1、 操作系統管理與網絡安全一、 SCO OPEN SERVER 5.0（UNIX5.0） （一）安全管理 1. Unix系統的安全等級標準達到C2級，它的基本安全機制（1） 用戶帳號    用戶帳號就是用戶在UNIX系統上的合法身份標志，其最簡單的形式是用戶名/口令。在UNIX系統內部，與用戶名/口令有關的信息存儲在/etc/passwd文件中，一旦當非法用戶獲得passwd文件時，雖然口令是被加密的密文，但如果口令的安全強度不高，非法用戶即可采用“字典攻擊”的方法枚舉到用戶口令，特別是當網絡系統有某一入口時，獲取passwd文件就非常容易。  

2、(2)文件系統權限     UNIX文件系統的安全主要是通過設置文件的權限來實現的。每一個UNIX文件和目錄都有18種不同的權限，這些權限大體可分為 3類，即此文件的所有者、組和其他人的使用權限如只讀、可寫、可執行、允許SUID和SGID等。需注意的是權限為允許SUID、SGID和可執行文件在程序運行中，會給進程賦予所有者的權限，若被入侵者利用，就會留下隱患，給入侵者的成功入侵提供了方便。  (3)日志文件     日志文件是用來記錄系統使用狀況的。UNIX中比較重要的日志文件有3種：1/usr/adm/

3、lastlog文件。此文件用于記錄每個用戶最后登錄的時間（包括成功和未成功的），這樣用戶每次登錄后，只要查看一下所有帳號的最后登錄時間就可以確定本用戶是否曾經被盜用。                                     

4、   2/etc/utmp和/etc/wtmp文件。utmp文件用來記錄當前登錄到系統的用戶，Wtmp文件則同時記錄用戶的登錄和注銷。           3/usr/adm/acct文件。此文件用于記錄每個用戶運行的每條命令，通常我們稱之為系統記帳。2、風險防范：由于UNIX系統設計基于一種開放式體系結構，系統中緊密集成了通信服務，但存在一定程度的安全漏洞，容易受到非法攻擊，通過多年的實踐證明，加強安全防范，特別是針對一些可能的網絡攻擊采取一定的安全防范措施，UN

5、IX網絡系統的安全性就可以大大提高。 網絡系統的攻擊者可能是非法用戶，也可能是合法用戶，因此，加強內部管理、防范與外部同樣重要?？蓪嵤┮韵虏呗赃M行防范。 （1）加強用戶權限管理。為了保護UNIX系統資源安全，即使是對合法用戶也必須采用最小權限法，即給每個用戶只授予完成特定任務所必需的系統訪問權限。通常可以采用給每一個用戶建立請求文件和資源訪問許可權的程序，給定每個用戶要處理的任務權限及任務的持續時間等。        （2）加強用戶口令管理和更新。口令通常是較容易出現問題的地方，即使口令被加密，也容易在非

6、法入侵者的“猛烈攻擊”下被攻破。金融系統通常是一個群體工作環境，工作中經常存在各種授權，銀行的柜臺活動也處在電視監控之下，口令泄露機會較多。因此，一方面要強制使用安全口令（使用非字母字符、大小寫字母混用、規定口令最小長度不得少于6位數，最好8位數、使用強加密算法等);另一方面系統管理員要主動定期使用口令檢查程序(如:Crack)對口令文件進行檢查，若口令不合乎安全規范，則需及時更換口令。還可以采用一定的技術手段，增加“字典攻擊”的難度，如改變口令加密算法中的加密參數，然后加密口令，這樣除非攻擊者同樣改變了此參數，否則就得不到正確的口令。Crack下載地址為/p

7、ub/tools/crack。        （3）設置防火墻。將網絡系統內部分為多個子網，分級進行管理，這樣可以有效地阻止或延緩入侵者的侵入。通常防火墻設置在內部網絡與外部網絡的接口處，防火墻從功能和實現機制上分為數據包過濾、代理服務器兩大類，兩者在安全防護上各有特點，因此，一個比較完善的防護隔離體系就是將兩種防火墻結合起來，形成屏蔽子網體系結構，此舉可大大提高內部網絡的安全系數。但是，防火墻只能防護外部網絡對內部網絡的攻擊，無法防護由內部網絡發起的攻擊或者擁有合法訪問權限的內部人員從外部發起的攻擊，并且防火墻無法防護內外

8、網絡之間有其它不通過防火墻的通路?？傊?，防火墻需要與其它機制配合才能適應新的威協。        （4）定期對網絡進行安全漏洞檢測。網絡安全是千變萬化的，所以保護措施也應該是動態的，沒有固定的模式可循，作為UNIX系統的管理人員,也要嘗試定期對網絡服務器進行攻擊測試，這樣既可以分析和探索試圖入侵者的攻擊思路，同時又可以及時發現系統安全保護機制中的潛在問題，及時進行有效防范。        （5）制定相應的災難恢復計劃。沒有一種安全策略是十全十美的，因此根據

9、可能發生的情況制定相應的災難恢復計劃是非常有必要的。一是定時對網絡系統上各個計算機的系統文件、數據庫文件進行備份。二是對網絡系統和通訊系統備份，在系統萬一遇到惡意攻擊、軟件故障、硬件故障、用戶錯誤、系統管理員錯誤等災難后，可以及時采取相應的對策，恢復系統的正常運行，盡可能將損失減少到最小程度。 3、加強網絡系統服務的安全手段和工具（1）直接配置檢查。使用COPS(Computer Oracle Password and Seurity system)從系統內部檢查常見的UNIX安全配置錯誤與漏洞，如關鍵文件權限設置、ftp權限與路徑設置、roo

10、t路徑設置、口令等等，指出存在的失誤，減少系統可能被本地和遠程入侵者利用的漏洞。COPS軟件信息可訪問http:/www.jordanpan。       （2）使用記錄工具記錄所有對UNIX系統的訪問。大多數現成的UNIX應用系統可以通過Syslog來記錄事件，這是UNIX系統提供的集中記錄工具。通過每天掃描記錄文件/var/adm/messaged，并可通過配置Syslog，把高優先級的事件及時傳送給系統安全員處理。另一個有用工具是TCP  Wrappers，應用此軟件可以解決UNIX網絡系統安全監視和過濾問題，本軟件將

11、所有TCP連接試圖(無論成功與否)，都記錄到一個文本文件里，文本文件具體內容包括請求的源地址、目的地址、TCP端口和請求時間等。通過監視TCP  Wrappers記錄，查看所有未遂連接試圖，并可以通過配置，由TCP  Wrappers來根據某些因素，如源或目的TCP端口、IP地址等接受或者拒絕TCP連接。TCP  Wrappers軟件下載地址為ftp:/ftp.win.tue.nl/pub/security。       （3）遠程網絡登錄服務。此服務是我們使用最頻繁的，UN

12、IX系統提供了telnet和ftp遠程登錄，當使用telnet或ftp登錄時，用戶名和口令是明文傳輸的，這就可能被網上其他用戶截獲。入侵者也經常使用telnet或 ftp對網絡系統發動“猛烈攻擊”。我們知道，無論是Windows還是Unix操作系統，都有端口號這個概念，計算機之間的通訊，是通過對應的端口號實現的。一般系統都用缺省的端口號，比如Ftp的端口號為21，Telnet的端口號為23，Http的端口號為80 等，當我們使用Telnet登錄到其它計算機上時，系統就使用默認端口號23，這是很不安全的?？梢愿腡elnet和Ftp端口號，具體為編輯/etc/services

13、文件，找到想要修改的Telnet和Ftp行，修改端口號，比如把Telnet的23/tcp改成6364/tcp，但不要用/etc/services文件中已存在的端口號。這樣使用Telnet命令登錄到該主機時，必須給出端口號，即用Telnet xxx.xxx.xxx.xxx 6364 才能進行登錄，否則會被系統拒絕。通過修改端口號可以使不知道相應端口號的遠程用戶不能登錄，進一步提高了系統的安全性。只有針對UNIX網絡系統存在的漏洞采取相應的安全保護措施，才能遏制金融計算機犯罪率。但在客觀上要完全消除UNIX網絡系統的安全隱患非常困難，一是因為UNIX系統本身是一種非常

14、復雜的系統，二是因為UNIX系統數年來在各領域的廣泛使用，使得它成為被研究得最透徹的系統之一。通常入侵者發動的攻擊形式是極其復雜的，保護UNIX系統安全的關鍵是針對入侵者可能發動的攻擊制定出一系列切實可行的安全防范策略，使各種攻擊在多樣化的安全防范措施面前不能輕易得逞。在對IP級安全實施加固之后(如設立安全IP包、過濾防火墻等)，還必須對傳輸層和應用層的安全進行加固，同時要在金融系統內部建立一整套網絡系統安全管理規章和防范措施，經常進行監督檢查，使安全管理規章和防范措施落到實處。要使每一位員工都有防范金融計算機犯罪的概念，了解其作案的手法及產生的危害，提高全員主動防范意識，這樣才能真正有效地預

15、防金融計算機案件的發生。 （二）配置網絡1 、 增加網卡并配置tcp/ip:以root用戶登錄系統#netconfighardwareadd new lan adapter找到網卡，安裝相應的驅動程序，選中TCP/IP協議，再選擇ADD，輸入機器名、ip地址、子網掩碼，然后重新鏈核心，重啟機器。2、增加網關：以root用戶登錄系統#cd /etc#vi gateway編輯一個geteway文件，內容為：root add *.*.*.*(本地網關ip地址) 1#chmod 666 gateway給這個gateway文件賦予可執行權限#cd /etc#vi tcp編輯tc

16、p文件，在這個文件中第3個stop前增加一行gateway（二）監測網絡狀態#ping *.*.*.*（同網段內的地址）#ping *.*.*.* （不同網段的地址）#ping -c 10 *.*.*.*可以通過下面的系統命令和配置文件來跟蹤入侵者的來源路徑：  1.who-(查看誰登陸到系統中)  2.w-(查看誰登陸到系統中，且在做什么)  3.last-(顯示系統曾經被登陸的用戶和TTYS）  4.lastcomm-(顯示系統過去被運行的命令)  stat-(可以查看現在的網絡狀態，如telnet到你機器上來的用戶的IP地址,還有一些其它

17、的網絡狀態。)  6.查看router的信息。  7./var/log/messages查看外部用戶的登陸狀況  8.用finger 查看所有的登陸用戶。  9.查看用戶目錄下/home/username下的登陸歷史文件(.history.rchist,etc).（三）故障診斷及排除1、檢查網卡后面的指示燈狀態，判斷是否網線不通或網絡有問題。2、重啟系統，察看設備列表中網絡適配器狀態是否正常，或者直接查看/usr/adm/whconfig文件。3、用netconfig命令查看網絡配置是否正確。4、檢查gateway文件內容、權限、位置是否正確。

18、Ping任何地址都不通（timeout）的情況，用1、檢測，ping任何地址都有錯誤提示（no route）一閃而過時用2、3檢測，ping同網段地址通，不同網段地址不通的用4、檢測。二、 windows2000 （一） 安全管理1、 安全模式： Windows 2000 安全模型的主要功能是用戶身份驗證和訪問控制。用戶身份驗證: Windows 2000 安全模型包括用戶身份驗證的概念，這種身份驗證賦予用戶登錄系統訪問網絡資源的能力。在這種身份驗證模型中，安全性系統提供了兩種類型的身份驗證：交互式登錄(根據用戶的本地計算機或 Active Directory 帳戶確認用戶的身份)和網絡身份驗

19、證（根據此用戶試圖訪問的任何網絡服務確認用戶的身份）。為提供這種類型的身份驗證，Windows 2000 安全系統包括了三種不同的身份驗證機制：Kerberos V5、公鑰證書和 NTLM（與 Windows NT 4.0 系統兼容）?；趯ο蟮脑L問控制：通過用戶身份驗證，Windows 2000 允許管理員控制對網上資源或對象的訪問。Windows 2000 通過允許管理員為存儲在 Active Directory 中的對象分配安全描述符實現訪問控制。安全描述符列出了允許訪問對象的用戶和組，以及分配給這些用戶和組的特殊權限。安全描述符還指定了需要為對象審核的不同訪問事件。文件、打印機和服務都

20、是對象的實例。通過管理對象的屬性，管理員可以設置權限，分配所有權以及監視用戶訪問。管理員不僅可以控制對特殊對象的訪問，也可以控制對該對象特定屬性的訪問。例如，通過適當配置對象的安全描述符，用戶可以被允許訪問一部分信息，如只訪問員工姓名和電話號碼而不能訪問他們的家庭住址。Active Directory 和安全性：Active Directory 通過使用對象和用戶憑據的訪問控制提供了對用戶帳戶和組信息的保護存儲。由于 Active Directory 不僅存儲用戶憑據還存儲訪問控制信息，因此登錄到網絡的用戶將同時獲得訪問系統資源的身份驗證和授權。例如，用戶登錄到網絡時，Windows 2000

21、 安全系統通過存儲在 Active Directory 上的信息來驗證用戶。然后，當用戶試圖訪問網絡上的服務時，系統檢查由任意訪問控制列表為這一服務定義的屬性。由于 Active Directory 允許管理員創建組帳戶，因此管理員可以更有效地管理系統的安全性。例如，通過調節文件屬性，管理員可以允許組中的所有用戶讀取文件。這樣，訪問 Active Directory 中的對象以組成員為基礎。2、 控制對象的訪問（1）.設置、查看、更改或刪除文件和文件夾權限步驟1 打開 "Windows 資源管理器"，然后定位到用戶要設置權限的文件和文件夾。步驟2 右鍵單擊該文件或文件夾，單

22、擊"屬性"，然后單擊"安全"選項卡，步驟3 執行以下任一項操作： 要設置新組或用戶的權限，請單擊"添加"。按照域名名稱的格式鍵入要設置權限的組或用戶的名稱，然后單擊"確定"關閉對話框。 要更改或刪除現有的組或用戶的權限，請單擊該組或用戶的名稱。 步驟4 如果必要，請在"權限"中單擊每個要允許或拒絕的權限的"允許"或"拒絕"。 或者，若要從權限列表中刪除組或用戶，請單擊"刪除"。 注意：只能在格式化為使用 N

23、TFS 的驅動器上設置文件和文件夾權限。 要更改訪問權限，用戶必須是所有者或已經由所有者授權執行該操作。 無論保護文件和子文件夾的權限如何，被準許對文件夾進行完全控制的組或用戶都可以刪除該文件夾內的任何文件和子文件夾。 如果"權限"下的復選框為灰色，或者沒有"刪除"按鈕，則文件或文件夾已經繼承了父文件夾的權限。（2）.設置、查看或刪除共享文件夾或驅動器的權限步驟1 打開 "Windows 資源管理器"，然后定位到要設置權限的共享文件夾或驅動器。步驟2 右鍵單擊共享文件夾或驅動器，然后單擊"共享&

24、quot;。步驟3 在"共享"選項卡上，單擊"權限"。步驟4 要設置共享文件夾權限，請單擊"添加"。鍵入要設置權限的組或用戶的名稱，然后單擊"確定"關閉對話框。要刪除權限，請在"名稱"中選擇組或用戶，然后單擊"刪除"。步驟5 在"權限"中，如果需要，請對每個權限單擊"允許"或"拒絕"。3、事件的審核：（1）設置、查看、更改或刪除文件或文件夾的審核步驟1 打開 "Windows 資源管理器"，然后定

25、位到想要審核的文件和文件夾步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項卡步驟3 單擊"高級"，然后單擊"審核"選項卡 ， 步驟4 執行以下任一項操作：要設置新組或用戶的審核，請單擊"添加"。在"名稱"中，鍵入新的用戶名，然后單擊"確定"，自動打開"審核項"對話框。要查看或更改現有組或用戶的審核，請單擊相應的名稱，然后單擊"查看/編輯"。要刪除現有組或用戶的審核，請單擊相應的名稱，然后單擊&quo

26、t;刪除"。跳過步驟 5、6、7。步驟5 如果有必要，請在"審核項"對話框中的"應用到"列表中選擇要進行審核的位置"應用到"列表只能用于文件夾步驟6 在"訪問"下，單擊要審核的訪問的"成功"或"失敗"，或這兩項步驟7 如果要阻止目錄樹中的文件和子文件夾繼承這些審核項，請選中"僅對此容器內的對象和/或容器應用這些審核項"復選框注意：在 Windows 2000 審核對文件和文件夾的訪問之前，用戶必須使用"組策略"管理單元來啟用&

27、quot;審核策略"中的"審核對象訪問"設置。否則，在設置文件和文件夾的審核時，將收到錯誤信息且不會審核任何文件或文件夾。啟用了"組策略"中的審核之后，請查看"事件查看器"中的安全日志，以檢查試圖訪問審核的文件和文件夾是成功還是失敗。只能在格式化為使用 NTFS 的驅動器上設置文件和文件夾審核。因為安全日志有大小限制，用戶應當仔細選擇要審核的文件和文件夾。還應該考慮到用于安全日志的磁盤空間的大小。其最大空間是在"事件查看器"中定義的。（2）.查看安全日志步驟1 打開"事件查看器"步驟2

28、 雙擊"安全日志"， 步驟3 在詳細信息窗格中，檢查審核事件列表。4、安全配置：（1） 及時安裝補丁：微軟的產品是以Bug & Patch而著稱的，要及時安裝微軟發布的每一個補丁，其次補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的作用。（2） 組件的定制：WIN2000在默認情況下會安裝一些常用的組件，但正是這個默認安裝是極度危險的。你應該確切知道你需要哪些服務，而且僅僅安裝你確實需要的服務。根據安全原則，最少的服務+最小的權限=最大的安全。如果你確實需要安裝其他組件，請慎重

29、，特別是：Indexing Service，FrontPage 2000 Server Extensions，Internet Service Manager(HTML)這幾個危險服務。（3）IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又很不安全，在不用這個服務時，一般可以把IIS服務禁用，如果確實需要，對IIS的配置有以下建議：首先，把C盤Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D:/Inetpub；其次，那個IIS安裝時默認的scripts等虛擬目錄一概刪除，如果你需要什么權限的目錄可以自己慢慢建，

30、需要什么權限開什么。應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP ASA和其他你確實需要用到的文件類型，實際上90%的主機有了上面兩個映射就夠了。接著在應用程序調試書簽內將腳本錯誤消息改為發送文本，錯誤文本寫什么？隨便你喜歡，自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。為了對付日益增多的cgi漏洞掃描器，還有一個小技巧可以參考，在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件。大多數CGI掃描器在編寫時為了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞一

31、般都是通過取1.idq來檢驗，如果返回HTTP200，就認為是有這個漏洞，反之如果返回HTTP404就認為沒有，如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件，那么所有的掃描無論存不存在漏洞都會返回HTTP200，90%的CGI掃描器會認為你什么漏洞都有，結果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手。最后，為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。（二）網絡配置在桌面上用鼠標右鍵單擊網上鄰居選擇屬性右鍵單擊本地連接選擇屬性雙擊 tcp/ip，輸入ip地址、子網掩碼、網關。（二） 監測網絡狀態開始運行c

32、md進入命令行方式：ping *.*.*.*（同網段內的地址）ping *.*.*.* （不同網段的地址） ping *.*.*.* -n 10 （三） 故障診斷及排除：1、檢查網卡后面的指示燈狀態，判斷是否網線不通或網絡有問題。、開始設置控制面板性能和維護系統硬件設備管理器中檢查網絡適配器的狀態，前面有黃色的驚嘆號的為狀態不正常的，一般重新安裝驅動程序可以解決。、檢查網絡配置（相關協議、服務及網關的設置），具體見二、（二）配置一節。三、 關于端口和套接字（socket）   網絡程序設計全靠套接字接受和發送信息.盡管套接字這個詞好象顯得有些神秘,但其實這個概念極

33、易理解.    大多數網絡應用程序使用兩個協議:傳輸控制協議(TCP)和用戶數據包協議(UDP).他們都使用一個端口號以識別應用程序.端口號為主機上所運行之程序所用,這樣就可以通過號碼象名字一樣來跟蹤每個應用程序.端口號讓操作系統更容易的知道有多少個應用程序在使用系統,以及哪些服務有效.    理論上,端口號可由每臺主機上的管理員自由的分配.但為了更好的通信通常采用一些約定的協議.這些協議使能通過端口號識別一個系統向另一個系統所請求的服務的類型.基于如此理由,大多數系統維護一個包含端口號及它們所提供哪些服務的文件.  

34、60; 端口號被從1開始分配.通常端口號超出255的部分被本地主機保留為私有用途.1到255之間的號碼被用于遠程應用程序所請求的進程和網絡服務.每個網絡通信循環地進出主計算機的TCP應用層.它被兩個所連接的號碼唯一地識別.這兩個號碼合起來叫做套接字.組成套接字的這兩個號碼就是機器的IP地址和TCP軟件所使用的端口號.    因為網絡通訊至少包括兩臺機器,所以在發送和接收的機器上都存在一個套接字.由于每臺機器的IP地址是唯一的,端口號在每臺機器中也是唯一的,所以套接字在網絡中應該是唯一的.這樣的設置能使網絡中的兩個應用程序完全的基于套接字互相對話.

35、60;  發送和接收的機器維護一個端口表,它列出了所有激活的端口號.兩臺機器都包括一個進程叫做綁定,這是每個任務的入口,不過在兩臺機器上恰恰相反.換句話說,如果一臺機器的源端口號是23而目的端口號被設置成25,那么另一臺機器的源端口號設置成25目的端口號設置成23.*UNIX的套接口(Socket)編程簡介網絡編程，即編寫通過計算機網絡與其他程序進行通訊的程序。在目前的模式下，相互通信的網絡程序中，一方稱為客戶程序(client)，另一方稱為服務程序(server)，大多數操作系統都提供了編譯好的網絡程序，比如Web客戶程序(瀏覽器)，Web服務器程序，以及FTP，Telnet等，