操作系統(tǒng)安全.doc

操作系統(tǒng)安全第一章 安全法則概述：基本概念 NT的安全性 UNIX的安全性一、基本概念： 1、安全級(jí)別： 低安全性：在一個(gè)安全的位置，沒(méi)有保存 掃描病毒 敏感信息 中等安全性：保存公眾數(shù)據(jù)，需要被多人使 設(shè)置權(quán)限，激活審核，實(shí)現(xiàn)賬號(hào)策略用 高安全性：位于高風(fēng)險(xiǎn)的位置，保存有敏感 最小化操作系統(tǒng)的功能，最大化安全機(jī)制信息 2、安全機(jī)制： 具體的安全機(jī)制： 環(huán)繞機(jī)制：在進(jìn)程或系統(tǒng)之間加密數(shù)據(jù) 簽名機(jī)制：抗抵賴性和抗修改性 填充機(jī)制：增加數(shù)據(jù)捕獲的難度 訪問(wèn)控制機(jī)制：確保授權(quán)的合法性 數(shù)據(jù)統(tǒng)一性機(jī)制：確保數(shù)據(jù)的順序發(fā)送 廣泛的安全性機(jī)制： 安全標(biāo)記：通過(guò)指出數(shù)據(jù)的安全性級(jí)別來(lái)限制對(duì)數(shù)據(jù)的訪問(wèn) 信任機(jī)制：提供了敏感信息的傳輸途徑 審核：提供了監(jiān)控措施 安全恢復(fù)：當(dāng)出現(xiàn)安全性事件的時(shí)候采取的一組規(guī)則 3、安全管理： 系統(tǒng)安全管理：管理計(jì)算機(jī)環(huán)境的安全性，包括定義策略，選擇安全性機(jī)制，負(fù)責(zé)審核和恢復(fù)進(jìn)程 安全服務(wù)管理： 安全機(jī)制管理：實(shí)現(xiàn)具體的安全技術(shù)二、NT的安全性：當(dāng)一個(gè)系統(tǒng)剛安裝好的時(shí)候，處于一個(gè)最不安全的環(huán)境 1、NT的安全性組件： 隨機(jī)訪問(wèn)控制：允許對(duì)象的所有人制定別人的訪問(wèn)權(quán)限 對(duì)象的重復(fù)使用： 強(qiáng)制登陸： 審核： 通過(guò)對(duì)象來(lái)控制對(duì)資源的訪問(wèn) 對(duì)象：將資源和相應(yīng)的訪問(wèn)控制機(jī)制封裝在一起，稱之為對(duì)象，系統(tǒng)通過(guò)調(diào)用對(duì)象來(lái)提供應(yīng)用對(duì)資源的訪問(wèn)，禁止對(duì)資源進(jìn)行直接讀取 包括：文件（夾），打印機(jī)，I/O設(shè)備，視窗，線程，進(jìn)程，內(nèi)存安全組件： 安全標(biāo)識(shí)符：SID，可變長(zhǎng)度的號(hào)碼，用于在系統(tǒng)中唯一標(biāo)示對(duì)象，在對(duì)象創(chuàng)建時(shí)由系統(tǒng)分配，包括域的SID和RID。創(chuàng)建時(shí)根據(jù)計(jì)算機(jī)明、系統(tǒng)時(shí)間、進(jìn)程所消耗CPU的時(shí)間進(jìn)行創(chuàng)建。 S-1-5-500AdministratorA user account for the system administrator. This account is the first account created during operating system installation. The account cannot be deleted or locked out. It is a member of the Administrators group and cannot be removed from that group. S-1-5-501GuestA user account for people who do not have individual accounts. This user account does not require a password. By default, the Guest account is disabled.S-1-5-32-544AdministratorsA built-in group. After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group. The Administrators group has built-in capabilties that give its members full control over the system. The group is the default owner of any object that is created by a member of the group.S-1-5-32-545UsersA built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer. Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer. Users can install applications that only they are allowed to use if the installation program of the application supports per-user installation.實(shí)驗(yàn)：察看用戶的SID訪問(wèn)控制令牌：包含創(chuàng)建：僅在用戶登錄的時(shí)候，刷新作用：訪問(wèn)資源的憑證安全描述符：每一個(gè)對(duì)象都具有，包括對(duì)象的SID，組的SID，隨機(jī)訪問(wèn)控制列表和系統(tǒng)訪問(wèn)控制列表訪問(wèn)控制列表：進(jìn)行訪問(wèn)控制和審核的方式，由一系列ACE構(gòu)成DACL：控制資源的訪問(wèn)類型和深度SACL：控制對(duì)資源的審核ACL ACE：表示一個(gè)用戶對(duì)此資源的訪問(wèn)權(quán)限，拒絕優(yōu)先于允許訪問(wèn)過(guò)程：安全子系統(tǒng)：Figure 6.1 Windows NT Security Components重要組件：LSASAM：存儲(chǔ)用戶密碼Netlogon：在驗(yàn)證的雙方之間建立安全通道三、UNIX安全性：1、病毒攻擊：2、緩存區(qū)溢出： crond, wu-ftp, sendmail3、/etc/passwd和/etc/shadow文件的安全4、non-root user access to sensitive commands: poweroff, reboot, haltPluggable authentication modules: PAMs, create additional authentication parameters without affecting existing authentication systemsPAM directory: /etc/pam.d/ determine what must occur before a user can logged in /etc/security/ set limits concerning users and daemons once they have logged onto the system /lib/security/ the actual location of the PAM modulesPAM entry format: Module type flags path argsModule type: determine authentication typeFlags: determine module type priorityPath: determine module location in the systemArgs: optional, customize PAM behavior/etc/security directory:access.conf: determines who can access the machine and from where group.conf: determines which group can logintime.conf: set logon time limitslimits.conf: set limits based upon percentage of processor usage or number of processes a user can run simultaneously第二章 賬號(hào)安全性概述：賬號(hào)安全性概述NT賬號(hào)的安全性 UNIX賬號(hào)的安全性一、賬號(hào)安全性：歸根結(jié)底是保護(hù)密碼的安全性 1、強(qiáng)力密碼：包含大小寫，數(shù)字和特殊字符，不包含用戶名和個(gè)人信息 2、賦予最低的權(quán)限和及時(shí)清理無(wú)用的賬號(hào)二、NT賬號(hào)的安全性 1、定期檢查賬號(hào)數(shù)據(jù)庫(kù)，掌握賬號(hào)的變化；同時(shí)定期察看系統(tǒng)的的調(diào)度任務(wù) 2、使用賬號(hào)策略來(lái)強(qiáng)化密碼的安全性： 在2000中賬號(hào)策略必須在域的級(jí)別來(lái)進(jìn)行設(shè)置 密碼策略賬號(hào)鎖定策略 Kerberos策略 區(qū)別：2000最多支持127位密碼，NT最多14位，在存儲(chǔ)密碼時(shí)以7位為單位，所以選擇密碼時(shí)應(yīng)為7的整數(shù)倍 NT缺省不禁用管理員賬戶，2000可以遠(yuǎn)程禁用 在設(shè)置賬號(hào)鎖定時(shí)，要考慮會(huì)產(chǎn)生拒絕服務(wù)的攻擊 3、激活密碼復(fù)雜性需要 4、重命名管理員賬戶 5、限制管理員登錄的工作站 6、限制賬戶的登錄時(shí)間 7、使用SYSKEY加強(qiáng)對(duì)SAM的安全防護(hù)三、UNIX賬號(hào)的安全性 1、密碼文件： /etc/passwd：everyone can read, but only root can own it and change it /etc/shadow：only root can read and write it 2、賬號(hào)策略： 3、限制登錄： Solaris: /etc/default/login console = /dev/console Linux: /etc/security list the device name where root can login Log: /etc/default/su can include sulog = /var/adm/sulog 4、限制shell:使用rksh來(lái)限制用戶所能夠完成的工作 限制輸入輸出的重定向 檢查路徑 限制更改路徑 限制更改環(huán)境變量 5、監(jiān)視賬戶：wtmp 6、檢查路徑參數(shù)：Windows 2000: looks in current directory for application looks at path statement Unix: only looks at path statement Do not set the current directory in the first place of the PATH Do not allow write permission for normal users about directory in PATH of root 7、使用系統(tǒng)級(jí)別的日志 syslogd: 使用/etc/syslog.conf進(jìn)行配置 inetd: 使用-t選項(xiàng)激活日志功能，可以記錄相應(yīng)服務(wù)的運(yùn)行情況第三章 文件系統(tǒng)安全性概述：windows文件安全性 Linux文件安全性一、windows 文件系統(tǒng)安全： 1、所支持的文件系統(tǒng)： FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS 2、NTFS權(quán)限： 標(biāo)準(zhǔn)的權(quán)限 權(quán)限單元 權(quán)限的繼承：ACL列表的拷貝 權(quán)限的遷移：移動(dòng)和拷貝 磁盤的分區(qū)：系統(tǒng)，程序和數(shù)據(jù)注意： erveryone和authenticated users的區(qū)別 缺省，新建的文件權(quán)限為everyone full control 新添加用戶的權(quán)限位read only 3、EFS: 作用：利用公鑰技術(shù)，對(duì)磁盤上存儲(chǔ)的靜態(tài)數(shù)據(jù)進(jìn)行加密保護(hù)的措施。 原理：根據(jù)用戶的身份為每個(gè)用戶構(gòu)建一對(duì)密鑰 實(shí)現(xiàn)： 恢復(fù)代理：為了防止出現(xiàn)由于密鑰損壞造成數(shù)據(jù)不能正常解密而構(gòu)建的一種補(bǔ)救措施。 如何恢復(fù)： 如何添加恢復(fù)代理： 注意事項(xiàng)： 只有被授權(quán)的用戶或恢復(fù)代理才能訪問(wèn)加密的文件加密和壓縮是相斥的對(duì)文件的重命名，移動(dòng)不會(huì)影響加密屬性至少需要一個(gè)恢復(fù)代理僅能對(duì)靜態(tài)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密，若需要網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)提供安全性，可使用IPSec和PPTP對(duì)一個(gè)文件夾加密，則此文件夾內(nèi)所有新創(chuàng)建的文件均會(huì)被加密若將一個(gè)加密后的文件移動(dòng)一個(gè)非NTFS文件系統(tǒng)上，則加密屬性丟失，除Backup外,所以應(yīng)該分別分配備份和恢復(fù)的權(quán)利并謹(jǐn)慎分配恢復(fù)的權(quán)利 4、磁盤限額： 基于文件和文件夾的所有權(quán)來(lái)統(tǒng)計(jì)用戶所使用的磁盤空間對(duì)于壓縮狀態(tài)的文件按非壓縮狀態(tài)統(tǒng)計(jì)磁盤空間的使用量 基于分區(qū)水平上的剩余空間是指可供用戶使用的磁盤限額內(nèi)剩余空間的大小可以設(shè)置當(dāng)用戶超出限額時(shí)是僅僅提出警告還是拒絕提供空間 可以針對(duì)所有用戶也可針對(duì)個(gè)別用戶設(shè)置設(shè)置限額后，對(duì)已有的用戶存儲(chǔ)不進(jìn)行限額，但可對(duì)老用戶添加限額管理員組的成員不受限額的影響僅管理員組的成員有權(quán)利設(shè)置限額 5、共享安全性：謹(jǐn)對(duì)網(wǎng)絡(luò)訪問(wèn)生效 僅能對(duì)文件夾設(shè)置共享，不能針對(duì)文件設(shè)置缺省Administrators、Server Operators、Power Users group有權(quán)利設(shè)置共享 新建共享后，Everyone group是FC所能接受的最大用戶數(shù)：Win 2k Professional 10 Win 2k Serve CALPermission：Read、Change、FCDeny優(yōu)先于Allow的權(quán)限若用戶屬于多個(gè)組，則share security取并集可以在FAT、FAT32、NTFS上設(shè)置共享 6、聯(lián)合NTFS安全性和共享安全性：網(wǎng)絡(luò)訪問(wèn)取交集 本地訪問(wèn)僅考慮NTFS安全性 隱藏文件：attrib +H directoryNTFS文件分流：不需要重新共建文件系統(tǒng)就能夠給一個(gè)文件添加屬性和信息的機(jī)制，Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cpcp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后oso001.009大小沒(méi)有變化，但修改日期可能會(huì)有變化分流后不能直接執(zhí)行：start oso001.009:nc.exe刪除：需把文件拷貝到FAT分區(qū)，在拷貝會(huì)NTFS分區(qū)搜索：唯一可靠的工具是ISS的Streamfinder.二、linux file system security:ls l output:d rwx rwx rwx 5 james james 120 Mar 21 17:22 accountd: directory-: normal file5: link counter120: file or directory sizefile permission:each file has its ownerevery file belongs to one group, primary grouponly one permission is suitable for you if you have three kinds of permissionsowner may have no any permission to the file that he ownsdirectory permission:讀權(quán)限僅在列舉目錄時(shí)有效寫權(quán)限可以管理控制目錄執(zhí)行權(quán)限允許你訪問(wèn)子目錄和相應(yīng)的文件umask commond:file default: rw-rw-rw-directory default: rwx rwx rwxumask:027 - -w- rwxchange umask: umask numberchange permissions: chmodabsolute mode: chmod 666 filenamesymbolic mode: chmod ogw+/-/=rwx filenameset bits: change shell during execute the command setuid setgid sticky: user can control and management the whole directory if user has write permission about the directory, it means the user can delete other users files. You may set sticky so that you assign write permission but no administrative permission to the directory. Chmod u=rwx,og=wxt directory name查看危險(xiǎn)的setuid和setgid許可權(quán)限：find /-perm -4000 print diff .oldChange file owner: chown new owner filenameChange file group: chgrp new group filename第四章 評(píng)估風(fēng)險(xiǎn)一、安全性威脅： 1、隨機(jī)的威脅 2、有意圖的威脅：消極的攻擊 積極的攻擊二、windows的安全性威脅： 1、改變?nèi)笔〉哪夸洠?2、改變?nèi)笔〉馁~號(hào)： 3、改變?nèi)笔〉墓蚕恚篐KLMSystemCCSservices lanmanagerserver parameters autoshareserver (autosharewks)=0 4、檢驗(yàn)：系統(tǒng)掃描三、UNIX的安全性威脅：1、 R*系列程序：不需要輸入密碼即可遠(yuǎn)程執(zhí)行程序。Rsh ps -auwx安全機(jī)制：1）、采用/etc/hosts.equiv和用戶主目錄下的.rhosts兩個(gè)文件來(lái)進(jìn)行訪問(wèn)控制2）、對(duì)于in.rshd，為了讀取某一用戶的.rhosts文件，要保證文件柜該用戶所有，且其他人對(duì)該文件進(jìn)行寫訪問(wèn)，接受600或644的權(quán)限3）、對(duì)提出請(qǐng)求的主機(jī)進(jìn)行ip的反向搜索不安全性：1）、偽造.rhosts2）、進(jìn)行DNS的毒化3）、配置自己的系統(tǒng)成為可信系統(tǒng) 2、NIS：允許在網(wǎng)絡(luò)上共享系統(tǒng)的管理數(shù)據(jù)。 NIS+2、 NFS：允許透明的訪問(wèn)遠(yuǎn)程系統(tǒng)的文件和目錄安全漏洞：許多與mountd和NFS服務(wù)器相關(guān)的緩沖區(qū)溢出條件已被發(fā)現(xiàn) 依賴于RPC服務(wù)，可以輕易的安裝遠(yuǎn)程系統(tǒng)上的文件 在共享文件是沒(méi)有合理配置權(quán)限防護(hù)：禁用NFS和相關(guān)服務(wù) 實(shí)現(xiàn)客戶機(jī)和用戶的訪問(wèn)控制，/etc/exports和/etc/dfs/dfstab能夠控制進(jìn)行訪問(wèn)控制 在允許安裝某個(gè)文件系統(tǒng)的客戶機(jī)列表中決不要加上相應(yīng)服務(wù)器的本地ip或localhost. 早期的portmapper會(huì)打開(kāi)代理中轉(zhuǎn)，會(huì)代理供給者中轉(zhuǎn)連接請(qǐng)求接受廠家的補(bǔ)丁 第五章 減少風(fēng)險(xiǎn)一、增強(qiáng)Windows的安全性： 1、對(duì)于系統(tǒng)漏洞：定期的添加services pack和hot fixes，如果系統(tǒng)沒(méi)有相關(guān)服務(wù)，不要隨意的安裝補(bǔ)丁 2、注冊(cè)表安全性： 注冊(cè)表的結(jié)構(gòu)：相當(dāng)于win.ini，集中存儲(chǔ)了系統(tǒng)的配置信息 5個(gè)配置單元（hive key），4個(gè)存放于winntsystem32config目錄下：SAM, SYSTEM, SECURITY, SOFTWARE，對(duì)此4個(gè)文件設(shè)置權(quán)限，僅允許system賬號(hào)訪問(wèn)。HARDWARE又稱易失關(guān)鍵字，每次系統(tǒng)啟動(dòng)時(shí)由進(jìn)行硬件檢測(cè)，將檢測(cè)的結(jié)果只與此關(guān)鍵字中，保存在內(nèi)存中 H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系統(tǒng)及硬件相關(guān)信息(例如計(jì)算機(jī)總線類型，系統(tǒng)可用內(nèi)存，當(dāng)前裝載了哪些設(shè)備驅(qū)動(dòng)程序以及啟動(dòng)控制數(shù)據(jù)等)的配置單元。實(shí)際上，H K L M保存著注冊(cè)表中的大部分信息，因?yàn)榱硗馑膫€(gè)配置單元都是其子項(xiàng)的別名。不同的用戶登錄時(shí)，此配置單元保持不變。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置單元包含著當(dāng)前登錄到由這個(gè)注冊(cè)表服務(wù)的計(jì)算機(jī)上的用戶的配置文件。其子項(xiàng)包含著環(huán)境變量、個(gè)人程序組、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和應(yīng)用程序首選項(xiàng)(環(huán)境變量在Windows 2000中被用來(lái)允許腳本、注冊(cè)表?xiàng)l目，以及其它應(yīng)用程序使用通配符來(lái)代替可能會(huì)發(fā)生改變的重要的系統(tǒng)信息)，存儲(chǔ)于用戶配置文件的ntuser.dat中。優(yōu)先于H K L M中相同關(guān)鍵字。這些信息是HKEY_USERS 配置單元當(dāng)前登錄用戶的Security ID(SID)子項(xiàng)的映射。H K E Y _ U S E R S ( H K U )配置單元包含的子項(xiàng)含有當(dāng)前計(jì)算機(jī)上所有的用戶配置文件。其中一個(gè)子項(xiàng)總是映射為H K E Y _ C U R R E N T _ U S E R (通過(guò)用戶的S I D值)。另一個(gè)子項(xiàng)H K E Y _U S E R S D E FA U LT包含用戶登錄前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置單元包含的子項(xiàng)列出了當(dāng)前已在計(jì)算機(jī)上注冊(cè)的所有C O M服務(wù)器和與應(yīng)用程序相關(guān)聯(lián)的所有文件擴(kuò)展名。這些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子項(xiàng)的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置單元包含的子項(xiàng)列出了計(jì)算機(jī)當(dāng)前會(huì)話的所有硬件配置信息。硬件配置文件出現(xiàn)于Windows NT版本4，它允許你選擇在機(jī)器某個(gè)指定的會(huì)話中支持哪些設(shè)備驅(qū)動(dòng)程序。這些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子項(xiàng)的映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子樹(shù)：HARDWARE：在系統(tǒng)啟動(dòng)時(shí)建立，包含了系統(tǒng)的硬件的信息SAM：包含了用戶帳號(hào)和密碼信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含應(yīng)用程序的配置信息SYSTEM：包含了服務(wù)和設(shè)備的配置信息設(shè)置注冊(cè)表的權(quán)限：Windows NT：使用C2Config和C2regacl.infWindows 2000：使用組策略審核注冊(cè)表： 3、禁止和刪除不必要的服務(wù) 刪除OS/2和POSIX 在web服務(wù)器上禁止server services 在firewall上過(guò)濾相應(yīng)的數(shù)據(jù)包 4、保護(hù)網(wǎng)絡(luò)連接安全性： SMB connection process Establish a TCP connection negotiate dialect set up SMB session access resource Pc network program 1.0 Microsoft networks 1.03 Lanman 1.0 LM 1.2X002 LanMan 2.1 Windows NTLM 禁止匿名連接：HKLM SYSTEMCCScontrollsarestrictanonymous=1 服務(wù)器控制驗(yàn)證方法：lmcompatibilitylevel 0 任何都是可用的 1 由服務(wù)器決定使用哪種方法 2 不使用LM驗(yàn)證 激活SMB簽名：HKLM SYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1 HKLM SYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/1 5、其他的配置： 禁止除管理員和打印操作員以外的用戶安裝打印驅(qū)動(dòng)程序： HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers=1 隱藏上一次登錄的系統(tǒng)名 限制對(duì)打印機(jī)和串口的使用： HKLM SYSTEMCCScontrolsession managerprotectionmode=1 在系統(tǒng)關(guān)機(jī)時(shí)清空頁(yè)面文件 HKLM SYSTEMCCScontrol session managermemory managementclearpagefileatshutdown =1 禁止緩存登錄證書 限制對(duì)scheduler服務(wù)的使用 限制對(duì)可移動(dòng)介質(zhì)的訪問(wèn)二、增強(qiáng)UNIX的安全性： 1、禁用或刪除服務(wù)： finger：誕生于internet的溫和期，遠(yuǎn)程用戶可以使用它獲得有關(guān)用戶的信息，包括所登錄用戶的名稱、郵件地址、登錄路徑、shell的類型和.plan、.project中的內(nèi)容。 在/etc/inetd.conf中 # finger stream tcp nowait nobady /usr/sbin/tcpd in.fingerd 使用TCPWrapper限制對(duì)他的使用 /etc/hosts.allow rwhod：允許遠(yuǎn)程用戶察看察看登錄到你的系統(tǒng)的用戶名 rpm e rwho刪除rwhod rwalld：允許