操作系统安全实验报告(共35页)

1、CENTRAL SOUTH UNIVERSITY 操作系统安全实验报告学生姓名 班级学号 指导教师 设计时间 操作系统安全实验一Windows系统安全设置实验1、 实验目的1、 了解Windows操作系统的安全性2、 熟悉Windows操作系统的安全设置3、 熟悉MBSA的使用2、 实验要求1、 根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、 采用MBSA测试系统的安全性，并分析原因。3、 比较Windows系统的安全设置和Linux系统安全设置的异同。3、 实验内容人 1、 配置本地安全设置，完成以下内容：（1） 账户策略：包括密码策略（最小密码长度、密码最长

2、存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）A账户锁定策略：账户锁定阈值：指用户输入几次错误的密码后将用户账户锁定，默认为0，代表不锁定账户锁定时间：指当用户账户被锁定后经过多长时间会自动解锁，0表示只有管理员才能受控解锁复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器复位为0.B.密码策略（2） 账户和口令的 安全设置：检查和删除不必要的账户（User用户、Duplicate User用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administr

3、ator、权限设置为最低）、不让系统显示上次登录的用户名。A.创建用户：控制面板-管理工具-计算机管理-本地用户和组-用户-创建用户B.修改用户权限：控制面板-用户账户-管理其他账户-更改账户类型C.禁止枚举账号：禁止原因：枚举账号指某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口，然后通过共享会话猜测管理员系统密码，因此需要禁止枚举账号方法：本地安全设置-“安全设置”-“本地策略”-“安全选项”-双击对匿名连接的额外限制-不允许枚举SAM账号和共享”D创建陷阱用户：原因：本来用户是权限是非管理员，让黑客认为他是管理员，取名Administrator，是因为一般的管理员用

4、户默认名为Administrator方法：右击 我的电脑 管理 本地用户和组 用户1、将右侧“管理计算机（域）的内置账户”默认的是administrator,改名为其他名字，但不要以admin、root等命名。2、在右侧空白处右击 新用户在弹出的对话框中用户名：admin或administrator，密码自设设置用户权限：运行组策略编辑器程序，在编辑器窗口的左侧窗口中逐级展开“计算机配置Windows设置安全设置本地策略用户权限指派”分支。双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。E禁止来宾账户F不让系统显示上次登录的用户名：组

5、策略计算机配置windows配置安全配置本地策略安全选项双击交互式登陆：不显示上次的用户名交互式登陆：不显示上次的用户名属性单击已选用确定（3） 设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等方法：控制面板-管理工具-本地安全策略-本地策略审核策略（4） 设置IP安全策略作用：IP安全策略是起到IP地址的安全保护设置作用的，可以防止比尔ping自己的电脑，关闭一些危险的端口。（PING (Packet Internet Groper)，因特网包探索器，用于测试网络连接量的程序）方法：管理工具本地安全策略右键ip安全策略创建IP安全策略单击下一步3389

6、过滤默认下一步确定后管理IP筛选器操作建立筛选器添加输入3389筛选器1-单击添加下一步任何ip地址下一步目的地址选我的Ip地址下一步选择TCP的IP协议设置从任何端都到本机的某一端口下一步-管理筛选器操作添加下一步取名下一步阻止下一步完成筛选器建立接着建立IP安全规则双击建立的"3389过滤”添加下一步选择是到下图 选择3389过滤器1阻止3389下一步完成安全规则建立IP安全策略右键3389过滤单击之指派开始应用IP策略所以连接3389的TCP请求都被阻止建立允许管理员登陆的策略：打开上图重复建立筛选器步骤建立3389筛选器2的筛选器（其他设置与前面一样，选择源地址时变

7、为“一个特定的IP地址“该地址是管理员工作站的IP）-重复建筛选器操作的步骤-建立名为3389的操作，在选择动作时使用”许可“ （5） 其他设置：公钥策略、软件限制策略等公钥策略：可以让电脑自动向企业证书颁发机构提交证书申请并安装办法的证书，这样有助于电脑获得在组织内执行公钥加密操作。软件限制策略：简单而言，就是设置哪些软件可用哪些不可用，默认情况是关闭的。设置某软件不可用：右键软件限制策略建立新的策略单击其他规则选新路径规则单击浏览选择相应程序安全级别中选不允许单击确定2、 Windows系统注册表的配置（1） 找到用户安全设置的键值、SAM设置的键值（2） 修改注册表：禁止建立空

8、连接禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。A打开系统注册表：开始运行键入regeditB.禁止建立空连接：空连接就是不用密码和用户名的IPC连接，在Windows 下，它是Net 命令来实现的方法1：开始运行键入regedit-找到如下主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把RestrictAnonymous（DWORD）的键值改为:00000001上述操作执行完成后，用net sh

9、are命令仍能看到ipc$ 共享，但只是不允许匿名空连接，可使用密码连接。方法2：开始-设置-控制面板-管理工具-服务 ，在服务中停止掉 server的服务C.禁止管理共享：方法1：在计算机管理中直接停止共享 右击我的电脑管理共享文件夹共享右击需要停止的共享停止共享。 方法2： 编辑注册表 使用前:方法停止系统默认共享，在系统重新启动后，又恢复了共享，可以通过修改注册表的方法，永久停止系统默认共享。 在注册表中找到如下组键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters，新建DWORD类型的键，键名

10、AutoShareServer，键值设为0。 但IPC$共享不受此影响，要想停止IPC$共享，可建立一个批处理文件stopipc.bat，内容包括net share ipc$ /delete一行，然后在启动组中建立一个快捷方式。当以Administrator组中用户登录时，可停止IPC$共享，当以其它用户登录时，因不能执行NET命令，不能停止IPC$共享。D减少Syn-ack包的响应时间：HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的 次数。

11、 增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默认值为3，最大20，最小1。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默认值为1000，最大可取40000 E防范SYN攻击： 相关的值项在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD：SynAttackProtect：定义

12、了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。 (2) DWORD：TcpMaxConnectResponseRetransmissions：定义了对 于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值>=2时才会被启用，默认值为3。 （上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了 激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活 SYN淹没攻击保护。） F预防DoS攻击： 在注册表 HKLMSYSTEMCurrentControlSetServic

13、esTcpipPa rameters中更改以下值可以防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 G防止ICMP重定向报文的攻击： HKLMSYSTEMCurrentCo

14、ntrolSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)不支持ICMP协议IGMP(Internet Group Manage Protocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host,windows系列采用了这个协议,因为此项技术尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚至鼠标,键盘均不管用.非得重起不H修改MAC地址：

15、控制面板网络和控制中心更改适配器设置选择本地要修改MAC地址的网卡右键网卡选择属性配置高级网络地址输入新的MAC地址3、 文件及文件夹权限设置（1） 用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？有属哪些组？设置其权限。（2） 新建一个文件夹并设置其访问控制权限。系统的当前用户为Adiministrator，因此选中该用户，编辑其权限，将拒绝权限项全部打钩后，点击应用，在打开文件的时候显示：4、 审核日志分析（1） 查找审核日志，显示其详细信息：应用程序日志、安全性日志、系 统日志。控制面板管理工具事件查看器windows日志安全双击事件详细信息ProcessID表示进程的身份验证号

16、是0xa60（2） 分析各种日志所描述的内容，分析警告、信息、错误等的意义。信息为普通系统信息，警告为暂时可不处理问题，错误为必须立即处理的问题5、 使用Microsoft 基准安全分析器MBSA 2.0对系统进行安全评估Microsoft 基准安全分析器 (MBSA) 可以检查操作系统，还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时，它将 Windows 组件（如 Internet 信息服务 (IIS) 和 COM+）也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中，由 MBSA 在运行扫描时下

17、载，也可以下载到本地计算机上，或通过网络服务器使用。6、 信息安全综合实验系统中的实验：（1）信息安全01. Windows用户管理02. Windows策略管理03. Windows网络与服务管理04. Web服务安全配置06. 远程桌面安全配置22. 文件事件审计实验23. 网络事件审计实验24. 应用程序审计实验25. 主机监管实验26.日志事件审计实验27. 日志关联审计实验28. 审计跟踪实验29. FAT32数据恢复实验30. NTFS数据恢复实验36. Snapshot快照实验37. 主机存活性判断实验38. 服务端口判断实验39. 操作系统判断实验40. 操作系统漏洞扫描实验（

18、2）网络攻防03. Windows Server IP安全配置07. Windows系统账户安全评估08. Windows系统账户安全评估（MBSA）10. 弱口令破解实验11. 信息安全风险评估实验12. 配置Windows系统安全评估日志配置213. 配置Windows系统安全评估IP协议安全配置14. 配置Windows系统安全评估Windows日志与审计操作系统安全实验二Linux系统安全设置实验一、实验目的1、了解Linux操作系统的安全性2、熟悉Linux操作系统的安全设置3、建立Linux操作系统的基本安全框架二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的

19、变化，给出分析报告。2、使用RPM对系统的软件进行管理，验证系统内软件的完整性，并分析结果。3、比较Windows系统的安全设置和Linux系统安全设置的异同。三、实验内容cd /home 进入 '/ home' 目录' cd . 返回上一级目录 cd ./. 返回上两级目录 cd 进入个人的主目录 cd user1 进入个人的主目录 cd - 返回上次所在的目录 pwd 显示工作路径 ls 查看目录中的文件 ls -F 查看目录中的文件 ls -l 显示文件和目录的详细资料 ls -a 显示隐藏文件 ls *0-9* 显示包含数字的文件名和目录名 tree 显示文件和

20、目录由根目录开始的树形结构(1) lstree 显示文件和目录由根目录开始的树形结构(2) mkdir dir1 创建一个叫做 'dir1' 的目录' mkdir dir1 dir2 同时创建两个目录 mkdir -p /tmp/dir1/dir2 创建一个目录树 rm -f file1 删除一个叫做 'file1' 的文件' rmdir dir1 删除一个叫做 'dir1' 的目录' rm -rf dir1 删除一个叫做 'dir1' 的目录并同时删除其内容 rm -rf dir1 dir2 同时删除两个

21、目录及它们的内容 mv dir1 new_dir 重命名/移动 一个目录 cp file1 file2 复制一个文件 cp dir/* . 复制一个目录下的所有文件到当前工作目录 cp -a /tmp/dir1 . 复制一个目录到当前工作目录 cp -a dir1 dir2 复制一个目录1、账户和口令安全(1)查看和添加账户在终端下输入命令：useradd *，建立一个新账户；Sudo 授权：sudo -i表示以root身份登录，进程的实际用户ID和有效用户ID都变成了root，主目录也切换为root的主目录。想从root用户切回user用户只需执行命令：su user cat /etc/sh

22、adaw, 查看系统中的账户列表；查看文件内容 cat file1 从第一个字节开始正向查看文件的内容 tac file1 从最后一行开始反向查看一个文件的内容 more file1 查看一个长文件的内容 less file1 类似于 more' 命令，但是它允许在文件中和正向操作一样的反向操作 head -2 file1 查看一个文件的前两行 tail -2 file1 查看一个文件的最后两行 tail -f /var/log/messages 实时查看被添加到一个文件中的内容(2) 添加和更改密码：passwd命令(3) 查看Linux系统中是否有用于检测密码安全的黑客技术语字典及

23、密码检测模块：locate pam_cracklib.so dict|grep crack2、 账户安全设置（1） 强制用户首次登陆时修改口令，强制每90天更改一次口令，并提前10天提示：change命令（2） 账户的禁用与恢复：passwd命令，锁定除root之外的不必要的超级用户把root用户密码设为空了，Linux中都不允许使用空密码（3） 建立用户组，设置用户：groupadd命令、groupmod命令、gpasswd命令groupmod命令更改用户组信息命令，-n选项用于修改用户组组名，-g选项用于修改用户组的GIDgroupadd命令groupmod命令gpasswd命令（4） 设

24、置密码规则：/etc/login.defs文件编辑修改，设置用户的密码最长使用天数、最小密码长度等PASS_MAX_DAYS 90 #密码最长过期天数PASS_MIN_DAYS 80 #密码最小过期天数PASS_MIN_LEN 10 #密码最小长度PASS_WARN_AGE 7 #密码过期警告天数（5） 为账户和组相关系统文件加上不可更改属性，防止非授权用户获取权限：chattr命令、文件的特殊属性 - 使用 "+" 设置权限，使用 "-" 用于取消 chattr +a file1 只允许以追加方式读写文件 chattr +c file1 允许这个文件能

25、被内核自动压缩/解压 chattr +d file1 在进行文件系统备份时，dump程序将忽略这个文件 chattr +i file1 设置成不可变的文件，不能被删除、修改、重命名或者链接 chattr +s file1 允许一个文件被安全地删除 chattr +S file1 一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘 chattr +u file1 若文件被删除，系统会允许你在以后恢复这个被删除的文件 lsattr 显示特殊的属性（6） 删除用户和用户组：userdel命令、groupdel命令删除用户组删除用户（7） 限制su命令提权：/etc/pam.d/su文

26、件，在头部添加命令：auth required /lib/security/pam_wheel.so group=wheel这样，只有wheel组的用户可以su到root用户（8） 将用户加入到某个组：usermod命令 （9） 确认shadow中的空口令帐号：awk命令（10） /中间有一个！表示密码为空3、 文件系统管理安全（1） 查看某个文件的权限：ls l（2） 设置文件属主及属组等的权限：chmod命令（3） 切换用户，检查用户对文件的权限：su命令（4） 修改文件的属主和属组：chown命令chmod ugo+rwx directory1 设置目录的所有人(u)、群组(g)以及其他

27、人(o)以读（r ）、写(w)和执行(x)的权限 chmod go-rwx directory1 删除群组(g)与其他人(o)对目录的读写执行权限 chown user1 file1 改变一个文件的所有人属性 chown -R user1 directory1 改变一个目录的所有人属性并同时改变改目录下所有文件的属性 chgrp group1 file1 改变文件的群组 chown user1:group1 file1 改变一个文件的所有人和群组属性 find / -perm -u+s 罗列一个系统中所有使用了SUID控制的文件 chmod u+s /bin/file1 设置一个二进制文件的

28、SUID 位 - 运行该文件的用户也被赋予和所有者同样的权限 chmod u-s /bin/file1 禁用一个二进制文件的 SUID位 chmod g+s /home/public 设置一个目录的SGID 位 - 类似SUID ，不过这是针对目录的 chmod g-s /home/public 禁用一个目录的 SGID 位 chmod o+t /home/public 设置一个文件的 STIKY 位 - 只允许合法所有人删除文件 chmod o-t /home/public 禁用一个目录的 STIKY 位（5） 文件的打包备份和压缩、和解压：tar命令、gzip命令、gunzip命令tar

29、-cvf archive.tar file1 创建一个非压缩的 tarball tar -cvf archive.tar file1 file2 dir1 创建一个包含了 'file1', 'file2' 以及 'dir1'的档案文件 tar -tf archive.tar 显示一个包中的内容 tar -xvf archive.tar 释放一个包 tar -xvf archive.tar -C /tmp 将压缩包释放到 /tmp目录下 tar -cvfj archive.tar.bz2 dir1 创建一个bzip2格式的压缩包 tar -xvfj

30、 archive.tar.bz2 解压一个bzip2格式的压缩包 tar -cvfz archive.tar.gz dir1 创建一个gzip格式的压缩包 tar -xvfz archive.tar.gz 解压一个gzip格式的压缩包gzip file1 压缩一个叫做 'file1'的文件 gzip -9 file1 最大程度压缩gunzip file1.gz 解压一个叫做 'file1.gz'的文件备份 dump -0aj -f /tmp/home0.bak /home 制作一个 '/home' 目录的完整备份 dump -1aj -f /tm

31、p/home0.bak /home 制作一个 '/home' 目录的交互式备份 restore -if /tmp/home0.bak 还原一个交互式备份（6） 设置应用于目录的SGID权限位：文件权限用 12 个二进制位表示，如果该位的值是 1，表示有相应的权限： 11 10 9 8 7 6 5 4 3 2 1 0 S G T r w x r w x r w x 第 11 位为 SUID 位，第 10 位为 SGID 位，第 9 位为 sticky 位，第 8-0 位对应于上面的三组 rwx 位。 上面的-rwsr-xr-x的值为： 1 0 0 1 1 1 1 0 1 1 0

32、1-rw-r-Sr-的值为： 0 1 0 1 1 0 1 0 0 1 0 0chmod g+s filename 设置SGID位 chmod g-s filename 去掉SGID设置SUID作用：让本来没有相应权限的用户运行这个程序时，可以访问他没有权限访问的资源。4、 信息安全综合实验系统实验（1）信息安全07. Linux文件系统08. Linux用户管理09. Linux日志管理10. Linux网络与服务管理20. Linux恶意脚本实验31. ext2数据恢复实验33. IP SAN网络存储实验34. NAS网络存储实验35. NFS数据实验（2）网络攻防16. Linux用户管理

33、实验23. 综合扫描实验操作系统安全实验三SELinux实验一、实验目的1、了解Linux操作系统的安全性2、熟悉SELinux安全模块的配置和使用3、熟悉SELinux框架的基本内容二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、熟悉Flask安全体系框架和SELinux安全体系结构的组成。3、比较Flask安全体系框架和权能体系结构。三、实验内容1、安装与启动SELinux安全模块Selinux简介：Selinxux的特点：对访问的控制彻底化，对所有的文件、目录、端口的访问都是基于策略设定的，可由管理员时行设定。对于用户只赋予最小权限。用户被划

34、分成了一些role(角色)，即使是root用户，如果不具有sysadm_r角色的话，也不是执行相关的管理。哪些role可以执行哪些domain（域）,也是可以修改的。当启动selinux的时候，所有文件与对象都有安全上下文。进程的安全上下文是域，安全上下文由用户:角色:类型表示。 ubuntu 10环境下：sudo apt-get install selinux2、查看当前SELinux目前的设置，理解设置影响哪方面的安全？查看selinux加载的内核模块：semodule lSELinux当前运行状态：getenforce设置运行状态： sudo setenforce Enforcing |

35、 Permissive | 1 | 0SELinux的工作模式一共有三种 enforcing、permissive和disabled enforcing强制模式：只要是违反策略的行动都会被禁止，并作为内核信息记录permissive允许模式：违反策略的行动不会被禁止，但是会提示警告信息disabled禁用模式：禁用SELinux，与不带SELinux系统是一样的，通常情况下我们在不怎么了解SELinux时，将模式设置成disabled，这样在访问一些网络应用时就不会出问题了查看拒绝信息：getsebool -a、getsebool allow_execheap查看允许的服务：/var/log/

36、messages、/usr/bin/audit2allow查看用户安全上下文：id1 检查帐号的安全上下文root:system_r:unconfined_t:SystemLow-SystemHigh可以查看selinux错误日志：sealert -a /var/log/audit/audit.log3、修改SELinux设置，理解设置影响哪方面的安全？ 修改安全上下文：chcon Rchcon -R -tsamba_share_t /tmp/abc注：安全上下文的简单理解说明，受到selinux保护的进程只能访问标识为自己只够访问的安全上下文的文件与目录。例如：上面解释为使用smb进程能够访

37、问/tmp/abc目录而设定的安全上下文。修改策略：setsebool Psetsebool命令setsebool P allow_ftpd_anon_write=1-P 是永久性设置，否则重启之后又恢复预设值。示例：rootredhatfiles# setsebool -P allow_ftpd_anon_write=1rootredhatfiles# getsebool allow_ftpd_anon_writeallow_ftpd_anon_write-> on说明：如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问，配置文件中也允许可写，但是selinux中策略中不允

38、许可写，仍然不可写。所以基于selinux保护的服务中，安全性要高于很多。其他修改设置方面，如http、ftp、nfs等。nfsselinux对nfs的限制好像不是很严格，默认状态下，不对nfs的安全上下文进行标记，而且在默认状态的策略下，nfs的目标策略允许nfs_export_all_ronfs_export_all_ronfs_export_all_rw值为0所以说默认是允许访问的。但是如果共享的是/home/abc的话，需要打开相关策略对home的访问。setsebool -Puse_nfs_home_dirs boolean 1getsebooluse_nfs_home_dirsftp如果ftp为匿名用户共享目录的话，应修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public_content_rw_t /var/ftp/incoming策略的设置setsebool -P allow_ftpd_anon_write =1gets