操作系统安全.ppt

操作系统安全讲师培训 CIWCI 200240Email niko chen 网络安全原则 第一单元 学习目标 了解企业中对安全的需求描述应用于安全领域的行业标准了解三个常规的安全级别了解帐户安全及访问控制描述安全三要素了解常见的网络操作系统 网络安全的定义 安全就是最大程度地减少数据和资源被攻击的可能性 安全的评估标准 ITSEC 欧洲信息技术安全评估标准 TCSEC 可信任计算机系统评估标准 CC 公共标准 ITSEC 包含内容如下 审核过程对文件系统审核评估风险防护病毒控制适当地管理关于商业新闻及安全发布的信息 TCSEC CC 提供了两个基本功能 标准化描述安全必要条件 比如安全需要什么 能满足哪些需求的产品和系统 以及对那些产品和系统进行测试和评估 以可靠的技术基础来对那些产品和系统进行评估 安全机制 安全机制用来实施安全系统 目前主要存在两种形式的安全机制 特殊安全机制和广泛安全机制 选择合适的操作系统 WindowsServer2003家族系列 包括了用户所希望的 用以支撑关键任务的功能和特性 如高安全性 高可靠性 高可用性和高可扩展性 HP UX为用户提供了关键任务功能的完整套件 其中包括增强的可靠性 有效性和可维护性 Internet和Web应用服务 目录和安全服务 系统管理 64路性能可测量性 AIX符合Opengroup的UNIX98行业标准 通过全面集成对32位和64位应用的并行运行支持 为这些应用提供了全面的可扩展性 它可以在所有的IBMp系列和IBMRS 6000工作站 服务器和大型并行超级计算机上运行 红旗Linux服务器是企业级的网络和应用服务器 该产品可运行在带有2 32路CPU的SMP架构和最大64GB内存的IA架构服务器上 它提供了标准Linux网络服务 并能稳定运行业界主流的商业应用 此外 该产品还可以作为完整的Linux软件开发平台 选择合适的操作系统 操作系统的共同威胁Unix Linux windows操作系统各自的特征 优缺点 费用和企业需要的结合 帐户与密码安全 用户帐户包含用户唯一的身份标识 访问控制 访问 访问是使信息在主体和对象间流动的一种交互方式 主体是指主动的实体 该实体造成了信息的流动和系统状态的改变 主体通常包括人 进程和设备 对象是指包含或接受信息的被动实体 对对象的访问意味着对其中所包含信息的访问 对象通常包括记录 块 页 段 文件 目录 目录树和程序以及位 字节 字 字段 处理器 显示器 键盘 时钟 打印机和网络节点 访问控制 访问控制决定了能够访问系统的权限 能访问系统的何种资源以及如何使用这些资源 访问控制类型 分类 防御型探测型矫正型管理型技术型操作型 访问控制手段 访问控制模型 任意访问控制强制访问控制非任意访问控制 访问控制管理 集中式 由一个管理者设置访问控制分布式 把访问的控制权交给了文件的拥有者或创建者 通常是职能部门的管理者混合式 混合式管理是集中式管理和分布式管理的结合 安全三要素 保密性 简单地说就是保密 只有那些有权限的人才能接触到这些信息 因此 要在纸上写上这些内容 阻止其他人偷窥 对这些内容加密或者使用访问控制机制 完整性 确保信息不被内部人员修改或者篡改或者被意外地修改 不管这些信息是程序还是数据 可用性 所有的系统和信息资源必须能够按照机构的需求启动和运行 比如要求能抵御拒绝服务攻击 安全策略 物理安全策略访问控制策略信息加密策略网络安全管理策略 确定系统状态 病毒扫描漏洞扫描性能和流量监控和分析 基本的Windows安全 第二单元 单元目标 理解Windows身份验证方法了解Windows域结构基础掌握NTFS权限的设置了解Windows访问控制体系了解Windows常见漏洞阐述SMB协议的功能了解MIME协议的功能 身份验证与SID SID 也就是安全标识符 SecurityIdentifiers 是标识用户 组和计算机帐户的唯一的号码 一个完整的SID包括 用户和组的安全描述符 48 bit的IDauthority 修订版本 可变的验证值Variablesub authorityvalues 实验2 1利用注册表编辑器查看SID Windows安全子系统的组成 Winlogon图形化鉴定和认证组件 GINA 本地安全授权 LSA 安全支持提供接口 SSPI 认证信息包安全支持提供商Netlogon服务安全账号管理 SAM Windows的安全子系统 实验2 2 利用组策略来强制使用强壮密码 Windows的活动目录与域 域 是Windows网络系统的安全性边界 WindowsServer2003利用活动目录来管理域 活动目录是WindowsServer2003网络中目录服务的实现方式 目录服务是一种网络服务 它存储网络资源的信息并使得用户和应用程序能访问这些资源 活动目录对象 主要包括用户 组 计算机和打印机 网络中的所有服务器 域控制器和站点等也认为是活动目录中的对象 活动目录的逻辑结构 活动目录的逻辑结构用来组织网络资源 包括域 组织单元 树和森林 活动目录的物理结构 物理结构用来设置和管理网络流量 活动目录的物理结构由域控制器和站点组成域控制器 是运行Windows2000或者WindowsServer2003的计算机 用来存储目录的副本 同时 域控制器管理目录信息的变化 并把这些变化复制给该域上的其它域控制器 域控制器存储目录数据 管理用户登录 验证和目录搜索 站点 由一个或多个高速连接的IP子网构成 通过定义站点 可以为活动目录配置访问和复制拓扑 Windows的访问控制列表 有随机和系统两种访问控制列表 ACE访问控制条目 每个访问控制条目包含用户或组的SID 以及它们对于对象的权限 一个访问控制条目指定一个对象上分配的一种权限 访问控制条目有两种类型 允许访问或拒绝访问 在访问控制列表里拒绝访问优先 NTFS的优势 NTFS5 0的特点主要体现在以下几个方面 NTFS可以支持的分区 如果采用动态磁盘则称为卷 大小可以达到2TB 而Win2000中的FAT32支持分区的大小最大为32GB NTFS是一个可恢复的文件系统 NTFS支持对分区 文件夹和文件的压缩及加密 NTFS采用了更小的簇 可以更有效率地管理磁盘空间 在NTFS分区上 可以为共享资源 文件夹以及文件设置访问许可权限 在Win2000的NTFS文件系统下可以进行磁盘配额管理 NTFS权限的注意事项 权限是累积的文件权限超越文件夹权限拒绝权限超越其他权限NTFS权限的继承性 特殊的NTFS权限 有两个特殊权限对于管理对文件及文件夹的访问来说特别有用 更改权限 如果为某用户授予这一权限 该用户就具有了针对该文件或文件夹修改权限的能力 获得所有权 如果为某用户授予这一权限 该用户就具有了获得文件和文件夹的所有权的能力 实验2 3 NTFS权限设置 实验2 3 特殊NTFS权限设置 操作系统的常规漏洞 空白或默认口令默认共享密钥IP欺骗 Spoofing 窃听服务弱点应用程序弱点拒绝服务 DoS 攻击 Windows操作系统的漏洞 Unicode漏洞 ida idq缓冲区溢出漏洞MicrosoftIISCGI文件名错误解码漏洞MSADCSRDS弱点漏洞FrontPage服务器扩展 Printer漏洞系统管理权限漏洞路径优先漏洞NetDDE消息权限提升漏洞安全帐户管理漏洞 Windows注册表 作用 管理配置系统运行参数的一个核心数据库 在这个数据库里整合集成了全部系统和应用程序的初始化信息 其中包含了硬件设备的说明 相互关联的应用程序与文档文件 窗口显示方式 网络连接参数 甚至有关系到计算机安全的网络共享设置 windows注册表的结构 实验2 5 注册表的备份和恢复 SMB服务器消息块协议 SMB协议在客户端 服务器环境中用于访问文件 打印机 邮件插槽 命名管道以及应用程序编程接口 API 等资源的共享协议SMB命令通常可以分为四部分 会话控制文件命令打印命令消息命令 CIFS协议 CIFS是SMB协议的增强版本 CIFS是一种开放式 跨平台的SMB版本 它是当前的准Internet标准 多用途网际邮件扩充协议 MIME 该协议指明了如何安排消息的格式 使消息在不同的邮件系统内进行交换 MIME的格式灵活 允许邮件中包含任意类型的文件 第三单元高级Windows的安全 单元目标 理解NTFS文件系统的功能及安全性了解Windows设置中默认值带来的风险了解Windows常见端口的功能掌握怎样保护注册表安全理解Windows服务包及补丁包的功能 文件系统安全 磁盘分区安全 将操作系统 程序文件 数据文件单独分区并设置不同的权限 实验3 13 2 创建Windows的文件共享设置共享权限 NTFS权限和共享权限的关系 原则 在NTFS分区上必须要求NTFS权限 对共享文件夹中的各个文件和子文件夹 用户除了具有该共享权限之外 还必须具有相应的NTFS权限 这样才能访问那些资源 Windows的默认设置 默认启动多项服务 开放多个端口NTFS权限为everyone完全控制默认共享如 admin ipc C D 等很多安全策略都是待定状态 没有设置 引起重视的五个端口 1 135端口 被认为是危险的 但又无法实际感受到其危险性 并且难以了解其用途检查其危险性的工具 IE en防范方法 最好办法是关闭RPC服务 引起重视的五个端口 2 137端口 除得到计算机名和注册用户名以外 还可以得到该机是否为主域控制器和主浏览器 是否作为文件服务器使用 IIS和Samba是否正在运行以及LotusNotes是否正在运行等信息 引起重视的五个端口 3 138端口提供NetBIOS的浏览功能 该功能用于显示连接于网络中的电脑一览表 比如 在Windows2000中由 网络邻居 中选择 整个网络 后 就会完整地显示连接于网络中的电脑 在浏览功能中 被称为主浏览器的电脑管理着连接于网络中的电脑一览表的浏览列表 每台电脑在起动时或连接网络时利用138端口广播自己的NetBIOS名 收到NetBIOS名的主浏览器会将这台电脑追加到浏览列表中 需要显示一览表时 就广播一览表显示请求 收到请求的主浏览器会发送浏览列表 关闭电脑时 机器会通知主浏览器 以便让主浏览器将自己的NetBIOS名从列表中删除掉 这些信息的交换使用的是138端口 由于这里也会进行广播 因此就会将自己的电脑信息发送给同组中的所有电脑 引起重视的五个端口 4 进行文件共享和打印机共享等实际通信时采用SMB协议 在SMB通信中 首先使用上述的计算机名解释功能 取得通信对象的IP地址 然后向通信对象发出开始通信的请求 如果对方允许进行通信 就会确立会话 Session 并使用它向对方发送用户名和密码信息 进行认证 如果认证成功 就可以访问对方的共享文件 在这些一连串的通信中使用的就是139端口 引起重视的五个端口 5 SMB 服务器信息块 协议 不仅使用139端口而且还会使用445端口 其它默认设置存在的风险 Guest帐户Administrator帐户转储文件 Windows的日志 日志文件 log 记录着Windows系统及其各种服务运行的每个细节 对增强Windows的稳定和安全性 起着非常重要的作用 实验3 3 Windows日志查看设置 注册表安全 注册表是一个存储键和值的数据库 它取代了早期Windows中的 ini系统的地位 并扩展了它的功能 编辑注册表具有潜在的风险性 一次错误的操作可能会对操作系统造成不可挽回的破坏 编辑并不是Window注册表面临的唯一风险 注册表访问控制 类似于文件或文件夹的访问控制 Windows为注册表提供了访问控制的功能 可以为用户帐号或组分配注册表预定义项的访问权限 注册表的权限 注册表的审核 如同审核文件系统 你可以审核对特定注册表区域的访问行为 对已经加以保护的注册表区域的审核尤为重要 实验3 4 实现注册表的审核 服务包和补丁包 微软公司会不定期发布对已经发现的Windows问题进行修补的程序 这些被称为服务包或补丁包的程序为终端用户完善了系统安全 运用并管理好服务包是保障系统安全的重要手段 没有绝对安全的系统与应用软件 2004年微软发布的45个安全公告 共修补了漏洞82个 推出补丁程序45类扫描和利用系统漏洞攻击是黑客最常用的攻击手段 针对系统漏洞最有效的方法就是安装补丁程序 因此防范病毒和攻击 我们第一步要做的就是安装系统补丁 微软公司有四种解决方案WindowsUpdate SUS SMS和WUS WindowsUpdate Windows2000sp3 winxpsp1 Windows2003后系统自带了Autoupdate的组件 我们可以通过点击控制面板内的自动更新选项来配置这项服务 SoftwareUpdateServices SUS 微软公司的SUS是微软公司为客户提供的 致力于帮助用户对基于WIN2000 XP 2003等机器快速部署最新的重要更新和安全更新的免费软件 SUS由服务器组件和客户端组成 服务器组件负责软件更新服务 称为SUS服务器 用于安装在公司内网的Windows2000或Windows2003的服务器上 服务器提供通过基于Web的工具管理和分发更新的管理功能 而客户端组件就是微软公司的自动更新服务 AutomaticUpdates 负责接收从服务器中产品更新的信息 SystemsManagementServer SMS SMS是微软公司面向企业用户提供的网络管理软件 它基于Windows2000动态目录管理 适用于大型企业 它能够协助系统管理员轻松收集企业内部计算机硬件配置和所安装的软件清单 准确判断哪些机器需要更新 哪些机器可以运行新的软件 SMS提供了远程故障处理工具 很大程度上减少企业维护成本 WindowsUpdateServices WUS WUS是微软公司新的系统补丁发放服务器 它是SUS的继任者 WUS提供了必需的报告功能而且可以更新OfficeXP 2003 Exchange2003和SQL 以及MSDE 2000 而且在以后也会加入对其他应用程序更新的支持 目前WUS还属于公开测试阶段 只支持Win2000Server和Win2003Server 实验3 5 SUS的部署 可选 第四单元Unix Linux安全基础 单元目标 了解操作系统的常规漏洞理解缓冲区溢出 配置错误和root工具包认识UNIX的认证机制理解UNIX的访问控制掌握密码过期和帐户停用 UNIX发展历史 它的第一个版本是1969年在AT T贝尔实验室实现的 1974用C语言重写的V4版 这成为计算机系统之间操作系统可移植性的一个里程碑 80年代其他厂商 以及科研机构都纷纷改进Unix 其中以加州大学伯克利分校的BSD版本最为著名从90年代开始 AT T的源代码许可证创造了市场的繁荣 不同开发者开发了数百种UNIX版本 如IBM的AIX Sun公司的Solaris HP公司的HP UX等 Linux Linux是从Unix衍生出来的 80年代中期 芬兰赫尔辛基大学的LinusTorvalds开始了旨在代替Unix操作系统的开发 并于1991年开发成功 这就是Linux Unix Linux命令基础 SupwdLsfindtargzipcprmDfPsshutdown Unix Linux操作系统的常规漏洞 RPC守护进程程序错误漏洞一些服务和应用的远程漏洞IP欺骗窃听暴露系统信息最近一次输入的口令被保存在历史记录中缓冲区溢出 什么是rootkit rootkit是可以获得系统root访问权限的一类工具 实际上 rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具 主要的表现形式就是修改正常的程序来实现自己的目的 Rootkit的组成 所有的rootkit基本上都是由几个独立的程序组成的 一个典型rootkit包括 以太网嗅探器程序 用于获得网络上传输的用户名和密码等信息 特洛伊木马程序 例如 inetd或者login 为攻击者提供后门以便攻击者下次能够很轻松的进入 隐藏攻击者的目录和进程的程序 例如 ps netstat rshd和ls等 可能还包括一些日志清理工具 例如 zap zap2或者z2 攻击者使用这些清理工具删除wtmp utmp和lastlog等日志文件中有关自己行踪的条目 一些复杂的rootkit还可以向攻击者提供telnet shell和finger等服务 还包括一些用来清理 var log和 var adm目录中其它文件的一些脚本 lrk 目前最常见的rootkit是LinuxRootkit lrk 以lrk为例 列出这些程序及其功用 lrk工作集包含有 fix 改变文件的timestamp 时间戳 和checksum 校验和 用来把窜改过的程序的timestamp和checksum 变更为和原先的系统中的程序相同 linsniffer 窃取特定网络信息 ftp telnet imap 的sniffer sniffchk 检查linsniffer是否在运行 wted 查阅或移除wtmp中指定的栏位 z2 移除某个使用者最后的utmp wtmp lastlog纪录 防范和发现rootkit 首先 不要在网络上使用明文传输密码 或者使用一次性密码 其次使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵 它们能够很好地提供系统完整性的检查 另外如果怀疑自己可能已经被植入rootkit 可以使用chkrootkit来检查 chkrootkit是专门针对rootkit的检测工具 访问控制的基本概念 主体 Subject 主体是指主动的实体 是访问的发起者 它造成了信息的流动和系统状态的改变 主体通常包括人 进程和设备 客体 Object 客体是指包含或接受信息的被动实体 客体在信息流动中的地位是被动的 是处于主体的作用之下 对客体的访问意味着对其中所包含信息的访问 客体通常包括文件 设备 信号量和网络节点等对象或是资源 访问 Access 访问 Access 是使信息在主体 Subject 和客体 Object 之间流动的一种交互方式 访问包括读取数据 更改数据 运行程序 发起连接等 访问许可 AccessPermissions 访问控制决定了谁能够访问系统 能访问系统的何种资源以及如何使用这些资源 访问控制分类 基本理念强制访问控制 Mandatoryaccesscontrol 自主访问控制 Discretionaryaccesscontrol 应用环境网络访问控制主机 操作系统访问控制应用程序访问控制 用户管理的命令和工具 useradd 添加用户adduser 添加用户passwd 为用户设置密码usermod 修改用户命令 可以通过usermod来修改登录名 用户的家目录等等 pwcov 同步用户从 etc passwd到 etc shadowpwck pwck是校验用户配置文件 etc passwd和 etc shadow文件内容是否合法或完整 finger 查看用户信息工具id 查看用户的UID GID及所归属的用户组chfn 更改用户信息工具su 用户切换工具 用户和密码的相关文件 etc passwd文件含有全部系统需要知道的关于每个用户的信息 加密后的口令存于 etc shadow文件中 etc passwd中包含有用户的登录名 经过加密的口令 用户号 用户组号 用户注释 用户主目录和用户所用的shell程序 其中用户号 UID 和用户组号 GID 用于UNIX系统唯一地标识用户和同组用户及用户的访问权限 etc passwd文件内容 第一字段 用户名 也被称为登录名 第二字段 口令第三字段 UID第四字段 GID第五字段 用户名全称第六字段 用户的home目录所在位置第七字段 用户所用SHELL的类型 设置密码安全的命令 passwd k 保留即将过期的用户在期满后能仍能使用 d 删除用户密码 仅能以root权限操作 l 锁住用户无权更改其密码 仅能通过root权限操作 u 解除锁定 f 强制操作 仅root权限才能操作 x 两次密码修正的最大天数 后面接数字 仅能root权限操作 n 两次密码修改的最小天数 后面接数字 仅能root权限操作 w 在距多少天提醒用户修改密码 仅能root权限操作 i 在密码过期后多少天 用户被禁掉 仅能以root操作 S 查询用户的密码状态 仅能root用户操作 chage命令 chage语法格式 chage OPTION mmindays 设定使用者必须要更改密码的最短天数 如果值为0 表示密码永不过期 Mmaxdays 指定密码最长的有效天数 dlastday 指定上次更改密码的天数 Iinactive 指定在密码过期后与账号锁定前的天数 假如指定值为0的话 在密码过期后 帐号将不会被锁定 Eexpiredate 指定要锁定帐号的日期 以YYYY MM DD格式 Wwarndays 指定密码过期前要警告使用者的天数 危害密码的行为 网络侦听 sniffer 口令字猜测 passwordguessing 密码的安全防范 密码长度密码复杂性定期更改 第五单元Unix Linux的高级安全 单元目标 深入掌握UNIX权限了解可拔插的认证模块PAM了解易受攻击的服务了解NFS的安全问题掌握Telnet的安全掌握Apache的安全SSH简介及运用了解FTP安全掌握UNIX日志管理 Unix Linux的系统目录结构 binbin是Binary的缩写 这个目录存放着最经常使用的命令 boot这里存放的是启动Linux时使用的一些核心文件 包括一些链接文件以及镜像文件 有些类似于windows系统中的boot ini文件 devdev是Device 设备 的缩写 该目录下存放的是Linux的外部设备 在Linux中访问设备的方式和访问文件的方式是相同的 如磁盘设备在Linux中叫做 dev fda0 磁盘称为 dev hda0或 dev scsi0 磁带设备称为 dev rmt0 etc这个目录用来存放所有的系统管理所需要的配置文件和子目录 比如大家都非常熟悉的init程序 httpd smb ssh等配置文件 home用户的主目录 在Linux中 每个用户都有一个自己的目录 一般该目录名是以用户的账号命名的 这和Windows系统中的主目录是一个概念 类似每个用户的我的文档这个文件夹 lib这个目录里存放着系统最基本的动态链接共享库 其作用类似于Windows里的DLL文件 几乎所有的应用程序都需要用到这些共享库 lost found这个目录一般情况下是空的 当系统非法关机后 这里就存放了一些文件 mnt在这里面中有四个目录 系统提供这些目录是为了让用户临时挂载别的文件系统的 我们可以将光驱挂载在 mnt cdrom上 然后进入该目录就可以查看光驱里的内容了 proc这个目录是一个虚拟的目录 它是系统内存的映射 我们可以通过直接访问这个目录来获取系统信息 root该目录为系统管理员 也称作超级权限者的用户主目录 sbins就是SuperUser的意思 这里存放的是系统管理员使用的系统管理程序 tmp这个目录是用来存放一些临时文件的 var这个目录中存放着在不断扩充着的东西 我们习惯将那些经常被修改的目录放在这个目录下 包括各种日志文件 Linux文件属性概述 例 90297 rw r r 1rootroot52Aug2216 56 DCOPserver linux 0 文件权限位 改变权限的命令chmod 数字法 改变权限的命令chmod 助记法 改变目录权限 如果我们想改变的仅仅是目录的权限 只需要跟上所需的权限位和目录名就可以了 不用加任何参数 如果想把目录以下的所有文件或子目录改变 应该加 R参数 默认权限分配的命令umask umask是通过八进制的数值来定义用户创建文件或目录的默认权限 umask表示的是禁止权限 不过文件和目录有点不同 对于文件来说 umask的设置是在假定文件拥有八进制666权限上进行 文件的权限就是666减去umask的掩码数值 对于目录来说 umask的设置是在假定文件拥有八进制777权限上进行 目录八进制权限777减去umask的掩码数值 改变文件的当属关系的工具chown chown所接的新的属主和新的属组之间应该以 或 连接 属主和属组之一可以为空 如果属主为空 应该是 属组 如果属组为空就不必需要 或 了 chown也提供了 R参数 这个参数对目录改变属主和属组极为有用 我们可以通过加 R参数来改变某个目录下的所有文件到新的属主或属组 改变文件的属组工具chgrp 它的用户和chown类似 只不过它仅是用来改变文件或目录的属组的 R参数用于目录及目录下所有文件改变属组的 它和chown的用法是一样的 PAM PAM 可插拔认证模块 方式允许系统管理员设置多种认证措施而无须重新编译要进行认证的程序 这就使得管理员能根据当前需求的变化而变更用户认证的方法 PAM的模块类型 PAM定义了四种类型的模块 auth模块提供实际的认证过程 可能是提示口令输入并检查输入的口令 设置保密字如用户组或KERBEROS通行证 account模块负责检查并确认是否可以进行认证 比如 帐户是否到期 用户此时此刻是否可以登入 等等 password模块被用来设置口令 session模块将被用来做使用户使用其帐户前的初始化工作 如安装用户的HOME目录啦 使能用户的电子邮箱啦 举例 authrequired lib security pam securetty soauthrequired lib security pam pwdb soshadownullokauthrequired lib security pam nologin soaccountrequired lib security pam pwdb sopasswordrequired lib security pam cracklib sopasswordrequired lib security pam pwdb soshadownullokuse authtoksessionrequired lib security pam pwdb so Telnet安全 telnet有以下几个严重缺陷 口令没有加密 第三者可用嗅探器捕获到口令 Telnet没有采用强用户认证 Telnet不进行会话完整性检查 Telnet会话没有加密 SSH SSH secureShell 是一个用来替代TELNET FTP以及R命令的工具包 主要是想解决口令在网上明文传输的问题 NFS安全 NFS networkfilesystem 是由SUN公司开发 并于1984年推出 NFS的功能在于提供不同机器间的档案分享与共用 NFS的不安全性主要体现于以下4个方面 新手对NFS的访问控制机制难于做到得心应手 控制目标的精确性难以实现NFS没有真正的用户验证机制 而只有对RPC Mount请求的过程验证机制较早的NFS可以使未授权用户获得有效的文件句柄在RPC远程调用中 一个SUID的程序就具有超级用户权限 NFS安全 禁止NFS服务 或以AFS服务取而代之 AndrewFileSystem 如果一定要开NFS 不要让一个单机可以既是client 也是serverexport出的文件系统只设置为只读禁止那些有SUID特性的程序的执行不要exporthome目录不要export可执行特性 Apache服务器安全 Apache服务器是Internet网上应用最为广泛的Web服务器软件之一 Apache服务器源自美国国家超级技术计算应用中心 NCSA 的Web服务器项目中 目前已在互联网中占据了领导地位 主要的安全缺陷 1 使用HTTP协议进行的拒绝服务攻击 denialofservice 的安全缺陷 2 缓冲区溢出的安全缺陷 3 被攻击者获得root权限的安全缺陷 正确维护和配置Apache服务器 1 Apache服务器配置文件 2 Apache服务器的日志文件 3 Apache服务器的目录安全认证 4 Apache服务器访问控制 5 Apache服务器的密码保护问题 日志查看和分析工具 在Linux系统中 有三个主要的日志子系统 连接时间日志 由多个程序执行 把记录写入到 var log wtmp和 var run utmp login等程序更新wtmp和utmp文件 使系统管理员能够跟踪谁在何时登录到系统 进程统计 由系统内核执行 当一个进程终止时 为每个进程向进程统计文件 pacct或acct 中写一个记录 进程统计的目的是为系统中的基本服务提供命令使用统计 错误日志 由syslogd 8 执行 各种系统守护进程 用户程序和内核通过syslog 3 向文件 var log messages报告值得注意的事件 另外有许多UNIX程序创建日志 像HTTP和FTP这样提供网络服务的服务器也保持详细的日志 Linux的日志文件 日志查看命令 who who命令查询utmp文件并报告当前登录的每个用户 who的缺省输出包括用户名 终端类型 登录日期及远程主机 w w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息 日志查看命令 users users用单独的一行打印出当前登录的用户 每个显示的用户名对应一个登录会话 如果一个用户有不止一个登录会话 那他的用户名将显示相同的次数 last last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户 lastlog lastlog文件在每次有用户登录时被查询 日志查看命令 lastcomm命令报告以前执行的文件 sa命令报告 清理并维护进程统计文件 Syslog已被许多日志函数采纳 它用在许多保护措施中 任何程序都可以通过syslog记录事件 Syslog可以记录系统事件 可以写到一个文件或设备中 或给用户发送一个信息 它能记录本地事件或通过网络记录另一个主机上的事件 Syslog设备依据两个重要的文件 etc syslogd 守护进程 和 etc syslog conf配置文件 第六单元特殊操作系统安全 本课目标 掌握思科IOS操作系统掌握交换机和网桥安全了解网络设备管理了解无线访问点的安全了解附加设备安全怎么进行硬件升级建立计划更新 路由器及IOS简介 路由器 Router 是用于连接多个逻辑上分开的网络 所谓逻辑网络是代表一个单独的网络或者一个子网 处理器内存接口控制台端口和辅助端口软件部分 路由器的基本组成及有关术语 IOS的安全策略 注意物理安全堵住安全漏洞避免身份危机禁用不必要服务限制逻辑访问监控配置更改实施配置管理 交换机和网桥的安全 交换机作为局域网信息交换的主要设备 特别是核心 汇聚交换机承载着极高的数据流量 在突发异常数据或攻击时 极易造成负载过重或宕机现象 广播风暴控制技术 广播风暴抑制比为VLAN指定广播风暴抑制比 设置最多可学习到的MAC地址数设置系统MAC地址老化时间设置MAC地址表的老化时间 MAC地址控制技术 基本访问控制列表二层访问控制列表 ACL 访问控制列表 技术 企业中无线局域网WLAN的安全防护 在有线网络中 您可以清楚辨别哪台电脑连接在网线上 无线网络与此不同 理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络 如果企业内部网络的安全措施不够严密 则完全有可能被窃听 浏览甚至操作电子邮件 为了使授权电脑可以访问网络而非法用户无法截取网络通信 无线网络安全就显得至关重要 两大基本安全防护手段 访问控制加密 企业无线网安全防护的建议 更改默认设置更新AP的Firmware屏蔽SSID广播 屏蔽SSID广播 关闭机器或无线发射 MAC地址过滤 降低发射功率 加密 路由器和交换机IOS的升级 前期准备 电脑一台 台式机 笔记本均可 直连网线一根 即两端线序一致 用于向交换机传输IOS文件 交换机配置线一根 用于接连设备的console口 TFTP服务器软件一套 本次使用的是 CiscoTFTPServer IOS升级文件一份 建立更新计划 路由器和交换机等网络设备IOS不像计算机操作系统一样可以到网上进行自动更新和升级 必须通过人为的手工方式进行升级和更新 所以要求网络管理员必须定期的对设备的IOS进行检查 如果发现有新的IOS或是相关的补丁程序 必须及时有效的进行升级 第七单元降低风险 本课目标 解释系统补丁和修复程序的目的和重要性 以及运用它们 修改Windows的设置以提高安全性 停止或删除服务以提高Windows和Linux系统安全 简化功能降低风险 确定操作系统的角色 根据需要启动或关闭后台服务 补丁包和修复程序 Microsoft服务包RedHatLinux正误表 禁止和删除不必要的服务 需要过滤的服务端口 加强网络连接安全 SMB加密 使Windows2000所有的包都使用加密的签名来防止欺骗 这种方式几乎消除了伪造报文的可能性 其它配置的更改 加强打印机驱动的安全 隐藏上次登录的用户名加强共享系统对象的安全清除系统关机后的页面交换文件 其它配置的更改 禁止缓存登录的信任状态 其它配置的更改 加强定时服务的安全加强可移动设备的安全 其它配置的更改 禁止和删除Linux中不必要的服务 TFTP命令Sendmail和SMTP守护进程拒绝入站访问拒绝出站访问 持续的进行监控 TCPWrapper 记录和监视着远程客户端用户和服务器端的程序或守护进程之间的联系telnetdftpdrlogindtalkdfingerd 用于对个别文件进行安全性检查的工具 它可以检测任何对文件的更改和破坏 MD5可以把任意长度的文件做成128位的数字摘要 信息摘要5 MD