[精选]操作系统安全性概述.pptx

《[精选]操作系统安全性概述.pptx》由会员分享，可在线阅读，更多相关《[精选]操作系统安全性概述.pptx（64页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第第4 4章章 操作系统的安全操作系统的安全4.1 4.1 操作系统安全性概述操作系统安全性概述4.2 Windows NT/20004.2 Windows NT/2000的安全的安全4.3 UNIX/Linux4.3 UNIX/Linux的安全的安全 4.1 4.1 操作系统安全性概述操作系统安全性概述4.1.1 操作系统安全的重要性操作系统安全的重要性 当当前前，对对操操作作系系统统安安全全构构成成威威胁胁的的问问题题主主要要有有以以下下4种。种。1计算机病毒计算机病毒2特洛伊木马特洛伊木马3隐蔽通道隐蔽通道 隐蔽通道可定义为系统中不受安全策略控制的、隐蔽通道可定义为系统中不受安全策略控制

2、的、违反安全策略的信息泄漏路径。它是允许进程以危害违反安全策略的信息泄漏路径。它是允许进程以危害系统安全策略的方式传输信息的通信信道。系统安全策略的方式传输信息的通信信道。4天窗天窗 天窗是嵌在操作系统里的一段非法代码，天窗是嵌在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而渗透者利用该代码提供的方法侵入操作系统而不受检查。天窗由专门的命令激活，一般不容不受检查。天窗由专门的命令激活，一般不容易发现。易发现。4.1.2 操作系统的安全效劳操作系统的安全效劳1用户管理的安全性用户管理的安全性 首首先先是是用用户户账账号号的的管管理理。通通常常对对用用户户账账号号进进行行分分组

3、组管管理理，并并且且这这种种分分组组管管理理应应该该是是针针对对安安全全性性问问题而考虑的分组。题而考虑的分组。其次是用户口令的加密机制。其次是用户口令的加密机制。最后是认证机制。身份认证机制必须是强有力最后是认证机制。身份认证机制必须是强有力的，即在用户登录时，与系统的交互过程必须有安的，即在用户登录时，与系统的交互过程必须有安全保护，不会被第三方干扰或截取。全保护，不会被第三方干扰或截取。账号账号/密码的认证方案普遍存在着安全的隐密码的认证方案普遍存在着安全的隐患和缺乏之处，具体有如下几种。患和缺乏之处，具体有如下几种。1认证过程的安全保护不够健壮，登录的步认证过程的安全保护不够健壮，登录

4、的步骤没有进行集成和封装，而是暴露在外，容易受骤没有进行集成和封装，而是暴露在外，容易受到恶意入侵者或系统内部特洛伊木马的干扰或者到恶意入侵者或系统内部特洛伊木马的干扰或者截取。截取。2密码的存放与访问没有严格的安全保护。密码的存放与访问没有严格的安全保护。3 3认证机制与访问控制机制不能很好地相互认证机制与访问控制机制不能很好地相互配合和衔接，使得通过认证的合法用户进行有意配合和衔接，使得通过认证的合法用户进行有意或无意的非法操作的时机大大增加。或无意的非法操作的时机大大增加。2 2访问控制访问控制访问控制系统一般包括以下几个实体。访问控制系统一般包括以下几个实体。主体主体SubjectSu

5、bject客体客体ObjectObject安全访问政策安全访问政策 访问控制常用的实现方法主要有以下几种。访问控制常用的实现方法主要有以下几种。1 1访问控制矩阵访问控制矩阵Access MatrixAccess Matrix 表表4.14.1是一个访问控制矩阵的例子，这个例子将是一个访问控制矩阵的例子，这个例子将在后面屡次用到。在后面屡次用到。表4.1访问控制矩阵File1File2File3JohnOwnRWRAliceROwnRWWBobRWR 访问控制矩阵中访问控制矩阵中存在着不少空项，存在着不少空项，为了减少系统开销为了减少系统开销与浪费，从主体与浪费，从主体行出发，形成一行出发，形

6、成一个链表，以表示某个链表，以表示某一行的信息，这就一行的信息，这就是访问能力表，如是访问能力表，如图图4.14.1所示。所示。2 2访问能力表访问能力表Access Capability ListAccess Capability List图4.1访问能力表图4.2访问控制表 3访问控制表访问控制表Access Control List 访访问问控控制制表表ACLACL是是目目前前采采用用最最多多的的一一种种方方式式，如图如图4.24.2所示。所示。4 4授权关系表授权关系表Authorization Relations ListAuthorization Relations List用用每

7、每一一行行或或称称每每一一个个元元组组表表示示主主体体和和客客体体的的一一个个权权限限关关系系，如如表表4.24.2所示。所示。主 体访 问 权 限客 体JohnOwnFile1JohnRFile1JohnWFile1JohnRFile3AliceRFile1AliceOwnFile2AliceRFile2AliceWFile2AliceWFile3BobRFile1BobWFile1BobWFile2表4.2授权关系表 在在访访问问控控制制策策略略方方面面，计计算算机机系系统统常常采采用用以以下下两两种策略。种策略。1自主访问控制自主访问控制Discretionary Access Cont

8、rol，DAC 自自主主访访问问控控制制是是一一种种最最为为普普遍遍的的访访问问控控制制手手段段，它它是是在在确确认认主主体体身身份份以以及及它它们们所所属属组组的的基基础础上上对对访访问问进进行行限限定定的的一一种种方方法法，其其基基本本思思想想是是：允允许许某某个个主主体体显显式式地地指指定定其其他他主主体体对对该该主主体体所所拥拥有有的的信信息息资资源源是是否否可以访问以及可执行的访问类型。可以访问以及可执行的访问类型。2强制访问控制强制访问控制Mandatory Access Control，MAC 强制访问控制是强制访问控制是“强加给访问主体的，即系统强加给访问主体的，即系统强制主体

9、服从访问控制政策，这种政策是强制性规定强制主体服从访问控制政策，这种政策是强制性规定的，用户或用户的程序不能加以修改。的，用户或用户的程序不能加以修改。4.1.3 操作系统安全性的设计原则与一般结构操作系统安全性的设计原则与一般结构1 1最小特权。最小特权。2 2机制的经济性。机制的经济性。3 3开放系统设计。开放系统设计。4 4完备的存取控制机制。完备的存取控制机制。5 5基于基于“允许的设计原则。允许的设计原则。6 6权限别离。权限别离。7 7防止信息流的潜在通道。防止信息流的潜在通道。8 8方便使用。方便使用。4.1.4 安全操作系统的开展状况安全操作系统的开展状况 KSOSKSOSKe

10、rnelized Kernelized Secure Secure Operating Operating SystemSystem是是 国国防防部部研研究究方方案案局局19771977年年发发起起的的一一个个安安全全操操作作系系统统研研制制工工程程，目目标标是是为为PDP-11/70PDP-11/70机机器器开开发发一一个可投放市场的安全操作系统，系统的要求如下：个可投放市场的安全操作系统，系统的要求如下：与贝尔实验室的与贝尔实验室的UNIXUNIX操作系统兼容；操作系统兼容；实现多级安全性和完整性；实现多级安全性和完整性；正确性可以被证明。正确性可以被证明。OSF/1 OSF/1是开放软件

11、基金会于是开放软件基金会于19901990年推出的一个安年推出的一个安全操作系统，被全操作系统，被 国家计算机安全中心国家计算机安全中心NCSCNCSC认可认可为符合为符合TCSECTCSEC的的B1B1级，其主要安全性表现如下：级，其主要安全性表现如下：系统标识；系统标识；口令管理；口令管理；强制存取控制和自主存取控制；强制存取控制和自主存取控制；审计。审计。UNIX SVR4.1ES UNIX SVR4.1ES是是UIUIUNIXUNIX国际组织于国际组织于19911991年年推出的一个安全操作系统，被推出的一个安全操作系统，被 国家计算机安全中心国家计算机安全中心NCSCNCSC认可为符

12、合认可为符合TCSECTCSEC的的B2B2级，除级，除OSF/1OSF/1外的安外的安全性主要表现如下：全性主要表现如下：更全面的存取控制；更全面的存取控制；更小的特权管理；更小的特权管理；可信通路；可信通路；隐蔽通道分析和处理。隐蔽通道分析和处理。1993 1993年，国防科技大学对基于年，国防科技大学对基于TCSECTCSEC标准和标准和UNIX System V 3.2UNIX System V 3.2版的安全操作系统版的安全操作系统SUNIXSUNIX的研的研究与开发进行了探讨，提出了一个面向最小特权究与开发进行了探讨，提出了一个面向最小特权原则的改进的原则的改进的BLPBLP模型和

13、一个病毒防御模型。模型和一个病毒防御模型。以以LinuxLinux为为代代表表的的自自由由软软件件在在中中国国的的广广泛泛流流行行对对中中国国安安全全操操作作系系统统的的研研究究与与开开发发具具有有积积极极的的推推动动作作用用。19991999年年，中中国国科科学学院院软软件件研研究究所所推推出出了了红红旗旗LinuxLinux中中文文操操作作系系统统发发行行版版本本，同同时时，开开展展了了基于基于LinuxLinux的安全操作系统的研究与开发工作。的安全操作系统的研究与开发工作。2000 2000年，我国的安全操作系统研究人员年，我国的安全操作系统研究人员相继推出了一批基于相继推出了一批基于

14、LinuxLinux的安全操作系统。的安全操作系统。中国科学院计算技术研究所研究开发了中国科学院计算技术研究所研究开发了LIDSLIDS安安全操作系统；南京大学开发了基于全操作系统；南京大学开发了基于LinuxLinux的安的安全操作系统全操作系统SoftOSSoftOS；中国科学院信息安全技术；中国科学院信息安全技术工程研究中心开发了基于工程研究中心开发了基于LinuxLinux的的SecLinuxSecLinux安安全操作系统；中国计算机软件与效劳总公司以全操作系统；中国计算机软件与效劳总公司以TCSECTCSEC标准的标准的B1B1安全等级为目标对安全等级为目标对LinuxLinux进行

15、了进行了改造，开发了改造，开发了COSIX Linux V2.0COSIX Linux V2.0的安全增强版的安全增强版本。本。4.2 Windows NT/20004.2 Windows NT/2000的安全的安全4.2.1 Windows NT/2000的安全模型的安全模型 Windows Windows NT/2000NT/2000具具有有模模块块化化的的设设计计结结构构。该该操操作作系系统统由由一一组组软软件件模模块块构构成成，称称为为执执行行程程序序效效劳劳，运运行行在在内内核核模模式式下下。在在内内核核模模式式之之上上的的是是用用户户模模式式，用用户户模模式式由由非非特特权权的的效

16、效劳劳组组成成，称称为为保保护护子子系系统统，它们的启动由用户来决定。它们的启动由用户来决定。Windows NT/2000的安全性依赖于的安全性依赖于Windows Windows NT/2000NT/2000的核心层，它们在每个层次提供一致的的核心层，它们在每个层次提供一致的安全模型。安全模型。Windows NT/2000Windows NT/2000的安全模型由几个的安全模型由几个关键的安全子系统构成，这些安全子系统控制关键的安全子系统构成，这些安全子系统控制着整个着整个Windows NT/2000Windows NT/2000操作系统，是与操作系操作系统，是与操作系统密不可分的。统

17、密不可分的。Windows NT/2000Windows NT/2000安全模型主要安全模型主要由登录过程、本地安全认证、安全账号管理器由登录过程、本地安全认证、安全账号管理器和安全参考监督器构成，如图和安全参考监督器构成，如图4.44.4所示。所示。图4.4WindowsNT/2000的安全模型 1登录进程登录进程Logon Process2本地安全认证本地安全认证Local Security Authority，LSA3安安全全账账号号管管理理器器Security Account Manager，SAM安安全全账账号号管管理理器器维维护护安安全全账账号号管管理理数数据据库库，即即SAM数数

18、据库。据库。4安安全全参参考考监监视视器器Security Reference Monitor，SRM安全参考监视器运行在内核模式，它负责访问控制和安全参考监视器运行在内核模式，它负责访问控制和审查策略。审查策略。4.2.2 Windows NT/2000的登录控制的登录控制1登录过程登录过程 Windows NT/2000的的登登录录控控制制过过程程比比较较繁繁琐琐，但但每每一一步步对对建建立立一一个个安安全全环环境境和和用用户户能能够够完完成成有有用用的的工工作作都都是是必必要要的的。用用户户本本地地登登录录与与在在域域范范围围内内登登录录到到Windows Windows NT/2000

19、NT/2000计计算算机机的的步步骤骤稍稍有有不不同同，其其登登录录步步骤分别如下。骤分别如下。图4.5本地登录过程1 1本地登录过程本地登录过程如图如图4.54.5所示所示 用户按用户按Ctrl+Alt+Del键，引起硬件中断，被系统键，引起硬件中断，被系统捕获，这样使操作系统激活捕获，这样使操作系统激活WinLogon进程。进程。WinLogon进程通过调用标识与鉴别进程通过调用标识与鉴别DLL，将登，将登录窗口账号名和口令登录提示符展示在用户面录窗口账号名和口令登录提示符展示在用户面前。前。WinLogon进程发送账号名和加密口令到本地安进程发送账号名和加密口令到本地安全认证全认证LSA

20、。如果用户具有有效的用户名和口令，则本地安如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号全认证产生一个访问令牌，包括用户账号SID和用和用户工作组户工作组SID。访问令牌也将得到用户的特权。访问令牌也将得到用户的特权LUID，然后该访问令牌传回，然后该访问令牌传回WinLogon进程。进程。WinLogon进程传送访问令牌到进程传送访问令牌到Win32模块，同模块，同时发出一个请求，以便为用户建立登录进程。时发出一个请求，以便为用户建立登录进程。登录进程建立用户环境，包括启动登录进程建立用户环境，包括启动Desktop Explorer和显示背景等。和显示背景等。

21、2网络登录过程如图网络登录过程如图4.6所示所示图4.6网络登录Windows NT/2000效劳器的过程 用户将用户名和口令输入到网络客户机软件的登用户将用户名和口令输入到网络客户机软件的登录窗口。录窗口。该客户机软件翻开该客户机软件翻开NetBIOS，连接到效劳器的，连接到效劳器的NetLogon效劳上，该客户机软件对口令加密，发送效劳上，该客户机软件对口令加密，发送登录证书到效劳器的登录证书到效劳器的WinLogon进程。进程。效劳器的效劳器的WinLogon进程发送账号名和加密口令进程发送账号名和加密口令到本地安全认证。到本地安全认证。如如果果用用户户具具有有有有效效的的用用户户名名和

22、和口口令令，则则本本地地安安全全认认证证产产生生一一个个访访问问令令牌牌，包包括括用用户户账账号号SID和和用用户户工作组工作组SID。WinLogon进程将访问令牌传送到进程将访问令牌传送到Windows NT/2000的的Server效劳，它将访问令牌与被客户机翻效劳，它将访问令牌与被客户机翻开的开的NetBIOS连接联系起来。连接联系起来。2安全标识符安全标识符SID 安全标识符是标识一个注册用户的惟一名安全标识符是标识一个注册用户的惟一名字，它可用来标识一个用户或一组用户。安全字，它可用来标识一个用户或一组用户。安全标识符是用于系统内部的，在存取令牌和访问标识符是用于系统内部的，在存取

23、令牌和访问控制表控制表ALC内使用，它用一长串数字来内使用，它用一长串数字来表示。表示。4.2.3 Windows NT/2000的访问控制的访问控制1Windows NT/2000访问控制访问控制 Windows NT/2000的的安安全全性性到到达达了了橘橘皮皮书书C2级级，实实现现了了用用户户级级自自主主访访问问控控制制，它它的的访访问问机机制制如图如图4.7所示。所示。为了实现进程间的安全访问，为了实现进程间的安全访问，Windows NT/2000中的对象采用了安全性描述符中的对象采用了安全性描述符Security Description。安全性描述符主要由用。安全性描述符主要由用户

24、户SIDOwner、工作组、工作组SIDGroup、访问、访问控制列表控制列表DACL和系统访问控制列表和系统访问控制列表SACL组成，安全性描述符的构成如图组成，安全性描述符的构成如图4.8所示。所示。图4.8安全性描述符的构成 图4.7WindowsNT的客体访问示意图2NTFS文件系统文件系统 NTFS主主要要采采用用两两种种措措施施对对文文件件系系统统进进行行安安全全性性保保护护：一一是是对对文文件件和和目目录录的的权权限限设设置置，二二是是对对文文件和目录进行加密。件和目录进行加密。1文件和目录的权限文件和目录的权限 NTFS文文件件系系统统上上的的每每个个文文件件和和目目录录在在创

25、创立立时时创创立立人人就就被被指指定定为为拥拥有有者者。拥拥有有者者控控制制着着文文件件或或目目录权限设置，并能赋予其他用户的访问权限。录权限设置，并能赋予其他用户的访问权限。NTFS为了保证文件和目录的安全性和可靠性，为了保证文件和目录的安全性和可靠性，制定了以下的权限设置规则。制定了以下的权限设置规则。只有用户在被赋予权限或是属于拥有这种权限的只有用户在被赋予权限或是属于拥有这种权限的组，才能对文件或目录进行访问。组，才能对文件或目录进行访问。“拒绝访问权限优先级高于其他所有权限。拒绝访问权限优先级高于其他所有权限。权限是积累的。权限是积累的。文件权限始终优先于目录权限。文件权限始终优先于

26、目录权限。当用户在相应权限的目录中创立新的文件和子目当用户在相应权限的目录中创立新的文件和子目录时，创立的文件和子目录继承该目录的权限。录时，创立的文件和子目录继承该目录的权限。创立文件和目录的拥有者，总是可以随时更改对创立文件和目录的拥有者，总是可以随时更改对文件或目录的权限设置来控制其他用户对该文件或文件或目录的权限设置来控制其他用户对该文件或目录的访问。目录的访问。2文件内容的加密文件内容的加密 Windows 2000增强了文件系统的安全性，采用增强了文件系统的安全性，采用了加密文件系统了加密文件系统Encrypted File System，EFS技技术。加密文件系统提供的文件加密技

27、术可以将加密术。加密文件系统提供的文件加密技术可以将加密的的NTFS文件存储到磁盘上。文件存储到磁盘上。4.2.4 Windows NT/2000的安全管理的安全管理1用户和用户组用户和用户组 在在Windows NT/2000中，每个用户必须有一个中，每个用户必须有一个账号。用户账号是系统安全的核心，系统网络中发账号。用户账号是系统安全的核心，系统网络中发生的一切活动都可以以此账号追溯到特定的授权用生的一切活动都可以以此账号追溯到特定的授权用户。户。Windows NT/2000还支持用户组，通过用户组为还支持用户组，通过用户组为一组相关的用户同时设定权利和权限。一组相关的用户同时设定权利和

28、权限。2域和委托域和委托 在在Windows NT中，有两种类型的网络配置：工作中，有两种类型的网络配置：工作组和域。工作组是单独的系统，在工作组中系统各自组和域。工作组是单独的系统，在工作组中系统各自独立管理自己的用户账号和组账号以及它们的安全账独立管理自己的用户账号和组账号以及它们的安全账号管理数据库，不与别的系统共享这些信息。工作组号管理数据库，不与别的系统共享这些信息。工作组适用于小型网络环境。域模型是适用于小型网络环境。域模型是Windows NT网络系统网络系统的核心，所有的核心，所有Windows NT的相关内容都是围绕着域来的相关内容都是围绕着域来组织，而且大局部组织，而且大局

29、部Windows NT的网络都基于域模型。的网络都基于域模型。域是一些效劳器的集合，这些效劳器被归为域是一些效劳器的集合，这些效劳器被归为一组并共享同一个安全策略和用户账号数据库。一组并共享同一个安全策略和用户账号数据库。域的集中化用户账号数据库和安全策略使得系统域的集中化用户账号数据库和安全策略使得系统管理员可以用一个简单而有效的方法维护整个网管理员可以用一个简单而有效的方法维护整个网络的安全。域由主域效劳器、备份域效劳器、效络的安全。域由主域效劳器、备份域效劳器、效劳器和工作站组成。劳器和工作站组成。域是由主域控制器或备份域控制器来控制的。域是由主域控制器或备份域控制器来控制的。每一个域中

30、只能有一个主域控制器，而备份域控每一个域中只能有一个主域控制器，而备份域控制器可以有一个或数个。制器可以有一个或数个。Windows NT的域间可以建立委托关系。委的域间可以建立委托关系。委托是一种管理方法，它将两个域连接在一起，并托是一种管理方法，它将两个域连接在一起，并允许域中的用户相互访问。允许域中的用户相互访问。域之间的委托关系可以有两种：单向的和双域之间的委托关系可以有两种：单向的和双向的。向的。3活动目录活动目录Active DirectoryActive Directory 活动目录是活动目录是Windows 2000Windows 2000的核心。它是的核心。它是Windows

31、 Windows 20002000网络体系机构必不可少、不可分割的重要组件。网络体系机构必不可少、不可分割的重要组件。它是在它是在Windows NT 4.0Windows NT 4.0操作系统的域结构基础上改操作系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目进而成，并提供了一套为分布式网络环境设计的目录效劳。活动目录包括两个方面：目录和目录相关录效劳。活动目录包括两个方面：目录和目录相关效劳。效劳。1活动目录的结构活动目录的结构 活动目录允许组织机构按照层次式的，面向对活动目录允许组织机构按照层次式的，面向对象的方式存储信息，并且提供支持分布式网络环境象的方式存储信息，并且

32、提供支持分布式网络环境的多主复制机制。的多主复制机制。层次式组织层次式组织 面向对象存储面向对象存储 多主复制多主复制 层次式组织层次式组织 活动目录是由对象、容器、树和森林构成的层次活动目录是由对象、容器、树和森林构成的层次结构。它使用对象来代表诸如用户、组、主机、设结构。它使用对象来代表诸如用户、组、主机、设备及应用程序这样的网络资源，并用容器来代表组备及应用程序这样的网络资源，并用容器来代表组织机构或相关对象的集合。织机构或相关对象的集合。面向对象存储面向对象存储 活动目录用对象的形式存储有关网络元素的活动目录用对象的形式存储有关网络元素的信息。每个对象可以设置属性，这些属性用来描信息。

33、每个对象可以设置属性，这些属性用来描述对象的特殊特征。述对象的特殊特征。多主复制多主复制 为了在分布式环境中提供高性能的、可用和为了在分布式环境中提供高性能的、可用和灵活的效劳，活动目录使用多主复制。灵活的效劳，活动目录使用多主复制。2活动目录的安全性效劳活动目录的安全性效劳 Windows 2000的安全性效劳和活动目录紧密结的安全性效劳和活动目录紧密结合。活动目录存储了安全政策的信息，实施了基于合。活动目录存储了安全政策的信息，实施了基于对象的安全模型的访问控制机制。在活动目录中的对象的安全模型的访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述，定义了浏览每个对象都有一个独有的

34、安全性描述，定义了浏览或更新对象属性所需要的访问权限。活动目录集中或更新对象属性所需要的访问权限。活动目录集中进行管理并加强了与组织机构的商业过程一致的，进行管理并加强了与组织机构的商业过程一致的，且基于角色的安全性。且基于角色的安全性。4安全审计安全审计 到达到达C2级的系统，其安全性必须要有安全级的系统，其安全性必须要有安全审计功能。审计功能。Windows NT/2000系统的审计消息都系统的审计消息都被记录在日志文件中，它包含被记录在日志文件中，它包含3类日志：系统日类日志：系统日志、应用日志和安全日志。志、应用日志和安全日志。4.3 UNIX/Linux4.3 UNIX/Linux的

35、安全的安全 4.3.1 UNIX用户账号与口令安全用户账号与口令安全 UNIX UNIX操作系统是一个可供多个用户同时使用的操作系统是一个可供多个用户同时使用的多用户、多任务、分时操作系统。多用户、多任务、分时操作系统。1 1UNIXUNIX登录认证机制登录认证机制 UNIXUNIX的的用用户户身身份份认认证证采采用用账账号号/口口令令的的方方案案。用用户户提提供供正正确确的的账账号号和和口口令令后后，系系统统才才能能确确认认他他的的合合法法身身份份。总总的的来来说说，通通过过终终端端登登录录UNIXUNIX操操作作系系统统的的过程可描述如下：过程可描述如下：1 1initinit进程确保为每

36、个终端连接或虚拟终进程确保为每个终端连接或虚拟终端运行一个端运行一个gettygetty程序；程序；2 2gettygetty监听对应的终端并等待用户准备登监听对应的终端并等待用户准备登录；录；3 3gettygetty输出一条欢送信息保存在输出一条欢送信息保存在/etc/issue/etc/issue中，并提供用户输入用户名，最中，并提供用户输入用户名，最后运行后运行loginlogin程序；程序；4 4loginlogin以用户作为参数，提示用户输入口以用户作为参数，提示用户输入口令；令；5 5如果用户名和口令相匹配，则如果用户名和口令相匹配，则loginlogin程序程序为该用户启动为该

37、用户启动shellshell；否则，；否则，loginlogin程序退出，程序退出，进程终止；进程终止；6 6initinit进程注意到进程注意到loginlogin进程已终止，则会进程已终止，则会再次为该终端启动再次为该终端启动gettygetty程序。程序。2UNIX的口令文件的口令文件 UNIX口令文件口令文件/etc/passwd是登录验证的关键，是登录验证的关键，这个文件保存系统中所有用户及其相关信息，所以这个文件保存系统中所有用户及其相关信息，所以口令文件是口令文件是UNIX安全的关键文件之一。这个文件的安全的关键文件之一。这个文件的拥有者是超级用户拥有者是超级用户root，只有他

38、才有写的权利，只有他才有写的权利，而一般用户只有读的权利。而一般用户只有读的权利。3 3UNIXUNIX操作系统的口令安全操作系统的口令安全安全的口令应遵循以下的规则。安全的口令应遵循以下的规则。1选择长的口令，口令越长，黑客猜中的概率就选择长的口令，口令越长，黑客猜中的概率就越低。越低。2口令最好是英文字母和数字的组合。口令最好是英文字母和数字的组合。3不要使用英语单词，因为很多人喜欢使用英文不要使用英语单词，因为很多人喜欢使用英文单词作为口令，口令字典收集了大量的口令，有意单词作为口令，口令字典收集了大量的口令，有意义的英语单词在口令字典出现的概率比较大。义的英语单词在口令字典出现的概率比

39、较大。4用户假设可以访问多个系统，则不要使用相同的用户假设可以访问多个系统，则不要使用相同的口令。口令。5不要使用名字作为口令，如自己的名字，家人不要使用名字作为口令，如自己的名字，家人的名字，宠物的名字等。的名字，宠物的名字等。6别别选选择择记记不不住住的的口口令令，这这样样会会给给自自己己带带来来麻麻烦烦，用用户户可可能能会会把把它它放放在在什什么么地地方方，如如计计算算机机周周围围、记记事事本本上上或或者者某某个个文文件件中中，这这样样就就会会引引起起安安全全问问题题，因因为为用用户户不不能能肯肯定定这这些些东东西西不不会会被被入入侵侵者者看看到到，一一些些偶偶然然的失误很可能泄露这些机

40、密。的失误很可能泄露这些机密。7使用使用UNIX安全程序，如安全程序，如passwd+和和npasswd程序程序来测试口令的安全性。来测试口令的安全性。4.3.2 UNIX的文件访问控制的文件访问控制UNIXUNIX操作系统的资源访问控制是基于文件的。操作系统的资源访问控制是基于文件的。1 1文件或目录访问控制文件或目录访问控制 为了维护系统的安全性，系统中每一个文件为了维护系统的安全性，系统中每一个文件或目录都具有一定的存取权限，只有具有这种存或目录都具有一定的存取权限，只有具有这种存取权限的用户才能存取该文件。取权限的用户才能存取该文件。图图4.104.10给出了文件存取权限的图形解释。给

41、出了文件存取权限的图形解释。图4.10文件存取权限示意图 存存取取权权限限位位共共有有9 9 bitbit位位，分分为为3 3组组，用用以以指指出出不不同类型的用户对该文件的访问权限。同类型的用户对该文件的访问权限。权限有权限有3 3种：种：r允许读；允许读；w允许写；允许写；x允许执行。允许执行。用户有用户有3 3种类型：种类型：owner该文件的属主；该文件的属主；group在该文件所属用户组中的用户，即同组用户；在该文件所属用户组中的用户，即同组用户；other 除以上二者外的其他用户。除以上二者外的其他用户。2更改权限更改权限 用户可以使用用户可以使用chmod命令更改文件或目录命令更

42、改文件或目录的权限，的权限，chmod命令以新权限和文件名为参数，格命令以新权限和文件名为参数，格式为：式为：chmod-Rfh存取权限存取权限文件名文件名 chmod命令也有其他方式的参数修改权限，在命令也有其他方式的参数修改权限，在此不再多讲，可参考此不再多讲，可参考UNIX操作系统的联机手册。操作系统的联机手册。3特殊权限位特殊权限位 有时没有被授权的用户需要完成某些要求授权有时没有被授权的用户需要完成某些要求授权的任务。例如的任务。例如passwd程序，对于普通用户，它允许程序，对于普通用户，它允许改变自身的口令，但不能拥有直接访问改变自身的口令，但不能拥有直接访问/etc/passw

43、d文件的权力，以防止改变其他用户的文件的权力，以防止改变其他用户的口令。为了解决这个问题，口令。为了解决这个问题，UNIX允许对可执行的允许对可执行的目标文件只有可执行文件才有意义设置目标文件只有可执行文件才有意义设置SUID或或SGID。一个进程执行时就被赋予一个进程执行时就被赋予4个编号，以标识该个编号，以标识该进程隶属于谁，分别为实际和有效的进程隶属于谁，分别为实际和有效的UID，实际和，实际和有效的有效的GID。有效的。有效的UID和和GID用于系统确定进程用于系统确定进程对于文件的存取许可。对于文件的存取许可。4.3.3 UNIX安全的管理策略安全的管理策略1系统管理员的安全管理1保

44、持系统管理员个人的登录安全保持系统管理员个人的登录安全 不不要要作作为为root或或以以自自己己的的登登录录账账户户运运行行其其他他用用户户的的程序，首先用程序，首先用su命令进入用户的账户。命令进入用户的账户。绝不要把当前工作目录放在绝不要把当前工作目录放在PATH路径表的前边，路径表的前边，那样会吸引特洛伊木马。那样会吸引特洛伊木马。不要未注销账户就离开终端，特别是作为不要未注销账户就离开终端，特别是作为rootroot用户用户时更不能这样。时更不能这样。不允许不允许root在除控制台外的任何终端登录这是在除控制台外的任何终端登录这是login编译时的选项，如果有编译时的选项，如果有log

45、in源码，就将登录名源码，就将登录名root改成别的名字，使破坏者不能在改成别的名字，使破坏者不能在root登录名下猜登录名下猜测各种可能的口令，从而非法进入测各种可能的口令，从而非法进入root的账户。的账户。经常改变经常改变root的口令。的口令。确认确认su命令记下的企图运行命令记下的企图运行su的记录的记录/usr/adm/sulog，该记录文件的存取权限是，该记录文件的存取权限是600，并，并属属root所有。所有。不要让系统管理员以外的人作为不要让系统管理员以外的人作为root登录，哪怕是登录，哪怕是几分钟，即使有系统管理员在一旁注视着也不行。几分钟，即使有系统管理员在一旁注视着也

46、不行。2保持整个系统的安全保持整个系统的安全 保持账号安全。保持账号安全。保持口令安全。保持口令安全。设置口令时效。设置口令时效。保持文件系统安全。保持文件系统安全。启动记账系统。启动记账系统。查查出出不不寻寻常常的的系系统统使使用用情情况况，如如大大量量地地占占用用磁磁盘盘、大大量量地地使使用用CPU时时间间、大大量量的的进进程程、大大量量地地使使用用su的的企企图图、大大量量无无效效的的登登录录、大大量量的的到到某某一一系系统统的网络传输等。的网络传输等。修改修改shell，使其等待了一定时间而无任务时终止，使其等待了一定时间而无任务时终止运行。运行。修改修改login，使其打印出用户登录

47、的最后时间，三，使其打印出用户登录的最后时间，三次无效登录后，将通信线挂起，以便系统管理员能次无效登录后，将通信线挂起，以便系统管理员能查出是否有人非法进入系统。查出是否有人非法进入系统。修改修改su，使得只有，使得只有root能通过能通过su进入某一户头。进入某一户头。当安装来源不可靠的软件时，要检查源码和当安装来源不可靠的软件时，要检查源码和makefile文件，查看特殊的子程序调用或命令。文件，查看特殊的子程序调用或命令。另外，为了系统的安全，还应该注意以下事项。另外，为了系统的安全，还应该注意以下事项。1即使是安装来源可靠的软件，也要检查是否有即使是安装来源可靠的软件，也要检查是否有S

48、UIDSGID程序，确认这些许可确实是必要的。程序，确认这些许可确实是必要的。如果可能，不要让这些程序具有系统如果可能，不要让这些程序具有系统ID或组的或组的SUIDSGID许可，而应该建立一个新用户供该软许可，而应该建立一个新用户供该软件运行。件运行。2如果系统在办公室中，门应上锁，将重要数据如果系统在办公室中，门应上锁，将重要数据保存在软盘上或磁带上，并锁起来。保存在软盘上或磁带上，并锁起来。3如果系统管理员认为系统已经泄密，则应当设如果系统管理员认为系统已经泄密，则应当设法查出肇事者。法查出肇事者。2用户的安全管理用户的安全管理1保证用户口令的安全。保证用户口令的安全。2防止用户自己的文

49、件和目录被非授权读写。防止用户自己的文件和目录被非授权读写。3防止运行特洛伊木马。防止运行特洛伊木马。4用用crypt命命令令加加密密不不愿愿让让任任何何用用户户包包括括超超级级用用户看到的文件。户看到的文件。5在在离离开开终终端端时时，确确保保用用Ctrl+D或或Exit命命令令退退出出系统。系统。4.3.4 UNIX网络效劳的安全管理网络效劳的安全管理1网络访问控制网络访问控制1关闭不必要的效劳关闭不必要的效劳/etc/services/etc/inetd.conf/etc/services 2有选择地允许主机建立连接有选择地允许主机建立连接/etc/hosts.allow/etc/hos

50、ts.deny4.3.5 UNIX的安全审计的安全审计 系统的安全审计就是对系统中有关安全的活动系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。进行记录、检查及审核。1连接时间日志连接时间日志 2进程统计日志进程统计日志 3错误日志错误日志 最常用的大多数版本的最常用的大多数版本的UNIX都具备的审计效劳都具备的审计效劳程序是程序是syslogd 复习题：复习题：1 1、对操作系统安全构成威胁的主要有哪几种？、对操作系统安全构成威胁的主要有哪几种？2 2、简述操作系统安全性设计的基本原则。、简述操作系统安全性设计的基本原则。3 3、简述、简述NTFSNTFS文件系统的安全性。文件