备案不关闭网站,为自己家秘方做网站,河南省住房与建设注册中心网站,怎样做号网站优化目录 UNIX/Linux系统的安全分析与防护UNIX/Linux系统安全增强技术UNIX/Linux安全模块应用参考国产操作系统安全分析与防护 UNIX/Linux系统的安全分析与防护
unix和linux操作系统分成三层#xff0c;分别是硬件层#xff0c;系统内核层以及应用层。Windows系统也是分成三层分别是硬件层系统内核层以及应用层。Windows系统也是分成三层硬件抽象层、内核层还有服务模块。
unix和Linux系统都是多用户、多任务的操作系统双多操作系统。多用户可以多个用户登录同时使用后台操作系统因为这两个系统基本上是用于服务器是供我们多人使用的所以要供多个用户同时使用。这里需要注意多用户不是指操作系统能开出多个用户任何操作系统基本上都可以有张三用户、李四用户不是有多个用户名字叫多用户而是这些用户他能够同时的去使用我们操作系统的资源。
像早期的微软系统XP这种它其实就是单用户的它虽然操作系统里面可能有张三、李四但是同时只能有一个用户去登录使用资源这就叫单用户
微软个人操作系统早期是单用户的像现在的WIN 7、win 10也都成了多用户可以同时去使用。像微软服务器操作系统都是多用户的、多任务同时可以处理多个任务比如说你既登QQ又登微信这就叫多任务。
时间往前面去推移最早的比如说DOS操作系统他就是单任务的同时只能干一个事情
unix和linux具备一些安全机制第一个认证机制第二个审计机制第三个是访问控制机制。认证机制有四种认证方式第一个基于口令认证输密码很好理解。第二个终端认证在unix或者Linux系统当中还提供一个限制超级用户从远程登录的认证就是比如说在linux当中有一个用户叫超级用户可以限制他只能从某一个IP地址某一个终端来登录而不能从互联网或者其他任意的终端来登录这台服务器。这样的话就能够最大限度的保证网络安全即使用户名密码泄密了对方也登录不了因为你不一定知道我必须要从哪个IP登录。
第三种叫主机信任机制不同的主机之间可以相互信任让他们无需认证就可以直接登录我们双方认证双方信任就不需要做认证
第四是第三方认证关于认证机制第一个单项认证第二个双向认证第三种是基于第三方认证一次一密口令认证S/KeyKerberos认证系统插入式身份认证PAM
审计机制无论是linux还是Windows系统都是带审计机制的。审计日志文件最早是放在/usr/adm较新的系统是放在/var/adm。Solaris、Linux、unix和bsd系统是放在/var/log文件。
访问控制机制通过十比特来进行文件权限的访问控制其实文件权限本来是九比特只是如果是十比特的话第一位是文件类型如果是d就表示目录如果是横杠表示是普通文件所以十位第一位是表示文件类型后面九位是表示用户权限
用户权限是三个一组第一组表示用户权限第二组是表示跟我这个用户相同组用户的权限相当于是我们的同族第三组表示其他用户权限就是你既不是我这个用户又不是我的同族这是其他用户。
UNIX/Linux系统安全增强技术
操作系统安全增强技术任何系统其实都差不多安卓基本上也是一样的WINDOWS、linux、安卓、苹果iOS一样的打补丁
打补丁需要检查补丁的完整性用一个哈希工具算哈希值把补丁下载下来之后算一下哈希值然后跟官网的哈希值对比一下看是不是一样的如果是一样的证明你是完整的没有被篡改如果不一样这个补丁包我们就不能用我们要重新去下过这是通过哈希来检查文件的完整性。第二个要安装最小化的系统网络服务对一些不用的服务要把它给关闭掉注销掉这些服务软件要把它卸载掉一些不必要的通信端口也是要封闭掉在操作系统层面可以封在网络层面也可以封。
文件权限我们要把它设置好比如说网络配置文件一般的权限我们要设置成六零零服务文件设置成六四四。两个文件的属主都要把它设置成root像我们系统服务文件还有网络配置文件这就是最小化系统网络服务
设置开机保护口令。其实开机保护口令有两重第一重是我们的比如说linux要设置系统密码第二重是密码防止我们通过PE绕过操作系统的认证去读取硬盘里面的数据
黑客想访问硬盘里面的数据但是又不知道操作系统密码第一种方式暴力破解或者猜但是这种效率很低有可能猜个一年两年都猜不出来这就不太现实了。如果我能接触到这台电脑我可以在上面安装一个PE系统就可以不通过你这里进来访问硬盘内容
通过PE小系统进来访问就绕过了操作系统验证就能够读取硬盘里边的数据了但是我在底下的层再设一个密码就是安装PE系统可以但是你要输入密码你才能安装PE系统。你不知道我的密码你安不了PE系统你就必须要通过我原来的操作系统来访问我里边的硬盘这样就绕不过密码的认证这就是密码的设置。
弱口令检查禁用默认账号比如说像一些root账号访客账号不用的账号把它禁用掉。用ssh来增强网络安全服务。安全登录它是加密的而传统的ftp这些都不加密我们要用加密的通道。
tcp_wrapper相当于是WINDOWS里边的端口过滤器可以设置那些IP或者那些端口能够访问那些其他的就把它给封闭掉是来做服务的监控和过滤
构建unix和linux的防火墙软件其实我们实际用的比较多的是iptables。它就跟我们交换机上写的包功率防火墙acl差不多permit、delay、源端口、目的端口、IP地址
使用Tripwrie和MD5Sum工具软件来检测完整性主要检测哈希值发现有没有被篡改还可以看里面的文件有没有被篡改
检测LKM后门这是可加载的内核模块可以通过KLM模块去扩展内核功能但是它也比较危险直接生物内核内核就是心脏如果这块存在一些危害软件很有可能直接导致系统崩溃所以我们要对这一类的模块进行检查有一系列的检查工具比如说Kstat、Chkrootkit、Rookit Hunter
系统安全监控或者叫监测监测有利于及时的发现一些安全问题WINDOWS里边同样有系统监测工具比如说任务管理器可以看CPU内存利用率那些程序占用的各项资源比较高这就需要引起我们的注意了我们要考虑这个程序是不是木马或者病毒它常见的工具有查看网络状态的还有snort软件入侵检测工具其他的禁止重要文件访问我们重要的一些文件你要修改它的权限比如说像我们的这个叫网络配置的文件它把权限修改为六零零。
chatrr i /etc/inetd.conf表示保证文件的属主是root并且将其设置为不能改变这样的话只有root才能修改这个文件了这是禁止访问重要文件
禁止不必要的suid程序suid可以使普通用户以root权限去执行某个程序这个程序挺危险的能够把普通用户提权成超级管理员用户所以我们要严格的控制这类程序控制不好容易造成越权访问。
设置口令最小长度和最短使用时间你看这里面参数有个叫PASS_MIN_LEN和 PASS_MIN_DAYS表示密码最小长度密码最短使用时间。
限制远程访问不是所有的主机都能够访问我的我可以在两个文件里面去做设置/etc/hosts.allow和/etc/hosts.deny。表示这两个文件你写在这里面的表示只有这里面的IP地址才能访问我的主机。前面一个是白名单后面一个是黑名单。
用户超时注销可以设置比如说在/etc/skel/.bash_logout文件里面有一行叫timeout600表示十分钟不操作的话就自动注销需要重新输入密码才能访问然后注销的时候要删除我们历史记录历史记录在history文件里边。
UNIX/Linux安全模块应用参考
LSM就是Linux安全模块它是为Linux内核提供一个轻量级通用的访问控制框架使得很多访问控制功能都可以作为模块来实现LSM采用了在内核源代码中放钩子的方法放钩子说白了就是一个扩展对内核的一些功能进行控制。
因为内核一般是不需要经常去变动的如果你要增加功能你去变动内核造成的影响可能很大所以我们就加了一个放钩子的方法就是你要扩展什么功能我们通过这样的一个钩子去做扩展就行了。
安全功能扩展的两个模块第一个是身份验证模块框架PAM第二个是SELinux。
PAM是通过插件的方式来增加linux身份验证服务比如说你最早使用用户名密码服务后来你想使用人脸识别虹膜指纹等等可以直接去开发Linux系统在系统上去支持这是可以的但是不方便而且可能会影响linux的安全性所以通过其他的扩展模块去做如果你要加入其他的认证方式刚刚提的人脸、指纹通过模块去实现不需要动linux底层的一些东西这就是PAM的工作机制。
而SELinux也是一个插件增强linux安全性的插件。它由策略和实施两部分组成策略封装在安全服务器当中实施由对象管理器具体执行。然后SELinux可以实现两种访问控制基于决策的访问控制和强访问控制这也叫强制访问控制。
国产操作系统安全分析与防护
国产操作系统包括中科方德中标麒麟北京凝思科技、普华、深度Linux华为鸿蒙操作系统阿里飞天云操作系统、统信UOS。
国产操作系统它存在的安全风险第一个Linux内核安全风险。因为国产操作系统都是基于开源的linux去做的深度定制和开发所以linux有的问题它都有缓冲区溢出、边界错误、访问验证等等
第二个自主研发系统组件的安全因为是基于linux去定制的上面有各种各样的组件组件就是是软件肯定有漏洞WINDOWS的补丁更新了这么多年还在持续的更新。
第三个是依赖第三方系统组件的安全比如说有些时候我们在操作系统里面会用pgp做安全组件如果它有漏洞会影响系统的安全性
第四个是系统安全配置问题就人为操作比如说你的密码是一二三肯定不安全
第五个硬件安全国产操作系统受限于硬件而产生的一些安全问题其实不仅国产操作系统任何一个操作系统如果底层硬件不安全那肯定上层操作系统做的再安全也没辙CPU都坏了你的操作系统、应用肯定跑不起来所以硬件还是挺重要的
国产操作系统的安全增强措施国产操作系统在自主可控安全可信方面对开源的Linux系统进行安全增强这里面需要注意都是基于linux去开发的
UOS是我们国家桌面操作系统是基于linux开发的它可以从多个方面对linux操作系统提供安全保障包含管理员分权操作员审计员安全管理员三权分离
最小特权结合角色的基于类型访问控制说白了基于角色的访问控制细颗粒度的自主访问控制多级安全等等这一系列的功能从内核到应用做到全方面的防护Linux内核。从目前来看应该是比较安全的因为是开源的有很多早期的漏洞
开源社区不停的在更新所以内核漏洞是比较少的应用层面现在我们都在推国产化比如说office现在我们都用WPS了然后一些系统业务软件基本上都是由国内的公司去开发的这是关于国产操作系统的安全分析与防护
