CISP0206系统安全.ppt.ppt

系统安全;课程内容;知识域：操作系统安全;;底层硬件设备;硬件：CPU、内存、硬盘、网络硬件等;;程序、进程和线程;进程调度;系统调用和CPU特权级;;操作系统基本概念;操作系统层次;操作系统基本功能;*;操作系统基本组成;知识域：操作系统安全;;Unix/Linux系统架构;;;服务就是运行在网络服务器上监听用户请求的进程 服务是通过端口号来区分的 常见的服务及其对应的端口 ftp : 21 telnet : 23 http(www) : 80 pop3 : 110;在UNIX系统中, 服务是通过inetd 进程或启动脚本来启动 通过 inetd 来启动的服务可以通过在/etc/inetd.conf 文件中注释来禁用 通过启动脚本启动的服务可以通过改变脚本名称的方式禁用;1. inetd超级服务器 inetd 的功能 inetd 的配置和管理 2. 服务的关闭 关闭通过inetd启动的服务 关闭独立启动的服务 3. inetd 的替代品 xinetd() xinetd 比inetd更多管理功能 xinetd 的配置;;;PC启动 Intel CPU进入实模式 开始执行0xFFFF0（ROM—BIOS）处的代码 BIOS 自检 初始化位于地址0 的中断向量表 BIOS将启动盘的第一个扇区装入到0x7C00， 并开始执行此处的代码 完成内核的初始化;UNIX引导过程概述;内核活动;内核引导的自发进程;BSD “起始”（start-up)脚本;SYSV “开始” (start-up)脚本;底线;Init控制引导进程;1、基本系统配置;2、开始网络服务;3、开始NFS守护进程;4、运行系统其他进程;;文件系统目录结构;常见目录用途;常见目录用途;文件类型;Unix文件系统的权限;文件模式位;UNIX文件权限模式数学字表示;文件、目录隐含模式;setuid和setgid;; ls -l 命令可以来显示文件名与特性。 下面信息的第一栏可以表明文件类型和该文件赋予不同组用户的权限;1. chmod — 改变文件权限设置。 2. chgrp — 改变文件的分组。 3. chown — 改变文件的拥有权。 4. Chattr — 设置文件属性;umask;;选择复杂口令的意义:;如何选择口令?;如何保管好自己的口令?;条目的格式: name:coded-passwd:UID:GID:userinfo:homedirectory:shell 2. 条目例子: jrandom:Npge08fdehjkl:523:100:J.Random:/home/jrandom:/bin/sh 3. 密文的组成 Salt + 口令的密文 Np ge08fdehjkl;1. 伪用户帐号 通常不被登录，而是进程和文件所有权保留位置，如bin、daemon、mail和uucp等。 2. 单独命令帐号 如date、finger 、halt等帐号。 3. 相应策略 检查/etc/passwd文件，确保口令域中是 “*”，而非空白。 4. 公共帐号 原则上每个用户必须有自己的帐号，若一个系统必须提供guest帐号，则设置一个每天改变的口令。最好是设置受限shell,并且做chroot限制.;1.禁用帐号 在/etc/passwd文件中用户名前加一个“#”，把“#”去掉即可取消限制。 2. 删除帐号 a) 杀死任何属于该用户的进程或打印任务。 b) 检查用户的起始目录并为任何需要保存的东西制作备份。 c) 删除用户的起始目录及其内容。 d) 删除用户的邮件文件(/var/spool/mail)。 e) 把用户从邮件别名文件中删除(/etc/sendmail/aliases)。;除非必要，避免以超级用户登录。 严格限制root只能在某一个终端登陆，远程用户可以使用/bin/su -l来成为root。 不要随意把root shell留在终端上。 若某人确实需要以root来运行命令，则考虑安装sudo这样的工具，它能使普通用户以root来运行个人命令并维护日志。 不要把当前目录(“ . /”)和普通用户的bin目录放在root帐号的环境变量PATH中。 永远不以root运行其他用户的或不熟悉的程序; 除了包含用户名和加密口令还包含以下域： 1. 上次口令修改日期。 2. 口令在两次修改间的最小天数。 3. 口令建立后必须修改的天数。 4. 口令更改前向用户发出警告的天数。 5. 口令终止后被禁用的天数。 6. 自从1970/1/1起帐号被禁用的天数。 7. 保留域。 示例： root:*:10612:0:99999:7:::;;为什么要启用审计;如何启用审