操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告_第1頁
操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告_第2頁
操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告_第3頁
操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告_第4頁
操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告_第5頁
已閱讀5頁,還剩30頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、精選優(yōu)質(zhì)文檔-傾情為你奉上CENTRAL SOUTH UNIVERSITY 操作系統(tǒng)安全實(shí)驗(yàn)報(bào)告學(xué)生姓名 班級(jí)學(xué)號(hào) 指導(dǎo)教師 設(shè)計(jì)時(shí)間 專心-專注-專業(yè)操作系統(tǒng)安全實(shí)驗(yàn)一Windows系統(tǒng)安全設(shè)置實(shí)驗(yàn)1、 實(shí)驗(yàn)?zāi)康?、 了解Windows操作系統(tǒng)的安全性2、 熟悉Windows操作系統(tǒng)的安全設(shè)置3、 熟悉MBSA的使用2、 實(shí)驗(yàn)要求1、 根據(jù)實(shí)驗(yàn)中的安全設(shè)置要求,詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化,給出分析報(bào)告。2、 采用MBSA測(cè)試系統(tǒng)的安全性,并分析原因。3、 比較Windows系統(tǒng)的安全設(shè)置和Linux系統(tǒng)安全設(shè)置的異同。3、 實(shí)驗(yàn)內(nèi)容人 1、 配置本地安全設(shè)置,完成以下內(nèi)容:(1) 賬戶

2、策略:包括密碼策略(最小密碼長(zhǎng)度、密碼最長(zhǎng)存留期、密碼最短存留期、強(qiáng)制密碼歷史等)和賬戶鎖定策略(鎖定閾值、鎖定時(shí)間、鎖定計(jì)數(shù)等)A賬戶鎖定策略:賬戶鎖定閾值:指用戶輸入幾次錯(cuò)誤的密碼后將用戶賬戶鎖定,默認(rèn)為0,代表不鎖定賬戶鎖定時(shí)間:指當(dāng)用戶賬戶被鎖定后經(jīng)過多長(zhǎng)時(shí)間會(huì)自動(dòng)解鎖,0表示只有管理員才能受控解鎖復(fù)位賬戶鎖定計(jì)數(shù)器:指用戶由于輸入密碼錯(cuò)誤開始計(jì)數(shù)時(shí),計(jì)數(shù)器保持的時(shí)間,當(dāng)時(shí)間過后,計(jì)數(shù)器復(fù)位為0.B.密碼策略(2) 賬戶和口令的 安全設(shè)置:檢查和刪除不必要的賬戶(User用戶、Duplicate User用戶、測(cè)試用戶、共享用戶等)、禁用guest賬戶、禁止枚舉帳號(hào)、創(chuàng)建兩個(gè)管理員帳號(hào)

3、、創(chuàng)建陷阱用戶(用戶名為Administrator、權(quán)限設(shè)置為最低)、不讓系統(tǒng)顯示上次登錄的用戶名。A.創(chuàng)建用戶:控制面板-管理工具-計(jì)算機(jī)管理-本地用戶和組-用戶-創(chuàng)建用戶B.修改用戶權(quán)限:控制面板-用戶賬戶-管理其他賬戶-更改賬戶類型C.禁止枚舉賬號(hào):禁止原因:枚舉賬號(hào)指某些具有黑客行為的蠕蟲病毒可以通過掃描WindowsXP系統(tǒng)的指定端口,然后通過共享會(huì)話猜測(cè)管理員系統(tǒng)密碼,因此需要禁止枚舉賬號(hào)方法:本地安全設(shè)置-“安全設(shè)置”-“本地策略”-“安全選項(xiàng)”-雙擊對(duì)匿名連接的額外限制-不允許枚舉SAM賬號(hào)和共享”D創(chuàng)建陷阱用戶:原因:本來用戶是權(quán)限是非管理員,讓黑客認(rèn)為他是管理員,取名Adm

4、inistrator,是因?yàn)橐话愕墓芾韱T用戶默認(rèn)名為Administrator方法:右擊 我的電腦 管理 本地用戶和組 用戶1、將右側(cè)“管理計(jì)算機(jī)(域)的內(nèi)置賬戶”默認(rèn)的是administrator,改名為其他名字,但不要以admin、root等命名。2、在右側(cè)空白處右擊 新用戶在彈出的對(duì)話框中用戶名:admin或administrator,密碼自設(shè)設(shè)置用戶權(quán)限:運(yùn)行組策略編輯器程序,在編輯器窗口的左側(cè)窗口中逐級(jí)展開“計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略用戶權(quán)限指派”分支。雙擊需要改變的用戶權(quán)限,單擊“添加用戶或組”按鈕,然后雙擊想指派給權(quán)限的用戶賬號(hào),最后單擊“確定”按鈕退出。E禁止

5、來賓賬戶F不讓系統(tǒng)顯示上次登錄的用戶名:組策略計(jì)算機(jī)配置windows配置安全配置本地策略安全選項(xiàng)雙擊交互式登陸:不顯示上次的用戶名交互式登陸:不顯示上次的用戶名屬性單擊已選用確定(3) 設(shè)置審核策略:審核策略更改、審核賬戶登錄事件、審核賬戶管理、審核登錄事件、審核特權(quán)使用等方法:控制面板-管理工具-本地安全策略-本地策略審核策略(4) 設(shè)置IP安全策略作用:IP安全策略是起到IP地址的安全保護(hù)設(shè)置作用的,可以防止比爾ping自己的電腦,關(guān)閉一些危險(xiǎn)的端口。(PING (Packet Internet Groper),因特網(wǎng)包探索器,用于測(cè)試網(wǎng)絡(luò)連接量的程序)方法:管理工具本地安全策略右鍵ip

6、安全策略創(chuàng)建IP安全策略單擊下一步3389過濾默認(rèn)下一步確定后管理IP篩選器操作建立篩選器添加輸入3389篩選器1-單擊添加下一步任何ip地址下一步目的地址選我的Ip地址下一步選擇TCP的IP協(xié)議設(shè)置從任何端都到本機(jī)的某一端口下一步-管理篩選器操作添加下一步取名下一步阻止下一步完成篩選器建立接著建立IP安全規(guī)則雙擊建立的"3389過濾”添加下一步選擇是到下圖 選擇3389過濾器1阻止3389下一步完成安全規(guī)則建立IP安全策略右鍵3389過濾單擊之指派開始應(yīng)用IP策略所以連接3389的TCP請(qǐng)求都被阻止建立允許管理員登陸的策略:打開上圖重復(fù)建立篩選器步驟建立3389篩選器2的

7、篩選器(其他設(shè)置與前面一樣,選擇源地址時(shí)變?yōu)椤耙粋€(gè)特定的IP地址“該地址是管理員工作站的IP)-重復(fù)建篩選器操作的步驟-建立名為3389的操作,在選擇動(dòng)作時(shí)使用”許可“ (5) 其他設(shè)置:公鑰策略、軟件限制策略等公鑰策略:可以讓電腦自動(dòng)向企業(yè)證書頒發(fā)機(jī)構(gòu)提交證書申請(qǐng)并安裝辦法的證書,這樣有助于電腦獲得在組織內(nèi)執(zhí)行公鑰加密操作。軟件限制策略:簡(jiǎn)單而言,就是設(shè)置哪些軟件可用哪些不可用,默認(rèn)情況是關(guān)閉的。設(shè)置某軟件不可用:右鍵軟件限制策略建立新的策略單擊其他規(guī)則選新路徑規(guī)則單擊瀏覽選擇相應(yīng)程序安全級(jí)別中選不允許單擊確定2、 Windows系統(tǒng)注冊(cè)表的配置(1) 找到用戶安全設(shè)置的鍵值、SA

8、M設(shè)置的鍵值(2) 修改注冊(cè)表:禁止建立空連接禁止管理共享、關(guān)閉139端口、防范SYN攻擊、減少syn-ack包的響應(yīng)時(shí)間、預(yù)防DoS攻擊、防止ICMP重定向報(bào)文攻擊、不支持IGMP協(xié)議、禁止死網(wǎng)關(guān)監(jiān)控技術(shù)、修改MAC地址等操作。A打開系統(tǒng)注冊(cè)表:開始運(yùn)行鍵入regeditB.禁止建立空連接:空連接就是不用密碼和用戶名的IPC連接,在Windows 下,它是Net 命令來實(shí)現(xiàn)的方法1:開始運(yùn)行鍵入regedit-找到如下主鍵HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把RestrictAnonymous(DWORD)的鍵值改為:上述操作

9、執(zhí)行完成后,用net share命令仍能看到ipc$ 共享,但只是不允許匿名空連接,可使用密碼連接。方法2:開始-設(shè)置-控制面板-管理工具-服務(wù) ,在服務(wù)中停止掉 server的服務(wù)C.禁止管理共享:方法1:在計(jì)算機(jī)管理中直接停止共享 右擊我的電腦管理共享文件夾共享右擊需要停止的共享停止共享。 方法2: 編輯注冊(cè)表 使用前:方法停止系統(tǒng)默認(rèn)共享,在系統(tǒng)重新啟動(dòng)后,又恢復(fù)了共享,可以通過修改注冊(cè)表的方法,永久停止系統(tǒng)默認(rèn)共享。 在注冊(cè)表中找到如下組鍵:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,新

10、建DWORD類型的鍵,鍵名AutoShareServer,鍵值設(shè)為0。 但I(xiàn)PC$共享不受此影響,要想停止IPC$共享,可建立一個(gè)批處理文件stopipc.bat,內(nèi)容包括net share ipc$ /delete一行,然后在啟動(dòng)組中建立一個(gè)快捷方式。當(dāng)以Administrator組中用戶登錄時(shí),可停止IPC$共享,當(dāng)以其它用戶登錄時(shí),因不能執(zhí)行NET命令,不能停止IPC$共享。D減少Syn-ack包的響應(yīng)時(shí)間:HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定義了重發(fā)

11、SYN-ACK包的 次數(shù)。 增大NETBT的連接塊增加幅度和最大數(shù)器,NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默認(rèn)值為3,最大20,最小1。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默認(rèn)值為1000,最大可取40000 E防范SYN攻擊: 相關(guān)的值項(xiàng)在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD:SynAtt

12、ackProtect:定義了是否允許SYN淹沒攻擊保護(hù),值1表示允許起用Windows的SYN淹沒攻擊保護(hù)。 (2) DWORD:TcpMaxConnectResponseRetransmissions:定義了對(duì) 于連接請(qǐng)求回應(yīng)包的重發(fā)次數(shù)。值為1,則SYN淹沒攻擊不會(huì)有效果,但是這樣會(huì)造成連接請(qǐng)求失敗幾率的增高。SYN淹沒攻擊保護(hù)只有在該值>=2時(shí)才會(huì)被啟用,默認(rèn)值為3。 (上邊兩個(gè)值定義是否允許SYN淹沒攻擊保護(hù),下面三個(gè)則定義了 激活SYN淹沒攻擊保護(hù)的條件,滿足其中之一,則系統(tǒng)自動(dòng)激活 SYN淹沒攻擊保護(hù)。) F預(yù)防DoS攻擊: 在注冊(cè)表 HKLMSYSTEMCurrentCon

13、trolSetServicesTcpipPa rameters中更改以下值可以防御一定強(qiáng)度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 G防止ICMP重定向報(bào)文的攻擊: HKLMSY

14、STEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默認(rèn)值為0x1)不支持ICMP協(xié)議IGMP(Internet Group Manage Protocol):Internet組管理協(xié)議,提供internet網(wǎng)際多點(diǎn)傳送的功能,即將一個(gè)ip包拷貝給多個(gè)host,windows系列采用了這個(gè)協(xié)議,因?yàn)榇隧?xiàng)技術(shù)尚不成熟,因此被一些人用來攻擊windows系統(tǒng),尤其是對(duì)win98,因?yàn)閷?duì)win95有oob攻擊.受到IGMP攻擊的癥狀是首先出現(xiàn)藍(lán)屏,然后網(wǎng)速變得極慢,有的甚至鼠標(biāo),鍵盤均不管用.非

15、得重起不H修改MAC地址:控制面板網(wǎng)絡(luò)和控制中心更改適配器設(shè)置選擇本地要修改MAC地址的網(wǎng)卡右鍵網(wǎng)卡選擇屬性配置高級(jí)網(wǎng)絡(luò)地址輸入新的MAC地址3、 文件及文件夾權(quán)限設(shè)置(1) 用戶組及用戶的權(quán)限:有哪些組?其權(quán)限是什么?有哪些用戶?有屬哪些組?設(shè)置其權(quán)限。(2) 新建一個(gè)文件夾并設(shè)置其訪問控制權(quán)限。系統(tǒng)的當(dāng)前用戶為Adiministrator,因此選中該用戶,編輯其權(quán)限,將拒絕權(quán)限項(xiàng)全部打鉤后,點(diǎn)擊應(yīng)用,在打開文件的時(shí)候顯示:4、 審核日志分析(1) 查找審核日志,顯示其詳細(xì)信息:應(yīng)用程序日志、安全性日志、系 統(tǒng)日志。控制面板管理工具事件查看器windows日志安全雙擊事件詳細(xì)信息Proces

16、sID表示進(jìn)程的身份驗(yàn)證號(hào)是0xa60(2) 分析各種日志所描述的內(nèi)容,分析警告、信息、錯(cuò)誤等的意義。信息為普通系統(tǒng)信息,警告為暫時(shí)可不處理問題,錯(cuò)誤為必須立即處理的問題5、 使用Microsoft 基準(zhǔn)安全分析器MBSA 2.0對(duì)系統(tǒng)進(jìn)行安全評(píng)估Microsoft 基準(zhǔn)安全分析器 (MBSA) 可以檢查操作系統(tǒng),還可以掃描計(jì)算機(jī)上的不安全配置。檢查 Windows 服務(wù)包和修補(bǔ)程序時(shí),它將 Windows 組件(如 Internet 信息服務(wù) (IIS) 和 COM+)也包括在內(nèi)。MBSA 使用一個(gè) XML 文件作為現(xiàn)有更新的清單。該 XML 文件包含在存檔 Mssecure.cab 中,由

17、 MBSA 在運(yùn)行掃描時(shí)下載,也可以下載到本地計(jì)算機(jī)上,或通過網(wǎng)絡(luò)服務(wù)器使用。6、 信息安全綜合實(shí)驗(yàn)系統(tǒng)中的實(shí)驗(yàn):(1)信息安全01. Windows用戶管理02. Windows策略管理03. Windows網(wǎng)絡(luò)與服務(wù)管理04. Web服務(wù)安全配置06. 遠(yuǎn)程桌面安全配置22. 文件事件審計(jì)實(shí)驗(yàn)23. 網(wǎng)絡(luò)事件審計(jì)實(shí)驗(yàn)24. 應(yīng)用程序?qū)徲?jì)實(shí)驗(yàn)25. 主機(jī)監(jiān)管實(shí)驗(yàn)26.日志事件審計(jì)實(shí)驗(yàn)27. 日志關(guān)聯(lián)審計(jì)實(shí)驗(yàn)28. 審計(jì)跟蹤實(shí)驗(yàn)29. FAT32數(shù)據(jù)恢復(fù)實(shí)驗(yàn)30. NTFS數(shù)據(jù)恢復(fù)實(shí)驗(yàn)36. Snapshot快照實(shí)驗(yàn)37. 主機(jī)存活性判斷實(shí)驗(yàn)38. 服務(wù)端口判斷實(shí)驗(yàn)39. 操作系統(tǒng)判斷實(shí)驗(yàn)40

18、. 操作系統(tǒng)漏洞掃描實(shí)驗(yàn)(2)網(wǎng)絡(luò)攻防03. Windows Server IP安全配置07. Windows系統(tǒng)賬戶安全評(píng)估08. Windows系統(tǒng)賬戶安全評(píng)估(MBSA)10. 弱口令破解實(shí)驗(yàn)11. 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)驗(yàn)12. 配置Windows系統(tǒng)安全評(píng)估日志配置213. 配置Windows系統(tǒng)安全評(píng)估IP協(xié)議安全配置14. 配置Windows系統(tǒng)安全評(píng)估Windows日志與審計(jì)操作系統(tǒng)安全實(shí)驗(yàn)二Linux系統(tǒng)安全設(shè)置實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康?、了解Linux操作系統(tǒng)的安全性2、熟悉Linux操作系統(tǒng)的安全設(shè)置3、建立Linux操作系統(tǒng)的基本安全框架二、實(shí)驗(yàn)要求1、根據(jù)實(shí)驗(yàn)中的安全設(shè)置要求,詳

19、細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化,給出分析報(bào)告。2、使用RPM對(duì)系統(tǒng)的軟件進(jìn)行管理,驗(yàn)證系統(tǒng)內(nèi)軟件的完整性,并分析結(jié)果。3、比較Windows系統(tǒng)的安全設(shè)置和Linux系統(tǒng)安全設(shè)置的異同。三、實(shí)驗(yàn)內(nèi)容cd /home 進(jìn)入 '/ home' 目錄' cd . 返回上一級(jí)目錄 cd ./. 返回上兩級(jí)目錄 cd 進(jìn)入個(gè)人的主目錄 cd user1 進(jìn)入個(gè)人的主目錄 cd - 返回上次所在的目錄 pwd 顯示工作路徑 ls 查看目錄中的文件 ls -F 查看目錄中的文件 ls -l 顯示文件和目錄的詳細(xì)資料 ls -a 顯示隱藏文件 ls *0-9* 顯示包含數(shù)字的文件名和目

20、錄名 tree 顯示文件和目錄由根目錄開始的樹形結(jié)構(gòu)(1) lstree 顯示文件和目錄由根目錄開始的樹形結(jié)構(gòu)(2) mkdir dir1 創(chuàng)建一個(gè)叫做 'dir1' 的目錄' mkdir dir1 dir2 同時(shí)創(chuàng)建兩個(gè)目錄 mkdir -p /tmp/dir1/dir2 創(chuàng)建一個(gè)目錄樹 rm -f file1 刪除一個(gè)叫做 'file1' 的文件' rmdir dir1 刪除一個(gè)叫做 'dir1' 的目錄' rm -rf dir1 刪除一個(gè)叫做 'dir1' 的目錄并同時(shí)刪除其內(nèi)容 rm -rf dir

21、1 dir2 同時(shí)刪除兩個(gè)目錄及它們的內(nèi)容 mv dir1 new_dir 重命名/移動(dòng) 一個(gè)目錄 cp file1 file2 復(fù)制一個(gè)文件 cp dir/* . 復(fù)制一個(gè)目錄下的所有文件到當(dāng)前工作目錄 cp -a /tmp/dir1 . 復(fù)制一個(gè)目錄到當(dāng)前工作目錄 cp -a dir1 dir2 復(fù)制一個(gè)目錄1、賬戶和口令安全(1)查看和添加賬戶在終端下輸入命令:useradd *,建立一個(gè)新賬戶;Sudo 授權(quán):sudo -i表示以root身份登錄,進(jìn)程的實(shí)際用戶ID和有效用戶ID都變成了root,主目錄也切換為root的主目錄。想從root用戶切回user用戶只需執(zhí)行命令:su use

22、r cat /etc/shadaw, 查看系統(tǒng)中的賬戶列表;查看文件內(nèi)容 cat file1 從第一個(gè)字節(jié)開始正向查看文件的內(nèi)容 tac file1 從最后一行開始反向查看一個(gè)文件的內(nèi)容 more file1 查看一個(gè)長(zhǎng)文件的內(nèi)容 less file1 類似于 more' 命令,但是它允許在文件中和正向操作一樣的反向操作 head -2 file1 查看一個(gè)文件的前兩行 tail -2 file1 查看一個(gè)文件的最后兩行 tail -f /var/log/messages 實(shí)時(shí)查看被添加到一個(gè)文件中的內(nèi)容(2) 添加和更改密碼:passwd命令(3) 查看Linux系統(tǒng)中是否有用于檢測(cè)

23、密碼安全的黑客技術(shù)語字典及密碼檢測(cè)模塊:locate pam_cracklib.so dict|grep crack2、 賬戶安全設(shè)置(1) 強(qiáng)制用戶首次登陸時(shí)修改口令,強(qiáng)制每90天更改一次口令,并提前10天提示:change命令(2) 賬戶的禁用與恢復(fù):passwd命令,鎖定除root之外的不必要的超級(jí)用戶把root用戶密碼設(shè)為空了,Linux中都不允許使用空密碼(3) 建立用戶組,設(shè)置用戶:groupadd命令、groupmod命令、gpasswd命令groupmod命令更改用戶組信息命令,-n選項(xiàng)用于修改用戶組組名,-g選項(xiàng)用于修改用戶組的GIDgroupadd命令groupmod命令g

24、passwd命令(4) 設(shè)置密碼規(guī)則:/etc/login.defs文件編輯修改,設(shè)置用戶的密碼最長(zhǎng)使用天數(shù)、最小密碼長(zhǎng)度等PASS_MAX_DAYS 90 #密碼最長(zhǎng)過期天數(shù)PASS_MIN_DAYS 80 #密碼最小過期天數(shù)PASS_MIN_LEN 10 #密碼最小長(zhǎng)度PASS_WARN_AGE 7 #密碼過期警告天數(shù)(5) 為賬戶和組相關(guān)系統(tǒng)文件加上不可更改屬性,防止非授權(quán)用戶獲取權(quán)限:chattr命令、文件的特殊屬性 - 使用 "+" 設(shè)置權(quán)限,使用 "-" 用于取消 chattr +a file1 只允許以追加方式讀寫文件 chattr +c

25、file1 允許這個(gè)文件能被內(nèi)核自動(dòng)壓縮/解壓 chattr +d file1 在進(jìn)行文件系統(tǒng)備份時(shí),dump程序?qū)⒑雎赃@個(gè)文件 chattr +i file1 設(shè)置成不可變的文件,不能被刪除、修改、重命名或者鏈接 chattr +s file1 允許一個(gè)文件被安全地刪除 chattr +S file1 一旦應(yīng)用程序?qū)@個(gè)文件執(zhí)行了寫操作,使系統(tǒng)立刻把修改的結(jié)果寫到磁盤 chattr +u file1 若文件被刪除,系統(tǒng)會(huì)允許你在以后恢復(fù)這個(gè)被刪除的文件 lsattr 顯示特殊的屬性(6) 刪除用戶和用戶組:userdel命令、groupdel命令刪除用戶組刪除用戶(7) 限制su命令提權(quán):/

26、etc/pam.d/su文件,在頭部添加命令:auth required /lib/security/pam_wheel.so group=wheel這樣,只有wheel組的用戶可以su到root用戶(8) 將用戶加入到某個(gè)組:usermod命令 (9) 確認(rèn)shadow中的空口令帳號(hào):awk命令(10) /中間有一個(gè)!表示密碼為空3、 文件系統(tǒng)管理安全(1) 查看某個(gè)文件的權(quán)限:ls l(2) 設(shè)置文件屬主及屬組等的權(quán)限:chmod命令(3) 切換用戶,檢查用戶對(duì)文件的權(quán)限:su命令(4) 修改文件的屬主和屬組:chown命令chmod ugo+rwx directory1 設(shè)置目錄的所有人

27、(u)、群組(g)以及其他人(o)以讀(r )、寫(w)和執(zhí)行(x)的權(quán)限 chmod go-rwx directory1 刪除群組(g)與其他人(o)對(duì)目錄的讀寫執(zhí)行權(quán)限 chown user1 file1 改變一個(gè)文件的所有人屬性 chown -R user1 directory1 改變一個(gè)目錄的所有人屬性并同時(shí)改變改目錄下所有文件的屬性 chgrp group1 file1 改變文件的群組 chown user1:group1 file1 改變一個(gè)文件的所有人和群組屬性 find / -perm -u+s 羅列一個(gè)系統(tǒng)中所有使用了SUID控制的文件 chmod u+s /bin/file

28、1 設(shè)置一個(gè)二進(jìn)制文件的 SUID 位 - 運(yùn)行該文件的用戶也被賦予和所有者同樣的權(quán)限 chmod u-s /bin/file1 禁用一個(gè)二進(jìn)制文件的 SUID位 chmod g+s /home/public 設(shè)置一個(gè)目錄的SGID 位 - 類似SUID ,不過這是針對(duì)目錄的 chmod g-s /home/public 禁用一個(gè)目錄的 SGID 位 chmod o+t /home/public 設(shè)置一個(gè)文件的 STIKY 位 - 只允許合法所有人刪除文件 chmod o-t /home/public 禁用一個(gè)目錄的 STIKY 位(5) 文件的打包備份和壓縮、和解壓:tar命令、gzip命令

29、、gunzip命令tar -cvf archive.tar file1 創(chuàng)建一個(gè)非壓縮的 tarball tar -cvf archive.tar file1 file2 dir1 創(chuàng)建一個(gè)包含了 'file1', 'file2' 以及 'dir1'的檔案文件 tar -tf archive.tar 顯示一個(gè)包中的內(nèi)容 tar -xvf archive.tar 釋放一個(gè)包 tar -xvf archive.tar -C /tmp 將壓縮包釋放到 /tmp目錄下 tar -cvfj archive.tar.bz2 dir1 創(chuàng)建一個(gè)bzip2格式的

30、壓縮包 tar -xvfj archive.tar.bz2 解壓一個(gè)bzip2格式的壓縮包 tar -cvfz archive.tar.gz dir1 創(chuàng)建一個(gè)gzip格式的壓縮包 tar -xvfz archive.tar.gz 解壓一個(gè)gzip格式的壓縮包gzip file1 壓縮一個(gè)叫做 'file1'的文件 gzip -9 file1 最大程度壓縮gunzip file1.gz 解壓一個(gè)叫做 'file1.gz'的文件備份 dump -0aj -f /tmp/home0.bak /home 制作一個(gè) '/home' 目錄的完整備份 dum

31、p -1aj -f /tmp/home0.bak /home 制作一個(gè) '/home' 目錄的交互式備份 restore -if /tmp/home0.bak 還原一個(gè)交互式備份(6) 設(shè)置應(yīng)用于目錄的SGID權(quán)限位:文件權(quán)限用 12 個(gè)二進(jìn)制位表示,如果該位的值是 1,表示有相應(yīng)的權(quán)限: 11 10 9 8 7 6 5 4 3 2 1 0 S G T r w x r w x r w x 第 11 位為 SUID 位,第 10 位為 SGID 位,第 9 位為 sticky 位,第 8-0 位對(duì)應(yīng)于上面的三組 rwx 位。 上面的-rwsr-xr-x的值為: 1 0 0 1 1

32、 1 1 0 1 1 0 1-rw-r-Sr-的值為: 0 1 0 1 1 0 1 0 0 1 0 0chmod g+s filename 設(shè)置SGID位 chmod g-s filename 去掉SGID設(shè)置SUID作用:讓本來沒有相應(yīng)權(quán)限的用戶運(yùn)行這個(gè)程序時(shí),可以訪問他沒有權(quán)限訪問的資源。4、 信息安全綜合實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)(1)信息安全07. Linux文件系統(tǒng)08. Linux用戶管理09. Linux日志管理10. Linux網(wǎng)絡(luò)與服務(wù)管理20. Linux惡意腳本實(shí)驗(yàn)31. ext2數(shù)據(jù)恢復(fù)實(shí)驗(yàn)33. IP SAN網(wǎng)絡(luò)存儲(chǔ)實(shí)驗(yàn)34. NAS網(wǎng)絡(luò)存儲(chǔ)實(shí)驗(yàn)35. NFS數(shù)據(jù)實(shí)驗(yàn)(2)網(wǎng)絡(luò)攻防

33、16. Linux用戶管理實(shí)驗(yàn)23. 綜合掃描實(shí)驗(yàn)操作系統(tǒng)安全實(shí)驗(yàn)三SELinux實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康?、了解Linux操作系統(tǒng)的安全性2、熟悉SELinux安全模塊的配置和使用3、熟悉SELinux框架的基本內(nèi)容二、實(shí)驗(yàn)要求1、根據(jù)實(shí)驗(yàn)中的安全設(shè)置要求,詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化,給出分析報(bào)告。2、熟悉Flask安全體系框架和SELinux安全體系結(jié)構(gòu)的組成。3、比較Flask安全體系框架和權(quán)能體系結(jié)構(gòu)。三、實(shí)驗(yàn)內(nèi)容1、安裝與啟動(dòng)SELinux安全模塊Selinux簡(jiǎn)介:Selinxux的特點(diǎn):對(duì)訪問的控制徹底化,對(duì)所有的文件、目錄、端口的訪問都是基于策略設(shè)定的,可由管理員時(shí)行設(shè)定。對(duì)于用

34、戶只賦予最小權(quán)限。用戶被劃分成了一些role(角色),即使是root用戶,如果不具有sysadm_r角色的話,也不是執(zhí)行相關(guān)的管理。哪些role可以執(zhí)行哪些domain(域),也是可以修改的。當(dāng)啟動(dòng)selinux的時(shí)候,所有文件與對(duì)象都有安全上下文。進(jìn)程的安全上下文是域,安全上下文由用戶:角色:類型表示。 ubuntu 10環(huán)境下:sudo apt-get install selinux2、查看當(dāng)前SELinux目前的設(shè)置,理解設(shè)置影響哪方面的安全?查看selinux加載的內(nèi)核模塊:semodule lSELinux當(dāng)前運(yùn)行狀態(tài):getenforce設(shè)置運(yùn)行狀態(tài): sudo setenforc

35、e Enforcing | Permissive | 1 | 0SELinux的工作模式一共有三種 enforcing、permissive和disabled enforcing強(qiáng)制模式:只要是違反策略的行動(dòng)都會(huì)被禁止,并作為內(nèi)核信息記錄permissive允許模式:違反策略的行動(dòng)不會(huì)被禁止,但是會(huì)提示警告信息disabled禁用模式:禁用SELinux,與不帶SELinux系統(tǒng)是一樣的,通常情況下我們?cè)诓辉趺戳私釹ELinux時(shí),將模式設(shè)置成disabled,這樣在訪問一些網(wǎng)絡(luò)應(yīng)用時(shí)就不會(huì)出問題了查看拒絕信息:getsebool -a、getsebool allow_execheap查看允許

36、的服務(wù):/var/log/messages、/usr/bin/audit2allow查看用戶安全上下文:id1 檢查帳號(hào)的安全上下文root:system_r:unconfined_t:SystemLow-SystemHigh可以查看selinux錯(cuò)誤日志:sealert -a /var/log/audit/audit.log3、修改SELinux設(shè)置,理解設(shè)置影響哪方面的安全? 修改安全上下文:chcon Rchcon -R -tsamba_share_t /tmp/abc注:安全上下文的簡(jiǎn)單理解說明,受到selinux保護(hù)的進(jìn)程只能訪問標(biāo)識(shí)為自己只夠訪問的安全上下文的文件與目錄。例如:上面

37、解釋為使用smb進(jìn)程能夠訪問/tmp/abc目錄而設(shè)定的安全上下文。修改策略:setsebool Psetsebool命令setsebool P allow_ftpd_anon_write=1-P 是永久性設(shè)置,否則重啟之后又恢復(fù)預(yù)設(shè)值。示例:rootredhatfiles# setsebool -P allow_ftpd_anon_write=1rootredhatfiles# getsebool allow_ftpd_anon_writeallow_ftpd_anon_write-> on說明:如果僅僅是安全上下文中設(shè)置了vsftpd進(jìn)程對(duì)某一個(gè)目錄的訪問,配置文件中也允許可寫,但是

38、selinux中策略中不允許可寫,仍然不可寫。所以基于selinux保護(hù)的服務(wù)中,安全性要高于很多。其他修改設(shè)置方面,如http、ftp、nfs等。nfsselinux對(duì)nfs的限制好像不是很嚴(yán)格,默認(rèn)狀態(tài)下,不對(duì)nfs的安全上下文進(jìn)行標(biāo)記,而且在默認(rèn)狀態(tài)的策略下,nfs的目標(biāo)策略允許nfs_export_all_ronfs_export_all_ronfs_export_all_rw值為0所以說默認(rèn)是允許訪問的。但是如果共享的是/home/abc的話,需要打開相關(guān)策略對(duì)home的訪問。setsebool -Puse_nfs_home_dirs boolean 1getsebooluse_nfs_home_dirsftp如果ftp為匿名用戶共享目錄的話,應(yīng)修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public_content_rw_t /var/ftp/incoming策略的設(shè)置setsebool -P allow_ftpd_anon_write

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論