網(wǎng)絡(luò)攻擊與防護(hù) 課件 第1-3章 網(wǎng)絡(luò)攻防概述、Windows操作系統(tǒng)攻防技術(shù)、Linux操作系統(tǒng)攻防技術(shù)

網(wǎng)絡(luò)攻防概述前言2017年5月12日全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼WannaCry，該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。五個(gè)小時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)遭受大規(guī)模感染。企業(yè)、醫(yī)療、電力、能源、銀行、交通等多個(gè)行業(yè)均受到不同程度的影響，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。網(wǎng)絡(luò)攻擊又一次影響到全人類社會(huì)。網(wǎng)絡(luò)攻防網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防護(hù)網(wǎng)絡(luò)安全（cybersecurity）網(wǎng)絡(luò)安全（cybersecurity）是指通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。（定義來源：GB∕T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求）。網(wǎng)絡(luò)中的潛在威脅網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全的屬性完整性保密性可用性網(wǎng)絡(luò)攻防的發(fā)展趨勢(shì)入侵工具越來越復(fù)雜黑客利用安全漏洞的速度越來越快自動(dòng)化程度和入侵速度不斷提高攻擊門檻越來越低攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)生的破壞效果越來越大美軍發(fā)展網(wǎng)絡(luò)攻擊武器網(wǎng)絡(luò)攻防網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防護(hù)網(wǎng)絡(luò)攻擊（CyberAttacks）網(wǎng)絡(luò)攻擊（CyberAttacks，也稱賽博攻擊）是指針對(duì)計(jì)算機(jī)信息系統(tǒng)、基礎(chǔ)設(shè)施、計(jì)算機(jī)網(wǎng)絡(luò)或個(gè)人計(jì)算機(jī)設(shè)備的，任何類型的進(jìn)攻動(dòng)作。對(duì)于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)來說，破壞、揭露、修改、使軟件或服務(wù)失去功能、在沒有得到授權(quán)的情況下偷取或訪問任何一計(jì)算機(jī)的數(shù)據(jù)，都會(huì)被視為于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊。網(wǎng)絡(luò)攻擊路徑網(wǎng)絡(luò)攻擊流程信息收集漏洞掃描獲取權(quán)限／提權(quán)維持權(quán)限清除痕跡IP發(fā)現(xiàn)互聯(lián)網(wǎng)信息收集服務(wù)器信息收集人力資源情報(bào)收集網(wǎng)站關(guān)鍵信息收集端口掃描域名發(fā)現(xiàn)漏洞掃描掃描結(jié)果關(guān)聯(lián)分析手工驗(yàn)證確定攻擊路徑效果確認(rèn)漏洞測(cè)試自動(dòng)化測(cè)試手工方法測(cè)試漏洞研究對(duì)公開資源的研究私有環(huán)境下的研究獲取敏感信息初步分析橫向滲透權(quán)限提升權(quán)限維持攻擊途徑Web入侵系統(tǒng)入侵0day攻擊釣魚攻擊繞過防御機(jī)制使用代理清理日志清理工具網(wǎng)絡(luò)攻擊的類型主動(dòng)攻擊篡改消息偽造拒絕服務(wù)被動(dòng)攻擊流量分析竊聽網(wǎng)絡(luò)攻擊模型1、網(wǎng)絡(luò)殺傷鏈模型偵察跟蹤偵察跟蹤武器構(gòu)建載荷投遞漏洞利用安裝植入命令與控制目標(biāo)達(dá)成2、ATT&CK模型PRE-ATT&CKATT&CKforEnterpriseATT&CKforMobile網(wǎng)絡(luò)攻擊對(duì)象1、網(wǎng)絡(luò)設(shè)備各種防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)設(shè)備。2、主機(jī)操作系統(tǒng)WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI等操作系統(tǒng)。3、應(yīng)用系統(tǒng)Web、Ftp、Mail、DNS等等應(yīng)用系統(tǒng)。4、數(shù)據(jù)庫(kù)系統(tǒng)MS-SQL、ORACLE、MYSQL、SYBASE、DB2等數(shù)據(jù)庫(kù)。5、安全管理安全管理手段技術(shù)、制度、流程，人員的安全意識(shí)等。網(wǎng)絡(luò)入侵的主要攻擊方法網(wǎng)絡(luò)掃描 緩沖區(qū)溢出攻擊口令攻擊病毒木馬網(wǎng)絡(luò)蠕蟲拒絕服務(wù)網(wǎng)頁(yè)掛馬Web攻擊僵尸網(wǎng)絡(luò)攻擊APT攻擊網(wǎng)絡(luò)掃描常見網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)掃描：主要收集目標(biāo)主機(jī)的相關(guān)信息，主要包括端口、服務(wù)、漏洞等信息。掃描手段多樣，可借助工具也多種多樣。端口掃描：Nmap。漏洞掃描：awvs\appscan\openvas\nessus等。掃描過程與目的：掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開/關(guān)機(jī)）。識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽/關(guān)閉）。識(shí)別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本。根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點(diǎn)。口令攻擊常見網(wǎng)絡(luò)攻擊技術(shù)暴力破解手工方式：社會(huì)工程學(xué)、嘗試默認(rèn)口令。自動(dòng)猜測(cè)：工具：Hydra、John、LC等。嗅探竊聽網(wǎng)絡(luò)截獲、鍵盤監(jiān)聽。工具：Dsniff、SnifferPro、IKS等。拒絕服務(wù)攻擊常見網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)（DenialofService，簡(jiǎn)稱DoS）是一種簡(jiǎn)單的破壞性攻擊，通常是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無法處理合法用戶的正常請(qǐng)求，無法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。網(wǎng)絡(luò)緩沖區(qū)溢出常見網(wǎng)絡(luò)攻擊技術(shù)緩沖區(qū)溢出攻擊原理緩沖區(qū)溢出攻擊利用編寫不夠嚴(yán)謹(jǐn)?shù)某绦?，通過向程序的緩沖區(qū)寫入超過預(yù)定長(zhǎng)度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導(dǎo)致程序執(zhí)行流程的改變。

如果可精確控制?內(nèi)存跳轉(zhuǎn)地址就可以執(zhí)行指定代碼，獲得權(quán)限或破壞系統(tǒng)。尋找程序漏洞編制緩沖區(qū)溢出程序精確控制跳轉(zhuǎn)地址執(zhí)行設(shè)定的代碼獲得系統(tǒng)權(quán)限或破壞系統(tǒng)病毒木馬常見網(wǎng)絡(luò)攻擊技術(shù)病毒定義是指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)的，可以自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。病毒的分類普通病毒木馬病毒網(wǎng)絡(luò)蠕蟲木馬病毒常見網(wǎng)絡(luò)攻擊技術(shù)木馬病毒定義木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。木馬病毒的功能監(jiān)視用戶的操作。竊取用戶隱私。讓用戶主機(jī)執(zhí)行任意指令。你能做到的木馬都有可能做到。網(wǎng)絡(luò)蠕蟲常見網(wǎng)絡(luò)攻擊技術(shù)蠕蟲病毒蠕蟲病毒是一種常見的計(jì)算機(jī)病毒，是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。蠕蟲病毒危害獨(dú)立運(yùn)行，自動(dòng)掃描與入侵，借助互聯(lián)網(wǎng)可快速傳播形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來發(fā)動(dòng)任何攻擊。網(wǎng)頁(yè)掛馬概念常見網(wǎng)絡(luò)攻擊技術(shù)攻擊者通過在正常的Web頁(yè)面中插入掛馬鏈接，當(dāng)Web客戶端訪問該被掛馬的Web頁(yè)面時(shí)，這段代碼將被執(zhí)行，從木馬服務(wù)器下載木馬程序，木馬程序利用Web客戶端的本地漏洞，加載執(zhí)行，從而實(shí)現(xiàn)對(duì)Web客戶端的權(quán)限控制。web攻擊常見網(wǎng)絡(luò)攻擊技術(shù)Web攻擊主要包括對(duì)we系統(tǒng)的各類攻擊手段SQL注入。XSS跨站腳本。文件上傳。Webshell網(wǎng)頁(yè)后門?！┦W(wǎng)絡(luò)常見網(wǎng)絡(luò)攻擊技術(shù)僵尸網(wǎng)絡(luò)是指攻擊者通過傳播僵尸程序感染控制大量主機(jī)，由被感染主機(jī)所組成的網(wǎng)絡(luò)。根據(jù)命令與控制信道采用協(xié)議的不同，可分為基于IRC的僵尸網(wǎng)絡(luò)、基于P2P的僵尸網(wǎng)絡(luò)和基于HTTP的僵尸網(wǎng)絡(luò)。ATP攻擊常見網(wǎng)絡(luò)攻擊技術(shù)APT（AdvancedPersistentThreat）：高級(jí)可持續(xù)性攻擊APT是指高級(jí)的持續(xù)性的滲透攻擊，是針對(duì)特定組織的多方位的攻擊。APT不是一種新的攻擊手法，而是借助各類攻擊手段實(shí)現(xiàn)的對(duì)某一特定目標(biāo)持續(xù)的攻擊或間諜活動(dòng)。高級(jí)安全威脅（APT）攻擊特點(diǎn)攻擊技術(shù)進(jìn)化大量采用0day漏洞有計(jì)劃性的針對(duì)特定目標(biāo)采用未知的惡意代碼高隱秘性（通信流量加密）攻擊手段多樣魚叉水坑弱口令…社工網(wǎng)絡(luò)攻防網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防護(hù)企業(yè)網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)安全域的劃分網(wǎng)絡(luò)架構(gòu)劃分為1.網(wǎng)絡(luò)接入?yún)^(qū)2.內(nèi)網(wǎng)服務(wù)器區(qū)3.互聯(lián)網(wǎng)服務(wù)器區(qū)4.核心交換區(qū)5.互聯(lián)網(wǎng)接入?yún)^(qū)6.分子公司…常見網(wǎng)絡(luò)防護(hù)技術(shù)1、防火墻技術(shù)2、防病毒技術(shù)3、數(shù)據(jù)加密技術(shù)4、入侵檢測(cè)技術(shù)5、流量分析技術(shù)總結(jié)1、掌握網(wǎng)絡(luò)安全定義和屬性2、了解網(wǎng)絡(luò)攻擊技術(shù)手段和發(fā)展趨勢(shì)3、了解網(wǎng)絡(luò)基本架構(gòu)和主要區(qū)域劃分4、理解網(wǎng)絡(luò)攻擊的路徑5、了解網(wǎng)絡(luò)攻擊的主要手段6、了解網(wǎng)絡(luò)安全防護(hù)體系Windows操作系統(tǒng)攻防技術(shù)前言操作系統(tǒng)（operationsystem，簡(jiǎn)稱OS）是管理計(jì)算機(jī)硬件與軟件資源的計(jì)算機(jī)程序。在計(jì)算機(jī)中，操作系統(tǒng)是其最基本也是最為重要的基礎(chǔ)性系統(tǒng)軟件。從計(jì)算機(jī)用戶的角度來說，計(jì)算機(jī)操作系統(tǒng)體現(xiàn)為其提供的各項(xiàng)服務(wù)；從程序員的角度來說，其主要是指用戶登錄的界面或者接口；如果從設(shè)計(jì)人員的角度來說，就是指各式各樣模塊和單元之間的聯(lián)系。經(jīng)過幾十年以來的發(fā)展，計(jì)算機(jī)操作系統(tǒng)已經(jīng)成為既復(fù)雜而又龐大的計(jì)算機(jī)軟件系統(tǒng)之一。因此操作系統(tǒng)的安全問題不僅影響廣泛，而且威脅巨大。Windows操作系統(tǒng)概述Windows攻防技術(shù)ARP與DNS欺騙Windows安全配置Windows操作系統(tǒng)攻擊安全操作系統(tǒng)安全操作系統(tǒng)是指該系統(tǒng)能夠控制外部對(duì)系統(tǒng)信息的訪問，即只有經(jīng)過授權(quán)的用戶或進(jìn)程才能對(duì)信息資源進(jìn)行相應(yīng)的讀、寫、創(chuàng)建和刪除等操作，以保護(hù)合法用戶對(duì)授權(quán)資源的正常使用，防止非法入侵者對(duì)系統(tǒng)資源的侵占和破壞。Windows系統(tǒng)安全原理Windows的安全特性通過身份驗(yàn)證和授權(quán)這兩種相互聯(lián)系的機(jī)制，來控制對(duì)系統(tǒng)和網(wǎng)絡(luò)資源的訪問。Microsoft的安全就是基于以下的法則：用對(duì)象表現(xiàn)所有的資源只有Windows才能直接訪問這些對(duì)象對(duì)象能夠包含所有的數(shù)據(jù)和方法對(duì)象的訪問必須通過的安全子系統(tǒng)的第一次驗(yàn)證存在幾種單獨(dú)的對(duì)象，每一個(gè)對(duì)象的類型決定了這些對(duì)象能做些什么Windows系統(tǒng)安全元素主體主體是指提出訪問資源具體請(qǐng)求，是某一操作動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者，可能是某一用戶，也可以是用戶啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備等?？腕w客體是指被訪問資源的實(shí)體，所有可以被操作的信息、資源、對(duì)象都可以是客體?？腕w可以是信息、文件、記錄等集合體，也可以是網(wǎng)絡(luò)上硬件設(shè)施、無線通信中的終端。Windows身份認(rèn)證Windows身份認(rèn)證分為：交互式登錄過程和網(wǎng)絡(luò)身份驗(yàn)證。交互式登錄：要求用戶登錄到域賬戶或本地計(jì)算機(jī)賬戶網(wǎng)絡(luò)身份驗(yàn)證：則是向特定的網(wǎng)絡(luò)服務(wù)提供對(duì)身份的證明對(duì)于登錄到本地計(jì)算機(jī)賬戶而言，網(wǎng)絡(luò)身份驗(yàn)證是每次請(qǐng)求網(wǎng)絡(luò)服務(wù)時(shí)要重復(fù)手工完成。對(duì)于交互登錄到域的賬戶而言，單一登錄特性，請(qǐng)求網(wǎng)絡(luò)服務(wù)時(shí)會(huì)透明完成網(wǎng)絡(luò)身份驗(yàn)證。WinlogonWindows身份驗(yàn)證過程相關(guān)組件Winlogon負(fù)責(zé)管理登錄相關(guān)的安全性工作，處理用戶的登錄與注銷、鎖定與解鎖工作站等。還要向gina發(fā)送事件通知消息，并提供可供GINA調(diào)用的各種函數(shù)。此外，winlogon還必須保證其與安全相關(guān)的操作對(duì)其他進(jìn)程不可見，以免其他進(jìn)程獲取登錄密碼GINAWindows身份驗(yàn)證過程相關(guān)組件GINA登錄進(jìn)程的驗(yàn)證和身份驗(yàn)證都是GINA所提供的動(dòng)態(tài)鏈接庫(kù)（DLL）中實(shí)現(xiàn)的。它在系統(tǒng)引導(dǎo)的時(shí)候被Winlogon進(jìn)程所加載。為其提供能夠?qū)τ脩羯矸葸M(jìn)行識(shí)別和驗(yàn)證的函數(shù)，并將用戶的賬號(hào)和密碼反饋給Winlogon.exe。在登錄過程中，“歡迎屏幕”和“登錄對(duì)話框”就是GINA顯示的LSAWindows身份驗(yàn)證過程相關(guān)組件LSA-LocalSecurityAuthorityLSA-本地安全授權(quán)，Windows系統(tǒng)中一個(gè)相當(dāng)重要的服務(wù)，所有安全認(rèn)證相關(guān)的處理都要通過這個(gè)服務(wù)。它從Winlogon.exe中獲取用戶的賬號(hào)和密碼，然后經(jīng)過密鑰機(jī)制處理，并調(diào)用驗(yàn)證程序包，然后跟存儲(chǔ)賬號(hào)數(shù)據(jù)庫(kù)中的密鑰進(jìn)行對(duì)比驗(yàn)證，如果驗(yàn)證成功，就根據(jù)驗(yàn)證程序包返回的SID創(chuàng)建安全訪問令牌，并把令牌句柄和登錄信息返回給winlogonSAMWindows身份驗(yàn)證過程相關(guān)組件SAM-SecurityAccountManagerSAM-安全賬號(hào)管理器，是一個(gè)被保護(hù)的子系統(tǒng)，它通過存儲(chǔ)在計(jì)算機(jī)注冊(cè)表中的安全賬號(hào)來管理用戶和用戶組的信息。我們可以把SAM看成一個(gè)賬號(hào)數(shù)據(jù)庫(kù)。對(duì)于沒有加入到域的計(jì)算機(jī)來說，它存儲(chǔ)在本地，而對(duì)于加入到域的計(jì)算機(jī)，它存儲(chǔ)在域控制器上。KDCWindows身份驗(yàn)證過程相關(guān)組件KDC-KerberosKeyDistributionCenterKerberos密鑰發(fā)布中心：該服務(wù)主要同Kerberos認(rèn)證協(xié)議協(xié)同使用，用于在整個(gè)活動(dòng)目錄范圍內(nèi)對(duì)用戶的登錄進(jìn)行驗(yàn)證。如果你確保整個(gè)域中沒有WindowsNT計(jì)算機(jī)，可以只使用Kerberos協(xié)議，以確保最大的安全性。該服務(wù)要在ActiveDirectory服務(wù)啟動(dòng)后才能啟用。身份驗(yàn)證程序包身份驗(yàn)證程序包的任務(wù)驗(yàn)證用戶為用戶新建LSA登錄會(huì)話返回一組綁定到用戶安全令牌中的SID身份驗(yàn)證程序包位于某一動(dòng)態(tài)鏈接庫(kù)(DLL)中在系統(tǒng)啟動(dòng)期間被本地授權(quán)機(jī)構(gòu)LSA所鏈接接受輸入的登錄證書，通過驗(yàn)證程序決定是否允許用戶登錄Windows的身份驗(yàn)證程序包MSV1_0KerberosV5Windows認(rèn)證登錄過程WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加載GINA，監(jiān)視認(rèn)證順序加載認(rèn)證包支持額外的驗(yàn)證機(jī)制為認(rèn)證建立安全通道提供登陸接口提供真正的用戶校驗(yàn)管理用戶和用戶證書的數(shù)據(jù)庫(kù)交互式登錄到本地計(jì)算機(jī)用戶按下Ctrl+Alt+Del組合鍵Winlogon切換到winlogon桌面，并調(diào)用GINA來顯示登錄對(duì)話框，等待用戶輸入用戶名和口令當(dāng)輸入信息后，GINA將它傳送給LSA進(jìn)行驗(yàn)證LSA調(diào)用適當(dāng)?shù)尿?yàn)證程序包（MSV1_0）,并且將口令使用單向散列函數(shù)轉(zhuǎn)換成非可逆的密鑰形式，然后在SAM數(shù)據(jù)庫(kù)中找尋匹配的密鑰。若找到了賬戶信息，就像身份驗(yàn)證程序包返回用戶的SID和用戶所在組的SIDLSA使用這些SID創(chuàng)建安全訪問令牌，并把令牌句柄和登錄確認(rèn)信息返回給winlogon用戶進(jìn)入windows桌面交互式進(jìn)入域賬戶用戶按下Ctrl+Alt+Del組合鍵Winlogon切換到winlogon桌面，并調(diào)用GINA來顯示登錄對(duì)話框，等待用戶輸入用戶名和口令和域名稱當(dāng)用戶輸入了信息，并選擇正確的域后，GINA會(huì)將這些信息傳導(dǎo)LSA進(jìn)行驗(yàn)證當(dāng)LSA接收到用戶的登錄信息后，將口令使用單向散列函數(shù)轉(zhuǎn)換成非可逆的密鑰形式，然后將其存儲(chǔ)在以后還可以檢索到的證書緩存區(qū)中。LSA通過Kerberos驗(yàn)證程序包向KDC發(fā)送一個(gè)含有用戶身份信息和驗(yàn)證預(yù)處理數(shù)據(jù)的驗(yàn)證服務(wù)請(qǐng)求（用口令加密）KDC收到該驗(yàn)證服務(wù)請(qǐng)求之后，用自己的密鑰對(duì)其解密來驗(yàn)證用戶口令是否確實(shí)知道口令交互式進(jìn)入域賬戶一旦KDC證實(shí)了用戶的身份，就會(huì)為客戶返回一個(gè)登錄會(huì)話密鑰（用客戶口令加密），并向Kerberos驗(yàn)證程序包返回一個(gè)TGT（用KDC自己的密鑰加密）Kerberos驗(yàn)證程序包將登錄會(huì)話密鑰（自己的口令）解密，并將它同TGT（未解密）一起存儲(chǔ)到證書緩存中以備后用Kerberos驗(yàn)證程序包為本地計(jì)算機(jī)向KDC發(fā)送一個(gè)票據(jù)請(qǐng)求（TGT+請(qǐng)求服務(wù)ID），KDC則會(huì)用ST響應(yīng)LSA確定用戶是否為任何本地安全組的一部分，以及用戶在這臺(tái)計(jì)算機(jī)上是否擁有任何特權(quán)。據(jù)此而得到的SID與來自會(huì)話票據(jù)的SID一起被LSA用來創(chuàng)建會(huì)話令牌。該令牌句柄和登錄確認(rèn)信息返回到winlogon用戶進(jìn)入windows桌面Windows訪問控制Windows的安全特性通過身份驗(yàn)證和授權(quán)這兩種相互聯(lián)系的機(jī)制，來控制對(duì)系統(tǒng)和網(wǎng)絡(luò)資源的訪問訪問控制實(shí)現(xiàn)第二階段功能訪問控制的目的限制訪問主體對(duì)訪問客體的訪問權(quán)限Windows訪問控制元素安全標(biāo)識(shí)符SIDSID：綜合計(jì)算機(jī)名字、當(dāng)前時(shí)間、以及處理當(dāng)前用戶模式線程所花費(fèi)CPU的時(shí)間所建立起來的。一個(gè)SID：S-1-5-16349933112989372637-500。訪問令牌訪問令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構(gòu)成的。安全描述符安全描述符是由對(duì)象屬主的SID、組SID，靈活訪問控制列表以及系統(tǒng)訪問控制列表。訪問控制列表包括DACL和SACL，描述訪問控制列表（DACL）里記錄用戶和組以及它們的相關(guān)權(quán)限。系統(tǒng)訪問控制列表（SACL）包含為對(duì)象審計(jì)的事件。安全標(biāo)識(shí)符SIDWindows使用SID標(biāo)識(shí)安全主體和安全組SID在主體賬戶和安全組創(chuàng)建時(shí)生成SID的創(chuàng)建者和作用范圍依賴于賬戶類型本地賬戶域賬戶SID的格式S--R--X—(Y1-Y2…Yn-1)—YnS-1-5-21-956694634-2432979698-1393113172-500S:表示該字符串為一個(gè)SIDR：表示SID結(jié)構(gòu)的版本號(hào)X：表示標(biāo)識(shí)符頒發(fā)機(jī)構(gòu)Y1-Yn-1：表示子級(jí)頒發(fā)機(jī)構(gòu)（區(qū)分不同域中的SID）Yn：相對(duì)標(biāo)識(shí)符訪問令牌訪問令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構(gòu)成的，包含：用戶賬戶SID所屬組的SID針對(duì)計(jì)算機(jī)的特權(quán)Privileges所有者的SID持有用戶主安全組的SID默認(rèn)任意訪問控制列表源：導(dǎo)致訪問令牌被創(chuàng)建的進(jìn)程類型，主令牌還是模擬令牌模擬級(jí)別統(tǒng)計(jì)信息限制SID會(huì)話ID安全描述當(dāng)在授權(quán)用戶安全環(huán)境中執(zhí)行的線程創(chuàng)建對(duì)象時(shí)，安全描述就會(huì)被填入訪問控制信息訪問控制信息的來源：執(zhí)行線程直接把訪問控制信息分配給對(duì)象系統(tǒng)從對(duì)象中檢查可繼承的訪問控制信息，并將其分配給對(duì)象系統(tǒng)使用對(duì)象管理器所提供的默認(rèn)訪問控制信息，并將其分配給對(duì)象安全描述的內(nèi)容頭部版本號(hào)、控制標(biāo)志、自動(dòng)化傳播信息所有者SID屬組SIDDACL控制特定用戶和組對(duì)對(duì)象的訪問SACL審核特定用戶和組對(duì)對(duì)象的訪問頭部所有者SID組SIDSACLACEACE…DACLACEACEACE…訪問控制列表訪問控制列表（ACL）是訪問控制項(xiàng)（ACE）的有序列表ACL大小ACL修改版本ACE數(shù)目ACE1ACE…ACEn空DACL和無DACL空DACL在列表中沒有任何ace的存在，因此也就不允許任何用戶訪問無DACL指的是對(duì)于該對(duì)象沒有任何保護(hù)，發(fā)出請(qǐng)求的任何用戶都被允許訪問該對(duì)象訪問控制項(xiàng)類型一般訪問控制項(xiàng)存在于所有的安全對(duì)象中包括拒絕訪問、允許訪問和系統(tǒng)審核與對(duì)象有關(guān)的訪問控制項(xiàng)只存在于活動(dòng)目錄對(duì)象中對(duì)可以繼承自己的子對(duì)象類型提供了更大的控制粒度包括特殊對(duì)象的拒絕訪問、特殊對(duì)象的允許訪問和特殊對(duì)象的系統(tǒng)審核ACE結(jié)構(gòu)ACE大小分配的內(nèi)存字節(jié)數(shù)ACE類型允許、禁止或監(jiān)視訪問繼承和審計(jì)標(biāo)志訪問屏蔽碼32位，每一位對(duì)應(yīng)著該對(duì)象的訪問權(quán)限，可設(shè)置為打開或關(guān)閉SID標(biāo)志ACE大小ACE類型繼承和審計(jì)標(biāo)志訪問屏蔽碼SIDWindows安全元素特權(quán)特權(quán)是用戶在本地計(jì)算機(jī)上執(zhí)行與系統(tǒng)相關(guān)的操作（例如加載驅(qū)動(dòng)程序、更改時(shí)間或關(guān)閉系統(tǒng)）的權(quán)限。特權(quán)與訪問權(quán)不同，因?yàn)樘貦?quán)應(yīng)用于與系統(tǒng)（而不是對(duì)象）相關(guān)的任務(wù)和資源，并且特權(quán)由系統(tǒng)管理員（而不是操作系統(tǒng)）授予用戶或組。每個(gè)進(jìn)程的安全訪問令牌都包含一個(gè)授予該進(jìn)程的特權(quán)列表。特權(quán)必須在使用之前專門啟用。管理員使用Windows控制面板中的管理工具來啟用和審核特權(quán)的使用；也可以通過編程方式啟用特權(quán)。windows訪問控制機(jī)制所有者SID組SIDSACLACEACE…DACLACEACEACE…用戶SID組SID特權(quán)信息其他訪問信息對(duì)象的安全描述用戶令牌信息自由訪問控制列表系統(tǒng)訪問控制列表Windows操作系統(tǒng)概述Windows攻防技術(shù)ARP與DNS欺騙Windows安全配置Windows操作系統(tǒng)攻擊Windows用戶和組用戶本地用戶賬戶域用戶賬戶組用戶賬戶的集合，方便權(quán)限分配計(jì)算機(jī)賬戶的集合，方便資源訪問組類型安全組安全組可用來分配訪問資源的權(quán)限和執(zhí)行任務(wù)的權(quán)利安全組也可擁有分布組的所有功能通訊組當(dāng)組的唯一功能與安全性不相關(guān)時(shí)，就可以使用通訊組通訊組不能用來分配權(quán)限組作用域通用組（UniversalGroup）成員可以來自森林中的任何域可以訪問任何域中的資源全局組成員僅可來自本地域可以訪問任何域中的資源域本地組成員可以來自森林中的任何域僅可訪問本地域內(nèi)的資源本地組本地組是本地計(jì)算機(jī)上用戶賬戶的集合本地組不同于具有域本地作用域的活動(dòng)目錄組本地組權(quán)限只提供對(duì)本地組所在計(jì)算機(jī)上資源的訪問不能在域控制器上創(chuàng)建本地組內(nèi)置組AdministratorsBackupOperatorsGuestsPowerUsersReplicatorUsersAdministraotrs組安裝操作系統(tǒng)和組件（驅(qū)動(dòng)程序，系統(tǒng)服務(wù)）安裝ServicePack和Hotfix修補(bǔ)程序安裝windowsUpdate升級(jí)和修復(fù)操作系統(tǒng)配置機(jī)器范圍內(nèi)的重要的操作系統(tǒng)參數(shù)（密碼策略、訪問控制、審核策略、內(nèi)核模式驅(qū)動(dòng)程序配置等）獲取已經(jīng)不能訪問的文件的所有權(quán)管理安全措施和審核日志備份和還原系統(tǒng)RunAs服務(wù)runAs服務(wù)使得管理員可以使用標(biāo)準(zhǔn)的用戶賬戶登錄，并在必要時(shí)候可以調(diào)用具有更高權(quán)限的管理員控制臺(tái)來執(zhí)行管理任務(wù)。在管理工具（AdministrativeTool）應(yīng)用組件上右擊，然后從彈出的菜單中選擇“運(yùn)行為”在Dos命令符中輸入runas，并回車Users組不允許破壞操作系統(tǒng)的完整性和所安裝的應(yīng)用程序不能修改機(jī)器級(jí)的注冊(cè)設(shè)置、操作系統(tǒng)文件或程序文件不能安裝可以被其他用戶運(yùn)行的應(yīng)用程序不能訪問其他用戶的私有數(shù)據(jù)PowerUsers創(chuàng)建本地用戶和組修改自己創(chuàng)建的用戶和組創(chuàng)建和刪除非管理員文件共享創(chuàng)建、管理、刪除和共享本地打印機(jī)修改系統(tǒng)時(shí)間停止或啟動(dòng)非自動(dòng)啟動(dòng)的服務(wù)允許安裝無須修改系統(tǒng)服務(wù)的應(yīng)用程序windows組策略概述組策略（GroupPolicy）設(shè)置實(shí)現(xiàn)了關(guān)于特殊桌面或安全配置選項(xiàng)的決策組策略對(duì)象（GroupPolicyObject，GPO）是大量組策略設(shè)置的一個(gè)集合，即可以為一組計(jì)算機(jī)或用戶指定的設(shè)置通過組策略管理單元，可以創(chuàng)建計(jì)算機(jī)和用戶的配置組策略與活動(dòng)目錄的結(jié)合組策略與活動(dòng)目錄的聯(lián)合使用實(shí)現(xiàn)了策略的集中與分散管理，使用從小到大的各種規(guī)模組策略管理單元提供了管理組策略的集成工具，并提供了對(duì)“ActiveDirectory用戶和計(jì)算機(jī)”插件等其他MMC管理工具的擴(kuò)展組策略能夠從站點(diǎn)、域和組織單元繼承而來應(yīng)用組策略對(duì)象（把組策略對(duì)象鏈接到目標(biāo)上）的順序和級(jí)別決定了用戶或計(jì)算機(jī)實(shí)際能收到的組策略設(shè)置組策略能夠在站點(diǎn)、與、組織單位這些級(jí)別上被阻塞組策略還能夠以非覆蓋方式來進(jìn)行強(qiáng)制實(shí)施組策略的配置組策略管理單元的根節(jié)點(diǎn)第二層節(jié)點(diǎn)計(jì)算機(jī)配置：在計(jì)算機(jī)引導(dǎo)時(shí)加載用戶配置：在用戶登錄時(shí)加載第三層節(jié)點(diǎn)軟件設(shè)置Windows設(shè)置管理模板Windows設(shè)置包括有microsoft所提供的擴(kuò)展腳本：含有計(jì)算機(jī)特殊腳本的xinxi安全設(shè)置：含有登錄到計(jì)算機(jī)的所有用戶的安全設(shè)置目錄重定向：可以重定向MyDocuments、應(yīng)用數(shù)據(jù)、桌面及開始菜單等文件夾到網(wǎng)絡(luò)上一個(gè)可選的位置InternetExplorer遠(yuǎn)程安裝服務(wù)管理模板提供組策略用來生成用戶界面設(shè)置的文件這些文件由分層的目錄和子目錄組成，目錄定義了哪些選項(xiàng)將顯示在組策略中，以及顯示哪些可由組策略進(jìn)行修改的注冊(cè)表設(shè)置這些設(shè)置包括基于注冊(cè)表的可以控制有關(guān)桌面行為和外觀的注冊(cè)表設(shè)置的組策略配置，它們被寫入到注冊(cè)表數(shù)據(jù)庫(kù)中的Hkey_crrrent_user以及HKEY_local_machine部分組策略應(yīng)用順序最后面的組策略將覆蓋前面應(yīng)用的組策略本地組策略對(duì)象站點(diǎn)組策略對(duì)象域策略對(duì)象OU組策略對(duì)象最高級(jí)OU的GPO子級(jí)OU的GPO最低級(jí)OU的GPO組策略的繼承關(guān)系總的來說組策略具有繼承性子容器的設(shè)置優(yōu)于與從父容器繼承下來的設(shè)置具體來說父容器的某個(gè)策略設(shè)置未配置，子容器不繼承該設(shè)置父容器配置了某個(gè)策略，子容器將繼承該設(shè)置父容器和子容器都配置了某個(gè)策略，但策略兼容，那么子容器將繼承父容器設(shè)置，并與自身的設(shè)置合并父容器和子容器都配置了某個(gè)策略，但策略不兼容，那么子容器將不繼承父容器的設(shè)置特殊的應(yīng)用順序和繼承工作組成員只處理本地組策略對(duì)象“禁止替代”選項(xiàng)連接到站點(diǎn)、域或組織單元（不包含本地）的任何一個(gè)組策略對(duì)象都可以使用該選項(xiàng)，來防止隨后處理的組策略對(duì)象覆蓋該組策略對(duì)象中的所有策略設(shè)置如果有多個(gè)組策略對(duì)象設(shè)置為“禁止替代”時(shí)，那么就會(huì)優(yōu)先采用在活動(dòng)目錄層次結(jié)構(gòu)中處于更高層的那一個(gè)特殊的應(yīng)用順序和繼承“阻止策略繼承”在任何一個(gè)站點(diǎn)、域或組織單元上，組策略繼承都可以被選擇性的標(biāo)記為“組織策略繼承”，來禁止從父目錄容器繼承組策略但是，設(shè)置為“禁止替代”的組策略對(duì)象鏈接將始終都會(huì)被采用，而不能阻止“阻止策略繼承”設(shè)置直接應(yīng)用于站點(diǎn)、域或組織單位，而不應(yīng)用于組策略對(duì)象，也不應(yīng)用與組策略對(duì)象鏈接特殊的應(yīng)用順序和繼承Windows對(duì)用戶賬戶的安全管理使用了安全賬號(hào)管理器(SecurityAccountManager，簡(jiǎn)稱SAM)的機(jī)制，安全賬號(hào)管理器對(duì)賬號(hào)的管理是通過安全標(biāo)識(shí)進(jìn)行的，安全標(biāo)識(shí)在賬號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦賬號(hào)被刪除，安全標(biāo)識(shí)也同時(shí)被刪除。Windows的口令文件Windows對(duì)用戶賬戶的安全管理使用了安全賬號(hào)管理器(SecurityAccountManager，簡(jiǎn)稱SAM)的機(jī)制。SAM數(shù)據(jù)庫(kù)在磁盤上保存在%systemroot%system32\config\目錄下的sam文件中。SAM數(shù)據(jù)庫(kù)中包含所有組、帳戶的信息，包括密碼的HASH、帳戶的SID等。獲取SAM文件在對(duì)SAM破解之前，我們首先要獲取SAM文件，登陸Windows系統(tǒng)后SAM是被鎖死的，我們可以用以下方法獲取SAM文件：引導(dǎo)另一個(gè)操作系統(tǒng)：利用NTFSDOS的系統(tǒng)驅(qū)動(dòng)來獲得對(duì)NTFS硬盤的訪問權(quán)限，抓出SAM。獲取備份SAM：Windows會(huì)在%systemroot%\repair目錄中備份一個(gè)SAM文件，多數(shù)管理員都會(huì)忘記刪這些文件。Windows的口令缺陷WindowsNT對(duì)同一用戶口令采用兩套單向散列函數(shù)進(jìn)行運(yùn)算，即單向LM散列算法和單向NT散列算法，兩種算法的結(jié)果都保存在SAM文件中。單向LM散列函數(shù)對(duì)口令的處理上存在缺陷。Windows的口令缺陷LM對(duì)口令的處理首先，將用戶口令中的字母都轉(zhuǎn)換成大寫字母。如果口令不足14位，則以0補(bǔ)足；如果超過14位，則通過截尾變成14位。然后，將其平均分成兩組，每組7位，分別生成一個(gè)奇校驗(yàn)DES加密字。最后，利用一個(gè)固定值（已被破解出，以16進(jìn)制表示為0x4b47532140232425）分別加密這兩組DES加密字，將兩組結(jié)果連接起來形成一個(gè)散列函數(shù)值。如果一個(gè)用戶口令為空，則經(jīng)過這番運(yùn)算，得到的LM散列值為：AAD3B435B51404EEAAD3B435B51404EEWindows的口令缺陷考慮這樣一個(gè)口令：Af32mRbi9，這個(gè)口令包含了大寫字母、小寫字母和數(shù)字，并且無規(guī)律，可以認(rèn)為是符合安全要求的一個(gè)口令。但經(jīng)過LM的處理后，Af32mRbi9就變成AF32MRB和I900000兩部分，LM接下來將對(duì)這兩部分分別進(jìn)行加密處理。但這樣一來，對(duì)口令破解程序來說，難度和運(yùn)算時(shí)間就大大降低了，因?yàn)樗灰平鈨蓚€(gè)7字符的口令，而且不需要測(cè)試小寫字符情況。對(duì)Af32mRbi9這個(gè)口令而言，原有的9位口令分成了兩組，一組7位，一組2位，其窮舉法組合以數(shù)量級(jí)的形式減少了！問題的關(guān)鍵點(diǎn)就僅在第一組的7位字符上了。這對(duì)攻擊者來說，是再好不過的事情了。LC5本地暴力破解系統(tǒng)賬戶密碼演示LC5密碼破解工具Windows操作系統(tǒng)概述Windows攻防技術(shù)ARP與DNS欺騙Windows安全配置Windows操作系統(tǒng)攻擊Arp欺騙Arp協(xié)議工作過程Bb:bbCc:ccAa:aaWho’sIPisWho’sIPisMACBb:bbisIsee,IwillcacheARP欺騙實(shí)現(xiàn)Bb:bbCc:ccAa:aaMACcc:ccisIsee,IwillcacheMACdf:dfisIcouldn’tfindARP欺騙防御使用靜態(tài)ARP緩存IP與MAC地址綁定ARP防御工具DNS欺騙DNS協(xié)議工作過程??其他DNSIwillcacheIdon’tknow,Iwillaskother

?It’sinmycacheDNS欺騙實(shí)現(xiàn)?Idon’tknow,Iwillaskother?OtherDNSisIwillcache?It’sinmycacheisDNS欺騙防御安裝最新版本的DNS軟件關(guān)閉DNS服務(wù)遞歸功能限制域名服務(wù)器作出響應(yīng)的地址限制域名服務(wù)器作出響應(yīng)的遞歸請(qǐng)求地址限制發(fā)出請(qǐng)求的地址Windows操作系統(tǒng)概述Windows攻防技術(shù)ARP與DNS欺騙Windows安全配置Windows操作系統(tǒng)攻擊注冊(cè)表安全配置常見的安全配置項(xiàng)有：1.注冊(cè)表備份與還原2.禁用編輯注冊(cè)表3.禁用“MSDOS”方式4.檢查自啟動(dòng)程序5.清除各種歷史記紀(jì)錄6.關(guān)閉系統(tǒng)默認(rèn)共享賬戶策略安全配置配置密碼策略賬戶策略安全配置配置賬戶鎖定策略賬戶策略安全配置設(shè)置賬號(hào)會(huì)話屬性賬戶策略安全配置Guest賬戶屬性設(shè)置審核策略安全配置設(shè)置審核策略最小化安裝組件和程序查看本機(jī)開啟的服務(wù)端口安全防護(hù)配置設(shè)置Windows防火墻審核策略安全配置通過IP安全策略限制終端登錄方式審核策略安全配置設(shè)置屏幕保護(hù)Windows操作系統(tǒng)概述Windows攻防技術(shù)ARP與DNS欺騙Windows安全配置Windows操作系統(tǒng)攻擊利用注冊(cè)表與粘滯鍵漏洞建立后門注冊(cè)表設(shè)置映像劫持利用注冊(cè)表與粘滯鍵漏洞建立后門設(shè)置Sethc.exe鍵值利用注冊(cè)表與粘滯鍵漏洞建立后門設(shè)置Utilman.exe鍵值利用注冊(cè)表與粘滯鍵漏洞建立后門登錄框按5次〈Shift〉鍵觸發(fā)后門利用注冊(cè)表與粘滯鍵漏洞建立后門獲得system權(quán)限彩虹表破解SAM文件中密碼哈希值目前針對(duì)Windows口令破解的方法主要有兩種：設(shè)法導(dǎo)出SAM值，暴力破解Hash值。通過內(nèi)存快速讀取密碼。借助Mimikatz工具，讀取lsass.exe內(nèi)存中存儲(chǔ)的密碼。利用Mimikatz和Getpass讀取內(nèi)存中密碼1、利用Mimikatz工具讀取內(nèi)存中密碼利用Mimikatz和Getpass讀取內(nèi)存中密碼2、利用Getpass工具讀取內(nèi)存中密碼總結(jié)1、理解操作系統(tǒng)基本概念和安全機(jī)制2、掌握Windows操作系統(tǒng)基本攻擊方式3、理解Windows訪問控制模型4、掌握Windows安全配置實(shí)踐5、掌握Windows口令破解與防護(hù)6、理解ARP欺騙與NDS欺騙攻擊與防護(hù)Linux操作系統(tǒng)攻防技術(shù)Linux操作系統(tǒng)概述Linux安全配置Linux攻擊Linux基礎(chǔ)Linux是一個(gè)功能強(qiáng)大的操作系統(tǒng)，同時(shí)它是一個(gè)自由軟件，是免費(fèi)的、源代碼開放的，編制它的目的是建立不受任何商品化軟件版權(quán)制約的、全世界都能自由使用的UNIX兼容產(chǎn)品。各種使用Linux作為內(nèi)核的GNU操作系統(tǒng)正被廣泛地使用著；雖然這些系統(tǒng)通常被稱作為“Linux”，但是它們應(yīng)該更精確地被稱為GNU/Linux系統(tǒng)。Linux系統(tǒng)的特點(diǎn)開放性的系統(tǒng)多用戶多任務(wù)的系統(tǒng)具有出色的穩(wěn)定性和速度性能具有可靠的系統(tǒng)安全性提供了豐富的網(wǎng)絡(luò)功能標(biāo)準(zhǔn)兼容性和可移植性提供了良好的用戶界面Linux系統(tǒng)的組成Linux內(nèi)核：內(nèi)核（Kernel）是系統(tǒng)的心臟，實(shí)現(xiàn)操作系統(tǒng)的基本功能。LinuxShell：Shell是系統(tǒng)的用戶界面，提供了用戶與內(nèi)核進(jìn)行交互操作的一種接口。Linux應(yīng)用程序包括文本編輯器、編程語(yǔ)言、XWindow、辦公套件、Internet工具、數(shù)據(jù)庫(kù)等。Linux文件系統(tǒng)：文件系統(tǒng)是文件存放在磁盤等存儲(chǔ)設(shè)備上的組織方法。通常是按照目錄層次的方式進(jìn)行組織。系統(tǒng)以/為根目錄。Linux內(nèi)核Linux內(nèi)核項(xiàng)目主要作者：LinusTorvalds1994年3月，Linux1.0版發(fā)布官方網(wǎng)站：Linux內(nèi)核的標(biāo)志為企鵝Tux，取自芬蘭的吉祥物L(fēng)inux內(nèi)核實(shí)現(xiàn)了操作系統(tǒng)的基本功能硬件方面：控制硬件設(shè)備，內(nèi)存管理，硬件接口，基本I/O軟件方面：管理文件系統(tǒng)，為程序分配內(nèi)存和CPU時(shí)間等Linux發(fā)行版Linux發(fā)行版（Distribution）是以LinuxKernel為核心，搭配各種應(yīng)用程序和工具的軟件集合。Linux內(nèi)核＋各種自由軟件＝完整的操作系統(tǒng)發(fā)行版的名稱、版本由發(fā)行廠商決定包括廠商/社區(qū)提供的輔助安裝、軟件包管理等程序發(fā)行版可以自由選擇使用某個(gè)版本的Linux內(nèi)核相對(duì)于內(nèi)核版本，發(fā)行版的版本號(hào)隨發(fā)布者的不同而不同，與系統(tǒng)內(nèi)核的版本號(hào)是相對(duì)獨(dú)立的Linux操作系統(tǒng)概述Linux安全配置Linux攻擊Linux用戶Linux用戶名與用戶標(biāo)識(shí)符UID和GID用戶名和對(duì)應(yīng)用戶ID號(hào)碼組群名對(duì)應(yīng)組群ID號(hào)碼計(jì)算機(jī)識(shí)別用戶唯一標(biāo)識(shí)就是ID文件屬性中屬主與屬組，記錄UID和GID理解UID用戶登錄主機(jī)的驗(yàn)證過程1.先找尋/etc/passwd里面是否有你輸入的賬號(hào)如果沒有則跳出如果有：讀取賬號(hào)對(duì)應(yīng)UID與GID，同時(shí)，讀取賬戶家目錄與shell2.核對(duì)密碼表啦讀取/etc/shadow對(duì)應(yīng)的賬號(hào)與UID，核對(duì)密碼。3.如果一切都OK的話，就進(jìn)入Shell控管階段用戶的相關(guān)文件/etc/passwd 用戶賬號(hào)文件/etc/shadow 用戶密碼文件/etc/login.defs 用戶默認(rèn)屬性文件/etc/skel/ 用戶環(huán)境目錄/etc/passwd文件vim/etc/passwd字段1：用戶名字段2：密碼占位符字段3：uid字段4：gid字段5：用戶信息說明字段6：家目錄字段7：登錄shell一般/sbin/nologin代表用戶不能登錄UID數(shù)字含義0：UID是0時(shí)，代表這個(gè)賬號(hào)是『系統(tǒng)管理員』。其他賬號(hào)更改UID為0，將成為管理員。1~999：保留給系統(tǒng)實(shí)用，一般非登錄的服務(wù)賬號(hào)實(shí)用1000~60000：可登錄賬號(hào)，給一般使用者用。UID最大支持?jǐn)?shù)量4294967295(2^32-1)UID/etc/login.defs文件MAIL_DIR 郵件存放目錄PASS_MAX_DAYS密碼有效期最長(zhǎng)時(shí)間PASS_MIN_DAYS密碼有效期最短時(shí)間PASS_MIN_LEN密碼最小長(zhǎng)度PASS_WARN_AGE密碼到期提示時(shí)間UID_MINUID最小值UID_MAXUID最大值GID_MINGID最小值GID_MAXGID最大值CREATE_HOME是否創(chuàng)建家目錄UMASKUMASK值USERGROUPS_ENAB當(dāng)刪除用戶后，同名組中不在存在用戶的時(shí)候，是否刪除該組/etc/skel目錄存放用戶啟動(dòng)文件的目錄，類似與windows的用戶配置文件目錄，為用戶提供用戶環(huán)境，該目錄下的文件全部為隱藏文件。在添加用戶時(shí)會(huì)從該目錄下復(fù)制文件到用戶的家目錄下，相當(dāng)與統(tǒng)一的登陸模板。類似于windows的用戶配置文件模板目錄

C:\DocumentsandSettings\AllUsersLinux文件權(quán)限Linux用戶角色UGO概念User文件擁有者Group文件所屬組Other其他人Linux下文件屬性文件屬性包含文件類型、權(quán)限、擁有者、屬組、文件大小、修改時(shí)間等[root@linux~]#ls–l//查看文件屬性文件類型與權(quán)限第一位表示文件類型，第2位到10位代表文件權(quán)限文件屬性-文件類型第一個(gè)屬性代表這個(gè)文件的類型當(dāng)為[d]則是目錄當(dāng)為[-]則是文件若是[l]則表示為連結(jié)檔(linkfile)；若是[b]則表示為裝置文件里面的可供儲(chǔ)存的接口設(shè)備；若是[c]則表示為裝置文件里面的串行端口設(shè)備，例如鍵盤、鼠標(biāo)。文件屬性-權(quán)限文件的屬性中，三個(gè)為一組，且均為『rwx』的三個(gè)參數(shù)的組合。[r]代表可讀(read)[w]代表可寫(write)[x]代表可執(zhí)行(excute)第一組為『擁有人的權(quán)限』第二組為『同群組的權(quán)限』第三組為『其它非本群組的權(quán)限』文件屬性-Inode連接數(shù)[root@localhost~]#ls–l-rw-------1rootroot116412-1917:13anaconda-ks.cfgLinux系統(tǒng)中將文件的屬性存儲(chǔ)在文件系統(tǒng)中的i-node中每個(gè)文件都與至少一個(gè)i-node節(jié)點(diǎn)連接第二欄表示有多少文件名連結(jié)到此節(jié)點(diǎn)(i-node)文件屬性-其他屬性[root@localhost~]#ls–l-rw-------1rootroot116412-1917:13anaconda-ks.cfg第三欄表示這個(gè)文件(或目彔)的『擁有者賬號(hào)』第四欄表示這個(gè)文件的所屬群組第五欄為這個(gè)文件的容量大小，默認(rèn)單位為bytes第六欄為這個(gè)文件的創(chuàng)建日期或者是最近的修改日期七欄為這個(gè)文件的文件名文件屬性與權(quán)限的修改命令：chgrp：改變文件所屬群組chown：改變文件擁有者chmod：改變文件的權(quán)限chgrp更改文件屬組權(quán)限要求：只有root權(quán)限才能改變文件的所有者只有root權(quán)限或所有者才能改變文件的組群命令格式：chown更改文件屬主權(quán)限要求：只有root權(quán)限才能改變文件的所有者只有root權(quán)限或所有者才能改變文件的組群命令格式：#Chowndongye:dongye1.txt可同時(shí)更改屬主與屬組chmod更改文件或目錄權(quán)限Chmod命令格式與參數(shù)：權(quán)限更改方法：符號(hào)法數(shù)字法更改權(quán)限-符號(hào)法u、g、o：分別代表用戶、屬組、和其它用戶+或-：代表授予或拒絕r、w、x：分別代表讀取、寫入、和執(zhí)行更改權(quán)限－數(shù)字式方法使用三個(gè)數(shù)字模式第一個(gè)數(shù)字代表所屬用戶的權(quán)限第一個(gè)數(shù)字代表組群權(quán)限第三個(gè)數(shù)字代表其它用戶的權(quán)限通過把以下數(shù)值相加起來來計(jì)算權(quán)限：4（代表讀?。?、2（代表寫入）、1（代表執(zhí)行）通過數(shù)字加權(quán)代表權(quán)限，例如7，代表rwx，6代表rw-，5代表r-xLinux特殊權(quán)限umask與默認(rèn)權(quán)限文件隱藏屬性意義與作用suid、sgid意義與設(shè)置sbit意義與設(shè)置文件預(yù)設(shè)權(quán)限：umask值umask：指定建立文件或目錄時(shí)預(yù)設(shè)的權(quán)限掩碼用法1：umask 查看系統(tǒng)當(dāng)前的權(quán)限掩碼值用法2：umask數(shù)值 設(shè)定系統(tǒng)的權(quán)限掩碼新創(chuàng)建文件或目錄權(quán)限與umaskLinux新建文件默認(rèn)權(quán)限為：-rw-rw-rw-（666）Linux新建目錄默認(rèn)權(quán)限為：drwxrwxrwx（777）新建文件或目錄權(quán)限=文件或目錄默認(rèn)權(quán)限-umask例如：新建文件權(quán)限：666-002=664即rw-rw-r--例如：新建目錄權(quán)限：777-002=775即rwxrwxr-x文件的隱藏屬性文件隱藏屬性9個(gè)：ASacdistua和i最常用隱藏屬性受文件系統(tǒng)影響：Ext2/Ext3/Ext4完全生效，xfs部分屬性支持AadiS。Chattr支持a:當(dāng)設(shè)定a之后，這個(gè)文件將只能增加數(shù)據(jù)，而不能刪除也不能修改數(shù)據(jù)，只有root才能設(shè)定這屬性。logi:他可以讓一個(gè)文件『不能被刪除、改名、設(shè)定連結(jié)也無法寫入或新增數(shù)據(jù)！』對(duì)于系統(tǒng)安全性有相當(dāng)大的幫助！只有root能設(shè)定此屬性Lsattr顯示隱藏屬性Lsattr顯示文件隱藏屬性Linux系統(tǒng)日志Linux系統(tǒng)日志與配置Linux系統(tǒng)日志安全分析Linux常見日志文件日志目錄:/var/log/*常見日志文件secure：安全相關(guān),主要是用戶認(rèn)證,如登錄、創(chuàng)建和刪除賬號(hào)、sudo等audit/audit.log：審計(jì)日志。跟用戶賬號(hào)相關(guān)messages：記錄系統(tǒng)和軟件的絕大多數(shù)消息。如服務(wù)啟動(dòng)、停止、服務(wù)錯(cuò)誤等。boot.log：系統(tǒng)啟動(dòng)日志。能看到啟動(dòng)流程。cron：計(jì)劃任務(wù)日志。會(huì)記錄crontab計(jì)劃任務(wù)的創(chuàng)建、執(zhí)行信息。dmesg：硬件設(shè)備信息(device)。純文本,也可以用dmesg命令查看。yum.log：yum軟件的日志。記錄yum安裝、卸載軟件的記錄。lastlog：系統(tǒng)上面所有的賬號(hào)最近一次登入系統(tǒng)時(shí)的相關(guān)信息。用lastlog查看(二進(jìn)制日志文件)btmp：登錄失敗的信息(bad)。用lastb查(二進(jìn)制日志文件)wtmp：正確登錄的所有用戶命令