操作系統(tǒng)的安全實(shí)用教案

1、特洛伊木馬必須具有以下幾項(xiàng)功能才能成功地入侵計(jì)算機(jī)系統(tǒng)： 入侵者要寫(xiě)出一段程序進(jìn)行非法操作，程序的行為方式不會(huì)(b hu)引起用戶的懷疑； 必須設(shè)計(jì)出某種策略使受騙者接受這段程序； 必須使受騙者運(yùn)行該程序； 入侵者必須有某種手段回收由特洛伊木馬發(fā)作而為他帶來(lái)的實(shí)際利益。第1頁(yè)/共56頁(yè)第一頁(yè)，共57頁(yè)。（3）隱蔽(ynb)通道（4）天窗第2頁(yè)/共56頁(yè)第二頁(yè)，共57頁(yè)。4.1.2 操作系統(tǒng)的安全服務(wù)操作系統(tǒng)的安全服務(wù)主要包括以下兩個(gè)方面。1用戶管理的安全性賬號(hào)/密碼的認(rèn)證方案普遍存在著安全的隱患和不足之處，具體有如下幾種。（1）認(rèn)證過(guò)程的安全保護(hù)不夠健壯，登錄的步驟沒(méi)有進(jìn)行(jnxng)集成和

2、封裝，而是暴露在外，容易受到惡意入侵者或系統(tǒng)內(nèi)部特洛伊木馬的干擾或者截取。第3頁(yè)/共56頁(yè)第三頁(yè)，共57頁(yè)。（2）密碼的存放與訪問(wèn)沒(méi)有嚴(yán)格的安全保護(hù)。（3）認(rèn)證機(jī)制與訪問(wèn)控制機(jī)制不能很好地相互配合和銜接，使得通過(guò)認(rèn)證的合法用戶進(jìn)行有意或無(wú)意的非法操作的機(jī)會(huì)大大增加。2訪問(wèn)控制訪問(wèn)控制系統(tǒng)一般包括(boku)以下幾個(gè)實(shí)體。 主體（Subject） 客體（Object） 安全訪問(wèn)政策第4頁(yè)/共56頁(yè)第四頁(yè)，共57頁(yè)。 訪問(wèn)控制常用的實(shí)現(xiàn)(shxin)方法主要有以下幾種。 （1）訪問(wèn)控制矩陣（Access Matrix）第5頁(yè)/共56頁(yè)第五頁(yè)，共57頁(yè)。File1File2File3JohnOwnR

3、WRAliceROwnRWWBobRWR表4.1訪問(wèn)控制矩陣(j zhn)第6頁(yè)/共56頁(yè)第六頁(yè)，共57頁(yè)。（2）訪問(wèn)(fngwn)能力表（Access Capability List）（3）訪問(wèn)(fngwn)控制表（Access Control List）第7頁(yè)/共56頁(yè)第七頁(yè)，共57頁(yè)。圖4.1 訪問(wèn)(fngwn)能力表 第8頁(yè)/共56頁(yè)第八頁(yè)，共57頁(yè)。 圖4.2 訪問(wèn)控制表 第9頁(yè)/共56頁(yè)第九頁(yè)，共57頁(yè)。（4）授權(quán)(shuqun)關(guān)系表（Authorization Relations List）第10頁(yè)/共56頁(yè)第十頁(yè)，共57頁(yè)。主主 體體訪訪 問(wèn)問(wèn) 權(quán)權(quán) 限限客客 體體JohnO

4、wnFile1JohnRFile1JohnWFile1JohnRFile3AliceRFile1AliceOwnFile2AliceRFile2AliceWFile2AliceWFile3BobRFile1BobWFile1BobWFile2表4.2授權(quán)(shuqun)關(guān)系表第11頁(yè)/共56頁(yè)第十一頁(yè)，共57頁(yè)。 在訪問(wèn)控制策略方面，計(jì)算機(jī)系統(tǒng)常采用以下兩種策略。 （1）自主(zzh)訪問(wèn)控制（Discretionary Access Control，DAC） （2）強(qiáng)制訪問(wèn)控制（Mandatory Access Control，MAC）第12頁(yè)/共56頁(yè)第十二頁(yè)，共57頁(yè)。 4.1.3 操作

5、系統(tǒng)安全性的設(shè)計(jì)(shj)原則與一般結(jié)構(gòu)（1）最小特權(quán)（2）機(jī)制的經(jīng)濟(jì)性（3）開(kāi)放系統(tǒng)設(shè)計(jì)(shj)（4）完備的存取控制機(jī)制（5）基于“允許”的設(shè)計(jì)(shj)原則（6）權(quán)限分離（7）避免信息流的潛在通道（8）方便使用第13頁(yè)/共56頁(yè)第十三頁(yè)，共57頁(yè)。圖4.3 安全(nqun)操作系統(tǒng)的一般結(jié)構(gòu)第14頁(yè)/共56頁(yè)第十四頁(yè)，共57頁(yè)。4.1.4 安全操作系統(tǒng)的發(fā)展?fàn)顩rKSOS（Kernelized Secure Operating System）是美國(guó)國(guó)防部研究計(jì)劃局1977年發(fā)起的一個(gè)安全操作系統(tǒng)研制(ynzh)項(xiàng)目，目標(biāo)是為PDP-11/70機(jī)器開(kāi)發(fā)一個(gè)可投放市場(chǎng)的安全操作系統(tǒng)，系統(tǒng)的要求

6、如下： 與貝爾實(shí)驗(yàn)室的UNIX操作系統(tǒng)兼容； 實(shí)現(xiàn)多級(jí)安全性和完整性； 正確性可以被證明。第15頁(yè)/共56頁(yè)第十五頁(yè)，共57頁(yè)。OSF/1是開(kāi)放軟件基金會(huì)于1990年推出的一個(gè)安全(nqun)操作系統(tǒng)，被美國(guó)國(guó)家計(jì)算機(jī)安全(nqun)中心（NCSC）認(rèn)可為符合TCSEC的B1級(jí)，其主要安全(nqun)性表現(xiàn)如下： 系統(tǒng)標(biāo)識(shí)； 口令管理； 強(qiáng)制存取控制和自主存取控制； 審計(jì)。第16頁(yè)/共56頁(yè)第十六頁(yè)，共57頁(yè)。UNIX SVR4.1ES是UI（UNIX國(guó)際組織）于1991年推出的一個(gè)安全操作系統(tǒng)，被美國(guó)國(guó)家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B2級(jí)，除OSF/1外的安全性主要表現(xiàn)如

7、下： 更全面的存取控制； 更小的特權(quán)管理； 可信通路； 隱蔽(ynb)通道分析和處理。第17頁(yè)/共56頁(yè)第十七頁(yè)，共57頁(yè)。DTOS原型系統(tǒng)以Mach為基礎(chǔ)，具有以下設(shè)計(jì)目標(biāo)。 政策靈活性。 Mach兼容性。 DTOS內(nèi)核的性能(xngnng)應(yīng)該與Mach內(nèi)核的性能(xngnng)相近。第18頁(yè)/共56頁(yè)第十八頁(yè)，共57頁(yè)。4.2 Windows NT/2000的安全(nqun) 4.2.1 Windows NT/2000的安全(nqun)模型圖4.4 Windows NT/2000的安全(nqun)模型第19頁(yè)/共56頁(yè)第十九頁(yè)，共57頁(yè)。1登錄(dn l)過(guò)程（Logon Process

8、）2本地安全認(rèn)證（Local Security Authority，LSA）3安全賬號(hào)管理器（Security Account Manager，SAM）4安全參考監(jiān)視器（Security Reference Monitor，SRM）第20頁(yè)/共56頁(yè)第二十頁(yè)，共57頁(yè)。4.2.2 Windows NT/2000的登錄(dn l)控制1登錄(dn l)過(guò)程（1）本地登錄(dn l)過(guò)程（如圖4.5所示）第21頁(yè)/共56頁(yè)第二十一頁(yè)，共57頁(yè)。圖4.5 本地登錄(dn l)過(guò)程第22頁(yè)/共56頁(yè)第二十二頁(yè)，共57頁(yè)。 用戶按Ctrl+Alt+Del鍵，引起硬件中斷，被系統(tǒng)捕獲，這樣使操作系統(tǒng)激活W

9、inLogon進(jìn)程。 WinLogon進(jìn)程通過(guò)調(diào)用標(biāo)識(shí)與鑒別DLL，將登錄窗口（賬號(hào)(zhn ho)名和口令登錄提示符）展示在用戶面前。 WinLogon進(jìn)程發(fā)送賬號(hào)(zhn ho)名和加密口令到本地安全認(rèn)證（LSA）。第23頁(yè)/共56頁(yè)第二十三頁(yè)，共57頁(yè)。 如果(rgu)用戶具有有效的用戶名和口令，則本地安全認(rèn)證產(chǎn)生一個(gè)訪問(wèn)令牌，包括用戶賬號(hào)SID和用戶工作組SID。 WinLogon進(jìn)程傳送訪問(wèn)令牌到Win32模塊，同時(shí)發(fā)出一個(gè)請(qǐng)求，以便為用戶建立登錄進(jìn)程。 登錄進(jìn)程建立用戶環(huán)境，包括啟動(dòng)Desktop Explorer和顯示背景等。 （2）網(wǎng)絡(luò)登錄過(guò)程（如圖4.6所示）第24頁(yè)/共56

10、頁(yè)第二十四頁(yè)，共57頁(yè)。圖4.6 網(wǎng)絡(luò)(wnglu)登錄Windows NT/2000服務(wù)器的過(guò)程第25頁(yè)/共56頁(yè)第二十五頁(yè)，共57頁(yè)。 用戶將用戶名和口令輸入到網(wǎng)絡(luò)客戶機(jī)軟件的登錄窗口。 該客戶機(jī)軟件打開(kāi)(d ki)NetBIOS，連接到服務(wù)器的NetLogon服務(wù)上，該客戶機(jī)軟件對(duì)口令加密，發(fā)送登錄證書(shū)到服務(wù)器的WinLogon進(jìn)程。 服務(wù)器的WinLogon進(jìn)程發(fā)送賬號(hào)名和加密口令到本地安全認(rèn)證。 第26頁(yè)/共56頁(yè)第二十六頁(yè)，共57頁(yè)。 如果用戶具有有效的用戶名和口令，則本地安全認(rèn)證產(chǎn)生一個(gè)訪問(wèn)令牌，包括用戶賬號(hào)SID和用戶工作組SID。訪問(wèn)令牌也得到(d do)用戶的特權(quán)（LUID

11、），然后該訪問(wèn)令牌傳送回WinLogon進(jìn)程。 WinLogon進(jìn)程將訪問(wèn)令牌傳送到Windows NT/2000的Server服務(wù)，它將訪問(wèn)令牌與被客戶機(jī)打開(kāi)的NetBIOS連接聯(lián)系起來(lái)。在具有訪問(wèn)令牌所建證書(shū)的服務(wù)器上，可完成任何在NetBIOS連接時(shí)所發(fā)送的其他操作（如讀文件、打印請(qǐng)求等）。第27頁(yè)/共56頁(yè)第二十七頁(yè)，共57頁(yè)。2安全標(biāo)識(shí)符（SID）3訪問(wèn)令牌（1）訪問(wèn)令牌保存全部安全信息(xnx)，可以加速訪問(wèn)驗(yàn)證過(guò)程。當(dāng)某個(gè)用戶進(jìn)程要訪問(wèn)某個(gè)對(duì)象時(shí)，安全子系統(tǒng)檢查進(jìn)程的訪問(wèn)令牌，判斷該用戶的訪問(wèn)特權(quán)。（2）每個(gè)進(jìn)程均有一個(gè)與之相關(guān)聯(lián)的訪問(wèn)令牌，因此，每個(gè)進(jìn)程都可以在不影響其他代表該

12、用戶運(yùn)行的進(jìn)程的條件下，在某種可允許的范圍內(nèi)修改進(jìn)程的安全特征。第28頁(yè)/共56頁(yè)第二十八頁(yè)，共57頁(yè)。4.2.3 Windows NT/2000的訪問(wèn)控制1Windows NT/2000訪問(wèn)控制Windows NT/2000的安全性達(dá)到了橘皮(j p)書(shū)C2級(jí)，實(shí)現(xiàn)了用戶級(jí)自主訪問(wèn)控制，它的訪問(wèn)機(jī)制如圖4.7所示。第29頁(yè)/共56頁(yè)第二十九頁(yè)，共57頁(yè)。圖4.7 Windows NT的客體(kt)訪問(wèn)示意圖 第30頁(yè)/共56頁(yè)第三十頁(yè)，共57頁(yè)。 圖4.8 安全性描述符的構(gòu)成(guchng) 第31頁(yè)/共56頁(yè)第三十一頁(yè)，共57頁(yè)。 對(duì)訪問(wèn)控制列表判斷的規(guī)則如下。 （1）從訪問(wèn)控制列表的頭部

13、開(kāi)始，檢查每個(gè)訪問(wèn)控制項(xiàng)，看是否顯式地拒絕用戶或工作組的訪問(wèn)。 （2）繼續(xù)檢查，看進(jìn)程所要求的訪問(wèn)類型(lixng)是否顯式地授予用戶或工作組。 （3）重復(fù)步驟（1）、（2），直到遇到拒絕訪問(wèn)，或是累計(jì)到所有請(qǐng)求的權(quán)限均被滿足為止。 （4）如果對(duì)某個(gè)請(qǐng)求的訪問(wèn)權(quán)限在訪問(wèn)控制表中既沒(méi)有授權(quán)也沒(méi)有拒絕，則拒絕訪問(wèn)。第32頁(yè)/共56頁(yè)第三十二頁(yè)，共57頁(yè)。2NTFS文件系統(tǒng)（1）文件和目錄的權(quán)限(qunxin)（2）文件內(nèi)容的加密第33頁(yè)/共56頁(yè)第三十三頁(yè)，共57頁(yè)。4.2.4 Windows NT/2000的安全管理(gunl)1用戶和用戶組2域和委托3活動(dòng)目錄（Active Directory

14、）第34頁(yè)/共56頁(yè)第三十四頁(yè)，共57頁(yè)。 下面介紹活動(dòng)目錄的結(jié)構(gòu)和活動(dòng)目錄的安全服務(wù)。 （1）活動(dòng)目錄的結(jié)構(gòu) 提供支持分布式網(wǎng)絡(luò)環(huán)境(hunjng)的多主復(fù)制機(jī)制。 層次式組織 面向?qū)ο蟠鎯?chǔ) 多主復(fù)制 （2）活動(dòng)目錄的安全性服務(wù)第35頁(yè)/共56頁(yè)第三十五頁(yè)，共57頁(yè)。 活動(dòng)目錄使用以下方法增強(qiáng)安全性。 通過(guò)向網(wǎng)絡(luò)資源提供單一的集成、高性能且對(duì)終端用戶透明的安全服務(wù)，改進(jìn)密碼的安全性和管理。 通過(guò)根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來(lái)防止對(duì)特定客戶主機(jī)操作進(jìn)行訪問(wèn)，保證桌面系統(tǒng)的功能性，例如(lr)軟件安裝或注冊(cè)項(xiàng)編輯。第36頁(yè)/共56頁(yè)第三十六頁(yè)，共57頁(yè)。 通過(guò)提供對(duì)安全的Internet標(biāo)準(zhǔn)

15、協(xié)議和身份驗(yàn)證機(jī)制的內(nèi)建支持，如Kerberos，公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI）和安全套接字協(xié)議層（SSL）之上的輕量(qn lin)目錄訪問(wèn)協(xié)議（LDAP），加速電子商務(wù)的部署。 通過(guò)對(duì)目錄對(duì)象和構(gòu)成它們的單獨(dú)數(shù)據(jù)元素設(shè)置訪問(wèn)控制特權(quán)來(lái)控制訪問(wèn)。第37頁(yè)/共56頁(yè)第三十七頁(yè)，共57頁(yè)。圖4.9 審計(jì)(shn j)子系統(tǒng)結(jié)構(gòu)圖第38頁(yè)/共56頁(yè)第三十八頁(yè)，共57頁(yè)。4.3 UNIX/Linux的安全(nqun)4.3.1 UNIX用戶賬號(hào)與口令安全1UNIX登錄認(rèn)證機(jī)制通過(guò)(tnggu)終端登錄UNIX操作系統(tǒng)的過(guò)程可描述如下：（1）init進(jìn)程確保為每個(gè)終端連接（或虛擬終端）運(yùn)行一個(gè)getty程

16、序；第39頁(yè)/共56頁(yè)第三十九頁(yè)，共57頁(yè)。（2）getty監(jiān)聽(tīng)對(duì)應(yīng)的終端并等待用戶準(zhǔn)備登錄；（3）getty輸出一條歡迎信息（保存在/etc/issue中），并提供用戶輸入用戶名，最后運(yùn)行l(wèi)ogin程序；（4）login以用戶作為參數(shù)，提示用戶輸入口令；（5）如果用戶名和口令相匹配，則login程序?yàn)樵撚脩魡?dòng)(qdng)shell；否則，login程序退出，進(jìn)程終止；（6）init進(jìn)程注意到login進(jìn)程已終止，則會(huì)再次為該終端啟動(dòng)(qdng)getty程序。第40頁(yè)/共56頁(yè)第四十頁(yè)，共57頁(yè)。2UNIX的口令文件各字段的含義分別如下。（1）登錄名。（2）加密口令。（3）用戶標(biāo)識(shí)(bio

17、zh)號(hào)（User ID，UID）（4）組標(biāo)識(shí)(biozh)（Group ID，GID）（5）登錄名的說(shuō)明（6）用戶的主目錄位置。（7）用戶的命令行解釋器（shell）。第41頁(yè)/共56頁(yè)第四十一頁(yè)，共57頁(yè)。3UNIX操作系統(tǒng)的口令安全安全的口令應(yīng)遵循以下的規(guī)則。（1）選擇(xunz)長(zhǎng)的口令，口令越長(zhǎng)，黑客猜中的概率就越低。（2）口令最好是英文字母和數(shù)字的組合。（3）不要使用英語(yǔ)單詞，因?yàn)楹芏嗳讼矚g使用英文單詞作為口令，口令字典收集了大量的口令，有意義的英語(yǔ)單詞在口令字典出現(xiàn)的概率比較大。第42頁(yè)/共56頁(yè)第四十二頁(yè)，共57頁(yè)。（4）用戶若可以(ky)訪問(wèn)多個(gè)系統(tǒng)，則不要使用相同的口令。（

18、5）不要使用名字作為口令，如自己的名字，家人的名字，寵物的名字等。（6）別選擇記不住的口令，這樣會(huì)給自己帶來(lái)麻煩，用戶可能會(huì)把它放在什么地方（7）使用UNIX安全程序第43頁(yè)/共56頁(yè)第四十三頁(yè)，共57頁(yè)。4.3.2 UNIX的文件(wnjin)訪問(wèn)控制1文件(wnjin)（或目錄）訪問(wèn)控制圖4.10 文件(wnjin)存取權(quán)限示意圖第44頁(yè)/共56頁(yè)第四十四頁(yè)，共57頁(yè)。2更改權(quán)限3特殊權(quán)限位4.3.3 UNIX安全(nqun)的管理策略1系統(tǒng)管理員的安全(nqun)管理第45頁(yè)/共56頁(yè)第四十五頁(yè)，共57頁(yè)。 以下是一些系統(tǒng)管理員的安全管理策略。 （1）保持(boch)系統(tǒng)管理員個(gè)人的登錄

19、安全 不要作為root或以自己的登錄賬戶運(yùn)行其他用戶的程序，首先用su命令進(jìn)入用戶的賬戶。 絕不要把當(dāng)前工作目錄放在PATH路徑表的前邊，那樣會(huì)吸引特洛伊木馬。 輸入/bin/su執(zhí)行su命令。第46頁(yè)/共56頁(yè)第四十六頁(yè)，共57頁(yè)。 不要未注銷賬戶就離開(kāi)終端，特別是作為root用戶(yngh)時(shí)更不能這樣。 不允許root在除控制臺(tái)外的任何終端登錄（這是login編譯時(shí)的選項(xiàng)），如果有l(wèi)ogin源碼，就將登錄名root改成別的名字，使破壞者不能在root登錄名下猜測(cè)各種可能的口令，從而非法進(jìn)入root的賬戶。 經(jīng)常改變r(jià)oot的口令。 確認(rèn)su命令記下的企圖運(yùn)行su的記錄/usr/adm/s

20、ulog，該記錄文件的存取權(quán)限是600，并屬root所有。 不要讓系統(tǒng)管理員以外的人作為root登錄，哪怕是幾分鐘，即使有系統(tǒng)管理員在一旁注視著也不行。第47頁(yè)/共56頁(yè)第四十七頁(yè)，共57頁(yè)。（2）保持整個(gè)系統(tǒng)的安全 保持賬號(hào)安全。 保持口令安全。 設(shè)置口令時(shí)效。 保持文件系統(tǒng)安全。 啟動(dòng)記賬系統(tǒng)。 查出不尋常的系統(tǒng)使用情況，如大量地占用磁盤(pán)、大量地使用CPU時(shí)間、大量的進(jìn)程(jnchng)、大量地使用su的企圖、大量無(wú)效的登錄、大量的到某一系統(tǒng)的網(wǎng)絡(luò)傳輸或奇怪的uucp請(qǐng)求等。第48頁(yè)/共56頁(yè)第四十八頁(yè)，共57頁(yè)。 修改shell，使其等待了一定時(shí)間而無(wú)任務(wù)時(shí)終止運(yùn)行。 修改login，使

21、其打印出用戶登錄的最后(zuhu)時(shí)間，三次無(wú)效登錄后，將通信線掛起，以便系統(tǒng)管理員能查出是否有人非法進(jìn)入系統(tǒng)。 修改su，使得只有root能通過(guò)su進(jìn)入某一戶頭。 當(dāng)安裝來(lái)源不可靠的軟件時(shí)，要檢查源碼和makefile文件，查看特殊的子程序調(diào)用或命令。第49頁(yè)/共56頁(yè)第四十九頁(yè)，共57頁(yè)。 為了系統(tǒng)的安全，還應(yīng)該注意以下事項(xiàng)。 （1）即使是安裝來(lái)源可靠的軟件，也要檢查是否有SUID（SGID）程序，確認(rèn)這些許可的確是必要的。 （2）如果系統(tǒng)在辦公室中，門(mén)應(yīng)上鎖，將重要數(shù)據(jù)保存在軟盤(pán)上或磁帶上，并鎖起來(lái)。 （3）如果系統(tǒng)管理員認(rèn)為系統(tǒng)已經(jīng)泄密，則應(yīng)當(dāng)(yngdng)設(shè)法查出肇事者。第50頁(yè)/共56頁(yè)第五十頁(yè)，共57頁(yè)。2用戶(yngh)的安全管理（1）保證用戶(yngh)口令的安全。（2）防止用戶(yngh)自己的文件和目錄被非授權(quán)