哈工大-计算机安全学-信息安全专业.docx

第二章 操作系统安全基础1、操作系统提供的安全目标是什么？以及为达到安全目的相应的措施是什么？目标1：允许多个用户可以安全地共享一台计算机内存保护、处理器模式、身份验证、文件访问控制目标2：确保网络环境下的安全操作身份验证、访问控制、保密通信、审计日志、入侵预防和检测。2、用root或administrator身份运行在内核模式和用户模式的差别是什么？（Difference between kernel mode and processes running as root (or superuser, administrator) ）内核模式和root是两个不相关的独立的概念，以root运行一个进程的概念是一个UNIX/LINUX术语，它意味着你是作为系统管理员登陆的。你运行任何进程，不管你是以root还是普通用户身份，一般同时运行在内核模式和用户模式下。该系统不断在两个模式间切换，用户模式下是应用程序代码在运行，内核模式下是内核代码在运行。例如像设备驱动的一些程序，始终运行在内核模式，意味它们有权限访问硬件。一个普通的应用程序以root权限运行在用户模式下，只有当发生一个内核系统调用时会切换到内核模式，然后会再切回到用户模式。3、为验证用户身份，系统将用户输入的口令同存储在口令文件中的值进行比较。对攻击者而言，口令文件更具吸引力，如何保护口令文件？1) 加密保护2) 由操作系统强加的访问控制3) 加密保护和访问控制相结合，或者可能有更强的保护措施来减缓字典攻击的速度第三章 Unix访问控制1、 运行二进制文件和脚本文件时，如何设置权限？2、 目录的执行位有何用途？If execute permission is required for a directory, it is usually required for each directory component on the full pathname of that directory Without execute permission on a directory, a user cant access files in a directory even if they own them and have all permissions on them With read but not execute, you can do lssomeDir but not ls-lsomeDir With execute but not read permission, you can ls-lsomeDir/file but not lssomeDir or ls- lsomeDir. s执行位能控制目录的遍历，能查找到目录下文件的inode信息。要访问目录下的文件，要使文件路径的目录都有执行位。3、 读/home/abc/aaa.txt文件所需权限？删除/home/abc/aaa.txt需要什么权限？x on /, x on /home , x on /home/abc , r on /home/abc/aaa.txtx on /,x on /home,wx on /home/abc4、用fork创建进程，和用exec执行文件的进程，其euid,suid,ruid分别有何差别？用fork创建一个子进程，其euid，suid，ruid都是继承其父进程的； 用exec执行文件的进程，一般情况下euid，suid，ruid是保持不变的。除非被执行文件的set-user-id被设置，在这种情况下，进程的euid和suid被赋予成文件拥有者的user-id。1、 函数setuid含义在不同操作系统版本以及不同情况下结果不同，请问如何避免歧义？使用改进的API以避免在不同的UNIX系统中混淆，具体实现基于FSA自动机，通过uid-setting系列的系统调用，使用三个函数分别实现临时失去权限、永久失去权限、重新获得权限功能。第四章 防主机入侵1、 Unix系列的系统，访问控制是基于user id的，基于user的访问控制是粗粒度的，尤其root用户权限过大，请问有几种限制措施吗，分别是什么？Answer:1) 虚拟化进行限制 包括操作系统级虚拟化： 在单内核的操作系统上虚拟服务、如chroot或FreeBSD jail 虚拟机 在主机上运行模拟软件，如VMWare，Microsoft Virtual PC Paravirtualization2) 打破root强大的权力 POSIX/Linux能力 FreeBSD运行级别3) 采用细粒度的强制访问控制2、 使用chroot进行虚拟化限制，好处是什么？某人想使用chroot限制某服务运行在某目录下，其做法是： chroot(dir); setresuid(nonroot); / give up root permissions correctly; 请问能否成功，为什么，如果不成功，如何修改使之成功？Answer：使用chroot进行虚拟化限制的优点是安全且性能好，管理员容易建立和管理。在新的root下，许多系统功能和资源不存在，及时攻击者破坏进程，对系统损失和影响也非常有限。上面chroot做法缺少一步：chdir(dir);3、 为了打破root强大功能，linux内核2.6.24把root权力分为分成多个能力(capability)位，请问CAP_CHOWN能力位和chown系统调用有何关系？Answer：CAP_CHOWN:可以改变文件拥有权，也可越过自主访问限制4、 在SELinux系统中，采用细粒度的强制访问控制，如何设置访问控制措施使得普通用户可以修改自己的密码而又没有获得额外权限？Answer：passwd程序可以修改shadow，普通用户不能修改shadow文件Passwd程序定义类型passwd_t，/etc/shadow定义类型shadow_t允许普通用户Joe的shell（类型user_t），运行passwd程序（类型passwd_exec_t）上启动execve()系统调用，格式为 allow user_t passwd_exec_t : filegetattr execute;对passwd_t域的入口访问权: allow passwd_t passwd_exec_t : file entrypoint许可原始的类型（user_t）到新类型(passwd_t)进行域转变Transition : allow user_t passwd_t : process transition第五章 自主访问控制1、 在访问控制中，如何理解user和principle，二者有何联系和区别？principaluser是真实世界的用户，principal是访问控制和授权的单元，原则广义上等价于进程。principle确保了user行为的责任。一个user可以有多个principle，但是一个principle只和一个user相关。2、 试比较ACL(Access Control Lists)和访问能力列表capabilitiy list的优缺点。1.ACL：优点：访问控制策略设置集中，适合于保护数据导向的环境；实现起来比较简单。缺点：较不适合多用户的环境，或者用户给其他用户授权的时候；它的效率不高，因为在运行时要进行安全检查，以便让操作系统知道是哪个用户正在运行程序，而不是哪个文件已被授权访问；查找某个用户具有访问权限的文件很繁琐，例如要解雇员工必须通过取消密码或其他身份验证机制来实现。2.Capability：优点：对比与ACL，在运行时进行安全检查很有效率；能解决confused deputy problem。缺点：改变文件的状态很困难，很难撤销能力，因为不容易找出哪些用户具有访问权限；对于谁可以被获准访问给定的对象难以有一个全面的了解。3、 自主访问控制中，特洛伊木马如何完成信息泄露？特洛伊木马是一种流氓软件，被授权用户无意中安装。它能做用户期望要做的事，但除此之外又利用用户合法权限导致安全漏洞。举例来看：第8章 安全策略(已留做课后作业)1、安全策略要求学生不可以拷贝作业。计算机系要求学生在计算机上完成家庭作业，一个学生A看到另一个学生B写的作业没有写保护，于是拷贝该作业，请问谁违背安全策略？并以此为例，说明安全策略和安全机制间的关系。学生A违背安全策略，因为安全策略不允许抄袭作业。如果说学生A有复制文件的权力，因此行为是允许的，那么这就混淆了机制和策略的概念。如果反驳说A有复制文件的能力，因此行为是允许的，那么这就混淆了机制和策略这两个概念。二者区别是明显的：安全机制是实施安全策略的某些部分的实体或规程。在这个例子中，策略声明任何学生不得抄袭他人作业。这种策略的一种机制就是文件访问控制：如果B设置权限，防止A读他的作业文件，则A就不能复制该文件。2、一个著名的计算机安全专家说，没有完整性系统就不能提供机密性，没有机密性系统能否提供完整性。你同意该说法么？为什么？不同意。系统的完整性和机密性是分开的。完整性的含义是所有成员都对客体信任，而保密性规定了客体不可以被泄露，没有指出是否该信任客体。这个意思就是说没有完整性，也可以提供保密性。第二个观点也是可以提供。未保证机密性，就是信息会泄露给未授权者，但他们不一定会对其进行篡改，可以保证信息是准确、正确、未篡改的。这也就说没有机密性情况下也可以提供完整性。3、分析下面事例属于自主访问控制、强制访问控制、创建者控制策略、还是组合策略，分析你的判断：1）unix操作系统的文件访问控制机制；2）没有作者同意，备忘录不能被散发；3）军事系统中只有将军可以进入指定的房间；4）一个大学的办公系统，学生给其系成员写访问许可情况下，系成员可以看指定学生的成绩a自主型访问控制b创建者访问控制c强制型访问控制d自主型访问控制4、UC Davis校园的读电子邮件策略，一个研究小组想获取该系所处网络上的原始数据，1）分析其收集数据对电子邮件策略的影响；2）如何修改策略使得在保护电子邮件前提下允许收集数据1）在电子邮件的完全策略中有一些通用的规定条款：在对待电子邮件时，只有在已列出的特殊情况下，还要副校长同意，才可以不经邮件拥有者同意查看邮件。如果条件不具备，只有在特殊紧急情况才能不经许可阅读邮件，而且事后一定要取得授权。从网上获取传送到校内的网络包并未满足条件，没遵守政策要撤销其电子邮件服务。2）可以改变一下策略，同时不放弃电子邮件策略的保护原则。首先注意到如果是已列出的特殊情况就可以。就可以在条款中增加特殊情况：以研究网络包的原始数据为目的的获取电子邮件行为，是被允许的。还可以在第三部分电子邮件策略的实现中更改。第三部分扩充了系统策略，就可以在这部分增加特定校园的需求和手段，加上该研究小组这类性质的需求，形成自己学校特殊的策略也是可以的。第9章 机密性1、给定安全级：Top Secret、Secret、Confidential、unclassified；范畴：A、B、C；访问类型：读、写、读写、无；自主访问控制，判断下列情况的访问类型：1）Paul的安全标签(TOP SECRET, A, C )，预访问文件其标签是(SECRET, B, C )；无2）Anna的安全标签(CONFIDENTIAL, C )，预访问文件其标签是(CONFIDENTIAL, B )；无3）Jesse的安全标签(SECRET, C )，预访问文件其标签是(CONFIDENTIAL, C )；读4）Sammi的安全标签(TOP SECRET, A, C )，预访问文件其标签是(CONFIDENTIAL, A )；读5）Robin无安全标签UNCLASSIFIED，预访问文件其标签是(CONFIDENTIAL, B )；写2、在下图DG/UX系统中，为什么病毒防护区在用户区下面，管理区在用户区上面。最高的管理区是为用户不能访问的数据预留的，如日志、MAC标签定义等。因为向上读和向上写是不允许的，用户既不能读也不能修改本区的数据。管理进程，如服务器进程，使用该区的MAC标签执行，然而管理进程要使用用户区的MAC标签对发送到用户进程的数据进行无害化处理。系统程序出于最低区(病毒防护区)，用户进程不能写系统程序，因此也就不能改变他们，因为执行需要进行读访问，所以用户可以执行这些程序。3、Bell-LaPadula模型中为什么要设置最大安全级maximum security level和当前安全级current security level？答：有时，一个主体必须与另一处处于较低等级上的主体进行通信。这就要求高等级的主体写信息到一个低等级的客体里去，以便低等级的主体可以读。这样设置最大安全级和当前安全级，最大的必须支配当前的。这样主体可以有效地从最高安全等级降低下来，以便与低安全等级的实体通信。4、为30年后解密的文档设计一个安全模型。第10章 完整性1、 同机密性模型类似，Biba模型也采用完整性标签和范畴，在什么条件下主体可以读客体，主体可以写客体？s S can read o O iff i(s) i(o)s S can write to o O iff i(o) i(s)2、 在Clark-Wilson模型中，描述CDI、TP、IVP间关系。CDI：约数型数据项，有一系列完整性约束限制着CDI的值TP：转换过程，将CDI从一个有效状态转换为另一个有效状态的过程。IVP：完整性验证过程，它要检验CDI是否符合完整性约束。3、 在Clark-Wilson模型中，为什么要维护正确的审计日志，又是如何保证日志正确性的？大部分基于事务处理的系统都要记录每次事务，使得审计人员可以审查这些事务。Clark-Wilson模型将系统日志看为一种CDI，每一个TP都可以添加这个日志，但是TP不可以重写日志。第11章 混合性1、 中国墙模型是如何控制信息间接流动的？中国墙模型模型中的*-property应当只指当前的读访问还是指任何过去的读访问？定义了利益冲突类COI包含相互竞争公司的数据集，还定义了公司数据集CD包含了与某家公司相关的若干客体*-属性指主体S能写客体O，当且仅当两个条件同时满足：1、CW-简单安全条件允许S读O2、对于所有有害客体O，S能读取O = CD(O)=CD(O)因此是指当前的读访问2、 在一个控制对病历和处方访问的医疗信息系统中，要求：1）医生可以读写病历和处方，2）护士只能读写处方，但不应当知道病历内容。问如何阻止病历流向处方？哪种安全模型最适合这种策略？层次等级：High，Low类别：病历，处方医生安全等级：（High，病历，处方）护士安全等级：（High，处方）病历安全等级：（Low，病历）处方安全等级：（Low，处方）安全模型：BLP模型主体集合由医生和护士组成，客体集合由病历和处方组成。安全级别由低到高依次为fC（护士）=fC（医生）? fO（处方）? fS（护士）? fO（病历）? fS（医生），根据ss-property，即无向上读策略，医生可以读病历和处方，护士只能读处方；根据?-property，即无向下写策略，医生、护士可以写病历和处方，且防止护士知道病历的内容。3、 参考基于角色的访问控制RBAC和互斥角色的定义，如何防止一个医生给自己开止疼片？角色的集合为医生和病人，医生有开止疼片的权利，病人可以接受治疗。但是根据互斥角色的定义，一个医生在担任医生这个角色时不可以同时成为病人，此时只具有给其他人开止疼片的权利。并且当他成为病人的角色时，只能接受其他医生的处方。4、安全模型间的比较Clark-Wilson与Biba比较：Biba为所有的主体和客体都关联上一个完整性等级。Clark-Wilson每个客体都有2个等级：受约束的或高等级的(CDI)，非受约束的或低等级的(UDI)。主体也有2个等级：已证明的(TP)和未证明的(其他程序)。区别在于证明规则，Biba没有证明规则，他断言存在“可信”主体来保证系统的操作遵守模型的规则，而没有提供任何机制或规程来验证这些可信实体或他们的行为。Bell-Lapadula与中国墙：中国墙的主体没有相关的安全标签，而Bell-Lapadula的主体有。Bell-Lapadula没有“曾经访问”的概念，这是中国墙的核心概念。用Bell-Lapadula仿真中国墙：为每一个(COI,CD)指派一个安全类别，并定义2个安全级别：S（无害数据），U（有害数据）。根据假设S dom U，每一个客体都被转换成2个客体，一个为无害客体，一个为有害客体。赋予中国墙的每个主体一个安全等级，并要求同一个安全等级内不能包含多个类别（对应同一个COI类中的多个CD）。此时CW-简单安全条件明显满足。同样CW-*-属性也满足，因为Bell-Lapadula中的*-属性保证输入客体的类别是输出客