权限、安全、备份与恢复.ppt

第十五讲 权限、安全 备份与恢复,华软软件工程系,本讲内容 权限 安全 备份与恢复,主要内容,第一部分 权限,教学要求,本章目的： 本章介绍操作系统通过用户、文件的授权提供系统的安全保证。 教学目标： 操作系统的权限含义、文件和目录的访问权限设置。 重点与难点： 操作系统文件和目录访问权限。 专业术语: 权限、授权、文件权限、目录权限、访问权限、访问控制、安全主体。,概述,计算机操作系统中，“权限”(Permission)是针对资源而言的。 也就是说，设置权限只能是以资源为对象，即“设置某个文件夹有哪些用户可以拥有相应的权限”，而不能是以用户为主，即“设置某个用户可以对哪些资源拥有权限”。,权限的含义,一般来说，权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。 完全控制(Full Control) 修改(Modify) 读取和运行(Read & Execute) 列出文件夹目录(List Folder Contents) 读取(Read) 写入(Write),授权,授权是基于一个用户或一个组的标识，允许或拒绝规定的特权的行为。通常，我们通过制定策略来实行授权控制。 基于角色的访问控制（Role Based Access Control,RBAC） 根据操作系统赋予的资源特权，通过按资源将用户分组的方法，并用赋予的组标签对系统级和应用级进行授权来控制组用户成员的活动。 基于角色的访问控制适合于具有大量用户和大量公共或内部数据资源的服务。 基于用户的访问控制（User Based Access Control,UBAC） 该种授权控制策略是根据各个用户的特权而不是赋予的角色来决定的访问控制授权策略。,文件权限,所谓的文件权限，是指对文件的访问权限，包括对文件的读、写、删除、执行等操作。 在Linux 中，每一个文件都具有特定的属性，主要包括文件类型和文件权限两个方面。 文件类型 在Linux 中，主要有5 种文件类型：普通文件、目录文件、链接文件、设备文件和管道文件。 文件权限 文件权限主要是指对文件或目录的访问权限。Linux 系统中的每一个文件或目录都包含有访问权限，这些访问权限决定了谁能访问和如何访问这些文件和目录。,文件权限的表示,在Unix 或Linux 中，当执行“ls l” 或“ls al”命令后将显示文件的详细信息,文件权限的表示,四种不同的用户 root：系统超级用户 owner：实际拥有文件（或目录）的用户，即文件属主 group：用户所在用户组的成员 other：以上三类之外的所有其他用户,文件权限的表示,访问权限 root 用户自动拥有读、写和执行所有文件的操作权限，其他三类用户的操作权限可以分别授予或撤销。因此，每个文件为后三类用户建立了一组9 位的权限标志，分别给文件属主、用户组和其他用户指定对该文件的读r、写w 和执行权x。如表17.1 所示。,文件权限的表示,权限标志,常见文件类型：-普通文件，d目录文件，b块设备文件，c字符设备文件，l连接文件，实际上指向另一个文件。 第1 位说明文件（或目录）的类型，第210 个字符当中的每3 个字符为一组，每组的3 位依次表示读r、写w、执行x权限。,文件权限的表示,普通权限 每个用户都拥有自己的专属目录，通常集中放置在/home 目录下，这些专属目录的默认权限为rwx-:表示目录所有者本身具有所有权限，其他用户无法进入该目录。 特殊权限 所谓的特殊权限，是指通常情况下，文件与目录设置时，用户拥有一些“特权”，并导致系统出现一些严重的安全方面漏洞。,文件权限的设置,SUID 和SGID 文件权限的设置 Linux 系统中，主要有两种特殊的文件访问权限，即：SUID(八进制为4000)和SGID(八进制为2000)。设置这两种权限的文件，将使其它用户在执行它们时拥有所有者的权限。 改变文件或目录的权限 此外，Linux 系统下，还可以通过访问控制列表(ACL：Access Control List)对文件的属性和权限设置和操作，ACL 的作用是限制包括root 用户在内的所有用户对文件、资源或者套接字的访问。,第二部分 安全,教学要求,本章目的： 本章介绍系统安全的主要概念、策略。 教学目标： 了解操作系统的安全问题、安全技术和安全策略。 重点与难点： 操作系统的灾难备份和恢复策略、技术。 专业术语: 安全、风险、漏洞、安全评估、安全风险、身份验证、身份标识、身份鉴别、入侵检测、异常检测、误用检测、安全审计、安全策略、故障响应、灾难恢复。,安全问题,安全问题 通常操作系统的安全问题主要包括以下方面：病毒和蠕虫、逻辑炮弹、后门、木马、间谍软件、隐蔽通道、嗅探、破坏和欺骗、拒绝服务攻击。 病毒：指编制或在计算机程序中插入的破坏计算机功能或破坏数据，影响计算机使用且能够自我复制的一组计算机指令或程序代码。 蠕虫：是一种自身复制且干涉软件功能或破坏存储信息的程序。 逻辑炸弹：指在特定逻辑条件满足时，实施破坏的计算机程序。 后门：是那些绕过安全性控制而获取对程序或系统访问权的程序方法。,安全问题,安全问题 木马：特洛伊木马，是一种基于远程控制的黑客工具，通过一段特定的程序来控制另一台计算机。 间谍软件：监视用户和系统活动、窃取用户敏感信息，然后将窃取到的信息以加密方式发送给攻击者。 隐蔽通道：是一种允许违背合法的安全策略的方式进行操作系统进程间通信的通道。 嗅探：对信息的非法拦截，它是某种形式的信息泄露。 拒绝服务攻击：造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。 安全属性 机密性(不被非法授权者所获取与使用。主要通过密码技术) 完整性(信息真实可信，措施是校验与认证技术) 可用性 (保证信息与信息系统可被授权人正常使用),安全评估,计算机信息系统安全评估准则 可信计算机系统评估准则（TCSEC） 信息技术安全评估准则（ITSEC） 通用安全评估准则（CC） 计算机信息系统安全保护等级划分准则,安全评估,可信计算机系统评估准则 TCSEC 共分为4 类7 级：D、C1、C2、B1、B2、B3、A1 D 级：安全性能达不到C1 级的划分为D 级。D 级并非没有安全保护功能，只是太弱。 C1 级，自主安全保护级 C2 级，受控存取保护级 B1 级，标记安全保护级 B2 级，结构化保护级 B3 级，安全域级 A1 级，验证设计级,安全评估,信息系统安全保护等级划分准则 我国国家质量技术监督局于1999 年发布了计算机信息系统安全保护等级划分的基本准则，是强制性的国家标准，序号为GB17859-1999。根据该准则将计算机信息系统的安全等级划分为如下5 级： 第一级，用户自主保护级； 第二级，系统审计保护级； 第三级，安全标记保护级； 第四级，结构化保护级； 第五级，访问验证保护级。,安全风险,风险 风险是丢失需要保护的资产的可能性。如果没有风险，就不需要安全了。风险包含两个部分。一是漏洞，二是威胁。 漏洞 计算机系统里的“漏洞”不是一个物理上的概念，它是指计算机系统具有的某种可能被入侵者恶意利用的属性。在计算机安全领域，安全漏洞通常又称为脆弱性。 广义地讲，脆弱性可以是很多脆弱状态的特征；狭义地讲，脆弱性可以只是一个脆弱状态的特征。 漏洞的来源主要有以下方面： 系统或应用软件或协议设计时的瑕疵 软件或协议实现中的弱点 软件本身的瑕疵 系统和网络的错误配置,威胁,威胁 在操作系统的风险中，漏洞是攻击可能的途径，而威胁是一个可能破坏信息系统安全环境的动作或事件。 威胁包含3 个组成部分： 目标，是指可能受到攻击的方面； 代理，是指发出威胁的人或组织； 事件，是指做出威胁的动作类型。 认清威胁的来源是减少威胁得逞可能性的关键，下面陈述各种主要的威胁源： 人为差错和设计缺陷 内部人员 临时员工 自然灾害和环境危害 黑客和其他入侵者 病毒和其他恶意软件,身份验证,操作系统是硬件和其他应用软件之间的连接桥梁，他提供的安全服务主要包括内存保护、文件保护、普通实体保护和身份验证等。 身份标识和身份鉴别有两个目的： 对试图执行一个功能的每个用户的身份进行标识； 鉴别这些用户声称的身份，从而验证经过系统合法授权的用户身份 身份标识（用户要向系统表明的身份） 身份鉴别（对用户宣称的身份标识的有效性校验和测试过程） 网络环境下操作系统的身份验证（通过验证某个通信参与方的身份是否与他所声称的身份一致的过程） 身份认证协议（密码学机制） 身份认证技术 口令技术 采用物理形式的身份认证标记进行身份认证的鉴别技术,密码系统,操作系统的密码机制（口令机制） 操作系统的密码（口令）十分重要，它是抵抗攻击的第一道防线，我们必须把密码安全作为安全策略的第一步。 操作系统的密码选取 使用安全系数高的密码 密码的选取时，要注意密码空间的大小、长度、有效期以及采用加密算法。 加强密码的管理 密码系统的安全性不仅需要依靠高强度的密码，还依赖于严格的密码管理机制 Linux通过passwd设置密码 Linux将密码做shadow来保护密码数据库文件的安全。,入侵检测,入侵检测系统的分类 入侵检测系统（IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 基于主机的入侵检测系统 基于主机的入侵检测系统(HIDS)通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 基于网络的入侵检测系统 基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信,入侵检测,入侵检测系统的分析技术 异常检测技术 异常检测技术（Anomaly Detection）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。常见的异常检测技术有概率统计异常检测和神经网络异常检测。 误用检测技术 误用检测技术（Misuse Detection）也称为基于知识的检测技术或者模式匹配检测技术。误用检测技术首先假设所有的网络攻击行为和方法都是具有一定的模式或特征，将以往发现的所有网络攻击行为特征总结出来并建立一个入侵信息库，通过将当前捕获到的网络行为特征与入侵信息库中的特征信息进行比较，如果匹配，则当前行为就被认定为入侵行为。 常用的误用检测技术：专家系统误用检测和状态转换分析误用检测。,入侵检测,入侵检测系统的设置 入侵检测系统的设置步骤： （1）确定入侵检测需求，选择不同类型的入侵检测系统； （2）确定入侵检测系统在网络中的拓扑关系和部署区域； （3）合理有效地配置入侵检测系统； （4）通过反复地测试和应用，进行入侵检测系统的磨合； （5）入侵检测系统的使用及自调节，达到最优化。,安全策略,安全策略的内容 安全策略的组成 （1）安全策略目标，是某个组织对所要保护的特定资源要达到的目的所进行的描述，其目的是保护系统信息的完整性、有效性、保密性及可用性。 （2）组织安全策略，是一套法律、规则以及实际操作方法，主要用于规范组织如何管理、保护和分配资源，以达到安全策略的既定目标。 （3）系统安全策略，是指为了支持组织的安全策略要求，将特定的信息技术系统付诸工程实现方法。 安全策略的任务 确定并实施有效的安全策略 确保员工的行动与组织目标一致,安全策略,安全策略的类型 系统安全策略，包括用户的身份标识及身份鉴别，访问控制，加密，审计和病毒。 信息策略，定义一个组织内的敏感信息以及如何保护敏感信息。 计算机用户策略，规定了谁可以使用计算机系统以及使用计算机系统的规则。 Internet 应用策略 故障响应策略 灾难恢复策略,SELinux,传统Linux 的不足之处 、特权用户root 存在风险。任何人只要得到root 的权限，对于整个系统都可以为所欲为。 、文件的访问权限的划分仍不够细。Linux 系统里，对于文件的操作，只有“所有者”、“所有组”和“其他”这类用户的划分。而“其他”这一类用户不能再细分了。 、SUID 程序的权限升级。如果设置了SUID 权限的程序有了漏洞的话，很容易被攻击者所利用。 、DAC1（Discretionary Access Control）问题。文件目录的所有者可以对文件进行所有的操作。,SELinux,SELinux （扩张强制访问控制安全模块）的主要改进 、对内核对象和服务的访问控制 、对进程初始化、继承和程序执行的访问控制 、对文件系统、目录、文件和打开文件描述的访问控制 、对端口、信息和网络接口的访问控制。,SELinux,SELinux 的优点 MAC（Mandatory Access Control，强制访问控制）。是指用户与文件都有一个固定的安全属性，系统用该安全属性来决定一个用户是否可以访问某个文件。 TE（Type Enforcement，类型强制）。能有效地将操作系统与应用分开。 domain 迁移。防止权限升级。 RBAC（role base access control，基于角色的访问控制)。对用户只赋予最小的权限，用户被划成分为一些角色。,SELinux,主要结构,第三部分 备份与恢复,教学要求,本章目的： 主要介绍计算机操作系统为保护关健数据而提供的备份与恢复的功能。 教学目标： 了解各种介质的备份与恢复策略、技术。 重点与难点： 操作系统的灾难备份和恢复策略、技术。 专业术语: 备份、备份策略、完全备份、增量备份、差异备份、磁带备份、磁盘容错、廉价磁盘冗余阵列。,备份策略,概念 备份：是指将系统的关键数据和重要配置信息复制到其他存储介质上，以保证在原始系统信息和数据丢失的情况下可以进行系统及其数据的恢复。 备份策略：是指系统的安全备份策略应明确备份的内容、备份的时间要素、备份的设备、备份的路径、备份的工具和备份的方法等。,备份策略,目前常用备份策略 完全备份：复制给定计算机或文件系统上的所有文件，而不管它是否被改变。 增量备份：只备份在上一次备份后的增加、改动的部分数据。 差异备份：只备份上一次完全备份后有变化的部分数据。,备份和恢复数据,备份和恢复数据的策略选择 完全备份： 优点：当发生数据丢失的灾难时，只要用一个备份（即灾难发生前一天的备份），就可以恢复丢失的数据。 缺点：每天的完全备份操作，造成备份的数据大量重复，占用大量的空间，增加成本；完全备份的数据量较大，备份所花费的时间代价高。 增量备份： 优点：节省了空间，缩短了备份时间。 缺点：当灾难发生时，数据的恢复比较麻烦； 差异备份： 差分备份策略避免了完全备份和增量备份两种策略的缺陷，并综合了它们的全部优点。,备份和恢复数据,备份和恢复数据的介质选择 目前，常见的备份介质主要包括磁带、磁盘和光盘等方式，磁带备份以其高容量、低成本的优势，仍然是备份的主流介质。随着大容量、较低价格的磁盘存储技术的出现，磁盘备份的应用也逐渐广泛。光盘备份技术也将在未来具有较大的发展前景。,备份系统的结构,Host-Based 备份方式 Host-Based 是传统的数据备份的结构，这种结构中磁带库直接接在服务器上，而且只为该服务器提供数据备份服务。优点是数据传输速度快，备份管理简单；缺点是不利于备份系统的共享，不适合现在大型的数据备份要求。 LAN-Based 备份方式 LAN-Based 备份结构，在该系统中数据的传输是以网络为基础的。其中配置一台服务器作为备份服务器，由它负责整个系统的备份操作。磁带库则接在某台服务器上，在数据备份时备份对象把数据通过网络传输到磁带库中实现备份的。 优点是节省投资，磁带库共享，集中备份管理；缺点是对网络传输压力大。 LAN-Free 备份方式 LAN-Free 和Server-Free 的备份系统是建立在SAN（存储区域网）的基础上的。基于SAN 的备份是一种彻底解决传统备份方式需要占用LAN 带宽问题的解决方案。将磁带库和磁盘阵列各自作为独立的光纤节点，多台主机共享磁带库备份时，数据流不再经过网络而直接从磁盘阵列传到磁带库内，优点是数据备份统一管理，备份速度快，网络传输压力小，磁带库资源共享；缺点是投资高。,磁带备份与恢复,磁带备份介质 1/4 英寸磁带机QIC（Quarter Inch Cartridge） QIC 磁带机是在1972 年由3M 公司首先推出的，但直到90 年代才广泛使用。其主要特点是：体积小、容量大、可靠性高以及价格低廉等。 数字音频磁带机DAT（Digital Audio Tape） DAT 磁带机是1989 年推出的，其4mm 的磁带机已经逐渐得到业界广泛的认可。DAT磁带机的容量已达数个GB，传输速率已经超过QIC，且猝发传输速率可达35MB/s 以上。 选择磁带介质的情况 （1）备份时间充足。 （2）不需要进行快速的文件、目录的备份和恢复。 （3）脱机进行大块数据备份和恢复。 （4）长时期、高质量的文档存储。 （5）高质量、可移动的文档存储。动的数据存储进行灾难性数据恢复， （6）低成本的解决方案。,磁带备份与恢复,备份内容 一般情况下，在linux系统中，以下目录需要备份。 /etc包含所有核心配置文件，其中主要包括网络配置、系统名称、防火墙规则、用户、组，以及其他全局系统项。 /var包含系统守护进程（服务）所使用的信息，包括DNS配置、邮件缓冲文件、HTTP服务器文件、DB2实例配置等。 /home包含所有用户的默认用户主目录，包括用户的个人设置、已下载的文件和用户不希望丢失的其他信息。 /root是根用户的主目录。 /opt是安装许多非系统文件的地方。,磁带备份与恢复,备份工具 tar备份工具 在Linux 系统中，最常用的备份命令是tar 命令，这是一个从UNIX 系统移植过来的经典命令。Tar 是tape archive（磁带归档）的缩写，最初设计用于将文件打包到磁带上。 cpio 备份工具 cpio 命令（拷贝输入输入命令），其使用方法与tar 命令大致相同，但是也有一些区别，特别是在建立和释放档案文件操作所使用的命令行参数方面。,磁盘备份与恢复,磁盘容错技术 通常，在磁盘备份与恢复技术中，与其相关的一项重要技术是磁盘容错技术。容错技术是通过在系统中设置冗余部件来提高系统可靠性的一种技术。 磁盘容错技术也称为系统容错技术SFT（System Fault Tolerance），当磁盘系统的某部分出现缺陷或故障时，不致于造成数据的错误和丢失，仍能够保障磁盘正常工作。 磁盘容错技术分为三个级别： SFT是低级磁盘容错技术，主要用于防止磁盘表面发生缺陷所引起的数据丢失； SFT是中级磁盘容错技术，主要用于防止磁盘驱动器和磁盘控制器故障所引起的系统不能正常工作； SFT是高级系统容错技术。,磁盘备份与恢复,第一级容错技术 第一级容错技术（SFT）是最早出现的、也是最基本的一种磁盘容错技术。它包含双份目录、双份文件分配表以及写后读校验等措施。 双份目录和双份文件分配表 采用双份目录和双份文件分配表方式，分别建立两份目录表和FAT。其中，一份为主目录及主FAT；另一份为备份目