《网络信息安全》_14826.pptVIP

《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ 1. 开始引导装入程序(boot loader) 2. 内核初始化并运行内核程序 3. 开始其他系统 “自发的” 进程 4. 运行系统起始脚本 ? 最初的引导环境通常是储存在NVRAM 设备中，并在开机的时候读入内存 ? NVRAM 引导装入程序触发初始引导模块（Boot block）里的程序，进行引导初始化 ? Boot block 装载入更大的程序块，引导Unix 内核程序 1. 识别CPU体系结构并初始化 2. 计算物理内存并初始化虚拟内存系统 3. 为内部结构分配内存 4. 探测系统设备，配置它们和初始化它们 “自发” 进程是内核通过特别机制创建的 这些进程通常用来控制进程调度安排和 VM system 它们不是存在于文件系统中可执行的进程，而是真正的内核代码 INIT 进程开始并引导系统运行开始脚本 ? init 运行 shell 脚本 /etc/rc: – Mounts 本地文件系统 – 初始化网络接口 – 开始系统daemon程序 ? /etc/rc 运行 /etc/rc.local 中的特定系统服务程序 ? /etc/rc.conf 脚本用来告诉系统在引导时运行哪些服务 init程序依据设定运行级别运行相应的“开始”级别脚本: S – 系统启动配置 2 – 初始化网络配置，启动系统daemon程序 3 – 输出文件系统，启动本地daemon进程 运行级别0是中止系统，运行级别6是重新引导系统 启动脚本存放在 /etc/init.d目录中 通常一个脚本对应一个daemon进程或者一项配置任务 这些脚本都可以带有“start”或“stop”参数– 这样当系统down的时候，可以很好地关闭打开的进程 每一个运行级别都对应一个/etc/rc*.d目录 /etc/rc*.d中的链接文件的原文件是/etc/init.d目录中文件 链接文件命名方式是 S nn… (脚本运行使用“start” 参数）或者 K nn… (脚本运行使用“stop”参数) nn代表脚本运行的顺序 管理员可以控制在系统引导结束后运行哪些服务 对于BSD系统, 编辑/etc/rc.conf (或者去掉/etc/rc*中注释标记) 对于SYSV系统, 删除 (或者重命名) 在 /etc/rc*.d目录中的链接文件 1. 基本系统配置 2. 开始网络服务 3. 开始NFS守护进程 (NFS是一个流行的通过TCP/IP网络共享文件的协议 ) 4. 运行系统其他守护进程 5. 提供X界面登录的窗口 ? 装载root文件系统－包括关键程序和配置文件 ? 配置网络接口 ? 装载其他文件系统，其中一些可能是从网络装载 DNS服务－只在有DNS服务的机器上运行 Portmapper (rpcbind )– 基于RPC服务的主控守护进程 NIS/NIS+– 基于RPC的网络信息数据库 Syslog– 系统日志进程 inetd – 运行其他网络服务的“meta” 守护进程 NFS 客户端进程: lockd – NFS 文件锁定系统 statd – 在系统重引导后解锁进程 NFS 服务器端进程: mountd – 服务器响应客户请求 nfsd – NFS I/O 进程 Automounter (amd or automountd) ? cron – 在事先设定好的时间运行的后台进程 ? Sendmail – 邮件服务进程 ? 其他服务进程 – NTP、 SNMP、 HTTP、“volume managers”、local services …… 使用chmod命令修改文件权限: chmod 666 myfile chmod 1777 /tmp 使用umask命令设置文件默认权限 umask 022 umask 077 Unix系统使用一个单向函数crypt()，来加密用户的口令。单向函数crypt()从数学原理上保证了从加密的密文得 到加密前的明文是不可能的或是非常困难的。当用户登录时，系统并不是去解密已加密的口令，而是将输入的口令明文字符串传给加密函数，将加密函数的输出与 /etc/passwd文件中该用户条目的PASSWORD域进行比较，若匹配成功，则允许用户登录系统。 Crypt()的加密算法基于资料加密标准DES，它将用户输入的口令作为密钥，加密一个64bit的0/1串，加密的结果又使用用户的口令再次加密；重复该过程，一共进行25 次。最后的输出为一个11byte的字符串，存放在/etc/passwd的PASSWORD域。 Morris和Thompson 修改了crypt()函数的实现。现在Unix系统中使用的加密函数原型如下： Char *crypt(char