Unix-Linux操作系统安全技术PPT课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机科学与工程系
8.1.3 PAM认证机制
8.1.3 PAM认证机制
• 嵌入式认证模块(PAM)机制采用模块化设计和插 件功能,使得管理员可以轻易地在应用程序中插 入新的鉴别模块或替换原先的组件,而不必对应 用程序做任何修改,从而使软件的定制、维持和 升级更加轻松,因为鉴别机制与应用程序之间相 对独立。
久记录
计算机科学与工程系
8.4.1 日志查看技术 8.4.1 日志查看技术
• wtmp和utmp文件都是二进制文件,他们不能被诸如 tail、cat命令进行剪贴或合并。用户需要使用who、w、 users、last和ac来使用这两个文件包含的信息。
以将其变成超级用户,但并不是所有的超级用户都能很 容易的登录到Unix系统中,这是因为,Unix系统使用了 可插入认证模块(PAM)进行认证登录,PAM要求超 级用户只能在指定的终端上进行访问,这种指定的终端 是可以保证安全的。
• 2.root账户的安全
• root用户账户也是有密码的,这个密码可以对那些通过 控制台访问系统的用户进行控制,即使是使用su命令的 用户也不例外。
日志文件及其功能说明
功能及说明 记录Http∕Web的传输 记录用户命令 记录Modem的活动 记录失败的记录 记录最近几次成功登录的事件和最后一
次不成功的登录 从syslog中记录信息 记录使用sudo发出的命令 从syslog中记录信息 记录当前登录的每个用户 一个用户每次登录进入和退出时间的永
Tripwire是目前最为著名的UNIX下文件系统完整性检查的软 件工具,这一软件采用的技术核心就是对每个要监控的文 件产生一个数字签名,并保留下来。当文件现在的数字签 名与保留的数字签名不一致时,那么现在这个文件必定被 改动过了。
计算机科学与工程系
8.3.3 NFS简介及相关安全性问题 1.NFS的基本工作原理
• Linux所做的第一个安全措施就是启用防火墙。 • Linux所做的第二个安全措施是服务器的导出选项。相
关的导出选项有如下几类: • (1)读写服务器访问; • (2)UID与GID挤压; • (3)端口安全; • (4)锁监控程序; • (5)部分挂接与子挂接。
计算机科学与工程系
8.4 日志查看与分析
守 物理安全
卫
文
账
件 、
用 户
号
目
名
安
录
、
全
权 限
口 令
防
火
墙
网络安全
技
术
计算机科学与工程系
8.1 账户安全管理
8.1.1 root账户的管理 在Unix\Linux系统中,root账号就是一个超级用户账户。
以超级用户可以对系统进行任何操作。
• 1.超级用户
• 而Unix\Linux超级用户账户可以不止一个。 • 在Unix系统中,只要将用户的UID和GID设置为0就可
• 用户口令技术 • 影子口令机制 • 一次性口令机制
计算机科学与工程系
8.3 文件系统安全 文件和目录的权限 文件系统完整性检查
计算机科学与工程系
8.3.1 文件和目wenku.baidu.com的权限
Unix系统中的每个文件和目录都有访问许可权限,文件或目录 的访问权限分为三种:
• 只读 • 只写 • 可执行
有三种不同类型的用户可对文件或目录进行访问:
Unix系统中,主要分为以下3种形式的日志系统:
• (1)记录连接时间的日志 系统中多个进程运行时,把记录写入到∕var∕log∕wtmp和 ∕var∕run∕utmp,这两个文件的更新由login等进程完成,以便于管 理员跟踪谁在何时登录了系统。
• (2)进程统计 由系统内核执行。进程的执行和终止,都将被记录到统计文件 pacct和acct中。该系统的目的是为系统中的基本服务提供命令
• NFS由服务器端和客户机端两部分组成。 • NFS是通过RPC即远程过程调用来实现的,使得远程
的计算机节点执行文件的操作命令就像执行本地文件 的操作命令一样,可以执行创建文件、创建目录、删 除文件、删除目录等文件操作命令。
计算机科学与工程系
8.3.3 NFS简介及相关安全性问题
2.NFS安全性的实现
• 文件所有者 • 同组用户 • 其他用户
每一文件或目录的访问权限有三组,每组用三位表示,分别为
• 文件属主的读、写和执行权限; • 与属主同组的用户的读、写和执行权限; • 系统中其他用户的读、写和执行权限。
计算机科学与工程系
8.3.1 文件和目录的权限
确定了一个文件的访问权限后,用户可以利用系 统提供的的命令对权限进行设置
操作系统安全
第八章 Unix/Linux 操作系统安全技术
第八章 Unix/Linux操作系统安全技术
8.1 账户安全管理 8.2 口令安全与访问控制 8.3 文件系统安全 8.4 日志查看与分析 8.5 网络服务安全 8.6 备份与恢复
计算机科学与工程系
Unix安全模型
UNIX是一个强大的多用户、多任务操作系统,支持多种处 理器架构,按照操作系统的分类,属于分时操作系统。因 为安全可靠,高效强大的特点,其在服务器领域得到了广 泛的应用。图8-1为Unix操作系统的一个安全模型:
• 应用程序可以通过PAM API(由pam.conf控制)方 便的使用PAM提供的各种鉴别功能,而不必了解 太多的底层细节。
计算机科学与工程系
PAM认证机制
应用程序
su
telent
ftp
Pam.conf
PAM API
UNIX
kerberos
智能卡
认证机制
计算机科学与工程系
8.2 口令安全与访问控制 Unix中常用的口令机制
使用情况统计。 • (3)错误日志
由syslog(8)执行各种系统守护进程、用户程序和内核通过 syslog(3)向文件∕var∕log∕messages报告值得注意的事件。
计算机科学与工程系
日志文件 access-log acct∕pacct aculog btmp lastlog
message sublog suslog utmp wtmp
• chmod命令来重新设定不同的访问权限。 • chown命令来更改某个文件或目录的所有者。 • chgrp命令来更改某个文件或目录的用户组
计算机科学与工程系
8.3.2文件系统完整性检查
对于庞大的系统文件,管理员对每一个文件都进行检查室 难以想象的,而Tripwire能够提供这种帮助,它不是为了抵 御攻击者而设计的,然而它能够帮助判断系统的一些重要 文件是否被攻击者修改,即系统完整性检查工作。
8.1.3 PAM认证机制
8.1.3 PAM认证机制
• 嵌入式认证模块(PAM)机制采用模块化设计和插 件功能,使得管理员可以轻易地在应用程序中插 入新的鉴别模块或替换原先的组件,而不必对应 用程序做任何修改,从而使软件的定制、维持和 升级更加轻松,因为鉴别机制与应用程序之间相 对独立。
久记录
计算机科学与工程系
8.4.1 日志查看技术 8.4.1 日志查看技术
• wtmp和utmp文件都是二进制文件,他们不能被诸如 tail、cat命令进行剪贴或合并。用户需要使用who、w、 users、last和ac来使用这两个文件包含的信息。
以将其变成超级用户,但并不是所有的超级用户都能很 容易的登录到Unix系统中,这是因为,Unix系统使用了 可插入认证模块(PAM)进行认证登录,PAM要求超 级用户只能在指定的终端上进行访问,这种指定的终端 是可以保证安全的。
• 2.root账户的安全
• root用户账户也是有密码的,这个密码可以对那些通过 控制台访问系统的用户进行控制,即使是使用su命令的 用户也不例外。
日志文件及其功能说明
功能及说明 记录Http∕Web的传输 记录用户命令 记录Modem的活动 记录失败的记录 记录最近几次成功登录的事件和最后一
次不成功的登录 从syslog中记录信息 记录使用sudo发出的命令 从syslog中记录信息 记录当前登录的每个用户 一个用户每次登录进入和退出时间的永
Tripwire是目前最为著名的UNIX下文件系统完整性检查的软 件工具,这一软件采用的技术核心就是对每个要监控的文 件产生一个数字签名,并保留下来。当文件现在的数字签 名与保留的数字签名不一致时,那么现在这个文件必定被 改动过了。
计算机科学与工程系
8.3.3 NFS简介及相关安全性问题 1.NFS的基本工作原理
• Linux所做的第一个安全措施就是启用防火墙。 • Linux所做的第二个安全措施是服务器的导出选项。相
关的导出选项有如下几类: • (1)读写服务器访问; • (2)UID与GID挤压; • (3)端口安全; • (4)锁监控程序; • (5)部分挂接与子挂接。
计算机科学与工程系
8.4 日志查看与分析
守 物理安全
卫
文
账
件 、
用 户
号
目
名
安
录
、
全
权 限
口 令
防
火
墙
网络安全
技
术
计算机科学与工程系
8.1 账户安全管理
8.1.1 root账户的管理 在Unix\Linux系统中,root账号就是一个超级用户账户。
以超级用户可以对系统进行任何操作。
• 1.超级用户
• 而Unix\Linux超级用户账户可以不止一个。 • 在Unix系统中,只要将用户的UID和GID设置为0就可
• 用户口令技术 • 影子口令机制 • 一次性口令机制
计算机科学与工程系
8.3 文件系统安全 文件和目录的权限 文件系统完整性检查
计算机科学与工程系
8.3.1 文件和目wenku.baidu.com的权限
Unix系统中的每个文件和目录都有访问许可权限,文件或目录 的访问权限分为三种:
• 只读 • 只写 • 可执行
有三种不同类型的用户可对文件或目录进行访问:
Unix系统中,主要分为以下3种形式的日志系统:
• (1)记录连接时间的日志 系统中多个进程运行时,把记录写入到∕var∕log∕wtmp和 ∕var∕run∕utmp,这两个文件的更新由login等进程完成,以便于管 理员跟踪谁在何时登录了系统。
• (2)进程统计 由系统内核执行。进程的执行和终止,都将被记录到统计文件 pacct和acct中。该系统的目的是为系统中的基本服务提供命令
• NFS由服务器端和客户机端两部分组成。 • NFS是通过RPC即远程过程调用来实现的,使得远程
的计算机节点执行文件的操作命令就像执行本地文件 的操作命令一样,可以执行创建文件、创建目录、删 除文件、删除目录等文件操作命令。
计算机科学与工程系
8.3.3 NFS简介及相关安全性问题
2.NFS安全性的实现
• 文件所有者 • 同组用户 • 其他用户
每一文件或目录的访问权限有三组,每组用三位表示,分别为
• 文件属主的读、写和执行权限; • 与属主同组的用户的读、写和执行权限; • 系统中其他用户的读、写和执行权限。
计算机科学与工程系
8.3.1 文件和目录的权限
确定了一个文件的访问权限后,用户可以利用系 统提供的的命令对权限进行设置
操作系统安全
第八章 Unix/Linux 操作系统安全技术
第八章 Unix/Linux操作系统安全技术
8.1 账户安全管理 8.2 口令安全与访问控制 8.3 文件系统安全 8.4 日志查看与分析 8.5 网络服务安全 8.6 备份与恢复
计算机科学与工程系
Unix安全模型
UNIX是一个强大的多用户、多任务操作系统,支持多种处 理器架构,按照操作系统的分类,属于分时操作系统。因 为安全可靠,高效强大的特点,其在服务器领域得到了广 泛的应用。图8-1为Unix操作系统的一个安全模型:
• 应用程序可以通过PAM API(由pam.conf控制)方 便的使用PAM提供的各种鉴别功能,而不必了解 太多的底层细节。
计算机科学与工程系
PAM认证机制
应用程序
su
telent
ftp
Pam.conf
PAM API
UNIX
kerberos
智能卡
认证机制
计算机科学与工程系
8.2 口令安全与访问控制 Unix中常用的口令机制
使用情况统计。 • (3)错误日志
由syslog(8)执行各种系统守护进程、用户程序和内核通过 syslog(3)向文件∕var∕log∕messages报告值得注意的事件。
计算机科学与工程系
日志文件 access-log acct∕pacct aculog btmp lastlog
message sublog suslog utmp wtmp
• chmod命令来重新设定不同的访问权限。 • chown命令来更改某个文件或目录的所有者。 • chgrp命令来更改某个文件或目录的用户组
计算机科学与工程系
8.3.2文件系统完整性检查
对于庞大的系统文件,管理员对每一个文件都进行检查室 难以想象的,而Tripwire能够提供这种帮助,它不是为了抵 御攻击者而设计的,然而它能够帮助判断系统的一些重要 文件是否被攻击者修改,即系统完整性检查工作。