网络信息对抗资源-肖军模 课件5 第33节UNIX系统的安全分析.pptVIP

课件5 UNIX系统的安全分析 3.3节UNIX系统的安全分析 3.3 UNIX系统的安全分析 UNIX系统的安全模型可以用图3-2描述。从图中可以看出UNIX的安全主要由物理安全、账号安全、文件系统安全和网络安全等四个关键部分组成。下面将分别对其中的账号安全、文件系统安全和网络安全做较详细分析 。 图3-2 一个UNIX的安全模型 3.3.1 账号方面的风险 账号安全是UNIX系统安全机制的“外层”之一，其基本作用是确保用户名/口令能够保护系统。属于普通用户或系统用户的账号都可能被攻击，有时仅通过猜测，有时通过系统的字典攻击，有时是由于粗心大意。如果系统与网络相连，则账号安全在某些窥探者、攻击者或有恶意的人的搜索下是比较脆弱的。 如果是“内部人员”，则可以使用一个用户账号模仿一个合法用户。还可以滥用系统资源，对其他网络进行攻击或试图获得更高的权限。一旦root账号被侵入，系统就“属于”攻击者了。他可以修改任何文件或操作参数，插入恶意代码，为未来攻击增加假用户，然后通过修改日志文件消除痕迹。 一、口令机制 在许多UNIX系统中，口令和其他用户信息保存在/etc/passwd文件中。存入该文件中的口令是通过单向哈希函数编码的。从ATT UNIX版本6开始，Thompson等决定采用一个不同的方式：UNIX口令采用以美国军方M-209密码机为模型的基于旋转的算法来进行编码。这种快速算法被证明对穷尽纯文本搜索有弱点并被ATT UNIX版本7中出现的更先进的crypt()库代替。 1、crypt( )算法的弱点 UNIX口令加密机制源于DES加密体制，它通常使用56位密钥（8个7位字符）加密64位的文本块。传统的UNIX crypt( )函数把用户口令填充到 8个字符，并用每个字符的7位形成一个56位DES密钥。该密钥被用来对64位的零块进行加密。 加密结果再次用该密钥加密—这个过程重复25次。该过程的最终结果被写到一个11个字符的串中并被保存到/etc/passwd文件中，直接从该过程的逆操作恢复是非常困难的。但该编码方式对于字典攻击有弱点。一个巨大的单词集合可以被加密、保存，然后与/etc/passwd中的加密口令进行比较。 为了使基于DES的策略更强壮且能抵御字典攻击，传统UNIX口令机制的设计者增加了“salt”——一个12位数字，在0～4095之间。salt被用来搅乱DES算法，可把一个纯文本口令加密为4096种不同的结果。 图3-3 UNIX口令加密 为了使基于DES的策略更强壮且能抵御字典攻击，传统UNIX口令机制的设计者增加了“salt”——一个12位数字，在0～4095之间。salt被用来搅乱DES算法，可把一个纯文本口令加密为4096种不同的结果。 salt使得使用预编译字典对加密口令进行攻击变得更困难。代替为字典中每个单词做一次单独加密，攻击者现在不得不对字典中每个单词的4096种排列进行加密和储存。在20年前，salt是作为难以逾越的资源障碍引入的，但现在12位salt不再被认为是一种有效的防御方法。 2、口令的弱点 可以使用一个相对简单的公式来评价UNIX口令机制的缺陷： K×C E×T l? K是口令空间的绝对容量。这是一个攻击者侵入特定用户账号所需要搜索的空间。 l? C是一个常量，表示攻击者对一个系统中平均每个用户所要付出的努力。在UNIX策略中，该常量是4096（salt排列数）。 l? E代表DES加密方法中的加密次数/秒。 T是攻击者攻击时所能花费的最多秒数。 在任何情况下，该公式都揭露了一个有关UNIX口令的严重事实：当K和X已二十年未变时，E则因CPU和其他系统组件的发展而在每年戏剧性地增长。更糟的是，不断发展的存储技术使攻击者能事先编译好整个加密字典，这减少了成功攻击所需的时间。 二、账号管理方面的风险 维护账号安全需要对系统和用户账号进行细心的管理。除了上面讨论的口令安全外，还要考虑怎样建立用户名。有些账号需要特殊处理，包括缺省账号，如系统（特别是root）和共享账号。在某些情况下，也许要求建立特殊的账号来控制或限制环境。如果对这些方面的管理不注意安全性，会对系统安全产生严重威胁。 1、使用真实用户名的风险 如果知道了一个人的名字及他的工作地点，就可以猜测在Example Corp. 工作的John Random 的邮件地址为jrandom@。 这种易于记忆的用户名分配方式的缺点很容易被发现。一个外部人员可以通过电话总机或Web搜索得到某人的姓名并猜出合法的用户名。一旦他们拥有了用户名，就只有口令阻止他们访问系统了。 2、缺省账号的风险 所有的UNIX系统在交付时都有缺省账号；