第2章操作系统与网络安全
第2章操作系统与网络安全
目前,在服务器的操作系统平台上,受广大用户欢迎的有Unix、Linux和Windows。这三个操作系统存在着不少的安全漏洞,如果对这些漏洞不了解,不采取相应的对策和防范措施,就会使系统完全暴露在入侵者的入侵范围之内,随时有可能遭受毁灭性的攻击。
本章主要讨论:
1. 操作系统的安全基础
2. 系统特性和安全策略
3.操作系统的网络安全配置
Unix系统简介
1. Unix系统的由来
Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的业界主流操作系统。由于其功能强大、技术成熟、可靠性好、网络功能强及开放性好,可满足各行各业实际应用的需求,受到了广大用户的欢迎,已经成为重要的企业级操作平台。由于Unix系统强大的生命力,它的用户每年以两位数字以上的速度增长。
?BSD Unix在Unix的历史发展中具有相当大的影响力,被很多商业厂家采用,成为很
多商用Unix的基础。
?BSD在发展中也逐渐衍生出3个主要的分支:FreeBSD,OpenBSD和NetBSD。
?Unix的版权曾经为AT&T所有,之后Novell拥有了Unix,再之后Novell又将版权出
售给了SCO。有很多大公司在取得了Unix的授权之后,开发了自己的Unix产品,比如IBM的AIX,HP的HPUX,SUN的Solaris和SGI的IRIX。
Unix系统在经过20多年的发展成长以后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要包括:
(1)可靠性高。
(2)极强的伸缩性。
(3)网络功能强。
(4)强大的数据库支持功能。
(5)开放性好。
Solaris 桌面
2. Unix常用命令介绍
ls
这个命令相当于DOS中的dir(列目录和文件的命令)
-a:把本目录下所有的文件,包括隐含的文件列出来。
-l:把文件的文件长度、修改的日期等详细信息列出来。
-p:在每个文件名后附一个字符说明文件类型。*表示可执行文件,/表示目录,@表示连接。
-d:将目录当作文件显示,而不是显示其下的文件。
当输入ls -al命令并接回车时,就会列出当前目录下所有文件和目录的名称。
Ls命令
cd
变换目录,和DOS相同。如果你在cd后面没有给定目的地,则表示目的地是根目录。在Unix中有三种表示目录的符号:“.”、“..”、“~”。“.”表示当前目录路径的位置,“..”表示当前路径的上一层目录,或称“父目录”,“~”表示根目录,根目录指每个用户所拥有的目录。如想进入某一目录,只需在cd后加上要进入的目录名,例如cd/etc。
who
列出现在系统里有哪些用户。Unix是一个多用户的操作系统,可以同时有许多人在机器上。who命令可以把他们的名字和终端号都列出来。
Cd命令
cp
cp命令等同于DOS里的copy命令,即复制文件。
例如:cp filel file2会将filel文件复制为file2文件。它有如下几个重要参数:
-r:将目录完全地复制到其他目录里,相当于xcopy。
-p:在Unix里,当你操作时,系统会自动更改文件属主、组、权限和时间。-p参数使这些内容保持不变。
cat
catenate的缩写,意为把内容串起来,其实际作用在于显示文件内容,相当于DOS里面的type命令。
当输入cat/etc/passwd命令,就会显示出本系统的口令文件。
man
英语“manual”的缩写。这是一条使用频率很高的命令,用来得到系统对一个特定命令的帮助信息。例如,如果想得到cat命令的详细帮助信息,就输入man cat。
mv
这个命令是move的缩写,就是移动一个目录或文件。my filel file2就是把文件filel移动为file2,移动后filel会消失,实际上就是把filel改名为file2。
rm
rm就是remove,即删除文件。当需要删除目录以及目录以下的子目录时,需用r参数。grep
在文件当中查找指定字符。例如grep root passwd,其功能为在passwd文件当中寻找root 字符并输出该行。
find
用来搜寻特定文件或目录。其使用格式为:
find[路径][匹配表达式]
主要的匹配表达式有:-name,通过文件名查找;
-perm,通过文件属性查找;
-print,输出搜寻结果。
3. Unix系统基本知识
●超级用户
在Unix系统中有一个名为root的用户,这个用户在系统上拥有最大的权限,即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。
●文件属性
为保护每个用户的私人文件不受他人非法修改,系统为每个文件和目录都设定了属性。
-rwxr--r-- l root wheel 545 Apr 4 12:19 file1
r表示可读,w表示可写,x表示可执行。
文件属性
●Shell
Shell是用户和Unix系统内核之间的接口程序。在提示符下输入的每个命令都由Shell
先解释然后传给Unix内核。可以简单地认为Shell就是Unix的命令解释器,相当于DOS中的。
●输入/输出重定向
重定向用于改变一个命令的输入/输出源。“<”和“>”符号用于把当前命令的输入/输出重走向为指定的文件。
●管道
管道可以把一系列命令连接起来。这意味着第一个命令的输出会通过管道传给第二个命令而作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,以此类推。
Linux系统简介
1. Linux的历史
Unix系统对计算机硬件的要求比较高,对于一般的个人来说,想要在PC机上运行Unix 是比较困难的。而Linux就为一般用户提供了一个使用Unix界面操作系统的机会。因为Linux 是按照Unix风格设计的操作系统,所以在源代码级上兼容绝大部分的Unix标准。可以说相当多的网络安全人员在自己的机器上运行的正是Linux
?1991年4月,芬兰人Linux Benedict Torvalds根据可以在低档机上使用的MINIX设计
了一个系统核心Linux ,但没有使用任何MINIX或UNIX的源代码。
?通过USENET宣布这是一个免费的系统,主要在x86电脑上使用,希望大家一起来
将它完善,并将源代码放到了芬兰的FTP站点上免费下载。本来他想把这个系统称
为freax,可是FTP的工作人员认为这是Linus的MINIX,就用Linux这个子目录来存放,于是它就成了“Linux”。
?这时的Linux只有核心程序,还不能称做是完整的系统,不过由于许多专业用户自
愿地开发它的应用程序,并借助Internet拿出来让大家一起修改,所以它的周边的
程序越来越多,Linux本身也逐渐发展壮大起来。
Linux的获得
最直接的方法就是在Internet上下载,许多站点都Linux以及相关的程序,并且绝大部分都是免费的。
?RedHat
?红旗Linux
?Xteam Linux
?Slackware
?Debian
?SUSE
?Turbo Linux
?Mandrake
Linux界面
2. Linux的特点
(1)与Unix高度兼容。Linux是一种完全符合国际标准的操作系统,它和大部分商业Unix操作系统保持高度的兼容性,几乎所有的Unix命令都可以在Linux下使用。
(2)高度的稳定性和可靠性。Linux是一种完全32位的操作系统(其实Linux可以很容易地升级为64位),具备完善的多任务机制。
(3)完全开放源代码,价格低廉。Linux符合GNU(General Public License)通用公共版权协议,是自由软件,它的源代码是完全开放的,可以免费得到,这对于系统安全人员来说是非常重要的,因为阅读源代码是发现系统漏洞的最主要方法。而且与各种商业操作系统相比。
(4)安全可靠,绝无后门。由于源代码开放,用户不用担心Linux中会存在秘密后门,而且任何错误都会被及时发现并修正,因此Linux可以提供极高的安全性。
3. vi用法介绍
vi是Linux下的一个非常好用的全屏幕文本编辑器。
vi有两种模式,即编辑模式和命令模式。编辑模式用来输入文字资料,而命令模式用来下达一些编排文件、存档以及离开vi等等的操作命令。
进入vi:直接输入vi <文件名>
离开vi:命令模式下键入:q,:wq指令则是存盘后再离开
模式切换:切换到命令模式下需按Esc键
vi编辑器
Windows系统简介
Windows Server 2003有4种版本:Windows Server 2003标准版,Windows Server 2003企业版,Windows Server 2003 Data Center版和Windows Server 2003 Web版。
Windows Server 2003具有:最可靠、高效能、连接性和最经济4大特点。
Windows Server 2003具有4大管理功能:服务器管理、电脑管理、组策略管理和基于Web的管理
WINDOWS操作系统发展历史
微软公司是全球最大的电脑软件提供商,总部设在华盛顿州的雷德蒙市。公司于1975年由比尔·盖茨和保罗·艾伦成立。公司最初以“Micro-soft”的名称(意思为“微型软件”)发展和销售BASIC解释器。最初的总部是新墨西哥州的阿尔伯克基。
Microsoft Windows是一个为个人电脑和服务器用户设计的操作系统,它有时也被称为“视窗操作系统”。它的第一个版本由微软公司发行于1985年,并最终获得了世界个人电脑操作系统软件的垄断地位。所有最近的Windows都是完全独立的操作系统。
WINDOWS版本
?MS-DOS
?Windows
?Windows
?Windows Windows
?Windows NT Windows 95
?Windows NT
?Windows 98
?Windows ME
?Windows 2000
?Windows XP
?Windows Server 2003
?Windows Vista
?Windows Server 2008
比尔·盖茨和他的微软
?1973年, 一个来自于西雅图的18岁孩子比尔·盖茨(Bill Gates) 以优异的成绩进入了
他梦寐以求的哈佛大学. 在这里, 酷爱数学和计算机的他开始了对软件技术的钻研,
写出“伟大的软件”是这个年轻人的目标和理想。也就是在这期间, 比尔·盖茨开
始了最初的商业尝试。他为当时的Altair 8800电脑设计出了第一个BASIC语言解译
器, 这是一种简单易用的计算机程序设计语言, 同时也是后来MS-DOS操作系统的基础-- Microsoft BASIC。虽然在计算机方面取得了一些突破性的成功, 但是在人才济济的哈佛, 比尔·盖茨的综合成绩也只能算是一般。在大学三年级的时候, 盖茨做出了
一个令他人难以理解的决定, 他从世界级学府哈佛退学了。凭借从BASIC项目上拿到的版权费, 比尔·盖茨与孩提时代的好友保罗·艾伦(Paul Allen) 在新墨西哥州中部城
市Albuquerque一同创建了“Micro-soft” (意为“微型软件”) 公司。从此以后, 比尔·盖茨把全部精力投入到了自己喜欢的事业。
Windows 简介
?Microsoft Windows 的设计工作花费了55个开发人员整整一年的时间, 并于1985年
11月20日正式发布, 售价100美元. Windows 基于, 支持256K的内存, 显示色彩为256色。由于是图形化的界面, Windows 支持鼠标操纵和多任务并行, 窗口(Window) 成为Windows中最基本的界面元素。Windows 窗口可以任意缩放,每个Windows
应用程序都有自己单独的菜单。Windows 还包括了一些至今仍保留在Windows中
的经典应用程序, 如日历、记事本、计算器等等。
Windows 用户界面
Windows 简介
?1987年12月9日, Windows 发布, 售价依然是100美元。Windows 改进了Windows
中一些不太人性化的地方。我们熟悉的“最大化”和“最小化”按钮开始出现在了每个窗口的顶部。由于在图标的设计上, 微软借鉴了一些Mac OS的风格和元素, 还因此一度被苹果公司告上了法庭。除了界面上的改进, 现在Office系列的Microsoft Word和Microsoft Excel也初次在Windows 中登场亮相. 不到一年的时间, 微软又相继发布了Windows/286 和Windows/386 , 这两个版本分别针对Intel的286和386
处理器做了一定的优化。1989年, 微软推出了Windows , 这个版本在内存管理和打印驱动上做了一些小的改进。
Windows 用户界面
Windows 简介
1990年5月22日, Windows 正式发布。由于个人电脑的功能越来越强大, 在用户的计算机上, Windows的运行速度也随之流畅了起来。而微软也趁机在这个中加入了虚拟设备驱动的支持, 使得Windows有了非常好的可扩展性, 虚拟技术的运用不仅提升了硬件兼容性也提升了软件的兼容性, 从Windows 开始, MS-DOS的程序终于可
以在一个单独的窗口中运行了。此外, 这一版的操作系统还改进了内存管理技术和
对286、386处理器的支持, 并且有越来越多的Windows标准组件被加入。Windows 用户界面
Windows 简介
?借着Windows 成功, 微软于1992年3月18日发布了Windows . 这是一个可靠性很
高的版本, 很少崩溃。多媒体技术的加入使这一版本开始支持音频和视频的播放。
同时, Windows 引入可缩放的TrueType字体技术, 使得Windows成为了重要的桌面出版平台。接下来, 微软又分别在1992年底和1993年底发布了Windows for
Workgroups 和Windows for Workgroups , 加入了一系列的网络协议支持。随着1992年微软正式进入中国, Windows逐渐开始在国内流行起来。1994年发布的Windows 是很多国内用户第一次接触的Windows操作系统, 它的简单易用性深深吸引了中国的电脑玩家。Windows 根据Windows for Workgroups做了不少本地化工作, 事实上, 这是微软针对中国市场而专门开发的产品, 它只有中文版。
Windows 用户界面
Windows 用户界面
Windows NT 简介
?开发Windows NT的历史大概要追溯到1988年, 这个系统本来是由微软和IBM联合
研制的NT OS/2 (OS/2 版) 。当时, 微软试图打入工作站市场, 而Windows支持的Intel X86芯片并不是工作站处理器, 所以, 微软就雇用了DEC公司的团队来专门开发这个产品。后来, 由于Windows 的成功, 微软决定把NT OS/2的程序开发接口由OS/2 API 改为Windows API。这一举动引起了IBM的不满, 两家公司就此分道扬镳。IBM继续
开发自己的OS/2, 而微软则把OS/2 NT改名为Windows NT, 并推向市场, 这就是
Windows NT 。
?Windows NT 于1993年发布. 从表面上看, 它和Windows 并无太大区别。然而, 由
于完全重写的纯32位内核, 注定了Windows NT是一个优秀的新产品, 比Windows
系列强大得多。它既可以在专业的工作站上使用, 也可以在基于Intel芯片的PC机上运行。从此, 微软在商用和家用市场都有了自己的主打产品。第二年, 开发代号为
“Daytona” 的Windows NT 发布。这一次, 微软把NT操作系统分为了工作站版本
和服务器版本, 这也为后来NT非商业系列的开花结果埋下了种子。Windows NT 包括了新的开机画面, 类似于Windows for Workgroups 的用户界面, 以及改进的OLE
(对象嵌入) 技术。由于大量新技术的加入, Windows NT 和成为了微软在商用市场最好的试金石。
Windows NT 用户界面
Windows NT 用户界面
Windows 95 简介
?不管是Windows 也好还是Windows 也好, 它们都是基于MS-DOS的Windows系统。
而微软希望在桌面市场能有一款像NT那样32位的操作系统, 于是一款代号为
“Chicago” (芝加哥) 的操作系统被提上了开发日程, 这也就是后来的Windows 95。
?1995年8月24日, Windows 95正式发行, 这是第一款以年份来命名的Windows, 正
式的版本号是。Windows 95是一个16位/32位混合模式的系统, 它可以完全独立于MS-DOS运行。大量的组件和新概念在Windows 95中被引入, 如开始菜单和任务栏这样的优秀桌面对象, 以及高性能的抢占式多任务和多线程技术, 即插即用技术,
更丰富的多媒体程序等等。
Windows 95 用户界面
Windows NT 简介
?1996年6月29日, Windows NT 正式发布。这个版本使用了Windows 95的桌面外观,
增加了许多实用的服务管理工具, 包括后来为微软征战Web服务器市场立下了汗马功劳的IIS 工具。不过在桌面应用上, Windows NT 的易用性还是不能和Windows 95相提并论, 它不支持新版的DirectX接口。这种情况直到后来的Windows NT , 也就
是Windows 2000才有所改善。微软对Windows NT的技术支持一直持续了好几年, 期间一共发布了6个服务包(Service Pack) 来修补漏洞和提供一些新功能。由于不错的稳定性, 这个版本的Windows软件在进入21世纪后仍被不少公司使用着。Windows NT 用户界面
Windows 98 简介
?借着之前的成功, 微软于1998年6月25日推出了Windows 95的接班人Windows 98,
原开发代号为“Me mphis” (孟菲斯) , 标准版本号是。Internet Explorer 开始具有了类似资源管理器的界面, 两者的紧密衔接也成为日后微软在其系统产品中捆绑
Internet Explorer的重要理由。同时, 快速启动栏也作为重要的界面元素被加入,
Windows 98的安装程序较之更为Windows 95方便易用, 内存应用效率被大大提升, 任务管理程序更加强大。在对MMX和AGP这些新硬件的支持上Windows 98也做了不小的改进, 增加了1200多个驱动程序的支持。Windows 98 SE (Second Edition; 第二版) 发行于1999年6月10日。它修正了前一版中的一些小问题, 同时包括了一系列的更新, 例如Internet Explorer 5、Windows NetMeeting 3、局域网的Internet连接共享、对DVD-ROM和对USB的支持等等。而DirectX 游戏接口的加入, 更使得
Windows系统成为了绝佳的游戏平台。
Windows 98 用户界面
Windows 2000 简介
?在发布了Windows NT 之后, 微软NT产品线的下一个目标自然就是Windows NT 。
不过微软又一次使用了年份来为Windows产品命名, 1998年10月, Windows NT 5被更名为Windows 2000。
?Windows 2000于2000年2月17日正式推出, 针对不同的用户群体共发布了4个版
本: Professional (专业版) 、Server (服务器版) 、Advanced Server (高级服务器版) 以及Datacenter Server (数据中心服务器版) 。其中, 专业版其实是由以前的工作站
(Workstation) 版本演变而来, 可以说是NT系列第一款真正意义上的桌面系统, 这个版本为后来Windows XP的诞生做好了铺垫。而后面3个商业级的产品, 标志着微软开始向服务器市场发起了强有力的冲击。Windows 2000是一个革命性的产品, 它包含了很多全新的技术。
?用户层和核心层的分离使得NT系统架构更加合理、稳定, 而NTFS文件系统、EFS (文
件加密系统) 、RAID-5存储方案、分布式文件系统、活动目录等大量新功能也在此时首次登场。在对硬件产品的支持上, Windows 2000的进步亦是相当的明显。对多路处理器的支持使得Windows NT可以作为专业的服务器使用, 即全新插即用技术
的应用是我们能够方便的使用USB、1394等设备。同时, 管理控制台(MMC) 也作为一个重要的管理工具被引入。而在Windows NT 中不被支持的新游戏接口也被加入到了Windows 2000中, 这就是DirectX 。但是, 正因为大量新技术的加入, 给
Windows 2000带来了不少潜在的系统漏洞, 这也为后来“冲击波”等蠕虫病毒的猖獗种下了祸根。
Windows 2000 用户界面
Windows Me 简介
?在Windows 98第二版推出之后, 微软又开始了其第三版的开发工作。后来这个系统
被正式更名为了Windows Millennium Edition (千禧版) , 简称Windows Me, 发行日期是2000年9月14日。Windows Me的定位是家庭娱乐, 相对于Windows 98来说更新并不大, 主要升级了一些常用软件, 如Internet Explorer 和Windows Media
Player 。同时, Windows Me还新加入了一系列的小游戏, 用来制作家庭电影的Movie Maker和并不成熟的“系统还原”技术。Windows Me是最后一个16位/32位混合模式的Windows 9X系列产品, 我们从它的版本号也可以看到微软的这一意图。由于相对于Windows 98的更新并不多, Windows Me并未获得用户们的普遍认同。很多
人认为这几乎是微软在Windows 以后, 最失败的一次系统发布。然而, Windows Me 并非一无是处, 它的开关机速度至今仍是所有32位Windows中最快的。而那些被大众批评为不成熟的新功能后来又以全新的面貌和更稳定的性能出现在了以NT内核
为基础的个人操作系统上。
Windows Me 用户界面
Windows XP 简介
?早在1999年, Windows 2000未发布的时候, 微软就有推出一个Windows 2000家庭
版的打算, 这就是代号为“Neptune” (海王星) 的操作系统。很可惜, 仅推出一个
Alpha版本之后, 这个计划便不幸夭折。下一个家庭版的操作系统最终还是放在了
Win9X产品线上, 也就是Windows Me。不过微软并没有放弃为Windows 2000打造家庭版的打算, 实际上“Neptune” 是一个被代号为“Whistler” 的产品取代了, 这就是后来的Windows XP。
?Windows XP于2001年8月24日正式发布, 没有按年份来命名, 字母XP的意思是
“体验”(由experience而来) 。Windows XP的版本号是(也就是Windows NT 。
?最初只发行了两个版本: 专业版(Professional) 和家庭版(Home Edition) , 后来又相
继推出了媒体中心版(Media Center Edition) 、平板电脑版(Tablet PC Edition) 、嵌入版(Embedded) 、64位版(x64 Edition) 、入门版(Starter Edition) 以及为低端PC定制的精简版(Fundamentals for Legacy PCs) 等。
?Windows XP对Windows 2000进行了很多人性化的更新, 使其更适应家庭用户。XP
继承并升级了Windows Me中的很多组件, 包括Media Player、Movie Maker、Windows Messenger、帮助中心和系统还原等等, 此外, XP还捆绑了IE 和一个简单的防火墙。
然而, 越来越多的附加功能, 也使得微软遭到了越来越多的质疑。Windows XP拥有
全新设计的用户界面, 这是自Windows 95以来, 微软对Windows外观做的最大一次“整容手术”。此外, 微软还为Windows XP编写了大量的硬件驱动程序, 使得其兼容性有了进一步的提升。
Windows XP 用户界面
Windows server 2003 简介
?在新的市场体系形成后, 微软把原有的NT高端产品系列划分为了Windows Server
家族。与面向个人的NT系统(如XP) 不同, 这一系列的产品继续使用年份来命名,
所以, Windows Server 2003和XP属于同一代产品。Windows Server 2003早期的开发代号为“Whistler Server” , 后来曾一度被命名为“Windows .NET Server”。
?Windows Server 2003于2003年3月28日问世, 真实版本号为。针对不同的商业需
求, Windows Server 2003进一步细分了版本子集, 包括Web版、标准版、企业版和
数据中心版这4个版本。
?在对Windows 2000中的活动目录、组策略操作和管理、磁盘管理等众多服务器组件
作了较大改进后, Windows Server 2003在稳定性和安全性上有了实质性的飞跃。其
中, IIS6的推出便大大提升了Windows Server 2003作为Web服务器的可靠性。
?2005年年中, 微软发布了第一个补丁包(SP1) , 为Windows Server 2003提供了那些
在Windows XP SP2中包含的安全性更新。同年年底, 微软又推出了Windows Server
2003 R2, 包含了很多原版中不具备的新功能。但是客户们并不能免费升级到R2版, 而是需要付费更新。
Windows server 2003 界面
Windows Vista 简介
?Windows Vista的开发代号为“Longhorn” , 原定于2003年发布。Longhorn最初被
定位为个人操作系统, 是Windows XP和再下一代操作系统(也就是“Blackcomb” ) 之间的过渡产品。但是后来微软把越来越多的功能加入到了这个系统中, 导致发布
计划一拖再拖, 甚至被嘲笑为一个“永远都发布不了的产品”。到了2004年,
Longhorn甚至还无法推出一个像样的Beta版本. 此后, 微软终于下定决心, 砍掉部
分功能, 为Longhorn计划全面“瘦身”。2005年7月, 微软将Longhorn正式更名为Windows Vista (版本号。几天之后, 微软发布了Windows Vista的Beta1版, 之后又在次年的5月推出具有完整功能的Beta2版。最终版本于2006年11月发布。Vista 有6个不同的版本发售, 他们分别是: Starter (入门版) 、Home Basic (家庭基础版) 、Home Premium (家庭特惠版) 、Business (商业用户版) 、Enterprise (企业用户版) 和拥有全部功能的Ultimate (极限版本) 。
Windows Vista 用户界面
Windows server 2008 简介
?Windows Server 2008操作系统2008年2月27日发布。
?微软公司希望Windows server 2008的销售将刺激企业客户广泛采用Windows Vista
操作系统。迄今为止,企业客户强烈要求微软对XP系统进行升级。
?微软还寄希望于Windows Server 2008中的全、虚拟、Web工作效率、企业智能等新
特性能够吸引企业IT经理的兴趣。
?今年微软公司将发布SQL Server 2008软件,微软希望这一产品将吸引消费者构建他
们的高端数据库,在这一市场,微软没有参与先前的竞争。
?而使用者在测试微软的Windows Server 2008软件测试版时表示,软件在安全上提供
的重大改进超过了先前的版本。
Windows server 2008 界面
Windows 注册表
Unix网络配置
1. 网络配置文件
(1)/etc/hosts文件
该文件的目的是提供简单的主机名到IP地址的转换。
一个例子,其中以“#”打头的行表示注释:
# IP ADDRESS F QDN ALIASES
localhost
host1
host2
(2)/etc/ethers文件
当一个主机在本地网络上,并知道其IP地址时,TCP/IP将它转换成实际的以太网地址。这可以通过地址转换协议(ARP),或者创建一个/etc/ethers文件并由该文件列出所有的以太网地址列表来实现。
该文件的格式是:前面是以太网地址,后面是正式的主机名,例如:
# Ethernet Address Hostname
5:2:21:3:fc:1a host1
2:54:12:4:54:7f host2
e1:0:c1:1:9:23 host3
(3)/etc/networks 文件
该文件提供了一个Internet上的IP地址和名字。每一行提供了一个特定的网络的信息,例如:
# NETWORK NAME IP ADDRESS
loopback 127
该文件中的每一项包括一个网络的IP地址、名称、别名和注释。
(4)/etc/protocols文件
该文件提供了一个已知的DARPA Internet协议的列表。
下例每行包含了协议名、协议号以及该协议的别名:
# Internet(IP)protocols
ip 0 IP # internet protocol, pseudo protocol number
icmp 1ICMP # internet control message protocol
ggp 3 GGP # gateway to gateway protocol
tcp 6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user data gram protocol
hello 63 HELLO # HELLO Routing Protocol
(5)/etc/services文件
该文件提供了可用的服务列表。对每一个服务,文件中
的每一行提供了下述信息:
正式服务名、端口号、协议名、别名
# Network services Internet style
#
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp
ftp 21/tcp
telnet 23/tcp
2. Unix文件访问控制
Unix系统的资源访问控制是基于文件的,为了维护系统的安全性,系统中每一个文件都具有一定的访问权限,只有具有这种访问权限的用户才能访问该文件,否则系统将给出Permission Denied的错误信息。
有三类用户:用户本人、用户所在组的用户、其它用户
允许权:R--读W--写X--执行
允许权组:A--管理员(所有权利)V--属主
G--组O--其他每个人
3. NFS文件访问系统的安全
Sun的网络文件系统(NFS)是最重要的、也是最脆弱的网络服务,因为它提供了完全的对文件和目录的访问。NFS访问控制机制的主要安全漏洞在于它的难维护性和控制的非精确性,另一个漏洞是它没有用户验证机制,即使使用所谓安全的NFS实现方案,也没有用户验证。
由于NFS对用户的认证非常简单,并且对NFS设置错误的例子比比皆是。因此NFS对
网络安全的危害是非常巨大的。
NFS对网络安全的危害是非常巨大的,具体有四点:
(1)对可以安装调出文件卷的主机没有限制,将使得任何主机都可以安装,因此攻击者所在的主机也一样可以安装它。即使没有其它权限,攻击者通过这一步便已看到了系统的许多信息。
(2)没有明确地设置调出文件卷为只读,则调出文件卷在客户端缺省为可读、可写。这时候攻击者便可以增加,修改,删除或替换NFS服务器上的文件。需要明确指出的是,调出文件卷缺省为可写。
(3)许多主机常常将NFS服务器上的系统信箱和用户主目录所在的目录调出。安装这些目录的用户,只要具有文件属主的UID和GID,便可以阅读这些文件。这只要攻击者在本机是超级用户,那么他便可以用su命令变成任何普通用户,或者诸如bin这类的特殊用户。
(4)有一些系统甚至将NFS服务器上的根目录调出。这等于是将系统送到别人眼底。系统的一切秘密暴露无疑。攻击者只需用命令“su bin”变成bin用户,或者与root同组的用户,便可以替换系统一些启动时的文件。
设置NFS时的一些安全事项:
●限制可安装调出文件卷的客户机及可安装的目录。
●如果可能,将文件系统以只读方式调出去。
●对调出的文件及目录设置为root所有。
●不要将服务器的可执行文件调出。
●不要将用户目录调出去。
●使用安全的NFS。
Windows 网络配置
1. Windows的资源访问控制
Windows 对象中有一个安全性描述符,安全性描述符上列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性,所有的命名对象、进程和线程都有与之关联的安全描述符。Windows 安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例,这些安全信息,包括下列元素:所有者、组、自由ACL、系统ACL、存取令牌(Access Token)。
安全子系统按照下面步骤来比较存取令牌:
(1)从ACL的顶部开始,安全子系统检查每个访问控制项,看是否显式地拒绝该用户所要求的访问形式,如读的操作、写的操作等,或是否显式地拒绝该用户所在组的这种形式的访问。
(2)进行检查,看是否是用户要求的访问类型已经显式地授予用户,或已经授予用户所在的组。
(3)对ACL每次重复(1)、(2)步,直到遇到显式地拒绝,或者直到累计所有的许可,以授权所要求的访问。
(4)如果对于每个需要的许可,ACL中没有拒绝也没有授权,则用户将被拒绝。
2. Windows 的NTFS文件系统
NTFS文件系统是一种安全的文件系统,因为它支持文件访问控制,人们可以设置文件和目录的访问权限,控制谁可以使用这个文件,以及如何使用这个文件。
五个预定义的许可为:
拒绝访问,读取,更改,完全控制和选择性访问。
NTFS文件系统具有如下的特点:
(1)NTFS可以支持的分区大小可以达到2TB。
(2)NTFS是一个可恢复的文件系统。
(3)NTFS支持对分区、文件夹和文件的压缩。
(4)NTFS采用了更小的簇,可以更有效率地管理磁盘空间。
(5)在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。
(6)在NTFS文件系统下可以进行磁盘配额管理。
(7)NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。
小结
本章内容:
1.Unix是一个多任务多用户的操作系统,它具有:可靠性高、极强的伸缩性、网络功能强、强大的数据库支持功能和开放性好等特点。
2.Linux是按照Unix风格设计的操作系统,所以在源代码级上兼容绝大部分的Unix标准。Linux主要具有:与Unix高度兼容、高度的稳定性和可靠性、完全开放源代码,价格低廉和系统安全可靠,绝无后门等特点。
3.Windows NT具有支持多种网络协议、内置的因特网功能和支持NTFS文件系统等显著特点。注册表是Windows系统的核心数据库。
4.Unix网络配置和Windows网络配置。
习题与思考题
1.网络操作系统与单机操作系统之间的主要区别是什么?
2.局域网操作系统有哪些基本服务功能?
3.Unix操作系统的主要特点有哪些?
4.Linux操作系统的主要特点有哪些?
5.Windows 操作系统的主要特点有哪些?
6.Windows 操作系统的安全特点是什么?
7.Unix操作系统的文件访问控制是基于什么来完成的?
8.Unix操作系统对文件进行操作的有哪三类用户?
9.简述NTFS文件系统的特点?
10.在Windows操作系统中对文件访问许可设置有哪些?
11.在Windows操作系统中对目录访问许可设置有哪些?