- 1、本文档共83页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
linux_unix操作系统安全概述.ppt
特权管理 Linux继承了传统Unix的特权管理机制,即基于超级用户的特权管理机制。 基本思想: 1)普通用户没有任何特权,超级用户拥有系统内所有的特权 2)当进程要进行某特权操作时,系统检查进程所代表的用户是否为超级用户,即检查进程的UID是否为0 3)当普通用户的某些操作涉及特权操作时,通过setuid/setgid来实现 缺点: 容易被hacker利用 从2.1版开始,Linux内核中实现了基于权能的特权管理机制 基于权能的特权管理机制 基本思想:(以2.4.0内核为例) 1)使用权能分割系统内的所有特权,使同一类敏感操作具有相同的权能 2)普通用户及其shell没有任何权能,而超级用户及其shell在系统启动之初拥有所有权能 3)在系统启动后,系统管理员为了系统的安全可以剥夺超级用户的某些特权,并且该剥夺过程是不可逆的。(只能重新启动系统来恢复) 4)进程可以放弃自己的某些权能,该过程也是不可逆的 5)进程被创建时拥有的权能由它所代表的用户目前所具有的权能、父进程权能两者的与运算来确定 6)每个进程的权能被保存在进程控制块的cap_effective域中 7)当一个进程要进行某个特权操作时,操作系统检查进程是否具有相应特权操作所应该具有的权能 8)当普通用户的某些操作涉及特权操作时,仍然通过setuid来实现 安全审计 Linux系统的审计机制,基本思想: 审计事件分为系统事件和内核事件 系统事件由审计服务进程syslogd来维护与管理 内核事件由内核审计线程klogd来维护与管理 图 安全注意键 其他安全机制 口令脆弱性警告 口令有效期 一次性口令 口令加密算法 影子文件 帐户加锁 限制性shell 特殊属性 文件系统加载限制 加密文件系统与透明加密文件系统 根用户的限制 安全shell 防火墙 入侵检测 安全Linux服务器配置参考 BIOS的安全设置 LILO的安全设置 口令安全 自动注销帐号的登录 取消普通用户的控制台访问权限 取消并卸载所有不用的服务 TCP_Wrapper 修改/etc/host.conf文件 使/etc/services文件免疫 从不允许从不同的控制台进行root登录 使用PAM禁止任何人通过su命令改变身份为root Shell logging bash 禁止Ctrl+Alt+Del键盘关闭命令 给/etc/rc.d/init.d下script文件设置权限 隐藏系统信息 禁止不使用的SUID/SGID程序 Windows安全技术 Windows身份验证与访问控制 Windows分布式安全服务 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows 2003中的新安全技术简介 Windows操作系统安全机制 NT设计目标:TCSEC标准的C2级,这就要 在用户级实现自主访问控制 必须提供对客体的访问的审计机制 必须实现客体重用 Windows NT/2000/XP的体系结构 Windows NT的安全模型 Windows NT的安全模型包括5个主要部分 登录(WinLogon) 本地安全认证子系统(LSA) msv1_0 安全帐户管理器(SAM) NT LAN Manager(NTLM) Windows 2000/XP的安全模型 Windows的域和委托 Windows安全性组件 安全引用监视器 本地安全认证 LSA策略数据库 安全帐号管理器服务 SAM数据库 默认身份认证包 登录进程 网络登录服务 Windows NT/2000/XP的系统登录过程 登录是通过登录进程WinLogon、LSA、一个或多个身份认证包和SAM的相互作用发生的 身份认证包:执行身份验证检查的动态链接库。 Msvl_0:用于交互式登录的身份认证包 WinLogon:一个受托进程,负责管理与安全性相关的用户相互作用 是从键盘截取登录请求的唯一进程 WinLogon的初始化 用户登录步骤 Windows NT/2000/XP的资源访问 安全性描述符和访问控制 访问令牌与模仿 Windows NT/2000/XP安全审计 * These lines control various aspects of xinetd: instances — Sets the maximum number of requests xinetd can handle at once. log_type — Configures xinetd to use the authpriv log facility, which writes log entries to the /var/log/secure file. Adding a directive such as F
文档评论(0)