CIS操作系統安全-v

操作系統安全培訓機構名稱講師名稱版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內容2操作系統與數據庫安全知識體知識域操作系統安全知識子域Windows系統安全機制操作系統安全概述Linux系統安全機制安全操作系統數據庫安全知識域：操作系統安全知識子域：操作系統安全概念了解操作系統的作用與功能了解操作系統的主要安全設計機制理解操作系統的安全配置要點3操作系統的功能用戶與計算機硬件之間的接口操作系統為用戶提供了虛擬計算機，把硬件的復雜性與用戶隔離計算機系統的資源管理者CPU管理存儲管理設備管理文件管理網絡與通信管理用戶接口4硬件：CPU、內存、硬盤、網絡硬件等內核系統調用接口用戶進程操作系統安全目標操作系統安全目標標識系統中的用戶和進行身份鑒別依據系統安全策略對用戶的操作進行訪問控制，防止用戶和外來入侵者對計算機資源的非法訪問監(jiān)督系統運行的安全性保證系統自身的安全和完整性5操作系統安全機制（一）標識與鑒別用戶身份合法性鑒別操作系統登錄訪問控制防止對資源的非法使用限制訪問主體對訪問客體的訪問權限DAC、MAC、RBAC最小特權管理限制、分割用戶、進程對系統資源的訪問權限“必不可少的”權限6操作系統安全機制（二）信道保護正常信道的保護可信通路（TrustedPath）安全鍵（SAK）7操作系統安全機制（三）安全審計對系統中有關安全的活動進行記錄、檢查以及審核審計一般是一個獨立的過程內存存取保護進程間/系統進程內存保護段式保護、頁式保護和段頁式保護文件系統保護分區(qū)文件共享文件備份8知識域：操作系統安全知識子域：Windows系統安全機制理解Windows系統標識與鑒別、訪問控制、用戶賬戶控制、安全審計、文件系統的安全機制和安全策略掌握Windows系統的安全配置方法9Windows系統標識與鑒別-安全主體安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機服務10Windows系統標識識與鑒別別-安全標識識安全標識識符（SecurityIdentifier，SID）安全主體體的代表表（標識用戶戶、組和和計算機機賬戶的的唯一編編碼）范例：S-1-5-21-1736401710-1141508419-1540318053-100011Windows系統標識識與鑒別別-用戶鑒別12賬戶信息息管理機機制登錄驗證證本地登錄錄驗證遠程登錄驗驗證Windows用戶身份份鑒別帳號信息息存儲（SAM:安全賬號號管理））運行期鎖鎖定、存儲格式加加密僅對system帳號有權權限，通通過服務務進行訪訪問控制Windows用戶身份份鑒別：：本地登登錄GINA（GraphicalIdentificationandAuthentication:圖形化識別別和驗證)LSA（LocalSecurityAuthority：本地安全授授權）13SAM賬戶信息庫庫GINALSAWindows系統身份份鑒別：：遠程登登錄遠程登錄錄鑒別協協議SMB（ServerMessageBlock）:口令明文文傳輸LM（LANManager）：口令令哈希傳傳輸，強強度低NTLM（NTLANManager）：提高高口令散散列加密密強度、、挑戰(zhàn)/響應機制制Kerberos：為分布布網絡提提供單一一身份驗驗證14Windows系統訪問問控制-ACL訪問控制制列表（（AccessControlList，ACL）NTFS文件系統支持權限存儲流流文件系系統中自主訪問控控制靈活性高高，安全全性不高高15Windows系統訪問控制制-用戶賬戶控制制用戶帳戶控制制（UserAccountControl，UAC）完全訪問令牌牌標準受限訪問問令牌16Windows文件系統安全全NTFS文件系統權限限控制（ACL）文件、文件夾夾、注冊表鍵鍵值、打印機機等對象安全加密EFS(EFS(EncryptingFileSystem)Windows內置，與文件件系統高度集集成對windows用戶透明對稱與非對稱稱算法結合Bitlocker對整個操作系系統卷加密解決設備物理理丟失安全問問題17Windows系統審計機制制Windows日志系統應用程序安全設置應用程序和服務務日志應用訪問日志FTP訪問日志IIS訪問日志18Windows系統安全策略略賬戶策略密碼策略賬戶鎖定策略略本地策略審核策略用戶權限分配配安全選項……19Windows系統安全配置1、安全配置前置工工作2、賬號安全設設置3、關閉自動播播放4、遠程訪問控控制5、本地安全策略略6、服務運行安全設設置7、使用第三方方安全增強軟件20Windows安全設置1-前置工作安全的安裝分區(qū)設置：不不要只使用一一個分區(qū)系統補丁：SP+Hotfix補丁更新設置：：檢查更新自動下載安裝裝或手動21Windows安全配置2-賬號安全設置置賬號安全設置置系統賬號策略略設置賬號安全選項設置22賬號安全設置置-保護賬號安全全默認管理賬戶戶administrator更名設置“好”的口口令自己容易記、、別人不好猜猜不安全口令實實例：ZAQ!@WSXzaq12wsx安全口令實例:WdSrS1Y28r!23一句話“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作變形：單數字母大寫，，最后加個感感嘆號賬號安全設置置-系統賬號策略略密碼策略：避避免系統出現現弱口令密碼必須符合合復雜性要求求密碼長度最小小值密碼最短使用用期限密碼最長使用期期限強制密碼歷史用可還原的加加密來存儲密密碼24賬號安全設置置-賬號鎖定策略略賬號鎖定策略略：應對口令令暴力破解賬號鎖定時間間賬號鎖定閥值值重置賬號鎖定計計數器25賬號權限控制制-用戶權限分配用戶權限分配配從網絡訪問這這臺計算機拒絕從網絡訪問這這臺計算機管理審核和安全日志從遠程系統強制制關機26賬戶權限控制制-設置喚醒密碼設置喚醒計算算機時的登錄密碼設置屏幕保護恢復時的的登錄密碼27Windows安全配置3-自動播放功能的的威脅為方便用戶而而設計惡意代碼借助助移動存儲介介質傳播的方方式28Windows安全配置-關閉自動播放關閉自動播放功能可以有效阻斷U盤病毒的傳播路徑徑29Windows全配置4-遠程訪問控制制網絡訪問控制制共享安全防護30網絡訪問控制制-防火墻設置確保啟用Windows自帶防火墻31網絡訪問控制-防火墻高級配置置出站規(guī)則入站規(guī)則連接安全規(guī)則則監(jiān)視防火墻連接安全規(guī)則則安全關聯32共享安全防護護-共享安全風險險IPC$的安全問題（（空會話連接接導致信息泄泄露）管理共享風險險(遠程文件操作作)普通共享的風風險（遠程文文件操作）33系統用戶列表用戶信息共享列表……空會話連接共享安全防護護-關閉管理共享空會話連接控控制本地安全策略設設置中對匿名名訪問的限制制關閉管理共享享：修改注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters34Windows安全設置5-本地安全策略略審核策略用戶權限分配安全選項……35本地安全策略略-安全選項管理工具→本本地安全策略略→安全設置置→本地策略略→安全選項交互式登錄：無須按按Ctrl+Alt+Del，設置為已禁禁用交互式登錄：不顯示示最后的用戶名，設置置為已啟用設備：將CD-ROM的訪問權限僅僅限于本地登登錄的用戶，，設置為已啟啟用36本地安全策略略-安全選項管理工具→本本地安全策略略→安全設置置→本地策略略→安全選項項網絡訪問：不允許許SAM賬號的匿名枚舉，設設置為已啟用網絡訪問：可可匿名訪問的的共享，刪除策略設置里的值網絡訪問：可可匿名訪問的的命名管道，刪除策略設置里的值網絡訪問：可可遠程訪問的的注冊表路徑徑，刪除策略設置里的值37Windows安全配置6-服務運行安全全Windows服務（windowsservice)Windows服務程序是一一個長時間運運行的可執(zhí)行行程序，不需需要用戶的交交互，也不需需要用戶登錄錄38服務運行安全全設置-關閉不必要的的服務關閉不需要的的服務計劃任務遠程操作注冊表表……控制服務權限限System(本地系統)LocalServiceNetworkService39Windows安全配置7-第三方安全軟軟件防病毒軟件安全防護軟件40安裝防病毒軟軟件安裝病毒防護護軟件惡意代碼是終終端安全的最最大威脅確保病毒防護護軟件病毒庫庫更新病毒防護軟件件主要工作機機制：特征碼碼掃描開啟云查殺41系統安全防護護軟件系統安全保護軟軟件影子系統主機入侵檢測測42知識域：操作作系統安全43知識子域：Linux系統安全機制制理解Linux系統標識與鑒鑒別、訪問控控制、安全審審計、文件系系統、特權管管理的安全機機制掌握Linux系統的安全配配置方法Linux系統標識與鑒鑒別-安全主體安全主體用戶：身份標標識（UserID）組：身份標識識（GroupID）用戶與組基本本概念文件必須有所所有者用戶必須屬于某個個或多個組用戶與組的關關系靈活（一一對多、多對對多等都可以以）根用戶擁有所有有權限44Linux系統標識與鑒鑒別-帳號信息存儲儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow45用戶信息文件件-passwd用于存放用戶戶信息（早期期包括使用不不可逆DES算法加密形成成用戶密碼散散列）特點文本格式全局可讀存儲條目格式式name:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh46用戶戶名名早期期：：密密碼碼散散列列X:代替密密碼碼散散列列*:賬號號不不可可交交互互登登錄錄用戶戶ID用戶所所屬屬組組ID用戶信信息息用戶戶目目錄錄用戶戶登登錄錄后后使使用用的的shell用戶戶帳帳號號影影子子文文件件-shadow用于于存存放放用用戶戶密密碼碼散散列列、、密密碼碼管管理理信信息息等等特點點文本本格格式式僅對對root可讀讀可可寫寫存儲儲條條目目格格式式name:passwd:lastchg:min:max:warn:inactive:expire:flag條目目例例子子#root:$1$acQMceF9:13402:0:99999:7:::47用戶登登錄錄名名及及加加密密的的用用戶戶口口令令上次次修修改改口口令令日日期期口令令兩兩次次修修改改最最小小天天數數及及最最大大天天數數口令令失失效效前前多多少少天天向向用用戶戶警警告告被禁禁止止登登錄錄前前還還有有效效天天數數帳號號被被禁禁止止登登錄錄時時間間保留留域域Linux系統統身身份份鑒鑒別別口令令鑒鑒別別本地登登錄錄遠程登登錄錄（（telnet、FTP等））主機機信信任任（（基基于于證證書書））PAM（PluggableAuthenticationModules,可插拔拔驗驗證證模模塊））48………PAMAPI………logintelnetSSHLinuxKerberosS/keyPAMSPILinux系統統訪訪問問控控制制-權限限模模式式文件件/目錄錄權權限限基基本本概概念念權限限類類型型：：讀讀、、寫寫、、執(zhí)執(zhí)行行權限限表表示示方方式式：：模模式式位位drwxr-xr-x3rootroot1024Sep1311:58test49文件類型：d為文件夾-是文件文件擁有者的權限（U）文件擁有者所在組其他用戶的權限（G）系統中其他用戶權限（O）鏈接數文件擁有者UID文件擁有者GID文件大小最后修改時間文件名Linux系統統訪訪問問控控制制-權限限模模式式權限的的數數字字表表示示法法權限限的的特特殊殊屬屬性性SUID、SGID、Sticky（防防刪刪除除））50-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序序Linux系統統安安全全審審計計-日志志系系統統系統統日日志類類型型連接接時時間間日日志/var/log/wtmp和/var/run/utmp由多多個個程程序序執(zhí)執(zhí)行行，，記記錄錄用用戶戶登登錄錄時時間間進程程統統計由系系統統內內核核執(zhí)執(zhí)行行，，為為系系統統基基本本服服務務提提供供命命令令使使用用統統計計錯誤日日志/var/og/messages由syslogd守護護記記錄錄，，制制定定注注意意的的事事項項應用程程序序日日志應用程程序序如如（（HTTP、FTP）等等創(chuàng)創(chuàng)建建的的日日志志51Linux文件系系統統文件件系系統統類類型型日志志文文件件系系統：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件件系系統統安安全全訪問權權限限文件件系系統統加加密密eCryptfs（EnterpriseCryptographicFilesystem）基于于內核核，，安安全全性性高高，，用用戶戶操操作作便便利利加密密元數據據寫在每每個個加加密密文文件件的的頭部，，方方便便遷遷移移，，備備份份52文件件系系統統目目錄錄結結構構53/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmpLinux系統的的特權權管理理特權劃劃分分割管理理權限，30多種管管理特特權根用戶戶（root）擁有所所有特特權普通用用戶特特權操操作實實現setuidsetgid特權保護護：保保護root賬號不直接接使用用root登錄，，普通通用戶戶su成為root控制root權限使使用54Linux系統安安全設設置1、安全全配置置前置置工作作2、賬號號和口口令安安全3、系統服服務配配置4、遠程登登錄安全5、文件件和目目錄安安全6、系統統日志志配置置7、使用用安全全軟件件55Linux設置——安全配置前前置工工作系統安安裝使用官官方/正版軟軟件分區(qū)掛掛載重重要目目錄根目錄錄（/）、用用戶目目錄（（/home）、臨臨時目目錄（（/tmp）等應應分開到到不同同的磁磁盤分分區(qū)自定義義安裝，，選擇擇需要要的軟軟件包包不安裝裝全部部軟件件包，，尤其其是那那些不不需要要的網網絡服服務包包系統補補丁及時安裝系系統補丁更新補丁前前，要要求先先在測測試系系統上上對補補丁進進行可用性性和兼容容性驗驗證56Linux設置——賬號和和口令令安全全賬號通通用配配置保護root賬號口令安安全策策略57賬號和和口令令安全——賬號通通用配置（（1）檢查、清除系統中中多余賬號檢查#cat/etc/passwd#cat/etc/shadow清除多多余賬賬號鎖定賬賬號特殊保留的系統統偽賬戶，可以以設置置鎖定定登錄錄鎖定命命令：：#passwd-l<用戶名名>解鎖命命令：：#passwd-u<用戶名名>58賬號和和口令令安全全——賬號通通用配配置（2）禁用root之外的的超級級用戶打開系統賬賬號文件/etc/passwd若用戶ID=0，則表示該該用戶擁擁有超超級用用戶的的權限檢查是是否有多個個ID=0禁用或或刪除除多余余的賬賬號59賬號和和口令令安全全——賬號通通用配配置（3）檢查是是否存存在空空口令令賬號號執(zhí)行命命令#awk-F:'(==""){print$1}'/etc/shadow如果存存在空空口令令賬號號，則則對其其進行行鎖定定，或或要求求增加加密碼要確認空空口令令賬戶戶是否否和已有應用關聯，，增加加密碼碼是否否會引引起應應用無無法連連接的的問題題60賬號和和口令令安全全——賬號通通用配配置（（3）設置賬賬戶鎖鎖定登登錄失失敗鎖鎖定次次數、、鎖定定時間修改賬賬戶超超時值值，設設置自自動注注銷時時間61賬號和和口令令安全全——保護root賬號root賬號權權限很很高保護措措施禁止使使用root登錄系系統只允許許普通通用戶戶登陸陸，然然后通通過su命令切切換到到root不要隨意把把rootshell留在終終端上上；不要把當前前目錄錄(“./””)和普通通用戶戶的bin目錄放放在root賬號的的環(huán)境境變量量PATH中永遠不以root運行其其他用用戶的的或不不熟悉悉的程程序62賬號和和口令令安全全——口令安安全策策略口令安安全策策略要求使使用安安全口口令口令長長度、、字符符要求求口令修修改策策略強制口口令使使用有有效期期設置口口令修修改提提醒設置賬賬戶鎖鎖定登登錄失失敗鎖鎖定次次數、、鎖定定時間間63vi/etc/login.defPASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE28Linux設置——系統服服務配配置禁止危險的網絡絡服務telnet、FTPecho、chargen、shell、finger、NFS、RPC等關閉非必需需的網網絡服務talk、ntalk等確保最新版版本使用當前最新和和最安安全的的版本的服務務軟件件64關閉郵郵件服務：：chkconfig--level12345sendmailoff關閉圖圖形登登錄服服務：：編輯輯/etc/inittab文件，修改為為id:3:initdefault:關閉Xfont服務：：chkconfigxfsoffLinux設置——遠程登登錄安安全禁用telnet,使用SSH進行管理限制能夠登登錄本本機的的IP地址禁止root用戶遠遠程登登陸限定信任主主機修改banner信息65遠程登登錄安安全——使用SSH/限制登登錄IP禁用telnet,使用SSH進行管管理開啟ssh服務：：#servicesshdstart限制能夠登錄本本機的的IP地址#vi/etc/ssh/sshd_config添加（或修修改）：AllowUsersxyz@3允許用戶xyz通過地址3來登錄本機AllowUsers*@192.168.*.*僅允許/16網段所有用戶戶通過ssh訪問。66遠程登錄安全全——禁止root/限定信任主機機禁止root用戶遠程登陸陸#cat/etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述兩個個文件中的主主機，刪除其其中不必要的的主機，防止止存在多余的的信任主機或直接關閉所所有R系列遠程服務務rloginrshrexec67遠程登錄安全全——修改banner信息系統banner信息一般會給出操作系系統名稱、版本號號、主機名稱稱等修改banner信息查看修改sshd_config#vi/etc/ssh/sshd_config如存在，則將將banner字段設置為NONE查看修改motd：#vi/etc/motd該處內容將作作為banner信息顯示給登登錄用戶。查查看該文件內內容，刪除其其中的內容，，或更新成自自己想要添加加的內容68Linux設置——文件和目錄安安全設置文件目錄錄權限設置默認umask值檢查SUID/SGID文件69文件和目錄安全——設置文件目錄錄權限保護重要的文文件目錄，限限制用戶訪問問設置文件的屬屬主和屬性以以進行保護極其重要的文文件或目錄可可以設置為不不可改變屬性性chattr

+i/etc/passwd臨時文件不應應該有執(zhí)行權限70常見文件權限限及屬性的操操作命令：chmod、chown、chattr文件和目錄安安全——設置默認umask值設置新創(chuàng)建文件的默認權限掩掩碼可以根據要求求設置新文件件的默認訪問問權限，如僅僅允許文件屬屬主訪問，不不允許其他人人訪問umask設置的是權限限“補碼”設置方法使用umask命令如#umask066編輯/etc/profile文件，設置umask值71文件和目錄安安全——檢查SUID/SGID文件SUID/SGID的程序在運行時時，將有效用戶ID改變?yōu)樵摮绦虻乃姓?組)ID。因而可能存在一定定的安全隱患找出系統中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的的直接刪除,這樣可以防止用戶濫用用及提升權限限的可能性,其命令如下：查找SUID可執(zhí)行程序#find/

-perm

-4000

-user0–ls查找SGID程序#find/

-perm

-2000

-user0–ls72Linux設置——系統日志配置（1）73保護日志文件審查日志中不不正常情況非常規(guī)時間登登錄日志殘缺Su的使用服務的啟動情況況……Linux設置——系統日志配置置（2）啟用syslog服務配置日志存儲儲策略打開/etc/logrotate.d/syslog文件，檢查其其對日志存儲儲空間的大小小和時間的設設置使用syslog設備Syslog.conf設置使用syslog日志服務器74Linux設置——使用安全軟件件啟用主機防火火墻使用最新版本本安全軟件75使用安全軟件件——使用主機防火墻（1）76Linux下的防火墻框框架iptables包過濾NAT數據包處理Iptables基本規(guī)則Iptables[-ttable]command[match][target]Iptables基本應用Iptables–AINPUT–s––jACCEPTIptables–DINPUT–dport80–jDROP使用安全軟件件——使用主機防火墻（2）Iptables已內嵌到Linux系統中功能較強大建議設置Linux開機后自動啟啟動該防火墻墻77使用安全軟件件——使用最新版本安全全軟件使用官方安全全軟件opensshopensslsnort…使用最新版軟軟件及時消除安全全隱患78知識域：操作作系統安全知識子域：安全全操作系統了解安全操作作系統的發(fā)展展了解安全操作作系統的設計計原則79安全操作系統統概念操作系統安全安全設置安全增強安全操作系統統可信計算機系系統評價標準準（TruestedComputerSecurityEvaluationCritria，TCSEC）可信操作系統統80安全操作系統統研究概況1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年來TrustedBSDSELinuxAppArmor81SELinux簡介SELinux安全增強Linux（SecurityEnhancedLinux）安全子系統強制訪問控制制（MAC）美國國家安全全局開發(fā)以GNUGPL形式開源發(fā)布布82謝謝，請?zhí)釂枂栴}！9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Tuesday,December20,202210、雨中黃葉樹樹，燈下白頭頭人。。17:30:5217:30:5217:3012/20/20225:30:52PM11、以我獨沈久久，愧君相見見頻。。12月-2217:30:5217:30Dec-2220-Dec-2212、故人江海別別，幾度隔山山川。。17:30:5217:30:5217:30Tuesday,December20,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2217:30:5217:30:52December20,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。20十十二二月月20225:30:52下下午午17:30:5212月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。十二二月月225:30下下午午12月月-2217:30December20,202216、行動出出成果，，工作出出財富。。。2022/12/2017:30:5217:30:5220December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。5:30:52下下午5:30下下午17:30:5212月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Tuesday,December20,202210、很多事情情努力了未未必有結果果，但是不不努力卻什什么改變也也沒有。。。17:30:5217:30:5217:3012/20/2022