第12章網(wǎng)絡(luò)操作系統(tǒng)平安12.1網(wǎng)絡(luò)平安的含義平安威脅：某個(gè)實(shí)體(人、事件、程序等)對(duì)某一資源的機(jī)密性、完整性、可用性和可控性在合法使用時(shí)可能造成的危害。根本平安威脅：信息泄露

------------>機(jī)密性完整性破壞------------>完整性

拒絕效勞

------------>

可用性非法使用------------>可控性可實(shí)現(xiàn)威脅〔可以直接導(dǎo)致某一根本威脅的實(shí)現(xiàn)〕主要包括滲入威脅和植入威脅。主要的滲入威脅有：假冒；旁路；授權(quán)侵犯主要的植入威脅有：特洛伊木馬；陷門2整理ppt12.1網(wǎng)絡(luò)平安的含義網(wǎng)絡(luò)平安是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)平安四個(gè)特征：

保密性：信息不泄露給非授權(quán)用戶實(shí)體或過程的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性?？煽匦裕簩?duì)信息的傳播及內(nèi)容具有控制能力。3整理ppt12.2網(wǎng)絡(luò)平安策略物理平安策略訪問控制策略入網(wǎng)訪問控制目錄級(jí)平安控制屬性平安控制網(wǎng)絡(luò)效勞器平安控制網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的平安控制防火墻控制信息加密策略

網(wǎng)絡(luò)平安管理策略4整理ppt12.3Windows2000系統(tǒng)及效勞平安管理Windows2000的系統(tǒng)平安策略帳戶平安管理端口限制設(shè)置訪問控制權(quán)限關(guān)閉不必要的效勞或組件審核策略5整理ppt12.3Windows2000系統(tǒng)及效勞平安管理帳戶平安管理將administrator用戶改名，并設(shè)置較為復(fù)雜的密碼禁用guest用戶取消除管理員以外所有用戶屬性中的“遠(yuǎn)程控制啟用遠(yuǎn)程控制〞以及“終端效勞配置文件允許登陸到終端效勞〞禁用除管理員、IUSER以及ASPNET用戶外，其他的一切用戶。包括SQLDEBUG及TERMINALUSER等6整理ppt12.3Windows2000系統(tǒng)及效勞平安管理Windows2000的系統(tǒng)平安策略帳戶平安管理端口限制設(shè)置訪問控制權(quán)限關(guān)閉不必要的效勞或組件審核策略7整理ppt12.3Windows2000系統(tǒng)及效勞平安管理端口限制入侵者要做的第一件事通常是掃描有漏洞的效勞。其防范的措施是，將所需效勞的端口翻開，其他端口一律屏蔽。以一臺(tái)標(biāo)準(zhǔn)虛擬主機(jī)效勞器為例，需開通的端口包括：80——WEB效勞器20——FTP數(shù)據(jù)傳輸21——FTP命令通道25——SMTP簡(jiǎn)單郵件發(fā)送端口53——DNS域名解析效勞端口110——POP3郵件接收效勞端口143——IMAP郵件接收效勞端口8整理ppt12.3Windows2000系統(tǒng)及效勞平安管理需格外注意的端口：1433、3306——SQLSERVER和MYSQL數(shù)據(jù)庫端口3389——Win2000遠(yuǎn)程登錄端口139、445——文件共享端口9整理ppt12.3Windows2000系統(tǒng)及效勞平安管理常見的木馬和病毒程序端口：2000、2001——黑洞〔木馬〕默認(rèn)端口7306——網(wǎng)絡(luò)精靈〔木馬〕7626——冰河〔木馬〕8000——OICQServer、灰鴿子〔病毒〕12345、12346——netbus木馬5022——華夏同盟遠(yuǎn)程控制〔黑客第一門戶〕8181——上興遠(yuǎn)控默認(rèn)端口10整理ppt12.3Windows2000系統(tǒng)及效勞平安管理Windows2000的系統(tǒng)平安策略帳戶平安管理端口限制設(shè)置訪問控制權(quán)限關(guān)閉不必要的效勞或組件審核策略11整理ppt12.3Windows2000系統(tǒng)及效勞平安管理設(shè)置訪問控制權(quán)限對(duì)所有的盤符設(shè)置administrator組和system用戶擁有全部權(quán)限，其他用戶只讀。C:\ProgramFiles\CommonFiles及C:\WINNT目錄對(duì)Everyone開放讀取、運(yùn)行、列出文件目錄三個(gè)權(quán)限C:\WINNT\Temp目錄對(duì)Everyone開放讀取、運(yùn)行、列出文件目錄、寫入權(quán)限修改CMD.EXE及NET.EXE權(quán)限〔僅管理員擁有所有權(quán)限，其他用戶不具備對(duì)該文件的訪問權(quán)〕12整理ppt12.3Windows2000系統(tǒng)及效勞平安管理設(shè)置訪問控制權(quán)限WEB站點(diǎn)目錄權(quán)限Administrator、system擁有全部權(quán)限IUSER〔Internet來賓用戶〕擁有讀取、寫入、修改權(quán)限13整理ppt12.3Windows2000系統(tǒng)及效勞平安管理Windows2000的系統(tǒng)平安策略帳戶平安管理端口限制設(shè)置訪問控制權(quán)限關(guān)閉不必要的效勞或組件審核策略14整理ppt12.3Windows2000系統(tǒng)及效勞平安管理關(guān)閉不必要的效勞或組件ComputerBrowser：提供網(wǎng)絡(luò)中的計(jì)算機(jī)列表Messenger：信使效勞PrintSpooler：將文件加載到內(nèi)存中以便打印RemoteRegistry：遠(yuǎn)程管理本地系統(tǒng)Telnet：允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序TCP/IPNetBIOSHelper：NetBIOS名稱解析15整理ppt12.3Windows2000系統(tǒng)及效勞平安管理Windows2000的系統(tǒng)平安策略帳戶平安管理端口限制設(shè)置訪問控制權(quán)限關(guān)閉不必要的效勞或組件審核策略16整理ppt12.3Windows2000系統(tǒng)及效勞平安管理審核策略Windows2000提供了一項(xiàng)平安審核功能，可以用日志的形式記錄各種與平安相關(guān)的事件，可使用其中的信息來生成一個(gè)有規(guī)律活動(dòng)的概要文件，發(fā)現(xiàn)和跟蹤可疑事件，并留下關(guān)于某一侵入者活動(dòng)的有效法律證據(jù)。本地平安策略本地策略審核策略17整理ppt12.3Windows2000系統(tǒng)及效勞平安管理策略更改：平安策略更改，包括特權(quán)指派、審核策略修改和信任關(guān)系修改。這一類必須同時(shí)審核它的成功或失敗事件。登錄事件：對(duì)本地計(jì)算機(jī)的交互式登錄或網(wǎng)絡(luò)連接。這一類必須同時(shí)審核它的成功和失敗事件。對(duì)象訪問：必須啟用它以允許審核特定的對(duì)象，這一類需要審核它的失敗事件。過程追蹤：詳細(xì)跟蹤進(jìn)程調(diào)用、重復(fù)進(jìn)程句柄和進(jìn)程終止，這一類可以根據(jù)需要選用。目錄效勞訪問：記錄對(duì)ActiveDirectory的訪問，這一類需要審核它的失敗事件。18整理ppt12.3Windows2000系統(tǒng)及效勞平安管理特權(quán)使用：某一特權(quán)的使用；專用特權(quán)的指派，這一類需要審核它的失敗事件。系統(tǒng)事件：與平安(如系統(tǒng)關(guān)閉和重新啟動(dòng))有關(guān)的事件；影響平安日志的事件，這一類必須同時(shí)審核它的成功和失敗事件。賬戶登錄事件：驗(yàn)證(賬戶有效性)通過網(wǎng)絡(luò)對(duì)本地計(jì)算機(jī)的訪問，這一類必須同時(shí)審核它的成功和失敗事件。賬戶管理：創(chuàng)立、修改或刪除用戶和組，進(jìn)行密碼更改，這一類必須同時(shí)審核它的成功和失敗事件。19整理ppt12.4Linux系統(tǒng)平安數(shù)據(jù)包進(jìn)入主機(jī)的流程dd.confTCP/IPpacketIPFilterTCPWrappersWWW設(shè)置本機(jī)的文件系統(tǒng)資源Client20整理ppt12.4Linux系統(tǒng)平安Linux主機(jī)能做的保護(hù)：文件系統(tǒng)權(quán)限設(shè)置防火墻設(shè)置監(jiān)聽網(wǎng)絡(luò)效勞軟件更新SELinux21整理ppt12.4Linux系統(tǒng)平安防火墻設(shè)置列出防火墻過濾表中的規(guī)那么去除本機(jī)防火墻過濾的所有規(guī)那么數(shù)據(jù)包的比對(duì)設(shè)置#iptable–L-n#iptable-F#iptable-X#iptable-Z#iptable-AINPUT–Ieth0-s0-jDROP#iptable-AINPUT–Ieth0-s/24-jACCEPT22整理ppt12.4Linux系統(tǒng)平安防火墻設(shè)置端口設(shè)置保存防火墻的設(shè)置#iptables–save>/etc/sysconfig/iptables

#iptables–AINPUT–Ieth0–pudp--sport67:68--dport67:68–jACCEPT

23整理ppt12.4Linux系統(tǒng)平安監(jiān)聽網(wǎng)絡(luò)效勞——Netstat命令列出在監(jiān)聽的網(wǎng)絡(luò)效勞列出已連接的網(wǎng)絡(luò)聯(lián)機(jī)狀態(tài)刪除已建立或在監(jiān)聽中的連接先找出該聯(lián)機(jī)的PID，然后將它刪除#netstat-tun#netstat-tunl

#netstat–tunp#kill-9PID24整理ppt12.4Linux系統(tǒng)平安RedHatSELinuxRedHatEnterpriseLinuxAS3.0/4.0中平安方面的最大變化就在于集成了SELinux的支持。SELinux的全稱是Security-EnhancedLinux，是由美國(guó)國(guó)家平安局NSA開發(fā)的訪問控制體制。SELinux可以最大限度地保證Linux系統(tǒng)的平安，它將Linux系統(tǒng)的平安從C2級(jí)提升到B1級(jí)SELinux的策略分為兩種，一個(gè)是目標(biāo)(targeted)策略，另一個(gè)是嚴(yán)格(strict)策略。目標(biāo)策略僅針對(duì)局部系統(tǒng)網(wǎng)絡(luò)效勞和進(jìn)程執(zhí)行SELinux策略，而嚴(yán)厲策略是執(zhí)行全局的NSA默認(rèn)策略。25整理ppt12.4Linux系統(tǒng)平安SELinux的配置文件是/etc/selinux/config可用getenforce和setenforce命令查看和設(shè)置SELinux的當(dāng)前工作模式其兩種模式為：Enforcing|Permissive(1|0)一般測(cè)試過程中使用“permissive〞模式，這樣僅會(huì)在違反SELinux規(guī)那么時(shí)發(fā)出警告，然后修改規(guī)那么，最后由用戶決定是否執(zhí)行嚴(yán)格“enforcing〞的策略，禁止違反規(guī)那么策略的行為。修改配置文件/etc/selinux/config后，需要重啟系統(tǒng)來啟動(dòng)SELinux新的工作模式。26整理ppt12.4Linux系統(tǒng)平安命令sestatus可查詢SELinux的狀態(tài)，如：是否激活、selinuxfs的掛接狀態(tài)、當(dāng)前的策略模式和版本等。命令sestatus執(zhí)行結(jié)果列出如下27整理ppt12.4Linux系統(tǒng)平安案例在Apache效勞器中配置站點(diǎn)，不使用系統(tǒng)默認(rèn)的/var/www/html作為站點(diǎn)的DocumentRoot，自己新建一個(gè)目錄〔/myweb/zjz〕后修改/etc/d/conf/d.conf中的配置，重啟Apache，出現(xiàn)報(bào)錯(cuò)：Documentrootmustbeadirectory或站點(diǎn)無法訪問。2