《管理与安全》PPT课件.ppt

1 Solaris系统 管理与安全 东大金智软件股份有限公司 教育与公用事业部 2 内容提要 UNIX(Solaris)简介 Solaris的管理与维护 Sun系统安全 3 UNIX简介 U N I X对工作站、微型计算机、大型机、甚至超级计 算机等各种不同类型的计算机来说是一种标准的操作 系统。 文件管理、程序管理和用户界面是所有操作系统共有 的传统特征。除此之外， U N I X又增加了另外两个 特性。U N I X是一个多用户、多任务系统。 4 UNIX历史 1 9 6 9年，在AT 最终用户;开发者;完整分发和 OEM 支持 安装信息 安装过程 放入安装盘;起动安装盘(boot cdrom);选择合适的 语言和国际设置;输入主机名;输入IP地址;选择名 称服务类型;选择时区;选择软件组;设置分区;输入 ROOT口令; 8 Solaris文件系统结构示意图 从root开始（/），所有文件和目录均由根目录开始经过一条路径到 达。 /(root) /bin/dev/export/etc/lib /home /user1/user2/user3 9 软件包管理 所有Solaris系统的软件都以包的形式出现 命令行方式 pkgadd命令用于安装软件包 pkginfo命令用于查看系统已经安装的软件包 pkgrm命令用于删除软件包 pkgchk命令用于检查已安装的软件包 admintool图形管理工具 admintool是solaris图形管理工具，包括管理软件包、主机名、 主机地址、打印机、串口、用户、用户组等。 10 补丁维护 什么是Patch? 简单的说，补丁就是一些替换现存的文件和目录的文件目录 集合。补丁纠正应用程序的错误或增加功能。 每个补丁都有编号。例如补丁号为101945，版本是34的话， 这个补丁的目录名就是101945-34 patchadd命令用于安装补丁 patchrm用于删除补丁 用patchadd -p命令检查PATCH情况 访问SUN公司专门的补丁网站 11 启动过程 启动有四个阶段 Boot PROM 阶段;Boot program 阶段; Kernel 初始化 阶段;/sbin/init 阶段; 系统有多种运行级别，不同的运行级别所启动的服务不同。 改变运行级别 Who -r命令查看运行级别;Init命令用于改变操作系统的运行 级别;shutdown 命令用于改变操作系统运行级别;halt命令 进入0运行级别;poweroff命令关闭系统并切断电源;reboot命 令重新启动系统; 12 用户及用户组管理 UIDs（用户ID）与 GIDs（用户组ID） /etc/passwd文件记录了系统的用户帐号的信息 /etc/group文件记录了系统的用户组的信息 格式 id命令用于查看用户的id号（用户号） su命令用户改变当前的用户。 查看登录状态 命令who、finger、last可以查看用户登录状态。 13 用户及用户组管理 可以用admintool图形工具增加、更改、删除用户和用户组的属性 命令行方式 一个用户帐号至少应该包括以下信息: User name.用户用它来进行系统登录 password.一组秘密的字符串，在用户进行系统登录时，必须 输入口令。 Users home-directory用户登录后的当前目录 Users initialization files-一些shell script文件，当用户簦录后， 用来设置用户的工作环境。 14 初始化文件管理 用户的初始化文件是一些命令脚本和shell参数 如当一个具有Bourne Shell的用户登陆系统后，系统 将首先自动运行/etc/profile这个初始化脚本，然后 运行用户目录下的.profile初始化脚本。 当创建一个Bourne Shell的用户时，系统会自动把 /etc/skel/file这个文件拷贝到用户主目录 下。 15 进程控制 使用ps命令显示系统正在运行的进程 要查找某进程 #ps -ef|grep process_name 使用Kill命令给进程发送一个信号。Kill命令一般用 于结束系统的某个进程。 用户只能结束自己启动的进程。超级用户可以结束 任何一个进程 16 磁盘配置和命名 Solaris下，一个磁盘包含8个分区，标记为07。 逻辑设备名与物理设备名 实例名是系统设备的简称。 dmesg命令鉴别系统所连 接的设备。以实例和物理设备名称的方式显示。 prtconf用于显示系统的配置信息，包括内存、外围设 备等。 当在系统中增加新设备时，需要重新配置系统的硬件 信息。 17 磁盘、分区和格式化 磁盘卷标，也叫磁盘卷内容表（VTOC） 把一个磁盘分区的步骤： 格式化(format);选择一个磁盘;修改分区;标记分 区; 显示某个磁盘的分区状况: prtvtoc命令 18 文件系统介绍 文件系统的定义 磁盘文件系统 网络文件系统 内存文件系统 流分区与块分区 文件系统维护 Newfs命令创建文件系统; fsck命令用于检测文件系统是否出 错;df命令查看已挂接的文件系统使用状况;du命令显示某个 目录下文件的占用磁盘空间的情况： 19 文件系统挂接 挂接就是将分离的文件系统附加到文件系统分成结构 中。 /etc/vfstab文件中的文件系统将自动挂接 Mount挂接文件系统 umount卸载文件系统 挂接实例 增加一个新的硬盘 光驱、软驱的使用 忘记ROOT密码的处理 20 网络文件系统 NFS即网络文件系统，是UNIX系统直接用以共享文件的 协议。 NFS客户机与服务器 share命令与unshare命令 dfshares命令用以查看服务器的共享资源 dfmounts命令服务器上查看共享资源被利用的状况 用mount命令挂接远程网络文件系统 21 数据的备份和恢复 备份前的准备工作 重新启动系统到单用户状态，或将要备份的文件系统卸载下来 通知所有用户该文件系统不可用（使用wall命令）。 对文件系统进行检查（fsck）。 ufsdump命令 ufsrestore命令 tar命令 22 网络管理:网络地址和掩码 /etc/erface 文件 /etc/hosts文件 与/etc/netmasks文件 ifconfig命令 检测网络端口状态 ; 配置网络端口地址 配置网络端口是否可用 ping命令 检测网络状态 测试网络速度 23 网络管理:网络服务 /etc/services文件 网络服务协议的端口号和网络协议的服务类型 /etc/inetd.conf文件 文件中每一项都由服务名及其相关的端口号、传输 协议提供者组成。有些服务可以在TCP和UDP上都可 以运行。这时，此服务被列出两次。 24 网络管理:路由和网关 /etc/defaulrouter文件 该文件保存了缺省路由得信息。系统安装时并没有 该文件，是用户自己创建的。文件内容是缺省路由 的地址。 /etc/gateways文件:路由表文件 route命令 查看路由表 # netstat -r命令 25 网络管理:DNS客户端的设置 /etc/resolv.conf文件 记录DNS服务器的地址和域名 /etc/nsswitch.conf文件 记录主机名的搜索顺序等信息 nslookup命令 用于查询DNS服务器 用于验证客户端的设置 用于下载DNS数据库 26 网络管理:DNS服务器 起动DNS服务 配置文件/etc/named.boot DNS数据文件 DNS客户端配置 27 网络管理:电子邮件 客户端 Outlook，foxmail，pine， Netscape等 服务器 Sendmail 配置文件Sendmail.cf Qmail IMail Server v我公司的AC_STAR产品(管理方便,内置反病毒引擎) 28 网络管理: WWW与FTP服务 WWW客户端 IE,netscape,opera WWW服务器 Apache FTP服务器 Wu-FTPd 支持断点续传、支持传输时进行压缩、系统和目 录消息、目录别名和增强的日志等。 29 SUN公司的产品 硬件 工作站：UltraSPARC/Baland 服务器：Enterprise/Fire 存储：外接硬盘、阵列、SAN、数据备份 外围设备等 30 SUN公司的产品 软件 Solaris操作系统 开发工具 电子商务 存储 电信管理网络 SUN ONE架构 JAVA 31 SUN公司的产品 解决方案 电子商务 视频 INTERNET服务 数据安全 JAVA 32 To Be Continued 课间休息 33 系统安全：一个经验定义 安全就是“避免冒险和危险” 未授权的使用者访问信息; 未授权而试图破坏或更改信息; 安全就是一个系统保护信息和系统资源相应的机密性和 完整性的能力 34 系统安全的分类 保密性（C o n f i d e n t i a l i t y ）确保信息不被非 授权用户访问。 完整性（I n t e g r i t y ）确保信息不被未授权用户 更改，但对授权用户开放。 确定性（A u t h e n t i c a t i o n ）确保用户就是它 所声明的使用者。 35 主要关注方面 系统安全用户访问和确认控制，授权，维护文件和 文件系统完整，备份，监测进程，日志保存和审计。 网络安全保护网络和远程通信设备，保证网络服务 器和传输，反窃听，控制从不可信网络上的访问，防 火墙和监测侵入。 36 制定安全规划 好的安全管理开始于合理的规划 开发一个安全策略和规划的第一步是通过分析系统面 临的危险来产生一个安全评价。 37 危险评估: 哪些需要保护； 它们有多大价值； 要使它抵御哪些危险； 怎样来保护。 还可进行一定的成本-收益分析 38 一个UNIX 安全模型 系统防御有三个传统方法： 分散，使损失最小化； 冗余，在一部分损坏的情况下仍能保证正常系统操 作； 多层防御，使攻击者在破坏系统关键部分之前要征 服一系列的堡垒 3 。 39 UNIX 安全模型图示 最内层是文件系统安全： 最外层的边界是网络安全 ： 道德观念 系统管理员的角色的重要 性 40 帐号安全基础 为什么要求帐号安全 选择安全的口令 口令禁忌;好的口令;写下口令 管理帐号 缺省帐号;共享帐号;禁用或删除帐号;保护root;附加 的帐号控制;受限环境 41 巩固帐号安全 加强口令安全 策略传播;进行口令检查;产生随机口令;口令更新;预 先进行口令检查 影子口令文件 /etc/shadow剖析;设置影子口令 算法改进 扩充密码;可选的算法 一次性口令 42 文件系统安全 UNIX文件系统 文件系统基础;文件系统结构;文件系统类型 文件权限 chmod命令; umask值; SUID/SGID 加密;维护文件系统完整性 美国出口限制;实用加密算法;数字签名;PGP 加密文件系统:CFS,TCFS; 备份 计算机失效种类;备份策略;备份命令;备份要注意的问题 43 日志 日志子系统 登录记录 进程统计 设备syslog 程序日志 44 弱点测试 安全检测的艺术 检测表 弱点数据库 基于主机 解决问题 网络安全扫描 45 网络安全基础 TCP/IP网络 分散防御;包交换; Internet协议;IP地址 UNIX网络服务基础 /etc/inetd.conf; /etc/services; IP安全 使用Netstat监测 46 UNIX 网络服务安全 FTP Telnet SMTP/sendmail DNS Finger POP3 IMAP NFS Systat UUCP 47 HTTP/WWW 安全 HTTP基础 HTTP/WWW安全风险 保护Web服务器的安全 保护Web客户端的安全 保护传输安全 48 防火墙 为什么要防火墙 策略考虑 防火墙的是一种安全与服务之间的平衡 防火墙的类型 防火墙规划 风险评估;策略人员;预算;最低限度的需求; 49 相关网络安全产品 Cisco PIX硬件防火墙 Cisco IOS防火墙工具集 Cisco 弱点扫描仪Secure Scanner Cisco 入侵检测系统 Cisco 访问控制器 Sun Solaris8(IPSEC SSL) SunScreentm Secure Net防火墙 Suntm Crypto Accelerator 1 Board(SSL加速) 50 专用系统-保证系统本身可靠性 专门硬件 非 U N I X 的 、 安 全 实 时 的 嵌 入 式操作系统 混合设计-提供既安全又高效的网络保护 自适应的安全算法(ASA) -隐藏地址，检测数据包 直通代理- 提高系统性能 高性能-为大企业和复杂高流量的环境设计 最多500,000 并发用户连接 最多1000 Mbps 吞吐量 最多每秒 6,500连接 多种连接方式-满足不同用户需求 10/100/1000 以太网口,令牌环或FDDI PIX 501PIX 501 PIX 515/525PIX 515/525 PIX 535PIX 535 Cisco PIX 防火墙 PIX 50PIX 506 6 51 Cisco IOS 防火墙特性 集 支持多种平台