenACEACEACESecurity TbkeniUser ID; Fred Mgr Gr

10、oup IDs: UsersMgrsEveryonePrivileges: NoneSe curity descri ptorcess flowed Fred Mgr Read (RX)Acce ss All owedMgrsSpecial Access (R.W)kACEACEcess AllowedEveryoneSpecial Access (X)Discretionary Acc&ss Control ListDiscreiioriaryAccess Cohtrol List安然子體系:Logon processSecu rity Account ManagerUser account

11、s databaseFigure 6.1 Windows NT Security Components 重要組件：LSASAM：存儲用戶暗碼Netlogon：在驗證的兩邊之間建立安然通道三.UNIX安然性：1、病毒進擊：2、緩存區(qū)溢岀：crond. wu-ftp, sendmail3、/etc/passwd 和/etc/shadow 文件的安然4、non-root user access to sensitive commands: poweroff reboot, haltPluggable authentication modules: PAMs, create additional au

12、thentication parameters without affecting existing authentication systemsPAM directory: /etc/pam.d/etc/security/determine what must occur before a user can logged in set limits concerning users and daemons once they have logged onto the system/lib/security/the actual location of the PAM modulesPAM e

13、ntry format:Module typeflagspathargsModule type: determine authentication typeFlags: determine module type priorityPath: determine module location in the systemArgs: optional customize PAM behavior/etc/security directory:access.conf: determines who can access the machine and from wheregroup.conf: de

14、termines which group can logintime.conf: set logon time limitslimits.conf: set limits based upon percentage of processor usage or number of processes a user can run simultaneously第二章賬號安然性概述：賬號安然性概述NT賬號的安然性UNIX賬號的安然性一、賬號安然性：歸根結(jié)底是保護暗碼的安然性1、強力暗碼：包含大年夜小寫，數(shù)字和特別字符，不包含用戶名和小我信息2、付與最低的權(quán)限和及時淸理無用的賬號二、NT賬號的安然性1

15、、按期檢查賬號數(shù)據(jù)庫，控制賬號的變更；同時按期不雅察體系的的調(diào)劑義務(wù)2、應(yīng)用賬號策略來強化暗碼的安然性：在2000中賬號策略必須在域的級別來進行設(shè)巻暗碼策略賬號鎖定策略Kerberos 策略差別：2000最多支撐127位暗碼，NT最多14位，在存儲暗碼時以7位為單位，所 以選擇暗碼時應(yīng)為7的整數(shù)倍NT缺省不禁用治理員賬戶，2000可以長途禁用 在設(shè)置賬號鎖準時，要推敲會產(chǎn)生拒絕辦事的進擊3、激活暗碼復(fù)雜性須要4、重定名治理員賬戶5、限制治理員登錄的工作站6、限制賬戶的登錄時光7、應(yīng)用SYSKEY加強對SAM的安然防護三、UNIX賬號的安然性1、暗碼文件：/etc/passwd： everyon

16、e can read, but only root can own it and change it/etc/shadow： only root can read and write it2、賬號策略：3、限制登錄：Solaris: /etc/defaull/Iogin console = /dev/consoleLinux: /etc/security list the device name where root can loginLog: /etc/default/su can include sulog = /var/adni/sulog4、限制shell:應(yīng)用rksh來限制用戶所可以

17、或許完成的工作限制輸入輸岀的重定向檢查路徑限制更改路徑限制更改情況變量5、監(jiān)督賬戶:wtmp6、檢查路徑參數(shù)：Windows 2000: looks in current directory for applicationlooks at path statementUnix: only looks at path statementDo not set the current directory in the first place of the PATHDo not allow write permission for normal users about directory in PAT

18、H of root7、應(yīng)用體系級其余日記syslogd:應(yīng)用/etc/syslog.conf 進行設(shè)備inetd:應(yīng)用-t選項激活日記功能，可以記錄響應(yīng)辦事的運行情況第三章文件體系安然性概述：windows文件安然性Linux文件安然性一、windows文件體系安然：1、所支撐的文件體系：FAT16, FAT32, NTFS4.0. NTFS5.0, CDFS2、NTFS 權(quán)限：標準的權(quán)限權(quán)限單位權(quán)限的持續(xù)：ACL列表的拷貝權(quán)限的遷徙：移動和拷貝磁盤的分區(qū)：體系，法度榜樣和數(shù)據(jù)留意：erveryone 和 authenticated users 的差別 缺省,新建的文件權(quán)限為everyone

19、full control 新添加用戶的權(quán)限位read only3、EFS:感化：應(yīng)用公鑰技巧，對磁盤上存儲的靜態(tài)數(shù)據(jù)進行加密保護的辦法。道理：根據(jù)用戶的身份為每個用戸構(gòu)建一對密鑰File HeaderFile Encryption KeyEncrypted with the original encryptors public keyFile Encryption KeyEncrypted with the public key of authorized user 1DD.HonA DDF exists for each authorized userFile Encryption KeyE

20、ncrypted with the public key ofdesignated reco very agent iryerV s tacoM aee DR.FIFile Encryption KeyEncrypted with the public key ofdesignated recovery agent 2A DRF exists for each desig noted recovery agentFile DataEncrypted Data*(d3ca&8d/!p94832&fW實現(xiàn)：恢復(fù)代理：為了防I上岀現(xiàn)因為密鑰破壞造成數(shù)據(jù)不克不及正常解密而構(gòu)建的一種解救 辦法。若何恢復(fù)

21、：若何添加恢復(fù)代理：留意事項：只有被授權(quán)的用戶或恢復(fù)代理才能拜訪加密的文件加密和緊縮是相斥的對文件的重定名，務(wù)動不會影響加密屬性至少須要一個恢復(fù)代理僅能對靜態(tài)存儲的數(shù)據(jù)進行加密，若須要收集中傳輸?shù)臄?shù)據(jù)供給女然性,可應(yīng)用IPSec和 PPTP對一個文件夾加密，則此文件夾內(nèi)所有新創(chuàng)建的文件均會被加密若將一個加密后的文件移動一個非NTFS文件體系上，則加密屬性損掉，除Backup外，所以應(yīng)當分別分派備份和恢復(fù)的權(quán)力并謹慎分派恢復(fù)的權(quán)力4、磁盤限額：基于文件和文件夾的所有權(quán)來統(tǒng)汁用戶所應(yīng)用的磁盤空間對于緊縮狀況的文件按非緊縮狀況統(tǒng)計磁盤空間的應(yīng)用量基于分區(qū)程度上的殘?？臻g是指可供用戶應(yīng)用的磁盤限額內(nèi)殘

22、?？臻g的大年夜小可以設(shè)置當用戶超岀限額時是僅僅提岀警告照樣拒絕供給空間可以針對所有效戶也可針對個別用戶設(shè)置設(shè)置限額后，對已有的用戸存儲不進行限額，但可對老用戶添加限額 治理員組的成員不受限額的影響 僅治理員組的成員有權(quán)力設(shè)置限額5、共享安然性：謹對收集拜訪生效僅能對文件夾設(shè)置共享，不克不及針對文件設(shè)置缺省Administratorsx Server OperatorsPower Users group 有權(quán)力設(shè)置共享 新建共享后，Everyone group是FC 所能接收的最大年夜用戶數(shù)：Win 2k Professional 10 Win 2k Serve CAL Permission：

23、Read、Changex FCDeny優(yōu)先于Allow的權(quán)限若用戶屬于多個組，則share security取并集 可以在FAT、FAT32、NTFS上設(shè)置共享6、結(jié)合NTFS安然性和共享安然性：收集拜訪取交集本地拜訪僅推敲NTFS安然性隱蔽文件：attrib +H directoryNTFS文件分流：不須要從新共建文件體系就可以或許給一個文件添加屬性和 信息的機制，Macintosh的文件兼容特點。需應(yīng)用NTRK中POSIX的對象cpcp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后osoOO 1.009大年夜小沒有變更

24、，但修改日期可能會有變更 分流后不克不及直接履行：start osoOO 1.009:nc.exe 刪除：需把文件拷貝到FAT分區(qū)，在拷貝會NTFS分區(qū) 搜刮：獨一靠得住的對象是ISS的Streamfinder.二、linux file system security:Is -1 output:d rwx rwx rwx 5 james james 120 Mar 21 17:22 accountd: directorynormal file5: link counter120: file or directory sizefile permission:each file has its o

25、wnerevery file belongs to one group, primary grouponly one permission is suitable for you if you have three kinds of permissions owner may have no any permission to the file that he ownsdirectory permission:讀權(quán)限僅在列舉LI次時有效寫權(quán)限可以治理控制目次履行權(quán)限許可你拜訪子U次和響應(yīng)的文件umask commond:file default: rw-rw-iwdirectory defau

26、lt: rwx rwx i*wxumask:027w- rwxchange umask: umask numberchange permissions: chmodabsolute mode: chmod 666 filenamesymbolic mode: chmod ogw+/-/=nvx filenameset bits: change shell during execute the commandsetuidsetgidsticky: user can control and management the whole directory if user has write permi

27、ssion about the directory, it means the user can delete other users files. You may set sticky so that you assign write permission but no administrative permission to the directory. Chmod u=nvx,og=wxt directory name查看危險的setuid和setgid許可權(quán)限：find /-perm -4000 -print diff .oldC

28、hange file owner: chown new owner filenameChange file group: chgrp new group filename第四章評估風(fēng)險一、安然性威逼：1、隨機的威逼2、有意圖的威逼：消極的進擊積極的進擊二. windows的安然性威逼：1、改變?nèi)笔〉哪看危?、改變?nèi)笔〉馁~號：3、改變?nèi)笔〉墓蚕恚篐KLMSystemCCSservices lanmanagerserver parameters autosharesener (autosharewks )=04、考驗：體系掃描三、UNIX的安然性威逼：1、R*系列法度榜樣：不須要輸入暗碼即可長途履

29、行法度榜樣。安然機制：1）、采取/etc/hosts.equiv和用戶主目次下的.rhosts兩個文件來進行拜訪控制2）、對于in.rshd,為了讀取某一用戶的.rhosts文件，要包管文件柜該用戶所有，且 其他人對該文件進行寫拜訪，接收600或644的權(quán)限3）、對提出請求的主機進行ip的反向搜刮不安然性：1 ） 捏造.rhosts2）、進行DNS的毒化3）、設(shè)備本身的體系成為可托體系2、NIS：許可在收集上共享體系的治理數(shù)據(jù)。NIS+2、NFS：許可透明的拜訪長途體系的文件和目次安然馬腳：很多與mountd和NFS辦事器相干的緩沖區(qū)溢出前提已被發(fā)明依附于RPC辦事，可以隨便馬虎的安裝長途體系

30、上的文件 在共享文件是沒有合理設(shè)備權(quán)限防護：禁用NFS和相干辦事實現(xiàn)客戶機和用戶的拜訪控制，/ctc/cxports和/etc/dfs/dfstab可以或許控制進 行拜訪控制在許可安裝某個文件體系的客戶機列表中決不要加上響應(yīng)辦事器的本地ip 或localhost.早期的portmapper會打開代理中轉(zhuǎn)，會代理供給者中轉(zhuǎn)連接請 求接收廠家的補丁第五章削減風(fēng)險一、加強Windows的安然性：1、對于體系馬腳：按期的添加services pack和hot fixes,假如體系沒有相干辦事，不要隨便的安裝補丁2、注冊表安然性：注冊表的構(gòu)造：相當于win.ini,集中存儲了體系的設(shè)備信息HKEY_LO

31、CAL_MACHINE（HKLM ）是包含操作體系及硬件相干信息（例如訃算機總線類型，體系可用內(nèi)存，當前裝載了哪些設(shè)備驅(qū)動法度榜樣以及啟動控制數(shù) 據(jù)等）的設(shè)備單位。實際上，HKLM保存著注冊表中的大年夜部分信息，因為別的四個設(shè)備 單位都是其子項的別號。不合的用戶登錄時，此設(shè)備單位保持不變。HKEY_CURRENT_USER(HKCU )設(shè)備單位包含著當前登錄到由這個注 冊表辦事的汁算機上的用戶的設(shè)備文件。其子項包含著情況變量、小我法度榜樣組、桌而設(shè) 置、收集連接、打印機和應(yīng)用法度榜樣首選項(情況變量在Windows 2000中被用來許可腳本、 注冊表條目，以及英它應(yīng)用法度榜樣應(yīng)用通配符來代替可

32、能會產(chǎn)生改變的重要的體系信息), 存儲于用戶設(shè)備文件的ntuser.dat中。優(yōu)先于HKLM中雷同關(guān)鍵字。這些信息是 HKEY_USERS設(shè)備單位當前登錄用戶的Security ID(SID)子項的映射。HKEY_USERS(HKU )設(shè)備單位包含的子項含有當前計算機上所有的用戶設(shè) 備文件。個中一個子項老是映射為H KEY_CURRENT_USER (經(jīng)由過程用戶的S I D 值)。另一個子項H KEY_USERSDE FAULT包含用戶登錄前應(yīng)用的信息。HKEY_CLASSES_ROOT(HKCR)設(shè)備單位包含的子項列岀了當前已在計 算機上注冊的所有C O M辦事器和與應(yīng)用法度榜樣相接洽關(guān)系

33、的所有文件擴大名。這些信息 是 H KEY_LOC A L_M AC HINES OFTWAREC lasses 子項的映射。HKEY_CURRENT_CONFIG(HKCC)設(shè)備單位包含的子項列岀了計算機 當前會話的所有硬件設(shè)備信息。硬件設(shè)備文件岀現(xiàn)于Windows NT版本4,它許可你選擇在機 械某個指定的會話中支撐哪些設(shè)備驅(qū)動法度榜樣。這些信息是H KEY_LOCAL_MAC HINESYSTEMCurrentControlSe t 子項的映射。HKEY_LOCAL_MACHINE(HKLM)的子樹：HARDWARE：在體系啟動時建立，包含了體系的硬件的信息SAM：包含了用戶帳號和暗碼信

34、息SECURITY：包含了所有的安然設(shè)備信息SOFTWARE：包含應(yīng)用法度榜樣的設(shè)備信息SYSTEM：包含了辦事和設(shè)備的設(shè)備信息設(shè)置注冊表的權(quán)限：Windows NT：應(yīng)用C2Config和C2rcgacl.infWindows 2000：應(yīng)用組策略審核注冊表：3、禁止和刪除不須要的辦事刪除OS/2和POSIX在web辦事器上禁止server services在firewall 過濾響應(yīng)的數(shù)據(jù)包4、保護收集連接安然性：SMB connection processEstablish a TCP connection - negotiate dialect - set up SMB session

35、 - access resourcePc network program 1.0Microsoft networks 1.03Lanman 1.0LM 1.2X002LanMan 2.1Windows NTLM禁止匿名連接:HKLM SYSTEMCCScontrollsarestrictanonymous=l辦事器控制驗證辦法：1 mcompatibilitylevel 0任何都是可用的1由辦事器決定應(yīng)用哪種辦法2不應(yīng)用LM驗證激活SW1B簽名：HKLMSYSTEMCCSservicesianmanserverparanietersrequiresecuritysignature 0/1HKL

36、MSYSTEMCCSservicesrdrparametersrcquiresecuritysignature 0/15、其他的設(shè)備:禁止除治理員和打印操作員以外的用戶安裝打印驅(qū)動法度榜樣：HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers= 1 隱蔽上一次登錄的體系名 限制對打印機和串口的應(yīng)用：HKLM SYSTEMCCScontrolsession managerprotectionmode= 1在體系關(guān)機時淸空頁面文件HKLM SYSTEMCCScontrol session managerXme

37、inoryinanagementXclearpagefileatshutdown = 1禁止緩存登錄證書限制對scheduler辦事的應(yīng)用限制對可移動介質(zhì)的拜訪二、加強UNIX的安然性：1、禁用或刪除辦事：finger：出生于internet的平和期，長途用戶可以應(yīng)用它獲得有關(guān)用戶的信息，包含所 登錄用戶的統(tǒng)稱、郵件地址、登錄路徑、shell的類型和.plan, .project中的內(nèi)容。在/clc/inctd.conf 中# finger stream tep nowait nobady /usr/sbin/tcpd in.fingerd 應(yīng)用TCPWrapper限制對他的應(yīng)用/etc/liosts.allowrwhod