操作系统安全(Security).pptVIP

148 威胁类型 阻断(interruption) 系统资产被毁损或变成不可用、不能用 截取(interception) 非授权方得到系统资产，如盗取保密数据 篡改(modification) 系统数据被非授权者改变 伪造(fabrication) 非授权者将假对象加入系统 威胁类型 10.4.1闯入与身份认证 身份认证最常用的手段是口令 . 口令加密后存储到系统的Password文件中 用户口令在帐户建立时连同登录名字一起记载在系统password 文件中 Linux /etc/shadow UNIX /etc/passwd 加密函数易于计算但难于取反 口令的选取 推荐选取原则 混合使用字母(大小写)、数字 . 采用一个熟悉句字中出现的单词的首字母，如MfnisB (My Father’s Name is Bob) . UNIX口令 UNIX系统在加密之前对口令拼加“salt” salt是随机产生的长度为12bit的附加位，将其与口令s（56bit）串接在一起，然后对其结果再运行crypt(3)算法，加密后的结果连同salt一起保存在passwd文件中 一次性口令 一次性口令 主机初始化 P0=f(P1)和n记在password file中 第一次登录 : 主机响应n , 远程用户输入口令s, 在客户端计算出p1=fn(s)并传送给主机 , 主机计算出p0=f(p1)并将其与password file中的p0相比较 . 如果相同登录成功，主机用p1取代password file中的p0, 并将n减1 . 一次性口令 第二次登录 : 主机响应n-1 , 远程用户输入口令s, 在客户端计算出p2=fn-1(s)并传送给主机 , 主机计算出p1=f(p2)并将其与password 文件中的p1相比较 . 如果相同登录成功，主机用p2取代password 文件中的p1, 并将n减1 . 10.4.2 程序威胁 逻辑炸弹 逻辑炸弹是隐藏在合法程序中可以被某种条件触发而执行某种破坏性动作的程序 软件开发者可以采用这种手段制约使用者，以达到某种目的 , 逻辑炸弹程序的设计是容易的，一般编程人员都能实现，但要伪装得好、不易被发现，则需要一定的设计技巧和编程经验 . 特洛伊木马 特洛伊木马是嵌入于某合法程序中的秘密例程，合法程序的执行将导致秘密例程的执行，是具有伪装的攻击程序 . 例如 甲欲得到乙的文件F, 因无权限不能直接访问，便编写一个游戏程序G并邀请甲玩，甲运行G，这确实是一个游戏程序，但在后台G将F复制到乙用户的目录下，达到了文件窃取的目的 特洛伊木马 防止特洛伊木马 增强权限检查和控制，如限制存取灵活性 提高自我防范意识，慎重使用来历不明的软件 后门(trapdoor) 后门是程序中绕过例行检查的入口 这种非正常入口在程序开发过程中普遍存在，一旦系统发布所有后门均应关闭 后门一般有两种情况 忘记关闭 有意保留 细菌(bacteria) 消耗系统资源 . 进程复制 eg. System call fork, spaw, etc. 文件复制 make new bacteria file 细菌可以指数级别增长 ，消耗 CPU资源 内存资源 磁盘空间 病毒(virus) 病毒不是一个独立的程序，而是寄生于某一合法程序(通常是一个可执行程序)上的一段代码 ，其危害包括两个方面： 传播，使其它文件感染上该病毒； 破坏，具体破坏动作多种多样，如删除系统文件 . 压缩病毒的感染过程 蠕虫(worm) 危害： 复制和传播，通过自身复制消耗系统资源，在网上从一个计算机传播到另一个计算机； 除利用spawn复制和传播外，可能伴随执行不期望的动作. 10.4.3 安全策略 口令管理 初始口令 当为给一个用户建立户头时, 为其规定一个登录口令 关卡口令 在某些关键目录、关键文件等设置口令, 可以防止非授权的用户对其进行访问, 达到保护的目的 主副口令 即设置两个口令: 一个为主口令, 另外一个为副口令. 主副口令分别由两个不同的用户掌握, 仅当二者都在场时才能成功对答通过 防火墙(firewall) 防火墙是网络上分离可信系统(trusted system)与非可信系统(un-trusted system)的常用方法 介于可靠系统与非可靠系统之间的一台计算机或一个路由器构成 作用 限制两个不同安全域之间的相互访问 动态监视和记录所有连接 加密 加密的思想是伪装信息，使局外人不可理解信息的真正含义 安全性取决于对密钥的管理 加密保护可以防止信息被截取(interception) 不能防止信息被篡改(modifi