操作系統與網絡安全第2章第2章操作系統與網絡安全

目前，在服務器的操作系統平臺上，受廣大用戶歡迎的有Unix、Linux和WindowsNT。這三個操作系統存在著不少的安全漏洞，如果對這些漏洞不了解，不采取相應的對策和防范措施，就會使系統完全暴露在入侵者的入侵范圍之內，隨時有可能遭受毀滅性的攻擊。

本章就是從上述問題著手，來討論：

1.Unix、Linux和WindowsNT等操作系統的安全基礎

2.系統特性和安全策略

3.Unix和WindowsNT操作系統的網絡安全配置

2.3Windows系統簡介 Windows9x：在具有眾多優點的同時，它的缺點是穩定性和安全性欠佳。Windows95／98極易受到各種木馬以及炸彈的襲擊，一般的網絡用戶都可以使用一些特種工具輕而易舉地讓Windows9x死機。 WindowsNT：對網絡功能的支持更為強大，并且穩定性有了本質的提高。 注冊表：注冊表是Windows系統的核心數據庫，里面只存放了某些文件類型的應用程序信息。要方便地修改注冊表可以使用注冊表編輯程序regedit。2.3Windows系統簡介2.5WindowsNT/2000網絡配置2.5.1WindowsNT/2000的資源訪問控制 WindowsNT安全模式的一個最初目標，就是定義一系列標準的安全信息，并把它應用于所有對象的實例，這些安全信息，包括下列元素： 1．所有者 2．組 3．自由ACL（AccessControlList） 4．系統ACL 5．存取令牌（AccessToken）2.5WindowsNT網絡配置2.5.2WindowsNT的NTFS文件系統 NTFS文件系統是一種安全的文件系統，因為它支持文件訪問控制，人們可以設置文件和目錄的訪問權限，控制誰可以使用這個文件，以及如何使用這個文件。五個預定義的許可為：拒絕訪問，讀取，更改，完全控制和選擇性訪問。2.5WindowsNT/2000常用命令WindowsNT/2000常用命令補充

2.1Unix系統簡介Unix系統的由來 Unix操作系統是由美國貝爾實驗室開發的一種多用戶、多任務的通用操作系統。它從一個實驗室的產品發展成為當前使用普遍、影響深遠的業界主流操作系統，經歷了一個逐步成長、不斷完善的發展過程。由于其功能強大、技術成熟、可靠性好、網絡功能強及開放性好，可滿足各行各業實際應用的需求，受到了廣大用戶的歡迎，已經成為重要的企業級操作平臺。由于Unix系統強大的生命力，它的用戶每年以兩位數字以上的速度增長，可以肯定地說，Unix是可以進入21世紀的少數幾種操作系統平臺之一。2.1Unix系統簡介 Unix系統在經過20多年的發展成長以后，已經成為一種成熟的主流操作系統，并在發展過程中逐步形成了一些新的特色，其中主要包括： 1．可靠性高。 2．極強的伸縮性。 3．網絡功能強。 4．強大的數據庫支持功能。 5．開放性好。2.1Unix系統文件目錄簡介

Unix系統采用目錄樹結構,各種不同的文件分類放在不同的目錄下,樹的根部及文件的最高級是“/”目錄,然后由各種子目錄構成

Bin:存放系統可執行文件的目錄,包括常用的命令和執行腳本

Boot:放置啟動操作系統所需要的文件

Dev:Unix將各種硬件看成是文件,此目錄放置對應的硬件文件

Etc:放置系統常用的配置文件和腳本

Home:用戶的個人資料,每個用戶有自己的文件夾Mnt:掛載文件的目錄

Usr:用戶文件和安裝程序的目錄Tmp:系統運行中產生的臨時文件存放的目錄.2.1Unix系統簡介2.1.2Unix常用命令介紹ls

這個命令相當于DOS中的dir（列目錄和文件的命令）-a：把本目錄下所有的文件，包括隱含的文件列出來。-l：把文件的文件長度、修改的日期等詳細信息列出來。-p：在每個文件名后附一個字符說明文件類型。*表示可執行文件，／表示目錄，＠表示連接。-d：將目錄當作文件顯示，而不是顯示其下的文件。 當輸入ls-al命令并接回車時，就會列出當前目錄下所有文件和目錄的名稱。2.1Unix系統簡介cd

變換目錄，和DOS相同。如果你在cd后面沒有給定目的地，則表示目的地是根目錄。在Unix中有三種表示目錄的符號：“．”、“．．”、“~”。“．”表示當前目錄路徑的位置，“．．”表示當前路徑的上一層目錄，或稱“父目錄”，“~”表示根目錄，根目錄指每個用戶所擁有的目錄。如想進入某一目錄，只需在cd后加上要進入的目錄名，例如cd／etc。who

列出現在系統里有哪些用戶。Unix是一個多用戶的操作系統，可以同時有許多人在機器上。who命令可以把他們的名字和終端號都列出來。2.1Unix系統簡介cp

cp命令等同于DOS里的copy命令，即復制文件。 例如：cpfilelfile2會將filel文件復制為file2文件。它有如下幾個重要參數： -r：將目錄完全地復制到其他目錄里，相當于xcopy。 -p：在Unix里，當你操作時，系統會自動更改文件屬主、組、權限和時間。-p參數使這些內容保持不變。cat catenate的縮寫，意為把內容串起來，其實際作用在于顯示文件內容，相當于DOS里面的type命令。 當輸入cat／etc／passwd命令，就會顯示出本系統的口令文件。2.1Unix系統簡介man

英語“manual”的縮寫。這是一條使用頻率很高的命令，用來得到系統對一個特定命令的幫助信息。例如，如果想得到cat命令的詳細幫助信息，就輸入mancat。mv

這個命令是move的縮寫，就是移動一個目錄或文件。myfilelfile2就是把文件filel移動為file2，移動后filel會消失，實際上就是把filel改名為file2。2.1Unix系統簡介rm

rm就是remove，即刪除文件。當需要刪除目錄以及目錄以下的子目錄時，需用r參數。grep

在文件當中查找指定字符。例如greprootpasswd，其功能為在passwd文件當中尋找root字符并輸出該行。find

用來搜尋特定文件或目錄。其使用格式為： find［路徑］［匹配表達式］ 主要的匹配表達式有：-name，通過文件名查找； -perm，通過文件屬性查找； -print，輸出搜尋結果。2.1Unix系統簡介2.1.3Unix系統基本知識 ●超級用戶 在Unix系統中有一個名為root的用戶，這個用戶在系統上擁有最大的權限，即不需授權就可以對其他用戶的文件、目錄以及系統文件進行任意操作。 ●文件屬性 為保護每個用戶的私人文件不受他人非法修改，系統為每個文件和目錄都設定了屬性。 -rw-r--r--lrootwheel545Apr412:19file1 r表示可讀，w表示可寫，x表示可執行。2.1Unix系統簡介

●Shell

Shell是用戶和Unix系統內核之間的接口程序。在提示符下輸入的每個命令都由Shell先解釋然后傳給Unix內核。可以簡單地認為Shell就是Unix的命令解釋器，相當于DOS中的COMMAND.COM。

●輸入/輸出重定向

重定向用于改變一個命令的輸入／輸出源。“<”和“>”符號用于把當前命令的輸入／輸出重走向為指定的文件。

●管道

管道可以把一系列命令連接起來。這意味著第一個命令的輸出會通過管道傳給第二個命令而作為第二個命令的輸入，第二個命令的輸出又會作為第三個命令的輸入，以此類推。

2.2Linux系統簡介

2.2.1Linux的歷史 Unix系統對計算機硬件的要求比較高，對于一般的個人來說，想要在PC機上運行Unix是比較困難的。而Linux就為一般用戶提供了一個使用Unix界面操作系統的機會。因為Linux是按照Unix風格設計的操作系統，所以在源代碼級上兼容絕大部分的Unix標準。可以說相當多的網絡安全人員在自己的機器上運行的正是Linux。2.2Linux系統簡介2.2.2Linux的特點1．與Unix高度兼容。Linux是一種完全符合POSIX.l等國際標準的操作系統，它和大部分商業Unix操作系統保持高度的兼容性，幾乎所有的Unix命令都可以在Linux下使用。2．高度的穩定性和可靠性。Linux是一種完全32位的操作系統（其實Linux可以很容易地升級為64位），具備完善的多任務機制。2.2Linux系統簡介3．完全開放源代碼，價格低廉。Linux符合GNU通用公共版權協議，是自由軟件，它的源代碼是完全開放的，可以得到，這對于系統安全人員來說是非常重要的，因為閱讀源代碼是發現系統漏洞的最主要方法。而且與各種商業操作系統相比。4．安全可靠，絕無后門。由于源代碼開放，用戶不用擔心Linux中會存在秘密后門，而且任何錯誤都會被及時發現并修正，因此Linux可以提供極高的安全性。2.2Linux系統簡介2.2.3vi用法介紹

vi是Linux下的一個非常好用的全屏幕文本編輯器。

vi有兩種模式，即編輯模式和命令模式。編輯模式用來輸入文字資料，而命令模式用來下達一些編排文件、存檔以及離開vi等等的操作命令。

進入vi：直接輸入vi<文件名>

離開vi：命令模式下鍵入:q，:wq指令則是存盤后再離開

模式切換：切換到命令模式下需按Esc鍵2.4Unix網絡配置2.4.1網絡配置文件1./etc／hosts文件該文件的目的是提供簡單的主機名到IP地址的轉換。一個例子，其中以“#”打頭的行表示注釋：#IPADDRESS FQDN ALIASES localhost3 host16 host2 host2

2.4Unix網絡配置 2./etc/ethers文件

當一個主機在本地網絡上，并知道其IP地址時，TCP/IP將它轉換成實際的以太網地址。這可以通過地址轉換協議（ARP），或者創建一個／etc／ethers文件并由該文件列出所有的以太網地址列表來實現。該文件的格式是：前面是以太網地址，后面是正式的主機名，例如：#EthernetAddress Hostname5:2:21:3:fc:1a host12:54:12:4:54:7f host2e1:0:c1:1:9:23 host32.4Unix網絡配置2.4Unix網絡配置4./etc/protocols文件 該文件提供了一個已知的DARPAInternet協議的列表。下例每行包含了協議名、協議號以及該協議的別名：#Internet（IP）protocolsip 0 IP #internetprotocol,pseudoprotocolnumbericmp 1 ICMP #internetcontrolmessageprotocolggp 3 GGP #gatewaytogatewayprotocoltcp 6 TCP #transmissioncontrolprotocolegp 8 EGP #exteriorgatewayprotocolpup 12 PUP #PARCuniversalpacketprotocoludp 17 UDP #userdatagramprotocolhello 63 HELLO #HELLORoutingProtocol

2.4Unix網絡配置5./etc/services文件 該文件提供了可用的服務列表。對每一個服務，文件中的每一行提供了下述信息： 正式服務名、端口號、協議名、別名#NetworkservicesInternetstyle#echo 7/tcpecho 7/udpdiscard 9/tcp sink nulldiscard 9/udp sink nullsystat 11/tcpftp 21/tcptelnet 23/tcp2.4Unix網絡配置2.4.2Unix文件訪問控制

Unix系統的資源訪問控制是基于文件的，為了維護系統的安全性，系統中每一個文件都具有一定的訪問權限，只有具有這種訪問權限的用戶才能訪問該文件，否則系統將給出PermissionDenied的錯誤信息。有三類用戶：用戶本人、用戶所在組的用戶、其它用戶

允許權：

R--讀 W--寫 X--執行 允許權組：A--管理員（所有權利） V--屬主 G--組 O--其他每個人2.4Unix網絡配置2.4.3NFS文件訪問系統的安全

任一臺主機都可以做NFS服務器或者NFS客戶。或者二者兼而有之。 用戶最常犯的錯誤只是簡單的NFS設置錯誤，設置有錯誤的NFS主機到處都是。 由于NFS對用戶的認證非常簡單，并且對NFS設置錯誤的例子比比皆是。因此NFS對網絡安全的危害是非常巨大的。 首先，對可以安裝調出文件卷的主機沒有限制，將使得任何主機都可以安裝，因此攻擊者所在的主機也一樣可以安裝它。即使沒有其它權限，攻擊者通過這一步便已看到了系統的許多信息。2.4Unix網絡配置 其次，沒有明確地設置調出文件卷為只讀，則調出文件卷在客戶端缺省為可讀、可寫。這時候攻擊者便可以增加，修改，刪除或替換NFS服務器上的文件。需要明確指出的是，調出文件卷缺省為可寫。 第三，許多主機常常將NFS服務器上的系統信箱和用戶主目錄所在的目錄調出。安裝這些目錄的用戶（攻擊者），只要具有文件屬主的UID和GID，便可以閱讀這些文件。這只要攻擊者在本機是超級用戶，那么他便可以用su命令變成任何普通用戶，或者諸如bin這類的特殊用戶。2.4Unix網絡配置 第四，有一些系統甚至將NFS服務器上的根目錄調出。這等于是將系統送到別人眼底。系統的一切秘密暴露無疑。攻擊者只需用命令“subin”變成bin用戶，或者與root同組的用戶，便可以替換系統一些啟動時的文件，或者在／（root用戶的主目錄），/bin（bin用戶的主目錄）下增加一個.rhosts文件。系統已經為外來用戶敞開了大門。2.4MOUNT命令的使用