資料課件講義67256

1、操作系統(tǒng)安全北京神州祥升軟件課程內(nèi)容操作系統(tǒng)安全概述Windows系統(tǒng)安全機制操作系統(tǒng)操作系統(tǒng)安全Linux系統(tǒng)安全機制安全操作系統(tǒng)知識體知識域知識子域知識域：操作系統(tǒng)安全 知識子域：操作系統(tǒng)安全概念 了解操作系統(tǒng)的作用與功能 了解操作系統(tǒng)的主要安全設(shè)計機制 理解操作系統(tǒng)的安全配置要點操作系統(tǒng)的功能 用戶與計算機硬件之間的接口 操作系統(tǒng)為用戶提供了虛擬計算機，把硬件的復(fù)雜性與用戶隔離 計算機系統(tǒng)的資源管理者CPU管理 存儲管理 設(shè)備管理 文件管理 網(wǎng)絡(luò)與通信管理 用戶接口用戶進程系統(tǒng)調(diào)用接口內(nèi)核硬件：CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等操作系統(tǒng)安全目標 操作系統(tǒng)安全目標 標識系統(tǒng)中的用戶和進行身份鑒

2、別 依據(jù)系統(tǒng)安全策略對用戶的操作進行訪問控制，防止用戶和外來入侵者對計算機資源的非法訪問 監(jiān)督系統(tǒng)運行的安全性 保證系統(tǒng)自身的安全和完整性操作系統(tǒng)安全機制（一） 標識與鑒別 用戶身份 操作系統(tǒng)登錄 訪問控制鑒別 防止對資源的非法使用 限制訪問主體對訪問客體的訪問權(quán)限 DAC、MAC、RBAC 最小管理 限制、分割用戶、進程對系統(tǒng)資源的訪問權(quán)限 “必不可少的”權(quán)限操作系統(tǒng)安全機制（二） 信道保護 正常信道的保護 可信通路（Trusted Path） 安全鍵（SAK）操作系統(tǒng)安全機制（三） 安全審計 對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查以及審核 審計一般是一個獨立的過程 內(nèi)存存取保護 進程間/系統(tǒng)

3、進程內(nèi)存保護 段式保護、頁式保護和段頁式保護 文件系統(tǒng)保護 分區(qū) 文件共享 文件備份知識域：操作系統(tǒng)安全 知識子域：Windows系統(tǒng)安全機制 理解Windows系統(tǒng)標識與鑒別、訪問控制、用戶賬戶控制、安全審計、文件系統(tǒng)的安全機制和安全策略 掌握Windows系統(tǒng)的安全配置方法Windows系統(tǒng)標識與鑒別-安全主體 安全主體類型 用戶帳戶 本地用戶 域用戶 組帳戶 everyone組 network組 計算機 服務(wù)Windows系統(tǒng)標識與鑒別-安全標識 安全標識符（Security Identifier，SID）安全主體的代表（標識用戶、組和計算機賬戶的唯一編碼）范 例 ：S-1-5-21-1

4、736401710-1141508419-1540318053- 1000Windows系統(tǒng)標識與鑒別-用戶鑒別v 賬戶信息管理機制v 登錄驗證 本地登錄驗證 遠程登錄驗證Windows用戶身份鑒別 帳號信息存儲（SAM:安全賬號管理） 運行期鎖定、存儲格式加密 僅對system帳號有權(quán)限，通過服務(wù)進行訪問控制 Windows用戶身份鑒別：本地登錄 GINA（Graphical Identification and Authentication:圖形化識別和驗證) LSA（Local Security Authority：本地安全授權(quán)）SAM賬戶信息庫LSAGINAWindows系統(tǒng)身份鑒別：

5、遠程登錄 遠程登錄鑒別協(xié)議 SMB（Server Message Block）:口令明文傳輸 LM（LAN Manager）：口令哈希傳輸，強度低 NTLM（NT LAN Manager）：提高口令散列加密強度、挑戰(zhàn)/響應(yīng)機制 Kerberos：為分布網(wǎng)絡(luò)提供單一身份驗證Windows系統(tǒng)訪問控制-ACL 訪問控制列表（Access Control List，ACL） NTFS文件系統(tǒng)支持 權(quán)限存儲流文件系統(tǒng)中 自主訪問控制 靈活性高，安全性不高Windows系統(tǒng)訪問控制-用戶賬戶控制 用戶帳戶控制（User Account Control，UAC） 完全訪問令牌 標準受限訪問令牌Window

6、s文件系統(tǒng)安全 NTFS文件系統(tǒng)權(quán)限控制（ACL） 文件、文件夾、注冊表鍵值、打印機等對象 安全加密 EFS(EFS(Encrypting File System )Windows內(nèi)置，與文件系統(tǒng)高度集成對windows用戶透明對稱與非對稱算法結(jié)合 Bitlocker 對整個操作系統(tǒng)卷加密 解決設(shè)備物理丟失安全問題Windows系統(tǒng)審計機制 Windows日志 系統(tǒng) 應(yīng)用程序 安全 設(shè)置 應(yīng)用程序和服務(wù)日志 應(yīng)用訪問日志 FTP訪問日志 IIS訪問日志W(wǎng)indows系統(tǒng)安全策略 賬戶策略策略賬戶鎖定策略 本地策略 審核策略 用戶權(quán)限分配 安全選項 Windows系統(tǒng)安全配置 1安全配置前置工作

7、 2賬號安全設(shè)置 3關(guān)閉自動播放 4遠程訪問控制 5本地安全策略 6服務(wù)運行安全設(shè)置 7使用第三方安全增強軟件Windows安全設(shè)置1-前置工作 安全的安裝 分區(qū)設(shè)置：不要只使用一個分區(qū) 系統(tǒng)補?。篠P+Hotfix 補丁更新設(shè)置： 檢查更新 自動下載安裝或手動Windows安全配置2-賬號安全設(shè)置 賬號安全設(shè)置 系統(tǒng)賬號策略設(shè)置 賬號安全選項設(shè)置賬號安全設(shè)置-保護賬號安全 默認管理賬戶administrator更名 設(shè)置“好”的口令 自己容易記、別人不好猜 不安全口令實例：ZAQ!WSXzaq12wsx 安全口令實例: WdSrS1Y28r!WdSrS1Y28r!一句話“我的生日是1月28日

8、!”Wdsrs1y28r稍作變形：單數(shù)字母大寫，最后加個感嘆號賬號安全設(shè)置-系統(tǒng)賬號策略策略：避免系統(tǒng)出現(xiàn)弱口令必須符合復(fù)雜性要求長度最小值 最短使用期限最長使用期限強制歷史用可還原的加密來存儲賬號安全設(shè)置-賬號鎖定策略 賬號鎖定策略：應(yīng)對口令暴力破解 賬號鎖定時間 賬號鎖定閥值 重置賬號鎖定計數(shù)器賬號權(quán)限控制-用戶權(quán)限分配 用戶權(quán)限分配 從網(wǎng)絡(luò)訪問這臺計算機 拒絕從網(wǎng)絡(luò)訪問這臺計算機 管理審核和安全日志 從遠程系統(tǒng)強制關(guān)機賬戶權(quán)限控制-設(shè)置喚醒 設(shè)置喚醒計算機時的登錄 設(shè)置屏幕保護恢復(fù)時的登錄Windows安全配置3-自動播放功能的威脅 為方便用戶而設(shè)計 惡意代碼借助移動存儲介質(zhì)傳播的方式W

9、indows安全配置-關(guān)閉自動播放 關(guān)閉自動播放功能可以有效阻斷U盤病毒的傳播路徑Windows全配置4-遠程訪問控制 網(wǎng)絡(luò)訪問控制 共享安全防護網(wǎng)絡(luò)訪問控制-設(shè)置 確保啟用Windows自帶網(wǎng)絡(luò)訪問控制-高級配置 出站規(guī)則 入站規(guī)則 連接安全規(guī)則 監(jiān)視 連接安全規(guī)則 安全關(guān)聯(lián)共享安全防護-共享安全風(fēng)險 IPC$的安全問題（空會話連接導(dǎo)致信息泄露） 管理共享風(fēng)險(遠程文件操作) 普通共享的風(fēng)險（遠程文件操作）系統(tǒng)用戶列表用戶信息 共享列表空會話連接共享安全防護-關(guān)閉管理共享 空會話連接控制本地安全策略設(shè)置中對訪問的限制 關(guān)閉管理共享：修改注冊表HKEY_LOCAL_MACHINESystemC

10、urrentControlSetServicesLanmanServerParametersWindows安全設(shè)置5-本地安全策略 審核策略 用戶權(quán)限分配 安全選項 本地安全策略-安全選項 管理工具本地安全策略安全設(shè)置本地策略安全選項 交互式登錄：無須按Ctrl+Alt+Del，設(shè)置為已禁用 交互式登錄：不顯示最后的用戶名，設(shè)置為已啟用 設(shè)備：將CD-ROM 的訪問權(quán)限僅限于本地登錄的用戶，設(shè)置為已啟用本地安全策略-安全選項 管理工具本地安全策略安全設(shè)置本地策略安全選項網(wǎng)絡(luò)訪問：不允許SAM賬號的枚舉，設(shè)置為已啟用 網(wǎng)絡(luò)訪問：可 網(wǎng)絡(luò)訪問：可訪問的共享，刪除策略設(shè)置里的值訪問的命名管道，刪除策

11、略設(shè)置里的值網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑，刪除策略設(shè)置里的值Windows安全配置6-服務(wù)運行安全 Windows服務(wù)（windows service)Windows服務(wù)程序是一個長時間運行的可執(zhí)行程序，不需要用戶的交互，也不需要用戶登錄服務(wù)運行安全設(shè)置-關(guān)閉不必要的服務(wù) 關(guān)閉不需要的服務(wù)計劃任務(wù)遠程操作注冊表務(wù)權(quán)限System(本地系統(tǒng)) Local ServiceNetwork Service 控Windows安全配置7-第三方安全軟件 防病毒軟件 安全防護軟件安裝防病毒軟件 安裝病毒防護軟件 惡意代碼是終端安全的最大威脅 確保病毒防護軟件病毒庫更新 病毒防護軟件主要工作機制：特征碼掃

12、描 開啟云查殺系統(tǒng)安全防護軟件 系統(tǒng)安全保護軟件系統(tǒng) 主機入侵檢測知識域：操作系統(tǒng)安全v 知識子域：Linux系統(tǒng)安全機制 掌握Linux系統(tǒng)的安全配置方法Linux系統(tǒng)標識與鑒別-安全主體 安全主體 用戶：身份標識（User ID） 組：身份標識（Group ID） 用戶與組基本概念 文件必須有所有者 用戶必須屬于某個或多個組 用戶與組的關(guān)系靈活（一對多、多對多等都可以） 根用戶擁有所有權(quán)限Linux系統(tǒng)標識與鑒別-帳號信息存儲 信息存儲 用戶信息： /etc/passwd /etc/shadow 組信息 /etc/group /etc/gshadow用戶信息文件-passwd 用于存放用戶

13、信息（早期包括使用不可逆DES算法加密形成用戶 特點 文本格式 全局可讀散列）早期：X用:代用戶用替戶散列登信錄息ID后使用戶散組目列錄的shell*:賬號不可交互登錄 存儲條目格式name:coded-passwd:UID:GID:userinfo:homedirectory:shell 條目例子demo:x:523:100:J.demo:/home/demo:/bh用戶帳號文件-shadow 用于存放用戶 特點 文本格式 僅對root可讀可寫 存儲條目格式散列、管理信息等口令兩次修改最用戶上登次錄修口名改令被及口失禁帳加令效止號日前登被多錄保禁少前留止還域登錄小天天數(shù)向及用最戶大警時天告間

14、密的用戶期口令有效天數(shù)數(shù)name:passwd:lastchg:min:max:warn:inactive:expire:flag 條目例子#root:$1$acQMceF9:13402:0:99999:7:Linux系統(tǒng)身份鑒別 口令鑒別 本地登錄 遠程登錄（telnet、FTP等） 主機信任（基于證書） PAM（Pluggable Authentication Modules,可插拔驗證模塊）S/keyKerberosLinuxPAMAPIPAMSPISSHtelnetloginLinux系統(tǒng)訪問控制-權(quán)限模式 文件/目錄權(quán)限基本概念 權(quán)限類型：讀、寫、執(zhí)行 權(quán)限表示方式：模式位drwxr

15、-xr-x3 root root 1024 Sep 13 11:58test文件名最后修改時間文件大小文件擁有者GID文件擁有者UID鏈接數(shù)系統(tǒng)中其他用戶權(quán)限（O）文件擁有者所在組其他用戶的權(quán)限（G）文件擁有者的權(quán)限（U）文件類型：d為文件夾 -是文件Linux系統(tǒng)訪問控制-權(quán)限模式 權(quán)限的數(shù)字表示法 權(quán)限的特殊屬性SUID、SGID、Sticky（防刪除）-r-s-x-xSUID程序1 rootroot10704 Apr152002 /usr/bin/passwdLinux系統(tǒng)安全審計-日志系統(tǒng) 系統(tǒng)日志類型 連接時間日志 /var/log/wtmp和/var/run/utmp 由多個程序執(zhí)

16、行，記錄用戶登錄時間 進程統(tǒng)計 由系統(tǒng)內(nèi)核執(zhí)行，為系統(tǒng)基本服務(wù)提供命令使用統(tǒng)計 錯誤日志 /var/og/messages 由syslogd守護記錄，制定注意的事項 應(yīng)用程序日志 應(yīng)用程序如（HTTP、FTP）等創(chuàng)建的日志Linux文件系統(tǒng) 文件系統(tǒng)類型 日志文件系統(tǒng)：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等 文件系統(tǒng)安全 訪問權(quán)限 文件系統(tǒng)加密eCryptfs（Enterprise Cryptographic Filesystem）基于內(nèi)核，安全性高，用戶操作便利加密元數(shù)據(jù)寫在每個加密文件的頭部，方便遷移，備份文件系統(tǒng)目錄結(jié)構(gòu)/homebinprocusrbootli

17、bdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmpLinux系統(tǒng)的管理劃分 分割管理權(quán)限，30多種管理 根用戶（root）擁有所有 普通用戶 setuid操作實現(xiàn)setgid保護：保護root賬號 不直接使用root登錄，普通用戶su成為root 控制root權(quán)限使用Linux系統(tǒng)安全設(shè)置 安全配置前置工作 賬號和口令安全 系統(tǒng)服務(wù)配置 遠程登錄安全 文件和目錄安全 系統(tǒng)日志配置 使用安全軟件Linux設(shè)置安全配置前置工作 系統(tǒng)安裝 使用官方/正版軟件 分區(qū)掛載重要目錄 根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）等應(yīng)分開到不同的

18、磁盤分區(qū) 自定義安裝，選擇需要的軟件包 不安裝全部軟件包，尤其是那些不需要的網(wǎng)絡(luò)服務(wù)包 系統(tǒng)補丁 及時安裝系統(tǒng)補丁 更新補丁前，要求先在測試系統(tǒng)上對補丁進行可用性和兼容性驗證Linux設(shè)置賬號和口令安全 賬號通用配置 保護root賬號 口令安全策略賬號和口令安全賬號通用配置（1） 檢查、清除系統(tǒng)中多余賬號 檢查 #cat /etc/passwd #cat /etc/shadow 清除多余賬號 鎖定賬號特殊保留的系統(tǒng)偽賬戶，可以設(shè)置鎖定登錄鎖定命令：#passwd -l 解鎖命令：#passwd -u 賬號和口令安全賬號通用配置（2） 禁用root之外的超級用戶打開系統(tǒng)賬/etc/passwd

19、若用戶ID=0，則表示該用戶擁有超級用戶的權(quán)限 檢查是否有多個ID=0 禁用或刪除多余的賬號賬號和口令安全賬號通用配置（3） 檢查是否存在空口令賬號 執(zhí)行命令 #awk -F: ( = ) print $1 /etc/shadow 如果存在空口令賬號，則對其進行鎖定，或要求增加要確認空口令賬戶是否和已有應(yīng)用關(guān)聯(lián)，增加用無法連接的問題是否會引起應(yīng)賬號和口令安全賬號通用配置（3） 設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間 修改賬戶超時值，設(shè)置自動注銷時間賬號和口令安全保護root賬號 root賬號權(quán)限很高 保護措施 禁止使用root登錄系統(tǒng) 只允許普通用戶登陸，然后通過su命令切換到root 不要隨

20、意把root shell留在終端上； 不要把當前目錄(“ . /”)和普通用戶的bin目錄放在root賬號的環(huán)境變量PATH中 永遠不以root運行其他用戶的或不熟悉的程序賬號和口令安全口令安全策略 口令安全策略 要求使用安全口令 口令長度、字符要求 口令修改策略強制口令使用有效期設(shè)置口令修改提醒設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)、鎖定時間vi /etc/login.def PASS_MAX_DAYS PASS_MIN_DAYS PASS_MIN_LEN PASS_WARN_AGE907628Linux設(shè)置系統(tǒng)服務(wù)配置 禁止危險的網(wǎng)絡(luò)服務(wù) telnet、FTP echo、chargen、shell、

21、finger、NFS、RPC等 關(guān)閉非必需的網(wǎng)絡(luò)服務(wù) talk、ntalk等 確保最新版本 使用當前最新和最安全的版本的服務(wù)軟件關(guān)閉郵件服務(wù)：chkconfig -level 12345 sendmail off關(guān)閉圖形登錄服務(wù)：編輯/etc/inittab文件，修改為id:3:initdefault: 關(guān)閉X font服務(wù)：chkconfig xfs offLinux設(shè)置遠程登錄安全 禁用telnet,使用SSH進行管理 限制能夠登錄本機的IP地址 禁止root用戶遠程登陸 限定信任主機 修改banner信息遠程登錄安全使用SSH/限制登錄IP 禁用telnet,使用SSH進行管理 開啟ss

22、h服務(wù)：#service sshd start 限制能夠登錄本機的IP地址 #vi /etc/ssh/sshd_config 添加（或修改）： AllowUsers xyz3 允許用戶xyz通過地址3來登錄本機AllowUsers *192.168.*.* 僅允許/16網(wǎng)段所有用戶通過ssh訪問。遠程登錄安全禁止root/限定信任主機 禁止root用戶遠程登陸 #cat /etc/ssh/sshd_config 確保PermitRootLogin為no 限定信任主機 #cat /etc/hosts.equiv #cat /$HO

23、ME/.rhosts 查看上述兩個文件中的主機，刪除其中不必要的主機，防止存在多余的信任主機 或直接關(guān)閉所有R系列遠程服務(wù)rloginrsh rexec遠程登錄安全修改banner信息 系統(tǒng)banner信息 一般會給出操作系統(tǒng)名稱、版本號、主機名稱等 修改banner信息 查看修改sshd_config #vi /etc/ssh/sshd_config 如存在，則將banner字段設(shè)置為NONE 查看修改motd： #vi /etc/motd 該處內(nèi)容將作為banner信息顯示給登錄用戶。查看該文件內(nèi)容， 刪除其中的內(nèi)容，或更新成自己想要添加的內(nèi)容Linux設(shè)置文件和目錄安全 設(shè)置文件目錄權(quán)限

24、 設(shè)置默認umask值 檢查SUID/SGID文件文件和目錄安全設(shè)置文件目錄權(quán)限 保護重要的文件目錄，限制用戶訪問 設(shè)置文件的屬主和屬性以進行保護 極其重要的文件或目錄可以設(shè)置為不可改變屬性 chattr +i /etc/passwd 臨時文件不應(yīng)該有執(zhí)行權(quán)限常見文件權(quán)限及屬性的操作命令：chmod、chown、chattr文件和目錄安全設(shè)置默認umask值 設(shè)置新創(chuàng)建文件的默認權(quán)限掩碼 可以根據(jù)要求設(shè)置新文件的默認訪問權(quán)限，如僅允許文件屬主訪問，不允許其他人訪問 umask設(shè)置的是權(quán)限“補碼” 設(shè)置方法 使用umask命令 如 #umask 066 編輯/etc/profile文件，設(shè)置um

25、ask值文件和目錄安全檢查SUID/SGID文件 SUID/SGID的程序在運行時，將有效用戶ID改變?yōu)樵摮绦虻乃姓?組)ID。因而可能存在一定的安全隱患 找出系統(tǒng)中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接刪除,這樣可以防止用戶權(quán)限的可能性,其命令如下：查找SUID可執(zhí)行程序及提升 # find / -perm -4000 -user 查找SGID程序 # find / -perm -2000 -user0 ls0 lsLinux設(shè)置系統(tǒng)日志配置（1）v 保護日志文件 審查日志中不正常情況 非常規(guī)時間登錄 日志殘缺 Su的使用 服務(wù)的啟動情況 Linux設(shè)置系統(tǒng)日志配