新UNIX基础教程（第二版） 教学课件 978 7 302 15440 2 chapter10.pptVIP

第10章 UNIX安全机制 主要内容 计算机系统安全的主要威胁 用户安全，包括用户安全的基本概念安全管理的基础知识 文件系统安全 设备访问安全 防火墙的基本知识 用户的安全意识 系统管理员的职责 10.1 系统安全的必要性 计算机信息系统的脆弱性 安全威胁 UNIX系统的安全管理 防止未授权存取 防止泄密 防止用户拒绝系统的管理 防止丢失系统的完整性 10.2 用户安全性 口令保护 文件保护 目录许可 使用umask命令 设置用户ID和同组用户ID许可 文件加密 10.2 用户安全性 口令保护 UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息（加密后的口令也可能存于/etc/shadow文件中）。 /etc/passwd中包含有用户的登录名、经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户所用的shell程序。其中用户号（UID）和用户组号（GID）用于UNIX系统唯一地标识用户和同组用户及用户的访问权限。 /etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较，符合则允许登录，否则拒绝用户登录。用户可用passwd命令修改自己的口令，不能直接修改/etc/passwd中的口令部份。 10.2 用户安全性 文件保护 文件属性决定了文件的被访问权限，即谁能存取或执行该文件。用ls -l可以列出详细的文件信息，如： -rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin 包括了文件许可、文件联结数、文件所有者名、文件相关组名、文件长度、上次存取日期和文件名。 10.2 用户安全性 目录许可 在UNIX系统中，目录也是一个文件，用ls -l列出时，目录文件的属性前面带一个d，目录许可也类似于文件许可，用ls列目录要有读许可，在目录中增删文件要有写许可，进入目录或将该目录作路径分量时要有执行许可。 故要使用任一个文件，必须有该文件及找到该文件的路径上所有目录分量的相应许可。仅当要打开一个文件时，文件的许可才开始起作用 。 10.2 用户安全性 umask命令 此命令，前面章节中已经有详细的解释，此处就不再赘述，仅仅一带而过。umask设置用户文件和目录的文件创建缺省屏蔽值，若将此命令放入.profile文件，就可控制该用户后续所建文件的存取许可。 10.2 用户安全性 设置用户ID和同组用户ID许可 用户ID许可（SUID）设置和同组用户ID许可（SGID）可给予可执行的目标文件（只有可执行文件才有意义），当一个进程执行时就被赋于4个编号，以标识该进程隶属于谁，分别为实际和有效的UID，实际和有效的GID。有效的UID和GID一般和实际的UID和GID相同，有效的UID和GID用于系统确定该进程对于文件的存取许可。 10.2 用户安全性 cp、mv、ln和cpio命令 cp拷贝文件时，若目的文件不存在则将同时拷贝源文件的存取许可 mv移文件时，新移的文件存取许可与原文件相同，mv仅改变文件名。 ln为现有文件建立一个链 cpio命令用于将目录结构拷贝到一个普通文件中 10.2 用户安全性 su和newgrp命令 su命令可不必注销户头而将另一用户又登录进入系统，作为另一用户工作。它将启动一新的shell并将有效和实际的UID和GID设置给另一用户，因此必须严格将root口令保密。 newgrp命令与su相似，用于修改当前所处的组名。 10.2 用户安全性 文件加密 crypt命令可提供给用户以加密文件，使用一个关键词将标准输入的信息，编码为不可读的杂乱字符串，送到标准输出设备。再次使用此命令，用同一关键词作用于加密后的文件，可恢复文件内容。 一般来说，在文件加密后，应删除原始文件，只留下加密后的版本，且不能忘记加密关键词。在vi中一般都有加密功能，用“vi –x”命令可编辑加密后的文件。 10.3 文件系统安全 UNIX文件系统概述 对于文件系统，在第4章中有专门的讲述，这里简单补充一下。UNIX文件系统是UNIX系统的心脏部分，提供了层次结构的目录和文件。文件系统将磁盘空间划分为每1024个字节一组，称为块（block） 全部块可划分为四个部分：块0称为引导块，文件系统不用该块；块1称为专用块，专用块含有许多信息，其中有磁盘大小和全部块的其它两部分的大小。从块2开始是索引节点表，索引节点表中含有索引节点。 表的块数是可变的，。 10.3 文件系统安全 设备文件 UNIX系统与连在本系统上的各种设备之间的通讯，通过特别文件来实现，就程序而言，磁盘是文件、MODEM是文件，甚至内存也是文件。 所有连接到系统上的设备都在/dev目录中有一个文件与其对应。当在这些文件上执行I/O操作时，由UNIX系统将I/O操作转换成实际