信息安全技术教程第五章

系统安全操作系统安全基础操作系统的安全要素用户认证(Authenticationofusers)存储器保护(ProtectionofMemoW)文件和I／0设备的访问控制(FileandI／0DeviceAccessContr01)对一般目标的定位和访问控制共享的实现保证公平服务内部进程间通信的同步操作系统安全等级从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径和可信恢复等十个方面将计算机信息系统安全保护等级划分为五个安全等级：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访问验证保护级。Windows系统安全几个组件的概念：安全标识符(Securityldentifiers，简称SID)访问令牌(AccessTokens)安全描述符(SecurityDescriptors)访问控制列表(AccessControlLists，简称ACL)访问控制项(AccessControlEntries)Windows系统帐号管理本地帐户的安全建议：禁用Guest帐号(来宾帐号)更改Administrator帐号名用户账户命名规则用户名应为1到20个字符用户名不能与指定计算机上存放的所有其他用户名或组名相同用户名不能包含下列字符：/\[]：；|=,+*?用户名不能只由句点和空格组成Windows系统帐号管理（续）(1)Administrators(管理员)(2)PowerUsers(特权用户)(3)Users(用户)(5)Replicators(复制员)：该组成员被严格地用于目录复制，可以设置一个帐号用于执行复制器服务；(6)BackupOperators(备份操作员)：该组的成员具有备份和恢复文件的权限，无论是否有访问这些文件的权限。Windows密码设置管理注：密码要符合强壮密码的要求安全策略你怎么定义保密的和敏感的信息？你想重点防范哪些人？远程用户有必要访问你的系统吗？系统中有保密的或敏感的信息吗？如果这些信息被泄漏给你的竞争者和外面的人有什么后果？口令加密能够提供足够的安全保护吗？你想接受Internet的访问吗？你允许系统在Internet上有多大的访问量？如果发现系统被黒客入侵了，下一步该怎么做？操作系统的安全级别D级C1级C2级B1级B2级B3级A级没有安全性可言，例如MSDOS不区分用户，基本的访问控制有自主的访问安全性，区分用户标记安全保护，如SystemV等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，并提供B3级安全手段操作系统安全级别SCOOpenServeC2LinuxC2WindowsServer2003/2000C2SalorisC2DOSDUnixWare2.1/ESB2Linux中的用户和组用户账户Linux中用户账户可分为3类超级用户（root拥有系统所有用户中最高的权限，因此root的密码一定要保密，以防他人利用root的高级权限危害系统）系统用户（没有宿主目录和口令，也不能登录系统；主要是为了满足相应的系统进程对文件属主的要求而建立的）普通用户（不能参与系统的管理，可以管理自己的个人设置和配置）用户组Linux中，当添加新用户时，若未指定所属组，那么将为其建立同名字的组用户帐号相关文件和目录用户帐号信息保存在passwd文件中/etc/passwd用户的加密口令保存在shadow文件中/etc/shadow用户的宿主目录是home目录中与用户名称相同的目录/home/teacher用户的初始配置文件来在skel目录（配置模版）/etc/skelpasswd文件分析（/etc/passwd)root:x:0:0:root:/root:/bin/bash帐号名称：帐号名称用于对应UID，例如root就是默认的系统管理员帐号名称；密码：用户的密码信息，由于安全问题被存放到了shadow文件；UID：用户的识别码，通常linux对uid有几个限制:0系统管理员；1~499系统预留的id；500~65535供一般用户使用；GID：与/etc/group有关，用来识别群组；说明:用来解释该帐号的意义；根目录：该用户的根目录，也就是该用户的宿主目录；其他用户的根目录为/home/youridname；Shell：shell是人跟计算机沟通的界面，定义该帐号登录系统后的默认shell；如果这个字段为空默认选择/bin/sh作为用户登录shell用户帐户的配置文件shadow文件解析(/etc/shadow)root:$1$sD4qslI7$HX3BAkcgPgLoKZa14WLOf0:13870:0:99999:7:::帐号名称：和/etc/passwd对应的登录帐户字段一致密码：如果该项为*，表示该用户不会被用来登入；上次更改密码的日期：从1970.1.1算起；最小时间间隔：如果是0，表示可随时更改；最大时间间隔:如果是99999表示不需重设密码；警告期：从系统开始警告到口令正式失效的天数宽限期限：帐号在此字段规定天数之后将无法再使用；失效日期：指示口令失效的绝对天数（从1970年1月1日开始计算）保留：暂时没有定义；用户帐户密码的保存位置组的帐户保存位置/etc/grouproot:x:0:root组名：组的名字密码：该组的密码。为了安全起见，同样要使用安全信息文件。组的安全信息文件为/etc/gshadow组ID:组的标示符，为正整数，与UID类似500以后用户列表：该组包含的用户账户，每个账户之间用逗号（，）分隔相关文件（续）/etc/gshadowroot:::root组名：组的名字密码：为这个组创建的密码组管理员：该组的管理员账号组成员：该组包含的用户帐户/etc/default/useradd（当创建新的帐户时，会使用到这个文件中的默认设置，改变它会影响到所有新用户的默认设置）GROUP=100默认用户群组为100，查看/etc/group时，这个群组名称为usersHOME=/home用户的宿主目录存在的位置INACTIVE=-1是否启用帐户过期停权，为-1时表示不启动EXPIRE=帐户终止日期，格式为YYYY-MM-DD，该日期经过计算被映射到/etc/shadow中的失效时间字段，不设置表示不启用SHELL=/bin/bash默认shellSKEL=/etc/skel用户根目录的内容/etc/login.defsMAIL_DIR/var/spool/mail邮件默认目录存放处PASS_MAX_DAYS99999密码需要变更的时间PASS_MIN_DAYS0密码多久需要变更PASS_MIN_LEN5密码的最小长度,不会影响到超级用户，但却对每个普通用户起作用PASS_WARN_AGE7密码快要失效之前的几天发出警告信息UID_MIN500默认帐号起算的最小uid数（最小为500）UID_MAX60000最大的uid限制GID_MIN500Gid的限制GID_MAX60000Gid的限制CREATE_HOMEyes是否建立根目录，默认要建立根目录影子密码基本信息的文件。这里的大部分会影响到/etc/shadow文件中相应字段#grep–v–E‘^#|^$’/etc/login.defs帐号管理命令（1）useradd作用：添加帐户语法：[root@linux~]#useradd[-uuid][-ggid][-dhome][-mM][-sshell]username参数说明：-u:直接给出一个uid-g:直接给出一个gid-d:直接将其根目录指向已经存在的目录（系统不会再建立）-M:不建立家目录-s:定义其使用的shell实例:[root@linux~]#useradd-u600-g100-M-s/bin/bashtest[root@linux~]#usermod-s/sbin/nologintom[root@linux~]#usermod-s/bin/bashtom帐号管理命令（2）userdel作用:删除帐户语法:[root@linux~]#userdel[-r]username参数说明：-r:删除帐户同时删除宿主目录帐号管理（3）usermod功能:用于修改用户的属性语法:root@linux~]#usermod[选项]username参数说明:-g设置欲使用的组ID号-L暂时将使用者的密码冻结-U解除帐户锁定状态-c修改帐户说明-d修改帐户的家目录-s:定义其使用的shell-G：设置把用户加入组，用“，”分隔的多个组名，可以使用户成为多个组的成员（-G）实例：usermod-c“Thisistestredcatusermod-Lredcatusermod-Uredcatusermod-g500redcatusermod-G0redcatusermod-s/sbin/nologintomusermod-s/bin/bashtom帐号管理命令（3）passwd作用:设置指定帐户的口令语法:[root@linux~]#passwd[-S][-l][-u][-d]username参数说明:-S:查看帐户口令的状态-l:锁定帐户的口令-u:解锁帐户的口令-d:删除帐户的口令组的管理命令（1）groupadd功能:添加组语法:[root@linux~]#groupadd[-ggid[-o]][-r][-f]group参数说明：-g:指定组ID号-o:允许组ID号，不必惟一-r:加入组ID号，低于499系统账号组的管理（2）groupdel功能:删除组注意:已经存在用户的主组不允许被删除语法:root@linux~]#groupdelgroup查看文件属性#ls-linstall.log-rw-r--r--1rootroot26195Dec1710:42install.log权限表示权限项读写执行读写执行读写执行字符表示(r)(w)(x)(r)(w)(x)(r)(w)(x)数字表示421421421权限分配文件所有者文件所属组用户其他用户文件权限（-rw--r--r--）基本知识（续）权限规则小结权限读（r）写（w）执行（x）目录读目录内容在目录中用命令添加或删除文件引用或者移动至目录文件读或复制目录中的文件修改或删除文件运行可执行文件使用chmod命令更改文件属性chmod命令用于更改文件对于某类用户的操作权限；-R选项递归修改chmod[ugoa...][[+-=][rwx]FILE...设置权限的对象，可以是用户、组、其他人或所有人属性操作符+增加权限-减少权限=设置权限为权限内容，可以是读、写、执行权限的组合被设置属性的文件或目录权限的修改8进制数字法rwxr-xr--111101100二进制421401400↓754八进制例子#chmod777testfile#chmod760testfile注意：与符号标记法不同，8进制数字需要同时设置各个权限，不能只设置其中一个或两个权限，而让其他权限保持不变。管理本地文件文件和目录的属性决定了文件和目录的被访问权限，即谁能存取或执行该文件。在linux中，按照对文件的拥有权把用户分为三种：属主，属组和其他人。命令功能chown改变文件的拥有者;-R选项，递归修改chgrp改变文件的所属群组;-R选项，递归修改NFS简介NFS是在操作系统间实现磁盘文件共享的一种网络方法NFS是一种支持应用程序在客户端通过网络存取位于服务器磁盘中数据的一种网络文件系统协议NFS最早由SUN公司在20世纪80年代开发NFS使用RPC协议负责在客户端与服务端之间做信息交换的维护工作rpc使用固定的111端口来监听客户端的请求文件系统装载挂载命令#mount[options]设备名挂载点参数-a把/etc/fstab文件