信息安全技术教程第五章.pptVIP

系统安全 操作系统安全基础 操作系统的安全要素 用户认证(Authentication o fusers) 存储器保护(Protection of MemoW) 文件和I／0设备的访问控制(FileandI／0DeviceAccessContr01) 对一般目标的定位和访问控制 共享的实现 保证公平服务 内部进程间通信的同步 操作系统安全等级 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径和可信恢复等十个方面将计算机信息系统安全保护等级划分为五个安全等级： 第一级，用户自主保护级； 第二级，系统审计保护级； 第三级，安全标记保护级； 第四级，结构化保护级； 第五级，访问验证保护级。 Windows系统安全 几个组件的概念： 安全标识符(Security ldentifiers，简称SID) 访问令牌(AccessTokens) 安全描述符(Security Descriptors) 访问控制列表(Access Control Lists，简称ACL) 访问控制项(Access Control Entries) Windows系统帐号管理 本地帐户的安全建议： 禁用Guest帐号(来宾帐号) 更改Administrator帐号名 用户账户命名规则 用户名应为1到20个字符 用户名不能与指定计算机上存放的所有其他用户名或组名相同 用户名不能包含下列字符：/ \ [ ] ：； | = , + * ? 用户名不能只由句点和空格组成 Windows系统帐号管理（续） (1)Administrators(管理员) (2)PowerUsers(特权用户) (3)Users(用户) (5)Replicators(复制员)：该组成员被严格地用于目录复制，可以设置一个帐号用于执行复制器服务； (6)BackupOperators(备份操作员)：该组的成员具有备份和恢复文件的权限，无论是否有访问这些文件的权限。 Windows 密码设置管理 安全策略 你怎么定义保密的和敏感的信息？ 你想重点防范哪些人？ 远程用户有必要访问你的系统吗？ 系统中有保密的或敏感的信息吗？ 如果这些信息被泄漏给你的竞争者和外面的人有什么后果？ 口令加密能够提供足够的安全保护吗？ 你想接受Internet的访问吗？ 你允许系统在Internet上有多大的访问量？ 如果发现系统被黒客入侵了，下一步该怎么做？ 操作系统的安全级别 Linux中的用户和组 用户账户 Linux中用户账户可分为3类 超级用户（root拥有系统所有用户中最高的权限，因此root的密码一定要保密，以防他人利用root的高级权限危害系统） 系统用户（没有宿主目录和口令，也不能登录系统；主要是为了满足相应的系统进程对文件属主的要求而建立的） 普通用户（不能参与系统的管理，可以管理自己的个人设置和配置） 用户组 Linux中，当添加新用户时，若未指定所属组，那么将为其建立同名字的组 用户帐号相关文件和目录 用户帐号信息保存在passwd文件中 /etc/passwd 用户的加密口令保存在shadow文件中 /etc/shadow 用户的宿主目录是home目录中与用户名称相同的目录 /home/teacher 用户的初始配置文件来在skel目录（配置模版） /etc/skel passwd文件分析（/etc/passwd) root : x : 0 : 0 : root : /root : /bin/bash 帐号名称：帐号名称用于对应UID，例如root就是默认的系统管理员帐号名称； 密码：用户的密码信息，由于安全问题被存放到了shadow文件； UID：用户的识别码，通常linux对uid有几个限制:0系统管理员；1~499系统预留的id；500~65535供一般用户使用； GID：与/etc/group有关，用来识别群组； 说明:用来解释该帐号的意义； 根目录：该用户的根目录，也就是该用户的宿主目录；其他用户的根目录为/home/youridname； Shell：shell是人跟计算机沟通的界面，定义该帐号登录系统后的默认shell；如果这个字段为空默认选择/bin/sh作为用户登录shell shadow文件解析(/etc/shadow) root:$1$sD4qslI7$HX3BAkcgPgLoKZa14WLOf0:13870:0:99999:7::: 帐号名称：和/etc/passwd对应的登录帐户字段一致 密码：如果该项为*，表示该用户不会被用来登入； 上次更改密码的日期：从1970.1.1算起； 最小时间间隔：如果是0，表示可随时更改； 最大时间间隔: 如果是99999表示不需重设