网络信息安全课件

上传人:无*** 文档编号:237724284 上传时间:2023-12-19 格式:PPT 页数:143 大小:1.24MB
收藏 版权申诉 举报 下载
网络信息安全课件_第1页
第1页 / 共143页
网络信息安全课件_第2页
第2页 / 共143页
网络信息安全课件_第3页
第3页 / 共143页
资源描述:

《网络信息安全课件》由会员分享,可在线阅读,更多相关《网络信息安全课件(143页珍藏版)》请在装配图网上搜索。

1、1网络信息安全网络信息安全中国科学技术大学肖 明 军2 第一版Unix系统最早于1971年11月安装在DEC PDP-11/45机器上 第一份有关Unix的论文发表于1973年 Unix v6 手册于1975年发布 此后,Unix发展成好多个分支,而且越来越复杂UNIX UNIX 操作系统的早期发展操作系统的早期发展操作系统的早期发展操作系统的早期发展3UNIX UNIX 操作系统演进史操作系统演进史操作系统演进史操作系统演进史1.UNIX的历史开始于1969年ken Thompson,Dennis Ritchie(即著名的K&G,C语言的发明人)与一群人在一部PDP-7上进行的一些工作,后来

2、这个系统变成了UNIX。它主要的几个版本为:2.V1(1971):第一版的UNIX,以PDP-11/20的汇编语言写成。包括文件系统,fork、roff、ed等软件3.V4(1973):以C语言从头写过,这使得UNIX修改容易,可以在几个月内移植到新的硬件平台上。最初C语言是为UNIX设计的,所以C与UNIX间有紧密的关系。4.V6(1975):第一个在贝尔实验室外(尤其是大学中)广为流传的UNIX版本。这也是UNIX分支的起点与广受欢迎的开始。1.xBSD(PDP-II)就是由这个版本衍生出来的。5.V7(1979):在许多UNIX玩家的心目中,这是“最后一个真正的UNIX”,这个版本包括一

3、个完整的K&RC编译器,Bourne shell。V7移植到VAX机器后称为32V。6.目前开发UNIX(System V)的公司是Unix System Laboratories(USL)。USL本为AT&T所有,1993年初被Novell收购。Novell于1993年末将UNIX这个注册商标转让给X/Open组织7.目前为止,UNIX有两大流派:那就是AT&T发布的UNIX操作系统System V与美国加州大学伯克利分校发布的UNIX版BSD(Berkeley Software Distribution)。SVR4是两大流派融合后的产物。1991年底,与System V针锋相对的开放软件基

4、金会(Open Software Foundation)推出了OSF/1。4UNIX UNIX 操作系统分类操作系统分类操作系统分类操作系统分类5当前主流的当前主流的当前主流的当前主流的 UNIX UNIX 系统系统系统系统1.HP/UX、AIX等等等等 从早期SYSV和部分BSD系统发展而来的商用操作系统2.Solaris 从SunOS系统发展而来,并借鉴了一些BSD规则3.Linux 是几乎所有unix系统发展而来的“混血儿”,但看起来更像SYSV-ish4.FreeBSD、NetBSD、OpenBSD 完全从主流BSD发展而来的分支6 UNIX/LINUX UNIX/LINUX UNIX

5、/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文

6、件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH

7、SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经

8、验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇7计算机系统结构计算机系统结构计算机系统结构计算机系统结构一般情况下,我们不能直接操作裸机,必须通过一个一般情况下,我们不能直接操作裸机,必须通过一个叫做基本输入输出系统的软件系统(英文为叫做基本输入输出系统的软件系统(英文为Basic Input/Output System,简

9、称,简称BIOS),才能操作控制),才能操作控制裸机,之所以这样称呼它,是因为它提供了最基本的裸机,之所以这样称呼它,是因为它提供了最基本的计算机操作功能,如在屏幕上显示一点,接收一个键计算机操作功能,如在屏幕上显示一点,接收一个键盘字符的输入等。盘字符的输入等。在基本输入输出系统的外面是操作系统(在基本输入输出系统的外面是操作系统(Operating System):专门负责管理计算机的各种资源,并提供):专门负责管理计算机的各种资源,并提供操作电脑所需的工作界面。有了它们,人们才可以方操作电脑所需的工作界面。有了它们,人们才可以方便自如地使用电脑。便自如地使用电脑。应用软件一般都运行在操作

10、系统之上,由专业人员应用软件一般都运行在操作系统之上,由专业人员根据各种需要开发。我们平时见到和使用的绝大部分根据各种需要开发。我们平时见到和使用的绝大部分软件均为应用软件,如杀毒软件,文字处理软件,学软件均为应用软件,如杀毒软件,文字处理软件,学习软件,游戏软件,上网软件等等习软件,游戏软件,上网软件等等具体结构图如右图所示:具体结构图如右图所示:8LinuxLinux 操作系统结构操作系统结构操作系统结构操作系统结构用户进程:用户应用程序是运行在用户进程:用户应用程序是运行在LINUX操作系统最高层的一个庞大的软件集合,当一个用户操作系统最高层的一个庞大的软件集合,当一个用户程序在操作系统

11、之上运行时,它就成为操作系统中的一个进程。程序在操作系统之上运行时,它就成为操作系统中的一个进程。系统调用接口:在应用程序中,可通过系统调用来调用操作系统内核中特定的过程,以实现特系统调用接口:在应用程序中,可通过系统调用来调用操作系统内核中特定的过程,以实现特定的服务,比如创建一个新进程等。由若干条指令构成的过程:定的服务,比如创建一个新进程等。由若干条指令构成的过程:SHELL、WHO等等 内核:操作系统的灵魂,它负责管理磁盘上的文件、内存,负责启动并运行程序,负责从网络内核:操作系统的灵魂,它负责管理磁盘上的文件、内存,负责启动并运行程序,负责从网络上接收和发送数据包等。内核实际是抽象的

12、资源操作到具体硬件操作细节之间的接口。上接收和发送数据包等。内核实际是抽象的资源操作到具体硬件操作细节之间的接口。硬件:这个子系统包括了硬件:这个子系统包括了LINUX安装时需要的所有可能的物理设备,如安装时需要的所有可能的物理设备,如CPU、内存、硬盘、网、内存、硬盘、网络硬件等络硬件等9Linux Linux 内核的构成内核的构成内核的构成内核的构成进程调度控制着进程对进程调度控制着进程对CPU的访问,当需要选择下一个的访问,当需要选择下一个进程运行时,由调度程序选进程运行时,由调度程序选择最值得运行的进程择最值得运行的进程内存管理子系统:允许多内存管理子系统:允许多个进程安全地共享主内存

13、个进程安全地共享主内存区域,支持虚拟内存区域,支持虚拟内存虚拟文件系统隐藏了各种不同虚拟文件系统隐藏了各种不同硬件的具体细节,为所有设备硬件的具体细节,为所有设备提供了统一的接口,提供了统一的接口,VFS支持支持几十种不同的文件系统几十种不同的文件系统网络接口提供了对各种网网络接口提供了对各种网络标准的存取和各种网络络标准的存取和各种网络硬件的支持硬件的支持进程间通信支持进程进程间通信支持进程间各种通信机制间各种通信机制10Linux Linux 进程调度子系统进程调度子系统进程调度子系统进程调度子系统结构特定结构特定结构特定结构特定的模块的模块的模块的模块进程进程进程进程调度调度调度调度3

14、3、进程调度示意图、进程调度示意图、进程调度示意图、进程调度示意图2 2、进程调度的结构图、进程调度的结构图、进程调度的结构图、进程调度的结构图1 1、进程调度与其他子系统的依赖关系、进程调度与其他子系统的依赖关系、进程调度与其他子系统的依赖关系、进程调度与其他子系统的依赖关系进程调度子系统完成的主要功能:进程调度子系统完成的主要功能:v允许进程建立自己的拷贝允许进程建立自己的拷贝v决定哪一个进程将占用决定哪一个进程将占用CPU,使得可运行进程之间进行有效地转移,使得可运行进程之间进行有效地转移接受中断并把他们发送到合适的内核子系统接受中断并把他们发送到合适的内核子系统v发送信号给用户进程发送

15、信号给用户进程v管理定时器硬件管理定时器硬件v当进程结束后,释放进程所占用的资源当进程结束后,释放进程所占用的资源v支持动态装入模块,这些模块代表着内核启动以后所增加的新功能,支持动态装入模块,这些模块代表着内核启动以后所增加的新功能,这种可装入的模块将由虚拟文件系统和网络接口使用这种可装入的模块将由虚拟文件系统和网络接口使用11中央处理单元(中央处理单元(中央处理单元(中央处理单元(CPUCPU)存储器的层次结构存储器的层次结构存储器的层次结构存储器的层次结构Linux Linux 内存管理子系统内存管理子系统内存管理子系统内存管理子系统昂贵昂贵快速快速小容量小容量便宜便宜低速低速大容量大容

16、量内存管理是内存管理是Linux内核最复杂的任务之内核最复杂的任务之一:主要包括地址映射、请页、交换、一:主要包括地址映射、请页、交换、内存分配、内存回收、缓存、刷新、共内存分配、内存回收、缓存、刷新、共享等机制享等机制程序的创建和执行以及内存的初始化程序的创建和执行以及内存的初始化12OS代码代码OS数据数据-GDT、IDT、TSS-页表页表-特权数据特权数据-内核栈内核栈Linux Linux 多任务系统多任务系统多任务系统多任务系统1023用户数据用户数据用户代码用户代码保护特权级保护特权级任务任务1任务任务2任务任务3任务任务4任务任务N任务任务5内核空间用户空间(1、2、3 级)0G

17、3G4GLinux 采用采用0 级、级、3 级级内核模式对应内核模式对应 0 级级用户模式对应用户模式对应 1、2、3 级级内核模式和用户模式的区别内核模式和用户模式的区别反映在线性地址空间中就是反映在线性地址空间中就是内核空间和用户空间所处位内核空间和用户空间所处位置的不同置的不同13用户模式:用户模式:用户模式:用户模式:3 3 级级级级内核模式:内核模式:内核模式:内核模式:0 0 级级级级Linux Linux 网络层网络层网络层网络层套接字接口套接字接口套接字接口套接字接口协议层协议层协议层协议层网络设备网络设备网络设备网络设备应用程序应用程序应用程序应用程序14Linux Linu

18、x 文件系统文件系统文件系统文件系统-目录结构目录结构目录结构目录结构binbootdevetchomeliblost+found mntprocrootsbintmpusrvarX11R6binsbindocincludeliblocalMansrc 15Linux Linux 进程间通信(进程间通信(进程间通信(进程间通信(IPCIPC)为了进程能在同一任务上协调工作,他们彼此之间必须能够进行通信,为了进程能在同一任务上协调工作,他们彼此之间必须能够进行通信,IPC机制具有如下功能:机制具有如下功能:v支持信号:信号是发送给进程的异步信息支持信号:信号是发送给进程的异步信息v支持等待队列:

19、等待队列提供了一种机制它让等待操作完成的进程处于睡眠(支持等待队列:等待队列提供了一种机制它让等待操作完成的进程处于睡眠(SLEEP)状态)状态v支持文件锁:这种机制允许进程把文件的一个区域或整个文件声明为只读,所有进程只能对声明的区支持文件锁:这种机制允许进程把文件的一个区域或整个文件声明为只读,所有进程只能对声明的区域进行读,除了拥有锁的进程域进行读,除了拥有锁的进程v支持管道和命名管道:这种机制允许两个进程之间面向连接,双向数据传送支持管道和命名管道:这种机制允许两个进程之间面向连接,双向数据传送v支持支持System V IPC机制机制v支持信号量。支持信号量。v支持消息队列支持消息队

20、列v支持共享内存:几个进程存取物理内存的同一区域支持共享内存:几个进程存取物理内存的同一区域v支持支持UNIX的套节口:又一种面向连接的数据传送机制,它提供了与的套节口:又一种面向连接的数据传送机制,它提供了与INET sockets 相同的通信模型相同的通信模型16 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安

21、全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器

22、配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STAC

23、K NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理

24、理理 篇篇篇篇实实实实 践践践践 篇篇篇篇17服务就是运行在网络服务器上监听用户请求的进程服务就是运行在网络服务器上监听用户请求的进程服务就是运行在网络服务器上监听用户请求的进程服务就是运行在网络服务器上监听用户请求的进程服务是通过端口号来区分的服务是通过端口号来区分的服务是通过端口号来区分的服务是通过端口号来区分的常见的服务及其对应的端口常见的服务及其对应的端口常见的服务及其对应的端口常见的服务及其对应的端口ftp:21ftp:21telnet:23telnet:23http(wwwhttp(www):80):80pop3:110pop3:110什么是服务?什么是服务?什么是服务?什么是服务

25、?18在在在在UNIXUNIX系统中系统中系统中系统中,服务是通过服务是通过服务是通过服务是通过inetdinetd 进程或启动脚本来启动进程或启动脚本来启动进程或启动脚本来启动进程或启动脚本来启动通过通过通过通过 inetdinetd 来启动的服务可以通过在来启动的服务可以通过在来启动的服务可以通过在来启动的服务可以通过在/etc/etc/inetd.confinetd.conf 文件中注文件中注文件中注文件中注释来禁用释来禁用释来禁用释来禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用通过启动脚本启动的服务可以通过改变脚本名称的方

26、式禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用在在在在UNIXUNIX系统里启动与关闭服务?系统里启动与关闭服务?系统里启动与关闭服务?系统里启动与关闭服务?191.1.inetdinetd超级服务器超级服务器超级服务器超级服务器inetdinetd 的功能的功能的功能的功能inetdinetd 的配置和管理的配置和管理的配置和管理的配置和管理2.2.服务的关闭服务的关闭服务的关闭服务的关闭关闭通过关闭通过关闭通过关闭通过inetdinetd启动的服务启动的服务启动的服务启动的服务关闭独立启动的服务关闭独立启动的服务关闭独立启动的服务关闭独立启动的服务3.3.inetdinetd

27、的替代品的替代品的替代品的替代品 xinetd(http:/www.xinetd.orgxinetd(http:/www.xinetd.org)xinetdxinetd 比比比比inetdinetd更多管理功能更多管理功能更多管理功能更多管理功能xinetdxinetd 的配置的配置的配置的配置inetdinetd 超级服务器?超级服务器?超级服务器?超级服务器?20#inetd.conf This file describes the services that will be available#through the INETD TCP/IP super server.To re-con

28、figure#the running INETD process,edit this file,then send the#INETD process a SIGHUP signal.#Echo,discard,daytime,and chargen are used primarily for testing.#To re-read this file after changes,just do a killall-HUP inetd#echo stream tcp nowait root internal#echo dgram udp wait root internal#discard

29、stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait root internal#chargen dgram udp wait root internal#time stream tcp nowait root internal#time dgram udp wait root internal#These

30、are standard services.#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd-l-atelnet stream tcp nowait root /usr/sbin/tcpd in.telnetdinetdinetd 配置文件?配置文件?配置文件?配置文件?21rootsmithers rc3.d#ls-a.S11portmap S40crond S55routed S60rusersd S85sound.S15netfs S45pcmcia S55sshd S60rwhod S90 xfsK30sendmail S20rand

31、om S50inet S60lpd S75keytable S91smbS05apmd S30syslog S50snmpd S60nfs S85gpm S99linuxconfS10network S40atd S55named S60rstatd S85httpd S99localrootsmithers rc3.d#UNIXUNIX启动脚本目录启动脚本目录启动脚本目录启动脚本目录 /etc/etc/rcrc*.d/*.d/禁用启动脚本禁用启动脚本禁用启动脚本禁用启动脚本 改变脚本名,使他不以大写的改变脚本名,使他不以大写的改变脚本名,使他不以大写的改变脚本名,使他不以大写的 S S 开头

32、开头开头开头UNIXUNIX启动脚本启动脚本启动脚本启动脚本22系统启动脚本系统启动脚本系统启动脚本系统启动脚本n nsysVsysV风格的启动脚本风格的启动脚本风格的启动脚本风格的启动脚本l lrcX.d/KNprogrcX.d/KNprog SNprogSNprogl lK03rhnsd K24irda S10network S90crondK03rhnsd K24irda S10network S90crondl lK05anacron K25squid K60lpd S12syslog K05anacron K25squid K60lpd S12syslog l lK05keytabl

33、e K30sendmail S91smbK05keytable K30sendmail S91smbn nBSDBSD风格的启动脚本风格的启动脚本风格的启动脚本风格的启动脚本l l/etc/etc/rc.confrc.conf sshd_enablesshd_enable=“YES”=“YES”UNIXUNIX其他风格的启动脚本其他风格的启动脚本其他风格的启动脚本其他风格的启动脚本23使用命令工具来监视网络状况使用命令工具来监视网络状况使用命令工具来监视网络状况使用命令工具来监视网络状况statnetstat2.2.ifconfigifconfig3.3.Linux Linux下的下的下的下的

34、socklistsocklist4.4.FreebsdFreebsd下的下的下的下的sockstatsockstat5.5.lsoflsof I I6.6.tcpdumptcpdumpUNIXUNIX常用网络监视工具常用网络监视工具常用网络监视工具常用网络监视工具241.1.fingerfinger2.2.tftptftp3.3.r r系列服务系列服务系列服务系列服务4.4.telnettelnet5.5.大多数大多数大多数大多数rpcrpc服务服务服务服务6.6.其他不必要的服务其他不必要的服务其他不必要的服务其他不必要的服务建议禁止使用的网络服务建议禁止使用的网络服务建议禁止使用的网络服务

35、建议禁止使用的网络服务25 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量

36、介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LIN

37、UX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINU

38、X UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇26PC PC 机启动过程机启动过程机启动过程机启动过程271.开始引导装入程序(boot loader)2.内核初始化并运行内核程序3.开始其他系统“自发的”进程4.运行系统起始脚本UNIXUNIX

39、 引导概述引导概述引导概述引导概述28 最初的引导环境通常是储存在NVRAM 设备中,并在开机的时候读入内存 NVRAM 引导装入程序触发初始引导模块(Boot block)里的程序,进行引导初始化 Boot block 装载入更大的程序块,引导Unix 内核程序引导装入程序(引导装入程序(引导装入程序(引导装入程序(bootboot loader loader)291.识别CPU体系结构并初始化2.计算物理内存并初始化虚拟内存系统3.为内部结构分配内存4.探测系统设备,配置它们和初始化它们内核活动内核活动内核活动内核活动30“自发”进程是内核通过特别机制创建的这些进程通常用来控制进程调度安排

40、和 VM system它们不是存在于文件系统中可执行的进程,而是真正的内核代码INIT 进程开始并引导系统运行开始脚本内核引导的自发进程内核引导的自发进程内核引导的自发进程内核引导的自发进程31 init 运行 shell 脚本/etc/rc:Mounts 本地文件系统 初始化网络接口 开始系统daemon程序/etc/rc 运行/etc/rc.local 中的特定系统服务程序/etc/rc.conf 脚本用来告诉系统在引导时运行哪些服务BSD“BSD“起始起始起始起始”(start-up)start-up)脚本脚本脚本脚本32ninit程序依据设定运行级别运行相应的“开始”级别脚本:nS 系

41、统启动配置n2 初始化网络配置,启动系统daemon程序n3 输出文件系统,启动本地daemon进程n运行级别0是中止系统,运行级别6是重新引导系统n启动脚本存放在/etc/init.d目录中n通常一个脚本对应一个daemon进程或者一项配置任务n这些脚本都可以带有“start”或“stop”参数 这样当系统down的时候,可以很好地关闭打开的进程n每一个运行级别都对应一个/etc/rc*.d目录n/etc/rc*.d中的链接文件的原文件是/etc/init.d目录中文件n链接文件命名方式是 S nn(脚本运行使用“start”参数)或者 K nn(脚本运行使用“stop”参数)nnn代表脚本

42、运行的顺序SYSV“SYSV“开始开始开始开始”(start-”(start-up)up)脚本脚本脚本脚本33n管理员可以控制在系统引导结束后运行哪些服务n对于BSD系统,编辑/etc/rc.conf (或者去掉/etc/rc*中注释标记)n对于SYSV系统,删除(或者重命名)在/etc/rc*.d目录中的链接文件底线底线底线底线341.基本系统配置2.开始网络服务3.开始NFS守护进程(NFS是一个流行的通过TCP/IP网络共享文件的协议)4.运行系统其他守护进程5.提供X界面登录的窗口init-init-控制引导进程控制引导进程控制引导进程控制引导进程35 装载root文件系统包括关键程序

43、和配置文件 配置网络接口 装载其他文件系统,其中一些可能是从网络装载1.1.基本系统配置基本系统配置基本系统配置基本系统配置36nDNS服务只在有DNS服务的机器上运行nPortmapper(rpcbind)基于RPC服务的主控守护进程nNIS/NIS+基于RPC的网络信息数据库nSyslog 系统日志进程ninetd 运行其他网络服务的“meta”守护进程2.2.开始网络服务开始网络服务开始网络服务开始网络服务373.3.开始开始开始开始NFSNFS守护进程守护进程守护进程守护进程NFS 客户端进程:lockd NFS 文件锁定系统statd 在系统重引导后解锁进程NFS 服务器端进程:mo

44、untd 服务器响应客户请求nfsd NFS I/O 进程Automounter(amd or automountd)38 cron 在事先设定好的时间运行的后台进程 Sendmail 邮件服务进程 其他服务进程 NTP、SNMP、HTTP、“volume managers”、local services 4.4.运行系统其他进程运行系统其他进程运行系统其他进程运行系统其他进程39 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程

45、系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APAC

46、HE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRI

47、PWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管

48、理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇40如何衡量系统安全程度?如何衡量系统安全程度?如何衡量系统安全程度?如何衡量系统安全程度?1.1.操作系统安全程度的度量标准:目前常用美国国防部系统所制定的操作系统安全程度的度量标准:目前常用美国国防部系统所制定的TCSECTCSEC(“Trusted Computer Trusted Computer System Evaluation CriteriaSystem Evaluation Criteria”(19851985),其评估

49、标准主要是基于:),其评估标准主要是基于:系统安全政策(系统安全政策(PolicyPolicy)的制定)的制定系统使用状态的可审性(系统使用状态的可审性(AccountabilityAccountability)安全政策的准确解释和实施的可靠性(安全政策的准确解释和实施的可靠性(AssuranceAssurance)2.2.系统安全程度被分为八个等级(系统安全程度被分为八个等级(D1D1、C1C1、C2C2、B1B1、B2B2、B3B3、A1A1和和A2A2),其中),其中D1D1系统的安全度为最系统的安全度为最低,常见的无密码保护的个人计算机系统即属此类;低,常见的无密码保护的个人计算机系统

50、即属此类;3.3.通常具有密码保护的多用户工作站系统属于通常具有密码保护的多用户工作站系统属于C1C1级级4.4.一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级,因而网络系一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级,因而网络系统安全的难度更大。统安全的难度更大。中华人民共和国国家标准中华人民共和国国家标准中华人民共和国国家标准中华人民共和国国家标准GB 17859-1999GB 17859-1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 第一

51、级第一级第一级第一级:用户自主保护级用户自主保护级用户自主保护级用户自主保护级第二级第二级第二级第二级:系统审计保护级系统审计保护级系统审计保护级系统审计保护级第三级第三级第三级第三级:安全标记保护级安全标记保护级安全标记保护级安全标记保护级第四级第四级第四级第四级:结构化保护级结构化保护级结构化保护级结构化保护级第五级第五级第五级第五级:访问验证保护级访问验证保护级访问验证保护级访问验证保护级41 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与

52、进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE AP

53、ACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRI

54、PWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户

55、管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇42UNIX UNIX 系统物理安全系统物理安全系统物理安全系统物理安全 -注意点注意点注意点注意点1 11.1.服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留1515天以上的摄像记录。天以上的摄像记录。天以上的摄像记录。天以上的摄像记录

56、。2.2.机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另 外的外的外的外的 安全的地方。安全的地方。安全的地方。安全的地方。3.3.所有设备的管理人和责任人必须明确,名单必须由相应主管定期审核;所有设备的管理人和责任人必须明确,名单必须由相应主管定期审核;所有设备的管理人和责任人必须明确,名单必须由相应主管定期审核;所有设备

57、的管理人和责任人必须明确,名单必须由相应主管定期审核;4.4.计算机设备的访问必须得到其管理人的授权;计算机设备的访问必须得到其管理人的授权;计算机设备的访问必须得到其管理人的授权;计算机设备的访问必须得到其管理人的授权;5.5.受控访问区域内任何计算机设备的存放都必须有完整纪录清单,清单不许定期审视;受控访问区域内任何计算机设备的存放都必须有完整纪录清单,清单不许定期审视;受控访问区域内任何计算机设备的存放都必须有完整纪录清单,清单不许定期审视;受控访问区域内任何计算机设备的存放都必须有完整纪录清单,清单不许定期审视;6.6.计算机系统设备的任何物理变更,如搬迁、废弃、更换配件等都必须进行登

58、记;计算机系统设备的任何物理变更,如搬迁、废弃、更换配件等都必须进行登记;计算机系统设备的任何物理变更,如搬迁、废弃、更换配件等都必须进行登记;计算机系统设备的任何物理变更,如搬迁、废弃、更换配件等都必须进行登记;7.7.计算机设备离开公司时必须要通行证,所有此类物品的出门都必须记录。计算机设备离开公司时必须要通行证,所有此类物品的出门都必须记录。计算机设备离开公司时必须要通行证,所有此类物品的出门都必须记录。计算机设备离开公司时必须要通行证,所有此类物品的出门都必须记录。43 保护硬件环境保护硬件环境保护硬件环境保护硬件环境 ;保护硬件;保护硬件;保护硬件;保护硬件;关闭不用的接口:并行口、

59、串行、红外或关闭不用的接口:并行口、串行、红外或关闭不用的接口:并行口、串行、红外或关闭不用的接口:并行口、串行、红外或USBUSB;设置开机口令;设置开机口令;设置开机口令;设置开机口令;严格限制对系统的物理存储;严格限制对系统的物理存储;严格限制对系统的物理存储;严格限制对系统的物理存储;安装操作系统时应该在非生产的网络中,或放置在安装操作系统时应该在非生产的网络中,或放置在安装操作系统时应该在非生产的网络中,或放置在安装操作系统时应该在非生产的网络中,或放置在断开的网络中;断开的网络中;断开的网络中;断开的网络中;使用第二系统来接收厂商提供的升级报或补丁程序使用第二系统来接收厂商提供的升

60、级报或补丁程序使用第二系统来接收厂商提供的升级报或补丁程序使用第二系统来接收厂商提供的升级报或补丁程序UNIX UNIX 系统物理安全系统物理安全系统物理安全系统物理安全 -注意点注意点注意点注意点2 244 使用常规介质;备份可能包括改变的代码使用常规介质;备份可能包括改变的代码使用常规介质;备份可能包括改变的代码使用常规介质;备份可能包括改变的代码 对于具有网络功能的设备只安装必要的选项对于具有网络功能的设备只安装必要的选项对于具有网络功能的设备只安装必要的选项对于具有网络功能的设备只安装必要的选项 系统安装结束后,将最新的补丁程序打上系统安装结束后,将最新的补丁程序打上系统安装结束后,将

61、最新的补丁程序打上系统安装结束后,将最新的补丁程序打上 去掉不用的用户名或者修改其密码去掉不用的用户名或者修改其密码去掉不用的用户名或者修改其密码去掉不用的用户名或者修改其密码 使用第二系统来获得补丁程序使用第二系统来获得补丁程序使用第二系统来获得补丁程序使用第二系统来获得补丁程序 在正式装补丁程序前需要校验在正式装补丁程序前需要校验在正式装补丁程序前需要校验在正式装补丁程序前需要校验(md5sum)(md5sum)随时注意并更新系统和软件补丁随时注意并更新系统和软件补丁随时注意并更新系统和软件补丁随时注意并更新系统和软件补丁UNIX UNIX 系统物理安全系统物理安全系统物理安全系统物理安全

62、 -注意点注意点注意点注意点3 345 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍

63、用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UN

64、IX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNI

65、X/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇46UNIX UNIX 常用命令常用命令常用命令常用命令 -lsoflsof下载地址下载地址下载地址下载地址:http:/:http:/ open files).(list open fi

66、les).由于在由于在由于在由于在UNIXUNIX中文件的多样性中文件的多样性中文件的多样性中文件的多样性,一个一个一个一个socketsocket连连连连接也可以理解为一个文件句柄描述符接也可以理解为一个文件句柄描述符接也可以理解为一个文件句柄描述符接也可以理解为一个文件句柄描述符.类型:基本命令类型:基本命令类型:基本命令类型:基本命令:主要功能:主要功能:主要功能:主要功能:查看当前连接,类似于查看当前连接,类似于查看当前连接,类似于查看当前连接,类似于netstatnetstat查看某个进程打开或者使用了哪些文件查看某个进程打开或者使用了哪些文件查看某个进程打开或者使用了哪些文件查看某个进程打开或者使用了哪些文件从上面可以看出来从上面可以看出来从上面可以看出来从上面可以看出来2121端口端口端口端口ftpftp是由是由是由是由xinetdxinetd提供服务,如果我们想看关于提供服务,如果我们想看关于提供服务,如果我们想看关于提供服务,如果我们想看关于ftpftp进程进程进程进程打开了哪些文件打开了哪些文件打开了哪些文件打开了哪些文件,可以运行命令如图可以运行命令如图可以运行命

展开阅读全文
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!