中南大學(xué)操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告

1、CENTRAL SOUTH UNIVERSITY 操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告學(xué)生姓名 專業(yè)班級(jí) 學(xué) 號(hào) 學(xué) 院 信息科學(xué)與工程學(xué)院 指導(dǎo)教師 宋虹 實(shí)驗(yàn)時(shí)間 2014年12月 操作系統(tǒng)安全實(shí)驗(yàn)一Windows系統(tǒng)安全設(shè)置實(shí)驗(yàn)1、 實(shí)驗(yàn)?zāi)康?、 了解Windows操作系統(tǒng)的安全性2、 熟悉Windows操作系統(tǒng)的安全設(shè)置3、 熟悉MBSA的使用2、 實(shí)驗(yàn)要求1、 根據(jù)實(shí)驗(yàn)中的安全設(shè)置要求，詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報(bào)告。2、 采用MBSA測(cè)試系統(tǒng)的安全性，并分析原因。3、 比較Windows系統(tǒng)的安全設(shè)置和Linux系統(tǒng)安全設(shè)置的異同。3、 實(shí)驗(yàn)內(nèi)容1、 配置本地安全設(shè)置，完成以下內(nèi)容

2、：（1） 賬戶策略：包括密碼策略（最小密碼長(zhǎng)度、密碼最長(zhǎng)存留期、密碼最短存留期、強(qiáng)制密碼歷史等）和賬戶鎖定策略（鎖定閾值、鎖定時(shí)間、鎖定計(jì)數(shù)等）（2） 賬戶和口令的安全設(shè)置：檢查和刪除不必要的賬戶（User用戶、Duplicate User用戶、測(cè)試用戶、共享用戶等）、禁用guest賬戶、禁止枚舉帳號(hào)、創(chuàng)建兩個(gè)管理員帳號(hào)、創(chuàng)建陷阱用戶（用戶名為Administrator、權(quán)限設(shè)置為最低）、不讓系統(tǒng)顯示上次登錄的用戶名。（3） 設(shè)置審核策略：審核策略更改、審核賬戶登錄事件、審核賬戶管理、審核登錄事件、審核特權(quán)使用等（4） 設(shè)置IP安全策略（5） 其他設(shè)置：公鑰策略、軟件限制策略等2、 Windo

3、ws系統(tǒng)注冊(cè)表的配置（1） 找到用戶安全設(shè)置的鍵值、SAM設(shè)置的鍵值（2） 修改注冊(cè)表：禁止建立空連接、禁止管理共享、關(guān)閉139端口、防范SYN攻擊、減少syn-ack包的響應(yīng)時(shí)間、預(yù)防DoS攻擊、防止ICMP重定向報(bào)文攻擊、不支持IGMP協(xié)議、禁止死網(wǎng)關(guān)監(jiān)控技術(shù)、修改MAC地址等操作。禁止建立空連接：“Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous” 的值改成“1”即可。禁止管理共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerPar

4、ameters項(xiàng) 對(duì)于服務(wù)器，添加鍵值“AutoShareServer”，類型為 “REG_DWORD”，值為“0”。 對(duì)于客戶機(jī)，添加鍵值“AutoShareWks”，類型為 “REG_DWORD”，值為“0”。關(guān)閉139端口：在“網(wǎng)絡(luò)和撥號(hào)連接”中“本地連 接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí) TCP/IP 設(shè)置”“WINS 設(shè)置”里面有一項(xiàng)“禁用 TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。防范SYN攻擊：相關(guān)的值項(xiàng)在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD：S

5、ynAttackProtect：定義了是否允許SYN淹沒攻擊保護(hù)，值1表示允許起用Windows的SYN淹沒攻擊保護(hù)。(2) DWORD：TcpMaxConnectResponseRetransmissions：定義了對(duì) 于連接請(qǐng)求回應(yīng)包的重發(fā)次數(shù)。值為1，則SYN淹沒攻擊不會(huì)有效果，但是這樣會(huì)造成連接請(qǐng)求失敗幾率的增高。SYN淹沒攻擊保護(hù)只有在該值>=2時(shí)才會(huì)被啟用，默認(rèn)值為3。 （上邊兩個(gè)值定義是否允許SYN淹沒攻擊保護(hù)，下面三個(gè)則定義了激活SYN淹沒攻擊保護(hù)的條件，滿足其中之一，則系統(tǒng)自動(dòng)激活 SYN淹沒攻擊保護(hù)。） 減少syn-ack包的響應(yīng)時(shí)間：HKLMSYSTEMCurren

6、tControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定義了重發(fā)SYN-ACK包的次數(shù)。HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默認(rèn)值為3，最大20，最小1。 定義了NETBT的連接塊增加幅度。HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默認(rèn)值為1000，最大可取40000。 定義了NETBT的連接塊最大數(shù)。預(yù)防DoS攻擊：在注冊(cè)表HK

7、LMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以防御一定強(qiáng)度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 防止ICMP

8、重定向報(bào)文的攻擊： HKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默認(rèn)值為0x1) 該參數(shù)控制Windows 是否會(huì)改變其路由表以響應(yīng)網(wǎng)絡(luò)設(shè)備(如路由器)發(fā)送給它的ICMP重定向消息，有時(shí)會(huì)被利用來干壞事。Windows中默認(rèn)值為1，表示響應(yīng) ICMP重定向報(bào)文。 不支持IGMP協(xié)議： HKLMSYSTEMCurrentControlSetServicesTcpipParametersIGMPLevel REG_DWORD 0x0(默認(rèn)值為0x2) Win9x下有個(gè)bug

9、，就是用可以用IGMP使別人藍(lán)屏，修改注冊(cè)表可以修正這個(gè)bug。Windows雖然沒這個(gè)bug了，但I(xiàn)GMP并不是必要的，因此照樣可以去掉。改成0后用 route print將看不到項(xiàng)了。 禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)： HKLMSYSTEMCurrentControlSetServices:TcpipParametersEnableDeadGWDetectREG_DWORD 0x0(默認(rèn)值為ox1) 如果你設(shè)置了多個(gè)網(wǎng)關(guān)，那么你的機(jī)器在處理多個(gè)連接有困難時(shí)，就會(huì)自動(dòng)改用備份網(wǎng)關(guān)，有時(shí)候這并不是一項(xiàng)好主意，建議禁止死網(wǎng)關(guān)監(jiān)測(cè)。 修改MAC地址：HKLMSYSTEMCurrentCont

10、rolSetControlClass 找到右窗口的說明為“網(wǎng)卡”的目錄，比如說是4D36E972-E325-11CE-BFC1-08002BE10318展開之，在其下0000,0001,0002.的分支中找到“DriverDesc”的鍵值為你網(wǎng)卡的說明，比如說“DriverDesc”的值為“Qualcomm Atheros AR8161 PCI-E 千兆以太網(wǎng)控制器 (NDIS 6.30)”然后在右窗口新建一字符串值，名字為“Networkaddress”，內(nèi)容為你想要的MAC值，比如說是“001010101010”然后重啟計(jì)算機(jī)，ipconfig /all查看。 重啟計(jì)算機(jī)，MAC地址生效：

11、3、 文件及文件夾權(quán)限設(shè)置（1） 用戶組及用戶的權(quán)限：有哪些組？其權(quán)限是什么？有哪些用戶？分屬哪些組？設(shè)置其權(quán)限。（2） 新建一個(gè)文件夾并設(shè)置其訪問控制權(quán)限。4、 審核日志分析（1） 查找審核日志，顯示其詳細(xì)信息：應(yīng)用程序日志、安全性日志、系統(tǒng)日志。（2） 分析各種日志所描述的內(nèi)容，分析警告、信息、錯(cuò)誤等的意義。信息為普通系統(tǒng)信息，警告為暫時(shí)可不處理的問題，錯(cuò)誤為必須立即處理的問題。5、 使用Microsoft 基準(zhǔn)安全分析器MBSA 2.0對(duì)系統(tǒng)進(jìn)行安全評(píng)估Microsoft 基準(zhǔn)安全分析器 (MBSA) 可以檢查操作系統(tǒng)，還可以掃描計(jì)算機(jī)上的不安全配置。檢查 Windows 服務(wù)包和修補(bǔ)程

12、序時(shí)，它將 Windows 組件（如 Internet 信息服務(wù) (IIS) 和 COM+）也包括在內(nèi)。MBSA 使用一個(gè) XML 文件作為現(xiàn)有更新的清單。該 XML 文件包含在存檔 Mssecure.cab 中，由 MBSA 在運(yùn)行掃描時(shí)下載，也可以下載到本地計(jì)算機(jī)上，或通過網(wǎng)絡(luò)服務(wù)器使用。6、信息安全綜合實(shí)驗(yàn)系統(tǒng)中的實(shí)驗(yàn)：（1）信息安全01. Windows用戶管理02. Windows策略管理03. Windows網(wǎng)絡(luò)與服務(wù)管理04. Web服務(wù)安全配置05. FTP服務(wù)安全配置06. 遠(yuǎn)程桌面安全配置操作系統(tǒng)安全實(shí)驗(yàn)二Linux系統(tǒng)安全設(shè)置實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康?、了解Linux操作系統(tǒng)的安

13、全性2、熟悉Linux操作系統(tǒng)的安全設(shè)置3、建立Linux操作系統(tǒng)的基本安全框架二、實(shí)驗(yàn)要求1、根據(jù)實(shí)驗(yàn)中的安全設(shè)置要求，詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報(bào)告。2、使用RPM對(duì)系統(tǒng)的軟件進(jìn)行管理，驗(yàn)證系統(tǒng)內(nèi)軟件的完整性，并分析結(jié)果。3、比較Windows系統(tǒng)的安全設(shè)置和Linux系統(tǒng)安全設(shè)置的異同。三、實(shí)驗(yàn)內(nèi)容1、賬戶和口令安全(1)查看和添加賬戶在終端下輸入命令：useradd *，建立一個(gè)新賬戶；cat /etc/shadow, 查看系統(tǒng)中的賬戶列表；(2) 添加和更改密碼：passwd命令(3) 查看Linux系統(tǒng)中是否有用于檢測(cè)密碼安全的黑客技術(shù)語字典及密碼檢測(cè)模塊：loca

14、te pam_cracklib.so dict|grep crack2、 賬戶安全設(shè)置（1） 強(qiáng)制用戶首次登陸時(shí)修改口令，強(qiáng)制每90天更改一次口令，并提前10天提示：chage命令（2） 賬戶的禁用與恢復(fù)：passwd命令，鎖定除root之外的不必要的超級(jí)用戶（3） 建立用戶組，設(shè)置用戶：groupadd命令、groupmod命令、gpasswd命令（4） 設(shè)置密碼規(guī)則：/etc/login.defs文件編輯修改，設(shè)置用戶的密碼最長(zhǎng)使用天數(shù)、最小密碼長(zhǎng)度等（5） 為賬戶和組相關(guān)系統(tǒng)文件加上不可更改屬性，防止非授權(quán)用戶獲取權(quán)限：chattr命令、（6） 刪除用戶和用戶組：userdel命令、gr

15、oupdel命令（7） 限制su命令提權(quán)：/etc/pam.d/su文件，在頭部添加命令：auth required /lib/security/pam_wheel.so group=wheel這樣，只有wheel組的用戶可以su到root用戶（8） 將用戶加入到某個(gè)組：usermod命令 （9） 確認(rèn)shadow中的空口令帳號(hào)：awk命令3、 文件系統(tǒng)管理安全（1） 查看某個(gè)文件的權(quán)限：ls -l（2） 設(shè)置文件屬主及屬組等的權(quán)限：chmod命令（3） 切換用戶，檢查用戶對(duì)文件的權(quán)限：su命令（4） 修改文件的屬主和屬組：chown命令（5） 文件的打包備份和壓縮、和解壓：tar命令、gzi

16、p命令、gunzip命令（6） 設(shè)置應(yīng)用于目錄的SGID權(quán)限位：4、 信息安全綜合實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)（1）信息安全07. Linux文件系統(tǒng)08. Linux用戶管理09. Linux日志管理10. Linux網(wǎng)絡(luò)與服務(wù)管理操作系統(tǒng)安全實(shí)驗(yàn)三SELinux實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康?、了解Linux操作系統(tǒng)的安全性2、熟悉SELinux安全模塊的配置和使用3、熟悉SELinux框架的基本內(nèi)容二、實(shí)驗(yàn)要求1、根據(jù)實(shí)驗(yàn)中的安全設(shè)置要求，詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報(bào)告。2、熟悉Flask安全體系框架和SELinux安全體系結(jié)構(gòu)的組成。3、比較Flask安全體系框架和權(quán)能體系結(jié)構(gòu)。三、實(shí)驗(yàn)內(nèi)容1、安裝

17、與啟動(dòng)SELinux安全模塊 ubuntu 10環(huán)境下：sudo apt-get install selinux2、查看當(dāng)前SELinux目前的設(shè)置，理解設(shè)置影響哪方面的安全？查看selinux加載的內(nèi)核模塊：semodule -lSELinux當(dāng)前運(yùn)行狀態(tài)：getenforce設(shè)置運(yùn)行狀態(tài)： sudo setenforce Enforcing | Permissive | 1 | 0查看拒絕信息：getsebool -a、getsebool allow_execheap查看允許的服務(wù)：/var/log/messages、/usr/bin/audit2allow查看用戶安全上下文：id可以查看

18、selinux錯(cuò)誤日志：sealert -a /var/log/audit/audit.log3、修改SELinux設(shè)置，理解設(shè)置影響哪方面的安全？ 修改安全上下文：chcon -R 修改策略：setsebool -P 其他修改設(shè)置方面，如http、ftp、nfs等。4、查看源代碼?！緦?shí)驗(yàn)總結(jié)】 這一次的操作系統(tǒng)安全實(shí)驗(yàn)讓我學(xué)到了平時(shí)在課堂不可能學(xué)到的東西，我對(duì)這一次的操作系統(tǒng)安全實(shí)驗(yàn)非常珍惜和用心。在為期兩周的上機(jī)實(shí)驗(yàn)和本機(jī)實(shí)驗(yàn)中，我查閱了很多資料去了解操作系統(tǒng)安全，每完成一個(gè)任務(wù)我都興奮不已。一開始任務(wù)是任務(wù)，到后面任務(wù)就成了自己的作品了?？偨Y(jié)一下有以下體會(huì)： 1、網(wǎng)絡(luò)真的很強(qiáng)大，用在學(xué)習(xí)上將是一個(gè)非常高效的助手。幾乎所有的資料都能夠在網(wǎng)上找到。例如操作系統(tǒng)中各個(gè)部分的解釋，操作等等，例如賬戶安全該怎么設(shè)置，什么好似文件系統(tǒng)，硬件保護(hù)的重要性等等；這些都能在網(wǎng)上找到。也因?yàn)檫@樣，整個(gè)實(shí)驗(yàn)下來，我瀏覽的相關(guān)網(wǎng)頁已數(shù)不勝數(shù)。當(dāng)然網(wǎng)上的東西很亂很雜，自己要能夠?qū)W會(huì)篩選。不能決定對(duì)或錯(cuò)的，有個(gè)很簡(jiǎn)單的方法就是去實(shí)踐。從網(wǎng)上了解方法然后去實(shí)踐，但需要注意的是要學(xué)會(huì)去對(duì)比，把不太可能的方法去掉，這樣