20-系统增强技术.pdfVIP

第20讲 系统增强技术 陈伟 Email: chenwei@ Tel: 2009-12-23 1 课程内容 课程内容 1 操作系统安全增强 2 特定应用服务安全增强 3 举例 4 小结 2 2009-12-23 操作系统的安全 操作系统的安全 操作系统是网络系统的基础，其安全在网络中举 足轻重 提高操作系统的安全性有两种方法 1.开发一个全新的安全操作系统 2.对操作系统进行增强与改进 • 特别针对开放源代码的操作系统，如FreeBSD, Linux 3 2009-12-23 打好补丁与最小化服务 打好补丁与最小化服务 每个系统都打上供应商提供的安全补丁与升级程 序 取消一切用不着的服务 大多数操作系统在缺省安装时都不是很安全， 可能激活全部的功能 • Web服务 • FTP服务 • 文件服务 • …… 4 2009-12-23 增强用户认证和访问控制 增强用户认证和访问控制 实施最小权限原则 明确用户权限，严格控制用户的访问权限 只要用户能够完成他们的日常工作，就不再多 给他们一分权限 正确分配文件与子目录的访问权限 即使利用某些漏洞穿透网络，想偷看机密文件 或扩大特权，也不那么容易 5 2009-12-23 具体措施 具体措施 用LIDS加固Linux（Linux Intrusion Detection System） 一种Linux系统内核增强补丁程序，应用了安全参 考监视器和强制访问控制MAC 目前系统存在的漏洞 文件系统没有在保护之下 进程没有在保护之下 系统管理也没有在保护之下 Root权限往往过大 6 2009-12-23 LIDS LIDS 使用了LIDS后，系统能够保护重要的系统文件、 重要的系统进程，并能阻止对系统配制信息的改 变和对裸设备的直接读写操作 加强了内核的安全性，在内核中实现了参考监视 器以及强制访问控制 文件访问 系统/网络的管理操作 设备、内存、输入、输出等操作权限都可以受 到限制 7 2009-12-23 LIDS的特点 LIDS的特点 防护：能保护重要的文件、进程和设备不被非授 权的人改动，包括非授权的ROOT 监测：在内核中提供扫描监测，检测谁在扫描你 的系统 响应：能及时将必要的信息记在日志文件中 8 2009-12-23 TCP Wrapper TCP Wrapper TCP Wrapper是一个GNU的自由软件包，可