第二章操作系统与网络安全.ppt

计算机网络安全基础 第2章操作系统与网络安全 目前 在服务器的操作系统平台上 受广大用户欢迎的有Unix Linux和WindowsNT 这三个操作系统存在着不少的安全漏洞 如果对这些漏洞不了解 不采取相应的对策和防范措施 就会使系统完全暴露在入侵者的入侵范围之内 随时有可能遭受毁灭性的攻击 本章就是从上述问题着手 来讨论 1 Unix Linux和WindowsNT等操作系统的安全基础2 系统特性和安全策略3 Unix和WindowsNT操作系统的网络安全配置 计算机网络安全基础 2 3Windows系统简介 Windows9x 在具有众多优点的同时 它的缺点是稳定性和安全性欠佳 Windows95 98极易受到各种木马以及炸弹的袭击 一般的网络用户都可以使用一些特种工具轻而易举地让Windows9x死机 WindowsNT 对网络功能的支持更为强大 并且稳定性有了本质的提高 注册表 注册表是Windows系统的核心数据库 里面只存放了某些文件类型的应用程序信息 要方便地修改注册表可以使用注册表编辑程序regedit 计算机网络安全基础 2 3Windows系统简介 计算机网络安全基础 2 5WindowsNT 2000网络配置 2 5 1WindowsNT 2000的资源访问控制WindowsNT安全模式的一个最初目标 就是定义一系列标准的安全信息 并把它应用于所有对象的实例 这些安全信息 包括下列元素 1 所有者2 组3 自由ACL AccessControlList 4 系统ACL5 存取令牌 AccessToken 计算机网络安全基础 2 5WindowsNT网络配置 2 5 2WindowsNT的NTFS文件系统NTFS文件系统是一种安全的文件系统 因为它支持文件访问控制 人们可以设置文件和目录的访问权限 控制谁可以使用这个文件 以及如何使用这个文件 五个预定义的许可为 拒绝访问 读取 更改 完全控制和选择性访问 计算机网络安全基础 2 5WindowsNT 2000常用命令 WindowsNT 2000常用命令补充 计算机网络安全基础 2 1Unix系统简介 2 1 1Unix系统的由来Unix操作系统是由美国贝尔实验室开发的一种多用户 多任务的通用操作系统 它从一个实验室的产品发展成为当前使用普遍 影响深远的业界主流操作系统 经历了一个逐步成长 不断完善的发展过程 由于其功能强大 技术成熟 可靠性好 网络功能强及开放性好 可满足各行各业实际应用的需求 受到了广大用户的欢迎 已经成为重要的企业级操作平台 由于Unix系统强大的生命力 它的用户每年以两位数字以上的速度增长 可以肯定地说 Unix是可以进入21世纪的少数几种操作系统平台之一 计算机网络安全基础 2 1Unix系统简介 Unix系统在经过20多年的发展成长以后 已经成为一种成熟的主流操作系统 并在发展过程中逐步形成了一些新的特色 其中主要包括 1 可靠性高 2 极强的伸缩性 3 网络功能强 4 强大的数据库支持功能 5 开放性好 计算机网络安全基础 2 1Unix系统文件目录简介 Unix系统采用目录树结构 各种不同的文件分类放在不同的目录下 树的根部及文件的最高级是 目录 然后由各种子目录构成Bin 存放系统可执行文件的目录 包括常用的命令和执行脚本Boot 放置启动操作系统所需要的文件Dev Unix将各种硬件看成是文件 此目录放置对应的硬件文件Etc 放置系统常用的配置文件和脚本Home 用户的个人资料 每个用户有自己的文件夹Mnt 挂载文件的目录Usr 用户文件和安装程序的目录Tmp 系统运行中产生的临时文件存放的目录 计算机网络安全基础 2 1Unix系统简介 2 1 2Unix常用命令介绍ls这个命令相当于DOS中的dir 列目录和文件的命令 a 把本目录下所有的文件 包括隐含的文件列出来 l 把文件的文件长度 修改的日期等详细信息列出来 p 在每个文件名后附一个字符说明文件类型 表示可执行文件 表示目录 表示连接 d 将目录当作文件显示 而不是显示其下的文件 当输入ls al命令并接回车时 就会列出当前目录下所有文件和目录的名称 计算机网络安全基础 2 1Unix系统简介 cd变换目录 和DOS相同 如果你在cd后面没有给定目的地 则表示目的地是根目录 在Unix中有三种表示目录的符号 表示当前目录路径的位置 表示当前路径的上一层目录 或称 父目录 表示根目录 根目录指每个用户所拥有的目录 如想进入某一目录 只需在cd后加上要进入的目录名 例如cd etc who列出现在系统里有哪些用户 Unix是一个多用户的操作系统 可以同时有许多人在机器上 who命令可以把他们的名字和终端号都列出来 计算机网络安全基础 2 1Unix系统简介 cpcp命令等同于DOS里的copy命令 即复制文件 例如 cpfilelfile2会将filel文件复制为file2文件 它有如下几个重要参数 r 将目录完全地复制到其他目录里 相当于xcopy p 在Unix里 当你操作时 系统会自动更改文件属主 组 权限和时间 p参数使这些内容保持不变 catcatenate的缩写 意为把内容串起来 其实际作用在于显示文件内容 相当于DOS里面的type命令 当输入cat etc passwd命令 就会显示出本系统的口令文件 计算机网络安全基础 2 1Unix系统简介 man英语 manual 的缩写 这是一条使用频率很高的命令 用来得到系统对一个特定命令的帮助信息 例如 如果想得到cat命令的详细帮助信息 就输入mancat mv这个命令是move的缩写 就是移动一个目录或文件 myfilelfile2就是把文件filel移动为file2 移动后filel会消失 实际上就是把filel改名为file2 计算机网络安全基础 2 1Unix系统简介 rmrm就是remove 即删除文件 当需要删除目录以及目录以下的子目录时 需用r参数 grep在文件当中查找指定字符 例如greprootpasswd 其功能为在passwd文件当中寻找root字符并输出该行 find用来搜寻特定文件或目录 其使用格式为 find 路径 匹配表达式 主要的匹配表达式有 name 通过文件名查找 perm 通过文件属性查找 print 输出搜寻结果 计算机网络安全基础 2 1Unix系统简介 2 1 3Unix系统基本知识 超级用户在Unix系统中有一个名为root的用户 这个用户在系统上拥有最大的权限 即不需授权就可以对其他用户的文件 目录以及系统文件进行任意操作 文件属性为保护每个用户的私人文件不受他人非法修改 系统为每个文件和目录都设定了属性 rw r r lrootwheel545Apr412 19file1r表示可读 w表示可写 x表示可执行 计算机网络安全基础 2 1Unix系统简介 ShellShell是用户和Unix系统内核之间的接口程序 在提示符下输入的每个命令都由Shell先解释然后传给Unix内核 可以简单地认为Shell就是Unix的命令解释器 相当于DOS中的COMMAND COM 输入 输出重定向重定向用于改变一个命令的输入 输出源 符号用于把当前命令的输入 输出重走向为指定的文件 管道管道可以把一系列命令连接起来 这意味着第一个命令的输出会通过管道传给第二个命令而作为第二个命令的输入 第二个命令的输出又会作为第三个命令的输入 以此类推 计算机网络安全基础 2 2Linux系统简介 2 2 1Linux的历史Unix系统对计算机硬件的要求比较高 对于一般的个人来说 想要在PC机上运行Unix是比较困难的 而Linux就为一般用户提供了一个使用Unix界面操作系统的机会 因为Linux是按照Unix风格设计的操作系统 所以在源代码级上兼容绝大部分的Unix标准 可以说相当多的网络安全人员在自己的机器上运行的正是Linux 计算机网络安全基础 2 2Linux系统简介 2 2 2Linux的特点1 与Unix高度兼容 Linux是一种完全符合POSIX l等国际标准的操作系统 它和大部分商业Unix操作系统保持高度的兼容性 几乎所有的Unix命令都可以在Linux下使用 2 高度的稳定性和可靠性 Linux是一种完全32位的操作系统 其实Linux可以很容易地升级为64位 具备完善的多任务机制 计算机网络安全基础 2 2Linux系统简介 3 完全开放源代码 价格低廉 Linux符合GNU通用公共版权协议 是自由软件 它的源代码是完全开放的 可以免费得到 这对于系统安全人员来说是非常重要的 因为阅读源代码是发现系统漏洞的最主要方法 而且与各种商业操作系统相比 4 安全可靠 绝无后门 由于源代码开放 用户不用担心Linux中会存在秘密后门 而且任何错误都会被及时发现并修正 因此Linux可以提供极高的安全性 计算机网络安全基础 2 2Linux系统简介 2 2 3vi用法介绍vi是Linux下的一个非常好用的全屏幕文本编辑器 vi有两种模式 即编辑模式和命令模式 编辑模式用来输入文字资料 而命令模式用来下达一些编排文件 存档以及离开vi等等的操作命令 进入vi 直接输入vi离开vi 命令模式下键入 q wq指令则是存盘后再离开模式切换 切换到命令模式下需按Esc键 计算机网络安全基础 2 4Unix网络配置 2 4 1网络配置文件1 etc hosts文件该文件的目的是提供简单的主机名到IP地址的转换 一个例子 其中以 打头的行表示注释 IPADDRESSFQDNALIASES127 0 0 1localhost178 12 32 13host1145 32 16 76host2 计算机网络安全基础 2 4Unix网络配置 2 etc ethers文件当一个主机在本地网络上 并知道其IP地址时 TCP IP将它转换成实际的以太网地址 这可以通过地址转换协议 ARP 或者创建一个 etc ethers文件并由该文件列出所有的以太网地址列表来实现 该文件的格式是 前面是以太网地址 后面是正式的主机名 例如 EthernetAddressHostname5 2 21 3 fc 1ahost12 54 12 4 54 7fhost2e1 0 c1 1 9 23host3 计算机网络安全基础 2 4Unix网络配置 3 etc networks文件该文件提供了一个Internet上的IP地址和名字 每一行提供了一个特定的网络的信息 例如 NETWORKNAMEIPADDRESSloopback127187 12 4ftp host2 org166 23 56该文件中的每一项包括一个网络的IP地址 名称 别名和注释 计算机网络安全基础 2 4Unix网络配置 4 etc protocols文件该文件提供了一个已知的DARPAInternet协议的列表 下例每行包含了协议名 协议号以及该协议的别名 Internet IP protocolsip0IP internetprotocol pseudoprotocolnumbericmp1ICMP internetcontrolmessageprotocolggp3GGP gatewaytogatewayprotocoltcp6TCP transmissioncontrolprotocolegp8EGP exteriorgatewayprotocolpup12PUP PARCuniversalpacketprotocoludp17UDP userdatagramprotocolhello63HELLO HELLORoutingProtocol 计算机网络安全基础 2 4Unix网络配置 5 etc services文件该文件提供了可用的服务列表 对每一个服务 文件中的每一行提供了下述信息 正式服务名 端口号 协议名 别名 NetworkservicesInternetstyle echo7 tcpecho7 udpdiscard9 tcpsinknulldiscard9 udpsinknullsystat11 tcpftp21 tcptelnet23 tcp 计算机网络安全基础 2 4Unix网络配置 2 4 2Unix文件访问控制Unix系统的资源访问控制是基于文件的 为了维护系统的安全性 系统中每一个文件都具有一定的访问权限 只有具有这种访问权限的用户才能访问该文件 否则系统将给出PermissionDenied的错误信息 有三类用户 用户本人 用户所在组的用户 其它用户允许权 R 读W 写X 执行允许权组 A 管理员 所有权利 V 属主G 组O 其他每个人 计算机网络安全基础 2 4Unix网络配置 2 4 3NFS文件访问系统的安全任一台主机都可以做NFS服务器或者NFS客户 或者二者兼而有之 用户最常犯的错误只是简单的NFS设置错误 设置有错误的NFS主机到处都是 由于NFS对用户的认证非常简单 并且对NFS设置错误的例子比比皆是 因此NFS对网络安全的危害是非常巨大的 首先 对可以安装调出文件卷的主机没有限制 将使得任何主机都可以安装 因此攻击者所在的主机也一样可以安装它 即使没有其它权限 攻击者通过这一步便已看到了系统的许多信息 计算机网络安全基础 2 4Unix网络配置 其次 没有明确地设置调出文件卷为只读 则调出文件卷在客户端缺省为可读 可写 这时候攻击者便可以增加 修改 删除或替换NFS服务器上的文件 需要明确指出的是 调出文件卷缺省为可写 第三 许多主机常常将NFS服务器上的系统信箱和用户主目录所在的目录调出 安装这些目录的用户 攻击者 只要具有文件属主的UID和GID 便可以阅读这些文件 这只要攻击者在本机是超级用户 那么他便可以用su命令变成任何普通用户 或者诸如bin这类的特殊用户 计算机网络安全基础 2 4Unix网络配置 第四 有一些系统甚至将NFS服务器上的根目录调出 这等于是将系统送到别人眼底 系统的一切秘密暴露无疑 攻击者只需用命令 subin 变成bin用户 或者与root同组的用户 便可以替换系统一些启动时的文件 或者在 root用户的主目录 bin bin用户的主目录 下增加一个 rhosts文件 系统已经为外来用户敞开了大门 计算机网络安全基础 2 4MOUNT命令的使用 MOUNT命令用于加载文件系统 完整的格式是 MOUNT TVFSTYPEDEVICEDIR第一个部分是需要挂载的的文件系统的格式 如 TEXET2第二个部分是需要挂载的设备文件名如 dev hda5第三个部分是指出挂载到何处如 mnt disk例1 挂载一个MS DOS分区到 mnt disk挂载点上 这个分去设备名称为 dev hda5Mount tmsdos dev hda5 mnt disk例2 挂载usb设备Mount dev sda mnt usb 计算机网络安全基础