《网络安全与管理实验教程》课件第2章

2.1Windows系统安全2.2Linux系统安全2.1.1Windows系统安全概述

1．用户帐户

用户帐户是包含用户信息的记录，用来标识用户个人的唯一性，主要包含用户名和密码。Windows2000使用帐户来确认用户身份，并据此赋予用户不同的权限。Windows2000支持两种类型的用户帐户：本地用户帐户和域用户帐户。

本地用户帐户可以使用户登录到创建该帐户的计算机，从而访问该计算机内的资源。本地用户帐户不会被复制到其他任何连网的计算机中，因此用户使用本地用户帐户只能登录到建立该帐户的计算机。2.1Windows系统安全利用域用户帐户可以登录到Windows2000域，并访问网络上的资源，例如访问其他计算机上的文件、打印机资源等。域用户帐户存储在域控制器的AD(活动目录)数据库中，如果域内有多台域控制器，则域用户帐户会被自动复制到同一个域中的所有域控制器中。因此，当用户登录时，该域内的任何一台域控制器都能够审核用户的身份，即检查用户输入的用户名和密码是否正确。安装完Windows2000以后，系统会自动建立一些内置帐户，其中最常用的是Administrator和Guest两个帐户。利用内置帐户可以执行管理任务或访问网络资源。Administrator在Windows2000中拥有最高的权限，可以管理整个计算机和域的各项设置。可以重新命名Administrator帐户，但不可以删除或禁用该帐户。Guest只有很少的权限，主要供用户临时使用。默认情况下，Guest帐户是禁用的，如果需要使用，必须手工启动它。可以重新命名Guest帐户，但不可以删除该帐户。当用户帐户较多时，可以用组来管理。组是用户帐户的集合，组包含的多个用户具有相同的身份和属性。通过使用组，一次可以为多个用户分配权力或权限，从而简化帐户

管理。

帐户是登录系统的基础，也是众多黑客攻击和窃取的对象。一般的用户常常在安装系统后长期使用系统的默认设置，忽视了Windows系统默认设置的不安全性，而这些默认设置常常被攻击者利用，通过各种手段获得合法的帐户。所以，我们必须通过合理的设置来保障帐户的安全。

2．文件系统

为了防止磁盘数据被攻击者或本地的其他用户破坏和窃取，文件系统的安全问题也是不容忽视的。Windows系统提供的磁盘格式有FAT16、FAT32以及NTFS。

FAT16、FAT32格式没有考虑对安全性方面的更高要求，例如无法设置文件或文件夹的用户访问权限、无法对文件或文件夹进行加密等。

NTFS是用于Windows操作系统的一种安全的文件系统，并且在使用中不易产生文件碎片。NTFS分区对用户权限作出了非常严格的限制，每个用户都只能按照系统赋予的权限进行操作，任何企图越权的操作都将被系统禁止，同时它还提供了容错结构日志，可以将用户的操作全部记录下来，从而保护了系统的安全。但是，NTFS分区格式的兼容性不好，对于Windows98/me系统，需要借助第三方软件才能对NTFS分区进行操作。Windows2000/XP系统基于NT技术，提供了完善的NTFS分区格式的支持。

3．端口安全

网络为用户提供了丰富多彩的服务，每一项服务都具有相应的端口。例如，通过浏览器浏览网页使用WWW服务，对应端口为80；使用文件传输服务上传和下载文件，对应的端口为21；使用邮件服务收发电子邮件，对应端口为25。在Windows2000的默认安装中，某些服务是开启的，黑客经常通过开放的端口来实现对系统的攻击，因此我们可以通过禁用一些没有必要的服务来提高系统的安全性。端口80主要用于获取超文本传输协议(HyperTextTransferProtocol，HTTP)提供的服务，HTTP是连接Internet过程中最常使用的协议。端口80是WWW服务的默认端口，在浏览器中使用URL访问网络时，可以将“：80”省略。有些木马程序可以利用端口80来攻击计算机，例如Executor、RingZero等。如果本地计算机不需要提供HTTP服务，可以关闭80端口，提高系统的安全性。端口21主要用于获取文件传输协议(FileTransferProtocol，FTP)提供的服务。FTP服务主要是为了在两台计算机之间实现文件的上传和下载，FTP客户端可以采用匿名(anonymous)登录和授权帐户登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是Internet上传、下载文件最主要的方法。一些FTP服务器提供了匿名登录的方式，这常常被黑客所利用。端口21还可能被一些木马程序利用，例如BladeRunner、FTPTrojan等。如果不需要提供FTP服务，应该关闭端口21。端口25主要用于获取简单邮件传输协议(SimpleMailTransferProtocol，SMTP)提供的服务，如今大多数邮件服务器都使用SMTP协议来发送邮件。利用端口25，黑客可以寻找SMTP服务器，用来转发垃圾邮件。端口25也被很多木马程序利用，例如WinSpy通过开放端口25，可以监视计算机正在运行的窗口和模块。如果不需要提供邮件服务，应该关闭端口25。

在Windows2000系统中，可以使用网络命令netstat来查看开放的端口。在命令提示符下执行“netstat-a-n”，即可看到以数字形式显示的TCP、UDP端口号及状态。可以通过停止、启动服务来关闭、打开相应的端口。例如，如果需要关闭端口25，可以通过如下步骤来实现：依次点击“开始”→“程序”→“管理工具”→“服务”菜单，打开“服务”窗口，找到“SimpleMailTransportProtocol(SMTP)”项并用右键单击，在弹出的快捷菜单中单击“停止”命令。这样便停止了SMTP服务，相当于关闭了端口25。启动服务的方法与停止服务类似。

4．审核与日志

为了便于用户监测当前系统的运行状况，Windows系统中设置了审核与日志功能。审核与日志是Windows系统中最基本的入侵检测方法，当有攻击者企图对系统进行某些方式的攻击时，都会被安全审核功能记录下来并写入到日志中。

Windows2000系统中提供的安全审核策略在默认情况下是关闭的，需要手工打开。打开安全审核策略时，需要合理定义审核的对象。如果选择的审核对象太多，将会在日志中产生大量的记录，增加了阅读和分析日志的难度。审核事件可以分为两类：成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限；失败事件表明用户进行了尝试，但失败了。

制定审核策略时需要考虑可供审核的事件，这些事件包括审核策略更改、审核登录事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核帐户登录事件及审核帐户管理。安全日志是系统安全审核的记录，应该根据选择的审核对象和记录产生的速度定义安全日志的大小，一般建议为1024MB(即1GB)。定义处理方式时，如果选择覆盖30天前的数据，日志中就可以保存30天的数据资料；如果选择了按需覆盖，则系统记录满后将自动覆盖最早的数据；如果选择了手工清除，必须保证日志足够大。安全日志记录满后，如果不能自动处理，将禁止用户使用计算机。安全日志不能正确记录时，系统将立即关闭计算机，这并不一定意味着是一个安全问题。在正常操作中，也可能偶然发生目录访问或特权使用失败的情况。对于日志的分析，应该注意时间、地点和行为的关系，根据行为的严重性来进行判断和分析。需要注意的是，多数日志是不能记录来访人的IP地址的，只能记录来访人的计算机名。然而计算机名对于分析日志没有太大的意义，所以应该对多个日志综合分析，以便得到有用的信息。2.1.2实验——Windows用户帐户安全设置

【实验目的】

(1)掌握删除、禁用Windows2000用户帐户的方法；

(2)学会合理设置密码策略；

(3)学会合理设置帐户锁定策略。

【实验环境】

PC机一台，安装有Windows2000Server操作系统。【实验过程】

共享帐户、Guest帐户等具有较弱的安全保护，常常都是黑客们攻击的对象，因此要及时检查和删除不必要的帐户，必要时要禁用Guest帐户。

以Administrator(管理员)身份登录Windows2000Server系统后，进行如下操作。

1)删除不再使用的帐户

(1)依次单击“开始”→“程序”→“管理工具”→“计算机管理”菜单，打开“计算机管理”窗口，展开“本地用户和组”节点，打开“用户”文件夹，如图2-1所示。图2-1“计算机管理”窗口

(2)确认列出的各帐户是否仍在使用。右键单击不再使用的用户帐户，在弹出的快捷菜单中单击“删除”命令，如图2-2所示。

(3)弹出“本地用户和组”窗口，如图2-3所示，提示一旦用户帐户被删除，所有与该用户帐户相关联的权限和成员身份也随之删除。每个帐户具有一个独立于用户名的唯一标识符，即使新建的用户帐户与之前删除的用户帐户同名，新用户也不会自动接受之前删除的帐户的权限和成员身份，必须手工重建所有权限和成员身份。单击“是”按钮，确定删除用户帐户。图2-2删除用户帐户图2-3“本地用户和组”窗口

2)禁用Guest帐户

(1)有时为了访问需要，可能启用了Guest帐户，如果不再使用，应该禁用它。在如图2-1所示的窗口中，右键单击Guest帐户，在弹出的菜单中单击“属性”命令，如图2-4

所示。

(2)弹出“Guest属性”窗口，如图2-5所示。单击选中“帐户已停用”复选框后，单击“确定”按钮。此时，如果使用Guest帐户登录，则会提示“您的帐户已被停用。请向系统管理员咨询。”图2-4打开Guest帐户的“属性”窗口图2-5“Guest属性”窗口

3)设置密码策略

(1)依次单击“开始”→“程序”→“管理工具”→“本地安全策略”菜单，打开“本地安全设置”窗口，展开节点“帐户策略”，双击“密码策略”图标，如图2-6所示。

(2)双击“密码必须符合复杂性要求”图标，弹出“本地安全策略设置”窗口，如图2-7所示。在“本地策略设置”下方的单选框中选择“已启用”项，单击“确定”按钮。

启用该策略后，密码必须符合以下最低要求：

不包含全部或部分的用户名；

长度至少为6个字符；

包含来自以下4个类别中的3种字符：英文大写字母(A～Z)、英文小写字母(a～z)、10个基本数字(0～9)和非字母字符(例如！、$、#、%)。图2-6“本地安全设置”窗口图2-7启用“密码必须符合复杂性要求”

(3)在如图2-1所示的“计算机管理”窗口中，右键单击Administrator帐户，在弹出的快捷菜单中单击“设置密码”命令，如图2-8所示。

(4)弹出“设置密码”窗口，如图2-9所示，输入两次相同的密码。为了测试启用的密码策略“密码必须符合复杂性要求”是否生效，这里输入相对简单的密码(例如pwd123)，点击“确定”按钮。图2-8设置帐户Administrator的密码图2-9“设置密码”窗口

(5)弹出密码设置错误提示窗口，如图2-10所示，说明之前设置的密码策略已经生效。如果为帐户Administrator设置密码pwd%123，则能够被系统接受。

(6)在图2-6所示窗口中，双击“密码长度最小值”图标，弹出如图2-11所示的窗口，在“密码必须至少是”下方的文本框中输入密码长度的最小值(例如8)，单击“确定”按钮。如果设置为默认值，即0个字符，则密码可以为空。图2-10密码设置错误图2-11设置“密码长度最小值”

(7)在图2-6所示窗口中，双击“密码最长存留期”图标，弹出如图2-12所示窗口。可以通过设置密码的作废期限来提醒用户定期修改密码，防止密码使用时间过长而带来安全问题。密码作废期的默认值为42天。图2-12设置“密码最长存留期”

(8)在图2-6所示窗口中，双击“密码最短存留期”图标，弹出如图2-13所示的窗口。可以通过设置密码的最短存在期限，保证在一定的时间内用户不能修改密码。该项设置可以避免入侵的攻击者修改用户帐户的密码。如果密码的存在期限设置为默认值0，则用户可以立即更改密码。图2-13设置“密码最短存留期”

(9)在图2-6所示窗口中，双击“强制密码历史”图标，弹出“强制密码历史”设置窗口。可以设置系统记住的密码的数量来防止使用旧密码。“强制密码历史”策略是指用户设置的新密码不得与之前使用过的历史密码重复，该项设置的值表示当前密码不得与相应数量的旧密码相同。

(10)在图2-6所示窗口中，双击“为域中所有用户使用可还原的加密来储存密码”图标，弹出相应的设置窗口。可以通过该项来选择是否使用可还原的加密方式来存储密码。

4)设置帐户锁定策略

(1)在如图2-6所示的“本地安全设置”窗口中，双击“帐户锁定策略”图标，如图2-14所示。

(2)双击图2-14所示窗口中的“帐户锁定阈值”图标，弹出设置窗口，可以设置造成用户帐户锁定的失败登录的次数。帐户一旦被锁定就无法使用，除非管理员对其解锁或该帐户的锁定时间已过期。该值如果为0，则帐户不锁定。

(3)双击图2-14所示窗口中的“帐户锁定时间”图标，弹出设置窗口，可以设置锁定的帐户在自动解锁前保持锁定状态的时间(单位为分钟)。该值如果为0，一旦帐户被锁定后，除非管理员对其解锁，否则该帐户始终处于被锁定状态。图2-14设置“帐户锁定策略”

(4)双击图2-14所示窗口中的“复位帐户锁定计数器”图标，弹出设置窗口，可以设置“帐户锁定阈值”复位为0以及帐户被解锁之前所必须经过的时间。

需要注意的是，设置“帐户锁定策略”时须慎重考虑，合理设置各项的值，避免给使用带来不方便。2.1.3实验——NTFS文件系统的安全设置

【实验目的】

(1)了解NTFS文件系统的特点；

(2)掌握NTFS文件系统中访问权限设置及文件加密的方法。

【实验环境】

PC机一台，安装有Windows2000Server操作系统，且至少有一个磁盘分区格式为NTFS。【实验过程】

以Administrator(管理员)身份登录Windows2000Server系统后，进行如下操作。

1)查看分区格式

(1)右键单击选定的分区(例如C:)图标，在弹出的快捷菜单中，单击“属性”命令。

(2)弹出分区属性窗口，如图2-15所示，在常规选项卡中可以查看分区的文件系统类型，例如NTFS。图2-15分区C: 的属性窗口

2) NTFS文件系统权限设置

(1)打开使用NTFS文件系统的分区(例如C:)，选择一个需要设置用户权限的文件夹(例如C:\系统安全)。右键单击选定的文件夹，在弹出的快捷菜单中单击“属性”命令，弹出该文件夹的“属性”窗口，选择“安全”选项卡，如图2-16所示。图2-16文件夹“系统安全”的属性

(2)默认情况下，Everyone组对文件夹具有完全控制权，并且所有用户均属于Everyone组。为了设置新添加用户或组的访问权限，需要更改或删除Everyone组。

(3)单击清除“允许将来自父系的可继承权限传播给该对象”复选框，弹出“安全”窗口，如图2-17所示，单击“复制”按钮。

(4)在图2-16所示窗口的上方列表中，选择“Everyone”项，单击“删除”按钮。

(5)在图2-16所示窗口中单击“添加”按钮，弹出“选择用户或组”窗口，如图2-18所示。在上方的列表框中选择可以访问该文件夹的用户或组，单击“添加”按钮，选择的项目将在下方的文本框中显示。图2-17“安全”窗口图2-18“选择用户或组”窗口

(6)单击“确定”按钮，把选择的用户或组添加到图2-16所示的文件夹属性窗口中，同时可以在下方的“权限”列表中勾选用户或组的访问权限。

(7)单击图2-16中的“高级”按钮，弹出文件夹的“访问控制设置”窗口，可以查看或更改各用户、组的访问权限，如图2-19所示。

3) NTFS

文件系统中的文件加密

(1)右键单击需要加密的文件，在弹出的快捷菜单中，单击“属性”命令，弹出文件的“属性”窗口，如图2-20所示。图2-19文件夹的“访问控制设置”窗口图2-20文件的“属性”窗口

(2)单击“高级”按钮，弹出“高级属性”窗口，如图2-21所示。单击选中“加密内容以便保护数据”复选框，单击“确定”按钮回到文件夹的“属性”窗口。

(3)单击“确定”按钮，弹出“加密警告”窗口，如图2-22所示。选择“加密文件及其父文件夹”项，单击“确定”按钮。图2-21“高级属性”窗口图2-22“加密警告”窗口

(4)文件被加密后，只有当前加密用户登录时才能看到文件内容。注销系统后，以其他用户身份登录系统，尝试打开被加密的文件，将会弹出如图2-23所示的“错误”窗口。图2-23“错误”窗口2.1.4实验——启用审核和查看日志

【实验目的】

(1)理解审核和日志的概念；

(2)掌握启用审核的方法；

(3)掌握查看日志的方法。【实验环境】

PC机一台，安装有Windows2000Server操作系统。

【实验过程】

以Administrator(管理员)身份登录Windows2000Server系统后，进行如下操作。

1)启用审核

(1)依次点击“开始”→“程序”→“管理工具”→“本地安全策略”菜单，打开“本地安全设置”窗口，展开节点“本地策略”，双击“审核策略”图标，如图2-24所示。图2-24设置“审核策略”

(2)双击“审核策略更改”图标，弹出设置“审核策略更改”窗口，如图2-25所示。单击选中“成功”或“失败”复选框来设置审核事件的类别。“审核策略更改”用于设置是否对更改用户权限分配策略、审核策略或信任策略的每个事件进行审核。

(3)用类似的方法可以启用对其他事件的审核：

①启用“审核登录事件”。每次用户登录或注销计算机时都需要审核，在发生登录尝试的计算机的安全日志中生成一个事件。另外，当用户连接远程服务器时，远程服务器的安全日志中也会生成一个登录事件。登录事件是在登录会话和令牌分别被创建或损坏时创建的。图2-25设置“审核策略更改”窗口②启用“审核对象访问”。该审核可以通过系统访问控制列表(SACL)来实现。SACL包含了一个用户和组列表，对用户和组等对象的操作都要进行审核。用户在Windows2000中可操作的每个对象几乎都有一个SACL，这些对象包括NTFS文件系统驱动器上的文件和文件夹、打印机和注册表项。

③启用“审核过程追踪”。事件日志会显示创建进程和结束进程的尝试。它还会记录进程尝试生成句柄的行为或获取对象间接访问的行为。④启用“审核目录服务访问”。活动目录(AD)对象有相关联的SACL时可以进行审核。通过审核帐户管理可审核活动目录的用户和组帐户，如果想审核其他命名上下文中对象的修改，必须审核目录服务访问。审核目录服务访问时，首先启用“审核目录服务访问”策略，然后在AD对象上定义SACL。

⑤启用“审核特权使用”。如果用户在网络环境中，他们将行使所规定的用户权限，用户每次尝试行使用户权限时都会生成一个事件。启用“审核特权使用”时，并不一定对所有用户权限进行审核。⑥启用“审核系统事件”。在一个用户或进程改变计算机环境的某些方面时，会生成系统事件，可以审核对系统进行更改的尝试，如关闭计算机或更改系统时间。启用“审核系统事件”时，需要审核清除安全日志的时间，因为攻击者在对计算机环境进行更改之后往往企图清除留下的踪迹。⑦启用“审核帐户登录事件”。在一个用户登录到域时，是在域控制器上对登录进行处理的。如果审核域控制器上的帐户登录事件，那么会在域控制器上看到此登录尝试的记录。帐户登录事件是在身份验证程序包对用户的凭据进行验证时创建的。在使用域凭据的情况下，帐户登录事件只在域控制器的事件日志中生成。如果出示的凭据是本地SAM数据库凭据，则会在服务器的安全事件日志中创建帐户登录事件。

⑧启用“审核帐户管理”。该审核用于确定用户或组是在何时创建、更改或删除的。它可以确定何时创建了安全主体，以及什么人执行了该任务。

2)查看日志

(1)依次点击“开始”→“程序”→“管理工具”→“事件查看器”菜单，打开“事件查看器”窗口，如图2-26所示。其中，“安全日志”用于记录审核策略中所设置的安全事件。

(2)双击“安全日志”图标，可以查看安全事件的具体记录，如图2-27所示。

(3)双击“失败审核”图标，弹出“失败审核属性”窗口，如图2-28所示。这是对登录事件失败的审核，可以看到日志中详细记录了尝试登录的时间、用户名、失败原因等信息。图2-26“事件查看器”窗口图2-27查看安全事件记录图2-28“失败审核属性”窗口2.2.1Linux系统安全概述

1．用户帐户

Linux系统安装完毕时，系统的默认帐户为root，即系统管理员帐户。拥有此帐户的用户被称为“超级用户”，对系统具有完全的控制权，可对系统做任何设置和修改，因此维护帐户root的安全非常重要。2.2Linux系统安全为了提高系统的安全性，应该为帐户root设置一个安全复杂的口令。设置口令时，如果系统认为口令过于简单，就会在用户输入口令时，出现一个警告消息来提示用户；如果口令采用的字符重复性高、字数太少或具有规律性等，系统也会出现类似的警告消息。

系统管理员(root)执行操作时不受任何制约，很可能出现输入一个错误的命令，导致重要的系统文件被删除的现象，因此我们应该谨慎使用帐户root。系统管理员除了要设置复杂的口令之外，最好再建立一个普通用户的帐户，供日常操作使用。在没有必要的情况下，建议不要使用帐户root登录系统。另外，最好不要在其他计算机上用root帐户登录自己的服务器。每个用户至少属于一个用户组，系统可以对一个用户组中的所有用户进行集中管理。Linux系统的用户、用户组的信息分别保存在 /etc/passwd、/ect/shadow、/etc/group、etc/gshadow等几个文件中。我们可以通过禁用帐户、修改口令规则、修改相关文件属性等措施来提高帐户的安全性。

2．文件和目录的访问权限

Linux系统中的每个文件和目录都具有访问权限，用来确定可以对文件和目录进行访问的用户及访问方式。根据对文件和目录的访问权限的不同，可以把用户分为四类：

超级用户(root)：即系统管理员；

文件创建者：创建文件的用户；

同组用户：文件创建者所在的用户组中的其他用户；

其他用户：文件所属用户组之外的其他用户。文件或目录的访问权限可以分为三种：读(r)、写(w)和执行(x)。它们表示的含义分别为：

文件的访问权限：读(r)权限表示只允许指定用户读取相应文件的内容，而禁止对它做任何的更改操作；写(w)权限表示允许指定用户打开并修改文件；执行(x)权限表示允许指定用户将该文件作为一个程序执行。

目录的访问权限：读(r)权限表示可以列出存储在该目录下的文件，即读取目录内容列表；写(w)权限表示允许用户从目录中删除或添加新的文件，通常只有文件创建者和超级用户才有对目录的写权限；执行(x)权限表示允许用户在目录中查找，并能用相关命令将工作目录更改为该目录。可以通过命令“ls-l”来查看文件或目录的详细信息，其中最左边的一列表示文件或目录具有的访问权限。例如：-rwxr-xr-x，第1位的“-”表示文件(文件夹用d表示)，后面的内容每3位为一组，分别表示文件创建者、同组用户和其他用户对该文件的访问权限。

如果需要改变或设置文件或目录的访问权限，可以通过命令chmod来实现。只有文件创建者或超级用户才有权限使用命令chmod。

3．端口安全

Linux系统与其他系统一样，有许多服务开放的端口，使系统很容易受到多种攻击。

例如：

(1)端口21。攻击者经常通过该端口打开匿名FTP服务器。如果这些服务器带有可读写的目录，黑客可以把这些服务器作为传送warez(私有程序)和pr0n(通过故意拼错词而避免被搜索引擎分类)的节点。

(2)端口23。入侵者通过端口23搜索远程登录的服务。多数情况下，入侵者扫描该端口是为了找到计算机运行的操作系统。

(3)端口25。攻击者通过该端口寻找SMTP服务器，目的是为了传递他们的spam。入侵者的帐户总是被关闭的，他们需要拨号连接到高带宽的E-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器是入侵系统的最常用的方法之一，因为它们完整地暴露于Internet，且邮件的路由非常复杂。

(4)端口53。黑客攻击端口53，可能企图进行区域传递、DNS欺骗或隐藏其他通信。防火墙常常记录或过滤端口53的通信。对于把端口53作为UDP源端口的通信，不稳定的防火墙通常假设这是对DNS查询的回复而允许通过，这种情况常常被黑客利用以穿透防火墙。

应该禁用没有必要的服务，关闭相应的端口，从而提高系统的安全性。

4．日志系统

Linux系统中的日志子系统对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，例如哪些用户曾经或者正在使用系统。系统受到黑客攻击后，日志可以记录攻击者留下的痕迹，通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段、特点等信息，从而进行相应处理，有效地抵御以后的攻击。

Linux系统包含三个主要的日志子系统，即登录日志、进程统计日志和错误日志。登录日志由多个程序执行，它们把记录写入到文件 /var/log/wtmp和 /var/run/utmp。login等程序更新文件wtmp和utmp，使系统管理员能够跟踪用户登录系统的信息。wtmp和utmp都是二进制文件，需要通过who、w、last等命令来查看包含的信息。

进程统计日志由系统内核执行。当一个进程终止时，它自动向进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。

错误日志由syslogd执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。在使用日志时，系统管理员应该提高警惕，随时注意各种可疑情况，经常检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。检查日志文件时，需要注意不合常理的时间记载。例如：

用户在非常规的时间登录；

不正常的日志记录，例如日志残缺不全、日志文件(如wtmp)无故缺少记录等；

用户登录系统的IP地址与之前相比有所变化；出现用户登录失败的日志记录，尤其是一些经过连续多次尝试进入失败的日志记录；

非法使用或不正当使用超级用户权限su的指令；

无故或者非法重新启动各项网络服务的记录。

另外，我们也不能完全依靠日志系统，因为高明的黑客在入侵系统后，经常会清除留下的痕迹。因此我们需要综合地进行审查和检测，否则很难发现入侵，也可能会作出错误的判断。

5．系统安全工具

Linux系统中包含许多系统安全工具，例如Sxid、Skey、logrotate、swatch、logcheck、SSH、Tripwire、Portsentry及Openssl等，这些工具可以用来解决各方面的问题。下面仅对部分工具进行简单介绍：

(1) Sxid。这是一个系统监控程序，它可以监视系统中的suid、sgid文件及没有属主的文件，并以可选的形式报告文件的变化。

(2) Skey。设置口令时，可以通过增加Skey的长度、包含的特殊字符数来提高安全性。如果口令以明文的形式在网络中传送，上述的方法就无法保证口令的安全了。因为通过嗅探器，很容易在以太网中捕获传送的口令(如今即使在交换环境下也能实现这种技术)。为了保证网络中传送的口令的安全性，Skey是一个很好的选择。

Skey是一次性口令的工具，基于客户/服务器的模式。首先在服务器端用skeyinit命令为每个用户建立一个Skey客户，该命令需要指定一个秘密口令，然后就可以为客户端的用户产生一次性口令列表。当用户通过Telnet、FTP等方式与服务器建立连接时，可以按照一次性口令列表中的口令顺序输入自己的口令。

(3) logrotate。该程序能够使日志文件自动循环使用，删除保存最久的日志。logrotate一般通过cron运行。用户既可以让它根据一个时间表定时更新日志文件，也可以对它进行配置，使其在日志文件的大小超过某个阈值时进行刷新。

(4) swatch。它是一个实时的日志监控工具，可以设置用户感兴趣的事件，当事件发生时通知用户。swatch有两种运行方式：

检查完毕一个日志文件的内容后退出；

不间断地查看日志文件，评估每一条新记录。

(5) logcheck。该程序可以自动检查日志文件，先把日常的日志信息剔除，保留一些“异常”的日志记录，并以E-mail的方式发送给系统管理员。

(6) SSH。传统的网络服务程序，如Telnet、FTP和POP，在本质上都是不安全的，因为它们的数据在网络上以明文的形式传送，很容易被截获。另外，这些服务程序的安全验证机制较弱，传输的数据容易被篡改。通过使用SSH(SecureSHell)，可以把所有传输的数据进行加密，能够防止网络上传输的数据被截获或篡改。另外，传输的数据是经过压缩的，可以加快传输的速度。SSH具有很多功能，既可以代替Telnet，也可以为FTP、POP提供一个安全的“通道”。

(7) Tripwire。该程序是一个对文件系统进行完整性检查的软件工具，采用的技术核心是对每个要监控的文件产生一个数字签名。当现有文件的数字签名与保留的数字签名不一致时，表明该文件必定有所改动。

当Tripwire运行在数据库生成模式时，它将根据管理员设置的一个配置文件读取指定的需要监控的文件，对每个文件生成相应的数字签名，并将这些结果保存在自己的数据库中。在缺省状态下，MD5和SNCFRN加密手段被结合起来用以生成文件的数字签名。如果黑客入侵了系统，修改了文件，可以通过Tripwire程序检测出来。2.2.2实验——Linux系统安全基本设置

【实验目的】

(1)熟悉Linux系统中的基本操作命令；

(2)通过一些基本设置，提高Linux系统的安全性。

【实验环境】

PC机一台，安装有RedHatLinux9.0操作系统。

【实验过程】

以root(管理员)身份登录RedHatLinux9.0系统后，进行如下操作。

(1)使用命令useradd创建新用户：[root@localhostroot]#/usr/sbin/useraddmyuser[root@localhostroot]#/usr/sbin/useraddtest(2)设置口令，这里输入的口令为a3b2c1，输入时不回显：[root@localhostroot]#/usr/bin/passwdmyuserChangingpasswordforusermyuser.Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.

1)查看用户帐户(3)注销并以新用户myuser登录，查看文件 /etc/passwd的内容：[myuser@localhostmyuser]$cat/etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin…(这里省略了部分内容)wnn:x:49:49:WnnSystemAccount:/home/wnn:/sbin/nologindesktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologinmyuser:x:500:500::/home/myuser:/bin/bashtest:x:501:501::/home/test:/bin/bash系统中的每一个用户对应文件中的一条记录，例如，新建用户myuser对应的记录为：

myuser:x:500:500::/home/myuser:/bin/bash每一条记录被冒号(:)分割成了7个字段，描述了用户的不同属性。这些字段包括：

用户名：代表用户帐户的字符串。通常不超过8个字符，由字母、数字组成。口令：采用shadow技术后，加密后的口令存放在文件 /etc/shadow中，这里只存放一个特殊字符，如“x”或者“*”。用户标识号：系统内部用来标识用户的整数。组标识号：用来标识用户所属的组，对应着文件 /etc/group中的一条记录。用户信息：记录用户的一些个人情况，如真实姓名、电话、地址等。主目录：用户起始的工作目录，它是用户登录到系统之后所处的目录。登录Shell：用户登录时使用的Shell。(4)打开 /etc/shadow时，系统提示权限不够：[myuser@localhostmyuser]$cat/etc/shadowcat:/etc/shadow:Permissiondenied所有合法的用户都可以读取文件 /etc/passwd的内容，如果其中保存有原始口令信息或者是经过加密的口令，将会给系统带来一定的安全威胁。默认设置下，RedHatLinux9.0系统采用shadow技术，把口令从 /etc/passwd中分离出来，保存到文件 /etc/shadow中，并且只能由root用户读取文件 /etc/shadow的内容。(5)注销并以root身份登录系统，查看文件 /etc/shadow的内容：[root@localhostroot]#cat/etc/shadowroot:$1$pVPuwB1M$tzhFb2ZS9mFx2hcQd5X961:13635:0:99999:7:::bin:*:13635:0:99999:7:::daemon:*:13635:0:99999:7:::adm:*:13635:0:99999:7:::lp:*:13635:0:99999:7:::sync:*:13635:0:99999:7:::shutdown:*:13635:0:99999:7:::halt:*:13635:0:99999:7:::mail:*:13635:0:99999:7:::…(这里省略了部分内容)wnn:!!:13635:0:99999:7:::desktop:!!:13635:0:99999:7:::myuser:$1$dK7tJ4rI$lLKDJRqsC.G3eV8rnnt8L.:13737:0:99999:7:::test:!!:13737:0:99999:7:::文件 /etc/shadow与文件 /etc/passwd相对应，其中每一条记录对应一个用户，各个字段的含义依次为：

用户名，即登录时使用的用户名称。

加密的口令。如果此处为“！！”，表示该用户当前没有口令，不能用来登录。

上次修改口令日期距离1970年1月1日的天数。

两次修改口令间隔最少的天数。如果设为0，表示随时可以修改口令。

两次修改口令间隔最多的天数。在口令过期前多少天，需要向用户送出警告信息。

如果口令到期后仍未修改，经过多少天后系统将关闭该帐户。

帐户过期日期距离1970年1月1日的天数。

系统保留字段，目前尚未使用。

(6)锁定或删除多余帐户：对于系统中已经存在的一些帐户，如果我们能够确定以后不再使用，应该锁定或删除它们。

锁定帐户使用的命令为：/usr/sbin/usermod-L[username]，例如：

[root@localhostroot]#/usr/sbin/usermod-Lmyuser

删除帐户使用的命令为：/usr/sbin/userdel[username]，例如：

[root@localhostroot]#/usr/sbin/userdellp[root@localhostroot]#/usr/sbin/userdelshutdown[root@localhostroot]#/usr/sbin/userdelhalt[root@localhostroot]#/usr/sbin/userdeltest2)文件及目录的访问权限(1)查看文件或目录的访问权限：[root@localhost/]#ls-l/etc/passwd-rw-r--r--1rootroot1576Aug1218:33/etc/passwd[root@localhost/]#ls-l/etc/shadow-r--------1rootroot1001Aug1218:33/etc/shadow[root@localhost/]#ls-l/|grepetcdrwxr-xr-x64rootroot8192Aug1709:17etc不难看出：用户root可以读写文件passwd，其他用户只能读该文件；用户root可以读文件shadow，其他用户无权访问该文件；所有用户都可以读目录 /etc。

(2)改变目录 /etc的访问权限：[root@localhost/]#chmodo-r/etc[root@localhost/]#ls-l/|grepetcdrwxr-x--x64rootroot