操作系统安全机制.pptVIP

19．备份和恢复数字证书 在使用Windows自带的加密文件系统（EFS）把一些重要数据加密保存后，在重装系统时如果没有原来备份的个人加密证书和密钥文件，被加密的文件将不能访问，所以数字证书的备份和恢复就显得十分重要了。 20．利用“网络监视器” “网络监视器”可以细致到监视一个数据包的 具体内容，以供用户详细了解服务器的数据流动情况，使用“网络监视器”可以帮助网管查看网络故障，检测黑客攻击。 21．启用安全日志审核 安全日志是记录一个系统操作过程的重要手段，通过日志可以查看系统一些运行状态，是审核最基本的入侵检测方法。 22．保护注册表的安全 对于注册表应严格限制只能在本地进行注册，不能被远程访问。可以利用文件管理器设置只允许网络管理员使用注册表编辑工具regedit.exe，限制对注册表编辑工具的访问。也可使用一些工具软件来锁住注册表。或利用regedit.exe修改注册表键值的访问权限。 23．物理安全 服务器要放在装有监视器的隔离房间内，机箱等需要上锁，钥匙要放在安全的地方。因为任何人都可以把硬盘卸下来，到其它的系统上读取数据，破坏安全防护。桌面机和服务器一样，要尽可能地避免物理接触。 9.4 Unix安全机制 1．用户帐号安全 用户号和用户组号是Unix系统唯一地标识用户和同组用户及用户的访问权限， 2．口令安全 为了防止普通用户访问passwd文件，减少攻击者窃取加密口令信息的机会，超级用户可以创建映像口令文件/etc/shadow。它使得用户可以把口令放在一个只有超级用户才能访问到的地方，从而避免系统中的所有用户都可以访问到这些信息。 3．文件系统安全 在Unix系统中，文件访问权限主要通过文件的权限设置（chmod命令）来实现。在多用户系统中，文件访问权限尽量应以满足要求为宜。 4. FTP安全 匿名FTP是对网络文件传输进行安全保护的一种有效手段，在使用时需注意以下几点： （1）使用最新的FTP版本。 （2）确保没有任何文件及其所有者属于FTP账户或必须不与它在同一组内。 （3）确保FTP目录及其下级子目录的所有者是root，以便对有关文件进行保护。 （4）确保FTP的home目录下的passwd不是/etc/passwd的完全拷贝，否则容易给黑客破解整个系统的有关用户信息。 （5）不要允许匿名用户在任何目录下创建文件或目录。 5．文件加密 Unix用户可以使用crypt命令加密文件，用户选择一个密钥加密文件，再次使用此命令，用同一密钥作用于加密后的文件，就可恢复文件内容。 一般来说，在加密文件前先用pack或compress命令对文件进行压缩后再加密。 6．Unix日志文件 在Unix系统中，比较重要的日志文件有记录每个用户最后登录的时间（包括成功的和未成功的）的 /user/adm/lastlog文件，记录当前登录到系统的用户的/etc/utmp文件，记录用户的登录和注销的/usr/adm/wtmp文件，记录每个用户运行的每个命令的 /usr/adm/acct文件。 9.5 Linux安全机制 Linux采取了许多安全技术措施，如对读、取权限控制、审计跟踪等。有些是以“补丁”程序的形式出现。 9.5.1 PAM机制 PAM是一套共享库，其目的是提供一个框架和一套编程接口，将认证工作由程序员交给管理员处理，PAM允许管理员在多种认证方法之间作出选择，它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。 PAM的功能包括： 1．加密口令； 2．对用户进行资源限制，防止DOS攻击； 3．允许任意Shadow口令； 4．限制特定用户在指定时间从指定地点登录； 5．引入概念“client plug-in a