操作系統(tǒng)教程第三版

3最小特權(quán)的實現(xiàn)(1)傳統(tǒng)UNIX/Linux特權(quán)管理1)普通用戶沒有特權(quán)，超級同戶擁有所有特權(quán)。2)當進程要進行某特權(quán)操作時，系統(tǒng)檢查進程所代表的用戶是否為超級用戶、3)普通用戶涉及特權(quán)操作時，通過setuid/setgid實現(xiàn)。用戶希望訪問/etc/passed來修改自己的密碼，必須使他能超越對客體的受限訪問。setuid/setgid可以使得代表普通用戶的進程不繼承用戶的uid/gid，而是

繼承該進程對應的應用程序文件(可執(zhí)行文件)的所有者的uid/gid、即普通用戶暫時獲得其他用戶身份，

并通過該身份訪問客體。由于此項活動具有局限性，具系統(tǒng)還會進行安全檢查，有助于維護系統(tǒng)安全性。(2)Linux最小特權(quán)的實現(xiàn)

1）系統(tǒng)安全管理員：用來維護系統(tǒng)中與安全性相關(guān)的信息，包括對系統(tǒng)用戶賬戶的管理、系統(tǒng)中的主體客體安全級的管理以及設置和維護系統(tǒng)的安全數(shù)據(jù)庫；2）系統(tǒng)審計員：用來設置審計開關(guān)和審計閾值，啟動和關(guān)閉審計機制以及管理審計日志；3）系統(tǒng)操作員：用來完成系統(tǒng)中日常的操作和維護，包括開啟和關(guān)閉系統(tǒng)、對文件的檔案備份和恢復、安裝或卸載文件系統(tǒng)以及向終端發(fā)送消息等等。4）網(wǎng)絡管理員：用來完成所有與網(wǎng)絡相關(guān)的管理與操作。(1)Linux系統(tǒng)中對權(quán)能的定義系統(tǒng)將系統(tǒng)管理的權(quán)限進行分割，共30種權(quán)能：例如，超越改變系統(tǒng)文件所有者和組所有的的特權(quán)；超越所

有自主訪問控制機制的約束的特權(quán)；超越所有強制訪

問控制機制的約束的特權(quán)；修改文件屬性的特權(quán)；寫審計文檔的特權(quán)；配置進程記帳的特權(quán)；打開或關(guān)閉緩沖區(qū)的特權(quán)；刪除信號量的特權(quán)；文件系統(tǒng)上設置加密口令的特權(quán)；安裝或卸下文件系統(tǒng)的特權(quán)；改變和設置進程安全的級特權(quán)；改變和設置文件安全級的特權(quán)；處理系統(tǒng)時鐘和設置實時時鐘的特權(quán)；設置加密密鑰的特權(quán)，等等。(2)基于Linux系統(tǒng)中的權(quán)能構(gòu)造最小特權(quán)機制要在Linux系統(tǒng)中實現(xiàn)最小特權(quán)管理，可以參照多級安全模型對強制訪問控制機制的實現(xiàn)方法，對系統(tǒng)中的每個可執(zhí)行文件賦予相應的特權(quán)集，同時對于系統(tǒng)中的每個進程，根據(jù)其執(zhí)行的程序和所代表的用戶，也賦予相應的特權(quán)集。新進程繼承的特權(quán)新進程繼承的特權(quán)既有進程的特權(quán)，也有所運行文件的特權(quán)，稱為“基于文件的特權(quán)機制”。這種機制的最大優(yōu)點是特權(quán)的細化，其可繼承性提供了一種執(zhí)行進程中增加特權(quán)的能力。1）文件的特權(quán)的實現(xiàn)可執(zhí)行文件具有兩個特權(quán)集，當通過exec系統(tǒng)調(diào)用時，進行特權(quán)的傳遞。

·固定特權(quán)集：固有的特權(quán)，與調(diào)用進程或父進程無關(guān)，將全部傳遞給執(zhí)行它的進程。

·可繼承特權(quán)集：只有當調(diào)用進程具有這些特權(quán)時，才能激活這些特權(quán)。

這兩個集合是不能重合的，即固定特權(quán)集與可繼承特權(quán)集不能共有一個特權(quán)。當然，可執(zhí)行文件也可以沒有任何特權(quán)。當文件屬性被修改時（例如，文件打開寫或改變它的模式），它的特權(quán)會被刪去，這將導致從TCB中刪除此文件。因此，如果要再次運行此文件，必須重新給它設置特權(quán)。2）進程的特權(quán)

當fork一個子進程時，父子進程的特權(quán)是一樣的。但是，當通過exec執(zhí)行某個可執(zhí)行文件時，進程的特權(quán)取決于調(diào)用進程的特權(quán)集和可執(zhí)行文件的特權(quán)集。每個進程都具有三個特權(quán)集：

·最大特權(quán)集（permitted

privileges

set）：可能具有的最大特權(quán)。

·可繼承特權(quán)集（inheritable

privileges

set）：決定進程執(zhí)行exec后進程是否保留提升后特權(quán)的特權(quán)集。

·有效特權(quán)集（effective

privileges

set）：進程當前使用的特權(quán)集。新進程時的特權(quán)計算調(diào)用進程調(diào)用進程繼承特權(quán)集{3,5,9}最大特權(quán)集{3,5,9}有效特權(quán)集{5}繼承特權(quán)集{3,9}固定特權(quán)集{2,6}可執(zhí)行文件繼承特權(quán)集{3,5,9}最大特權(quán)集{2,3,6,9}有效特權(quán)集{2,3.6,9}exec(

)∩∪（

3）權(quán)能表的修改

為在Linux系統(tǒng)中實現(xiàn)最小特權(quán)機制，可以在Linux/include/Linux/capabilities中加入以下幾項能力

1）CAP_MAC_READ用來超越強制訪問控制機制的讀訪問限制。

2）CAP_MAC_WRITE用來超越強制訪問控制機制的寫訪問限制。3）CAP_AUDIT用來管理審計系統(tǒng)的權(quán)限。（4）進程的特權(quán)在Linux系統(tǒng)的進程結(jié)構(gòu)中，已經(jīng)有三個向量表示進程的特權(quán)類型：cap_

effective、cap_inheritable、cap_permitted。它們是kernel_cap_t類型（無符號長整形）的數(shù)據(jù)。進程的有效特權(quán)集（cap_effective）表明了進程當前使用的特權(quán)情況，進程的最大特權(quán)集（cap_permitted）表明了進程可擁有的最多特權(quán)，進程的可繼承特權(quán)集（cap

_inheritable）包含進程下一步exec新文件時所擁有的特權(quán)集。kernel

_cap

_t類型是一個無符號整數(shù)表示，共32位，每一個位表示系統(tǒng)細分的一命特權(quán)。（5）文件的特權(quán)

對于文件特權(quán)的實現(xiàn)，可以以特權(quán)數(shù)據(jù)庫來表

示，例如，可以創(chuàng)建核心特權(quán)文件filepriv，其入口項的格式如下所示：“dev：fid：valid：fixed

privileges：inherprivileges：path

name”格式其中，dev：表示包含該文件的設備；fid：表示該文件的ID號；valid：以十進制串的形式表示

inode中標記該文件狀態(tài)最近一次被修改的時間；

fixed

privilege：文件的固定特權(quán)；inherprivilege：文件的可繼承特權(quán)；path

name：文件的絕對路徑名。4安全審計的實現(xiàn)

安全操作系統(tǒng)中的安全審計，要求為下述可審計事件產(chǎn)生審計記錄：1)審計功能的啟動和關(guān)閉；2)使用身份鑒別機制；

3)將客體引入用戶地址空間（例如：打開文件、程序初始化）；4)刪除客體；

5)系統(tǒng)管理員、系統(tǒng)安全員、審計員和一般操作員所實施的操作；

6)其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計事件。審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關(guān)的信息。特別地，對于身份鑒別事件，審計記錄應包含請求的來源（如終端標識

符）；對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應包含客體名及客體的安全級別。審計緩沖區(qū)?審計點審計點審計點審計系統(tǒng)調(diào)用內(nèi)核審計進程審計日志文件用戶態(tài)核心態(tài)循環(huán)緩沖(4)審計點的處理1)對系統(tǒng)調(diào)用及客體安全級范圍的審計

a)在每個系統(tǒng)調(diào)用的入口處：若進程有

AEXEMPT標記，則不作審計，否則通過系統(tǒng)調(diào)用號索引“系統(tǒng)檢查函數(shù)表”，得到真正的檢查函數(shù)入口，再根據(jù)系統(tǒng)調(diào)用參數(shù)判定它應屬于哪個審計事件，將事件號作為中間結(jié)果賦給進程task結(jié)構(gòu)的a_event備用，接著檢查事件號是否屬于進程審計標準a_procemask，是則對進程task結(jié)構(gòu)設

AUDITME標記，不是則返回。

b)系統(tǒng)調(diào)用的出口處：檢查進程task結(jié)構(gòu)的

AUDITME標記是否置位，是則通過系統(tǒng)調(diào)用號索引“系統(tǒng)記錄函數(shù)表”，得到真正的記錄函數(shù)入口，調(diào)用它將數(shù)據(jù)寫入緩沖區(qū)，并清除

AUDITME標記；否則不做審計動作。c)主體訪問客體的權(quán)限檢查處：對于系統(tǒng)調(diào)用引

發(fā)的客體訪問，要根據(jù)客體安全級判定是否審計?？梢栽诳腕w訪問的必經(jīng)之地namei作檢查，若進程task結(jié)構(gòu)的AUDITME標記置位，則說明該事件已經(jīng)屬于主體(進程)審計范圍，不必重復記錄，返回即可；

否則，根據(jù)系統(tǒng)調(diào)用入口判定的事件號a_event，檢查該事件是否屬于對象審計標準，是則檢查當前客體的安全級是否在待審計的系統(tǒng)安全級范圍中，若是則置位AUDITME標記，否則返回。(6)審計系統(tǒng)自身的安全保護1)程序和代碼的安全

在發(fā)布的系統(tǒng)中，只提供執(zhí)行代碼，源程序不可見，對用戶屏蔽了系統(tǒng)的工作細節(jié)。審計數(shù)據(jù)的采集記錄部分集成到安全內(nèi)核，審計進程的執(zhí)行不受外界影響，核外的應用程序(審計管理員配置程序和審計數(shù)據(jù)顯示分析程序)則嚴格遵循強制訪問控制MAC和最小特權(quán)控制PAC，保證只有審計管理員才能使用這些程序。2)系統(tǒng)配置和審計數(shù)據(jù)的安全配置文件包括系統(tǒng)和用戶審計標準、審

計系統(tǒng)的運行參數(shù)、審計事件的定義等，這些文件也必須施加MAC控制。7.5.5信息系統(tǒng)安全評估標準簡介1操作系統(tǒng)安全漏洞掃描

為了確保安全操作系統(tǒng)的安全性，人們首先想到采用專用工具掃描操作系統(tǒng)的安全漏洞，以達到發(fā)現(xiàn)漏洞和采取補救措施。操作系統(tǒng)安全漏洞掃描的主要內(nèi)容有：(1)設置錯誤：設置是很困難的，設置錯誤可能導致一系列安全漏洞，可以檢查系統(tǒng)設置，搜索安全漏洞，判斷是否符合安全策略。(2)黑客蹤跡：黑客留下的蹤跡常常可以檢測到，軟件能檢查是否有黑客侵入系統(tǒng)、盜取口令，也可檢查某些關(guān)鍵目錄下是否有黑客放置的可疑文件。(3)特洛伊木馬：黑客常常在系統(tǒng)內(nèi)嵌入這類程序，軟件軟件能夠檢查系統(tǒng)文件的非授權(quán)修改和不合適的版本，既檢測了漏洞，也有利于版本控制。2操作系統(tǒng)安全評測方法(1)形式化驗證：(2)非形式化確認：(3)入侵測試：3操作系統(tǒng)安全測評準則美國國防部于1983年推出了歷史上第一個計算機系統(tǒng)安全評測準則

TCSEC(Trusted

Computer

SystemEvaluation

Criteria)，又稱桔皮書，從而，帶動了國際正計算機系統(tǒng)安全評測的研

究，德國、英國、加拿大、西歐等紛紛

制定了各自的計算機系統(tǒng)安全評價標準。近年來，我國也制定了相應的國家標準

GB17859-1999和GB/T18336-2001等標準。TCSEC的主要內(nèi)容對可信任計算機信息系統(tǒng)有6項基本需求，基中，

4項涉及存取控制，2項涉及安全保障：需求1-安全策略、需求2-標記、需求3-標識、需求4-審計、需求5-保證、需求6-連續(xù)保護。

根據(jù)6項基本需求，TCSEC在用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽信道分析、可信通路建

立、安全檢測、生命周期保證、文檔寫作等各方面，均提出了規(guī)范性要求，并根據(jù)所采用的安全策略、

系統(tǒng)所具有的安全功能把系統(tǒng)分為4類7個安全等級D類—D級，安全性最低級，整個系統(tǒng)不可信任。C類—自主保護類，C1級—自主安全保護。C2級—受控制的存取控制系統(tǒng)，引入DAC和審計機制。B類—強制保護類，B1級—標記安全保護級，引入MAC、標記和標記管理。

B2級—結(jié)構(gòu)保護級，具有形式化安全模型，完善的MAC，可信通路、系統(tǒng)結(jié)構(gòu)化設計、最小特權(quán)管理、隱蔽信道分析。

B3級—安全域級，訪問監(jiān)控機制、TCB最小復雜性設計、審計實時報告和對硬件的要求。A類—A1級(僅一個級別)，驗證保護類，嚴格的設計、控制和驗證過程。?7.6實例研究：安全操作系統(tǒng)SELinux?圖7-31

SELinux安全體系結(jié)構(gòu)安全服務器安全策略SID到安全上下文的映射對象管理器策略執(zhí)行對象到SID映射查詢決策客戶機7.7實例研究：Windows

2000/XP安全機制Windows

2000/XP提供了一組可配置的安全性服務和靈活的訪問控制能力，能滿足分布式系統(tǒng)的安全性需求，主要服務有：安全登錄、訪問控制、安全審計、內(nèi)存保護、活動目錄、Kerberos

5身份驗證協(xié)議、基于Secure

Sockets

Layer

3.0安全通道、EFS加密文件系統(tǒng)。7.7.1安全性組件和安全登錄1安全性組件實現(xiàn)Windows

2000/XP的安全性機制的組件和數(shù)據(jù)庫如下：(1)安全引用監(jiān)視器(SRM)。是執(zhí)行體

(NTOSKRNL.EXE)的一個組件，該組件負責執(zhí)行

對對象的安全訪問檢查、管理對象的訪問權(quán)限和產(chǎn)生安全審計消息。(2)本地安全權(quán)限(LSA)服務器。是一個運行映像

LSASS.EXE的用戶態(tài)進程，它負責本地系統(tǒng)安全性規(guī)則(例如允許用戶登錄到機器的規(guī)則、密碼規(guī)則、授予用戶和組的權(quán)限列表以及系統(tǒng)安全性審計設置)、用戶身份驗證以及向“事件日志”發(fā)送安全性審計消息。(3)LSA策略數(shù)據(jù)庫。是一個包含了系統(tǒng)安全性規(guī)則設置的數(shù)據(jù)庫，該數(shù)據(jù)庫被保存在注冊表中的

HKEY-LOCAL-MACHINE/security下。它包含的信息有：哪些域被信任用于認證登錄企圖；哪些用戶可以訪問系統(tǒng)以及怎樣訪問(交互、網(wǎng)絡和服務登錄方式)；誰被賦予了哪些權(quán)限；執(zhí)行的安全性審計的種類。(4)安全賬號管理服務器。是一組負責管理數(shù)據(jù)庫的子例程，該數(shù)據(jù)庫包含定義在本地機器上或用于域(如果系統(tǒng)是域控制器)的用戶名和組。SAM在LSASS進程的描述表中運行。(5)SAM數(shù)據(jù)庫。是一個包含定義用戶和組以及它們的密碼和屬性的數(shù)據(jù)庫，它被保存在HKEY-LOCAL-MACHINE＼SAM下的注冊表中。(6)默認身份認證包。是一個被稱為

MSV1_0的動態(tài)鏈接庫(DLL)，在進行

Windows身份驗證的LSASS進程的描述表中運行。這個DLL負責檢查給定的用戶名和密碼是否和SAM數(shù)據(jù)庫中指定的相匹

配，如果匹配，返回該用戶的信息。(7)登錄進程。是一個運行

WINLOGON.EXE的用戶態(tài)進程，它負責

搜尋用戶名和密碼，并發(fā)送給LSA用以驗證它們，并在用戶會話中創(chuàng)建初始化進程。(8)網(wǎng)絡登錄服務。是一個響應網(wǎng)絡登錄請求的SERVICES.EXE進程內(nèi)部的用戶態(tài)服務。身份驗證同本地登錄一樣，是通過把它們發(fā)送到LSASS進程來驗證的。2安全登錄登錄是通過登錄進程WinLogon、LSA、身份認證包和SAM相互作用完成的。用戶按下熱鍵時，登錄就開始，在獲得用戶名和口令后，由LSA本地安全認證服務器、msv1_0身份驗證軟件包、SAM數(shù)據(jù)庫協(xié)同工作，進行標識和

鑒別，msv1_0查看請求的登錄與SAM數(shù)據(jù)庫中允

許的訪問是否有匹配項。如果是合法用戶，LSA會匯集各種用戶信息，如用戶SID、組SID、主目錄等配置文件信息，這時，為該用戶創(chuàng)建一個用戶進程，為了實現(xiàn)對它的訪問控制，本地安全認證子系統(tǒng)同時創(chuàng)建了兩個重要的管理實體：與每個進程相關(guān)聯(lián)的“訪問令牌”和與每個對象相關(guān)聯(lián)的“安全描述符”。7.7.2訪問控制1保護對象保護對象是謹慎訪問控制和審計的基本要素，被保護的對象包括文件、設備、郵件槽、己命名的和未命名的管道、進程、線程、事件、互斥體、信號量、可等待定時器、訪問令牌、窗口、桌面、網(wǎng)絡共享、服務、注冊表鍵和打印機。2訪問控制方案訪問令牌是一個包含進程或線程安全標識的數(shù)據(jù)結(jié)構(gòu)，包括：安全ID(SID)，用戶所屬組的列表及啟用/禁止的特權(quán)列表。它是基于安全目的，在系統(tǒng)中使用的該用戶的帷一標識符；當用戶進程派生出新進程時，新進程對象繼承了同一個訪問令牌。訪問令牌有兩種用途：·負責協(xié)調(diào)所有必需的安全信息，從而，加速訪問

確認，當與一個用戶相關(guān)聯(lián)的任何進程試圖訪問時，安全子系統(tǒng)使用與該進程相關(guān)聯(lián)的訪問令牌來確定

用戶的訪問特權(quán)?！ぴ试S每個進程以一種受限的方式修改自己的安全特性，而不會影響代表用戶運行的其他進程。Windows

2000/XP的安全結(jié)構(gòu)組?ID特權(quán)默認所有者默認ACL自主訪問控制表DACL安全ID(SID) 標記 ACL頭所有者 ACE頭系統(tǒng)訪問控制

訪問掩碼表SACLSIDACE頭訪問掩碼SID(a)訪問令牌(b)安全描述符……(c)訪問控制表5

ACL的分配要確定分配給新對象的ACL，系統(tǒng)使用三種互斥的規(guī)則之一，步驟為：步1：如果調(diào)用者在創(chuàng)建對象時，明確提供了一個安全描述符，則系統(tǒng)將把該描述符應用到對象上。步2：如果調(diào)用者沒有提供安全描述符，而對象有名稱，則系統(tǒng)將在存儲新對象名稱的目錄中查看安全描述符，一些對象目的的ACE可以被指定為可繼承的，表示它們

可應用于在對象目錄中創(chuàng)建的新對象上。如果存在可繼承的ACE，系統(tǒng)就把它們編入ACL，并與新對象連接。步3：如果以上情況均未出現(xiàn)，系統(tǒng)會從調(diào)用者訪問令牌中檢索默認的ACL，并將其應用到新對象。系統(tǒng)的一些子系統(tǒng)，如服務、LSA和SAM對象等均有它們在創(chuàng)建對象時分配的硬性編碼DACL。6訪問控制算法該算法確定允許訪問對象的最大權(quán)限，通過檢查

ACL中的ACE來生成授予訪問掩碼和拒絕訪問掩碼。其步驟為：(1)如果對象沒有DACL，對象就不被保護，系統(tǒng)將授予所有訪問權(quán)力。(2)如果調(diào)用者具有所有權(quán)特權(quán)，系統(tǒng)將在檢查DACL之前授予它寫入訪問權(quán)力。(3)如果調(diào)用者是對象的所有者，則被授予讀取控制和寫入DACL的訪問權(quán)力。(4)對于每一個拒絕

訪問的ACE，如果其中包含與調(diào)用者的訪問令牌相

匹配的SID，則ACE的訪問掩碼會被添加到拒絕訪問掩碼上。(5)對于每一個訪問允許的ACE，如果其中包含與調(diào)用者的訪問令牌相匹配的SID，除非訪問已被拒絕，否則ACE的訪問掩碼會被添加到被計算的

授予訪問掩碼上。7訪問掩碼?具體訪問位有16位，確定了適用于某特定類型的對象的訪問權(quán)限。如文件對象的第0位是File_read_data訪問，事件對象的第0位是Event_query_status訪問。7.7.3安全審計

Windows系統(tǒng)產(chǎn)生三類日志：系統(tǒng)日志、應用程序日志和安全日志。審計事件分為七類：系統(tǒng)類、登錄類、對象存取類、特權(quán)應用類、賬號管理類、安全策略類和詳細審計類。對每類事件可選擇成功、失敗或兩者同時審計，對于對象存取類的審計，還可以在資源管理器中進一步指定文件和目錄的具體審計標準：如讀、寫、修改、刪除、執(zhí)行等操作，也分成功或失敗兩種審計，對注冊表項及打印機設備的審計類似。審計數(shù)據(jù)以二進制結(jié)構(gòu)文件存于磁盤，每條記錄包括：事件發(fā)生時間、事件源、事件號和所屬類別