第2章-操作系统安全教案分析.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 优秀的硬件保护特性是高效、可靠的操作系统的基础。计算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。其中，基本安全机制包括存储保护、运行保护、I/O保护等。但在建立一个安全的操作系统时，并不过多地涉及专门而又复杂的硬件环境。 为了防止未授权人员对计算机资源的非法存取，操作系统提供了两道防线，一是通过标识与鉴别将非法人员拒于系统之外，二是通过合理强度的存取控制机制防止非授权人员对系统信息的非法访问。最小特权管理则是，为使系统能够正常运行，就必须 3.8 本章小结 让某些进程能够恰当地违反系统的安全策略，但又不应该给予其超过执行任务所需特权以外的特权。可信通路避免了特洛伊木马假冒登录进程窃取用户口令的风险。安全审计则通过记录日志信息，捕捉潜在的隐患和事后追查违反安全的当事人，保障系统的正常运行。 本章同时也比较系统地介绍了UNIX/Linux的安全机制，目的在于使读者对通常意义上的UNIX/Linux系统的安全机制有一个比较全面的理解，认识到这些安全机制的构成和不足之处。 1. Linux系统中运行状态分为用户态和核心态两种，所有的I/O指令只能通过系统调用进入核心态才能使用。因此，基于Linux内核中的程序可以对用户的请求进行完备的存取控制。为什么？ 2. 在安全操作系统中，对于用户的标识与鉴别需要注意哪些问题？请设计一个用户登录的模拟流程。 3. 自主存取控制与强制存取控制是安全操作系统常用的两种存取控制机制，请分别简述两种存取控制的基本内容以及它们之间的异同点。 3.9 习题 4. 在自主存取控制中常有几种表达访问控制信息的方式？分别简述它们的主要内容并且分析各自的优缺点。 5. 为什么在实现了强制存取控制的不同系统中，存取控制的主/客体范围、控制规则可能会有所不同？ 6. 在一个安全操作系统中，特权的设置与存取控制机制的关系是怎样的？ 7. 在一个没有提供可信通路的系统中，如何模拟实现一个特洛伊木马？请给出其流程，并说明如何通过可信通路机制来限制它。 8. 在一个安全操作系统中，审计日志空间满了以后怎么办？请给出几种可行的设计思路。 9. 找一套最新版本的Linux系统，实际测试一下其所提供的安全功能。 * * * * * * * * * * * * * * * * * * * * * * * * * * * 如果需要审计，则设置审计状态和分配内存空间。在程序的出口处审计点收集审计内容，包括操作的类型、参数、结果等，如图3-9所示。 图3-9 审计过程 一般情况下，审计在系统开机引导时就会自动开启，审计管理员可以随时关闭审计功能。 审计系统不必每次有一条记录时就立即写入审计日志文件中，可在系统中开辟一片审计缓冲区。 系统审计员可以文档或报告的形式打印出审计信息，供各种分析需要，这种信息是可以由审计员根据自己的需要进行选择的。同时，可以在认为没有必要保留的前提下，删除任何一个审计日志文件，也可以将这些日志文件转存在除硬盘之外的存储媒体上，以节省系统磁盘空间。 UNIX是一种多用户、多任务的操作系统。UNIX的设计宗旨是要考虑安全的。当然UNIX 中仍然存在很多安全问题，其新功能的不断纳入及安全机制的错误配置或错误使用，都可能带来很多问题。 UNIX操作系统借助以下4种方式提供服务功能。 ● 系统调用: 用户进程通过UNIX API的内核部分——系统调用接口，显式地从内核获得服务。内核以调用进程的身份执行这些请求。 ● 异常: 进程的某些不正常操作，诸如除数为0，或用户堆栈溢出将引起硬件异常。异常需要内核干预，内核为进程处理这些异常。 3.7 UNIX/Linux的安全机制 ● 中断: 内核处理外围设备的中断。设备通过中断机制通知内核I/O完成状态变化。内核将中断视为全局事件，与任何特定进程都不相关。 ● 由swapper和pagedaemon之类的一组特殊的系统进程执行系统级的任务。比如控制活动进程的数目或维护空闲内存池。 系统具有两个执行态: 核心态和用户态。运行内核中程序的进程处于核心态，运行核外程序的进程处于用户态。系统保证用户态下的进程只能存取它自己的指令和数据，而不能存取内核和其他进程的指令和数据，并且保证特权指令只能在核心态执行，像中断、异常等在用户态下不能使用。用户程序可以通过系统调用进入核心，运行完系统调用再返回 用户态。系统调用是用户在编写程序时可以使用的界面，是用户程序进入UNIX