




已阅读5页,还剩28页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
操作系统安全 第八章Unix Linux操作系统安全技术 第八章Unix Linux操作系统安全技术 8 1账户安全管理8 2口令安全与访问控制8 3文件系统安全8 4日志查看与分析8 5网络服务安全8 6备份与恢复 Unix安全模型 UNIX是一个强大的多用户 多任务操作系统 支持多种处理器架构 按照操作系统的分类 属于分时操作系统 因为安全可靠 高效强大的特点 其在服务器领域得到了广泛的应用 图8 1为Unix操作系统的一个安全模型 8 1账户安全管理 8 1 1root账户的管理在Unix Linux系统中 root账号就是一个超级用户账户 以超级用户可以对系统进行任何操作 1 超级用户而Unix Linux超级用户账户可以不止一个 在Unix系统中 只要将用户的UID和GID设置为0就可以将其变成超级用户 但并不是所有的超级用户都能很容易的登录到Unix系统中 这是因为 Unix系统使用了可插入认证模块 PAM 进行认证登录 PAM要求超级用户只能在指定的终端上进行访问 这种指定的终端是可以保证安全的 2 root账户的安全root用户账户也是有密码的 这个密码可以对那些通过控制台访问系统的用户进行控制 即使是使用su命令的用户也不例外 8 1 3PAM认证机制 8 1 3PAM认证机制嵌入式认证模块 PAM 机制采用模块化设计和插件功能 使得管理员可以轻易地在应用程序中插入新的鉴别模块或替换原先的组件 而不必对应用程序做任何修改 从而使软件的定制 维持和升级更加轻松 因为鉴别机制与应用程序之间相对独立 应用程序可以通过PAMAPI 由pam conf控制 方便的使用PAM提供的各种鉴别功能 而不必了解太多的底层细节 PAM认证机制 8 2口令安全与访问控制 Unix中常用的口令机制用户口令技术影子口令机制一次性口令机制 8 3文件系统安全 文件和目录的权限文件系统完整性检查 8 3 1文件和目录的权限 Unix系统中的每个文件和目录都有访问许可权限 文件或目录的访问权限分为三种 只读只写可执行有三种不同类型的用户可对文件或目录进行访问 文件所有者同组用户其他用户每一文件或目录的访问权限有三组 每组用三位表示 分别为文件属主的读 写和执行权限 与属主同组的用户的读 写和执行权限 系统中其他用户的读 写和执行权限 8 3 1文件和目录的权限 确定了一个文件的访问权限后 用户可以利用系统提供的的命令对权限进行设置chmod命令来重新设定不同的访问权限 chown命令来更改某个文件或目录的所有者 chgrp命令来更改某个文件或目录的用户组 8 3 2文件系统完整性检查 对于庞大的系统文件 管理员对每一个文件都进行检查室难以想象的 而Tripwire能够提供这种帮助 它不是为了抵御攻击者而设计的 然而它能够帮助判断系统的一些重要文件是否被攻击者修改 即系统完整性检查工作 Tripwire是目前最为著名的UNIX下文件系统完整性检查的软件工具 这一软件采用的技术核心就是对每个要监控的文件产生一个数字签名 并保留下来 当文件现在的数字签名与保留的数字签名不一致时 那么现在这个文件必定被改动过了 8 3 3NFS简介及相关安全性问题 1 NFS的基本工作原理NFS由服务器端和客户机端两部分组成 NFS是通过RPC即远程过程调用来实现的 使得远程的计算机节点执行文件的操作命令就像执行本地文件的操作命令一样 可以执行创建文件 创建目录 删除文件 删除目录等文件操作命令 8 3 3NFS简介及相关安全性问题 2 NFS安全性的实现Linux所做的第一个安全措施就是启用防火墙 Linux所做的第二个安全措施是服务器的导出选项 相关的导出选项有如下几类 1 读写服务器访问 2 UID与GID挤压 3 端口安全 4 锁监控程序 5 部分挂接与子挂接 8 4日志查看与分析 Unix系统中 主要分为以下3种形式的日志系统 1 记录连接时间的日志系统中多个进程运行时 把记录写入到 var log wtmp和 var run utmp 这两个文件的更新由login等进程完成 以便于管理员跟踪谁在何时登录了系统 2 进程统计由系统内核执行 进程的执行和终止 都将被记录到统计文件pacct和acct中 该系统的目的是为系统中的基本服务提供命令使用情况统计 3 错误日志由syslog 8 执行各种系统守护进程 用户程序和内核通过syslog 3 向文件 var log messages报告值得注意的事件 日志文件及其功能说明 8 4 1日志查看技术 8 4 1日志查看技术wtmp和utmp文件都是二进制文件 他们不能被诸如tail cat命令进行剪贴或合并 用户需要使用who w users last和ac来使用这两个文件包含的信息 8 5网络服务安全 Unix系统之间安全通信的实现Kerberos认证机制安全外壳协议 SSH Unix系统之间的安全通信主要是是靠UUCP实现的 UUCP Unix to UnixCopy的缩写 UUCP系统主要完成远程文件传输 包括各种文件的远程复制 执行系统之间的命令 维护系统使用情况的统计等等 UUCP是UNIX操作系统上最广泛使用的网络实用系统 在Internet兴起之前是UNIX系统之间连网的主要方式 主要是因为 1 UUCP是各UNIX版通用的唯一标准网络系统 2 通过UUCP建立网络系统简单 8 5 1Unix系统之间安全通信的实现 8 5 1Unix系统之间安全通信的实现 8 5 2Kerberos认证机制 8 5 2Kerberos认证机制 当用户输入用户名和密码后 计算机将用户名发送给KDC KDC包含一个主数据库 该数据库保存了其领域内每个安全主体独有的长期密钥 KDC查找用户的主密钥 KA 主密钥基于用户的密码 然后 KDC创建两项 一个与用户共享的会话密钥 SA 和一张票证授予式票证 TGT Ticket GrantingTicket TGT包含SA 用户名和过期时间的第二个副本 KDC使用它自身的主密钥 KKDC 加密此票证 此主密钥只有KDC知道 目标服务器 KDC 用户 客户端计算机从KDC接收到信息 并通过单向哈希函数加密用户的密码 这样就将密码转换成了用户的KA 客户端计算机现在有一个会话密钥和一个TGT 这样就可以与KDC安全通信了 当Kerberos客户端需要访问同一域中的成员服务器上的资源时 它会联系KDC 客户端将提供TGT和用已经与KDC共享的会话密钥加密的时间戳 接着 KDC创建一对票证 一张给客户端 另一张给客户端需要访问的资源所在的服务器 KDC获取服务器的票证 并使用服务器主密钥 KB 加密它 然后KDC将服务器的票证嵌套在客户端的票证内 这样 客户端的票证也含有该KAB Kerberos身份验证的工作原理 8 5 2Kerberos认证机制 课本 Kerberos协议把身份认证的任务集中在身份认证服务器 AS 上执行 AS中保存了所有用户的口令 在Kerberos认证体制中 还增加了另外一种授权服务器TGS Ticket GrantingServer 首先用户申请票证授权证 AS验证C的访问权限后 准备好票证Tickettgs和C与TGS用户会话密钥Kc tgs 并用口令导出的Kc加密后回送票证授权证 然后用户请求服务授权证 工作站要求用户输入口令 并用它导出密钥Kc 以Kc对所得消息进行解密的Kc tgs 用户将Tickettgs连同个人信息发给TGS TGS实现对C的认证后 准备好服务授权证Ticketv及会话密钥Kc v用Kc tgs加密后发给用户C 用户C将获得的Ticketv连同个人信息发送给服务器V 服务器对信息认证后 给用户提供相应的服务 图8 4Kerberos认证过程 8 5 2Kerberos认证机制 课本 8 5 3SSH协议 SSH的英文全称是SecureShell 通过使用SSH 你可以把所有传输的数据进行加密 这样入侵者的攻击方式就不可能实现了 而且也能够防止DNS和IP欺骗 8 5 3SSH协议 1 基于口令的安全验证只要你知道自己帐号和口令 就可以登录到远程主机 所有传输的数据都会被加密 但是不能保证你正在连接的服务器就是你想连接的服务器 可能会有别的服务器在冒充真正的服务器 8 5 3SSH协议 2 基于密匙的安全验证需要依靠密匙 就是说用户必须为自己创建一对密匙 并把公用密匙放在需要访问的服务器上 如果用户要连接到SSH服务器上 客户端软件就会向
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 跨铁路桥专项施工组织设计
- 土石方作业过程环境保护措施
- 知识产权质押融资担保服务协议(环保技术)
- 离婚补充协议孩子抚养费及赡养费支付安排文本
- 高性能空气源热泵销售及屋顶安装工程合同
- 离婚协议范本参考:夫妻财产分割及子女抚养执行书
- 液化空气储能空分项目投资分析与资金筹措方案
- 离婚协议范本:男方出轨财产分割与子女抚养权协议书
- 南宁市安全员考及答案1
- 液化空气储能空分系统动态调度与优化方案
- 钢结构厂房基础施工承包合同
- 江苏连云港历年中考作文题与审题指导(2003-2024)
- 劳务分包加采购合同标准文本
- 带状疱疹护理课件
- 呼吸功能障碍的支持
- 气体充装安全培训课件
- 玻璃隔断制作安装合同
- 小学生防控近视课件
- 智能计算系统:从深度学习到大模型 第2版课件 第五章-编程框架原理
- 肛管直肠超声检查中国专家共识(2024版)解读
- 【MOOC】理解马克思-南京大学 中国大学慕课MOOC答案
评论
0/150
提交评论