安全操作系统.ppt

安全操作系统 中国科学技术大学计算机系 陈香兰（0512 xlanchen@ 助教：裴建国 Autumn 2008 主流操作系统的安全技术 Linux/Unix安全技术 Windows安全技术 Linux/UNIX安全概述 UNIX 多用户、多任务 实现了有效的访问控制、身份标识与验证、审计记录等安全措施 安全性一般能达到TCSEC的C2级 Linux 一种类UNIX的OS 一个开放式系统 本课程：Linux Linux/UNIX安全技术 Linux身份验证 Linux访问控制 Linux网络服务安全 Linux备份/恢复 Linux日志系统 Linux内核安全技术 安全Linux服务器配置参考 Linux/UNIX安全技术 Linux身份验证 Linux访问控制 Linux网络服务安全 Linux备份/恢复 Linux日志系统 Linux内核安全技术 安全Linux服务器配置参考 Linux身份标识和验证 Linux系统的登录过程 Linux的主要帐号管理文件 PAM安全验证机制 Linux身份标识和验证 Linux系统的登录过程 Linux的主要帐号管理文件 PAM安全验证机制 Linux系统的登录过程 基于用户名和口令 通过终端登录Linux的过程： Init进程确保为每个终端连接（或虚拟终端）运行一个getty进程，getty进程监听对应的终端并等待用户登录 Getty输出一条欢迎信息（此欢迎信息保存在/etc/issue文件中），并提示用户输入用户名，接着getty激活login login要求用户输入口令，并根据系统中的etc/passwd文件来检查用户名和口令的一致性 若一致，启动一个shell；否则login进程推出，进程终止 Init进程注意到login进程终止，则会再次为该终端启动getty进程 Linux身份标识和验证 Linux系统的登录过程 Linux的主要帐号管理文件 PAM安全验证机制 Linux的主要帐号管理文件 口令文件/etc/passwd /etc/passwd文件用于存放用户的基本信息 每个账户在该文件中有拥有一个相应的条目 Reading： Hacking Linux exposed，ch1，p7；ch9，p284 /Lectures/002/Lecture-2.2.1/320.html 老版的/etc/passwd举例 老版的/etc/passwd中条目定义 每个条目包含7个字段，字段间用冒号分隔登录帐号:密码域:UID:GID:用户信息:主目录:用户shell 登录帐号：即用户的登录名 密码域：口令被加密后的密文 UID，用户ID，为0～MAXINT-1之间的一个整数 GID，组ID，来自/etc/group，为0～MAXINT-1之间的一个整数 用户信息，用于标识诸如用户的全名、位置和电话号码等信息，可以不设置 主目录，为用户的起始登录目录，如/home/chenxl 用户shell，用户登录后所用的shell路径名，如/bin/sh 用户可以修改口令条目中的部分信息： 命令passwd：更改口令 命令chfn：更改第五个字段中的用户信息 命令chsh：更改第七个字段，shell路径名 其余的字段由系统管理员设置 关于UID UID是用户标识；具有唯一性。 一般 Root帐号的UID是：0 系统预设帐号：1～99 常用服务帐号：100～499 普通用户帐号：500以后 UID的最大值可以在/etc/login.defs文件中查到 登录后，用户权限通过UID来确认，而非用户名 最好不要共用UID 使用root权限，可以su或者sudo 关于GID 一般GID为0的组对应于root用户组 关于GID的预留，不同Linux系统有所不同 Fedora：预留500个，添加新用户组时，从500开始 Slackware：100个 系统添加用户组默认的GID范围对应于文件/etc/login.defs中的GID_MIN和GID_MAX Linux的shadow技术 用于提高用户密码存放的安全性 口令加密后的密文存放在/etc/shadow文件中，在/etc/passwd文件中的密码域只保存一个“x” Shadow文件对一般用户是不可读的，只有超级用户（root）才可以读写。 由于普通用户无法得到加密后的口令，提高了系统的安全性 /etc/passwd文件中每行内容9个字段，也以冒号分隔 登录帐号，与/etc/passwd中的登录帐号对应 密文。若值为x，表示该用户不能登录到系统 上次口令的修改时间。自1970.1.1日以来的天数 两次修改口令间隔最少的天数。（0？） 两次修改口令间隔最多的天数 提前多少天警告用户口令将过期 在口令过期之后多少天禁用此用户 用户过