第2章

操作系統(tǒng)與網(wǎng)絡(luò)安全

目前，在服務(wù)器的操作系統(tǒng)平臺上，受廣大用戶歡迎的有Unix、Linux和WindowsNT。這三個操作系統(tǒng)存在著不少的安全漏洞，如果對這些漏洞不了解，不采取相應(yīng)的對策和防范措施，就會使系統(tǒng)完全暴露在入侵者的入侵范圍之內(nèi)，隨時有可能遭受毀滅性的攻擊。

本章就是從上述問題著手，來討論：

1.Unix、Linux和WindowsNT等操作系統(tǒng)的安全基礎(chǔ)

2.系統(tǒng)特性和安全策略

3.Unix和WindowsNT操作系統(tǒng)的網(wǎng)絡(luò)安全配置

2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介

2.1.1Unix系統(tǒng)的由來 Unix操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個實驗室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠的業(yè)界主流操作系統(tǒng)，經(jīng)歷了一個逐步成長、不斷完善的發(fā)展過程。由于其功能強大、技術(shù)成熟、可靠性好、網(wǎng)絡(luò)功能強及開放性好，可滿足各行各業(yè)實際應(yīng)用的需求，受到了廣大用戶的歡迎，已經(jīng)成為重要的企業(yè)級操作平臺。由于Unix系統(tǒng)強大的生命力，它的用戶每年以兩位數(shù)字以上的速度增長，可以肯定地說，Unix是可以進入21世紀(jì)的少數(shù)幾種操作系統(tǒng)平臺之一。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介 Unix系統(tǒng)在經(jīng)過20多年的發(fā)展成長以后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要包括： 1．可靠性高。 2．極強的伸縮性。 3．網(wǎng)絡(luò)功能強。 4．強大的數(shù)據(jù)庫支持功能。 5．開放性好。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介2.1.2Unix常用命令介紹ls

這個命令相當(dāng)于DOS中的dir（列目錄和文件的命令）-a：把本目錄下所有的文件，包括隱含的文件列出來。-l：把文件的文件長度、修改的日期等詳細信息列出來。-p：在每個文件名后附一個字符說明文件類型。*表示可執(zhí)行文件，／表示目錄，＠表示連接。-d：將目錄當(dāng)作文件顯示，而不是顯示其下的文件。 當(dāng)輸入ls-al命令并接回車時，就會列出當(dāng)前目錄下所有文件和目錄的名稱。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介cd

變換目錄，和DOS相同。如果你在cd后面沒有給定目的地，則表示目的地是根目錄。在Unix中有三種表示目錄的符號：“．”、“．．”、“~”?！埃北硎井?dāng)前目錄路徑的位置，“．．”表示當(dāng)前路徑的上一層目錄，或稱“父目錄”，“~”表示根目錄，根目錄指每個用戶所擁有的目錄。如想進入某一目錄，只需在cd后加上要進入的目錄名，例如cd／etc。who

列出現(xiàn)在系統(tǒng)里有哪些用戶。Unix是一個多用戶的操作系統(tǒng)，可以同時有許多人在機器上。who命令可以把他們的名字和終端號都列出來。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介cp

cp命令等同于DOS里的copy命令，即復(fù)制文件。 例如：cpfilelfile2會將filel文件復(fù)制為file2文件。它有如下幾個重要參數(shù)： -r：將目錄完全地復(fù)制到其他目錄里，相當(dāng)于xcopy。 -p：在Unix里，當(dāng)你操作時，系統(tǒng)會自動更改文件屬主、組、權(quán)限和時間。-p參數(shù)使這些內(nèi)容保持不變。cat catenate的縮寫，意為把內(nèi)容串起來，其實際作用在于顯示文件內(nèi)容，相當(dāng)于DOS里面的type命令。 當(dāng)輸入cat／etc／passwd命令，就會顯示出本系統(tǒng)的口令文件。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介man

英語“manual”的縮寫。這是一條使用頻率很高的命令，用來得到系統(tǒng)對一個特定命令的幫助信息。例如，如果想得到cat命令的詳細幫助信息，就輸入mancat。mv

這個命令是move的縮寫，就是移動一個目錄或文件。myfilelfile2就是把文件filel移動為file2，移動后filel會消失，實際上就是把filel改名為file2。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介rm

rm就是remove，即刪除文件。當(dāng)需要刪除目錄以及目錄以下的子目錄時，需用r參數(shù)。grep

在文件當(dāng)中查找指定字符。例如greprootpasswd，其功能為在passwd文件當(dāng)中尋找root字符并輸出該行。find

用來搜尋特定文件或目錄。其使用格式為： find［路徑］［匹配表達式］ 主要的匹配表達式有：-name，通過文件名查找； -perm，通過文件屬性查找； -print，輸出搜尋結(jié)果。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介2.1.3Unix系統(tǒng)基本知識 ●超級用戶 在Unix系統(tǒng)中有一個名為root的用戶，這個用戶在系統(tǒng)上擁有最大的權(quán)限，即不需授權(quán)就可以對其他用戶的文件、目錄以及系統(tǒng)文件進行任意操作。 ●文件屬性 為保護每個用戶的私人文件不受他人非法修改，系統(tǒng)為每個文件和目錄都設(shè)定了屬性。 -rw-r--r--lrootwheel545Apr412:19file1 r表示可讀，w表示可寫，x表示可執(zhí)行。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.1Unix系統(tǒng)簡介

●Shell

Shell是用戶和Unix系統(tǒng)內(nèi)核之間的接口程序。在提示符下輸入的每個命令都由Shell先解釋然后傳給Unix內(nèi)核?？梢院唵蔚卣J(rèn)為Shell就是Unix的命令解釋器，相當(dāng)于DOS中的COMMAND.COM。

●輸入/輸出重定向

重定向用于改變一個命令的輸入／輸出源?！?lt;”和“>”符號用于把當(dāng)前命令的輸入／輸出重走向為指定的文件。

●管道

管道可以把一系列命令連接起來。這意味著第一個命令的輸出會通過管道傳給第二個命令而作為第二個命令的輸入，第二個命令的輸出又會作為第三個命令的輸入，以此類推。

2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.2Linux系統(tǒng)簡介 2.2.1Linux的歷史 Unix系統(tǒng)對計算機硬件的要求比較高，對于一般的個人來說，想要在PC機上運行Unix是比較困難的。而Linux就為一般用戶提供了一個使用Unix界面操作系統(tǒng)的機會。因為Linux是按照Unix風(fēng)格設(shè)計的操作系統(tǒng)，所以在源代碼級上兼容絕大部分的Unix標(biāo)準(zhǔn)?？梢哉f相當(dāng)多的網(wǎng)絡(luò)安全人員在自己的機器上運行的正是Linux。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.2Linux系統(tǒng)簡介2.2.2Linux的特點1．與Unix高度兼容。Linux是一種完全符合POSIX.l等國際標(biāo)準(zhǔn)的操作系統(tǒng)，它和大部分商業(yè)Unix操作系統(tǒng)保持高度的兼容性，幾乎所有的Unix命令都可以在Linux下使用。2．高度的穩(wěn)定性和可靠性。Linux是一種完全32位的操作系統(tǒng)（其實Linux可以很容易地升級為64位），具備完善的多任務(wù)機制。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.2Linux系統(tǒng)簡介3．完全開放源代碼，價格低廉。Linux符合GNU通用公共版權(quán)協(xié)議，是自由軟件，它的源代碼是完全開放的，可以免費得到，這對于系統(tǒng)安全人員來說是非常重要的，因為閱讀源代碼是發(fā)現(xiàn)系統(tǒng)漏洞的最主要方法。而且與各種商業(yè)操作系統(tǒng)相比。4．安全可靠，絕無后門。由于源代碼開放，用戶不用擔(dān)心Linux中會存在秘密后門，而且任何錯誤都會被及時發(fā)現(xiàn)并修正，因此Linux可以提供極高的安全性。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.2Linux系統(tǒng)簡介2.2.3vi用法介紹

vi是Linux下的一個非常好用的全屏幕文本編輯器。

vi有兩種模式，即編輯模式和命令模式。編輯模式用來輸入文字資料，而命令模式用來下達一些編排文件、存檔以及離開vi等等的操作命令。

進入vi：直接輸入vi<文件名>

離開vi：命令模式下鍵入:q，:wq指令則是存盤后再離開

模式切換：切換到命令模式下需按Esc鍵2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.3Windows系統(tǒng)簡介 Windows9x：在具有眾多優(yōu)點的同時，它的缺點是穩(wěn)定性和安全性欠佳。Windows95／98極易受到各種木馬以及炸彈的襲擊，一般的網(wǎng)絡(luò)用戶都可以使用一些特種工具輕而易舉地讓W(xué)indows9x死機。 WindowsNT：對網(wǎng)絡(luò)功能的支持更為強大，并且穩(wěn)定性有了本質(zhì)的提高。 注冊表：注冊表是Windows系統(tǒng)的核心數(shù)據(jù)庫，里面只存放了某些文件類型的應(yīng)用程序信息。要方便地修改注冊表可以使用注冊表編輯程序regedit。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.3Windows系統(tǒng)簡介2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置2.4.1網(wǎng)絡(luò)配置文件1./etc／hosts文件

該文件的目的是提供簡單的主機名到IP地址的轉(zhuǎn)換。一個例子，其中以“#”打頭的行表示注釋：#IPADDRESS FQDN ALIASES localhost3 host16 host2

2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置 2./etc/ethers文件

當(dāng)一個主機在本地網(wǎng)絡(luò)上，并知道其IP地址時，TCP/IP將它轉(zhuǎn)換成實際的以太網(wǎng)地址。這可以通過地址轉(zhuǎn)換協(xié)議（ARP），或者創(chuàng)建一個／etc／ethers文件并由該文件列出所有的以太網(wǎng)地址列表來實現(xiàn)。該文件的格式是：前面是以太網(wǎng)地址，后面是正式的主機名，例如：#EthernetAddress Hostname5:2:21:3:fc:1a host12:54:12:4:54:7f host2e1:0:c1:1:9:23 host32023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置 3./etc/networks文件 該文件提供了一個Internet上的IP地址和名字。每一行提供了一個特定的網(wǎng)絡(luò)的信息，例如： #NETWORKNAME IPADDRESS loopback 127 187.12.4 166.23.56 該文件中的每一項包括一個網(wǎng)絡(luò)的IP地址、名稱、別名和注釋。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置4./etc/protocols文件 該文件提供了一個已知的DARPAInternet協(xié)議的列表。下例每行包含了協(xié)議名、協(xié)議號以及該協(xié)議的別名：#Internet（IP）protocolsip 0 IP #internetprotocol,pseudoprotocolnumbericmp 1 ICMP #internetcontrolmessageprotocolggp 3 GGP #gatewaytogatewayprotocoltcp 6 TCP #transmissioncontrolprotocolegp 8 EGP #exteriorgatewayprotocolpup 12 PUP #PARCuniversalpacketprotocoludp 17 UDP #userdatagramprotocolhello 63 HELLO #HELLORoutingProtocol

2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置5./etc/services文件 該文件提供了可用的服務(wù)列表。對每一個服務(wù)，文件中的每一行提供了下述信息： 正式服務(wù)名、端口號、協(xié)議名、別名#NetworkservicesInternetstyle#echo 7/tcpecho 7/udpdiscard 9/tcp sink nulldiscard 9/udp sink nullsystat 11/tcpftp 21/tcptelnet 23/tcp2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置2.4.2Unix文件訪問控制

Unix系統(tǒng)的資源訪問控制是基于文件的，為了維護系統(tǒng)的安全性，系統(tǒng)中每一個文件都具有一定的訪問權(quán)限，只有具有這種訪問權(quán)限的用戶才能訪問該文件，否則系統(tǒng)將給出PermissionDenied的錯誤信息。有三類用戶：用戶本人、用戶所在組的用戶、其它用戶

允許權(quán)：

R--讀 W--寫 X--執(zhí)行 允許權(quán)組：A--管理員（所有權(quán)利） V--屬主 G--組 O--其他每個人2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置2.4.3NFS文件訪問系統(tǒng)的安全

任一臺主機都可以做NFS服務(wù)器或者NFS客戶?；蛘叨呒娑兄? 用戶最常犯的錯誤只是簡單的NFS設(shè)置錯誤，設(shè)置有錯誤的NFS主機到處都是。 由于NFS對用戶的認(rèn)證非常簡單，并且對NFS設(shè)置錯誤的例子比比皆是。因此NFS對網(wǎng)絡(luò)安全的危害是非常巨大的。 首先，對可以安裝調(diào)出文件卷的主機沒有限制，將使得任何主機都可以安裝，因此攻擊者所在的主機也一樣可以安裝它。即使沒有其它權(quán)限，攻擊者通過這一步便已看到了系統(tǒng)的許多信息。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置 其次，沒有明確地設(shè)置調(diào)出文件卷為只讀，則調(diào)出文件卷在客戶端缺省為可讀、可寫。這時候攻擊者便可以增加，修改，刪除或替換NFS服務(wù)器上的文件。需要明確指出的是，調(diào)出文件卷缺省為可寫。 第三，許多主機常常將NFS服務(wù)器上的系統(tǒng)信箱和用戶主目錄所在的目錄調(diào)出。安裝這些目錄的用戶（攻擊者），只要具有文件屬主的UID和GID，便可以閱讀這些文件。這只要攻擊者在本機是超級用戶，那么他便可以用su命令變成任何普通用戶，或者諸如bin這類的特殊用戶。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置 第四，有一些系統(tǒng)甚至將NFS服務(wù)器上的根目錄調(diào)出。這等于是將系統(tǒng)送到別人眼底。系統(tǒng)的一切秘密暴露無疑。攻擊者只需用命令“subin”變成bin用戶，或者與root同組的用戶，便可以替換系統(tǒng)一些啟動時的文件，或者在／（root用戶的主目錄），/bin（bin用戶的主目錄）下增加一個.rhosts文件。系統(tǒng)已經(jīng)為外來用戶敞開了大門。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.4Unix網(wǎng)絡(luò)配置設(shè)置NFS時的一些安全事項：●限制可安裝調(diào)出文件卷的客戶機及可安裝的目錄?！袢绻赡?，將文件系統(tǒng)以只讀方式調(diào)出去?！駥φ{(diào)出的文件及目錄設(shè)置為root所有?！癫灰獙⒎?wù)器的可執(zhí)行文件調(diào)出。●不要將用戶目錄調(diào)出去?！袷褂冒踩腘FS●最后一點，最好不要使用NFS。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.5WindowsNT網(wǎng)絡(luò)配置2.5.1WindowsNT的資源訪問控制 WindowsNT安全模式的一個最初目標(biāo)，就是定義一系列標(biāo)準(zhǔn)的安全信息，并把它應(yīng)用于所有對象的實例，這些安全信息，包括下列元素： 1．所有者 2．組 3．自由ACL（AccessControlList） 4．系統(tǒng)ACL 5．存取令牌（AccessToken）2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)2.5WindowsNT網(wǎng)絡(luò)配置2.5.2WindowsNT的NTFS文件系統(tǒng) NTFS文件系統(tǒng)是一種安全的文件系統(tǒng)，因為它支持文件訪問控制，人們可以設(shè)置文件和目錄的訪問權(quán)限，控制誰可以使用這個文件，以及如何使用這個文件。五個預(yù)定義的許可為：拒絕訪問，讀取，更改，完全控制和選擇性訪問。2023/7/22計算機網(wǎng)絡(luò)安全基礎(chǔ)小結(jié)本章內(nèi)容：1．Unix是一個多任務(wù)多用戶的操作系統(tǒng)，它具有：可靠性高、極強的伸縮性、網(wǎng)絡(luò)功能強、強大的數(shù)據(jù)庫支持功能和開放性好等特點。2．Linux是按照Unix風(fēng)格設(shè)計的操作系統(tǒng)，所以