《哈工大-计算机安全学-信息安全专业》由会员分享,可在线阅读,更多相关《哈工大-计算机安全学-信息安全专业(6页珍藏版)》请在金锄头文库上搜索。
1、第二章 操作系统安全基础1、操作系统提供的安全目标是什么?以及为达到安全目的相应的措施是什么?目标1:允许多个用户可以安全地共享一台计算机内存保护、处理器模式、身份验证、文件访问控制目标2:确保网络环境下的安全操作身份验证、访问控制、保密通信、审计日志、入侵预防和检测。2、用root或administrator身份运行在内核模式和用户模式的差别是什么?(Difference between kernel mode and processes running as root (or superuser, administrator) )内核模式和root是两个不相关的独立的概念,以root运行一
2、个进程的概念是一个UNIX/LINUX术语,它意味着你是作为系统管理员登陆的。你运行任何进程,不管你是以root还是普通用户身份,一般同时运行在内核模式和用户模式下。该系统不断在两个模式间切换,用户模式下是应用程序代码在运行,内核模式下是内核代码在运行。例如像设备驱动的一些程序,始终运行在内核模式,意味它们有权限访问硬件。一个普通的应用程序以root权限运行在用户模式下,只有当发生一个内核系统调用时会切换到内核模式,然后会再切回到用户模式。3、为验证用户身份,系统将用户输入的口令同存储在口令文件中的值进行比较。对攻击者而言,口令文件更具吸引力,如何保护口令文件?1) 加密保护2) 由操作系统强
3、加的访问控制3) 加密保护和访问控制相结合,或者可能有更强的保护措施来减缓字典攻击的速度第三章 Unix访问控制1、 运行二进制文件和脚本文件时,如何设置权限?2、 目录的执行位有何用途?If execute permission is required for a directory, it is usually required for each directory component on the full pathname of that directory Without execute permission on a directory, a user cant access fi
4、les in a directory even if they own them and have all permissions on them With read but not execute, you can do lssomeDir but not ls-lsomeDir With execute but not read permission, you can ls-lsomeDir/file but not lssomeDir or ls- lsomeDir. s执行位能控制目录的遍历,能查找到目录下文件的inode信息。要访问目录下的文件,要使文件路径的目录都有执行位。3、 读
5、/home/abc/aaa.txt文件所需权限?删除/home/abc/aaa.txt需要什么权限?x on /, x on /home , x on /home/abc , r on /home/abc/aaa.txtx on /,x on /home,wx on /home/abc4、用fork创建进程,和用exec执行文件的进程,其euid,suid,ruid分别有何差别?用fork创建一个子进程,其euid,suid,ruid都是继承其父进程的; 用exec执行文件的进程,一般情况下euid,suid,ruid是保持不变的。除非被执行文件的set-user-id被设置,在这种情况下,进
6、程的euid和suid被赋予成文件拥有者的user-id。1、 函数setuid含义在不同操作系统版本以及不同情况下结果不同,请问如何避免歧义?使用改进的API以避免在不同的UNIX系统中混淆,具体实现基于FSA自动机,通过uid-setting系列的系统调用,使用三个函数分别实现临时失去权限、永久失去权限、重新获得权限功能。第四章 防主机入侵1、 Unix系列的系统,访问控制是基于user id的,基于user的访问控制是粗粒度的,尤其root用户权限过大,请问有几种限制措施吗,分别是什么?Answer:1) 虚拟化进行限制 包括操作系统级虚拟化: 在单内核的操作系统上虚拟服务、如chroo
7、t或FreeBSD jail 虚拟机 在主机上运行模拟软件,如VMWare,Microsoft Virtual PC Paravirtualization2) 打破root强大的权力 POSIX/Linux能力 FreeBSD运行级别3) 采用细粒度的强制访问控制2、 使用chroot进行虚拟化限制,好处是什么?某人想使用chroot限制某服务运行在某目录下,其做法是: chroot(dir); setresuid(nonroot); / give up root permissions correctly; 请问能否成功,为什么,如果不成功,如何修改使之成功?Answer:使用chroot进
8、行虚拟化限制的优点是安全且性能好,管理员容易建立和管理。在新的root下,许多系统功能和资源不存在,及时攻击者破坏进程,对系统损失和影响也非常有限。上面chroot做法缺少一步:chdir(dir);3、 为了打破root强大功能,linux内核2.6.24把root权力分为分成多个能力(capability)位,请问CAP_CHOWN能力位和chown系统调用有何关系?Answer:CAP_CHOWN:可以改变文件拥有权,也可越过自主访问限制4、 在SELinux系统中,采用细粒度的强制访问控制,如何设置访问控制措施使得普通用户可以修改自己的密码而又没有获得额外权限?Answer:passw
9、d程序可以修改shadow,普通用户不能修改shadow文件Passwd程序定义类型passwd_t,/etc/shadow定义类型shadow_t允许普通用户Joe的shell(类型user_t),运行passwd程序(类型passwd_exec_t)上启动execve()系统调用,格式为 allow user_t passwd_exec_t : filegetattr execute;对passwd_t域的入口访问权: allow passwd_t passwd_exec_t : file entrypoint许可原始的类型(user_t)到新类型(passwd_t)进行域转变Transi
10、tion : allow user_t passwd_t : process transition第五章 自主访问控制1、 在访问控制中,如何理解user和principle,二者有何联系和区别?principaluser是真实世界的用户,principal是访问控制和授权的单元,原则广义上等价于进程。principle确保了user行为的责任。一个user可以有多个principle,但是一个principle只和一个user相关。2、 试比较ACL(Access Control Lists)和访问能力列表capabilitiy list的优缺点。1.ACL:优点:访问控制策略设置集中,适合
11、于保护数据导向的环境;实现起来比较简单。缺点:较不适合多用户的环境,或者用户给其他用户授权的时候;它的效率不高,因为在运行时要进行安全检查,以便让操作系统知道是哪个用户正在运行程序,而不是哪个文件已被授权访问;查找某个用户具有访问权限的文件很繁琐,例如要解雇员工必须通过取消密码或其他身份验证机制来实现。2.Capability:优点:对比与ACL,在运行时进行安全检查很有效率;能解决confused deputy problem。缺点:改变文件的状态很困难,很难撤销能力,因为不容易找出哪些用户具有访问权限;对于谁可以被获准访问给定的对象难以有一个全面的了解。3、 自主访问控制中,特洛伊木马如何
12、完成信息泄露?特洛伊木马是一种流氓软件,被授权用户无意中安装。它能做用户期望要做的事,但除此之外又利用用户合法权限导致安全漏洞。举例来看:第8章 安全策略(已留做课后作业)1、安全策略要求学生不可以拷贝作业。计算机系要求学生在计算机上完成家庭作业,一个学生A看到另一个学生B写的作业没有写保护,于是拷贝该作业,请问谁违背安全策略?并以此为例,说明安全策略和安全机制间的关系。学生A违背安全策略,因为安全策略不允许抄袭作业。如果说学生A有复制文件的权力,因此行为是允许的,那么这就混淆了机制和策略的概念。如果反驳说A有复制文件的能力,因此行为是允许的,那么这就混淆了机制和策略这两个概念。二者区别是明显
13、的:安全机制是实施安全策略的某些部分的实体或规程。在这个例子中,策略声明任何学生不得抄袭他人作业。这种策略的一种机制就是文件访问控制:如果B设置权限,防止A读他的作业文件,则A就不能复制该文件。2、一个著名的计算机安全专家说,没有完整性系统就不能提供机密性,没有机密性系统能否提供完整性。你同意该说法么?为什么?不同意。系统的完整性和机密性是分开的。完整性的含义是所有成员都对客体信任,而保密性规定了客体不可以被泄露,没有指出是否该信任客体。这个意思就是说没有完整性,也可以提供保密性。第二个观点也是可以提供。未保证机密性,就是信息会泄露给未授权者,但他们不一定会对其进行篡改,可以保证信息是准确、正
14、确、未篡改的。这也就说没有机密性情况下也可以提供完整性。3、分析下面事例属于自主访问控制、强制访问控制、创建者控制策略、还是组合策略,分析你的判断:1)unix操作系统的文件访问控制机制;2)没有作者同意,备忘录不能被散发;3)军事系统中只有将军可以进入指定的房间;4)一个大学的办公系统,学生给其系成员写访问许可情况下,系成员可以看指定学生的成绩a自主型访问控制b创建者访问控制c强制型访问控制d自主型访问控制4、UC Davis校园的读电子邮件策略,一个研究小组想获取该系所处网络上的原始数据,1)分析其收集数据对电子邮件策略的影响;2)如何修改策略使得在保护电子邮件前提下允许收集数据1)在电子
15、邮件的完全策略中有一些通用的规定条款:在对待电子邮件时,只有在已列出的特殊情况下,还要副校长同意,才可以不经邮件拥有者同意查看邮件。如果条件不具备,只有在特殊紧急情况才能不经许可阅读邮件,而且事后一定要取得授权。从网上获取传送到校内的网络包并未满足条件,没遵守政策要撤销其电子邮件服务。2)可以改变一下策略,同时不放弃电子邮件策略的保护原则。首先注意到如果是已列出的特殊情况就可以。就可以在条款中增加特殊情况:以研究网络包的原始数据为目的的获取电子邮件行为,是被允许的。还可以在第三部分电子邮件策略的实现中更改。第三部分扩充了系统策略,就可以在这部分增加特定校园的需求和手段,加上该研究小组这类性质的需求,形成自己学校特殊的策略也是可以的。第9章 机密性1、给定安全级:Top Secret、Secret、Confidential、unclassified;范畴:A、B、C;访问类型:读、写、读写、无;自主访问控制,判断下列情况的访问类型:1)Paul的安全标签(TOP SECRET, A, C ),预访问文件其标签是(SECRET, B, C );无2)Anna的安全标签(CONFIDENTIAL, C ),预访问文件其标签是(CONFIDENTIAL, B );
