CISP0205操作系统安全_v30

1、操作系统平安培训机构名称讲师名称版本：3.0发布日期：2014-12-1生效日期：2015-1-11课程内容操作系统与数据库平安知识体知识域操作系统平安知识子域Windows系统安全机制操作系统安全概述Linux系统安全机制安全操作系统数据库平安2知识域：操作系统平安知识子域：操作系统平安概念了解操作系统的作用与功能了解操作系统的主要平安设计机制理解操作系统的平安配置要点3操作系统的功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机,把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口硬件：CPU、内存、硬盘、网络硬件等内核系统调用接

2、口用户进程4操作系统平安目标操作系统平安目标标识系统中的用户和进行身份鉴别依据系统平安策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问监督系统运行的平安性保证系统自身的平安和完整性5操作系统平安机制（一）标识与鉴别用户身份合法性鉴别操作系统登录访问控制防止对资源的非法使用限制访问主体对访问客体的访问权限DAC、MAC、RBAC最小特权管理限制、分割用户、进程对系统资源的访问权限“必不可少的权限6操作系统平安机制（二）信道保护正常信道的保护可信通路（Trusted Path）平安键（SAK）7操作系统平安机制（三）平安审计对系统中有关平安的活动进行记录、检查以及审核审计一

3、般是一个独立的过程内存存取保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护分区文件共享文件备份8知识域：操作系统平安知识子域：Windows系统平安机制理解Windows系统标识与鉴别、访问控制、用户账户控制、平安审计、文件系统的平安机制和平安策略掌握Windows系统的平安配置方法9Windows系统标识与鉴别-平安主体平安主体类型用户帐户本地用户域用户组帐户everyone组network组计算机效劳10Windows系统标识与鉴别-平安标识平安标识符（Security Identifier,SID）平安主体的代表（标识用户、组和计算机账户的唯一编码）范例：S-1-5

4、-21-17364053-100011Windows系统标识与鉴别-用户鉴别账户信息管理机制登录验证本地登录验证远程登录验证12Windows用户身份鉴别帐号信息存储（SAM:平安账号管理）运行期锁定、存储格式加密仅对system帐号有权限,通过效劳进行访问控制Windows用户身份鉴别：本地登录GINA（Graphical Identification and Authentication:图形化识别和验证)LSA（Local Security Authority：本地平安授权）SAM账户信息库 GINA LSA13Windows系统身份鉴别：远程登录远程登录鉴别协议SMB（Server M

5、essage Block）:口令明文传输LM（LAN Manager）：口令哈希传输,强度低NTLM（NT LAN Manager）：提高口令散列加密强度、挑战/响应机制Kerberos：为分布网络提供单一身份验证14Windows系统访问控制-ACL访问控制列表（Access Control List,ACL）NTFS文件系统支持权限存储流文件系统中自主访问控制灵活性高,平安性不高15Windows系统访问控制-用户账户控制用户帐户控制（User Account Control,UAC）完全访问令牌标准受限访问令牌16Windows文件系统平安NTFS文件系统权限控制（ACL）文件、文件夹、

6、注册表键值、打印机等对象平安加密EFS(EFS(Encrypting )Windows内置,与文件系统高度集成对windows用户透明对称与非对称算法结合Bitlocker对整个操作系统卷加密解决设备物理丧失平安问题17Windows系统审计机制Windows日志系统应用程序平安设置应用程序和效劳日志应用访问日志FTP访问日志IIS访问日志18Windows系统平安策略账户策略密码策略账户锁定策略本地策略审核策略用户权限分配平安选项19Windows系统平安配置1、平安配置前置工作2、账号平安设置3、关闭自动播放4、远程访问控制5、本地平安策略6、效劳运行平安设置7、使用第三方平安增强软件20

7、Windows平安设置1-前置工作平安的安装分区设置：不要只使用一个分区系统补丁：SP+Hotfix补丁更新设置：检查更新自动下载安装或手动21Windows平安配置2-账号平安设置账号平安设置系统账号策略设置账号平安选项设置22账号平安设置-保护账号平安默认管理账户administrator更名设置“好的口令自己容易记、别人不好猜不平安口令实例：ZAQ!WSXzaq12wsx平安口令实例: WdSrS1Y28r!稍作变形：单数字母大写,最后加个感慨号23账号平安设置-系统账号策略密码策略：防止系统出现弱口令密码必须符合复杂性要求密码长度最小值密码最短使用期限密码最长使用期限强制密码历史用可复

8、原的加密来存储密码24账号平安设置-账号锁定策略账号锁定策略：应对口令暴力破解账号锁定时间账号锁定阀值重置账号锁定计数器25账号权限控制-用户权限分配用户权限分配从网络访问这台计算机拒绝从网络访问这台计算机管理审核和平安日志从远程系统强制关机26账户权限控制-设置唤醒密码设置唤醒计算机时的登录密码设置屏幕保护恢复时的登录密码27Windows平安配置3-自动播放功能的威胁为方便用户而设计恶意代码借助移动存储介质传播的方式28Windows平安配置-关闭自动播放关闭自动播放功能可以有效阻断U盘病毒的传播路径29Windows全配置4-远程访问控制网络访问控制共享平安防护30网络访问控制-防火墙设

9、置确保启用Windows自带防火墙31网络访问控制-防火墙高级配置出站规则入站规则连接平安规则监视防火墙连接平安规则平安关联32共享平安防护-共享平安风险IPC$的平安问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）33系统用户列表用户信息共享列表空会话连接33共享平安防护-关闭管理共享空会话连接控制本地平安策略设置中对匿名访问的限制关闭管理共享：修改注册表HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters34Windows平安设置5-本地平安策略审核策略用户权限

10、分配平安选项35本地平安策略-平安选项管理工具本地平安策略平安设置本地策略平安选项交互式登录：无须按Ctrl+Alt+Del,设置为已禁用交互式登录：不显示最后的用户名,设置为已启用设备：将CD-ROM 的访问权限仅限于本地登录的用户,设置为已启用36本地平安策略-平安选项管理工具本地平安策略平安设置本地策略平安选项网络访问：不允许SAM账号的匿名枚举,设置为已启用网络访问：可匿名访问的共享,删除策略设置里的值网络访问：可匿名访问的命名管道,删除策略设置里的值网络访问：可远程访问的注册表路径,删除策略设置里的值37Windows平安配置6-效劳运行平安Windows效劳（windows ser

11、vice)Windows效劳程序是一个长时间运行的可执行程序,不需要用户的交互,也不需要用户登录38效劳运行平安设置-关闭不必要的效劳关闭不需要的效劳方案任务远程操作注册表控制效劳权限System(本地系统)Local ServiceNetwork Service39Windows平安配置7-第三方平安软件防病毒软件平安防护软件40安装防病毒软件安装病毒防护软件恶意代码是终端平安的最大威胁确保病毒防护软件病毒库更新病毒防护软件主要工作机制：特征码扫描开启云查杀41系统平安防护软件系统平安保护软件影子系统主机入侵检测42知识域：操作系统平安知识子域：Linux系统平安机制理解Linux系统标识与

12、鉴别、访问控制、平安审计、文件系统、特权管理的平安机制掌握Linux系统的平安配置方法43Linux系统标识与鉴别-平安主体平安主体用户：身份标识（User ID）组：身份标识（Group ID）用户与组根本概念文件必须有所有者用户必须属于某个或多个组用户与组的关系灵活（一对多、多对多等都可以）根用户拥有所有权限44Linux系统标识与鉴别-帐号信息存储信息存储用户信息：/etc/passwd/etc/shadow组信息/etc/group/etc/gshadow45用户信息文件-passwd用于存放用户信息（早期包括使用不可逆DES算法加密形成用户密码散列）特点文本格式全局可读存储条目格式n

13、ame:coded-passwd:UID:GID:userinfo:homedirectory:shell条目例子demo:x:523:100:J.demo:/home/demo:/bin/sh用户名早期：密码散列X:代替密码散列*:账号不可交互登录用户ID用户所属组ID用户信息用户目录用户登录后使用的shell46用户帐号影子文件-shadow用于存放用户密码散列、密码管理信息等特点文本格式仅对root可读可写存储条目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag条目例子#root:$1$acQMceF9:13402:0:999

14、99:7:用户登录名及加密的用户口令上次修改口令日期口令两次修改最小天数及最大天数口令失效前多少天向用户警告被禁止登录前还有效天数帐号被禁止登录时间保存域47Linux系统身份鉴别口令鉴别本地登录远程登录（telnet、FTP等）主机信任（基于证书）PAM（PluggableAuthenticationModules,可插拔验证模块）PAM APIlogintelnetSSHLinuxKerberosS/keyPAM SPI48Linux系统访问控制-权限模式文件/目录权限根本概念权限类型：读、写、执行权限表示方式：模式位drwxr-xr-x 3 root root 1024 Sep 13 1

15、1:58 test文件类型：d为文件夹 -是文件文件拥有者的权限（U）文件拥有者所在组其他用户的权限（G）系统中其他用户权限（O）链接数文件拥有者UID文件拥有者GID文件大小最后修改时间文件名49Linux系统访问控制-权限模式权限的数字表示法权限的特殊属性 SUID、SGID、Sticky（防删除）-r-s-x-x 1 root root 10704 Apr 15 2002 /usr/bin/passwd SUID程序50Linux系统平安审计-日志系统系统日志类型连接时间日志/var/log/wtmp和/var/run/utmp由多个程序执行,记录用户登录时间进程统计由系统内核执行,为系

16、统根本效劳提供命令使用统计错误日志/var/og/messages由syslogd守护记录,制定注意的事项应用程序日志应用程序如（HTTP、FTP）等创立的日志51Linux文件系统文件系统类型日志文件系统：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系统平安访问权限文件系统加密eCryptfs（Enterprise Cryptographic ）基于内核,平安性高,用户操作便利加密元数据写在每个加密文件的头部,方便迁移,备份52文件系统目录结构/home bin proc usr boot lib dev etc varftp ljw linux bin lib ma

17、n tmp lib log run spool tmp53Linux系统的特权管理特权划分分割管理权限,30多种管理特权根用户（root）拥有所有特权普通用户特权操作实现setuid setgid特权保护：保护root账号不直接使用root登录,普通用户su成为root控制root权限使用54Linux系统平安设置1、平安配置前置工作2、账号和口令平安3、系统效劳配置4、远程登录平安5、文件和目录平安6、系统日志配置7、使用平安软件55Linux设置平安配置前置工作系统安装使用官方/正版软件分区挂载重要目录根目录（/）、用户目录（/home）、临时目录（/tmp）等应分开到不同的磁盘分区自定义

18、安装,选择需要的软件包不安装全部软件包,尤其是那些不需要的网络效劳包系统补丁及时安装系统补丁更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证56Linux设置账号和口令平安账号通用配置保护root账号口令平安策略57账号和口令平安账号通用配置（1）检查、去除系统中多余账号检查#cat /etc/passwd#cat /etc/shadow去除多余账号锁定账号特殊保存的系统伪账户,可以设置锁定登录锁定命令：#passwd -l 解锁命令：#passwd -u 58账号和口令平安账号通用配置（2）禁用root之外的超级用户翻开系统账号文件/etc/passwd假设用户ID=0,则表示该用

19、户拥有超级用户的权限检查是否有多个ID=0禁用或删除多余的账号59账号和口令平安账号通用配置（3）检查是否存在空口令账号执行命令#awk -F: ( = ) print $1 /etc/shadow如果存在空口令账号,则对其进行锁定,或要求增加密码要确认空口令账户是否和已有应用关联,增加密码是否会引起应用无法连接的问题60账号和口令平安账号通用配置（3）设置账户锁定登录失败锁定次数、锁定时间修改账户超时值,设置自动注销时间61账号和口令平安保护root账号root账号权限很高保护措施禁止使用root登录系统只允许普通用户登陆,然后通过su命令切换到root不要随意把root shell留在终端

20、上；不要把当前目录(“ . /)和普通用户的bin目录放在root账号的环境变量PATH中永远不以root运行其他用户的或不熟悉的程序62账号和口令平安口令平安策略口令平安策略要求使用平安口令口令长度、字符要求口令修改策略强制口令使用有效期设置口令修改提醒设置账户锁定登录失败锁定次数、锁定时间vi/etc/login.def PASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE2863Linux设置系统效劳配置禁止危险的网络效劳telnet、FTPecho、chargen、shell、finger、NFS、RPC等关闭非必需的网络效劳t

21、alk、ntalk等确保最新版本使用当前最新和最平安的版本的效劳软件关闭邮件效劳：chkconfig -level 12345 sendmail off关闭图形登录效劳：编辑/etc/inittab文件,修改为id:3:initdefault:关闭X font效劳：chkconfig xfs off64Linux设置远程登录平安禁用telnet,使用SSH进行管理限制能够登录本机的IP地址禁止root用户远程登陆限定信任主机修改banner信息65远程登录平安使用SSH/限制登录IP禁用telnet,使用SSH进行管理开启ssh效劳：#service sshd start限制能够登录本机的IP

22、地址#vi /etc/ssh/sshd_config添加（或修改）：AllowUsers 允许用户xyz通过地址3来登录本机AllowUsers *192.168.*.*仅允许/16网段所有用户通过ssh访问。66远程登录平安禁止root/限定信任主机禁止root用户远程登陆#cat /etc/ssh/sshd_config确保PermitRootLogin为no限定信任主机#cat /etc/hosts.equiv#cat /$HOME/.rhosts查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机或直接关闭所有R系列远程效劳rloginrshrexec67远程登录平安

23、修改banner信息系统banner信息一般会给出操作系统名称、版本号、主机名称等修改banner信息查看修改sshd_config#vi /etc/ssh/sshd_config如存在,则将banner字段设置为NONE查看修改motd：#vi /etc/motd 该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容68Linux设置文件和目录平安设置文件目录权限设置默认umask值检查SUID/SGID文件69文件和目录平安设置文件目录权限保护重要的文件目录,限制用户访问设置文件的属主和属性以进行保护极其重要的文件或目录可以设置为不可改变

24、属性chattr+i/etc/passwd临时文件不应该有执行权限常见文件权限及属性的操作命令：chmod、chown、chattr70文件和目录平安设置默认umask值设置新创立文件的默认权限掩码可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问umask设置的是权限“补码设置方法使用umask命令如 #umask 066编辑/etc/profile文件,设置umask值71文件和目录平安检查SUID/SGID文件SUID/SGID的程序在运行时,将有效用户ID改变为该程序的所有者(组)ID。因而可能存在一定的平安隐患找出系统中所有含s“位的程序,把不必要的s“位去掉,或者把根本不用的直接删除,这样可以防止用户滥用及提升权限的可能性,其命令如下：查找SUID可执行程序#find/-perm-4000-user0ls查找SGID程序#find/-perm-2000-user0ls72Linux设置系统日志配置（1）保护日志文件审查日志中不正常情况非常规时间登录日志残缺Su的使用效劳的启动情况73Linux设置系统日志配置（2）启用sys