1、2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),第2章 操作系統(tǒng)與網(wǎng)絡(luò)安全,目前，在服務(wù)器的操作系統(tǒng)平臺(tái)上，受廣大用戶歡迎的有Unix、Linux和Windows NT。這三個(gè)操作系統(tǒng)存在著不少的安全漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的對(duì)策和防范措施，就會(huì)使系統(tǒng)完全暴露在入侵者的入侵范圍之內(nèi)，隨時(shí)有可能遭受毀滅性的攻擊。 本章就是從上述問(wèn)題著手，來(lái)討論： 1.Unix、Linux和Windows NT等操作系統(tǒng)的安全基礎(chǔ) 2.系統(tǒng)特性和安全策略 3.Unix和Windows NT操作系統(tǒng)的網(wǎng)絡(luò)安全配置,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,2.1.1Unix系統(tǒng)的由來(lái)

2、Unix操作系統(tǒng)是由美國(guó)貝爾實(shí)驗(yàn)室開(kāi)發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的業(yè)界主流操作系統(tǒng)，經(jīng)歷了一個(gè)逐步成長(zhǎng)、不斷完善的發(fā)展過(guò)程。由于其功能強(qiáng)大、技術(shù)成熟、可靠性好、網(wǎng)絡(luò)功能強(qiáng)及開(kāi)放性好，可滿足各行各業(yè)實(shí)際應(yīng)用的需求，受到了廣大用戶的歡迎，已經(jīng)成為重要的企業(yè)級(jí)操作平臺(tái)。由于Unix系統(tǒng)強(qiáng)大的生命力，它的用戶每年以?xún)晌粩?shù)字以上的速度增長(zhǎng)，可以肯定地說(shuō)，Unix是可以進(jìn)入21世紀(jì)的少數(shù)幾種操作系統(tǒng)平臺(tái)之一。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,Unix系統(tǒng)在經(jīng)過(guò)20多年的發(fā)展成長(zhǎng)以后，已經(jīng)成為一種成熟的主流操作系統(tǒng)

3、，并在發(fā)展過(guò)程中逐步形成了一些新的特色，其中主要包括： 1可靠性高。 2極強(qiáng)的伸縮性。 3網(wǎng)絡(luò)功能強(qiáng)。 4強(qiáng)大的數(shù)據(jù)庫(kù)支持功能。 5開(kāi)放性好。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,2.1.2 Unix常用命令介紹 ls 這個(gè)命令相當(dāng)于DOS中的dir（列目錄和文件的命令） -a：把本目錄下所有的文件，包括隱含的文件列出來(lái)。 -l：把文件的文件長(zhǎng)度、修改的日期等詳細(xì)信息列出來(lái)。 -p：在每個(gè)文件名后附一個(gè)字符說(shuō)明文件類(lèi)型。*表示可執(zhí)行文件，表示目錄，表示連接。 -d：將目錄當(dāng)作文件顯示，而不是顯示其下的文件。 當(dāng)輸入ls -al命令并接回車(chē)時(shí)，就會(huì)列出當(dāng)前目錄下所有

4、文件和目錄的名稱(chēng)。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,cd 變換目錄，和DOS相同。如果你在cd后面沒(méi)有給定目的地，則表示目的地是根目錄。在Unix中有三種表示目錄的符號(hào)：“”、“”、“”。“”表示當(dāng)前目錄路徑的位置，“”表示當(dāng)前路徑的上一層目錄，或稱(chēng)“父目錄”，“”表示根目錄，根目錄指每個(gè)用戶所擁有的目錄。如想進(jìn)入某一目錄，只需在cd后加上要進(jìn)入的目錄名，例如cdetc。 who 列出現(xiàn)在系統(tǒng)里有哪些用戶。Unix是一個(gè)多用戶的操作系統(tǒng)，可以同時(shí)有許多人在機(jī)器上。who命令可以把他們的名字和終端號(hào)都列出來(lái)。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Un

5、ix系統(tǒng)簡(jiǎn)介,cp cp命令等同于DOS里的copy命令，即復(fù)制文件。 例如：cp filel file2會(huì)將filel文件復(fù)制為file2文件。它有如下幾個(gè)重要參數(shù)： -r：將目錄完全地復(fù)制到其他目錄里，相當(dāng)于xcopy。 -p：在Unix里，當(dāng)你操作時(shí)，系統(tǒng)會(huì)自動(dòng)更改文件屬主、組、權(quán)限和時(shí)間。-p參數(shù)使這些內(nèi)容保持不變。 cat catenate的縮寫(xiě)，意為把內(nèi)容串起來(lái)，其實(shí)際作用在于顯示文件內(nèi)容，相當(dāng)于DOS里面的type命令。 當(dāng)輸入catetcpasswd命令，就會(huì)顯示出本系統(tǒng)的口令文件。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,man 英語(yǔ)“manual”

6、的縮寫(xiě)。這是一條使用頻率很高的命令，用來(lái)得到系統(tǒng)對(duì)一個(gè)特定命令的幫助信息。例如，如果想得到cat命令的詳細(xì)幫助信息，就輸入man cat。 mv 這個(gè)命令是move的縮寫(xiě)，就是移動(dòng)一個(gè)目錄或文件。my filel file2就是把文件filel移動(dòng)為file2，移動(dòng)后filel會(huì)消失，實(shí)際上就是把filel改名為file2。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,rm rm就是remove，即刪除文件。當(dāng)需要?jiǎng)h除目錄以及目錄以下的子目錄時(shí)，需用r參數(shù)。 grep 在文件當(dāng)中查找指定字符。例如grep root passwd，其功能為在passwd文件當(dāng)中尋找root

7、字符并輸出該行。 find 用來(lái)搜尋特定文件或目錄。其使用格式為： find路徑匹配表達(dá)式 主要的匹配表達(dá)式有：-name，通過(guò)文件名查找； -perm，通過(guò)文件屬性查找； -print，輸出搜尋結(jié)果。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,2.1.3 Unix系統(tǒng)基本知識(shí) 超級(jí)用戶 在Unix系統(tǒng)中有一個(gè)名為root的用戶，這個(gè)用戶在系統(tǒng)上擁有最大的權(quán)限，即不需授權(quán)就可以對(duì)其他用戶的文件、目錄以及系統(tǒng)文件進(jìn)行任意操作。 文件屬性 為保護(hù)每個(gè)用戶的私人文件不受他人非法修改，系統(tǒng)為每個(gè)文件和目錄都設(shè)定了屬性。 -rw-r-r- l root wheel 545 Apr

8、 4 12:19 file1 r表示可讀，w表示可寫(xiě)，x表示可執(zhí)行。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1 Unix系統(tǒng)簡(jiǎn)介,Shell Shell是用戶和Unix系統(tǒng)內(nèi)核之間的接口程序。在提示符下輸入的每個(gè)命令都由Shell先解釋然后傳給Unix內(nèi)核?？梢院?jiǎn)單地認(rèn)為Shell就是Unix的命令解釋器，相當(dāng)于DOS中的COMMAND.COM。 輸入/輸出重定向 重定向用于改變一個(gè)命令的輸入輸出源?！啊狈?hào)用于把當(dāng)前命令的輸入輸出重走向?yàn)橹付ǖ奈募?管道 管道可以把一系列命令連接起來(lái)。這意味著第一個(gè)命令的輸出會(huì)通過(guò)管道傳給第二個(gè)命令而作為第二個(gè)命令的輸入，第二個(gè)命令的輸出又會(huì)作為第三

9、個(gè)命令的輸入，以此類(lèi)推。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2 Linux系統(tǒng)簡(jiǎn)介,2.2.1 Linux的歷史 Unix系統(tǒng)對(duì)計(jì)算機(jī)硬件的要求比較高，對(duì)于一般的個(gè)人來(lái)說(shuō)，想要在PC機(jī)上運(yùn)行Unix是比較困難的。而Linux就為一般用戶提供了一個(gè)使用Unix界面操作系統(tǒng)的機(jī)會(huì)。因?yàn)長(zhǎng)inux是按照Unix風(fēng)格設(shè)計(jì)的操作系統(tǒng)，所以在源代碼級(jí)上兼容絕大部分的Unix標(biāo)準(zhǔn)。可以說(shuō)相當(dāng)多的網(wǎng)絡(luò)安全人員在自己的機(jī)器上運(yùn)行的正是Linux。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2 Linux系統(tǒng)簡(jiǎn)介,2.2.2 Linux的特點(diǎn) 1與Unix高度兼容。Linux是一種完全符合POSIX.

10、l等國(guó)際標(biāo)準(zhǔn)的操作系統(tǒng)，它和大部分商業(yè)Unix操作系統(tǒng)保持高度的兼容性，幾乎所有的Unix命令都可以在Linux下使用。 2高度的穩(wěn)定性和可靠性。Linux是一種完全32位的操作系統(tǒng)（其實(shí)Linux可以很容易地升級(jí)為64位），具備完善的多任務(wù)機(jī)制。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2 Linux系統(tǒng)簡(jiǎn)介,3完全開(kāi)放源代碼，價(jià)格低廉。Linux符合GNU通用公共版權(quán)協(xié)議，是自由軟件，它的源代碼是完全開(kāi)放的，可以免費(fèi)得到，這對(duì)于系統(tǒng)安全人員來(lái)說(shuō)是非常重要的，因?yàn)殚喿x源代碼是發(fā)現(xiàn)系統(tǒng)漏洞的最主要方法。而且與各種商業(yè)操作系統(tǒng)相比。 4安全可靠，絕無(wú)后門(mén)。由于源代碼開(kāi)放，用戶不用擔(dān)心Linu

11、x中會(huì)存在秘密后門(mén)，而且任何錯(cuò)誤都會(huì)被及時(shí)發(fā)現(xiàn)并修正，因此Linux可以提供極高的安全性。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2 Linux系統(tǒng)簡(jiǎn)介,2.2.3 vi用法介紹 vi是Linux下的一個(gè)非常好用的全屏幕文本編輯器。 vi有兩種模式，即編輯模式和命令模式。編輯模式用來(lái)輸入文字資料，而命令模式用來(lái)下達(dá)一些編排文件、存檔以及離開(kāi)vi等等的操作命令。 進(jìn)入vi：直接輸入vi 離開(kāi)vi：命令模式下鍵入:q，:wq指令則是存盤(pán)后再離開(kāi) 模式切換：切換到命令模式下需按Esc鍵,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3 Windows系統(tǒng)簡(jiǎn)介,Windows 9x：在具有眾多優(yōu)點(diǎn)

12、的同時(shí)，它的缺點(diǎn)是穩(wěn)定性和安全性欠佳。Windows 9598極易受到各種木馬以及炸彈的襲擊，一般的網(wǎng)絡(luò)用戶都可以使用一些特種工具輕而易舉地讓W(xué)indows 9x死機(jī)。 Windows NT：對(duì)網(wǎng)絡(luò)功能的支持更為強(qiáng)大，并且穩(wěn)定性有了本質(zhì)的提高。 注冊(cè)表：注冊(cè)表是Windows系統(tǒng)的核心數(shù)據(jù)庫(kù)，里面只存放了某些文件類(lèi)型的應(yīng)用程序信息。要方便地修改注冊(cè)表可以使用注冊(cè)表編輯程序regedit。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3 Windows系統(tǒng)簡(jiǎn)介,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,2.4.1 網(wǎng)絡(luò)配置文件 1 . /etchosts文件 該文件的目的

13、是提供簡(jiǎn)單的主機(jī)名到IP地址的轉(zhuǎn)換。 一個(gè)例子，其中以“#”打頭的行表示注釋?zhuān)?# IP ADDRESS FQDNALIASES localhost host1 host2,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,2. /etc/ethers文件 當(dāng)一個(gè)主機(jī)在本地網(wǎng)絡(luò)上，并知道其IP地址時(shí)，TCP/IP將它轉(zhuǎn)換成實(shí)際的以太網(wǎng)地址。這可以通過(guò)地址轉(zhuǎn)換協(xié)議（ARP），或者創(chuàng)建一個(gè)etcethers文件并由該文件列出所有的以太網(wǎng)地址列表來(lái)實(shí)現(xiàn)。 該文件的格式是：前面是以太網(wǎng)地址，后面是正式的主機(jī)名，例如： # Ethernet AddressHostnam

14、e 5:2:21:3:fc:1ahost1 2:54:12:4:54:7fhost2 e1:0:c1:1:9:23host3,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,3 . /etc/networks 文件 該文件提供了一個(gè)Internet上的IP地址和名字。每一行提供了一個(gè)特定的網(wǎng)絡(luò)的信息，例如： # NETWORK NAMEIP ADDRESS loopback127 187.12.4 166.23.56 該文件中的每一項(xiàng)包括一個(gè)網(wǎng)絡(luò)的IP地址、名稱(chēng)、別名和注釋。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,4. /

15、etc/protocols文件 該文件提供了一個(gè)已知的DARPA Internet協(xié)議的列表。 下例每行包含了協(xié)議名、協(xié)議號(hào)以及該協(xié)議的別名： # Internet（IP）protocols ip0IP# internet protocol, pseudo protocol number icmp1ICMP# internet control message protocol ggp3GGP# gateway to gateway protocol tcp6TCP# transmission control protocol egp8EGP# exterior gateway protocol

16、 pup12PUP# PARC universal packet protocol udp17UDP# user data gram protocol hello63HELLO# HELLO Routing Protocol,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,5 . /etc/services文件 該文件提供了可用的服務(wù)列表。對(duì)每一個(gè)服務(wù)，文件中 的每一行提供了下述信息： 正式服務(wù)名、端口號(hào)、協(xié)議名、別名 # Network services Internet style # echo7/tcp echo7/udp discard9/tcpsinknull di

17、scard9/udpsinknull systat11/tcp ftp21/tcp telnet23/tcp,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,2.4.2 Unix文件訪問(wèn)控制 Unix系統(tǒng)的資源訪問(wèn)控制是基于文件的，為了維護(hù)系統(tǒng)的安全性，系統(tǒng)中每一個(gè)文件都具有一定的訪問(wèn)權(quán)限，只有具有這種訪問(wèn)權(quán)限的用戶才能訪問(wèn)該文件，否則系統(tǒng)將給出Permission Denied的錯(cuò)誤信息。有三類(lèi)用戶 ：用戶本人 、用戶所在組的用戶 、其它用戶 允許權(quán)：R-讀W-寫(xiě)X-執(zhí)行 允許權(quán)組：A-管理員（所有權(quán)利）V-屬主 G-組O-其他每個(gè)人,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)

18、,2.4 Unix網(wǎng)絡(luò)配置,2.4.3 NFS文件訪問(wèn)系統(tǒng)的安全 任一臺(tái)主機(jī)都可以做NFS服務(wù)器或者NFS客戶?；蛘叨呒娑兄?。 用戶最常犯的錯(cuò)誤只是簡(jiǎn)單的NFS設(shè)置錯(cuò)誤，設(shè)置有錯(cuò)誤的NFS主機(jī)到處都是。 由于NFS對(duì)用戶的認(rèn)證非常簡(jiǎn)單，并且對(duì)NFS設(shè)置錯(cuò)誤的例子比比皆是。因此NFS對(duì)網(wǎng)絡(luò)安全的危害是非常巨大的。 首先，對(duì)可以安裝調(diào)出文件卷的主機(jī)沒(méi)有限制，將使得任何主機(jī)都可以安裝，因此攻擊者所在的主機(jī)也一樣可以安裝它。即使沒(méi)有其它權(quán)限，攻擊者通過(guò)這一步便已看到了系統(tǒng)的許多信息。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,其次，沒(méi)有明確地設(shè)置調(diào)出文件卷為只讀，則調(diào)出文件

19、卷在客戶端缺省為可讀、可寫(xiě)。這時(shí)候攻擊者便可以增加，修改，刪除或替換NFS服務(wù)器上的文件。需要明確指出的是，調(diào)出文件卷缺省為可寫(xiě)。 第三，許多主機(jī)常常將NFS服務(wù)器上的系統(tǒng)信箱和用戶主目錄所在的目錄調(diào)出。安裝這些目錄的用戶（攻擊者），只要具有文件屬主的UID和GID，便可以閱讀這些文件。這只要攻擊者在本機(jī)是超級(jí)用戶，那么他便可以用su命令變成任何普通用戶，或者諸如bin這類(lèi)的特殊用戶。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,第四，有一些系統(tǒng)甚至將NFS服務(wù)器上的根目錄調(diào)出。這等于是將系統(tǒng)送到別人眼底。系統(tǒng)的一切秘密暴露無(wú)疑。攻擊者只需用命令“su bin”變成bin

20、用戶，或者與root同組的用戶，便可以替換系統(tǒng)一些啟動(dòng)時(shí)的文件，或者在（root用戶的主目錄），/bin（bin用戶的主目錄）下增加一個(gè).rhosts文件。系統(tǒng)已經(jīng)為外來(lái)用戶敞開(kāi)了大門(mén)。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.4 Unix網(wǎng)絡(luò)配置,設(shè)置NFS時(shí)的一些安全事項(xiàng)： 限制可安裝調(diào)出文件卷的客戶機(jī)及可安裝的目錄。 如果可能，將文件系統(tǒng)以只讀方式調(diào)出去。 對(duì)調(diào)出的文件及目錄設(shè)置為root所有。 不要將服務(wù)器的可執(zhí)行文件調(diào)出。 不要將用戶目錄調(diào)出去。 使用安全的NFS 最后一點(diǎn)，最好不要使用NFS。,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.5 Windows NT網(wǎng)絡(luò)配置,2.5.1 Windows NT的資源訪問(wèn)控制 Windows NT安全模式的一個(gè)最初目標(biāo)，就是定義一系列標(biāo)準(zhǔn)的安全信息，并把它應(yīng)用于所有對(duì)象的實(shí)例，這些安全信息，包括下列元素： 1所有者 2組 3自由 ACL（Access Control List） 4系統(tǒng)ACL 5存取令牌（ Access Token）,2020/9/22,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.5 Windows NT網(wǎng)絡(luò)配置,2.5.2 Windows NT的 NTFS文件