网络信息安全课件.ppt

《网络信息安全课件.ppt》由会员分享，可在线阅读，更多相关《网络信息安全课件.ppt（143页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1网络信息安全课件 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望2 第一版Unix系统最早于1971年11月安装在DEC PDP-11/45机器上 第一份有关Unix的论文发表于1973年 Unix v6 手册于1975年发布 此后，Unix发展成好多个分支，而且越来越复杂UNIX UNIX 操作系统的早期发展操作系统的早期发展操作系统的早期发展操作系统的早期发展3UNIX UNIX 操作系统演进史操作系统演进史操作系统演进史操作系统演进史1.UNIX的历史开始

2、于1969年ken Thompson，Dennis Ritchie（即著名的K&G，C语言的发明人）与一群人在一部PDP-7上进行的一些工作，后来这个系统变成了UNIX。它主要的几个版本为：2.V1（1971）：第一版的UNIX，以PDP-11/20的汇编语言写成。包括文件系统，fork、roff、ed等软件3.V4（1973）：以C语言从头写过，这使得UNIX修改容易，可以在几个月内移植到新的硬件平台上。最初C语言是为UNIX设计的，所以C与UNIX间有紧密的关系。4.V6（1975）：第一个在贝尔实验室外（尤其是大学中）广为流传的UNIX版本。这也是UNIX分支的起点与广受欢迎的开始。1.

3、xBSD（PDP-II）就是由这个版本衍生出来的。5.V7（1979）：在许多UNIX玩家的心目中，这是“最后一个真正的UNIX”，这个版本包括一个完整的K&RC编译器，Bourne shell。V7移植到VAX机器后称为32V。6.目前开发UNIX（System V）的公司是Unix System Laboratories(USL)。USL本为AT&T所有，1993年初被Novell收购。Novell于1993年末将UNIX这个注册商标转让给X/Open组织7.目前为止，UNIX有两大流派：那就是AT&T发布的UNIX操作系统System V与美国加州大学伯克利分校发布的UNIX版BSD（B

4、erkeley Software Distribution）。SVR4是两大流派融合后的产物。1991年底，与System V针锋相对的开放软件基金会(Open Software Foundation)推出了OSF/1。4UNIX UNIX 操作系统分类操作系统分类操作系统分类操作系统分类5当前主流的当前主流的当前主流的当前主流的 UNIX UNIX 系统系统系统系统1.HP/UX、AIX等等等等 从早期SYSV和部分BSD系统发展而来的商用操作系统2.Solaris 从SunOS系统发展而来，并借鉴了一些BSD规则3.Linux 是几乎所有unix系统发展而来的“混血儿”,但看起来更像SYS

5、V-ish4.FreeBSD、NetBSD、OpenBSD 完全从主流BSD发展而来的分支6 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安

6、全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LIN

7、UX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征

8、特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇7计算机系统结构计算机系统结构计算机系统结构计算机系统结构一般情况下，我们不能直接操作裸机，必须通过一个一般情况下，我们不能直接操作裸

9、机，必须通过一个叫做基本输入输出系统的软件系统（英文为叫做基本输入输出系统的软件系统（英文为Basic Input/Output System，简称，简称BIOS），才能操作控制），才能操作控制裸机，之所以这样称呼它，是因为它提供了最基本的裸机，之所以这样称呼它，是因为它提供了最基本的计算机操作功能，如在屏幕上显示一点，接收一个键计算机操作功能，如在屏幕上显示一点，接收一个键盘字符的输入等。盘字符的输入等。在基本输入输出系统的外面是操作系统（在基本输入输出系统的外面是操作系统（Operating System）：专门负责管理计算机的各种资源，并提供）：专门负责管理计算机的各种资源，并提供操作电

10、脑所需的工作界面。有了它们，人们才可以方操作电脑所需的工作界面。有了它们，人们才可以方便自如地使用电脑。便自如地使用电脑。应用软件一般都运行在操作系统之上，由专业人员应用软件一般都运行在操作系统之上，由专业人员根据各种需要开发。我们平时见到和使用的绝大部分根据各种需要开发。我们平时见到和使用的绝大部分软件均为应用软件，如杀毒软件，文字处理软件，学软件均为应用软件，如杀毒软件，文字处理软件，学习软件，游戏软件，上网软件等等习软件，游戏软件，上网软件等等具体结构图如右图所示：具体结构图如右图所示：8LinuxLinux 操作系统结构操作系统结构操作系统结构操作系统结构用户进程：用户应用程序是运行在

11、用户进程：用户应用程序是运行在LINUX操作系统最高层的一个庞大的软件集合，当一个用户操作系统最高层的一个庞大的软件集合，当一个用户程序在操作系统之上运行时，它就成为操作系统中的一个进程。程序在操作系统之上运行时，它就成为操作系统中的一个进程。系统调用接口：在应用程序中，可通过系统调用来调用操作系统内核中特定的过程，以实现特系统调用接口：在应用程序中，可通过系统调用来调用操作系统内核中特定的过程，以实现特定的服务，比如创建一个新进程等。由若干条指令构成的过程：定的服务，比如创建一个新进程等。由若干条指令构成的过程：SHELL、WHO等等 内核：操作系统的灵魂，它负责管理磁盘上的文件、内存，负责

12、启动并运行程序，负责从网络内核：操作系统的灵魂，它负责管理磁盘上的文件、内存，负责启动并运行程序，负责从网络上接收和发送数据包等。内核实际是抽象的资源操作到具体硬件操作细节之间的接口。上接收和发送数据包等。内核实际是抽象的资源操作到具体硬件操作细节之间的接口。硬件：这个子系统包括了硬件：这个子系统包括了LINUX安装时需要的所有可能的物理设备，如安装时需要的所有可能的物理设备，如CPU、内存、硬盘、网、内存、硬盘、网络硬件等络硬件等9Linux Linux 内核的构成内核的构成内核的构成内核的构成进程调度控制着进程对进程调度控制着进程对CPU的访问，当需要选择下一个的访问，当需要选择下一个进程

13、运行时，由调度程序选进程运行时，由调度程序选择最值得运行的进程择最值得运行的进程内存管理子系统：允许多内存管理子系统：允许多个进程安全地共享主内存个进程安全地共享主内存区域，支持虚拟内存区域，支持虚拟内存虚拟文件系统隐藏了各种不同虚拟文件系统隐藏了各种不同硬件的具体细节，为所有设备硬件的具体细节，为所有设备提供了统一的接口，提供了统一的接口，VFS支持支持几十种不同的文件系统几十种不同的文件系统网络接口提供了对各种网网络接口提供了对各种网络标准的存取和各种网络络标准的存取和各种网络硬件的支持硬件的支持进程间通信支持进程进程间通信支持进程间各种通信机制间各种通信机制10Linux Linux 进

14、程调度子系统进程调度子系统进程调度子系统进程调度子系统结构特定结构特定结构特定结构特定的模块的模块的模块的模块进程进程进程进程调度调度调度调度3 3、进程调度示意图、进程调度示意图、进程调度示意图、进程调度示意图2 2、进程调度的结构图、进程调度的结构图、进程调度的结构图、进程调度的结构图1 1、进程调度与其他子系统的依赖关系、进程调度与其他子系统的依赖关系、进程调度与其他子系统的依赖关系、进程调度与其他子系统的依赖关系进程调度子系统完成的主要功能：进程调度子系统完成的主要功能：v允许进程建立自己的拷贝允许进程建立自己的拷贝v决定哪一个进程将占用决定哪一个进程将占用CPU，使得可运行进程之间进

15、行有效地转移，使得可运行进程之间进行有效地转移接受中断并把他们发送到合适的内核子系统接受中断并把他们发送到合适的内核子系统v发送信号给用户进程发送信号给用户进程v管理定时器硬件管理定时器硬件v当进程结束后，释放进程所占用的资源当进程结束后，释放进程所占用的资源v支持动态装入模块，这些模块代表着内核启动以后所增加的新功能，支持动态装入模块，这些模块代表着内核启动以后所增加的新功能，这种可装入的模块将由虚拟文件系统和网络接口使用这种可装入的模块将由虚拟文件系统和网络接口使用11中央处理单元（中央处理单元（中央处理单元（中央处理单元（CPUCPU）存储器的层次结构存储器的层次结构存储器的层次结构存储

16、器的层次结构Linux Linux 内存管理子系统内存管理子系统内存管理子系统内存管理子系统昂贵昂贵快速快速小容量小容量便宜便宜低速低速大容量大容量内存管理是内存管理是Linux内核最复杂的任务之内核最复杂的任务之一：主要包括地址映射、请页、交换、一：主要包括地址映射、请页、交换、内存分配、内存回收、缓存、刷新、共内存分配、内存回收、缓存、刷新、共享等机制享等机制程序的创建和执行以及内存的初始化程序的创建和执行以及内存的初始化12OS代码代码OS数据数据-GDT、IDT、TSS-页表页表-特权数据特权数据-内核栈内核栈Linux Linux 多任务系统多任务系统多任务系统多任务系统1023用户

17、数据用户数据用户代码用户代码保护特权级保护特权级任务任务1任务任务2任务任务3任务任务4任务任务N任务任务5内核空间用户空间（1、2、3 级）0G3G4GLinux 采用采用0 级、级、3 级级内核模式对应内核模式对应 0 级级用户模式对应用户模式对应 1、2、3 级级内核模式和用户模式的区别内核模式和用户模式的区别反映在线性地址空间中就是反映在线性地址空间中就是内核空间和用户空间所处位内核空间和用户空间所处位置的不同置的不同13用户模式：用户模式：用户模式：用户模式：3 3 级级级级内核模式：内核模式：内核模式：内核模式：0 0 级级级级Linux Linux 网络层网络层网络层网络层套接字

18、接口套接字接口套接字接口套接字接口协议层协议层协议层协议层网络设备网络设备网络设备网络设备应用程序应用程序应用程序应用程序14Linux Linux 文件系统文件系统文件系统文件系统-目录结构目录结构目录结构目录结构binbootdevetchomeliblost+found mntprocrootsbintmpusrvarX11R6binsbindocincludeliblocalMansrc 15Linux Linux 进程间通信（进程间通信（进程间通信（进程间通信（IPCIPC）为了进程能在同一任务上协调工作，他们彼此之间必须能够进行通信，为了进程能在同一任务上协调工作，他们彼此之间必须

19、能够进行通信，IPC机制具有如下功能：机制具有如下功能：v支持信号：信号是发送给进程的异步信息支持信号：信号是发送给进程的异步信息v支持等待队列：等待队列提供了一种机制它让等待操作完成的进程处于睡眠（支持等待队列：等待队列提供了一种机制它让等待操作完成的进程处于睡眠（SLEEP）状态）状态v支持文件锁：这种机制允许进程把文件的一个区域或整个文件声明为只读，所有进程只能对声明的区支持文件锁：这种机制允许进程把文件的一个区域或整个文件声明为只读，所有进程只能对声明的区域进行读，除了拥有锁的进程域进行读，除了拥有锁的进程v支持管道和命名管道：这种机制允许两个进程之间面向连接，双向数据传送支持管道和命

20、名管道：这种机制允许两个进程之间面向连接，双向数据传送v支持支持System V IPC机制机制v支持信号量。支持信号量。v支持消息队列支持消息队列v支持共享内存：几个进程存取物理内存的同一区域支持共享内存：几个进程存取物理内存的同一区域v支持支持UNIX的套节口：又一种面向连接的数据传送机制，它提供了与的套节口：又一种面向连接的数据传送机制，它提供了与INET sockets 相同的通信模型相同的通信模型16 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进

21、程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APA

22、CHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWI

23、RE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码

24、用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇17服务就是运行在网络服务器上监听用户请求的进程服务就是运行在网络服务器上监听用户请求的进程服务就是运行在网络服务器上监听用户请求的进程服务就是运行在网络服务器上监听用户请求的进程服务是通过端口号来区分的服务是通过端口号来区分的服务是通过端口号来区分的服务是通过端口号来区分的常见的服务及其对应的端口常见的服务及其对应的端口常见的服务及其对应的端口常见的服务及其对应的端口ftp:21ftp:21telnet:2

25、3telnet:23http(www):80http(www):80pop3:110pop3:110什么是服务？什么是服务？什么是服务？什么是服务？18在在在在UNIXUNIX系统中系统中系统中系统中,服务是通过服务是通过服务是通过服务是通过inetd inetd 进程或启动脚本来启动进程或启动脚本来启动进程或启动脚本来启动进程或启动脚本来启动通过通过通过通过 inetd inetd 来启动的服务可以通过在来启动的服务可以通过在来启动的服务可以通过在来启动的服务可以通过在/etc/inetd.conf/etc/inetd.conf 文件中注文件中注文件中注文件中注释来禁用释来禁用释来禁用释来禁

26、用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用通过启动脚本启动的服务可以通过改变脚本名称的方式禁用在在在在UNIXUNIX系统里启动与关闭服务？系统里启动与关闭服务？系统里启动与关闭服务？系统里启动与关闭服务？191.inetd1.inetd超级服务器超级服务器超级服务器超级服务器inetd inetd 的功能的功能的功能的功能inetd inetd 的配置和管理的配置和管理的配置和管理的配置和管理2.2.服务的关闭服务的关闭服务的关闭服务的关闭关闭通过关闭通过关闭通过关闭通过ine

27、tdinetd启动的服务启动的服务启动的服务启动的服务关闭独立启动的服务关闭独立启动的服务关闭独立启动的服务关闭独立启动的服务3.inetd 3.inetd 的替代品的替代品的替代品的替代品 xinetd(http:/www.xinetd.org)xinetd(http:/www.xinetd.org)xinetd xinetd 比比比比inetdinetd更多管理功能更多管理功能更多管理功能更多管理功能xinetd xinetd 的配置的配置的配置的配置inetd inetd 超级服务器？超级服务器？超级服务器？超级服务器？20#inetd.conf This file describes

28、the services that will be available#through the INETD TCP/IP super server.To re-configure#the running INETD process,edit this file,then send the#INETD process a SIGHUP signal.#Echo,discard,daytime,and chargen are used primarily for testing.#To re-read this file after changes,just do a killall-HUP in

29、etd#echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait root internal#chargen dgram udp wait root int

30、ernal#time stream tcp nowait root internal#time dgram udp wait root internal#These are standard services.#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd-l-atelnet stream tcp nowait root /usr/sbin/tcpd in.telnetdinetd inetd 配置文件？配置文件？配置文件？配置文件？21rootsmithers rc3.d#ls-a.S11portmap S40crond S55route

31、d S60rusersd S85sound.S15netfs S45pcmcia S55sshd S60rwhod S90 xfsK30sendmail S20random S50inet S60lpd S75keytable S91smbS05apmd S30syslog S50snmpd S60nfs S85gpm S99linuxconfS10network S40atd S55named S60rstatd S85httpd S99localrootsmithers rc3.d#UNIXUNIX启动脚本目录启动脚本目录启动脚本目录启动脚本目录 /etc/rc*.d/etc/rc*.d/

32、禁用启动脚本禁用启动脚本禁用启动脚本禁用启动脚本 改变脚本名，使他不以大写的改变脚本名，使他不以大写的改变脚本名，使他不以大写的改变脚本名，使他不以大写的 S S 开头开头开头开头UNIXUNIX启动脚本启动脚本启动脚本启动脚本22系统启动脚本系统启动脚本系统启动脚本系统启动脚本n nsysVsysV风格的启动脚本风格的启动脚本风格的启动脚本风格的启动脚本l lrcX.d/KNprog SNprogrcX.d/KNprog SNprogl lK03rhnsd K24irda S10network S90crondK03rhnsd K24irda S10network S90crondl lK0

33、5anacron K25squid K60lpd S12syslog K05anacron K25squid K60lpd S12syslog l lK05keytable K30sendmail S91smbK05keytable K30sendmail S91smbn nBSDBSD风格的启动脚本风格的启动脚本风格的启动脚本风格的启动脚本l l/etc/rc.conf sshd_enable=“YES”/etc/rc.conf sshd_enable=“YES”UNIXUNIX其他风格的启动脚本其他风格的启动脚本其他风格的启动脚本其他风格的启动脚本23使用命令工具来监视网络状况使用命令工具

34、来监视网络状况使用命令工具来监视网络状况使用命令工具来监视网络状况statnetstat2.2.ifconfig ifconfig3.3.Linux Linux下的下的下的下的socklistsocklist4.4.Freebsd Freebsd下的下的下的下的sockstatsockstat5.5.lsof I lsof I6.6.tcpdump tcpdumpUNIXUNIX常用网络监视工具常用网络监视工具常用网络监视工具常用网络监视工具241.1.fingerfinger2.2.tftp tftp3.3.r r系列服务系列服务系列服务系列服务4.4.telnettelnet5.5.大多数

35、大多数大多数大多数rpcrpc服务服务服务服务6.6.其他不必要的服务其他不必要的服务其他不必要的服务其他不必要的服务建议禁止使用的网络服务建议禁止使用的网络服务建议禁止使用的网络服务建议禁止使用的网络服务25 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNI

36、X/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS

37、 DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX U

38、NIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇26PC PC

39、机启动过程机启动过程机启动过程机启动过程271.开始引导装入程序(boot loader)2.内核初始化并运行内核程序3.开始其他系统“自发的”进程4.运行系统起始脚本UNIXUNIX 引导概述引导概述引导概述引导概述28 最初的引导环境通常是储存在NVRAM 设备中，并在开机的时候读入内存 NVRAM 引导装入程序触发初始引导模块（Boot block）里的程序，进行引导初始化 Boot block 装载入更大的程序块，引导Unix 内核程序引导装入程序（引导装入程序（引导装入程序（引导装入程序（boot loaderboot loader）291.识别CPU体系结构并初始化2.计算物理内存

40、并初始化虚拟内存系统3.为内部结构分配内存4.探测系统设备，配置它们和初始化它们内核活动内核活动内核活动内核活动30“自发”进程是内核通过特别机制创建的这些进程通常用来控制进程调度安排和 VM system它们不是存在于文件系统中可执行的进程，而是真正的内核代码INIT 进程开始并引导系统运行开始脚本内核引导的自发进程内核引导的自发进程内核引导的自发进程内核引导的自发进程31 init 运行 shell 脚本/etc/rc:Mounts 本地文件系统 初始化网络接口 开始系统daemon程序/etc/rc 运行/etc/rc.local 中的特定系统服务程序/etc/rc.conf 脚本用来告

41、诉系统在引导时运行哪些服务BSD“BSD“起始起始起始起始”（start-up)start-up)脚本脚本脚本脚本32ninit程序依据设定运行级别运行相应的“开始”级别脚本:nS 系统启动配置n2 初始化网络配置，启动系统daemon程序n3 输出文件系统，启动本地daemon进程n运行级别0是中止系统，运行级别6是重新引导系统n启动脚本存放在/etc/init.d目录中n通常一个脚本对应一个daemon进程或者一项配置任务n这些脚本都可以带有“start”或“stop”参数 这样当系统down的时候，可以很好地关闭打开的进程n每一个运行级别都对应一个/etc/rc*.d目录n/etc/rc

42、*.d中的链接文件的原文件是/etc/init.d目录中文件n链接文件命名方式是 S nn(脚本运行使用“start”参数）或者 K nn(脚本运行使用“stop”参数)nnn代表脚本运行的顺序SYSV“SYSV“开始开始开始开始”(start-up)”(start-up)脚本脚本脚本脚本33n管理员可以控制在系统引导结束后运行哪些服务n对于BSD系统,编辑/etc/rc.conf (或者去掉/etc/rc*中注释标记)n对于SYSV系统,删除(或者重命名)在/etc/rc*.d目录中的链接文件底线底线底线底线341.基本系统配置2.开始网络服务3.开始NFS守护进程(NFS是一个流行的通过T

43、CP/IP网络共享文件的协议)4.运行系统其他守护进程5.提供X界面登录的窗口init-init-控制引导进程控制引导进程控制引导进程控制引导进程35 装载root文件系统包括关键程序和配置文件 配置网络接口 装载其他文件系统，其中一些可能是从网络装载1.1.基本系统配置基本系统配置基本系统配置基本系统配置36nDNS服务只在有DNS服务的机器上运行nPortmapper(rpcbind)基于RPC服务的主控守护进程nNIS/NIS+基于RPC的网络信息数据库nSyslog 系统日志进程ninetd 运行其他网络服务的“meta”守护进程2.2.开始网络服务开始网络服务开始网络服务开始网络服务

44、373.3.开始开始开始开始NFSNFS守护进程守护进程守护进程守护进程NFS 客户端进程:lockd NFS 文件锁定系统statd 在系统重引导后解锁进程NFS 服务器端进程:mountd 服务器响应客户请求nfsd NFS I/O 进程Automounter(amd or automountd)38 cron 在事先设定好的时间运行的后台进程 Sendmail 邮件服务进程 其他服务进程 NTP、SNMP、HTTP、“volume managers”、local services 4.4.运行系统其他进程运行系统其他进程运行系统其他进程运行系统其他进程39 UNIX/LINUX UNIX

45、/LINUX UNIX/LINUX UNIX/LINUX 系统概述系统概述系统概述系统概述 系统体系结构系统体系结构系统体系结构系统体系结构 系统服务与进程系统服务与进程系统服务与进程系统服务与进程 系统启动过程系统启动过程系统启动过程系统启动过程 系统的安全级别系统的安全级别系统的安全级别系统的安全级别 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统安全特性系统安全特性系统安全特性系统安全特性 物理安全物理安全物理安全物理安全 常用命令介绍常用命令介绍常用命令介绍常用命令介绍 用户环境变量介绍用户环境变量介绍用户环境变量介绍用户环境变量介绍 文件

46、系统安全文件系统安全文件系统安全文件系统安全 账号安全账号安全账号安全账号安全 日志记录日志记录日志记录日志记录 安全配置安全配置安全配置安全配置 APACHE APACHE APACHE APACHE 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 FTP FTP FTP FTP 服务器配置要点服务器配置要点服务器配置要点服务器配置要点 DNS DNS DNS DNS 服务器配置要点服务器配置要点服务器配置要点服务器配置要点提提提提 纲纲纲纲 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 下第三方安全工具下第三方安全工具下第三方安全工具下第

47、三方安全工具 SSH SSH SSH SSH TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TCP_WRAPPER TRIPWIRE TRIPWIRE TRIPWIRE TRIPWIRE NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK NON-EXEC STACK UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/LINUX 系统入侵分析系统入侵分析系统入侵分析系统入侵分析 特征特征特征特征 处理方法处理方法处理方法处理方法 UNIX/LINUX UNIX/LINUX UNIX/LINUX UNIX/

48、LINUX 系统配置经验系统配置经验系统配置经验系统配置经验 分区划分分区划分分区划分分区划分 机器的启动密码机器的启动密码机器的启动密码机器的启动密码 用户管理用户管理用户管理用户管理 系统文件安全系统文件安全系统文件安全系统文件安全 网络服务响应网络服务响应网络服务响应网络服务响应原原原原 理理理理 篇篇篇篇实实实实 践践践践 篇篇篇篇40如何衡量系统安全程度？如何衡量系统安全程度？如何衡量系统安全程度？如何衡量系统安全程度？1.1.操作系统安全程度的度量标准：目前常用美国国防部系统所制定的操作系统安全程度的度量标准：目前常用美国国防部系统所制定的TCSECTCSEC（“Trusted C

49、omputer“Trusted Computer System Evaluation Criteria”System Evaluation Criteria”（19851985），其评估标准主要是基于：），其评估标准主要是基于：系统安全政策（系统安全政策（PolicyPolicy）的制定）的制定系统使用状态的可审性（系统使用状态的可审性（AccountabilityAccountability）安全政策的准确解释和实施的可靠性（安全政策的准确解释和实施的可靠性（AssuranceAssurance）2.2.系统安全程度被分为八个等级（系统安全程度被分为八个等级（D1D1、C1C1、C2C2、B

50、1B1、B2B2、B3B3、A1A1和和A2A2），其中），其中D1D1系统的安全度为最系统的安全度为最低，常见的无密码保护的个人计算机系统即属此类；低，常见的无密码保护的个人计算机系统即属此类；3.3.通常具有密码保护的多用户工作站系统属于通常具有密码保护的多用户工作站系统属于C1C1级级4.4.一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级，因而网络系一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级，因而网络系统安全的难度更大。统安全的难度更大。中华人民共和国国家标准中华人民共和国国家标准中华人民共和国国家标准中华人民共和国国家标准GB 1