《计算机网络安全课件》第二章 操作系统与网络安全.ppt

第二章 操作系统与网络安全Unix、Linux、windows网络操作系统概述windowsNT和Unix的网络基本配置windowsNT和Unix的网络安全防范措施本资料由-校园大学生创业网-提供http:/ Unix系统2.1.1Unix系统的由来（P47）由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。Unix操作系统诞生于60年代末，1970年正式取名叫Unix操作系统，1973年，Unix系统的绝大部分源代码都用C语言重新编写，大大提高了其可移植性，提高了开发效率。特点：（P47）1、可靠性高（每时每刻不间断运行，并保持良好状态）2、极强的伸缩性（可在笔记本电脑、PC机、巨型机上运行，支持32个CPU）3、网络功能强（最重要的特色之一，TCP/IP是在其上开发出来的，几乎所有的Unix系统都包括对TCP/IP的支持）4、强大的数据库支持功能（对各种数据库提供了强大的支持能力）5、开放性好（最重要的本质特征，其所用技术的规格说明书是可以公开得到并免费使用的，且不受任一厂商的垄断和控制）本资料由-校园大学生创业网-提供http:/ Unix系统2.1.2 Unix 常用命令介绍1、ls：列目录和文件2、cd：变换目录3、who：列出目前系统里有哪些用户4、cp：复制文件5、cat：显示文件内容6、man：得到系统对一个特定命令的帮助信息7、mv：移动一个目录或文件8、rm：删除文件9、grep：在文件中查找指定字符10、find：搜寻特定文件或目录本资料由-校园大学生创业网-提供http:/ Unix系统在Unix系统中有一个名为root的用户是超级用户，这个用户在系统上拥有最大的权限，即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。Unix系统对每个文件都设定了文件的权限，共有：读、写和执行三种权限。2.2 Linux系统2.2.1Linux系统的由来（P51）是按照Unix风格设计的操作系统，在源代码级上兼容绝大部分的Unix标准。特点：1、与Unix高度兼容；2、高度的稳定性和可靠性（32位）；3、完全开放源代码（可免费得到），价格低廉；4、系统安全可靠，绝无后门。2.3 Windows系统1、Windows 9X是在普通用户的PC机上使用得最广泛的操作系统，它在具有众多优点的同时，其缺点也十分明显：稳定性和安全性欠佳。2、Windows NT（P55）是微软公司第一个真正意义上的网络操作系统，具有以下显著特点：（1）支持多种网络协议；（2）内置的因特网功能；（3）支持NTFS文件系统。3、Windows注册表（P56）是Windows系统的核心数据库，Windows提供了一个注册表编辑程序regedit，要运行这个程序可以从“开始/运行/regedit”进入。注册表的层次结构被组织成类似于硬盘中的目录树，分为主键、副键、子键和键值项，键值项的格式为：键值名：数据类型：键值2.4 nix网络配置2.4.1网络配置文件、/etc/hosts（提供简单的主机名到IP地址的转换）、/etc/ethers（列出所有的以太网地址列表）、/etc/networks（提供了一个因特网上的IP地址和名字）、/etc/protocols（提供了一个已知的DARPA因特网协议的列表）、/etc/services（提供了可用的服务列表）、/etc/inetd.conf（是inetd守护进程的配置文件）2.4.2Unix文件访问控制和Windows NT基于对象的访问控制不同，Unix系统的资源访问控制是基于文件的。在Unix中各种硬件设备，端口设备甚至内存都是以文件形式存在的，虽然这些文件和普通磁盘文件在实现上不同，但它们向上提供的界面却是相同的，这样就带来了Unix系统资源访问控制实现的方便性。为了维护系统的安全性，系统中每一个文件都具有一定的访问权限，只有具有这种访问权限的用户才能访问该文件，否则系统将给出Permission Denied的错误信息。2.4 nix网络配置2.4.3 NFS文件访问系统的安全（P61)任何一台主机都可以做NFS服务器或者NFS客户，或者二者兼而有之。Sun的网络文件系统(NFS)是最重要的，也是最脆弱的网络服务，因为它提供了完全的对文件和目录的访问。NFS访问控制机制的主要安全漏洞在于它的难维护性和控制的非精确性，另一个漏洞是它没有用户验证机制。NFS是网络攻击最流行的方法之一。当正确设置之后，NFS并没有那么脆弱，没有非常清楚地了解NFS机制和对网络通讯、编程的相当知识，进行攻击是非常困难的。然而，设置错误的NFS，只需对NFS和Unix有一定的了解，便可以实施攻击，并能轻易地得手。2.4 nix网络配置设置NFS时的一些安全事项：1、限制可安装调出的文件卷的客户机及可安装的目录；2、如果可能，将文件系统以只读方式调出去；3、对调出的文件及目录设置为root所有；4、不要将服务器的可执行文件调出；5、不要将用户目录调出去；6、使用安全的NFS;7、最好不要使用NFS。2.5 Windows NT网络配置2.5.1 Windows NT的资源访问控制在Windows NT中所有的对象都有一个安全性描述符，它列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性，所有的命名对象、进程和线程都有与之关联的安全描述符。Windows NT安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例。这些安全信息包括以下元素：(P65)1、所有者：指向一个安全标识符(SID);2、组:是一个指向一个组安全标识符的指针；3、自由ACL(Access Control List)：此数据结构由对象拥有者控制，标明谁可以或不可以存取该对象；4、系统ACL：由安全管理者控制，用于控制审计消息的产生；5、存取令牌：它包括用户的SID和用户所属的组的ID，它永久地连接到用户的每个过程中，并作为进程试图使用资源时的一个身份证。许可检查的过程：(1)File Object Access Control List Security Deny Zhang Allow Sales Allow Scientists Descriptor All Read,Write Excute(2)File Object Access Control List Security Deny Zhang Allow Sales Allow Scientists Descriptor Read Write Excute说明：（1）存取令牌列出Zhang为一个用户，并说明他是Sales组中一员。文件ACL中列出，该对象允许Sales组的读和写操作，但Zhang仍拒绝访问该对象，因为该对象拒绝Zhang的所有操作。（2）存取令牌列出Zhang为一个用户，并说明他是Sales组中一员。若Zhang对该对象进行读写操作，则会被允许进行访问。因为ACL显式地指出允许该对象进行读操作，允许Sales组的成员写操作，操作允许是可以积累的，所以他被授予读写的权力。从上面可以看出Windows NT的规则组合原则可以总结成以下三点：1）许可权可以进行累计；2）拒绝的优先级永远高于授予的优先级；3）没有明确授予就是拒绝。例：Zhang要读写文件。步骤：1）用户Zhang请求系统以读写方式打开文件；2）系统用Zhang的存取令牌和文件的ACL作比较，核实Zhang是否被允许读写这个文件；3）如果访问被许可，则系统为文件创建一个句柄，还创建一个访问权限表，然后系统将返回句柄和访问权限表到用户Zhang的进程，并将其存在对象表中。此时文件已打开，Zhang可以对其进行读写操作。本资料由-校园大学生创业网-提供http:/ Windows NT网络配置2.5.2 Windows NT的NTFS文件系统Windows NT支持FAT文件系统，还支持一种安全的文件系统NTFS文件系统。NTFS文件系统是一种安全的文件系统，它支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件以及如何使用这个文件。五个预定义的许可为：拒绝访问、读取、更改、完全和选择性访问。参看书上：P67/表2.4 P66/表2.5本资料由-校园大学生创业网-提供http:/