操作系统安全.doc

操作系统安全第一章 安全法则概述：基本概念 NT的安全性 UNIX的安全性一、基本概念： 1、安全级别： 低安全性：在一个安全的位置，没有保存 扫描病毒 敏感信息 中等安全性：保存公众数据，需要被多人使 设置权限，激活审核，实现账号策略用 高安全性：位于高风险的位置，保存有敏感 最小化操作系统的功能，最大化安全机制信息 2、安全机制： 具体的安全机制： 环绕机制：在进程或系统之间加密数据 签名机制：抗抵赖性和抗修改性 填充机制：增加数据捕获的难度 访问控制机制：确保授权的合法性 数据统一性机制：确保数据的顺序发送 广泛的安全性机制： 安全标记：通过指出数据的安全性级别来限制对数据的访问 信任机制：提供了敏感信息的传输途径 审核：提供了监控措施 安全恢复：当出现安全性事件的时候采取的一组规则 3、安全管理： 系统安全管理：管理计算机环境的安全性，包括定义策略，选择安全性机制，负责审核和恢复进程 安全服务管理： 安全机制管理：实现具体的安全技术二、NT的安全性：当一个系统刚安装好的时候，处于一个最不安全的环境 1、NT的安全性组件： 随机访问控制：允许对象的所有人制定别人的访问权限 对象的重复使用： 强制登陆： 审核： 通过对象来控制对资源的访问 对象：将资源和相应的访问控制机制封装在一起，称之为对象，系统通过调用对象来提供应用对资源的访问，禁止对资源进行直接读取 包括：文件（夹），打印机，I/O设备，视窗，线程，进程，内存安全组件： 安全标识符：SID，可变长度的号码，用于在系统中唯一标示对象，在对象创建时由系统分配，包括域的SID和RID。创建时根据计算机明、系统时间、进程所消耗CPU的时间进行创建。 S-1-5-500AdministratorA user account for the system administrator. This account is the first account created during operating system installation. The account cannot be deleted or locked out. It is a member of the Administrators group and cannot be removed from that group. S-1-5-501GuestA user account for people who do not have individual accounts. This user account does not require a password. By default, the Guest account is disabled.S-1-5-32-544AdministratorsA built-in group. After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group. The Administrators group has built-in capabilties that give its members full control over the system. The group is the default owner of any object that is created by a member of the group.S-1-5-32-545UsersA built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer. Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer. Users can install applications that only they are allowed to use if the installation program of the application supports per-user installation.实验：察看用户的SID访问控制令牌：包含创建：仅在用户登录的时候，刷新作用：访问资源的凭证安全描述符：每一个对象都具有，包括对象的SID，组的SID，随机访问控制列表和系统访问控制列表访问控制列表：进行访问控制和审核的方式，由一系列ACE构成DACL：控制资源的访问类型和深度SACL：控制对资源的审核ACL ACE：表示一个用户对此资源的访问权限，拒绝优先于允许访问过程：安全子系统：Figure 6.1 Windows NT Security Components重要组件：LSASAM：存储用户密码Netlogon：在验证的双方之间建立安全通道三、UNIX安全性：1、病毒攻击：2、缓存区溢出： crond, wu-ftp, sendmail3、/etc/passwd和/etc/shadow文件的安全4、non-root user access to sensitive commands: poweroff, reboot, haltPluggable authentication modules: PAMs, create additional authentication parameters without affecting existing authentication systemsPAM directory: /etc/pam.d/ determine what must occur before a user can logged in /etc/security/ set limits concerning users and daemons once they have logged onto the system /lib/security/ the actual location of the PAM modulesPAM entry format: Module type flags path argsModule type: determine authentication typeFlags: determine module type priorityPath: determine module location in the systemArgs: optional, customize PAM behavior/etc/security directory:access.conf: determines who can access the machine and from where group.conf: determines which group can logintime.conf: set logon time limitslimits.conf: set limits based upon percentage of processor usage or number of processes a user can run simultaneously第二章 账号安全性概述：账号安全性概述NT账号的安全性 UNIX账号的安全性一、账号安全性：归根结底是保护密码的安全性 1、强力密码：包含大小写，数字和特殊字符，不包含用户名和个人信息 2、赋予最低的权限和及时清理无用的账号二、NT账号的安全性 1、定期检查账号数据库，掌握账号的变化；同时定期察看系统的的调度任务 2、使用账号策略来强化密码的安全性： 在2000中账号策略必须在域的级别来进行设置 密码策略账号锁定策略 Kerberos策略 区别：2000最多支持127位密码，NT最多14位，在存储密码时以7位为单位，所以选择密码时应为7的整数倍 NT缺省不禁用管理员账户，2000可以远程禁用 在设置账号锁定时，要考虑会产生拒绝服务的攻击 3、激活密码复杂性需要 4、重命名管理员账户 5、限制管理员登录的工作站 6、限制账户的登录时间 7、使用SYSKEY加强对SAM的安全防护三、UNIX账号的安全性 1、密码文件： /etc/passwd：everyone can read, but only root can own it and change it /etc/shadow：only root can read and write it 2、账号策略： 3、限制登录： Solaris: /etc/default/login console = /dev/console Linux: /etc/security list the device name where root can login Log: /etc/default/su can include sulog = /var/adm/sulog 4、限制shell:使用rksh来限制用户所能够完成的工作 限制输入输出的重定向 检查路径 限制更改路径 限制更改环境变量 5、监视账户：wtmp 6、检查路径参数：Windows 2000: looks in current directory for application looks at path statement Unix: only looks at path statement Do not set the current directory in the first place of the PATH Do not allow write permission for normal users about directory in PATH of root 7、使用系统级别的日志 syslogd: 使用/etc/syslog.conf进行配置 inetd: 使用-t选项激活日志功能，可以记录相应服务的运行情况第三章 文件系统安全性概述：windows文件安全性 Linux文件安全性一、windows 文件系统安全： 1、所支持的文件系统： FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS 2、NTFS权限： 标准的权限 权限单元 权限的继承：ACL列表的拷贝 权限的迁移：移动和拷贝 磁盘的分区：系统，程序和数据注意： erveryone和authenticated users的区别 缺省，新建的文件权限为everyone full control 新添加用户的权限位read only 3、EFS: 作用：利用公钥技术，对磁盘上存储的静态数据进行加密保护的措施。 原理：根据用户的身份为每个用户构建一对密钥 实现： 恢复代理：为了防止出现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。 如何恢复： 如何添加恢复代理： 注意事项： 只有被授权的用户或恢复代理才能访问加密的文件加密和压缩是相斥的对文件的重命名，移动不会影响加密属性至少需要一个恢复代理仅能对静态存储的数据进行加密，若需要网络中传输的数据提供安全性，可使用IPSec和PPTP对一个文件夹加密，则此文件夹内所有新创建的文件均会被加密若将一个加密后的文件移动一个非NTFS文件系统上，则加密属性丢失，除Backup外,所以应该分别分配备份和恢复的权利并谨慎分配恢复的权利 4、磁盘限额： 基于文件和文件夹的所有权来统计用户所使用的磁盘空间对于压缩状态的文件按非压缩状态统计磁盘空间的使用量 基于分区水平上的剩余空间是指可供用户使用的磁盘限额内剩余空间的大小可以设置当用户超出限额时是仅仅提出警告还是拒绝提供空间 可以针对所有用户也可针对个别用户设置设置限额后，对已有的用户存储不进行限额，但可对老用户添加限额管理员组的成员不受限额的影响仅管理员组的成员有权利设置限额 5、共享安全性：谨对网络访问生效 仅能对文件夹设置共享，不能针对文件设置缺省Administrators、Server Operators、Power Users group有权利设置共享 新建共享后，Everyone group是FC所能接受的最大用户数：Win 2k Professional 10 Win 2k Serve CALPermission：Read、Change、FCDeny优先于Allow的权限若用户属于多个组，则share security取并集可以在FAT、FAT32、NTFS上设置共享 6、联合NTFS安全性和共享安全性：网络访问取交集 本地访问仅考虑NTFS安全性 隐藏文件：attrib +H directoryNTFS文件分流：不需要重新共建文件系统就能够给一个文件添加属性和信息的机制，Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cpcp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后oso001.009大小没有变化，但修改日期可能会有变化分流后不能直接执行：start oso001.009:nc.exe删除：需把文件拷贝到FAT分区，在拷贝会NTFS分区搜索：唯一可靠的工具是ISS的Streamfinder.二、linux file system security:ls l output:d rwx rwx rwx 5 james james 120 Mar 21 17:22 accountd: directory-: normal file5: link counter120: file or directory sizefile permission:each file has its ownerevery file belongs to one group, primary grouponly one permission is suitable for you if you have three kinds of permissionsowner may have no any permission to the file that he ownsdirectory permission:读权限仅在列举目录时有效写权限可以管理控制目录执行权限允许你访问子目录和相应的文件umask commond:file default: rw-rw-rw-directory default: rwx rwx rwxumask:027 - -w- rwxchange umask: umask numberchange permissions: chmodabsolute mode: chmod 666 filenamesymbolic mode: chmod ogw+/-/=rwx filenameset bits: change shell during execute the command setuid setgid sticky: user can control and management the whole directory if user has write permission about the directory, it means the user can delete other users files. You may set sticky so that you assign write permission but no administrative permission to the directory. Chmod u=rwx,og=wxt directory name查看危险的setuid和setgid许可权限：find /-perm -4000 print diff .oldChange file owner: chown new owner filenameChange file group: chgrp new group filename第四章 评估风险一、安全性威胁： 1、随机的威胁 2、有意图的威胁：消极的攻击 积极的攻击二、windows的安全性威胁： 1、改变缺省的目录： 2、改变缺省的账号： 3、改变缺省的共享：HKLMSystemCCSservices lanmanagerserver parameters autoshareserver (autosharewks)=0 4、检验：系统扫描三、UNIX的安全性威胁：1、 R*系列程序：不需要输入密码即可远程执行程序。Rsh ps -auwx安全机制：1）、采用/etc/hosts.equiv和用户主目录下的.rhosts两个文件来进行访问控制2）、对于in.rshd，为了读取某一用户的.rhosts文件，要保证文件柜该用户所有，且其他人对该文件进行写访问，接受600或644的权限3）、对提出请求的主机进行ip的反向搜索不安全性：1）、伪造.rhosts2）、进行DNS的毒化3）、配置自己的系统成为可信系统 2、NIS：允许在网络上共享系统的管理数据。 NIS+2、 NFS：允许透明的访问远程系统的文件和目录安全漏洞：许多与mountd和NFS服务器相关的缓冲区溢出条件已被发现 依赖于RPC服务，可以轻易的安装远程系统上的文件 在共享文件是没有合理配置权限防护：禁用NFS和相关服务 实现客户机和用户的访问控制，/etc/exports和/etc/dfs/dfstab能够控制进行访问控制 在允许安装某个文件系统的客户机列表中决不要加上相应服务器的本地ip或localhost. 早期的portmapper会打开代理中转，会代理供给者中转连接请求接受厂家的补丁 第五章 减少风险一、增强Windows的安全性： 1、对于系统漏洞：定期的添加services pack和hot fixes，如果系统没有相关服务，不要随意的安装补丁 2、注册表安全性： 注册表的结构：相当于win.ini，集中存储了系统的配置信息 5个配置单元（hive key），4个存放于winntsystem32config目录下：SAM, SYSTEM, SECURITY, SOFTWARE，对此4个文件设置权限，仅允许system账号访问。HARDWARE又称易失关键字，每次系统启动时由进行硬件检测，将检测的结果只与此关键字中，保存在内存中 H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系统及硬件相关信息(例如计算机总线类型，系统可用内存，当前装载了哪些设备驱动程序以及启动控制数据等)的配置单元。实际上，H K L M保存着注册表中的大部分信息，因为另外四个配置单元都是其子项的别名。不同的用户登录时，此配置单元保持不变。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows 2000中被用来允许脚本、注册表条目，以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息)，存储于用户配置文件的ntuser.dat中。优先于H K L M中相同关键字。这些信息是HKEY_USERS 配置单元当前登录用户的Security ID(SID)子项的映射。H K E Y _ U S E R S ( H K U )配置单元包含的子项含有当前计算机上所有的用户配置文件。其中一个子项总是映射为H K E Y _ C U R R E N T _ U S E R (通过用户的S I D值)。另一个子项H K E Y _U S E R S D E FA U LT包含用户登录前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置单元包含的子项列出了当前已在计算机上注册的所有C O M服务器和与应用程序相关联的所有文件扩展名。这些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子项的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置单元包含的子项列出了计算机当前会话的所有硬件配置信息。硬件配置文件出现于Windows NT版本4，它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子项的映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子树：HARDWARE：在系统启动时建立，包含了系统的硬件的信息SAM：包含了用户帐号和密码信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含应用程序的配置信息SYSTEM：包含了服务和设备的配置信息设置注册表的权限：Windows NT：使用C2Config和C2regacl.infWindows 2000：使用组策略审核注册表： 3、禁止和删除不必要的服务 删除OS/2和POSIX 在web服务器上禁止server services 在firewall上过滤相应的数据包 4、保护网络连接安全性： SMB connection process Establish a TCP connection negotiate dialect set up SMB session access resource Pc network program 1.0 Microsoft networks 1.03 Lanman 1.0 LM 1.2X002 LanMan 2.1 Windows NTLM 禁止匿名连接：HKLM SYSTEMCCScontrollsarestrictanonymous=1 服务器控制验证方法：lmcompatibilitylevel 0 任何都是可用的 1 由服务器决定使用哪种方法 2 不使用LM验证 激活SMB签名：HKLM SYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1 HKLM SYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/1 5、其他的配置： 禁止除管理员和打印操作员以外的用户安装打印驱动程序： HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers=1 隐藏上一次登录的系统名 限制对打印机和串口的使用： HKLM SYSTEMCCScontrolsession managerprotectionmode=1 在系统关机时清空页面文件 HKLM SYSTEMCCScontrol session managermemory managementclearpagefileatshutdown =1 禁止缓存登录证书 限制对scheduler服务的使用 限制对可移动介质的访问二、增强UNIX的安全性： 1、禁用或删除服务： finger：诞生于internet的温和期，远程用户可以使用它获得有关用户的信息，包括所登录用户的名称、邮件地址、登录路径、shell的类型和.plan、.project中的内容。 在/etc/inetd.conf中 # finger stream tcp nowait nobady /usr/sbin/tcpd in.fingerd 使用TCPWrapper限制对他的使用 /etc/hosts.allow rwhod：允许远程用户察看察看登录到你的系统的用户名 rpm e rwho删除rwhod rwalld：允许