《信息安全基础实验指导》实验指导书

《信息安全基础实验指导》实验指导书实验一古典密码算法实验名称：古典密码算法实验类型:设计性实验学时：4适用对象:信息安全一、实验目的学习常见的古典密码学算法，通过编程实现替代密码算法和置换密码算法，加深对古典密码体制的了解，为深入学习密码学奠定基础。二、实验要求分析替代密码算法和置换密码算法的功能需求，详细设计实现替代密码算法和置换密码算法的数据结构和流程，给出测试用例和测试步骤，得出测试和结论。替代密码算法和置换密码算法的实现程序必须提供加密和解密两个接口：intencrypt()和intdecrypt()。当加密或者解密成功时返回CRYPT_OK，失败时返回CRYPT_ERROR。三、实验原理古典密码算法曾被广泛应用，大都比较简单，使用手工和机械操作来实现加密和解密。它的主要应用对象是文字信息，利用密码算法实现文字信息的加密和解密。下面介绍两种常见的具有代表性的古典密码算法，以帮助读者对密码算法建立一个初步的印象。替代密码替代密码的原理是使用替代法进行加密，就是将明文由其它的字母、数字或符合所代替后形成密文。这里每个明文字母对应的密文字母可能是一个，也可能是多个。接收者对密文进行逆向替换即可得到明文。替代密码有五种表现形式：eq\o\ac(○,1)单表代替即简单替代密码或者称为单字母代替，明文字母表中的一个字符对应密文字母表中的一个字符。这是所有加密中最简单的方法。eq\o\ac(○,2)多名码代替就是将明文字母表中的字符映射为密文字母表中的多个字符。多名码简单代替早在1401年就由DuchyMantua公司使用。在英文中，元音字母出现频率最高，降低对应密文字母出现频率的一种方法就是使用多名码，如e可能被密文5、13或25替代。eq\o\ac(○,3)多音码代替就是将多个明文字符代替为一个密文字符。比如将字母“i”和“j”对应为“K”，“v”和“w”代替为“L”最古老的这种多字母加密始见于1563年由波他的《密写评价》（Defurtioisliterarumnotis）一书。eq\o\ac(○,4)多表代替即由多个简单代替组成，也就是使用了两个或两个以上的代替表。比如使用有5个简单代替表的代替密码，明文的第一个字母用第一个代替表，第二个字母用第二个表，第三个字母用第三个表，以此类推，循环使用这五张代替表。多表代替密码由莱昂.巴蒂斯塔于1568年发明，著名的维吉尼亚密码和博福特密码均是多表代替密码。下面我们介绍一种典型的单表替代密码——凯撒(Caesar)密码，又叫循环移位密码。它的加密方法就是将明文中的每个字母用字母表中该字母后的第R个字母来替换，达到加密的目的。它的加密过程可以表示为下面的函数：其中，ｍ为明文字母在字母表中的位置数；ｎ为字母表中的字母个数；ｋ为密钥；为密文字母在字母表中对应的位置数。 例如：对于明文字母H，其在字母表中的位置数为8，设，则按照上式计算出来的密文为L，计算过程如下： ２．置换密码置换密码算法的原理是不改变明文字符，而是按照某一规则重新排列消息中的比特或字符顺序，才而实现明文信息的加密。置换密码有时又称为换位密码。矩阵换位法是实现置换密码的一种常用方法。它将明文中的字母按照给定的顺序安排在一个矩阵中，然后用根据密钥提供的顺序重新组合矩阵中的字母，从而形成密文。例如，明文为attackbeginsatfive，密钥为cipher，将明文按照每行6个字母的形式排在矩阵中，形成如下形式：根据密钥cipher中各个字母在字母表中出现的先后顺序，给定一个置换：根据上面的置换，将原有居住中的字母按照第１列、第４裂、第５裂、第３裂、第２列、第６列的顺序排列，则有下面的形式：从而得到密文：ａｂａｔｇｆｔｅｔｃｎｖａｉｉｋｓｅ其解密过程是根据密钥的字母数作为列数，将密文按照列、行的顺序写出，再根据由密钥给出的矩阵置换产生新的矩阵，从而恢复明文。四、实验所需仪器、设备、材料（试剂）运行Windows或Linux操作系统的PC机，具有gcc（Linux）、VC（Windows）等C语言或java编译环境。五、实验预习要求、实验条件、方法及步骤（1）根据实验原理部分对替代密码算法的介绍，自己创建明文信息，并选择一个密钥，编写替代密码算法的实现程序，实现加密和解密操作。（2）根据实验原理部分对置换密码算法的介绍，自己创建明文信息，并选择一个密钥，编写置换密码算法的实现程序，实现加密和解密操作。六、思考题你所知道的古典密码算法还有那些？详细说明具体的加密和解密过程。你所看过的和密码有关的电影或小说有哪些？描述一下其中的加密解密基本原理。实验二使用Sniffer工具嗅探实验名称：使用Sniffer工具嗅探实验类型:验证性实验、综合性实验学时：6适用对象:信息安全实验目的通过使用SnifferPro软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP/IP协议中的多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。并且，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。二、实验要求(1)用两台主机做实验，一台主机进行Telnet登陆，另一台主机进行嗅探，把嗅探到的重要信息写出来，尤其是用户名和密码，过程与任务二和任务三类似。 (2)任务三中嗅探HTTP信息所得到的数据包太多，既占用主机的硬盘资源，分析起来又极其麻烦，其实可以设置DefineFilter选项中的DataPattern，这个功能可以设置更加详细的过滤选项从而使我们用最少的数据包得到最有用的数据，请自己做实验并研究怎样设置这些选项，并把任务三的实验重新做一遍，以得到少而有用的数据包，把设置的详细步骤和最终结果写出来。 (3)用两台主机做实验，在一台主机上安装防火墙，另一台主机再进行嗅探，看是否还能接收到信息，如果不能，分析其原因并详细写出来。三、实验原理Sniffer是NAI公司推出的协议分析软件，它可以利用计算机的网络接口截获目的地为其他计算机的数据报文，并迎合了网络管理所需的基本要求，支持丰富的协议，能够进行快速解码分析，而且Sniffer可以运行在各种Windows平台。1．网络技术与设备简介在讲述Sniffer的概念之前，首先需要讲述局域网设备的一些基本概念。数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。2．网络监听原理Sniffor程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太同卡）置为杂乱（promiscuous）模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。普通的情况下，阿卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情况下，网络硬件和TCP／IP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进人了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。基于Sniffer这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。3.Snifffer的分类Sniffer分为软件和硬件两种，软件的Sniffer有NetXray、Packetboy、Netmonitor等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。实际上本实验中所讲的Sniffer指的是软件。它把包抓取下来，然后打开并查看其中的内容，可以得到密码等。Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。4.Snifffer可能造成的危害嗅探器能够捕获口令；能够捕获专用的或者机密的信息；可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限。事实上，如果你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。四、实验所需仪器、设备、材料（试剂）两台安装Windows2000/XP的PC机，在其中一台上安装SnifferPro软件。将两台PC机通过hub相连，组成一个局域网。五、实验预习要求、实验条件、方法及步骤任务一熟悉Sniffer工具的使用 1.SnifferPro软件简介 Sniffer是NAI公司推出的协议分析软件，实验中使用SnifferPro4.7来截获网络中传输的FTP、HTTP、Telnet等数据包，并进行分析。 2.使用说明 启动SnifferPro软件后可以看到它的主界面，启动时有时需要选择相应的网卡，选好后即可启动软件。用户可以通过命令File/SelectSetting…来选择相应的网卡。（如图2-1所示）图2-1网卡选择 工具栏简介如图2-2。图2-2(A)工具栏图2-2(B)工具栏网络监视面板简介，Dashbord可以监控网络的利用率、流量以及错误报文等多种内容。单击Dashbord按钮（Monitor/Dashbord）即可打开Dashbord面板运行操作（如图2-3）图2-3Dashbord界面HostTable提供了被监视到的所有主机正在与网络的通信情况，在其操作界面下，单击Outline按钮便可获知各主机的IP地址、出入信包和信包大小等信息，如图2-4显示方式为IP。图2-4HostTable界面任务二捕获FTP数据包并进行分析(1)假设A主机监视B主机的活动，首先A主机要知道B主机的IP地址，B主机可以在命令符提示下输入ipconfig查询自己的IP地址并通知A主机。(2)选中Monitor菜单下的Matrix或直接点击网络性能监视快捷键，此时可以看到网络中的TrafficMap视图，如图2-5所示，可以单击左下角的MAC、IP或IPX使TrafficMap视图显示相应主机的MAC地址、IP地址或者IPX地址。图2-5显示的是MAC地址，每条连线表明两台主机间的通信。图2-5Matrix视图(3)单击菜单中的CaptureDefineFilterAdvanced，再选中IPTCPFTP，如图2-6，然后单击OK。图2-6过滤器选项(4)回到TrafficMap视图中，用鼠标选中要捕捉的B主机IP地址，选中后的IP地址以白底高亮显示。此时，单击鼠标右键，选中Capture或者单击捕获报文快捷键中的开始按钮，Sniffer则开始捕捉指定IP地址主机的有关FTP协议的数据包。 (5)开始捕捉后，单击工具栏中的CapturePanel按钮，图中显示出捕捉的Packet的数量。 (6)B主机开始登陆一个FTP服务器。接着B主机打开FTP的某个目录。 (7)此时，从CapturePanel中看到捕获数据包已达到一定数量，单击StopandDisplay按钮，停止抓包。 (8)停止抓包后，单击窗口左下角的Decode选项，窗中会显示所捕捉的数据，并分析捕获的数据包。如图2-7所示。图2-7Decode视图从捕获的包中，我们可以发现大量有用的信息。例如，可以清楚地看出用户名为test，密码为123456789。任务三捕获HTTP数据包并分析(1)同任务二。 (2)同任务二。(3)单击菜单中的CaptureDefineFilterAdvanced，再选中IPTCPHTTP，如图2-8，然后单击OK。图2-8过滤器选项(4)同任务二。(5)同任务二。(6)B主机开始登陆一个Web服务器（网站），并输入自己的邮箱地址和密码。(7)同任务二。(8)停止抓包后，单击窗口左下角的Decode选项，窗中会显示所捕捉的数据，并分析捕获的数据包。如图2-9所示。图2-9Decode视图由任务二的实验和任务三的实验我们可以看出，Sniffer可以探查出局域网内流动的任何信息，尤其是用户名和密码之类敏感的数据，所以在局域网内的安全就至关重要了，其实只要在电脑内安装上网络防火墙，并把Windows操作系统的安全级别提高，Sniffer工具就可能嗅探不到任何信息。六、思考题你所了解的网络嗅探工具还有那些？和Sniffer比较有何优缺点？如果让你开发一个网络嗅探工具，应该如何设计和实现？通过使用网络嗅探工具，你体会应该在那些方面加强信息的安全性？实验三账号口令破解实验名称：账号口令破解实验类型:验证性实验学时：4适用对象:信息安全一、实验目的 通过密码破解工具的使用,了解账号口令的安全性,掌握安全口令设置原则,以保护账号口令的安全。二、实验要求(1)自己尝试设置不同复杂度的用户密码，通过设置LC5中的不同破解方法进行破解，记录破解时间，加深对密码保护的理解。(2)通过设置“任务”中的“从Sniffer导入”选项，尝试通过嗅探器在线探测网络中传输的口令，改变身份验证方式，再进行尝试，将步骤和结果加以整理并提交报告。(3)整理总结增加密码口令安全性的方法和策略。三、实验原理口令密码应该说是用户最重要的一道防护门，如果密码被破解了，那么用户的信息将很容易被窃取，所以密码安全是尤其需要关注的内容。随着网络黑客攻击技术的增强和方式的改变，许多口令都可能被攻击和破译，这就要求用户提高对口令安全的认识。这个实验中介绍了口令破解的原理和工具的使用，可以用这些工具来测试用户密码的强度和安全性，以使用户选择更为安全的口令。一般入侵者常常采用下面几种方法获取用户的密码口令，包括弱口令扫描、Sniffer密码嗅探、暴力破解、社会工程学（即通过欺诈手段获取）以及木马程序或键盘记录程序等手段。有关弱口令扫描、Sniffer密码嗅探等已经在前面的实验中做了介绍，本章我们主要就暴力密码破解的工作原理进行简要介绍。首先介绍一种星号“*”密码查看器的工作原理。在Windows中Edit控件是一个标准控件，当把其Password属性设为True时，输入的口令密码就会屏蔽为星号，从而达到保护密码的目的。虽然表面上我们看到输入的密码都是星号，但程序中的Edit控件仍是用户输入的明文密码。应用程序可以获取该控件中的明文密码信息，也可以通过向其发送WM_GETTEXT或EM_GETLINE消息来获取Edit控件中的内容。当破解程序发现当前探测的窗口是Edit控件时，即可利用具有ES-PASSWORD属性的Edit控件的这个特性，通过SendMessage向此窗口发送WM-GETEXT或EM-GETLINE消息，这样Edit框中的“*”内容就一目了然了。当然，不同密码程序的加密机制有所不同，主面介绍的仅是其中的一种破解方法，但读者可以从中了解口令解密的机制。有关系统用户账号密码口令的破解主要是基于密码匹配的破解方法，最基本的方法有两个，即穷举法和字典法。穷举法就是效率最低的办法，将字符或数字按照穷举的规则生成口令字符串，进行遍历尝试。在口令密码稍微复杂的情况下，穷举法的破解速度很低。字典法相对来说效率较高，它用口令字典中事先定义的常用字符去尝试匹配口令。口令字典是一个很大的文本文件，可以通过自己编辑或者由字典工具生成，里面包含了单词或者数字的组合。如果你的密码就是一个单词或者是简单的数字组合那么破解者就可以很轻易的破解密码。目前常见的密码破解和审核工具有很多种，例如破解Windows平台口令的L0phtCrack、WMICracker、SMBCrack、CNIPCNT弱口令终结者以及商用的工具：Elcomsoft公司的AdancedNTSecurityExplorer和ProactiveWindowsSecurityExplorer、Winternals的Locksmith等，用于Unix平台的有JohntheRipper等。下面的实验中，主要通过介绍L0phtCrack5的使用，了解用户口令的安全性。四、实验所需仪器、设备、材料（试剂）一台安装Windows2000/XP系统的计算机，安装L0phtCrack5.02密码破解工具。五、实验预习要求、实验条件、方法及步骤任务一使用L0phtCrack5破解密码L0phtCrack5(简写为LC5)是L0phtCrack组织开发的Windows平台口令审核程序的最新版本，它提供了审核Windows用户账号的功能，以提高系统的安全性。另外，LC5也被一些非法入侵者用来破解Windows用户口令，给用户的网络安全造成很大的威胁。所以，了解LC5的使用方法，可以避免使用不安全的密码，从而提高用户本身系统的安全性。在Windows操作系统中，用户账户的安全管理使用了安全账号管理器SAM(SecurityAccountManager)的机制，用户和口令经过加密Hash变换后以Hash列表形式存放在%SystemRoot%\System32下的SAM文件中。LC5主要是通过破解这个SAM文件来获取用户名和密码的。LC5可以从本地系统、其它文件系统系统备份中获取SAM文件，从而破解出用户口令。 我们事先在主机内建立用户名test，密码分别陆续设置为空密码、123123、security、security123进行测试。 启动LC5，弹出来LC5的主界面如图5-1所示。图5-1LC5主界面如果破解本台计算机的口令，并且具有管理员权限，那么选择从本地机器导入；如果已经侵入远程的一台主机，并且有管理员权限，那么可以选择从远程电脑导入，这样就可以破解远程主机的SAM文件（这种方法对使用syskey保护的计算机无效）；如果获得了一台主机的紧急修复盘，那么可以破解紧急修复盘中的SAM文件；LC5还提供在网络中探测加密口令的选项，LC5可以在一台计算机向另一台计算机通过网络进行认证的挑战/应答过程中截获加密口令散列，这也要求和远程计算机建立起连接。本实验破解本地计算机的口令，所以选择“从本地机器导入”，然后单击Next按钮，弹出如图5-5所示的对话框。由于设置的是空口令，所以选择快速口令破解即可以破解口令，再单击Next按钮，弹出如图5-6所示的对话框。选择默认的选项即可，接着单击Next按钮，弹出如图5-7所示的对话框。单击Finish按钮，软件就开始破解账号密码了，破解结果如图5-8所示。可以看到，用户test的密码为空，软件很快就被破解出来了。把test用户的密码改为“123123”，再次测试，由于口令不是太复杂，还是选择快速口令破解，破解结果如下图5-9所示。 可以看到，test用户的密码“123123”也被很快的破解出来了。把主机密码设置的复杂一些，不选用数字，选择某些英文单词，比如security，再次测试，由于密码复杂了一些，破解方法选择“普通口令破解”，测试结果如图5-10所示。可以看到，复杂口令的破解速度虽慢，但还是把比较复杂的口令security123破解出来了。其实我们还可以设置更加复杂的口令，采用更加复杂的自定义口令破解模式，设置界面如图5-13所示。其中，“字典攻击”中我们可以选择字典列表的字典文件进行破解，LC5本身带有简单的字典文件，也可以自己创建或者利用字典工具生成字典文件；“混合字典”破解口令把单词、数字或符号进行混合组合破解；“预定散列”攻击是利用预先生成的口令散列值和SAM中的散列值进行匹配，这种方法由于不用在线计算Hash，所以速度很快；利用"暴力破解"中的字符设置选项，可以设置为"字母+数字"、"字母+数字+普通符号"、"字母+数字+全部符号"，这样我们就从理论上把大部分密码组合采用暴力方式遍历所有字符组合而破解出来，只是破解时间可能很长。任务二掌握安全的密码设置策略暴力破解理论上可以破解任何密码，但如果密码过于复杂，暴力破解需要的时间会很长(比如几天)，在这段较长的时间内，增加了用户发现入侵和破解行为的机会，以采取某种措施来阻止破解，所以密码越复杂越好。一般设置密码要遵循以下几个原则：(1)密码长度不小于8个字符；(2)包含有大写和小写的英文字母、数字和特殊符号的组合；(3)不包含姓名、用户名、单词、日期以及这几项的组合；(4)定期修改密码，并且对新密码做较大的变动。例如，这样的一个密码就是一个复杂度很高的密码“974a3K%n_4$Fr1#”，破解软件要花费很长的时间才能破解。任务三密码破解的防护syskey是Windows2000和WindowsXP中增加的一项功能，它可以使用启动密钥来保护SAM文件中的账号信息。默认情况下，启动密钥是一个随机生成的密钥，存储在本地计算机上。这个启动密钥在计算机启动后必须正确输入才能登录系统。通过在命令行界面下输入命令syskey，回车后即会启动syskey的设置界面，如图5-14所示。图5-14syskey配置界面通过syskey保护，攻击者即使通过另外一个操作系统挂上你的硬盘，偷走计算机上的一个SAM文件的拷贝，这份SAM文件的拷贝对于他们也是没有意义的，因为Syskey提供了非常好的安全保护。当然，要防止攻击者进入系统后对本地计算机启动密钥的提索，这可以通过配置syskey时，将启动密钥存储在软盘上实现启动密钥与本地计算机的|分隔。另外，还可以通过选择安全的身份验证协议，防止嗅探器探测到网络中传输的密码。在Windows2000和WindowsXP中，默认的身份认证协议是Kerberosv5，它采用了复杂的加密方式来防止未经授权的用户截获网络中传输的密码信息。但是，如果计算机没有加入到域中，则采用的身份认证协议是NTLM。NTLM采用询问应答的方式进行身份验证，它有3种变体：LM(LanManager)、NTLMversion1和NTLMversion2，其中NTLMversion2是最安全的身份验证方式。为了加强网络安全性，需要关闭LM和NTLMversionl这两种相对不安全的方式。可以通过控制面板→管理工具→本地安全策略，在打开的本地安全策略窗口中，打开安全设置\本地策略\安全选项，在右侧的窗口中，双击鼠标左键打开"网络安全：LanManager身份验证级别"，在列表中选择"仅发送N11Mv2响应＼拒绝LM&NτML"选项,如图515所示。在Windows系统里面有很多措施来增强密码口令的安全,详细步骤和过程请参考实验"Windows系统安全"中的账户和口令安全设置。图5-15身份认证协议的选择界面实验四Windows操作系统安全实验名称：Windows操作系统安全实验类型：验证性实验、综合性实验学时：4适用对象:信息安全实验目的通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模板的使用、审核和日志的启用、本机漏洞检测软件MBSA的使用，建立一个Windows操作系统的基本安全框架。二、实验要求根据Windows操作系统中的各项安全性要求，完成相关的设置，详细观察记录设置前后系统的变化，给出分析报告。三、实验原理我们从账户口令、文件系统、日志和审核、安全漏洞扫描等方面对Windows操作系统安全进行介绍。 1.账户和口令账户和口令是登录系统的基础，也是众多黑客程序攻击和窃取的对象。因此，系统帐户和口令的安全是非常重要的，也是可以通过合理设置来实现的。普通用户常常在安装系统后长期使用系统的默认设置，忽视了Windows系统默认设置的不安全性，而这些不安全性常常被攻击者利用，通过各种手段获得合法的账户，进一步破解口令。所以，首先需要保障账户和密码的安全。文件系统磁盘数据被攻击者或本地的其它用户破坏和窃取是经常困扰用户的问题，文件系统的安全问题也是非常重要的。Windows系统提供的磁盘格式有FAT、FAT32以及NTFS。其中，FAT格式和FAT32格式没有考虑对安全性方面的更高需求，例如无法设置用户访问权限等。NTFS文件系统是Windows操作系统中的一种安全的文件系统，管理员或用户可以设置每个文件夹的访问权限，从而限制一些用户和用户组的访问，以保障数据的安全。3.数据加密软件EFS当用户的计算机在没有足够物理保护的地方使用时，或者发生计算机或磁盘的被窃、被拆换，在所有这些情况下，保密的数据都可能被窃取，造成重要数据的丢失。采用加密文件系统（EFS）的加密功能对敏感数据文件进行加密，可以加强数据的安生性，并且减小计算机、磁盘被窃或者被拆换后数据失窃的隐患。EFS采用了对称和非对称两种加密算法对文件进行加密，首先系统利用生成的对称密钥将文件加密成为密文，然后采用EFS证书中包含的公钥将对称密钥加密后与密文附加在一起。文件采用EFS加密后，可以控制特定的用户有权解密数据，这样即使攻击者能够访问计算机的数据存储器，也无法读取用户数据。只有拥有EFS证书的用户，采用证书中公钥对应的私钥，先解密公钥加密的对称密钥，然后再用对称密钥解密密文，才能对文件进行读写操作。EFS属于NTFS文件系统的一项默认功能，同时要求使用EFS的用户必须拥有在NTFS卷中修改文件的权限。审核与日志为了便于用户监测当前系统的运行状况，Windows系统中设置了审核与日志功能。审核与日志是Windows系统中最基本的入侵检测方法，当有攻击者尝试对系统进行某些方式的攻击时，都会被安全审核功能记录下来，写入到日志中。一些Windows下的应用程序，如IIS（Internet信息服务器），也带有相关的审核日志功能，例如，IIS的FTP日志和WWW日志等。IIS每天生成一个日志文件，包含了该日的一切记录，例如，试图通过网络登陆系统的IP地址等。文件名通常为ex年份月份日期，例如，ex050123，就是2005年1月23日产生的日志。IIS的WWW日志在系统盘中\%systemroot%\System32\logfiles\w3svc1\目录下，FTP日志在\%systemroot%\System32\logfiles\msftpsvc1\目录下。而系统日志、安全性日志和应用程序日志分别为\%systemroot%\System32\config文件夹下的3个文件。5.安全模板Windows系统中的安全设置项目繁多，包括账户策略、本地策略、事件日志、受限制的组、系统服务、注册表和文件系统等。一一设置这些安全项目相当复杂，为了提高系统安全性设置的简易性，微软在Windows系统中提供了不同安全级别的安全模板，不同安全级别的模板包含了不同安全性要求的配置项目。用户只要简单地根据需要选择启用相应的模板，即可自动按照模板配置各项安全属性。对部分模板的意义做如下说明：setupsecurity.inf：全新安装系统的默认安全设置basicws.inf：基本的安全级别compatws.inf：将系统的NTFS和ACL设置成安全层次较低的NT4.0设置securews.inf：提供较高安全性的安全级别hisecws.inf：提供高度安全性的安全级别上述模板文件名的后面两个字符，ws代表workstation&server，dc代表domaincontroller。Windows系统也支持用户自己构建模板。6.MBSA（MicrosoftBaselineSecurityAnalyzer）要检查当前系统是否符合一定的安全标准，手动逐项检查的过程是非常繁杂的。Microsoft提供了自动检查Windows系统漏洞的安全审计工具MBSA。它将从微软的升级服务器中下载最新的补丁包文件，检查Windows系统中是否安装了最新的安全补丁。此外，它还可以对系统漏洞、IIS漏洞、SQLServer数据库以及IE、OFFICE等应用程序的漏洞进行扫描，以检查系统的各项配置是否符合安全性要求。四、实验所需仪器、设备、材料（试剂）1台安装Windows2003/XP操作系统的计算机，磁盘格式配置为NTFS，预装MBSA（MicrosoftBaselineSecurityAnalyzer）工具。五、实验预习要求、实验条件、方法及步骤需要说明的是，以下设置均需以管理员(Administrator)身份登陆系统。在Windows2000和WindowsXP操作系统中，相关安全设置会稍有不同，但大同小异，下面主要以Windows2000的设置步骤为例进行说明。任务一账户和口令的安全设置1.删除不再使用的账户，禁用guest账户共享账户、guest账户等具有较弱的安全保护，常常都是黑客们攻击的对象，系统的账户越多，被攻击者攻击成功的可能性越大，因此要及时检查和删除不必要的账户，必要时禁用guest账户。(1)检查和删除不必要的账户。右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项。在弹出的对话框(如图6-1所示)中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。图6-1用户和密码(2)guest账户的禁用。为了便于观察实验结果，确保实验用机在实验前可以使用guest账户登陆；打开“”控制面板中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，弹出如图6-2所示的窗口； 右键单击guest用户，弹出如图6-3所示对话框，选择“属性”，在弹出的对话框中“账户己停用”一栏前打勾；图6-3guest属性确定后，guest前的图标上会出现一个红色的叉。此时再次试用guest账户登陆，则会显示“您的账户已被停用，请与管理员联系”。2.启用账户策略账户策略是Windows账户管理的重要工具。打开“控制面板”→“管理工具”→“本地安全策略”，选择“账户策略”，如图6-4所示。双击“密码策略”，弹出如图6-5所示的窗口。密码策略用于决定系统密码的安全规则和设置。图6-3密码策略其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特性的设置。(1)双击“密码必须符合复杂性要求”，在弹出的如图6-4所示对话框中，选择“启用”；下面我们看一下策略是否启动，打开“控制面板”中“用户和密码”项，在弹出的如图6-7所示对话框中选择一个用户后，单击“设置密码”按钮。图6-7用户和密码在出现的设置密码窗口中输入密码。此时设置的密码要符合设置的密码要求。例如，若输入密码为L123456，则弹出如图6-8所示的对话框；若输入密码为L_123456，密码被系统接受。(2)双击图6-5面板中“密码长度最小值”，在弹出的对话框(见图6-8)中设置可被系统接纳的账户密码长度最小值，例如设置为6个字符。一般为了达到较高的安全性，建议密码长度的最小值为8。图6-8密码长度最小值(3)双击图6-5面板中“密码最长存留期”，在弹出的对话框(见图6-10)中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期，可以提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。图6-10密码最长存留期(4)双击图6-5面板中“密码最短存留期”，在弹出的对话框(见图6-11)中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改账户密码。(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密储存密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码。至此，密码策略设置完毕。在账户策略中的第2项是账户锁定策略，它决定系统锁定账户的时间等相关设置。打开图6-5中“账户锁定策略”，弹出如图6-12所示的窗口。图6·12账户锁定策略(1)双击"账户锁定阙值",在弹出的对话框(见图6·13)中设置账户被锁定之前经过的无效登录次数(如3次),以便防范攻击者利用管理员身份登录后无限次的猜测账户的密码(穷举法攻击)。(2)双击"账户锁定时间",在弹出的对话框(见图6-14)中设置账户被锁定的时间(如2Omin)。此后,当某账户无效登录(如密码错误)的次数超过3次时,系统将锁定该账户 20min。3.开机时设置为“不自动显示上次登录账户”Windows默认设置为开机时自动显示上次登陆的账户名，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或FremindSeIVice的登陆界面看到用户名。图6·14账户锁定时间要禁止显示上次的登陆用户名,可做如下设置:右键单击"开始"按钮,打开"资源管理器",选中"控制面板",打开"管理工具"朋下,"本地安全策略"工页,选择"本地策略"中的"安全选项气并在图6-15所示窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，弹出如图6-16所示的对话框。选择“己启用”，完成设置。4.禁止枚举账户名为了便于远程用户共享牢地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地账户名,这给了攻击者可乘之机。要禁止枚举账户名,可执行以下操作：打开“”本地安全策略项，选择“”本地策略中的“”安全选项，如图6-17所示，选择"对匿名连接的额外限制"工页,在"本地策略设置"中选择"不允许枚举SAM账户和共享"(见图618)。图6·1g司对匿名连接的额外限制此外,在"安全选项"中还有多项增强系统安全的选工页,请读者自行查看。 文件系统安全设置任务二 (1)打开采用NTFS格式的磁盘,选择一个需要设置用反极限的文件夹。这里选择E盘下的"工具备份"文件夹。 (2)右键单击该‘文件失去F选择"属性",在工具栏中选择"安全",弹出如图6-19所示的窗口。文件夹安全属性岳、图、6,19 (3)将"允许将来自父索的主可能继承权限传播给该对象"之前的勾去掉,以去掉来缩、文件夹的继承权限(如不去摸则无法删除可对父系文件夹操作用户组的操作权(4)选中列表中的Everyone组,单击"删除"按钮,删除Everyone组的操作权限。由于新建的用户往往都归属于Everyone组,而Everyone组在缺省情况下对所有系统驱动器都有完全控制权,删除Everyone组的操作权限可以对新建用户的权限进行限制。原则上只保留允许访问此文件夹的用户和用户组。 (5)选择相应用户组,在对应的复选框中打勾,设置其余用户组对该文件夹的操作权限。 (6)单击"高级"按钮,弹出如图620所示的窗口,查看各用户组的权限。该文件夹,子文件夹及文件该文件夹,子文件夹及文件完全控制读取及运行守』允许抽imsuators@本允许FowerUses臼町用户权限图630用加密软件EFS加密硬盘数据 (1)打开"控制面板"中的"用户和密码",创建-个名为MYUSER的新用户。 ,(2)打开磁盘格式为NTFS的磁盘,选择要进行加密的文件夹,这里仍选择E:1"I具备份"。 (3)右键单击该文件夹,打开"属性"窗口,选择"常规"选工页,单击"高级yyt钮,弹出如图6·21所示的对话框。任务三图6·21文件夹高级属性(4)选择"加密内容以便保护数据",单击"确定"按钮。(5)在弹出的对话框中选择"将更改利用于该文件夹、子文件夹和文件"。图6·22加密(6)加密完毕后保存当前用户下的文件,单击"开始"按钮,打开"关机",在下拉列表中选择"注销……用户"(即当前用户),以刚才新建的MYUSER用户登陆系统。再次访问"工具备份"文件夹,打开其中的文件时,弹出如图6·23所示的错误窗口。图6·23错误窗口说明该文件夹己经被加密,在没有授权的情况下无法打开。(7)再次切换用户,以原来加密文件夹的管理员账户登陆系统。单击"开始"按钮,在飞行"框中输入mmc,打开系统控制台。单击左上角的"控制台"按钮,选择"添加l刷除管理单元",在弹出的对话框中单击"添加"按钮,选择添加"证书",如图6·24际,为当前的加密文件系统EFS设置证书。 (8)在控制台窗口左侧的目录树中选择"证书""个人""证书"。可以看到用于加密文件系统的证书显示在右侧的窗口中,如图625所示。双击此证书,单击详细信息,则可以看到证书中包含的详细信息,主要的一项是所包含的公钥,如图6·26所币。(9)选中用于EFS的证书,单击右键,在弹出的菜单中单击"所有任务飞在展开的菜单中,单击"导出",则弹出"欢迎使用证书导出向导",单击"下一步"按钮,选择"是,导出私钥",如图ι27所示,接着设置保护私钥的密码,如图6·28所示,然后将导出的证书文件保存在磁盘上的某个路径,如图6-29所示,这就完成了证书的导出,如图6·30所示。图6·30导出完成(10)再次切换用户,以新建的MYUSER登陆系统,重复步骤(7)和(8),右键单击选中的"证书"文件夹,选择"所有任务"中的"导入",在弹出的"使用证书导入向导"窗口,单击"下一步"按钮,在地址栏中填入步骤。)中导出证书文件的地址,导入该证书,如图631所示。图631导入文件(11)输入在步骤。)中为保护私钥设置的密码,如图6-32所示,选择将证书放入"个 人"存储区中,单击"下一步"按钮,完成证书导入,如图6·33所示。4牛二Jh平LLLLLLLL也掉自由蹦酣蛐蛐酣睡醒蜡瞥戴遇图633完成导入(12)再次双击加密文件夹中的文件,文件可以正常打开。说明该用户已成为加密文件的授权用户,如图6·34所示。图634文件打开任务四启用审核与日志查看1.打开审核策略(l)打开"控制面板"中的"管理工具",选择"本地安全策略":(2)·打开"本地策略"中的"审核策略",可以看到当前系统的审核策略,如图6-35所示: (3)双击每项策略可以选择是否启用该项策略。例如"审核账户管理"将对每次建立新用户、删除用户等操作进行记录,"审核登录事件"将对每次用户的登录进行记录:"审核过程追踪"将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关审核策略。审核策略启用后,审核结果放在各种事件日志中。图6·35审核策略2.查看事件日志。)打开"控制面板"中的"管理工具",双击"事件查看器",如图636所示,可以看到Windows2000反P的3种日志,其中安全日志用于记录刚才上面审核策略中所设置的安全事件。翻应用程序曰:志因安全日:志组系统日志应用程序错误记录安全审核记录系统$苦误记录日;吉、日志日志5121.OMB256图6·36事件查看器 (2)双击"安全日志",可查看有效无效、登陆尝试等安全事件的具体记录。例如,查看用户登录/注销的日志,弹出类似图6·37和图6·38所示的对话框。图6·37和图638分别为登录事件的失败审核与成功审核。可以看到日志中详细t录了登录的时间、账户名、错误类型等信息。其中,"事件ID"用于标识各事件的类型,各D的意义可以查看Microsoft网站。任务五时叫飞嗖mmm明节盼牛在每罪贸ZFJ苦苦器ZEF瑞号在串串古到摆在雪茹苦嗦概ggzj图637登录失败日志图6-38登录成功日志启用安全策略与安全模板1.启用安全模板开始前,请记录当前系统的账户策略和审核日志状态,以便与实验后的设置进行比较。三句 p 辛卢 (1)单击"开始",选择"运行吧按钮,在对话框中输入IIMIle,打开系统控制台,如图6羽所示。图6·39控制台(2)单击工具栏上的"控制台",在弹出的案单中选择"添加/删除管理单元",单击自添加",在弹出的如图640所示的窗口中分别选择"安全模板"、44安全配置和分析",轴"添加"按钮后,关闭窗口,并单击"确定"按钮。图640管理单元(3)此时系统控制台中根节点下添加了"安全模板"、"安全配置分析"两个文件夹。打开"安全模板"文件夹,可以看到系统中存在的安全模板,如图641所示的窗口。图641安全模板右键单击模板名称,选择"设置描述",可以看到该模板的相关信息。选择"打开",右侧窗口出现该模板中的安全策略,双击每种安全策略可看到其相关配置,如图6·42所习之。(4)右键单击"安全配置与分析",选择"打开数据库"。在弹出的对话框中输入欲新建安全数据库的名称,例如起名为mycomputer-sdb,如图643所示。单击"打开"按钮,在弹出的窗口中,根据计算机准备配置成的安全级别,选择一个安全模板将其导入。图ι42模板的具体设置图643打开数据库(5)右键单击"安全配置与分析",选择"立即分析计算机",单击"确定"按钮。系统开始按照上一步中选定的安全模板,对当前系统的安全设置是否符合要求进行分析。分析完毕后,可在目录中选择查看各安全设置的分析结果,如图6·44所示。 (6)右键单击"安全配置与分析",选择"立即配置计算机",则按照第(4)步中所选择的安全模板的要求对当前系统进行配置。如果事先对系统的缺省配置选项做了记录,接着记录启用安全模板后系统的安全设置,与启用前进行比较,即可发现,如果选用的安全模板级别较高,则使用安全模板后系统的安全配置选项增加了许多。分析结果2.创建安全模板(1)重复任务五第1部分第(1)步~第(4)步。在图6ι-4铅2中展开"安全模板"气,右键单击模板所在路径(即图中的对话框中填入欲新力加日入的模板名称ImIn1yt臼eIm肌InL1b,在"安全模板描述"中填入"自设模板"飞。可以看到新力加日模板出现在模板列表中,如图645所示。图644:1整釜运黎摆摆黯盟盟主哲堂堂?主胃mmmh默认安全设置.需要设置环摸变量D白I配置戚全新安装时NR文件飞注册表A..增强seqxews设置.对POW-『Use..配置成全新安黯才NT陀文件飞注册表A..可选组{牛文件安全.多数文件可能不到..可选组件文件安全.多数文件可能不可..配置成全新安装时阳陌文件宦跚表A..配置成全新安翻才阳陌文件飞注册袋AH全新安装系统的默认安全设置默认安全设重.不包括喃户权限飞部R.挨执委会注意旦不刨F用户权限飞受限.自设模板图6-45新加模板(2)双击mytem,在显示的安全策略列表中双击"账户策略"下的"密码策略",可发现其中任一项均显示"没有定义"。双击欲设置的安全策略(如"密码长度最小值"),弹出如自6.46所示的对话框。图6-46密码长度最小值设置(3)在“在模板中定义这个策略设置”前打勾，在框中填入密码的最小长度7。(4)依次设定“账户策略”、“本地策略”等项目中的每项安全策略，直至完成安全模板的设置。至此，自设安全模板mytem创建完毕，可以按照任务五第1部分中的步骤导入系统中。任务六利用MBSA检查和配置系统安全MBSA是微软公司提供的安全审计工具，可以从微软网站免费下载，它的下载地址是/technet/security/tools/mbsahome.mspx。其安装过程也非常简单，下面对MBSA的使用方法进行介绍。检查系统漏洞双击打开MBSA，在弹出的窗口中选择“Scanacomputer”（或“Pickacomputertoscan”）菜单，如图1所示。图6-47MBSA欢迎界面系统将弹出“Pickacomputertoscan”对话框（如图2），如图6-47所示。在弹出的窗口中填写本地计算机名称或IP地址，并选择希望扫描的漏洞类型。这里采用全部漏洞扫描，单击“Startscan”按钮，扫描计算机。注意：由于扫描过程需要连接Microsoft网站，因此需要事先配置好网络连接。扫描结束后，弹出如图6-49所示的安全性报告。图6-49安全性报告检查安全性报告并手动修复漏洞安全性报告中，最左侧一栏为评估结果，其中红色和黄色的叉号表示该项目未能通过测试；雪花图标表示该项目还可以进行优化，也可能是程序跳过了其中的某项测试；感叹号表示尚有更详细的信息；绿色的对勾表示该项目已通过测试；Whatwasscanned表明检查的项目，Resultdetails中详细说明了该项目中出现的问题；Howtocorrectthis说明了解决的方式。首先查看报告中评价结果为叉号的项目（这里选择filesystem），打开resultdetails，察看该项检查中出现的具体问题。图6-50现示的是对磁盘检查的结果，由于所有硬盘都没有使用更加安全的NTFS文件系统，所以评估结果显示为叉号。图6-50评估的详细结果单击howtocorrectthis按钮，弹出的窗口显示了有关如何修改项目设置的提示信息；根据提示，我们可以修改不符合安全性要求的设置。完成修改后，再次进行扫描，查看修改后的设置是否已经达到安全要求。六、思考题你认为微软的安全策略有哪些优缺点？请你关注它的下一个版本，看看你的想法是否正确。实验五Linux操作系统安全实验名称：Linux操作系统安全实验类型:验证性实验学时：4适用对象:信息安全一、实验目的通过实验熟悉LiI111x环境下的用户管理、进程管理以及文件管理的相关操作命令，掌握Linux操作系统中的相关安全配置方法，建立起Linux操作系统的基本安全框架。二、实验原理1.用户管理Linux系统支持以命令行或窗口方式管理用户和用户组。它提供了安全的用户名和口令文件保护以及强大的口令设置规则，并对用户和用户组的权限进行细粒度的划分。Linux系统的用户和用户组的信息分别保存在/etc/shadow、/etc/passwd、/etc/group和/etc/gshadow等几个文件中，为这些文件设置较高的安全权限是完全必要的。在较高安全要求的系统中，可以将这些文件设置为不可更改。Linux系统中也带有一些常用的口令字典，以便在用户设置的口令不太安全时及时的提醒用户。表6-1列出了与用户管理有关的命令及其简单的使用规则和参数。如果希望进一步了解这些命令，可以在Linux操作系统中通过使用man命令查看。表6-1用户管理常用命令及参数命令格式用途常用参数UseraddUseradd[参数及对应内容]账户名按照设置添加用户无参数直接建立-d设置用户主目录-G设置用户附属组-p设置用户密码PasswdPasswd[参数及对应内容]账户名为用户添加密码或其它相关操作无参数设置用户密码-l锁定账户-u解除锁定-S查看用户状态FingerFinger[参数]账户名查看用户的相关信息usermodUsemod[参数及对应内容]账户名用户建立后修改用户的相关属性-d–G-p同useradd-l更改用户名UserdelUserdel[参数]账户名删除用户无参数直接删除-r将其目录删除GroupaddGroupadd[参数及对应选项]组名添加用户组无参数直接建立并使用默认id-g设置组idGpasswdGpasswd[参数]账户名对组用户进行操作-a把用户加入组-d把用户从组中删除-A对组指派管理员GroupdelGroupdel[组名]删除用户组无Susu账户名A将当前用户切换为用户A无ChageChage[参数及对应内容]账户名设置用户管理规则-m密码被更改前须等待的天数-M一个密码最长的有效期限-E账号将过期的时间-W提前警告密码将过期的天数ChattrChattr[+/-][参数]文件名称限制/解除某文件的特殊设置I不可以更改其中，在对系统有较高安全需求时，可以限制只有部分用户有权使用用于切换用户的su命令。Linux系统中提供了用于限定该命令使用权限的wheel用户组，只有该组的用户才有权使用su命令，将准许使用su命令的用户添加到该组中，即可限制其它用户对该命令的使用。2.文件管理在Linux操作系统中，文件和目录的权限根据其所属的用户或用户组来划分：(1)文件所属的用户，即文件的创建者。(2)文件所属用户组的用户，即文件创建者所在的用户组中的其它用户。(3)其它用户，即文件所属用户组之外的其它用户。每个文件或者目录的拥有者以及管理员root用户，可以为上述3种用户或用户组设置读、写或可执行的权限。用户也可以通过改变文件所属的用户和组改变3类用户的权限。对文件夹设置SGID权限，任何在该目录中创建的文件和子目录都将与其父目录属于同样的用户组。这种管理有时是必要的，有时会带来一定的安全问题，因此在建立文件时要特别小心文件夹的SGID权限位。另一个容易带来安全问题的文件是home/*/.bash-history(*表示某用户名)。为了便于重复输入很长的命令，该文件保存了此用户曾经使用的一定数目（系统默认为500或1000）的命令。这样就暴露了一些重要信息，例如文件的路径，一些与用户身份有关的密码等，为攻击的黑客留下了可乘之机。可以通过设置/etc/profile文件中的参数设置，减少保留的命令数目。表6-2中列出了用于文件管理和安全的一些相关命令及其参数。表6-2文件和权限管理的命令及其参数命令格式用途常用参数mkdirmkdir[参数及选项]文件夹名或文件夹名/子文件夹名建立文件夹及子文件夹-p直接建立带有子文件夹的文件夹rmdirrmdir路径及文件夹名删除文件夹touchtouch路径及文件名新建文件vivi路径及文件名编辑文件catcat路径及文件名查看文件内容可在Cat后加上"〉"表示下面的屏幕输出写入文件rmrm路径及文件名删除文件llll路径及文件名或文件夹名查看文件的权限等详细信息或将文件夹中的文件信息列表chmodchmod数字或字符路径及文件名或文件夹名为文件或文件夹设置读、写、可执行权限详见表后附文chownchown用户A文件将文件或文件夹的所属用户更改为用户Achgrpchgrp用户组A文件将文件或文件夹的所属用户组更改为用户组Atar[参数]包文件名(.tar)打包文件1，文件2将一个或几个文件打包或解除打包-cvf将文件打包-xvf将包文件解包gzipgzip[参数]包文件名将一个包文件进行压缩-l查看打包文件的详细信息gunzip[参数]压缩包名(.tar.gz)将一个压缩包解压附：chmod命令有以下两种格式：格式1：命令样例：chmod[+一=][rwxs]文件名最左面的一组参数,U表示所属用户(user),g表示所属用户组(group),O表示其它用户(other),a表示所有用户(all)等,表示对这些用户或用户组的权限进行变更。中间一组参数表示要进行的操作,其中,"+"表示增加权限,"一"表示减少权限,"="表示分配权限,同时将其它权限删除。最右面的一组参数表示要分配的权限,其中r表示允 许读取,w表示允许写入,x表示允许执行,S为uid和gid。例如:[root@localhostchild]#ctMIlod0·rxnewfile表示将其它用户对newflle的可读r与可执行x权限删除。关于各用户组对当前文件的权限,可以用11命令进行查看:[root@localhostchild]#llnewale -rWE·E·xlroot root 1912月1310:58Ilewnle其中第1位的.表示文件(d表示文件夹),后面的每3位为一组,分别表示所属用户、用户组和其它用户的权限,每组的3位又分别表示该类用户的可读、可写和可执行权限。例如rWM·E-x表示用户mot对newfile文件具有可读、可写、可执行的权限:root所在的用户组mot中的用户对newflle文件具有可读、可执行权限,不具有可写权限;其它 用户对newfile文件具有可读、可执行权限,不具有可写权限。格式22命令样例zchmodnxyz文件名用这种形式也可以设置相关权限。其中n位为2时表示设置SGID,也可以不设置;x、y、z这3个数字分别表示所属用户、所属用户组以及其它用户的权限。各数字实际I上是把读、写和执行3个权限位分别用二进制数表示,0表示没有该权限,1表示有例限。这样一个二进制数111表示读写和执行权限都有,转换成十进制数就是7。同理, 只即101)即表示有读和执行的权限而没有写权限。例如:[root@localhostchild]#chmod然后用ll命令查看文件权限:[root@locdhostchild]#llnewfilefWXE--XE--xlrootroot3.插入式身份认证模块PAMPAM(PluggableAuthenticationModules)是插入式身份认证模块,它提供身份认证功能防止未授权用户的访问,其身份认证功能高度模块化,可通过配置文件进行灵活配置,在高版本的Limx系统中自动启动了P剧,用户也可以自行配置PAM文件。但是,任何很小的错误改动都可能导致所有用户被阻塞(包括根用户)。因此,在进行相关文件改动之前,应当先备份系统内核。Limo-0的一系列pam配置文件保存在/etc/pam.d文件夹中。在下面的实验中可以看到它包含与登录、密码验证以及相关命令有关的一系列文件。文件中包含的语句形式 如下:passwordshadow755Ilewfile1912月1311:02newfilesumcient/lib/security/$ISA/pam--unix-SOI11111okustauthtoKInd5上述语句是按照下面的格式进行排列的:module-typecontd-flagmodule-patharguments其中的module-type,即PAM包含的模块类型,共有4种,见表63所列。表63module-type模块类型说明模块类型 说 明Auth 用于提示用户提供身份认证信息,如口令 Account 检查用户账户信息,如口令时效信息及访问限制Session 用于提供会话建立之前和之后的功能 Passwod 负责更新用户身份认证标记,如口令 第2个字段comol-fIag,为控制参数,表示系统根据此PAM模块的运行结果如何控制后继操作以及应用此模块的必要性。该字段有以下4种类型,见表634所列。表64COIlKol-fIag类型说明控制标志 说 明R吨uimd 这个模块必须为将要授予的服务返回成功。如果该模块是一系列使用模块中的一个,发生错误后,其 它模块仍将继续执行,但不会告知是哪个模块发生了错误R吨uisite 同上所述。但此错误会终止所有模块的执行并返回一个失败状态Opdonal 并非必需的模块Sllmcient 如果这个模块运行成功,那么其它的模块都可以忽略:但其失败不会带来整个堆挠的运行失败module-path字段指明了pam模块的绝对路径,一般在/lib/security目录下。Arguments字段的参数用于指定该模块的某些具体操作,指定的参数是可以选择的,一个模块可以附带多个参数。所有模块的通用参数在表6-5中列出。表63Arguments类型说明标准参数 说 明Debug 产生附加信息输出到syslog*(即系统日志) Audit 产生更详细的信息输出到syslog No-W缸EI 禁止传送警告消息到应用 Likeaua 该参数使模块无论是检查还是设置都返回一个相同的值涉及到的特殊模块的参数将在下面的实验中介绍。配置文件中也可能出现下面的语句: au也 required pam--stack-SOservice=system-auth表示从/etc/Pauldsystem,auth文件取出被引用模块类型的内容,并将这些内容插入相关参考点。下面的实验中,可以看到system-auth文件的完整内容。4.系统记录sysl。gdLinux系统使用了一系列的日志文件,为管理员提供了很多关于系统安全状态的信息。syslogd是一种系统日志守护进程,它接受系统和应用程序、守护进程以及内核提供的消息,并根据在/etdsyslog-conf文件中的配置,来对这些消息在不同日志文件中进行记录和处理。绝大部分内部系统工具都会通过呼叫syslog接口来提供这些记录到日志中232的消息。系统管理员可以通过设置／ect／syslog．conf文件来设置希望记录的消息类型或希望视的设备。该文件接受的句法形式如下：facility．1evelaction‘其中，facility表示可用的syslog设备。下面列出了一些常用的设备：一authpriv包括特权信息比如用户名的身份认证行为．qkem内核消息imail与电子邮件有关的消息。望User由一个用户程序产生的任何消息*通配符level表示与各设备相关联的各种不同设备的优先级或重要性级别。下面从高到出一些优先级：：emerg系统不可用crit阻止某个工具或子系统功能发挥的一种错误情况jelT阻止某个工具或子系统组件功能发挥的一种错误情况：warning一个警告信息info信息性消息none无安全级}所有优先级，除了noneaction字段系统支持的相关操作。下面列出了一些常用操作：file指定一个日志文件的绝对路径名，消息将被写入到这个terminal完全限定的串行或并行设备说明，消息将被写入这个设@hostname将消息写入一个可辨识的远程主机username将消息发给指定用户，木表示所有用户根据上面的说明，语句mail．％／var／log／maillog可以这样解释：与电任意安全级别的消息都将被写／X．／var／log／maillog文件中。三、实验环境安装Redhat9．0操作系统的计算机。四、实验内容任务一账户和口令安全1．查看和添加账户(1)在X—Windows窗口中单击鼠标右键，选择“新建终端”，【root@localhostroot]#useraddmylist利用useradd命令新建名为mylist的新账户。(2)输入命令行：【root@localhostroot]#cat／etc／shadow输入j键端L，!簟、{哮÷壤蔼，233利用cat查看系统中的账户列表，其中一部分列表如下：Icyl：$lSktYiazPESQtTSx3By6chicHU6BM~s90：12761：0：99999：7：：：shiyanshi：shiyanshi：12761：0：99999：7：：：5：$151vhrLLst$jou6y8bGhljDpsSFz3Y8L／：12762：0：99999：7：：：／田IJsu；令切换到新建的mynst账户，重复步骤(2)，检查shadow文件的权限设置#安全。设置安全时，普通用户mylist应没有查看该系统文件的权限。在终端中出现如的提示：cat：／etc／shadow：权限不够2．添加和更改密码(1)在终端中输入：[root@localhostroot]#passwdmylist冀茎笺震器输入原来密码即可删用passwd命令添加或改变任意用户的注意，系统管理员无需输入原来密码即可以利用命令添邪_戥吸父仕恧用厂’H。隅；但普通用户只可以改变自己的密码。(2)输入后将依次出现如下提示：Changingpasswordforusermylist·Newpassword：Retypenewpassword：passwd：allauthenticationtokensupdatedsuccessfully．黧‰蒜i誊L黼inux篙翥鬈一蝴一…一典(3)输入下面的命令，查看系统中是否有用十槿铡{譬俏女芏削罴爸小瞄于丹乏密码检测模块：『r00t@10calllostroot]#locatepamcracklib．SOdictIgrepcrack如果有，终端上将有如下的输出：／lib／security／pam_cracklib．SO／var／www／manual／mod／mod_php4／de／function．crack-closedict·html|Ⅵ氆If、N、N、N／manu