UnixLinux操作系統(tǒng)安全技術(shù)

1、操作系統(tǒng)安全 第八章第八章 Unix/Linux 操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全技術(shù) 第八章第八章 Unix/Linux操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全技術(shù)8.1 賬戶安全管理賬戶安全管理8.2 口令安全與訪問控制口令安全與訪問控制8.3 文件系統(tǒng)安全文件系統(tǒng)安全8.4 日志查看與分析日志查看與分析8.5 網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)服務(wù)安全8.6 備份與恢復(fù)備份與恢復(fù)Unix安全模型安全模型UNIX是一個強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類，屬于分時操作系統(tǒng)。因?yàn)榘踩煽?，高效?qiáng)大的特點(diǎn)，其在服務(wù)器領(lǐng)域得到了廣泛的應(yīng)用。圖8-1為Unix操作系統(tǒng)的一個安全模型：8.1 賬戶安全

2、管理賬戶安全管理8.1.1 root賬戶的管理 在UnixLinux系統(tǒng)中，root賬號就是一個超級用戶賬戶。以超級用戶可以對系統(tǒng)進(jìn)行任何操作。 1超級用戶超級用戶 而UnixLinux超級用戶賬戶可以不止一個。 在Unix系統(tǒng)中，只要將用戶的UID和GID設(shè)置為0就可以將其變成超級用戶，但并不是所有的超級用戶都能很容易的登錄到Unix系統(tǒng)中，這是因?yàn)?，Unix系統(tǒng)使用了可插入認(rèn)證模塊（PAM）進(jìn)行認(rèn)證登錄，PAM要求超級用戶只能在指定的終端上進(jìn)行訪問，這種指定的終端是可以保證安全的。 2root賬戶的安全賬戶的安全 root用戶賬戶也是有密碼的，這個密碼可以對那些通過控制臺訪問系統(tǒng)的用戶進(jìn)行

3、控制，即使是使用su命令的用戶也不例外。8.1.3 PAM認(rèn)證機(jī)制認(rèn)證機(jī)制8.1.3 PAM認(rèn)證機(jī)制認(rèn)證機(jī)制 嵌入式認(rèn)證模塊(PAM)機(jī)制采用模塊化設(shè)計(jì)和插件功能，使得管理員可以輕易地在應(yīng)用程序中插入新的鑒別模塊或替換原先的組件，而不必對應(yīng)用程序做任何修改，從而使軟件的定制、維持和升級更加輕松，因?yàn)殍b別機(jī)制與應(yīng)用程序之間相對獨(dú)立。 應(yīng)用程序可以通過PAM API(由pam.conf控制）方便的使用PAM提供的各種鑒別功能，而不必了解太多的底層細(xì)節(jié)。PAM認(rèn)證機(jī)制認(rèn)證機(jī)制8.2 口令安全與訪問控制口令安全與訪問控制Unix中常用的口令機(jī)制中常用的口令機(jī)制 用戶口令技術(shù) 影子口令機(jī)制 一次性口令機(jī)

4、制8.3 文件系統(tǒng)安全文件系統(tǒng)安全文件和目錄的權(quán)限文件系統(tǒng)完整性檢查8.3.1 文件和目錄的權(quán)限文件和目錄的權(quán)限Unix系統(tǒng)中的每個文件和目錄都有訪問許可權(quán)限，文件或目錄的訪問權(quán)限分為三種： 只讀 只寫 可執(zhí)行有三種不同類型的用戶可對文件或目錄進(jìn)行訪問： 文件所有者 同組用戶 其他用戶每一文件或目錄的訪問權(quán)限有三組，每組用三位表示，分別為 文件屬主的讀、寫和執(zhí)行權(quán)限； 與屬主同組的用戶的讀、寫和執(zhí)行權(quán)限； 系統(tǒng)中其他用戶的讀、寫和執(zhí)行權(quán)限。8.3.1 文件和目錄的權(quán)限文件和目錄的權(quán)限確定了一個文件的訪問權(quán)限后，用戶可以利用系統(tǒng)提供的的命令對權(quán)限進(jìn)行設(shè)置 chmod命令來重新設(shè)定不同的訪問權(quán)限。

5、 chown命令來更改某個文件或目錄的所有者。 chgrp命令來更改某個文件或目錄的用戶組 文件系統(tǒng)完整性檢查文件系統(tǒng)完整性檢查對于龐大的系統(tǒng)文件，管理員對每一個文件都進(jìn)行檢查室難以想象的，而Tripwire能夠提供這種幫助，它不是為了抵御攻擊者而設(shè)計(jì)的，然而它能夠幫助判斷系統(tǒng)的一些重要文件是否被攻擊者修改，即系統(tǒng)完整性檢查工作。Tripwire是目前最為著名的UNIX下文件系統(tǒng)完整性檢查的軟件工具，這一軟件采用的技術(shù)核心就是對每個要監(jiān)控的文件產(chǎn)生一個數(shù)字簽名，并保留下來。當(dāng)文件現(xiàn)在的數(shù)字簽名與保留的數(shù)字簽名不一致時，那么現(xiàn)在這個文件必定被改動過了。 8.3.3 NFS簡介及相關(guān)安全性問題簡介

6、及相關(guān)安全性問題1.NFS的基本工作原理 NFS由服務(wù)器端和客戶機(jī)端兩部分組成。 NFS是通過RPC即遠(yuǎn)程過程調(diào)用來實(shí)現(xiàn)的，使得遠(yuǎn)程的計(jì)算機(jī)節(jié)點(diǎn)執(zhí)行文件的操作命令就像執(zhí)行本地文件的操作命令一樣，可以執(zhí)行創(chuàng)建文件、創(chuàng)建目錄、刪除文件、刪除目錄等文件操作命令。 8.3.3 NFS簡介及相關(guān)安全性問題簡介及相關(guān)安全性問題2.NFS安全性的實(shí)現(xiàn) Linux所做的第一個安全措施就是啟用防火墻。 Linux所做的第二個安全措施是服務(wù)器的導(dǎo)出選項(xiàng)。相關(guān)的導(dǎo)出選項(xiàng)有如下幾類： (1)讀寫服務(wù)器訪問；讀寫服務(wù)器訪問； (2)UID與與GID擠壓；擠壓； (3)端口安全；端口安全； (4)鎖監(jiān)控程序；鎖監(jiān)控程序；

7、 (5)部分掛接與子掛接。部分掛接與子掛接。8.4 日志查看與分析日志查看與分析Unix系統(tǒng)中，主要分為以下3種形式的日志系統(tǒng)：（1）記錄連接時間的日志 系統(tǒng)中多個進(jìn)程運(yùn)行時，把記錄寫入到varlogwtmp和varrunutmp，這兩個文件的更新由login等進(jìn)程完成，以便于管理員跟蹤誰在何時登錄了系統(tǒng)。 （2）進(jìn)程統(tǒng)計(jì) 由系統(tǒng)內(nèi)核執(zhí)行。進(jìn)程的執(zhí)行和終止，都將被記錄到統(tǒng)計(jì)文件 pacct和acct中。該系統(tǒng)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用情況統(tǒng)計(jì)。 （3）錯誤日志 由syslog(8)執(zhí)行各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog(3)向文件varlogmessages報告值得注

8、意的事件。日志文件及其功能說明日志文件及其功能說明 日志文件功能及說明access-log記錄HttpWeb的傳輸acctpacct記錄用戶命令aculog記錄Modem的活動btmp記錄失敗的記錄lastlog記錄最近幾次成功登錄的事件和最后一次不成功的登錄message從syslog中記錄信息sublog記錄使用sudo發(fā)出的命令suslog從syslog中記錄信息utmp記錄當(dāng)前登錄的每個用戶wtmp一個用戶每次登錄進(jìn)入和退出時間的永久記錄8.4.1 日志查看技術(shù)日志查看技術(shù)8.4.1 日志查看技術(shù) wtmp和utmp文件都是二進(jìn)制文件，他們不能被諸如tail、cat命令進(jìn)行剪貼或合并。

9、用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。8.5 網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)服務(wù)安全Unix系統(tǒng)之間安全通信的實(shí)現(xiàn)Kerberos認(rèn)證機(jī)制安全外殼協(xié)議（SSH）。 Unix系統(tǒng)之間的安全通信主要是是靠UUCP實(shí)現(xiàn)的。UUCP，Unix-to-Unix Copy的縮寫，UUCP系統(tǒng)主要完成遠(yuǎn)程文件傳輸，包括各種文件的遠(yuǎn)程復(fù)制、執(zhí)行系統(tǒng)之間的命令、維護(hù)系統(tǒng)使用情況的統(tǒng)計(jì)等等。 UUCP是UNIX操作系統(tǒng)上最廣泛使用的網(wǎng)絡(luò)實(shí)用系統(tǒng)，在Internet興起之前是UNIX系統(tǒng)之間連網(wǎng)的主要方式。主要是因?yàn)椋?（1）UUCP是各UNIX版通用的唯一標(biāo)準(zhǔn)網(wǎng)絡(luò)系統(tǒng) （2）通過UUCP

10、建立網(wǎng)絡(luò)系統(tǒng)簡單， 8.5.1 Unix系統(tǒng)之間安全通信的實(shí)現(xiàn)系統(tǒng)之間安全通信的實(shí)現(xiàn) 8.5.1 Unix系統(tǒng)之間安全通信的實(shí)現(xiàn)系統(tǒng)之間安全通信的實(shí)現(xiàn)8.5.2 Kerberos認(rèn)證機(jī)制認(rèn)證機(jī)制8.5.2 Kerberos認(rèn)證機(jī)制認(rèn)證機(jī)制當(dāng)用戶輸入用戶名和密碼后，計(jì)算機(jī)將用戶名發(fā)送給當(dāng)用戶輸入用戶名和密碼后，計(jì)算機(jī)將用戶名發(fā)送給 KDC。KDC 包含一個主數(shù)據(jù)庫，該數(shù)據(jù)庫保存了其領(lǐng)域內(nèi)每個安全包含一個主數(shù)據(jù)庫，該數(shù)據(jù)庫保存了其領(lǐng)域內(nèi)每個安全主體獨(dú)有的長期密鑰主體獨(dú)有的長期密鑰 KDC 查找用戶的主密鑰（查找用戶的主密鑰（KA），主密鑰基于用戶的密碼。然后），主密鑰基于用戶的密碼。然后，KDC

11、創(chuàng)建兩項(xiàng)：一個與用戶共享的會話密鑰（創(chuàng)建兩項(xiàng)：一個與用戶共享的會話密鑰（SA）和一張票）和一張票證授予式票證（證授予式票證（TGT，Ticket-Granting Ticket）。）。TGT 包含包含 SA、用、用戶名和過期時間的第二個副本。戶名和過期時間的第二個副本。KDC 使用它自身的主密鑰（使用它自身的主密鑰（KKDC）加密此票證，此主密鑰只有）加密此票證，此主密鑰只有 KDC 知道知道 目標(biāo)服務(wù)器目標(biāo)服務(wù)器KDC用戶用戶KABKABTGT+SATGT+時間戳?xí)r間戳用戶名用戶名客戶端計(jì)算機(jī)從客戶端計(jì)算機(jī)從 KDC 接收到信息，并通過單向哈希函數(shù)加密接收到信息，并通過單向哈希函數(shù)加密用戶的

12、密碼，這樣就將密碼轉(zhuǎn)換成了用戶的用戶的密碼，這樣就將密碼轉(zhuǎn)換成了用戶的 KA?？蛻舳擞?jì)算。客戶端計(jì)算機(jī)現(xiàn)在有一個會話密鑰和一個機(jī)現(xiàn)在有一個會話密鑰和一個 TGT，這樣就可以與，這樣就可以與 KDC 安全安全通信了通信了 當(dāng)當(dāng) Kerberos 客戶端需要訪問同一域中的成員服務(wù)器上的資源時，客戶端需要訪問同一域中的成員服務(wù)器上的資源時，它會聯(lián)系它會聯(lián)系 KDC?？蛻舳藢⑻峁??？蛻舳藢⑻峁?TGT 和用已經(jīng)與和用已經(jīng)與 KDC 共享的會話密共享的會話密鑰加密的時間戳，接著，鑰加密的時間戳，接著，KDC 創(chuàng)建一對票證，一張給客戶端，另創(chuàng)建一對票證，一張給客戶端，另一張給客戶端需要訪問的資源所在的服務(wù)

13、器，一張給客戶端需要訪問的資源所在的服務(wù)器，KDC 獲取服務(wù)器的獲取服務(wù)器的票證，并使用服務(wù)器主密鑰（票證，并使用服務(wù)器主密鑰（KB）加密它。然后）加密它。然后 KDC 將服務(wù)器的將服務(wù)器的票證嵌套在客戶端的票證內(nèi)，這樣，客戶端的票證也含有該票證嵌套在客戶端的票證內(nèi)，這樣，客戶端的票證也含有該 KABKerberos 身份驗(yàn)證的工作原理身份驗(yàn)證的工作原理 8.5.2 Kerberos認(rèn)證機(jī)制（課本）認(rèn)證機(jī)制（課本）Kerberos協(xié)議把身份認(rèn)證的任務(wù)集中在身份認(rèn)證服務(wù)器（AS）上執(zhí)行。AS中保存了所有用戶的口令。在Kerberos認(rèn)證體制中，還增加了另外一種授權(quán)服務(wù)器TGS(Ticket-Gr

14、anting Server)。首先用戶申請票證授權(quán)證，AS驗(yàn)證C的訪問權(quán)限后，準(zhǔn)備好票證Tickettgs和C與TGS用戶會話密鑰Kc,tgs，并用口令導(dǎo)出的Kc加密后回送票證授權(quán)證。然后用戶請求服務(wù)授權(quán)證，工作站要求用戶輸入口令，并用它導(dǎo)出密鑰Kc，以Kc對所得消息進(jìn)行解密的Kc,tgs，用戶將Tickettgs連同個人信息發(fā)給TGS，TGS實(shí)現(xiàn)對C的認(rèn)證后，準(zhǔn)備好服務(wù)授權(quán)證Ticketv及會話密鑰Kc,v用Kc,tgs加密后發(fā)給用戶C，用戶C將獲得的Ticketv連同個人信息發(fā)送給服務(wù)器V，服務(wù)器對信息認(rèn)證后，給用戶提供相應(yīng)的服務(wù) 圖8-4 Kerberos認(rèn)證過程 8.5.2 Kerberos認(rèn)證機(jī)制認(rèn)