最新网络管理与安全技术培训课件.pptVIP

（4）如果账户长期不用，管理员应将其暂停。如果雇员离开公司，则管理员应及时把他的账户消除， （5）可以限制用户的登录时间，如只有在工作时间可登录。 （6）限制登录次数。防止对账户多次尝试口令而闯入系统。 （7）最后一次登录，该方法报告最后一次系统登录的时间、日期，以及在最后一次登录后发生过多少次未成功的登录企图。这样可以提供线索了解是否有人非法访问。 （8）去掉TFTP服务，因通过使用TFTP（Trivial File Transfer Protocol）可获取口令文件（/etc/passwd ）。 （9）定期地查看日志文件，尤其是登录末成功的消息日志文件。 （10）确保除了root之外没有任何公共的用户账号。不创建guest账号。 6.3.2 认证类型 认证服务器所授权认证的数字证书类型有以下几种： ?CA证书：CA证书是签发并管理正式使用公用密钥与用户相关的证书。该证书只在某一时间内有效，因而CA保存一份有效证书及其有效期清单。 服务器证书：是运行在Web服务器上，并且保证服务器和浏览器间的加密的SSL会话 个人证书：给用户授权的证书，运行S/MIME、SSL以及SET。 软件出版商认证：允许applets或Active X控件的开发者公开他们的身份。 6.3.3 实用认证技术 从上面的认证方法中，可以看到使用单独的某一种认证机制的安全性是有限的。 Kerberos和一次性密码是用于加强认证系统的两项技术。 其结合使用加密技术和其它策略来检查身份，有效地防止了一些恶意破坏。其认证手段得到广泛应用。 6.3.3 实用认证技术 Kerberos认证系统 在开放环境中，为了减轻应用服务器对用户认证的负担，引入一个认证服务器AS（Authentication Server）的第三方来承担对用户的认证，AS知道每个用户的口令，并将口令保存于一个中心数据库。 （1）用户如果想访问某一应用服务器，首先向AS发出请求， （2）AS将收到的用户口令与中心数据库存储的口令相比较以验证用户的身份。 （3）如果验证通过，AS 则向用户发放一个允许用户得到应用服务器服务的票据， （4）用户则根据这一票据去获取服务器的服务。 若用户需要多次访问同一服务器，避免每次都重复获取票据的过程，再引入另一新服务器称为票据许可服务器TGS（Ticket-granting Server）。TGS向已以经过AS认证的客户发放用于获取应用服务器的票据。 Kerberos系统的认证过程分为三个阶段，共六步。 用户C Kerberos 认证服务器 AS 票据服务器 TGS 数据库 ① ② ③ ④ ⑤ ⑥ 服务器V 6.2.2非对称加密 非对称加密示意图 非对称加密示意图 6.2.2非对称加密 例如，用户A要向用户B发送一条消息，A就必须用B的公钥对信息进行加密，然后再发送。 B接收到经过加密的消息之后，用其自己的私钥加以解密获取原始信息。 在传输的过程中，任何想窃取信息的人因为没有B的私钥而无法获取信息。 尽管公钥和私钥是相关的，但要想从公钥确定私钥还是极端困难的。 6.2.2非对称加密 优点：由于公钥是公开的，而私钥则由用户自己保存，所以对于非对称密钥来说，其密钥管理相对比较简单。 缺点：因为复杂的加密算法，使得非对称密钥加密速度较慢，即使一个很简单的非对称加密也是很费时间的。 6.2.3 单向加密（Hash encryption） 单向加密包括一个含有哈希函数的哈希表，由这个表确定用来加密的十六位进制数。 使用单向加密对信息加密，在理论上加以解密是不可能的。 HASH加密用于不想对信息解读或读取而只需证实信息的正确性。这种加密方式适用于签名文件。 6.2.3单向加密（Hash encryption） 例如，ATM自动取款机不需要解密用户的身份证号码，可以对用户的身份证号码进行计算产生一个结果。即磁条卡将用户的身份证号单向加密成一段HASH值，一旦插卡，ATM机将计算用户信息的HASH值并产生一个结果，然后再将其结果与用户卡上的HASH值比较，以此进行认证。 6.2.3单向加密（Hash encryption） HASH算法 HASH加密使用复杂的数字算法来实现有效的加密。典型HASH算法——MD5算法 MD5提供了一种单向的哈希函数，是一个校验和工具。它将一个任意长的字串做为输入，产生一个128位的“报文摘要”。通过计算每个文件的数字指纹（或数字签名），来检查文件是否被更换，或者是否与原来的一致。一个称为MD系列的算法集就是进行这项工作的。其中最常用到的是MD5的系统。 6.2.3单向加密（Hash encryption） 数字签名 在商业系统中，通常都利用书面文件来规定契约性的