UNIX系统的安全管理(ppt)-PowerPoint

1Solaris系统管理与安全东大金智软件股份有限公司教育与公用事业部2内容提要•UNIX(Solaris)简介•Solaris的管理与维护•Sun系统安全3UNIX简介•UNIX对工作站、微型计算机、大型机、甚至超级计算机等各种不同类型的计算机来说是一种标准的操作系统。•文件管理、程序管理和用户界面是所有操作系统共有的传统特征。除此之外，UNIX又增加了另外两个特性。UNIX是一个多用户、多任务系统。4UNIX历史•1969年，在AT&T贝尔实验室，KenThompson、DennisRitchie和其他的研究人员开发了一个操作系统，这个新的操作系统称为UNIX，•1971年UNIX移植到PDP-11上，第一次得到实用。此时的系统全部用汇编语言写成；•1973年用C语言重写UNIX核心，系统变得极为便于理解、修改和移植；•1977年UNIX成为产品；同期开始被移植到各种类型的机器上，并产生了许多变种版本。•1981年Bell实验室推出UNIXSYSTEMIII。•1981年Bell实验室推出UNIXSYSTEMV。•另一个重要的分支是BSD版（BerkeleyUNIX）。•SUN公司在4.2BSDUNIX基础上加进系统V形成SunOS，后来由SunSoft继续开发，形成SYSTEMV基础上的Solaris。5系统概念•Solaris操作系统的主要三个部分–Kernel,Shell,Filestructure•Solaris环境的文件结构是分层的目录树结构，是一些有特定目的而组织在一起的目录、子目录和文件。•虚拟内存操作系统–交换分区（SwapSpace）•系统管理的一些常见的概念：–主机,主机名,IP地址,客户机,服务器,网络•Solaris有下列特性–多任务,多用户,分布处理6•OpenBootPROM介绍•BootPROM内容•BasicBootPROMCommands–okboot–okhelp–okprintenv–oksetenv–okset-defaults–okresetOpenBootPROM7安装Solaris操作系统•软件包安装选择–基本;最终用户;开发者;完整分发和OEM支持•安装信息•安装过程–放入安装盘;起动安装盘(bootcdrom);选择合适的语言和国际设置;输入主机名;输入IP地址;选择名称服务类型;选择时区;选择软件组;设置分区;输入ROOT口令;8Solaris文件系统结构示意图从root开始（/），所有文件和目录均由根目录开始经过一条路径到达。/(root)/bin/dev/export/etc/lib…………/home/user1/user2/user39软件包管理•所有Solaris系统的软件都以包的形式出现•命令行方式–pkgadd命令用于安装软件包–pkginfo命令用于查看系统已经安装的软件包–pkgrm命令用于删除软件包–pkgchk命令用于检查已安装的软件包–admintool图形管理工具•admintool是solaris图形管理工具，包括管理软件包、主机名、主机地址、打印机、串口、用户、用户组等。10补丁维护•什么是Patch?–简单的说，补丁就是一些替换现存的文件和目录的文件目录集合。补丁纠正应用程序的错误或增加功能。–每个补丁都有编号。例如补丁号为101945，版本是34的话，这个补丁的目录名就是101945-34•patchadd命令用于安装补丁•patchrm用于删除补丁•用patchadd-p命令检查PATCH情况•访问SUN公司专门的补丁网站启动过程•启动有四个阶段–BootPROM阶段;Bootprogram阶段;Kernel初始化阶段;/sbin/init阶段;•系统有多种运行级别，不同的运行级别所启动的服务不同。•改变运行级别–Who-r命令查看运行级别;Init命令用于改变操作系统的运行级别;shutdown命令用于改变操作系统运行级别;halt命令进入0运行级别;poweroff命令关闭系统并切断电源;reboot命令重新启动系统;12用户及用户组管理•UIDs（用户ID）与GIDs（用户组ID）•/etc/passwd文件记录了系统的用户帐号的信息•/etc/group文件记录了系统的用户组的信息格式•id命令用于查看用户的id号（用户号）•su命令用户改变当前的用户。•查看登录状态–命令who、finger、last可以查看用户登录状态。13用户及用户组管理•可以用admintool图形工具增加、更改、删除用户和用户组的属性•命令行方式•一个用户帐号至少应该包括以下信息:–Username.用户用它来进行系统登录–password.一组秘密的字符串，在用户进行系统登录时，必须输入口令。–User’shome-directory用户登录后的当前目录–User‘’sinitializationfiles-一些shellscript文件，当用户簦录后，用来设置用户的工作环境。14初始化文件管理•用户的初始化文件是一些命令脚本和shell参数•如当一个具有BourneShell的用户登陆系统后，系统将首先自动运行/etc/profile这个初始化脚本，然后运行用户目录下的.profile初始化脚本。•当创建一个BourneShell的用户时，系统会自动把/etc/skel/local.profile这个文件拷贝到用户主目录下。15进程控制•使用ps命令显示系统正在运行的进程•要查找某进程–#ps-ef|grepprocess_name•使用Kill命令给进程发送一个信号。Kill命令一般用于结束系统的某个进程。–用户只能结束自己启动的进程。超级用户可以结束任何一个进程16磁盘配置和命名•Solaris下，一个磁盘包含8个分区，标记为0－7。•逻辑设备名与物理设备名•实例名是系统设备的简称。dmesg命令鉴别系统所连接的设备。以实例和物理设备名称的方式显示。•prtconf用于显示系统的配置信息，包括内存、外围设备等。•当在系统中增加新设备时，需要重新配置系统的硬件信息。17磁盘、分区和格式化•磁盘卷标，也叫磁盘卷内容表（VTOC）•把一个磁盘分区的步骤：–格式化(format);选择一个磁盘;修改分区;标记分区;•显示某个磁盘的分区状况:–prtvtoc命令18文件系统介绍•文件系统的定义–磁盘文件系统–网络文件系统–内存文件系统–流分区与块分区•文件系统维护–Newfs命令创建文件系统;fsck命令用于检测文件系统是否出错;df命令查看已挂接的文件系统使用状况;du命令显示某个目录下文件的占用磁盘空间的情况：19文件系统挂接•挂接就是将分离的文件系统附加到文件系统分成结构中。•/etc/vfstab文件中的文件系统将自动挂接•Mount挂接文件系统•umount卸载文件系统•挂接实例–增加一个新的硬盘–光驱、软驱的使用–忘记ROOT密码的处理20网络文件系统•NFS即网络文件系统，是UNIX系统直接用以共享文件的协议。•NFS客户机与服务器•share命令与unshare命令•dfshares命令用以查看服务器的共享资源•dfmounts命令服务器上查看共享资源被利用的状况•用mount命令挂接远程网络文件系统21数据的备份和恢复•备份前的准备工作–重新启动系统到单用户状态，或将要备份的文件系统卸载下来–通知所有用户该文件系统不可用（使用wall命令）。–对文件系统进行检查（fsck）。•ufsdump命令•ufsrestore命令•tar命令22网络管理:网络地址和掩码•/etc/hostname.interface文件•/etc/hosts文件与/etc/netmasks文件•ifconfig命令–检测网络端口状态;–配置网络端口地址–配置网络端口是否可用•ping命令–检测网络状态–测试网络速度23网络管理:网络服务•/etc/services文件–网络服务协议的端口号和网络协议的服务类型•/etc/inetd.conf文件–文件中每一项都由服务名及其相关的端口号、传输协议提供者组成。有些服务可以在TCP和UDP上都可以运行。这时，此服务被列出两次。24网络管理:路由和网关•/etc/defaulrouter文件–该文件保存了缺省路由得信息。系统安装时并没有该文件，是用户自己创建的。文件内容是缺省路由的地址。•/etc/gateways文件:路由表文件•route命令•查看路由表#netstat-r命令25网络管理:DNS客户端的设置•/etc/resolv.conf文件记录DNS服务器的地址和域名•/etc/nsswitch.conf文件记录主机名的搜索顺序等信息•nslookup命令–用于查询DNS服务器–用于验证客户端的设置–用于下载DNS数据库26网络管理:DNS服务器•起动DNS服务•配置文件/etc/named.boot•DNS数据文件•DNS客户端配置27网络管理:电子邮件•客户端–Outlook，foxmail，pine，Netscape等•服务器–Sendmail•配置文件Sendmail.cf–Qmail–IMailServer我公司的AC_STAR产品(管理方便,内置反病毒引擎)28网络管理:服务•客户端–IE,netscape,opera•服务器–Apache•FTP服务器–Wu-FTPd•支持断点续传、支持传输时进行压缩、系统和目录消息、目录别名和增强的日志等。29SUN公司的产品•硬件–工作站：UltraSPARC/Baland–服务器：Enterprise/Fire–存储：外接硬盘、阵列、SAN、数据备份–外围设备等30SUN公司的产品•软件–Solaris操作系统–开发工具–电子商务–存储–电信管理网络–SUNONE架构–JAVA31SUN公司的产品•解决方案–电子商务–视频–INTERNET服务–数据安全–JAVA32ToBeContinued…课间休息33系统安全：一个经验定义•安全就是“避免冒险和危险”•未授权的使用者访问信息;•未授权而试图破坏或更改信息;安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力34系统安全的分类••保密性（Confidentiality）—确保信息不被非授权用户访问。••完整性（Integrity）—确保信息不被未授权用户更改，但对授权用户开放。••确定性（Authentication）—确保用户就是它所声明的使用者。35主要关注方面•系统安全—用户访问和确认控制，授权，维护文件和文件系统完整，备份，监测进程，日志保存和审计。•网络安全—保护网络和远程通信设备，保证网络服务器和传输，反窃听，控制从不可信网络上的访问，防火墙和监测侵入。36制定安全规划•好的安全管理开始于合理的规划•开发一个安全策略和规划的第一步是通过分析系统面临的危险来产生一个安全评价。37危险评估:•哪些需要保护；•它们有多大价值；•要使它抵御哪些危险；•怎样来保护。还可进行一定的成本-收益分析38一个UNIX安全模型•系统防御有三个传统方法：–分散，使损失最小化；–冗余，在一部分损坏的情况下仍能保证正常系统操作；–多层防御，使攻击者在破坏系统关键部分之前要征服一系列的堡垒[3]。39UNIX安全模型图示最内层是文件系统安全：最外层的边界是网络安全：道德观念系统管理员的角色的重要性40帐号安全基础•为什么要求帐号安全•选择安全的口令–口令禁忌;好的口令;写下口令•管理帐号–缺省帐号;共享帐号;禁用或删除帐号;保护root;附加的帐号控制;受限环境41巩固帐号安全•加强口令安全–策略传播;进行口令检查;产生随机口令;口令更新;预先进行口令检查•影子口令文件–/etc/shadow剖析;设置影子口令•算法改进–扩充密码;可选的算法•一次性口令42文件系统安全•UNIX文件系统–文件系统基础;文件系统结构;文件系统类型•文件权限–chmod命令;umask值;SUID/SGID•加密;维护文件系统完整性•美国出