课件166.6 节节 实践操作系统中的平安机制实践操作系统中的平安机制Windows and Unix�6.6 实践操作系统的平安机制 l本节引见流行的操作系统Windows NT和UNIX系统中运用的平安机制,它们综合利用前面引见的各种访问控制技术,有的那么和引见的访问控制技术有所不同 �6.6.1 Windows NT操作系统 lWindows NT是一个网络操作系统,它有两个版本:Windows NT的任务站版〔Windows NT Workstation〕和Windows NT的效力器版〔Windows NT Server〕这两个版本的NT都有一样的中心支持、网络支持和平安系统 l主要讨论NT的效力器版Windows NT Server � lWindows NT 运转于Client/Server方式,其设计客体是提供文件和打印效力;它支持远程访问效力RAS〔Remote Access Service〕和Internet效力Windows NT 中带有一个完全的WEB效力器组件——Internet Information Server (IIS),所以它可以在Internet上提供WEB效力。
另外,经过添加软件,Windows NT也可以作为防火墙运用 �一、一、 NT的平安子系统的平安子系统 lWindows NT Server的操作系统由一组软件组件组成,它们运转在中心方式下l 中心方式由执行效力组成,它们构成一个自成体系的操作系统l 用户方式由非特权的效力组成,这些效力也称为受维护子系统,它们的启动由用户决议用户方式在中心方式之上,用户方式组件要利用中心方式提供的效力 �图6-9 Windows NT体系构造 其他子系统其他子系统Win32子系统子系统平安子系统平安子系统系统效力系统效力 I/O管理器图形图形驱动器驱动器微内核微内核硬件笼统层硬件笼统层对象对象管理器管理器平平安安援援用用监监控控器器进程进程管理器管理器本本地地过过程程调用设备调用设备窗口窗口管理器管理器用户方式用户方式中心方式中心方式执行效力执行效力�图6-10 NT平安子系统 登录进程登录进程平平安安战战略略数数据据库库审计日志审计日志本地平安权限本地平安权限LSA平安账号管理器平安账号管理器SAM用户账号数据库用户账号数据库用户用户�NT登录进程进展三类登录:登录进程进展三类登录: l① 本地登录。
假设用户登录到一个账号,这个账号存储在本地计算机上的用户账号数据库中,这种情况就属于本地登录l② 域登录假设用户登录到一个账号,这个账号存储在域用户账号数据库中,这种情况就属于域登录l③ 可信域登录假设用户登录到一个账号,这个账号存储在可信域的用户账号数据库中,这种情况就属于可信域登录 �〔1〕本地平安授权LSA〔Local Security Authority〕lLSA是平安系统的中心组件,其功能是:l 担任管理和协调登录l 对象访问和其他平安事件l LSA还协调平安账号管理器〔SAM〕和平安访问监控器SRMl 它还链接到一个平安战略数据库和一个审计日志 �l〔 2〕 平 安 账 号 管 理 器 SAM(Security Account Manager)lSAM组件管理用户账号数据库当LSA需求验证用户能否有权限访问对象时,它就与SAM联络l〔3〕平安访问监控器SRM〔Security Reference Monitor〕SRM是一个中心方式下的软件组件,它检查一个用户能否有权限访问一个对象或者能否有权益完成某些动作 �二、二、 NT NT系统的平安机制系统的平安机制 lNT具有很高的平安性,它的平安性表达在两方面,一是保证系统的强壮性,使系统不会由于运用程序的缺点呵斥系统的解体;二是加强了防止非法用户入侵和限制用户的非法操作的才干。
�l要想访问NT系统,首先需求在NT系统中拥有一个账户,其次要为该账户设置在系统中的权益〔Right〕和答应〔Permission〕权限 l权益是指用户对整个系统可以做的事情,如关掉系统、往系统中添加设备、更改系统时间等权益;l答应权限是指用户对系统资源所能做的事情,如对文件的读、写、执行、对打印机的管理文档、删除文档等答应 � lNT系统中有一个平安账户数据库,其中存放用户账户以及该账户具有的权益等,用户对资源的答应权限与相应的资源存放在一同 �l用户要想访问系统资源,首先向系统登录,NT有一个公用登录进程用于核对用户身份与口令假设确认账户和口令有效,那么把平安账户数据库中有关账户的信息搜集在一同,构成一个访问令牌访问令牌中包括:l 用户名与SIDl 用户所属的组及组GIDl 用户对系统所具有的权益 �l然后NT就启动一个用户进程,将该访问令牌与之衔接在一同,这个访问令牌就成为用户进程在NT系统中的通行证用户无论做什么事情,NT中担任平安的进程都会检查其访问令牌,以确定其操作能否合法 � l用户登录胜利之后,只需用户没有注销本人,其在系统中的权益就以访问令牌为准,思索到效率问题,NT平安系统在此期间不再检查硬盘上的平安账户数据库。
在用户登录之后,假设系统管理员修正了他的账户与权益,但这些修正只能在下次登录时才起作用 � l令牌中仅包含用户的权益,不包含访问资源的答应权限NT是如何根据访问令牌控制用户对资源的访问控制呢?原来用户对资源具有的答应权限作为该资源的一个属性与资源存放在一同,例如,有一个目录D:\FILES,对其指定USER1只读,USER2完全控制,这两个答应权限作为该目录的属性和目录衔接在一同 � l各用户对某个资源〔如文件〕的答应权限在NT内部以访问控制表〔ACL〕的方式存放,各用户的答应权限以ACL表项〔ACE〕的方式表示,ACE中包含了用户名与该用户的答应权限每个资源对应一个ACL表, � l上述D:\FILES的ACL表中包含两个ACE,一个记录USER1只读,另一个记录USER2完全控制当USER1访问该目录时,NT平安系统检查用户的访问令牌并与目录的ACL对照,检查该用户的答应权限能否合法,假设不合法就被回绝 �三、三、 NT NT 的平安战略的平安战略 l平安战略是系统所实现的平安功能的各种选项,系统管理员可以利用平安战略对计算机和网络在另一层次上进展平安管理,管理员需求针对环境仔细思索需求何种平安性以及能够呵斥何种困难。
对于个人账户和组账户可以运用不同的平安战略来管理,这些战略包括口令配置、文件审计和赋予执行系统义务的账号权限 �NT的平安战略包括: 账户战略:控制用户的设置和维护口令的方式,也提供NT账户锁定的特性 用户权限战略:控制可分配给任务站上的用户或用户组的显式权限 审计战略:控制审计日志中将要出现的事件类型 �〔1〕账户战略 l账户战略设置口令的最小和最大时间限制、最小长度、设置口令的独一性并配置账户的锁定特性账户战略选项参见表6-7 �选项阐明范围最长密码期限在系统需求用户改动口令前,可以运用的口令的时间限制无限制或1~999天最短密码期限在用户可以改动口令前,必需运用的时间限制,假设设置了密码独一性,那么不允许立刻改动密码允许立刻改动或1~999天最短密码长度在用户口令中最少的字符数允许空口令或1~14个字符密码独一性在运用旧口令前,必需运用的新口令数不保管历史或1~24个口令账户不锁定不论登录失败多少次,账户都不锁定 锁定账户时登录失败的次数引起锁定的失败登录企图的次数1~999登录失败之后重新启动统计在两次失败的登录企图之间发生锁定的最大分钟数1~99999锁定时间选择“永久〞,那么锁定账户直到管理员解锁;选择“时间〞并输入数字,那么锁定账户指定的分钟数。
1~99999用户必需登录方能更改密码设置时可防止用户在到期时改动本人的口令,用户必需从管理员处得到协助 表6.7 NT系统账户战略选项 �〔2〕用户权限战略 l用户权限战略管理向组与用户账户授予的权限有两级用户权限可以分配:用户权限和高级用户权限,用户权限需求经常修正管理员可以为用户指定从网络访问本计算机、装载与卸载设备驱动程序和可在本机登录大部分高级用户是那些为Windows NT 写运用程序或设备驱动程序的开发人员,高级用户的权限包括创建一个页文件、把任务站添加到域和作为一种效力登录 �〔3〕审计战略l审计功能可以让管理员有选择的跟踪用户与系统的活动审计战略确定Windows NT 将执行的平安性记录的数量和类型,当被审计的事件发生后,便在计算机的审计日志中添加一项需求审计的事件参见表6-8 �事件选择审 计登录与注销胜利用户胜利地登录到任务站或从任务站注销,或用户从网络胜利地衔接到计算机时;失败上述各操作失败时审计;文件或对象访问胜利用户胜利地访问被审计的目录、文件、打印机时;失败用户企图访问上述对象但未胜利时;用户权限运用胜利用户胜利的运用用户权限;失败用户企图但未胜利用户和组管理胜利胜利地创建、改动、或删除用户和组,或胜利地设置和改动口令;失败上述操作的失败;平安战略改动胜利胜利改动用户权限与审计战略;失败改动的企图失败;重启动、封锁和系统平安性胜利用户胜利地重启动或封锁计算机,或发生影响系统平安事件;失败重启动或封锁计算机失败的企图;过程跟踪胜利详细地跟踪一些事件信息,如胜利的程序启动、处置复制的一些格式、间接对象访问和过程退出;失败上述操作的失败;表6.8 需求审计的事件 �四、四、 NT NT 的资源管理的资源管理 lNT系统中,假设他访问本人正在运用的计算机上的资源,这称为访问本地资源,假设访问其他计算机上的资源,那么称为远程访问,而不论这台计算机地理上相距的远近。
NT系统中资源是指硬盘上的文件、目录和打印机等下面主要引见文件与目录的管理 �〔1〕本地资源管理l 在NT系统中支持对单独的文件、目录设置答应权限的只需NTFS文件系统,要想在Windows NT中控制本地资源的平安,只能运用NTFS l设置答应权限时,文件与目录的答应权限之间相互影响例如,假设一个用户连某个目录的读权限都没有,那么根本无法对该目录下的文件设置答应权限 � l在权限设置时应该从根目录开场设置,一级一级逐层设置l在设置答应权限时,最好以组为单位进展管理,组内一切用户对某个文件都设置为一样答应权限在NT系统中允许一个用户同时属于几个组,以组为单位设置权限时,能够会产生某个用户对一个文件有多种答应权限的问题 � lNT处理的方法是,将理的方法是,将这个用个用户对这个文个文件的一切答件的一切答应权限加到一同作限加到一同作为该用用户对这个文件的答个文件的答应权限假设该用用户在在某个某个组中有中有“回回绝访问〞的答〞的答应权限,那限,那么么“回回绝访问〞有〞有优先先权,并使其他一切,并使其他一切答答应权限无效,限无效,这个用个用户的最的最终答答应权限是限是“回回绝访问〞 �〔2〕管理网络共享资源 l创建共享目录的选项有:l 共享名 远程用户运用共享名衔接到本地资源 l备注 阅读共享目录时显示的评注l用户个数 设置衔接到这个共享目录上的最大用户数,缺省为10l权限 设置远程访问目录上的答应l新共享 只需当前目录已被共享时才有此选项,允许已共享目录反复共享。
共享目录的答应权限包括回绝访问、读取、更改和完全控制四种 � l每次Windows NT计算机启动时,它都创建一些共享资源Admin是一个特殊共享资源,当远程管理时它总是指向Windows NT系统目录每个硬盘的根目录是共享的,在相应的驱动器符号后面跟一个$符号符号可以使该共享名在阅读时不出现〔隐藏〕 � l只需一个用户知道了另一台机器上的管理员的账户和口令后,才干衔接到那台机器的隐藏共享,并可以访问整个分区隐藏共享由内部ACL表维护,它不能被任何用户修正,包括系统管理员在内可以经过“不共享〞命令停顿隐藏共享,但下次机器启动时,隐藏共享由重新自动创建,NT不支持永久停顿这种共享 �6.6.2 UNIX操作系统 l每一种UNIX系统对良好、根本、单一级别的平安性都给予了必要的支持UNIX系统内核在一个物理上的平安域中运转,这个域遭到硬件的维护平安域维护着它的内核及平安机制� l平安机制是无法旁路的,所以突破UNIX的平安机制依赖于运用合法的手段到达非法的目的为了防御攻击,必需正确设置文件和目录的属性和访问权限,用户必需懂得如何选择一个可靠的口令,以及如何防止被他人骗取特权�一、一、 普通用户的平安管理普通用户的平安管理 l1、正确运用口令l用户在运用UNIX系统之前必需注册,没有注册名和口令就无法进入UNIX系统。
当然,也有一些破解注册名与口令密码的方法,但这些方法只需在UNIX系统中的用户或系统管理员忽视了对口令的正确运用时才有效 � lUNIX系统对注册过程的处置是非常谨慎的/ETC/PASSWD 文件包含有注册名以及与之对应的口令当口令攻击者键入一个/ETC/PASSWD中没有的注册名时,LOGIN进程给出一个PASSWORD提示,目的是使攻击者无法确定:是注册名不正确还是口令不正确假设攻击者猜出一个注册名,那么还需求猜出口令 � l口令是一组相互无关的大小写字母、数字和特殊符号序列;可以恣意长,但只需前8位有效 l UNIX SYSTEM V的系统强迫用户运用一个丰富字符集〔至少一个数字或特殊符号〕,并要求最少字符个数,并运用时效机制 � l假设忘记了口令,系统管理员可以运用超级用户权限为普通用户设置一个暂时口令,其后用户可以根据本人的情况设置口令UNIX系统在用户输入口令时封锁屏幕回显,即系统不把用户输入的口令字符显示在屏幕上,而且系统要求输入两次新口令,以确保新的口令没有错误口令时效机制强迫用户运用一定时段后更改口令 � l当用户短时分开计算机〔能够未退出系统〕,为防止其他用户运用,可以运用LOCK命令对计算机上锁。
LOCK程序需求口令,到达锁定计算机与通讯线路的作用运用者输入正确口令后,可以重新正常运用该终端 �2、访问控制l访问控制决议用户可访问哪些文件,以及对这些文件的操作UNIX系统的访问控制模块是基于Multics系统的,访问者可以分成三类:文件一切者、同组用户和其他用户;访问类型分成读、写和执行这样可以组合成九个不同权限,运用ls命令显示文件属性可见到9个权限位 �l 所属者 同组用户 其他用户l 读 R R Rl 写 W W W l 执行 X X Xl $LS –L README notes scriptl- r—r—r-- 1 rik usr 14977 May 25 01:39 READMEl- rw-------- 1 rik usr 890 May 23 01:46 notes l- r-xr-xr-x 1 rik usr 1290 May 3 11:46 scriptlUNIX系统的选择性访问机制表如今文件一切者可以对文件权限进展恣意修正。
组类可以用于替代访问控制列表每个用户可以是多个组的成员;同组用户可以访问某一类信息 �〔1〕文件权限l文件权限控制用户对文件的读、写和执行,三种访问类型意义如下:l 读权限 允许读和拷贝文件;l 写权限 允许修正和截断文件;l 执行权限 允许把文件作为程序或SHELL程序执行;l文件的访问权限是文件的一切者运用CHMOD命令设置的 �lCHMOD命令接受数字参数,数字参数由三个数字组成〔每位取值0-7〕,读权限用4表示,写权限用2表示,执行权限用1表示如:l l 一切者 同组用户 其他用户l 读 4 4 4l 写 2 l执行 1 1l 7 5 4l数字参数7 5 4表示:文件一切者具有读写和执行权,同组用户可读或执行,其他用户只读 �〔2〕目录权限lUNIX系统中的目录也作为一种文件;但运用LS –L命令,列出的文件列表中第一个字符为D表示目录,此外目录文件具有固定构造。
� l目录文件数据由该目录下的文件名和它们的I节点号组成,运用LS –I命令可以显示文件名和节点号:如l$ ls –I l6074 READMEl8714 notesl4481 scriptl$� l目录访问权限与普通文件访问权限也是有区别的:l读权限 允许列出目录下的文件名;l写和执行权限〔同时存在〕 允许对目录下的文件进展改名和删除操作;l执行权限〔或搜索权限〕 允许经过目录下的文件名存取所援用的文件; � l目录访问权限与普通文件访问权限也是有区别的:l读权限 允许列出目录下的文件名;l写和执行权限〔同时存在〕 允许对目录下的文件进展改名和删除操作;l执行权限〔或搜索权限〕 允许经过目录下的文件名存取所援用的文件; � l具有读目录文件的权限,可以运用LS命令列目录中一切文件;具有写和执行目录权限可以运用MV或RM命令,可以删除目录及目录中的文件,或者产生并修正文件,这往往是放入“特洛伊木马〞的时机;执行权限有时称为搜索权限,允许访问目录文件中的文件名对应的文件 �3、启动文件 lUNIX系统中的许多命令都要查找启动文件启动文件包含系统配置信息,可以协助用户建立一个平安的任务环境,但必需防止启动文件遭到恶意修正。
lUNIX系统中常用的Bourne shell、Korn shell和C shell经常检查用户注册目录下启动文件Shell 启动文件用于设置PATH、UMASK、终端类型等变量,以及定义shell功能或交换称号 �4、更正权限l l普通来说用户注册的目录树下未经改良的权限都隐藏危险假设不对文件和目录进展有效的维护,用户那么可读取和修正这些文件,甚至删除文件和目录用户对某些文件〔如启动文件〕应实施维护,对同组用户应思索取消读、写权限 �5、文件加密lUNIX系统中包含具有加密功能的命令但是UNIX的加密方法基于:加密是建立在口令根底上,口令必需可靠,否那么数据容易解密;假设一个文件的加密版本和未加密版本同时存在,口令容易破解,其他文件随之被破解;加密使得文件由ASCII码转换成数据文件,容易使人区分;运用UNIX提供的加密方案的解密技术曾经广为人知 �用户运用UNIX平安措施的原那么l 运用正确合理的口令 ;l 不要未退出系统或将终端锁定就分开注册终端;l 维护文件和目录,制止同组用户或其他用户对其进展写操作;l 运用严厉的UMASK值,对新文件进展权限设定;� l 运用平安PATH,将系统目录〔/BIN或/USR/BIN〕放在当前目录前;l 注册时需求留意最后时间,假设无此信息,应修正启动文件;l 检查启动文件权限,留意公共、可写目录〔/TMP〕下的启动文件;l 假设终端有可装载内存才干,需求制止同组用户、其他用户向该终端实施写操作; �二、二、 系统管理员的平安管理系统管理员的平安管理 l1、口令管理l系统管理员的平安管理职责包括维护系统中普通用户账户的平安和管理一切用户的口令。
口令文件本身是系统破坏者的的一个重要目的,系统管理员可以经过察看、监视口令文件做许多任务以提高系统的平安 � l在ETC/PASSWD文件中包含了一切用户账户的信息其中保管的口令是经过加密的,虽然加密的口令很难靠算法的逆运算来解密,但还是有一些众所周知的方法来猜出口令系统管理员应做一些任务使得猜出口令更加困难UNIX System V版本添加了口令的时效机制,此机制强迫用户每隔一段时间就改动一次口令,以运用户的口令更加平安 �lETC/PASSWD文件的每一行都包括用户名、口令、用户id、组id、注释、注册目录、注册shell等七个字段,它们彼此用“:〞分隔 如下所示:l lrik : hN6vLm9j : 108 : 101 : rik far : /usr/acct/rik : /bin/sh用户名口令用户ID组ID注册目录注释注册shell� l其中,用户名最长8个字符,全部小写;口令是经过加密处置的,经过在口令后添加逗号〔,〕,加4个字母或数字,可以到达添加口令时限机制;用户ID独一确定用户,0代表超级用户;组ID是由多个用户共享的;注释部分可空;注册目录决议了用户登录后的环境设置;注册SHELL是登录程序执行部分。
� l① 账户口令 lUNIX系统中各个非限制用户都有本人的账户;假设允许一些用户共享账户,那么系统将无法确定用户的任务有鉴于此,不提倡运用共享账户l当某个用户在一段时期不再运用系统,其账户成为非活动账户,应对其设置“不能够口令〞 � l② 口令检查与时限机制l对/ETC/PASSWD文件定期检查,内容包括:文件属主和访问权限;文件中每项内容的正确性;文件完好性,如:能否每个账户都有口令;用户ID为0的用户情况l口令时限机制强迫用户在间隔上次修正口令后的一段时间内修正口令,此机制同时防止用户将上次口令作为新口令运用,保证用户的口令定期加以变化,每次口令修正的时限取决于系统平安要求 �2、系统文件和目录管理 l系统管理员应对系统整体担任,包括UNIX系统命令、设备文件、配置文件、shell命令程序、库文件,以及系统数据库l系统文件和目录必需属于系统账户和系统组;除暂时目录,属于系统账户目录是不允许其他用户写入的;系统账户所属文件不允许其他用户写入;对设备文件应设置正确的属主和权限;对重要文件权限、属主及检查和应进展常规性检查 � l系统管理员应建立完备的系统文件数据库这个数据库包括管理员需求监测的每个文件的文件名以及属主、属组和权限。
假设系统管理员要记录属于用户个人的启动文件,可以将这些文件连同用户的HOME目录一同记录到数据库,以便日后管理,并且定期对照数据库文件检查系统 �3、调整用户特权和组特权 l调整用户和组特权机制在UNIX系统中是非常重要的,经过调整使普通用户可以修正本人的口令、显示自在磁盘空间、发送电子邮件、运用UUCP、显示内核进程表这样,在有限的范围内经过改动用户的特权使许多原来不能完成或需求内核支持的操作得以实现,而同时用户又不可利用这种调整特权进展恣意操作 � l为了防止未经授权的用户运用正常口令进入系统,系统管理员该当定期检查 /ETC/PASSWD文件的正确性和完好性,经常对一切系统文件及目录权限、属主及属组进展检查和清理任务,运转平安性检查程序及时发现非法入侵者 �三、三、 UNIX平安性隐患平安性隐患 lUNIX系统不断没有计划要求具有高度的平安性它是由两个程序员在1969年设计的,本意是为他们本人开发、测试和维护程序用的该系统预定运用场所是“非敌对的〞和易于共享的因此,它的文件、数据、设备的存储空间的共享机制比较简单,没有遭到强维护机制的维护UNIX的系统管理员只被假设为一个程序员,他虽然理部分时间,不能够担任一切的平安管理。
� l系统中设立一个超级用户,他在系统中可以完成任何操作由于超级用户是全能的,大多数系统攻击都把目的锁定在超级用户的权益上一旦得到该权益,哪怕只需几秒钟,入侵者就可以建立一个超级用户在任何时间都可以访问的后门 � l假设系统程序运转在“setuid〞〔设置用户标识符〕方式,对该系统程序共享有访问权的用户就可以获得最高平安权益;当一个用户执行这样的程序时,该程序执行期间的文件访问权就是该程序拥有者的访问权,而不是程序的用户的访问权 � l安排这一特点的初始意图是运用户可以利用系统的适用程序,如mail,并经过这适用程序访问mail级的文件难点在于大多数敏感的适用程序为超级用户所“拥有〞,所以在一个适用程序中暴露的平安性缺陷便给予了很宽的访问权 � l对于UNIX来说,一切的客体〔如目录、I/O设备、甚至存储器的一部分〕都是文件,并用一样的构造与方式进展访问对于用户而言,这种简单性是友好的,但它却牺牲了平安性文件的访问的答应只被检查一次,是在文件翻开时进展的在文件或设备被翻开以后,经过改动其特征,用户便可得到未受检查的访问答应权 � lUNIX系统中不断出现的平安功能是以牺牲系统性能为代价的。
如审计任务,每天每台计算机将产生10兆的数据,这些数据必需写入磁盘以便审计,而且审计任务涉及许多普通系统活动:LS列目录、FIND查找文件等等所以添加平安维护所付出的代价应与其带来的益处持平 � l为了提高UNIX的平安性,人们进展了种种努力,但大多都是经过重写UNIX的内核来实现的,这样提供的系统具有UNIX对外的功能集合但内部构造不同平安专家曾经阐明了假设对UNIX系统进展B2级平安评价会遇到的困难 � l系统要到达较高的平安等级,需求设计出真正平安的操作系统,而且用户和系统管理员遵守相应的平安条例用户能否正确运用,决议了系统能否真正变得平安一切用户必需接受培训并严厉遵守运用条例,只需一个用户没有正确运用系统也将为入侵者翻开大门 �小结l本讲引见实践中广泛运用的NT和UNIX两个操作系统中的平安机制,它们都属于C2平安级档次的商用操作系统l假设可以全面合理地设置各个平安选项,才可以充分利用它们内部的平安机制的才干,使系统处于比较平安的形状。