2.1Windows系統(tǒng)安全2.2Linux系統(tǒng)安全2.1.1Windows系統(tǒng)安全概述

1．用戶帳戶

用戶帳戶是包含用戶信息的記錄，用來(lái)標(biāo)識(shí)用戶個(gè)人的唯一性，主要包含用戶名和密碼。Windows2000使用帳戶來(lái)確認(rèn)用戶身份，并據(jù)此賦予用戶不同的權(quán)限。Windows2000支持兩種類型的用戶帳戶：本地用戶帳戶和域用戶帳戶。

本地用戶帳戶可以使用戶登錄到創(chuàng)建該帳戶的計(jì)算機(jī)，從而訪問(wèn)該計(jì)算機(jī)內(nèi)的資源。本地用戶帳戶不會(huì)被復(fù)制到其他任何連網(wǎng)的計(jì)算機(jī)中，因此用戶使用本地用戶帳戶只能登錄到建立該帳戶的計(jì)算機(jī)。2.1Windows系統(tǒng)安全利用域用戶帳戶可以登錄到Windows2000域，并訪問(wèn)網(wǎng)絡(luò)上的資源，例如訪問(wèn)其他計(jì)算機(jī)上的文件、打印機(jī)資源等。域用戶帳戶存儲(chǔ)在域控制器的AD(活動(dòng)目錄)數(shù)據(jù)庫(kù)中，如果域內(nèi)有多臺(tái)域控制器，則域用戶帳戶會(huì)被自動(dòng)復(fù)制到同一個(gè)域中的所有域控制器中。因此，當(dāng)用戶登錄時(shí)，該域內(nèi)的任何一臺(tái)域控制器都能夠?qū)徍擞脩舻纳矸?，即檢查用戶輸入的用戶名和密碼是否正確。安裝完Windows2000以后，系統(tǒng)會(huì)自動(dòng)建立一些內(nèi)置帳戶，其中最常用的是Administrator和Guest兩個(gè)帳戶。利用內(nèi)置帳戶可以執(zhí)行管理任務(wù)或訪問(wèn)網(wǎng)絡(luò)資源。Administrator在Windows2000中擁有最高的權(quán)限，可以管理整個(gè)計(jì)算機(jī)和域的各項(xiàng)設(shè)置?？梢灾匦旅鸄dministrator帳戶，但不可以刪除或禁用該帳戶。Guest只有很少的權(quán)限，主要供用戶臨時(shí)使用。默認(rèn)情況下，Guest帳戶是禁用的，如果需要使用，必須手工啟動(dòng)它?？梢灾匦旅鸊uest帳戶，但不可以刪除該帳戶。當(dāng)用戶帳戶較多時(shí)，可以用組來(lái)管理。組是用戶帳戶的集合，組包含的多個(gè)用戶具有相同的身份和屬性。通過(guò)使用組，一次可以為多個(gè)用戶分配權(quán)力或權(quán)限，從而簡(jiǎn)化帳戶

管理。

帳戶是登錄系統(tǒng)的基礎(chǔ)，也是眾多黑客攻擊和竊取的對(duì)象。一般的用戶常常在安裝系統(tǒng)后長(zhǎng)期使用系統(tǒng)的默認(rèn)設(shè)置，忽視了Windows系統(tǒng)默認(rèn)設(shè)置的不安全性，而這些默認(rèn)設(shè)置常常被攻擊者利用，通過(guò)各種手段獲得合法的帳戶。所以，我們必須通過(guò)合理的設(shè)置來(lái)保障帳戶的安全。

2．文件系統(tǒng)

為了防止磁盤數(shù)據(jù)被攻擊者或本地的其他用戶破壞和竊取，文件系統(tǒng)的安全問(wèn)題也是不容忽視的。Windows系統(tǒng)提供的磁盤格式有FAT16、FAT32以及NTFS。

FAT16、FAT32格式?jīng)]有考慮對(duì)安全性方面的更高要求，例如無(wú)法設(shè)置文件或文件夾的用戶訪問(wèn)權(quán)限、無(wú)法對(duì)文件或文件夾進(jìn)行加密等。

NTFS是用于Windows操作系統(tǒng)的一種安全的文件系統(tǒng)，并且在使用中不易產(chǎn)生文件碎片。NTFS分區(qū)對(duì)用戶權(quán)限作出了非常嚴(yán)格的限制，每個(gè)用戶都只能按照系統(tǒng)賦予的權(quán)限進(jìn)行操作，任何企圖越權(quán)的操作都將被系統(tǒng)禁止，同時(shí)它還提供了容錯(cuò)結(jié)構(gòu)日志，可以將用戶的操作全部記錄下來(lái)，從而保護(hù)了系統(tǒng)的安全。但是，NTFS分區(qū)格式的兼容性不好，對(duì)于Windows98/me系統(tǒng)，需要借助第三方軟件才能對(duì)NTFS分區(qū)進(jìn)行操作。Windows2000/XP系統(tǒng)基于NT技術(shù)，提供了完善的NTFS分區(qū)格式的支持。

3．端口安全

網(wǎng)絡(luò)為用戶提供了豐富多彩的服務(wù)，每一項(xiàng)服務(wù)都具有相應(yīng)的端口。例如，通過(guò)瀏覽器瀏覽網(wǎng)頁(yè)使用WWW服務(wù)，對(duì)應(yīng)端口為80；使用文件傳輸服務(wù)上傳和下載文件，對(duì)應(yīng)的端口為21；使用郵件服務(wù)收發(fā)電子郵件，對(duì)應(yīng)端口為25。在Windows2000的默認(rèn)安裝中，某些服務(wù)是開(kāi)啟的，黑客經(jīng)常通過(guò)開(kāi)放的端口來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊，因此我們可以通過(guò)禁用一些沒(méi)有必要的服務(wù)來(lái)提高系統(tǒng)的安全性。端口80主要用于獲取超文本傳輸協(xié)議(HyperTextTransferProtocol，HTTP)提供的服務(wù)，HTTP是連接Internet過(guò)程中最常使用的協(xié)議。端口80是WWW服務(wù)的默認(rèn)端口，在瀏覽器中使用URL訪問(wèn)網(wǎng)絡(luò)時(shí)，可以將“：80”省略。有些木馬程序可以利用端口80來(lái)攻擊計(jì)算機(jī)，例如Executor、RingZero等。如果本地計(jì)算機(jī)不需要提供HTTP服務(wù)，可以關(guān)閉80端口，提高系統(tǒng)的安全性。端口21主要用于獲取文件傳輸協(xié)議(FileTransferProtocol，F(xiàn)TP)提供的服務(wù)。FTP服務(wù)主要是為了在兩臺(tái)計(jì)算機(jī)之間實(shí)現(xiàn)文件的上傳和下載，F(xiàn)TP客戶端可以采用匿名(anonymous)登錄和授權(quán)帳戶登錄兩種方式登錄FTP服務(wù)器。目前，通過(guò)FTP服務(wù)來(lái)實(shí)現(xiàn)文件的傳輸是Internet上傳、下載文件最主要的方法。一些FTP服務(wù)器提供了匿名登錄的方式，這常常被黑客所利用。端口21還可能被一些木馬程序利用，例如BladeRunner、FTPTrojan等。如果不需要提供FTP服務(wù)，應(yīng)該關(guān)閉端口21。端口25主要用于獲取簡(jiǎn)單郵件傳輸協(xié)議(SimpleMailTransferProtocol，SMTP)提供的服務(wù)，如今大多數(shù)郵件服務(wù)器都使用SMTP協(xié)議來(lái)發(fā)送郵件。利用端口25，黑客可以尋找SMTP服務(wù)器，用來(lái)轉(zhuǎn)發(fā)垃圾郵件。端口25也被很多木馬程序利用，例如WinSpy通過(guò)開(kāi)放端口25，可以監(jiān)視計(jì)算機(jī)正在運(yùn)行的窗口和模塊。如果不需要提供郵件服務(wù)，應(yīng)該關(guān)閉端口25。

在Windows2000系統(tǒng)中，可以使用網(wǎng)絡(luò)命令netstat來(lái)查看開(kāi)放的端口。在命令提示符下執(zhí)行“netstat-a-n”，即可看到以數(shù)字形式顯示的TCP、UDP端口號(hào)及狀態(tài)。可以通過(guò)停止、啟動(dòng)服務(wù)來(lái)關(guān)閉、打開(kāi)相應(yīng)的端口。例如，如果需要關(guān)閉端口25，可以通過(guò)如下步驟來(lái)實(shí)現(xiàn)：依次點(diǎn)擊“開(kāi)始”→“程序”→“管理工具”→“服務(wù)”菜單，打開(kāi)“服務(wù)”窗口，找到“SimpleMailTransportProtocol(SMTP)”項(xiàng)并用右鍵單擊，在彈出的快捷菜單中單擊“停止”命令。這樣便停止了SMTP服務(wù)，相當(dāng)于關(guān)閉了端口25。啟動(dòng)服務(wù)的方法與停止服務(wù)類似。

4．審核與日志

為了便于用戶監(jiān)測(cè)當(dāng)前系統(tǒng)的運(yùn)行狀況，Windows系統(tǒng)中設(shè)置了審核與日志功能。審核與日志是Windows系統(tǒng)中最基本的入侵檢測(cè)方法，當(dāng)有攻擊者企圖對(duì)系統(tǒng)進(jìn)行某些方式的攻擊時(shí)，都會(huì)被安全審核功能記錄下來(lái)并寫(xiě)入到日志中。

Windows2000系統(tǒng)中提供的安全審核策略在默認(rèn)情況下是關(guān)閉的，需要手工打開(kāi)。打開(kāi)安全審核策略時(shí)，需要合理定義審核的對(duì)象。如果選擇的審核對(duì)象太多，將會(huì)在日志中產(chǎn)生大量的記錄，增加了閱讀和分析日志的難度。審核事件可以分為兩類：成功事件和失敗事件。成功事件表明用戶已成功獲得某資源的訪問(wèn)權(quán)限；失敗事件表明用戶進(jìn)行了嘗試，但失敗了。

制定審核策略時(shí)需要考慮可供審核的事件，這些事件包括審核策略更改、審核登錄事件、審核對(duì)象訪問(wèn)、審核過(guò)程追蹤、審核目錄服務(wù)訪問(wèn)、審核特權(quán)使用、審核系統(tǒng)事件、審核帳戶登錄事件及審核帳戶管理。安全日志是系統(tǒng)安全審核的記錄，應(yīng)該根據(jù)選擇的審核對(duì)象和記錄產(chǎn)生的速度定義安全日志的大小，一般建議為1024MB(即1GB)。定義處理方式時(shí)，如果選擇覆蓋30天前的數(shù)據(jù)，日志中就可以保存30天的數(shù)據(jù)資料；如果選擇了按需覆蓋，則系統(tǒng)記錄滿后將自動(dòng)覆蓋最早的數(shù)據(jù)；如果選擇了手工清除，必須保證日志足夠大。安全日志記錄滿后，如果不能自動(dòng)處理，將禁止用戶使用計(jì)算機(jī)。安全日志不能正確記錄時(shí)，系統(tǒng)將立即關(guān)閉計(jì)算機(jī)，這并不一定意味著是一個(gè)安全問(wèn)題。在正常操作中，也可能偶然發(fā)生目錄訪問(wèn)或特權(quán)使用失敗的情況。對(duì)于日志的分析，應(yīng)該注意時(shí)間、地點(diǎn)和行為的關(guān)系，根據(jù)行為的嚴(yán)重性來(lái)進(jìn)行判斷和分析。需要注意的是，多數(shù)日志是不能記錄來(lái)訪人的IP地址的，只能記錄來(lái)訪人的計(jì)算機(jī)名。然而計(jì)算機(jī)名對(duì)于分析日志沒(méi)有太大的意義，所以應(yīng)該對(duì)多個(gè)日志綜合分析，以便得到有用的信息。2.1.2實(shí)驗(yàn)——Windows用戶帳戶安全設(shè)置

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)掌握刪除、禁用Windows2000用戶帳戶的方法；

(2)學(xué)會(huì)合理設(shè)置密碼策略；

(3)學(xué)會(huì)合理設(shè)置帳戶鎖定策略。

【實(shí)驗(yàn)環(huán)境】

PC機(jī)一臺(tái)，安裝有Windows2000Server操作系統(tǒng)?！緦?shí)驗(yàn)過(guò)程】

共享帳戶、Guest帳戶等具有較弱的安全保護(hù)，常常都是黑客們攻擊的對(duì)象，因此要及時(shí)檢查和刪除不必要的帳戶，必要時(shí)要禁用Guest帳戶。

以Administrator(管理員)身份登錄Windows2000Server系統(tǒng)后，進(jìn)行如下操作。

1)刪除不再使用的帳戶

(1)依次單擊“開(kāi)始”→“程序”→“管理工具”→“計(jì)算機(jī)管理”菜單，打開(kāi)“計(jì)算機(jī)管理”窗口，展開(kāi)“本地用戶和組”節(jié)點(diǎn)，打開(kāi)“用戶”文件夾，如圖2-1所示。圖2-1“計(jì)算機(jī)管理”窗口

(2)確認(rèn)列出的各帳戶是否仍在使用。右鍵單擊不再使用的用戶帳戶，在彈出的快捷菜單中單擊“刪除”命令，如圖2-2所示。

(3)彈出“本地用戶和組”窗口，如圖2-3所示，提示一旦用戶帳戶被刪除，所有與該用戶帳戶相關(guān)聯(lián)的權(quán)限和成員身份也隨之刪除。每個(gè)帳戶具有一個(gè)獨(dú)立于用戶名的唯一標(biāo)識(shí)符，即使新建的用戶帳戶與之前刪除的用戶帳戶同名，新用戶也不會(huì)自動(dòng)接受之前刪除的帳戶的權(quán)限和成員身份，必須手工重建所有權(quán)限和成員身份。單擊“是”按鈕，確定刪除用戶帳戶。圖2-2刪除用戶帳戶圖2-3“本地用戶和組”窗口

2)禁用Guest帳戶

(1)有時(shí)為了訪問(wèn)需要，可能啟用了Guest帳戶，如果不再使用，應(yīng)該禁用它。在如圖2-1所示的窗口中，右鍵單擊Guest帳戶，在彈出的菜單中單擊“屬性”命令，如圖2-4

所示。

(2)彈出“Guest屬性”窗口，如圖2-5所示。單擊選中“帳戶已停用”復(fù)選框后，單擊“確定”按鈕。此時(shí)，如果使用Guest帳戶登錄，則會(huì)提示“您的帳戶已被停用。請(qǐng)向系統(tǒng)管理員咨詢?！眻D2-4打開(kāi)Guest帳戶的“屬性”窗口圖2-5“Guest屬性”窗口

3)設(shè)置密碼策略

(1)依次單擊“開(kāi)始”→“程序”→“管理工具”→“本地安全策略”菜單，打開(kāi)“本地安全設(shè)置”窗口，展開(kāi)節(jié)點(diǎn)“帳戶策略”，雙擊“密碼策略”圖標(biāo)，如圖2-6所示。

(2)雙擊“密碼必須符合復(fù)雜性要求”圖標(biāo)，彈出“本地安全策略設(shè)置”窗口，如圖2-7所示。在“本地策略設(shè)置”下方的單選框中選擇“已啟用”項(xiàng)，單擊“確定”按鈕。

啟用該策略后，密碼必須符合以下最低要求：

不包含全部或部分的用戶名；

長(zhǎng)度至少為6個(gè)字符；

包含來(lái)自以下4個(gè)類別中的3種字符：英文大寫(xiě)字母(A～Z)、英文小寫(xiě)字母(a～z)、10個(gè)基本數(shù)字(0～9)和非字母字符(例如！、$、#、%)。圖2-6“本地安全設(shè)置”窗口圖2-7啟用“密碼必須符合復(fù)雜性要求”

(3)在如圖2-1所示的“計(jì)算機(jī)管理”窗口中，右鍵單擊Administrator帳戶，在彈出的快捷菜單中單擊“設(shè)置密碼”命令，如圖2-8所示。

(4)彈出“設(shè)置密碼”窗口，如圖2-9所示，輸入兩次相同的密碼。為了測(cè)試啟用的密碼策略“密碼必須符合復(fù)雜性要求”是否生效，這里輸入相對(duì)簡(jiǎn)單的密碼(例如pwd123)，點(diǎn)擊“確定”按鈕。圖2-8設(shè)置帳戶Administrator的密碼圖2-9“設(shè)置密碼”窗口

(5)彈出密碼設(shè)置錯(cuò)誤提示窗口，如圖2-10所示，說(shuō)明之前設(shè)置的密碼策略已經(jīng)生效。如果為帳戶Administrator設(shè)置密碼pwd%123，則能夠被系統(tǒng)接受。

(6)在圖2-6所示窗口中，雙擊“密碼長(zhǎng)度最小值”圖標(biāo)，彈出如圖2-11所示的窗口，在“密碼必須至少是”下方的文本框中輸入密碼長(zhǎng)度的最小值(例如8)，單擊“確定”按鈕。如果設(shè)置為默認(rèn)值，即0個(gè)字符，則密碼可以為空。圖2-10密碼設(shè)置錯(cuò)誤圖2-11設(shè)置“密碼長(zhǎng)度最小值”

(7)在圖2-6所示窗口中，雙擊“密碼最長(zhǎng)存留期”圖標(biāo)，彈出如圖2-12所示窗口。可以通過(guò)設(shè)置密碼的作廢期限來(lái)提醒用戶定期修改密碼，防止密碼使用時(shí)間過(guò)長(zhǎng)而帶來(lái)安全問(wèn)題。密碼作廢期的默認(rèn)值為42天。圖2-12設(shè)置“密碼最長(zhǎng)存留期”

(8)在圖2-6所示窗口中，雙擊“密碼最短存留期”圖標(biāo)，彈出如圖2-13所示的窗口?？梢酝ㄟ^(guò)設(shè)置密碼的最短存在期限，保證在一定的時(shí)間內(nèi)用戶不能修改密碼。該項(xiàng)設(shè)置可以避免入侵的攻擊者修改用戶帳戶的密碼。如果密碼的存在期限設(shè)置為默認(rèn)值0，則用戶可以立即更改密碼。圖2-13設(shè)置“密碼最短存留期”

(9)在圖2-6所示窗口中，雙擊“強(qiáng)制密碼歷史”圖標(biāo)，彈出“強(qiáng)制密碼歷史”設(shè)置窗口?？梢栽O(shè)置系統(tǒng)記住的密碼的數(shù)量來(lái)防止使用舊密碼?！皬?qiáng)制密碼歷史”策略是指用戶設(shè)置的新密碼不得與之前使用過(guò)的歷史密碼重復(fù)，該項(xiàng)設(shè)置的值表示當(dāng)前密碼不得與相應(yīng)數(shù)量的舊密碼相同。

(10)在圖2-6所示窗口中，雙擊“為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼”圖標(biāo)，彈出相應(yīng)的設(shè)置窗口?？梢酝ㄟ^(guò)該項(xiàng)來(lái)選擇是否使用可還原的加密方式來(lái)存儲(chǔ)密碼。

4)設(shè)置帳戶鎖定策略

(1)在如圖2-6所示的“本地安全設(shè)置”窗口中，雙擊“帳戶鎖定策略”圖標(biāo)，如圖2-14所示。

(2)雙擊圖2-14所示窗口中的“帳戶鎖定閾值”圖標(biāo)，彈出設(shè)置窗口，可以設(shè)置造成用戶帳戶鎖定的失敗登錄的次數(shù)。帳戶一旦被鎖定就無(wú)法使用，除非管理員對(duì)其解鎖或該帳戶的鎖定時(shí)間已過(guò)期。該值如果為0，則帳戶不鎖定。

(3)雙擊圖2-14所示窗口中的“帳戶鎖定時(shí)間”圖標(biāo)，彈出設(shè)置窗口，可以設(shè)置鎖定的帳戶在自動(dòng)解鎖前保持鎖定狀態(tài)的時(shí)間(單位為分鐘)。該值如果為0，一旦帳戶被鎖定后，除非管理員對(duì)其解鎖，否則該帳戶始終處于被鎖定狀態(tài)。圖2-14設(shè)置“帳戶鎖定策略”

(4)雙擊圖2-14所示窗口中的“復(fù)位帳戶鎖定計(jì)數(shù)器”圖標(biāo)，彈出設(shè)置窗口，可以設(shè)置“帳戶鎖定閾值”復(fù)位為0以及帳戶被解鎖之前所必須經(jīng)過(guò)的時(shí)間。

需要注意的是，設(shè)置“帳戶鎖定策略”時(shí)須慎重考慮，合理設(shè)置各項(xiàng)的值，避免給使用帶來(lái)不方便。2.1.3實(shí)驗(yàn)——NTFS文件系統(tǒng)的安全設(shè)置

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)了解NTFS文件系統(tǒng)的特點(diǎn)；

(2)掌握NTFS文件系統(tǒng)中訪問(wèn)權(quán)限設(shè)置及文件加密的方法。

【實(shí)驗(yàn)環(huán)境】

PC機(jī)一臺(tái)，安裝有Windows2000Server操作系統(tǒng)，且至少有一個(gè)磁盤分區(qū)格式為NTFS。【實(shí)驗(yàn)過(guò)程】

以Administrator(管理員)身份登錄Windows2000Server系統(tǒng)后，進(jìn)行如下操作。

1)查看分區(qū)格式

(1)右鍵單擊選定的分區(qū)(例如C:)圖標(biāo)，在彈出的快捷菜單中，單擊“屬性”命令。

(2)彈出分區(qū)屬性窗口，如圖2-15所示，在常規(guī)選項(xiàng)卡中可以查看分區(qū)的文件系統(tǒng)類型，例如NTFS。圖2-15分區(qū)C:?的屬性窗口

2)?NTFS文件系統(tǒng)權(quán)限設(shè)置

(1)打開(kāi)使用NTFS文件系統(tǒng)的分區(qū)(例如C:)，選擇一個(gè)需要設(shè)置用戶權(quán)限的文件夾(例如C:\系統(tǒng)安全)。右鍵單擊選定的文件夾，在彈出的快捷菜單中單擊“屬性”命令，彈出該文件夾的“屬性”窗口，選擇“安全”選項(xiàng)卡，如圖2-16所示。圖2-16文件夾“系統(tǒng)安全”的屬性

(2)默認(rèn)情況下，Everyone組對(duì)文件夾具有完全控制權(quán)，并且所有用戶均屬于Everyone組。為了設(shè)置新添加用戶或組的訪問(wèn)權(quán)限，需要更改或刪除Everyone組。

(3)單擊清除“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”復(fù)選框，彈出“安全”窗口，如圖2-17所示，單擊“復(fù)制”按鈕。

(4)在圖2-16所示窗口的上方列表中，選擇“Everyone”項(xiàng)，單擊“刪除”按鈕。

(5)在圖2-16所示窗口中單擊“添加”按鈕，彈出“選擇用戶或組”窗口，如圖2-18所示。在上方的列表框中選擇可以訪問(wèn)該文件夾的用戶或組，單擊“添加”按鈕，選擇的項(xiàng)目將在下方的文本框中顯示。圖2-17“安全”窗口圖2-18“選擇用戶或組”窗口

(6)單擊“確定”按鈕，把選擇的用戶或組添加到圖2-16所示的文件夾屬性窗口中，同時(shí)可以在下方的“權(quán)限”列表中勾選用戶或組的訪問(wèn)權(quán)限。

(7)單擊圖2-16中的“高級(jí)”按鈕，彈出文件夾的“訪問(wèn)控制設(shè)置”窗口，可以查看或更改各用戶、組的訪問(wèn)權(quán)限，如圖2-19所示。

3)?NTFS

文件系統(tǒng)中的文件加密

(1)右鍵單擊需要加密的文件，在彈出的快捷菜單中，單擊“屬性”命令，彈出文件的“屬性”窗口，如圖2-20所示。圖2-19文件夾的“訪問(wèn)控制設(shè)置”窗口圖2-20文件的“屬性”窗口

(2)單擊“高級(jí)”按鈕，彈出“高級(jí)屬性”窗口，如圖2-21所示。單擊選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框，單擊“確定”按鈕回到文件夾的“屬性”窗口。

(3)單擊“確定”按鈕，彈出“加密警告”窗口，如圖2-22所示。選擇“加密文件及其父文件夾”項(xiàng)，單擊“確定”按鈕。圖2-21“高級(jí)屬性”窗口圖2-22“加密警告”窗口

(4)文件被加密后，只有當(dāng)前加密用戶登錄時(shí)才能看到文件內(nèi)容。注銷系統(tǒng)后，以其他用戶身份登錄系統(tǒng)，嘗試打開(kāi)被加密的文件，將會(huì)彈出如圖2-23所示的“錯(cuò)誤”窗口。圖2-23“錯(cuò)誤”窗口2.1.4實(shí)驗(yàn)——啟用審核和查看日志

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)理解審核和日志的概念；

(2)掌握啟用審核的方法；

(3)掌握查看日志的方法。【實(shí)驗(yàn)環(huán)境】

PC機(jī)一臺(tái)，安裝有Windows2000Server操作系統(tǒng)。

【實(shí)驗(yàn)過(guò)程】

以Administrator(管理員)身份登錄Windows2000Server系統(tǒng)后，進(jìn)行如下操作。

1)啟用審核

(1)依次點(diǎn)擊“開(kāi)始”→“程序”→“管理工具”→“本地安全策略”菜單，打開(kāi)“本地安全設(shè)置”窗口，展開(kāi)節(jié)點(diǎn)“本地策略”，雙擊“審核策略”圖標(biāo)，如圖2-24所示。圖2-24設(shè)置“審核策略”

(2)雙擊“審核策略更改”圖標(biāo)，彈出設(shè)置“審核策略更改”窗口，如圖2-25所示。單擊選中“成功”或“失敗”復(fù)選框來(lái)設(shè)置審核事件的類別。“審核策略更改”用于設(shè)置是否對(duì)更改用戶權(quán)限分配策略、審核策略或信任策略的每個(gè)事件進(jìn)行審核。

(3)用類似的方法可以啟用對(duì)其他事件的審核：

①啟用“審核登錄事件”。每次用戶登錄或注銷計(jì)算機(jī)時(shí)都需要審核，在發(fā)生登錄嘗試的計(jì)算機(jī)的安全日志中生成一個(gè)事件。另外，當(dāng)用戶連接遠(yuǎn)程服務(wù)器時(shí)，遠(yuǎn)程服務(wù)器的安全日志中也會(huì)生成一個(gè)登錄事件。登錄事件是在登錄會(huì)話和令牌分別被創(chuàng)建或損壞時(shí)創(chuàng)建的。圖2-25設(shè)置“審核策略更改”窗口②啟用“審核對(duì)象訪問(wèn)”。該審核可以通過(guò)系統(tǒng)訪問(wèn)控制列表(SACL)來(lái)實(shí)現(xiàn)。SACL包含了一個(gè)用戶和組列表，對(duì)用戶和組等對(duì)象的操作都要進(jìn)行審核。用戶在Windows2000中可操作的每個(gè)對(duì)象幾乎都有一個(gè)SACL，這些對(duì)象包括NTFS文件系統(tǒng)驅(qū)動(dòng)器上的文件和文件夾、打印機(jī)和注冊(cè)表項(xiàng)。

③啟用“審核過(guò)程追蹤”。事件日志會(huì)顯示創(chuàng)建進(jìn)程和結(jié)束進(jìn)程的嘗試。它還會(huì)記錄進(jìn)程嘗試生成句柄的行為或獲取對(duì)象間接訪問(wèn)的行為。④啟用“審核目錄服務(wù)訪問(wèn)”?；顒?dòng)目錄(AD)對(duì)象有相關(guān)聯(lián)的SACL時(shí)可以進(jìn)行審核。通過(guò)審核帳戶管理可審核活動(dòng)目錄的用戶和組帳戶，如果想審核其他命名上下文中對(duì)象的修改，必須審核目錄服務(wù)訪問(wèn)。審核目錄服務(wù)訪問(wèn)時(shí)，首先啟用“審核目錄服務(wù)訪問(wèn)”策略，然后在AD對(duì)象上定義SACL。

⑤啟用“審核特權(quán)使用”。如果用戶在網(wǎng)絡(luò)環(huán)境中，他們將行使所規(guī)定的用戶權(quán)限，用戶每次嘗試行使用戶權(quán)限時(shí)都會(huì)生成一個(gè)事件。啟用“審核特權(quán)使用”時(shí)，并不一定對(duì)所有用戶權(quán)限進(jìn)行審核。⑥啟用“審核系統(tǒng)事件”。在一個(gè)用戶或進(jìn)程改變計(jì)算機(jī)環(huán)境的某些方面時(shí)，會(huì)生成系統(tǒng)事件，可以審核對(duì)系統(tǒng)進(jìn)行更改的嘗試，如關(guān)閉計(jì)算機(jī)或更改系統(tǒng)時(shí)間。啟用“審核系統(tǒng)事件”時(shí)，需要審核清除安全日志的時(shí)間，因?yàn)楣粽咴趯?duì)計(jì)算機(jī)環(huán)境進(jìn)行更改之后往往企圖清除留下的蹤跡。⑦啟用“審核帳戶登錄事件”。在一個(gè)用戶登錄到域時(shí)，是在域控制器上對(duì)登錄進(jìn)行處理的。如果審核域控制器上的帳戶登錄事件，那么會(huì)在域控制器上看到此登錄嘗試的記錄。帳戶登錄事件是在身份驗(yàn)證程序包對(duì)用戶的憑據(jù)進(jìn)行驗(yàn)證時(shí)創(chuàng)建的。在使用域憑據(jù)的情況下，帳戶登錄事件只在域控制器的事件日志中生成。如果出示的憑據(jù)是本地SAM數(shù)據(jù)庫(kù)憑據(jù)，則會(huì)在服務(wù)器的安全事件日志中創(chuàng)建帳戶登錄事件。

⑧啟用“審核帳戶管理”。該審核用于確定用戶或組是在何時(shí)創(chuàng)建、更改或刪除的。它可以確定何時(shí)創(chuàng)建了安全主體，以及什么人執(zhí)行了該任務(wù)。

2)查看日志

(1)依次點(diǎn)擊“開(kāi)始”→“程序”→“管理工具”→“事件查看器”菜單，打開(kāi)“事件查看器”窗口，如圖2-26所示。其中，“安全日志”用于記錄審核策略中所設(shè)置的安全事件。

(2)雙擊“安全日志”圖標(biāo)，可以查看安全事件的具體記錄，如圖2-27所示。

(3)雙擊“失敗審核”圖標(biāo)，彈出“失敗審核屬性”窗口，如圖2-28所示。這是對(duì)登錄事件失敗的審核，可以看到日志中詳細(xì)記錄了嘗試登錄的時(shí)間、用戶名、失敗原因等信息。圖2-26“事件查看器”窗口圖2-27查看安全事件記錄圖2-28“失敗審核屬性”窗口2.2.1Linux系統(tǒng)安全概述

1．用戶帳戶

Linux系統(tǒng)安裝完畢時(shí)，系統(tǒng)的默認(rèn)帳戶為root，即系統(tǒng)管理員帳戶。擁有此帳戶的用戶被稱為“超級(jí)用戶”，對(duì)系統(tǒng)具有完全的控制權(quán)，可對(duì)系統(tǒng)做任何設(shè)置和修改，因此維護(hù)帳戶root的安全非常重要。2.2Linux系統(tǒng)安全為了提高系統(tǒng)的安全性，應(yīng)該為帳戶root設(shè)置一個(gè)安全復(fù)雜的口令。設(shè)置口令時(shí)，如果系統(tǒng)認(rèn)為口令過(guò)于簡(jiǎn)單，就會(huì)在用戶輸入口令時(shí)，出現(xiàn)一個(gè)警告消息來(lái)提示用戶；如果口令采用的字符重復(fù)性高、字?jǐn)?shù)太少或具有規(guī)律性等，系統(tǒng)也會(huì)出現(xiàn)類似的警告消息。

系統(tǒng)管理員(root)執(zhí)行操作時(shí)不受任何制約，很可能出現(xiàn)輸入一個(gè)錯(cuò)誤的命令，導(dǎo)致重要的系統(tǒng)文件被刪除的現(xiàn)象，因此我們應(yīng)該謹(jǐn)慎使用帳戶root。系統(tǒng)管理員除了要設(shè)置復(fù)雜的口令之外，最好再建立一個(gè)普通用戶的帳戶，供日常操作使用。在沒(méi)有必要的情況下，建議不要使用帳戶root登錄系統(tǒng)。另外，最好不要在其他計(jì)算機(jī)上用root帳戶登錄自己的服務(wù)器。每個(gè)用戶至少屬于一個(gè)用戶組，系統(tǒng)可以對(duì)一個(gè)用戶組中的所有用戶進(jìn)行集中管理。Linux系統(tǒng)的用戶、用戶組的信息分別保存在?/etc/passwd、/ect/shadow、/etc/group、etc/gshadow等幾個(gè)文件中。我們可以通過(guò)禁用帳戶、修改口令規(guī)則、修改相關(guān)文件屬性等措施來(lái)提高帳戶的安全性。

2．文件和目錄的訪問(wèn)權(quán)限

Linux系統(tǒng)中的每個(gè)文件和目錄都具有訪問(wèn)權(quán)限，用來(lái)確定可以對(duì)文件和目錄進(jìn)行訪問(wèn)的用戶及訪問(wèn)方式。根據(jù)對(duì)文件和目錄的訪問(wèn)權(quán)限的不同，可以把用戶分為四類：

超級(jí)用戶(root)：即系統(tǒng)管理員；

文件創(chuàng)建者：創(chuàng)建文件的用戶；

同組用戶：文件創(chuàng)建者所在的用戶組中的其他用戶；

其他用戶：文件所屬用戶組之外的其他用戶。文件或目錄的訪問(wèn)權(quán)限可以分為三種：讀(r)、寫(xiě)(w)和執(zhí)行(x)。它們表示的含義分別為：

文件的訪問(wèn)權(quán)限：讀(r)權(quán)限表示只允許指定用戶讀取相應(yīng)文件的內(nèi)容，而禁止對(duì)它做任何的更改操作；寫(xiě)(w)權(quán)限表示允許指定用戶打開(kāi)并修改文件；執(zhí)行(x)權(quán)限表示允許指定用戶將該文件作為一個(gè)程序執(zhí)行。

目錄的訪問(wèn)權(quán)限：讀(r)權(quán)限表示可以列出存儲(chǔ)在該目錄下的文件，即讀取目錄內(nèi)容列表；寫(xiě)(w)權(quán)限表示允許用戶從目錄中刪除或添加新的文件，通常只有文件創(chuàng)建者和超級(jí)用戶才有對(duì)目錄的寫(xiě)權(quán)限；執(zhí)行(x)權(quán)限表示允許用戶在目錄中查找，并能用相關(guān)命令將工作目錄更改為該目錄。可以通過(guò)命令“l(fā)s-l”來(lái)查看文件或目錄的詳細(xì)信息，其中最左邊的一列表示文件或目錄具有的訪問(wèn)權(quán)限。例如：-rwxr-xr-x，第1位的“-”表示文件(文件夾用d表示)，后面的內(nèi)容每3位為一組，分別表示文件創(chuàng)建者、同組用戶和其他用戶對(duì)該文件的訪問(wèn)權(quán)限。

如果需要改變或設(shè)置文件或目錄的訪問(wèn)權(quán)限，可以通過(guò)命令chmod來(lái)實(shí)現(xiàn)。只有文件創(chuàng)建者或超級(jí)用戶才有權(quán)限使用命令chmod。

3．端口安全

Linux系統(tǒng)與其他系統(tǒng)一樣，有許多服務(wù)開(kāi)放的端口，使系統(tǒng)很容易受到多種攻擊。

例如：

(1)端口21。攻擊者經(jīng)常通過(guò)該端口打開(kāi)匿名FTP服務(wù)器。如果這些服務(wù)器帶有可讀寫(xiě)的目錄，黑客可以把這些服務(wù)器作為傳送warez(私有程序)和pr0n(通過(guò)故意拼錯(cuò)詞而避免被搜索引擎分類)的節(jié)點(diǎn)。

(2)端口23。入侵者通過(guò)端口23搜索遠(yuǎn)程登錄的服務(wù)。多數(shù)情況下，入侵者掃描該端口是為了找到計(jì)算機(jī)運(yùn)行的操作系統(tǒng)。

(3)端口25。攻擊者通過(guò)該端口尋找SMTP服務(wù)器，目的是為了傳遞他們的spam。入侵者的帳戶總是被關(guān)閉的，他們需要撥號(hào)連接到高帶寬的E-mail服務(wù)器上，將簡(jiǎn)單的信息傳遞到不同的地址。SMTP服務(wù)器是入侵系統(tǒng)的最常用的方法之一，因?yàn)樗鼈兺暾乇┞队贗nternet，且郵件的路由非常復(fù)雜。

(4)端口53。黑客攻擊端口53，可能企圖進(jìn)行區(qū)域傳遞、DNS欺騙或隱藏其他通信。防火墻常常記錄或過(guò)濾端口53的通信。對(duì)于把端口53作為UDP源端口的通信，不穩(wěn)定的防火墻通常假設(shè)這是對(duì)DNS查詢的回復(fù)而允許通過(guò)，這種情況常常被黑客利用以穿透防火墻。

應(yīng)該禁用沒(méi)有必要的服務(wù)，關(guān)閉相應(yīng)的端口，從而提高系統(tǒng)的安全性。

4．日志系統(tǒng)

Linux系統(tǒng)中的日志子系統(tǒng)對(duì)于系統(tǒng)安全來(lái)說(shuō)非常重要，它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，例如哪些用戶曾經(jīng)或者正在使用系統(tǒng)。系統(tǒng)受到黑客攻擊后，日志可以記錄攻擊者留下的痕跡，通過(guò)查看這些痕跡，系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的某些手段、特點(diǎn)等信息，從而進(jìn)行相應(yīng)處理，有效地抵御以后的攻擊。

Linux系統(tǒng)包含三個(gè)主要的日志子系統(tǒng)，即登錄日志、進(jìn)程統(tǒng)計(jì)日志和錯(cuò)誤日志。登錄日志由多個(gè)程序執(zhí)行，它們把記錄寫(xiě)入到文件?/var/log/wtmp和?/var/run/utmp。login等程序更新文件wtmp和utmp，使系統(tǒng)管理員能夠跟蹤用戶登錄系統(tǒng)的信息。wtmp和utmp都是二進(jìn)制文件，需要通過(guò)who、w、last等命令來(lái)查看包含的信息。

進(jìn)程統(tǒng)計(jì)日志由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，它自動(dòng)向進(jìn)程統(tǒng)計(jì)文件中寫(xiě)一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。

錯(cuò)誤日志由syslogd執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog(3)向文件/var/log/messages報(bào)告值得注意的事件。在使用日志時(shí)，系統(tǒng)管理員應(yīng)該提高警惕，隨時(shí)注意各種可疑情況，經(jīng)常檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。檢查日志文件時(shí)，需要注意不合常理的時(shí)間記載。例如：

用戶在非常規(guī)的時(shí)間登錄；

不正常的日志記錄，例如日志殘缺不全、日志文件(如wtmp)無(wú)故缺少記錄等；

用戶登錄系統(tǒng)的IP地址與之前相比有所變化；出現(xiàn)用戶登錄失敗的日志記錄，尤其是一些經(jīng)過(guò)連續(xù)多次嘗試進(jìn)入失敗的日志記錄；

非法使用或不正當(dāng)使用超級(jí)用戶權(quán)限su的指令；

無(wú)故或者非法重新啟動(dòng)各項(xiàng)網(wǎng)絡(luò)服務(wù)的記錄。

另外，我們也不能完全依靠日志系統(tǒng)，因?yàn)楦呙鞯暮诳驮谌肭窒到y(tǒng)后，經(jīng)常會(huì)清除留下的痕跡。因此我們需要綜合地進(jìn)行審查和檢測(cè)，否則很難發(fā)現(xiàn)入侵，也可能會(huì)作出錯(cuò)誤的判斷。

5．系統(tǒng)安全工具

Linux系統(tǒng)中包含許多系統(tǒng)安全工具，例如Sxid、Skey、logrotate、swatch、logcheck、SSH、Tripwire、Portsentry及Openssl等，這些工具可以用來(lái)解決各方面的問(wèn)題。下面僅對(duì)部分工具進(jìn)行簡(jiǎn)單介紹：

(1)?Sxid。這是一個(gè)系統(tǒng)監(jiān)控程序，它可以監(jiān)視系統(tǒng)中的suid、sgid文件及沒(méi)有屬主的文件，并以可選的形式報(bào)告文件的變化。

(2)?Skey。設(shè)置口令時(shí)，可以通過(guò)增加Skey的長(zhǎng)度、包含的特殊字符數(shù)來(lái)提高安全性。如果口令以明文的形式在網(wǎng)絡(luò)中傳送，上述的方法就無(wú)法保證口令的安全了。因?yàn)橥ㄟ^(guò)嗅探器，很容易在以太網(wǎng)中捕獲傳送的口令(如今即使在交換環(huán)境下也能實(shí)現(xiàn)這種技術(shù))。為了保證網(wǎng)絡(luò)中傳送的口令的安全性，Skey是一個(gè)很好的選擇。

Skey是一次性口令的工具，基于客戶/服務(wù)器的模式。首先在服務(wù)器端用skeyinit命令為每個(gè)用戶建立一個(gè)Skey客戶，該命令需要指定一個(gè)秘密口令，然后就可以為客戶端的用戶產(chǎn)生一次性口令列表。當(dāng)用戶通過(guò)Telnet、FTP等方式與服務(wù)器建立連接時(shí)，可以按照一次性口令列表中的口令順序輸入自己的口令。

(3)?logrotate。該程序能夠使日志文件自動(dòng)循環(huán)使用，刪除保存最久的日志。logrotate一般通過(guò)cron運(yùn)行。用戶既可以讓它根據(jù)一個(gè)時(shí)間表定時(shí)更新日志文件，也可以對(duì)它進(jìn)行配置，使其在日志文件的大小超過(guò)某個(gè)閾值時(shí)進(jìn)行刷新。

(4)?swatch。它是一個(gè)實(shí)時(shí)的日志監(jiān)控工具，可以設(shè)置用戶感興趣的事件，當(dāng)事件發(fā)生時(shí)通知用戶。swatch有兩種運(yùn)行方式：

檢查完畢一個(gè)日志文件的內(nèi)容后退出；

不間斷地查看日志文件，評(píng)估每一條新記錄。

(5)?logcheck。該程序可以自動(dòng)檢查日志文件，先把日常的日志信息剔除，保留一些“異?！钡娜罩居涗?，并以E-mail的方式發(fā)送給系統(tǒng)管理員。

(6)?SSH。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如Telnet、FTP和POP，在本質(zhì)上都是不安全的，因?yàn)樗鼈兊臄?shù)據(jù)在網(wǎng)絡(luò)上以明文的形式傳送，很容易被截獲。另外，這些服務(wù)程序的安全驗(yàn)證機(jī)制較弱，傳輸?shù)臄?shù)據(jù)容易被篡改。通過(guò)使用SSH(SecureSHell)，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，能夠防止網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被截獲或篡改。另外，傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，可以加快傳輸?shù)乃俣?。SSH具有很多功能，既可以代替Telnet，也可以為FTP、POP提供一個(gè)安全的“通道”。

(7)?Tripwire。該程序是一個(gè)對(duì)文件系統(tǒng)進(jìn)行完整性檢查的軟件工具，采用的技術(shù)核心是對(duì)每個(gè)要監(jiān)控的文件產(chǎn)生一個(gè)數(shù)字簽名。當(dāng)現(xiàn)有文件的數(shù)字簽名與保留的數(shù)字簽名不一致時(shí)，表明該文件必定有所改動(dòng)。

當(dāng)Tripwire運(yùn)行在數(shù)據(jù)庫(kù)生成模式時(shí)，它將根據(jù)管理員設(shè)置的一個(gè)配置文件讀取指定的需要監(jiān)控的文件，對(duì)每個(gè)文件生成相應(yīng)的數(shù)字簽名，并將這些結(jié)果保存在自己的數(shù)據(jù)庫(kù)中。在缺省狀態(tài)下，MD5和SNCFRN加密手段被結(jié)合起來(lái)用以生成文件的數(shù)字簽名。如果黑客入侵了系統(tǒng)，修改了文件，可以通過(guò)Tripwire程序檢測(cè)出來(lái)。2.2.2實(shí)驗(yàn)——Linux系統(tǒng)安全基本設(shè)置

【實(shí)驗(yàn)?zāi)康摹?/p>

(1)熟悉Linux系統(tǒng)中的基本操作命令；

(2)通過(guò)一些基本設(shè)置，提高Linux系統(tǒng)的安全性。

【實(shí)驗(yàn)環(huán)境】

PC機(jī)一臺(tái)，安裝有RedHatLinux9.0操作系統(tǒng)。

【實(shí)驗(yàn)過(guò)程】

以root(管理員)身份登錄RedHatLinux9.0系統(tǒng)后，進(jìn)行如下操作。

(1)使用命令useradd創(chuàng)建新用戶：[root@localhostroot]#/usr/sbin/useraddmyuser[root@localhostroot]#/usr/sbin/useraddtest(2)設(shè)置口令，這里輸入的口令為a3b2c1，輸入時(shí)不回顯：[root@localhostroot]#/usr/bin/passwdmyuserChangingpasswordforusermyuser.Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.

1)查看用戶帳戶(3)注銷并以新用戶myuser登錄，查看文件?/etc/passwd的內(nèi)容：[myuser@localhostmyuser]$cat/etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin…(這里省略了部分內(nèi)容)wnn:x:49:49:WnnSystemAccount:/home/wnn:/sbin/nologindesktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologinmyuser:x:500:500::/home/myuser:/bin/bashtest:x:501:501::/home/test:/bin/bash系統(tǒng)中的每一個(gè)用戶對(duì)應(yīng)文件中的一條記錄，例如，新建用戶myuser對(duì)應(yīng)的記錄為：

myuser:x:500:500::/home/myuser:/bin/bash每一條記錄被冒號(hào)(:)分割成了7個(gè)字段，描述了用戶的不同屬性。這些字段包括：

用戶名：代表用戶帳戶的字符串。通常不超過(guò)8個(gè)字符，由字母、數(shù)字組成。口令：采用shadow技術(shù)后，加密后的口令存放在文件?/etc/shadow中，這里只存放一個(gè)特殊字符，如“x”或者“*”。用戶標(biāo)識(shí)號(hào)：系統(tǒng)內(nèi)部用來(lái)標(biāo)識(shí)用戶的整數(shù)。組標(biāo)識(shí)號(hào)：用來(lái)標(biāo)識(shí)用戶所屬的組，對(duì)應(yīng)著文件?/etc/group中的一條記錄。用戶信息：記錄用戶的一些個(gè)人情況，如真實(shí)姓名、電話、地址等。主目錄：用戶起始的工作目錄，它是用戶登錄到系統(tǒng)之后所處的目錄。登錄Shell：用戶登錄時(shí)使用的Shell。(4)打開(kāi)?/etc/shadow時(shí)，系統(tǒng)提示權(quán)限不夠：[myuser@localhostmyuser]$cat/etc/shadowcat:/etc/shadow:Permissiondenied所有合法的用戶都可以讀取文件?/etc/passwd的內(nèi)容，如果其中保存有原始口令信息或者是經(jīng)過(guò)加密的口令，將會(huì)給系統(tǒng)帶來(lái)一定的安全威脅。默認(rèn)設(shè)置下，RedHatLinux9.0系統(tǒng)采用shadow技術(shù)，把口令從?/etc/passwd中分離出來(lái)，保存到文件?/etc/shadow中，并且只能由root用戶讀取文件?/etc/shadow的內(nèi)容。(5)注銷并以root身份登錄系統(tǒng)，查看文件?/etc/shadow的內(nèi)容：[root@localhostroot]#cat/etc/shadowroot:$1$pVPuwB1M$tzhFb2ZS9mFx2hcQd5X961:13635:0:99999:7:::bin:*:13635:0:99999:7:::daemon:*:13635:0:99999:7:::adm:*:13635:0:99999:7:::lp:*:13635:0:99999:7:::sync:*:13635:0:99999:7:::shutdown:*:13635:0:99999:7:::halt:*:13635:0:99999:7:::mail:*:13635:0:99999:7:::…(這里省略了部分內(nèi)容)wnn:!!:13635:0:99999:7:::desktop:!!:13635:0:99999:7:::myuser:$1$dK7tJ4rI$lLKDJRqsC.G3eV8rnnt8L.:13737:0:99999:7:::test:!!:13737:0:99999:7:::文件?/etc/shadow與文件?/etc/passwd相對(duì)應(yīng)，其中每一條記錄對(duì)應(yīng)一個(gè)用戶，各個(gè)字段的含義依次為：

用戶名，即登錄時(shí)使用的用戶名稱。

加密的口令。如果此處為“！！”，表示該用戶當(dāng)前沒(méi)有口令，不能用來(lái)登錄。

上次修改口令日期距離1970年1月1日的天數(shù)。

兩次修改口令間隔最少的天數(shù)。如果設(shè)為0，表示隨時(shí)可以修改口令。

兩次修改口令間隔最多的天數(shù)。在口令過(guò)期前多少天，需要向用戶送出警告信息。

如果口令到期后仍未修改，經(jīng)過(guò)多少天后系統(tǒng)將關(guān)閉該帳戶。

帳戶過(guò)期日期距離1970年1月1日的天數(shù)。

系統(tǒng)保留字段，目前尚未使用。

(6)鎖定或刪除多余帳戶：對(duì)于系統(tǒng)中已經(jīng)存在的一些帳戶，如果我們能夠確定以后不再使用，應(yīng)該鎖定或刪除它們。

鎖定帳戶使用的命令為：/usr/sbin/usermod-L[username]，例如：

[root@localhostroot]#/usr/sbin/usermod-Lmyuser

刪除帳戶使用的命令為：/usr/sbin/userdel[username]，例如：

[root@localhostroot]#/usr/sbin/userdellp[root@localhostroot]#/usr/sbin/userdelshutdown[root@localhostroot]#/usr/sbin/userdelhalt[root@localhostroot]#/usr/sbin/userdeltest2)文件及目錄的訪問(wèn)權(quán)限(1)查看文件或目錄的訪問(wèn)權(quán)限：[root@localhost/]#ls-l/etc/passwd-rw-r--r--1rootroot1576Aug1218:33/etc/passwd[root@localhost/]#ls-l/etc/shadow-r--------1rootroot1001Aug1218:33/etc/shadow[root@localhost/]#ls-l/|grepetcdrwxr-xr-x64rootroot8192Aug1709:17etc不難看出：用戶root可以讀寫(xiě)文件passwd，其他用戶只能讀該文件；用戶root可以讀文件shadow，其他用戶無(wú)權(quán)訪問(wèn)該文件；所有用戶都可以讀目錄?/etc。

(2)改變目錄?/etc的訪問(wèn)權(quán)限：[root@localhost/]#chmodo-r/etc[root@localhost/]#ls-l/|grepetcdrwxr-x--x64rootroot