2009年 7月 25日 6时 8分 计算机网络安全基础第 2章 操作系统与网络安全目前,在服务器的操作系统平台上,受广大用户欢迎的有 Unix,Linux和 Windows NT。
这三个操作系统存在着不少的安全漏洞,如果对这些漏洞不了解,不采取相应的对策和防范措施,就会使系统完全暴露在入侵者的入侵范围之内,随时有可能遭受毁灭性的攻击。
本章就是从上述问题着手,来讨论:
1.Unix,Linux和 Windows NT等操作系统的安全基础
2.系统特性和安全策略
3.Unix和 Windows NT操作系统的网络安全配置
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
2.1.1Unix系统的由来
Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的业界主流操作系统,
经历了一个逐步成长、不断完善的发展过程。由于其功能强大、技术成熟、可靠性好、网络功能强及开放性好,
可满足各行各业实际应用的需求,受到了广大用户的欢迎,已经成为重要的企业级操作平台。由于 Unix系统强大的生命力,它的用户每年以两位数字以上的速度增长,
可以肯定地说,Unix是可以进入 21世纪的少数几种操作系统平台之一。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
Unix系统在经过 20多年的发展成长以后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要包括:
1,可靠性高 。
2,极强的伸缩性 。
3,网络功能强 。
4,强大的数据库支持功能 。
5,开放性好 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
2.1.2 Unix常用命令介绍
ls
这个命令相当于 DOS中的 dir( 列目录和文件的命令 )
-a,把本目录下所有的文件,包括隐含的文件列出来 。
-l,把文件的文件长度,修改的日期等详细信息列出来 。
-p,在每个文件名后附一个字符说明文件类型 。 *表示可执行文件,/表示目录,@表示连接 。
-d,将目录当作文件显示,而不是显示其下的文件 。
当输入 ls -al命令并接回车时,就会列出当前目录下所有文件和目录的名称 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
cd
变换目录,和 DOS相同。如果你在 cd后面没有给定目的地,则表示目的地是根目录。在 Unix中有三种表示目录的符号:“.”、“..”、,~”。“.”表示当前目录路径的位置,“..”表示当前路径的上一层目录,或称“父目录”,,~”表示根目录,根目录指每个用户所拥有的目录。如想进入某一目录,只需在 cd
后加上要进入的目录名,例如 cd/ etc。
who
列出现在系统里有哪些用户 。 Unix是一个多用户的操作系统,可以同时有许多人在机器上 。 who命令可以把他们的名字和终端号都列出来 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
cp
cp命令等同于 DOS里的 copy命令,即复制文件 。
例如,cp filel file2会将 filel文件复制为 file2文件 。 它有如下几个重要参数:
-r,将目录完全地复制到其他目录里,相当于 xcopy。
-p,在 Unix里,当你操作时,系统会自动更改文件属主,
组,权限和时间 。 -p参数使这些内容保持不变 。
cat
catenate的缩写,意为把内容串起来,其实际作用在于显示文件内容,相当于 DOS里面的 type命令 。
当输入 cat/ etc/ passwd命令,就会显示出本系统的口令文件 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
man
英语,manual”的缩写 。 这是一条使用频率很高的命令,用来得到系统对一个特定命令的帮助信息 。 例如,
如果想得到 cat命令的详细帮助信息,就输入 man cat。
mv
这个命令是 move的缩写,就是移动一个目录或文件 。 my filel file2就是把文件 filel移动为 file2,移动后
filel会消失,实际上就是把 filel改名为 file2。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
rm
rm就是 remove,即删除文件 。 当需要删除目录以及目录以下的子目录时,需用 r参数 。
grep
在文件当中查找指定字符 。 例如 grep root passwd,
其功能为在 passwd文件当中寻找 root字符并输出该行 。
find
用来搜寻特定文件或目录。其使用格式为:
find[ 路径][匹配表达式]
主要的匹配表达式有,-name,通过文件名查找;
-perm,通过文件属性查找;
-print,输出搜寻结果。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
2.1.3 Unix系统基本知识
● 超级用户在 Unix系统中有一个名为 root的用户,这个用户在系统上拥有最大的权限,即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。
●文件属性为保护每个用户的私人文件不受他人非法修改,系统为每个文件和目录都设定了属性。
-rw-r--r-- l root wheel 545 Apr 4 12:19 file1
r表示可读,w表示可写,x表示可执行。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.1 Unix系统简介
● Shell
Shell是用户和 Unix系统内核之间的接口程序。在提示符下输入的每个命令都由 Shell先解释然后传给 Unix
内核。可以简单地认为 Shell就是 Unix的命令解释器,
相当于 DOS中的 COMMAND.COM。
● 输入 /输出重定向重定向用于改变一个命令的输入/输出源。,<”
和,>”符号用于把当前命令的输入/输出重走向为指定的文件。
● 管道管道可以把一系列命令连接起来。这意味着第一个命令的输出会通过管道传给第二个命令而作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,以此类推。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.2 Linux系统简介
2.2.1 Linux的历史
Unix系统对计算机硬件的要求比较高,对于一般的个人来说,想要在 PC机上运行 Unix是比较困难的 。 而
Linux就为一般用户提供了一个使用 Unix界面操作系统的机会 。 因为 Linux是按照 Unix风格设计的操作系统,
所以在源代码级上兼容绝大部分的 Unix标准 。 可以说相当多的网络安全人员在自己的机器上运行的正是 Linux。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.2 Linux系统简介
2.2.2 Linux的特点
1,与 Unix高度兼容 。 Linux是一种完全符合 POSIX.l等国际标准的操作系统,它和大部分商业 Unix操作系统保持高度的兼容性,几乎所有的 Unix命令都可以在 Linux下使用 。
2,高度的稳定性和可靠性 。 Linux是一种完全 32位的操作系统 ( 其实 Linux可以很容易地升级为 64位 ),具备完善的多任务机制 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.2 Linux系统简介
3,完全开放源代码,价格低廉 。 Linux符合 GNU通用公共版权协议,是自由软件,它的源代码是完全开放的,可以免费得到,这对于系统安全人员来说是非常重要的,
因为阅读源代码是发现系统漏洞的最主要方法 。 而且与各种商业操作系统相比 。
4,安全可靠,绝无后门 。 由于源代码开放,用户不用担心 Linux中会存在秘密后门,而且任何错误都会被及时发现并修正,因此 Linux可以提供极高的安全性 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.2 Linux系统简介
2.2.3 vi用法介绍
vi是 Linux下的一个非常好用的全屏幕文本编辑器。
vi有两种模式,即编辑模式和命令模式。编辑模式用来输入文字资料,而命令模式用来下达一些编排文件、
存档以及离开 vi等等的操作命令。
进入 vi,直接输入 vi <文件名 >
离开 vi,命令模式下键入,q,:wq指令则是存盘后再离开模式切换,切换到命令模式下需按 Esc键
2009年 7月 25日 6时 8分 计算机网络安全基础
2.3 Windows系统简介
Windows 9x,在具有众多优点的同时,它的缺点是稳定性和安全性欠佳。 Windows 95/ 98极易受到各种木马以及炸弹的袭击,一般的网络用户都可以使用一些特种工具轻而易举地让 Windows 9x死机。
Windows NT,对网络功能的支持更为强大,并且稳定性有了本质的提高。
注册表,注册表是 Windows系统的核心数据库,里面只存放了某些文件类型的应用程序信息。要方便地修改注册表可以使用注册表编辑程序 regedit。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.3 Windows系统简介
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
2.4.1 网络配置文件
1,/etc/ hosts文件该文件的目的是提供简单的主机名到 IP地址的转换。
一个例子,其中以,#”打头的行表示注释:
# IP ADDRESS FQDN ALIASES
127.0.0.1 localhost
178.12.32.13 hostl.edu.cn host1
145.32.16.76 host2.com.cn host2
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
2,/etc/ethers文件当一个主机在本地网络上,并知道其 IP地址时,TCP/IP将它转换成实际的以太网地址 。 这可以通过地址转换协议
( ARP),或者创建一个/ etc/ ethers文件并由该文件列出所有的以太网地址列表来实现 。
该文件的格式是:前面是以太网地址,后面是正式的主机名,例如:
# Ethernet Address Hostname
5:2:21:3:fc:1a host1
2:54:12:4:54:7f host2
e1:0:c1:1:9:23 host3
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
3,/etc/networks 文件该文件提供了一个 Internet上的 IP地址和名字 。 每一行提供了一个特定的网络的信息,例如:
# NETWORK NAME IP ADDRESS
loopback 127
www.host1.com 187.12.4
ftp.host2.org 166.23.56
该文件中的每一项包括一个网络的 IP地址、名称、
别名和注释。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
4,/etc/protocols文件该文件提供了一个已知的 DARPA Internet协议的列表。
下例每行包含了协议名,协议号以及该协议的别名:
# Internet( IP) protocols
ip 0 IP # internet protocol,pseudo protocol number
icmp 1 ICMP # internet control message protocol
ggp 3 GGP # gateway to gateway protocol
tcp6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user data gram protocol
hello 63 HELLO # HELLO Routing Protocol
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
5,/etc/services文件该文件提供了可用的服务列表 。 对每一个服务,文件中的每一行提供了下述信息:
正式服务名,端口号,协议名,别名
# Network services Internet style
#
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp
ftp 21/tcp
telnet 23/tcp
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
2.4.2 Unix文件访问控制
Unix系统的资源访问控制是基于文件的,为了维护系统的安全性,系统中每一个文件都具有一定的访问权限,只有具有这种访问权限的用户才能访问该文件,否则系统将给出 Permission Denied的错误信息。有三类用户,用户本人,用户所在组的用户,其它用户允许权,R--读 W--写 X--执行允许权组,A--管理员 ( 所有权利 ) V--属主
G--组 O--其他每个人
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置
2.4.3 NFS文件访问系统的安全任一台主机都可以做 NFS服务器或者 NFS客户 。 或者二者兼而有之 。
用户最常犯的错误只是简单的 NFS设置错误,设置有错误的 NFS主机到处都是。
由于 NFS对用户的认证非常简单,并且对 NFS设置错误的例子比比皆是 。 因此 NFS对网络安全的危害是非常巨大的 。
首先,对可以安装调出文件卷的主机没有限制,将使得任何主机都可以安装,因此攻击者所在的主机也一样可以安装它 。 即使没有其它权限,攻击者通过这一步便已看到了系统的许多信息 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置其次,没有明确地设置调出文件卷为只读,则调出文件卷在客户端缺省为可读,可写 。 这时候攻击者便可以增加,修改,删除或替换 NFS服务器上的文件 。 需要明确指出的是,调出文件卷缺省为可写 。
第三,许多主机常常将 NFS服务器上的系统信箱和用户主目录所在的目录调出 。 安装这些目录的用户 ( 攻击者 ),只要具有文件属主的 UID和 GID,便可以阅读这些文件 。 这只要攻击者在本机是超级用户,那么他便可以用 su命令变成任何普通用户,或者诸如 bin这类的特殊用户 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置第四,有一些系统甚至将 NFS服务器上的根目录调出 。 这等于是将系统送到别人眼底 。 系统的一切秘密暴露无疑 。 攻击者只需用命令,su bin”变成 bin用户,或者与 root同组的用户,便可以替换系统一些启动时的文件,或者在/ ( root用户的主目录 ),/bin( bin用户的主目录 ) 下增加一个,rhosts文件 。 系统已经为外来用户敞开了大门 。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.4 Unix网络配置设置 NFS时的一些安全事项:
● 限制可安装调出文件卷的客户机及可安装的目录 。
● 如果可能,将文件系统以只读方式调出去 。
● 对调出的文件及目录设置为 root所有 。
● 不要将服务器的可执行文件调出 。
● 不要将用户目录调出去 。
● 使用安全的 NFS
● 最后一点,最好不要使用 NFS。
2009年 7月 25日 6时 8分 计算机网络安全基础
2.5 Windows NT网络配置
2.5.1 Windows NT的资源访问控制
Windows NT安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例,
这些安全信息,包括下列元素:
1,所有者
2,组
3,自由 ACL( Access Control List)
4,系统 ACL
5,存取令牌 ( Access Token)
2009年 7月 25日 6时 8分 计算机网络安全基础
2.5 Windows NT网络配置
2.5.2 Windows NT的 NTFS文件系统
NTFS文件系统是一种安全的文件系统,因为它支持文件访问控制,人们可以设置文件和目录的访问权限,
控制谁可以使用这个文件,以及如何使用这个文件。五个预定义的许可为:拒绝访问,读取,更改,完全控制和选择性访问。
2009年 7月 25日 6时 8分 计算机网络安全基础小 结本章内容:
1,Unix是一个多任务多用户的操作系统,它具有:可靠性高、极强的伸缩性、网络功能强、强大的数据库支持功能和开放性好等特点。
2,Linux是按照 Unix风格设计的操作系统,所以在源代码级上兼容绝大部分的 Unix标准。 Linux主要具有:与
Unix高度兼容、高度的稳定性和可靠性、完全开放源代码,价格低廉和系统安全可靠,绝无后门等特点。
3,Windows NT具有支持多种网络协议、内置的因特网功能和支持 NTFS文件系统等显著特点。注册表是
Windows系统的核心数据库。
4,Unix网络配置 和 Windows网络配置 。
2009年 7月 25日 6时 8分 计算机网络安全基础习题与思考题
1,网络操作系统与单机操作系统之间的主要区别是什么?
2,局域网操作系统有哪些基本服务功能?
3,Unix操作系统的主要特点有哪些?
4,Linux操作系统的主要特点有哪些?
5,Windows NT操作系统的主要特点有哪些?
6,Windows NT操作系统的安全特点是什么?
7,Unix操作系统的文件访问控制是基于什么来完成的?
8,Unix操作系统对文件进行操作的有哪三类用户?
9,简述 NTFS文件系统的特点?
10,在 Windows NT操作系统中对文件访问许可设置有哪些?
11,在 Windows NT操作系统中对目录访问许可设置有哪些?