20 第七章 任务2 Linux与国产操作系统安全（2学时）

Linux与国产操作系统安全厚德强能、求实创新第七章任务2Linux操作系统的安全机制1Linux操作系统的安全分析2Linux操作系统的安全增强保护3国产操作系统的安全体系结构4国产操作系统的安全分析5厚德强能、求实创新1Linux操作系统的安全机制Linux是一种多用户、多任务的操作系统。因此，Linux操作系统的基本安全功能需求就是不同用户之间避免相互干扰，禁止非授权访问系统资源。（2）Linux认证机制基于口令的认证方式。终端认证。主机信任机制。第三方认证。厚德强能、求实创新1Linux操作系统的安全机制（2）Linux访问控制机制Linux系统文件权限表示例普通的Linux操作系统一般通过ACL来实现系统资源的控制，也就是常说的通过“9bit”位来实现。厚德强能、求实创新1Linux操作系统的安全机制（3）Linux审计机制审计机制是Linux操作系统安全的重要组成部分，审计有助于系统管理员及时发现系统入侵行为或系统安全隐患。（1）lastlog：记录用户最近成功登录的时间。（2）loginlog：记录不良的登录尝试。（3）messages：记录输出到系统主控台及由syslog系统服务程序产生的消息。（4）utmp：记录当前登录的每个用户。（5）utmpx：扩展的utmp。（6）wtmp：记录用户每次登录和注销的历史信息。（7）wtmpx：扩展的wtmp。（8）vold.log：记录在使用外部介质时出现的错误。（9）xferkig：记录FTP的存取情况。（10）sulog：记录SU（Switch

User，切换用户）命令的使用情况。（11）acct：记录每个用户使用过的命令。厚德强能、求实创新1Linux操作系统的安全机制（4）SELinux和AppArmor安全模块SELinux和AppArmor是Linux操作系统中的安全模块，用于实施MAC机制，限制进程的权限。它们可以更加严格地控制进程对操作系统资源的访问，缩小恶意软件和攻击的影响范围。厚德强能、求实创新2Linux操作系统的安全分析（1）Linux口令／账号安全（2）Linux可信主机文件安全（3）Linux应用软件漏洞（4）Linux的SUID文件安全（5）Linux的恶意代码（6）Linux文件系统安全（7）Linux网络服务安全（8）Linux系统程序漏洞厚德强能、求实创新3Linux操作系统的安全增强保护（1）给安全漏洞打补丁。（2）停止不必要的服务。（3）升级或更换软件包。（4）修改系统配置。（5）安装专用的安全工具软件。方法流程厚德强能、求实创新（1）安装系统补丁软件包（2）最小化系统网络服务（3）设置系统开机保护口令（4）弱口令检查（5）禁用默认账号技术3Linux操作系统的安全增强保护（6）用SSH增强网络服务安全（7）构筑Linux主机防火墙（8）系统完整性检测（9）检测LKM后门（10）系统安全监测厚德强能、求实创新4国产操作系统的安全体系结构银河麒麟桌面操作系统V10SP12303采用软、硬可信根的内生安全主动防御的体系化设计，构建了内生安全的可信安全体系。该体系基于可信固件、可信引导、可信计算组件、安全内核及可信驱动组成，兼容各CPU架构，为用户数据提供全方位的安全保障，获得GB/T20272—2019操作系统安全技术要求实现结构化保护第四级认证。厚德强能、求实创新4国产操作系统的安全体系结构麒麟软件可信技术基于双体系架构，联合硬件可信设备实现安全可信执行环境，包括可信基础硬件、麒麟可信执行环境（KyTEE）和银河麒麟操作系统［麒麟系统安全防护机制（KySEC）和麒麟系统运行环境（KylinREE）］。麒麟可信执行环境（KyTEE）是整个系统实现内生可信计算、密码服务、系统安全框架、可信执行控制等安全可信功能的基本环境，为安全可信体系提供基础支撑，厚德强能、求实创新5国产操作系统的安全分析（1）Linux内核的安全风险（2）自主研发系统组件的安全（3）依赖第三方系统组件的安全（4）系统安全配置的安全（5）硬件的安全厚德强能、求实创新6国产操作系统安全基线加固1．实践任务银河麒麟高级服务器操作系统的安全加固。2．实施环境（1）操作平台：银河麒麟高级服务器操作系统KylinLinuxAdvancedServerV10SP2。注：实施环境可采用教材