操作系統(tǒng)安全性概述

第4章操作系統(tǒng)的安全4.1操作系統(tǒng)安全性概述4.2WindowsNT/2000的安全4.3UNIX/Linux的安全4.1操作系統(tǒng)安全性概述4.1.1操作系統(tǒng)安全的重要性當(dāng)前，對(duì)操作系統(tǒng)安全構(gòu)成威脅的問(wèn)題主要有以下4種。（1）計(jì)算機(jī)病毒（2）特洛伊木馬（3）隱蔽通道

隱蔽通道可定義為系統(tǒng)中不受安全策略控制的、違反安全策略的信息泄漏路徑。它是允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。

（4）天窗

天窗是嵌在操作系統(tǒng)里的一段非法代碼，滲透者利用該代碼提供的方法侵入操作系統(tǒng)而不受檢查。天窗由專(zhuān)門(mén)的命令激活，一般不容易發(fā)現(xiàn)。4.1.2操作系統(tǒng)的安全服務(wù)1．用戶(hù)管理的安全性首先是用戶(hù)賬號(hào)的管理。通常對(duì)用戶(hù)賬號(hào)進(jìn)行分組管理，并且這種分組管理應(yīng)該是針對(duì)安全性問(wèn)題而考慮的分組。其次是用戶(hù)口令的加密機(jī)制。最后是認(rèn)證機(jī)制。身份認(rèn)證機(jī)制必須是強(qiáng)有力的，即在用戶(hù)登錄時(shí)，與系統(tǒng)的交互過(guò)程必須有安全保護(hù)，不會(huì)被第三方干擾或截取。

賬號(hào)/密碼的認(rèn)證方案普遍存在著安全的隱患和不足之處，具體有如下幾種。（1）認(rèn)證過(guò)程的安全保護(hù)不夠健壯，登錄的步驟沒(méi)有進(jìn)行集成和封裝，而是暴露在外，容易受到惡意入侵者或系統(tǒng)內(nèi)部特洛伊木馬的干擾或者截取。（2）密碼的存放與訪問(wèn)沒(méi)有嚴(yán)格的安全保護(hù)。（3）認(rèn)證機(jī)制與訪問(wèn)控制機(jī)制不能很好地相互配合和銜接，使得通過(guò)認(rèn)證的合法用戶(hù)進(jìn)行有意或無(wú)意的非法操作的機(jī)會(huì)大大增加。2．訪問(wèn)控制訪問(wèn)控制系統(tǒng)一般包括以下幾個(gè)實(shí)體。主體（Subject）客體（Object）安全訪問(wèn)政策訪問(wèn)控制常用的實(shí)現(xiàn)方法主要有以下幾種。（1）訪問(wèn)控制矩陣（AccessMatrix）表4.1是一個(gè)訪問(wèn)控制矩陣的例子，這個(gè)例子將在后面多次用到。表4.1 訪問(wèn)控制矩陣

File1File2File3JohnOwnRW

RAliceROwnRWWBobRWR

訪問(wèn)控制矩陣中存在著不少空項(xiàng)，為了減少系統(tǒng)開(kāi)銷(xiāo)與浪費(fèi)，從主體（行）出發(fā)，形成一個(gè)鏈表，以表示某一行的信息，這就是訪問(wèn)能力表，如圖4.1所示。（2）訪問(wèn)能力表（AccessCapabilityList）圖4.1

訪問(wèn)能力表圖4.2訪問(wèn)問(wèn)控控制制表表（3））訪訪問(wèn)問(wèn)控控制制表表（（AccessControlList））訪問(wèn)問(wèn)控控制制表表ACL是目目前前采采用用最最多多的的一一種種方方式式，，如如圖圖4.2所示示。。（4）授授權(quán)權(quán)關(guān)關(guān)系系表表（（AuthorizationRelationsList）用每一行行（或稱(chēng)稱(chēng)每一個(gè)個(gè)元組））表示主主體和客客體的一一個(gè)權(quán)限限關(guān)系，，如表4.2所示。主

體訪

問(wèn)

權(quán)

限客

體JohnOwnFile1JohnRFile1JohnWFile1JohnRFile3AliceRFile1AliceOwnFile2AliceRFile2AliceWFile2AliceWFile3BobRFile1BobWFile1BobWFile2表4.2 授權(quán)權(quán)關(guān)系表表在訪問(wèn)控控制策略略方面，，計(jì)算機(jī)機(jī)系統(tǒng)常常采用以以下兩種種策略。。（1）自自主訪問(wèn)問(wèn)控制（（DiscretionaryAccessControl，DAC））自主訪問(wèn)問(wèn)控制是是一種最為普遍遍的訪問(wèn)控控制手段段，它是是在確認(rèn)認(rèn)主體身身份以及及它們所所屬組的的基礎(chǔ)上上對(duì)訪問(wèn)問(wèn)進(jìn)行限限定的一一種方法法，其基基本思想想是：允允許某個(gè)個(gè)主體顯顯式地指指定其他他主體對(duì)對(duì)該主體體所擁有有的信息息資源是是否可以以訪問(wèn)以以及可執(zhí)執(zhí)行的訪訪問(wèn)類(lèi)型型。（2）強(qiáng)強(qiáng)制訪問(wèn)問(wèn)控制（（MandatoryAccessControl，MAC）強(qiáng)制訪問(wèn)問(wèn)控制是是“強(qiáng)加加”給訪訪問(wèn)主體體的，即即系統(tǒng)強(qiáng)強(qiáng)制主體體服從訪訪問(wèn)控制制政策，，這種政政策是強(qiáng)強(qiáng)制性規(guī)規(guī)定的，，用戶(hù)或或用戶(hù)的的程序不不能加以以修改。。4.1.3操操作系系統(tǒng)安全全性的設(shè)設(shè)計(jì)原則則與一般般結(jié)構(gòu)（1）最小特特權(quán)。（2）機(jī)制的的經(jīng)濟(jì)性性。（3）開(kāi)放系系統(tǒng)設(shè)計(jì)計(jì)。（4）完備的的存取控控制機(jī)制制。（5）基于““允許””的設(shè)計(jì)計(jì)原則。。（6）權(quán)限分分離。（7）避免信信息流的的潛在通通道。（8）方便使使用。4.1.4安安全操操作系統(tǒng)統(tǒng)的發(fā)展展?fàn)顩rKSOS（KernelizedSecureOperatingSystem）是美國(guó)國(guó)國(guó)防部部研究計(jì)計(jì)劃局1977年發(fā)起的的一個(gè)安安全操作作系統(tǒng)研研制項(xiàng)目目，目標(biāo)標(biāo)是為PDP-11/70機(jī)器開(kāi)發(fā)發(fā)一個(gè)可可投放市市場(chǎng)的安安全操作作系統(tǒng)，，系統(tǒng)的的要求如如下：①與貝爾實(shí)實(shí)驗(yàn)室的的UNIX操作系統(tǒng)統(tǒng)兼容；；②實(shí)現(xiàn)多級(jí)級(jí)安全性性和完整整性；③正確性可可以被證證明。OSF/1是開(kāi)放軟軟件基金金會(huì)于1990年推出的的一個(gè)安安全操作作系統(tǒng)，，被美國(guó)國(guó)國(guó)家計(jì)計(jì)算機(jī)安安全中心心（NCSC）認(rèn)可為為符合TCSEC的B1級(jí)，其主主要安全全性表現(xiàn)現(xiàn)如下：：系統(tǒng)標(biāo)識(shí)識(shí)；口令管理理；強(qiáng)制存取取控制和和自主存存取控制制；審計(jì)。UNIXSVR4.1ES是UI（UNIX國(guó)際組織織）于1991年推出的的一個(gè)安安全操作作系統(tǒng)，，被美國(guó)國(guó)國(guó)家計(jì)計(jì)算機(jī)安安全中心心（NCSC）認(rèn)可為為符合TCSEC的B2級(jí)，除OSF/1外的安全全性主要要表現(xiàn)如如下：更全面的的存取控控制；更小的特特權(quán)管理理；可信通路路；隱蔽通道道分析和和處理。。1993年，國(guó)防防科技大大學(xué)對(duì)基基于TCSEC標(biāo)準(zhǔn)和UNIXSystemV3.2版的安全全操作系系統(tǒng)SUNIX的研究與與開(kāi)發(fā)進(jìn)進(jìn)行了探探討，提提出了一一個(gè)面向向最小特特權(quán)原則則的改進(jìn)進(jìn)的BLP模型和一一個(gè)病毒毒防御模模型。以Linux為代表的的自由軟軟件在中中國(guó)的廣廣泛流行行對(duì)中國(guó)國(guó)安全操操作系統(tǒng)統(tǒng)的研究究與開(kāi)發(fā)發(fā)具有積積極的推推動(dòng)作用用。1999年，中國(guó)國(guó)科學(xué)院院軟件研研究所推推出了紅紅旗Linux中文操作作系統(tǒng)發(fā)發(fā)行版本本，同時(shí)時(shí)，開(kāi)展展了基于于Linux的安全操操作系統(tǒng)統(tǒng)的研究究與開(kāi)發(fā)發(fā)工作。。2000年，我國(guó)國(guó)的安全全操作系系統(tǒng)研究究人員相相繼推出出了一批批基于Linux的安全操操作系統(tǒng)統(tǒng)。中國(guó)國(guó)科學(xué)院院計(jì)算技技術(shù)研究究所研究究開(kāi)發(fā)了了LIDS安全操作作系統(tǒng)；；南京大大學(xué)開(kāi)發(fā)發(fā)了基于于Linux的安全操操作系統(tǒng)統(tǒng)SoftOS；中國(guó)科科學(xué)院信信息安全全技術(shù)工工程研究究中心開(kāi)開(kāi)發(fā)了基基于Linux的SecLinux安全操作作系統(tǒng)；；中國(guó)計(jì)計(jì)算機(jī)軟軟件與服服務(wù)總公公司以TCSEC標(biāo)準(zhǔn)的B1安全等級(jí)級(jí)為目標(biāo)標(biāo)對(duì)Linux進(jìn)行了改改造，開(kāi)開(kāi)發(fā)了COSIXLinuxV2.0的安全增增強(qiáng)版本本。4.2WindowsNT/2000的安安全4.2.1WindowsNT/2000的安全全模型WindowsNT/2000具有模塊塊化的設(shè)設(shè)計(jì)結(jié)構(gòu)構(gòu)。該操操作系統(tǒng)統(tǒng)由一組組軟件模模塊構(gòu)成成，稱(chēng)為為執(zhí)行程程序服務(wù)務(wù)，運(yùn)行行在內(nèi)核核模式下下。在內(nèi)內(nèi)核模式式之上的的是用戶(hù)戶(hù)模式，，用戶(hù)模模式由非非特權(quán)的的服務(wù)組組成，稱(chēng)稱(chēng)為保護(hù)護(hù)子系統(tǒng)統(tǒng)，它們們的啟動(dòng)動(dòng)由用戶(hù)戶(hù)來(lái)決定定。WindowsNT/2000的安全性性依賴(lài)于于WindowsNT/2000的核心層層，它們們?cè)诿總€(gè)個(gè)層次提提供一致致的安全全模型。。WindowsNT/2000的安全模模型由幾幾個(gè)關(guān)鍵鍵的安全全子系統(tǒng)統(tǒng)構(gòu)成，，這些安安全子系系統(tǒng)控制制著整個(gè)個(gè)WindowsNT/2000操作系統(tǒng)統(tǒng)，是與與操作系系統(tǒng)密不不可分的的。WindowsNT/2000安全模型型主要由由登錄過(guò)過(guò)程、本本地安全全認(rèn)證、、安全賬賬號(hào)管理理器和安安全參考考監(jiān)督器器構(gòu)成，，如圖4.4所示。圖4.4WindowsNT/2000的安全模模型1．登錄錄進(jìn)程（（LogonProcess）2．本地地安全認(rèn)認(rèn)證（LocalSecurityAuthority，，LSA）3．安全全賬號(hào)管管理器（（SecurityAccountManager，SAM）安全賬號(hào)號(hào)管理器器維護(hù)安安全賬號(hào)號(hào)管理數(shù)數(shù)據(jù)庫(kù)，，即SAM數(shù)據(jù)據(jù)庫(kù)。4．安全全參考監(jiān)監(jiān)視器（（SecurityReferenceMonitor，，SRM）安全參考考監(jiān)視器器運(yùn)行在在內(nèi)核模模式，它它負(fù)責(zé)訪訪問(wèn)控制制和審查查策略。。4.2.2WindowsNT/2000的登錄錄控制1．登錄錄過(guò)程WindowsNT/2000的的登錄控控制過(guò)程程比較繁繁瑣，但但每一步步對(duì)建立立一個(gè)安安全環(huán)境境和用戶(hù)戶(hù)能夠完完成有用用的工作作都是必必要的。。用戶(hù)本本地登錄錄與在域域范圍內(nèi)內(nèi)登錄到到WindowsNT/2000計(jì)算機(jī)的的步驟稍稍有不同同，其登登錄步驟驟分別如如下。圖4.5本地登錄錄過(guò)程（1）本地登登錄過(guò)程程（如圖4.5所示）①用戶(hù)戶(hù)按Ctrl+Alt+Del鍵，，引起硬硬件中斷斷，被系系統(tǒng)捕獲獲，這樣樣使操作作系統(tǒng)激激活WinLogon進(jìn)程。。②WinLogon進(jìn)程通通過(guò)調(diào)用用標(biāo)識(shí)與與鑒別DLL，，將登錄錄窗口（（賬號(hào)名名和口令令登錄提提示符））展示在在用戶(hù)面面前。③WinLogon進(jìn)程發(fā)發(fā)送賬號(hào)號(hào)名和加加密口令令到本地地安全認(rèn)認(rèn)證（LSA））。④如果用用戶(hù)具有有有效的用戶(hù)戶(hù)名和口令令，則本地地安全認(rèn)證證產(chǎn)生一個(gè)個(gè)訪問(wèn)令牌牌，包括用用戶(hù)賬號(hào)SID和用用戶(hù)工作組組SID。。訪問(wèn)令牌牌也將得到到用戶(hù)的特特權(quán)（LUID），，然后該訪訪問(wèn)令牌傳傳回WinLogon進(jìn)程。。⑤WinLogon進(jìn)程傳傳送訪問(wèn)令令牌到Win32模模塊，同時(shí)時(shí)發(fā)出一個(gè)個(gè)請(qǐng)求，以以便為用戶(hù)戶(hù)建立登錄錄進(jìn)程。⑥登錄進(jìn)進(jìn)程建立用用戶(hù)環(huán)境，，包括啟動(dòng)動(dòng)DesktopExplorer和顯示背背景等。（2）網(wǎng)絡(luò)絡(luò)登錄過(guò)程程（如圖4.6所示示）圖4.6網(wǎng)絡(luò)登錄WindowsNT/2000服務(wù)器的過(guò)過(guò)程①用戶(hù)將將用戶(hù)名和和口令輸入入到網(wǎng)絡(luò)客客戶(hù)機(jī)軟件件的登錄窗窗口。②該客戶(hù)戶(hù)機(jī)軟件打打開(kāi)NetBIOS，連接到到服務(wù)器的的NetLogon服務(wù)上，，該客戶(hù)機(jī)機(jī)軟件對(duì)口口令加密，，發(fā)送登錄錄證書(shū)到服服務(wù)器的WinLogon進(jìn)進(jìn)程。③服務(wù)器的WinLogon進(jìn)程發(fā)送賬賬號(hào)名和加加密口令到到本地安全全認(rèn)證。④如果用用戶(hù)具有有有效的用戶(hù)戶(hù)名和口令令，則本地地安全認(rèn)證證產(chǎn)生一個(gè)個(gè)訪問(wèn)令牌牌，包括用用戶(hù)賬號(hào)SID和用用戶(hù)工作組組SID。。⑤WinLogon進(jìn)程將訪問(wèn)問(wèn)令牌傳送送到WindowsNT/2000的Server服務(wù)，它將將訪問(wèn)令牌牌與被客戶(hù)戶(hù)機(jī)打開(kāi)的的NetBIOS連接聯(lián)系起起來(lái)。2．安全標(biāo)標(biāo)識(shí)符（SID）安全標(biāo)識(shí)符符是標(biāo)識(shí)一一個(gè)注冊(cè)用用戶(hù)的惟一一名字，它它可用來(lái)標(biāo)標(biāo)識(shí)一個(gè)用用戶(hù)或一組組用戶(hù)。安安全標(biāo)識(shí)符符是用于系系統(tǒng)內(nèi)部的的，在存取取令牌和訪訪問(wèn)控制表表（ALC）內(nèi)使用，，它用一長(zhǎng)長(zhǎng)串?dāng)?shù)字來(lái)來(lái)表示。4.2.3WindowsNT/2000的訪問(wèn)問(wèn)控制1．WindowsNT/2000訪問(wèn)控制制WindowsNT/2000的安安全性達(dá)到到了橘皮書(shū)書(shū)C2級(jí)，，實(shí)現(xiàn)了用用戶(hù)級(jí)自主主訪問(wèn)控制制，它的訪訪問(wèn)機(jī)制如如圖4.7所示。為了實(shí)現(xiàn)進(jìn)進(jìn)程間的安安全訪問(wèn)，，WindowsNT/2000中的對(duì)象采采用了安全全性描述符符（SecurityDescription）。安全性性描述符主主要由用戶(hù)戶(hù)SID(Owner)、工作組SID(Group)、訪問(wèn)控制制列表（DACL）和系統(tǒng)訪訪問(wèn)控制列列表（SACL）組成，安安全性描述述符的構(gòu)成成如圖4.8所示。圖4.8安全性描述述符的構(gòu)成成圖4.7WindowsNT的客體訪問(wèn)問(wèn)示意圖2．NTFS文件系系統(tǒng)NTFS主主要采用兩兩種措施對(duì)對(duì)文件系統(tǒng)統(tǒng)進(jìn)行安全全性保護(hù)：：一是對(duì)文文件和目錄錄的權(quán)限設(shè)設(shè)置，二是是對(duì)文件和和目錄進(jìn)行行加密。（1）文件件和目錄的的權(quán)限NTFS文文件系統(tǒng)上上的每個(gè)文文件和目錄錄在創(chuàng)建時(shí)時(shí)創(chuàng)建人就就被指定為為擁有者。。擁有者控控制著文件件或目錄權(quán)權(quán)限設(shè)置，，并能賦予予其他用戶(hù)戶(hù)的訪問(wèn)權(quán)權(quán)限。NTFS為為了保證文文件和目錄錄的安全性性和可靠性性，制定了了以下的權(quán)權(quán)限設(shè)置規(guī)規(guī)則。①只有用用戶(hù)在被賦賦予權(quán)限或或是屬于擁?yè)碛羞@種權(quán)權(quán)限的組，，才能對(duì)文文件或目錄錄進(jìn)行訪問(wèn)問(wèn)。②“拒絕絕訪問(wèn)”權(quán)權(quán)限優(yōu)先級(jí)級(jí)高于其他他所有權(quán)限限。③權(quán)限是是積累的。。④文件權(quán)權(quán)限始終優(yōu)優(yōu)先于目錄錄權(quán)限。⑤當(dāng)用戶(hù)戶(hù)在相應(yīng)權(quán)權(quán)限的目錄錄中創(chuàng)建新新的文件和和子目錄時(shí)時(shí)，創(chuàng)建的的文件和子子目錄繼承該目錄的權(quán)權(quán)限。⑥創(chuàng)建文文件和目錄錄的擁有者者，總是可可以隨時(shí)更更改對(duì)文件件或目錄的的權(quán)限設(shè)置置來(lái)控制其其他用戶(hù)對(duì)對(duì)該文件或或目錄的訪訪問(wèn)。（2）文件件內(nèi)容的加加密Windows2000增強(qiáng)了文件件系統(tǒng)的安安全性，采采用了加密密文件系統(tǒng)統(tǒng)（EncryptedFileSystem，EFS）技術(shù)。加加密文件系系統(tǒng)提供的的文件加密密技術(shù)可以以將加密的的NTFS文件存儲(chǔ)到到磁盤(pán)上。。4.2.4WindowsNT/2000的安全全管理1．用戶(hù)和和用戶(hù)組在WindowsNT/2000中，每個(gè)用用戶(hù)必須有有一個(gè)賬號(hào)號(hào)。用戶(hù)賬號(hào)是是系統(tǒng)安全全的核心，系統(tǒng)網(wǎng)絡(luò)絡(luò)中發(fā)生的的一切活動(dòng)動(dòng)都可以以以此賬號(hào)追追溯到特定定的授權(quán)用用戶(hù)。WindowsNT/2000還支持用戶(hù)戶(hù)組，通過(guò)過(guò)用戶(hù)組為為一組相關(guān)關(guān)的用戶(hù)同同時(shí)設(shè)定權(quán)權(quán)利和權(quán)限限。2．域和委委托在WindowsNT中，，有兩種類(lèi)類(lèi)型的網(wǎng)絡(luò)絡(luò)配置：工工作組和域域。工作組組是單獨(dú)的的系統(tǒng)，在在工作組中中系統(tǒng)各自自獨(dú)立管理理自己的用用戶(hù)賬號(hào)和和組賬號(hào)以以及它們的的安全賬號(hào)號(hào)管理數(shù)據(jù)據(jù)庫(kù)，不與與別的系統(tǒng)統(tǒng)共享這些些信息。工工作組適用用于小型網(wǎng)網(wǎng)絡(luò)環(huán)境。。域模型是是WindowsNT網(wǎng)絡(luò)絡(luò)系統(tǒng)的核核心，所有有WindowsNT的相相關(guān)內(nèi)容都都是圍繞著著域來(lái)組織織，而且大大部分WindowsNT的網(wǎng)絡(luò)都都基于域模模型。域是一些服務(wù)務(wù)器的集合，，這些服務(wù)器器被歸為一組組并共享同一一個(gè)安全策略略和用戶(hù)賬號(hào)號(hào)數(shù)據(jù)庫(kù)。域域的集中化用用戶(hù)賬號(hào)數(shù)據(jù)據(jù)庫(kù)和安全策策略使得系統(tǒng)統(tǒng)管理員可以以用一個(gè)簡(jiǎn)單單而有效的方方法維護(hù)整個(gè)個(gè)網(wǎng)絡(luò)的安全全。域由主域域服務(wù)器、備備份域服務(wù)器器、服務(wù)器和和工作站組成成。域是由主域控控制器或備份份域控制器來(lái)來(lái)控制的。每每一個(gè)域中只只能有一個(gè)主主域控制器，，而備份域控控制器可以有有一個(gè)或數(shù)個(gè)個(gè)。WindowsNT的域間可以建建立委托關(guān)系系。委托是一一種管理方法法，它將兩個(gè)個(gè)域連接在一一起，并允許許域中的用戶(hù)戶(hù)相互訪問(wèn)。。域之間的委托托關(guān)系可以有有兩種：?jiǎn)蜗蛳虻暮碗p向的的。3．活動(dòng)目錄錄（ActiveDirectory）活動(dòng)目錄是Windows2000的核心。它是是Windows2000網(wǎng)絡(luò)體系機(jī)構(gòu)構(gòu)必不可少、、不可分割的的重要組件。。它是在WindowsNT4.0操作系統(tǒng)的域域結(jié)構(gòu)基礎(chǔ)上上改進(jìn)而成，，并提供了一一套為分布式式網(wǎng)絡(luò)環(huán)境設(shè)設(shè)計(jì)的目錄服服務(wù)?；顒?dòng)目目錄包括兩個(gè)個(gè)方面：目錄錄和目錄相關(guān)關(guān)服務(wù)。（1）活動(dòng)目目錄的結(jié)構(gòu)活動(dòng)目錄允許許組織機(jī)構(gòu)按按照層次式的的，面向?qū)ο笙蟮姆绞酱鎯?chǔ)儲(chǔ)信息，并且且提供支持分分布式網(wǎng)絡(luò)環(huán)環(huán)境的多主復(fù)復(fù)制機(jī)制。①層次式組組織②面向?qū)ο笙蟠鎯?chǔ)③多主復(fù)制制①層次式組組織活動(dòng)目錄是由由對(duì)象、容器器、樹(shù)和森林林構(gòu)成的層次次結(jié)構(gòu)。它使使用對(duì)象來(lái)代代表諸如用戶(hù)戶(hù)、組、主機(jī)機(jī)、設(shè)備及應(yīng)應(yīng)用程序這樣樣的網(wǎng)絡(luò)資源源，并用容器器來(lái)代表組織織機(jī)構(gòu)或相關(guān)關(guān)對(duì)象的集合合。②面向?qū)ο笙蟠鎯?chǔ)活動(dòng)目錄用對(duì)對(duì)象的形式存存儲(chǔ)有關(guān)網(wǎng)絡(luò)絡(luò)元素的信息息。每個(gè)對(duì)象象可以設(shè)置屬屬性，這些屬屬性用來(lái)描述述對(duì)象的特殊殊特征。③多主復(fù)制制為了在分布式式環(huán)境中提供供高性能的、、可用和靈活活的服務(wù)，活活動(dòng)目錄使用用多主復(fù)制。。（2）活動(dòng)目目錄的安全性性服務(wù)Windows2000的安全性服務(wù)務(wù)和活動(dòng)目錄錄緊密結(jié)合。。活動(dòng)目錄存存儲(chǔ)了安全政政策的信息，，實(shí)施了基于于對(duì)象的安全全模型的訪問(wèn)問(wèn)控制機(jī)制。。在活動(dòng)目錄錄中的每個(gè)對(duì)對(duì)象都有一個(gè)個(gè)獨(dú)有的安全全性描述，定定義了瀏覽或或更新對(duì)象屬屬性所需要的的訪問(wèn)權(quán)限。。活動(dòng)目錄集集中進(jìn)行管理理并加強(qiáng)了與與組織機(jī)構(gòu)的的商業(yè)過(guò)程一一致的，且基基于角色的安安全性。4．安全審計(jì)計(jì)達(dá)到C2級(jí)的系統(tǒng)，其其安全性必須須要有安全審審計(jì)功能。WindowsNT/2000系統(tǒng)的審計(jì)消消息都被記錄錄在日志文件件中，它包含含3類(lèi)日志：系統(tǒng)統(tǒng)日志、應(yīng)用用日志和安全全日志。4.3UNIX/Linux的安全4.3.1UNIX用戶(hù)賬號(hào)與與口令安全UNIX操作作系統(tǒng)是一個(gè)個(gè)可供多個(gè)用用戶(hù)同時(shí)使用用的多用戶(hù)、、多任務(wù)、分分時(shí)操作系統(tǒng)統(tǒng)。1．UNIX登錄認(rèn)證機(jī)制制UNIX的用戶(hù)身份認(rèn)認(rèn)證采用賬號(hào)號(hào)/口令的方案。。用戶(hù)提供正正確的賬號(hào)和和口令后，系系統(tǒng)才能確認(rèn)認(rèn)他的合法身身份?？偟膩?lái)來(lái)說(shuō)，通過(guò)終終端登錄UNIX操作系統(tǒng)的過(guò)過(guò)程可描述如如下：（1）init進(jìn)程確保為每每個(gè)終端連接接（或虛擬終終端）運(yùn)行一一個(gè)getty程序；（2）getty監(jiān)聽(tīng)對(duì)應(yīng)的終終端并等待用用戶(hù)準(zhǔn)備登錄錄；（3）getty輸出一條歡迎迎信息（保存存在/etc/issue中），并提供供用戶(hù)輸入用用戶(hù)名，最后后運(yùn)行l(wèi)ogin程序；（4）login以用戶(hù)作為參參數(shù)，提示用用戶(hù)輸入口令令；（5）如果用戶(hù)名名和口令相匹匹配，則login程序?yàn)樵撚脩?hù)戶(hù)啟動(dòng)shell；否則，login程序退出，進(jìn)進(jìn)程終止；（6）init進(jìn)程注意到login進(jìn)程已終止，，則會(huì)再次為為該終端啟動(dòng)動(dòng)getty程序。2．UNIX的口令文件件UNIX口令令文件/etc/passwd是登登錄驗(yàn)證的關(guān)關(guān)鍵，這個(gè)文文件保存系統(tǒng)統(tǒng)中所有用戶(hù)戶(hù)及其相關(guān)信信息，所以口口令文件是UNIX安全全的關(guān)鍵文件件之一。這個(gè)個(gè)文件的擁有有者是超級(jí)用用戶(hù)（root），只有有他才有寫(xiě)的的權(quán)利，而一一般用戶(hù)只有有讀的權(quán)利。。3．UNIX操作系系統(tǒng)的的口令令安全全安全的的口令令應(yīng)遵遵循以以下的的規(guī)則則。（1）選擇擇長(zhǎng)的的口令令，口口令越越長(zhǎng)，，黑客客猜中中的概概率就就越低低。（2））口令令最好好是英英文字字母和和數(shù)字字的組組合。。（3）不要要使用用英語(yǔ)語(yǔ)單詞詞，因因?yàn)楹芎芏嗳巳讼矚g歡使用用英文文單詞詞作為為口令令，口口令字字典收收集了了大量量的口口令，，有意意義的的英語(yǔ)語(yǔ)單詞詞在口口令字字典出出現(xiàn)的的概率率比較較大。。（4）用戶(hù)戶(hù)若可可以訪訪問(wèn)多多個(gè)系系統(tǒng)，，則不不要使使用相相同的的口令令。（5）不要要使用用名字字作為為口令令，如如自己己的名名字，，家人人的名名字，，寵物物的名名字等等。（6））別選選擇記記不住住的口口令，，這樣樣會(huì)給給自己己帶來(lái)來(lái)麻煩煩，用用戶(hù)可可能會(huì)會(huì)把它它放在在什么么地方方，如如計(jì)算算機(jī)周周?chē)?、、記事事本上上或者者某個(gè)個(gè)文件件中，，這樣樣就會(huì)會(huì)引起起安全全問(wèn)題題，因因?yàn)橛糜脩?hù)不不能肯肯定這這些東東西不不會(huì)被被入侵侵者看看到，，一些些偶然然的失失誤很很可能能泄露露這些些機(jī)密密。（7）使用用UNIX安全程程序，，如passwd+和npasswd程序來(lái)來(lái)測(cè)試試口令令的安安全性性。4.3.2UNIX的文文件訪訪問(wèn)控控制UNIX操操作系系統(tǒng)的的資源源訪問(wèn)問(wèn)控制制是基于文文件的。1．文件件（或或目錄錄）訪訪問(wèn)控控制為了維維護(hù)系系統(tǒng)的的安全全性，，系統(tǒng)統(tǒng)中每每一個(gè)個(gè)文件件（或或目錄錄）都都具有有一定定的存存取權(quán)權(quán)限，，只有有具有有這種種存取取權(quán)限限的用用戶(hù)才才能存存取該該文件件。圖4.10給出出了了文文件件存存取取權(quán)權(quán)限限的的圖圖形形解解釋釋。。圖4.10文件存取取權(quán)限示示意圖存取權(quán)限限位共有有9bit位，分為為3組，用以以指出不不同類(lèi)型型的用戶(hù)戶(hù)對(duì)該文文件的訪訪問(wèn)權(quán)限限。權(quán)限有3種：r 允許許讀；w 允許許寫(xiě)；x 允許許執(zhí)行。。用戶(hù)有3種類(lèi)型：：owner該該文件的的屬主；；group在在該文件件所屬用用戶(hù)組中中的用戶(hù)戶(hù)，即同同組用戶(hù)戶(hù)；other除除以上二二者外的的其他用用戶(hù)。2．更改改權(quán)限用戶(hù)可以以使用chmod命令令更改文文件（或或目錄））的權(quán)限限，chmod命令以以新權(quán)限限和文件件名為參參數(shù)，格格式為：：chmod[-Rfh]存存取權(quán)權(quán)限文文件名chmod命令也有有其他方方式的參參數(shù)修改改權(quán)限，，在此不不再多講講，可參參考UNIX操作系統(tǒng)統(tǒng)的聯(lián)機(jī)機(jī)手冊(cè)。。3．特殊殊權(quán)限位位有時(shí)沒(méi)有有被授權(quán)權(quán)的用戶(hù)戶(hù)需要完完成某些些要求授授權(quán)的任任務(wù)。例例如passwd程序序，對(duì)于于普通用用戶(hù)，它它允許改改變自身身的口令令，但不不能擁有有直接訪訪問(wèn)/etc/passwd文件的的權(quán)力，，以防止止改變其其他用戶(hù)戶(hù)的口令令。為了了解決這這個(gè)問(wèn)題題，UNIX允允許對(duì)可可執(zhí)行的的目標(biāo)文文件（只只有可執(zhí)執(zhí)行文件件才有意意義）設(shè)設(shè)置SUID或或SGID。一個(gè)進(jìn)程程執(zhí)行時(shí)時(shí)就被賦賦予4個(gè)編號(hào)，，以標(biāo)識(shí)識(shí)該進(jìn)程程隸屬于于誰(shuí)，分分別為實(shí)實(shí)際和有有效的UID，實(shí)際和和有效的的GID。有效的的UID和GID用于系統(tǒng)統(tǒng)確定進(jìn)進(jìn)程對(duì)于于文件的的存取許許可。4.3.3UNIX安全全的管理理策略1．系統(tǒng)統(tǒng)管理員員的安全全管理（1）保保持系統(tǒng)統(tǒng)管理員員個(gè)人的的登錄安安全①不要要作為root或以自自己的登登錄賬戶(hù)戶(hù)運(yùn)行其其他用戶(hù)戶(hù)的程序序，首先先用su命令進(jìn)進(jìn)入用戶(hù)戶(hù)的賬戶(hù)戶(hù)。②絕不要把把當(dāng)前工工作目錄錄放在PATH路徑表的的前邊，，那樣會(huì)會(huì)吸引特特洛伊木木馬。③不要未未注銷(xiāo)賬賬戶(hù)就離離開(kāi)終端端，特別別是作為為root用戶(hù)戶(hù)時(shí)更不不能這樣樣。⑤不允允許root在在除控制制臺(tái)外的的任何終終端登錄錄（這是是login編編譯時(shí)的的選項(xiàng)）），如果果有l(wèi)ogin源碼，，就將登登錄名root改成別別的名字字，使破破壞者不不能在root登錄名名下猜測(cè)測(cè)各種可可能的口口令，從從而非法法進(jìn)入root的賬戶(hù)戶(hù)。⑥經(jīng)常常改變r(jià)oot的口令令。⑦確認(rèn)認(rèn)su命命令記下下的企圖圖運(yùn)行su的記記錄/usr/adm/sulog，該記記錄文件件的存取取權(quán)限是是600，并屬屬root所有有。⑧不要要讓系統(tǒng)統(tǒng)管理員員以外的的人作為為root登錄錄，哪怕怕是幾分分鐘，即即使有系系統(tǒng)管理理員在一一旁注視視著也不不行。（2）保保持整個(gè)個(gè)系統(tǒng)的的安全①保持持賬號(hào)安安全。②保持持口令安安全。③設(shè)置置口令時(shí)時(shí)效。④保持文件件系統(tǒng)安安全。⑤啟動(dòng)動(dòng)記賬系系統(tǒng)。⑥查出出不尋常常的系統(tǒng)統(tǒng)使用情情況，如如大量地地占用磁磁盤(pán)、大大量地使使用CPU時(shí)間間、大量量的進(jìn)程程、大量量地使用用su的的企圖、、大量無(wú)無(wú)效的登登錄、大大量的到到某一系系統(tǒng)的網(wǎng)網(wǎng)絡(luò)傳輸輸?shù)?。⑦修改改shell，，使其等等待了一一定時(shí)間間而無(wú)任任務(wù)時(shí)終終止運(yùn)行行。⑧修改改login，，使其打打印出用用戶(hù)登錄錄