操作系统管理与网络安全

1、 操作系统管理与网络安全一、 SCO OPEN SERVER 5.0（UNIX5.0） （一）安全管理 1. Unix系统的安全等级标准达到C2级，它的基本安全机制（1） 用户帐号    用户帐号就是用户在UNIX系统上的合法身份标志，其最简单的形式是用户名/口令。在UNIX系统内部，与用户名/口令有关的信息存储在/etc/passwd文件中，一旦当非法用户获得passwd文件时，虽然口令是被加密的密文，但如果口令的安全强度不高，非法用户即可采用“字典攻击”的方法枚举到用户口令，特别是当网络系统有某一入口时，获取passwd文件就非常容易。  

2、(2)文件系统权限     UNIX文件系统的安全主要是通过设置文件的权限来实现的。每一个UNIX文件和目录都有18种不同的权限，这些权限大体可分为 3类，即此文件的所有者、组和其他人的使用权限如只读、可写、可执行、允许SUID和SGID等。需注意的是权限为允许SUID、SGID和可执行文件在程序运行中，会给进程赋予所有者的权限，若被入侵者利用，就会留下隐患，给入侵者的成功入侵提供了方便。  (3)日志文件     日志文件是用来记录系统使用状况的。UNIX中比较重要的日志文件有3种：1/usr/adm/

3、lastlog文件。此文件用于记录每个用户最后登录的时间（包括成功和未成功的），这样用户每次登录后，只要查看一下所有帐号的最后登录时间就可以确定本用户是否曾经被盗用。                                     

4、   2/etc/utmp和/etc/wtmp文件。utmp文件用来记录当前登录到系统的用户，Wtmp文件则同时记录用户的登录和注销。           3/usr/adm/acct文件。此文件用于记录每个用户运行的每条命令，通常我们称之为系统记帐。2、风险防范：由于UNIX系统设计基于一种开放式体系结构，系统中紧密集成了通信服务，但存在一定程度的安全漏洞，容易受到非法攻击，通过多年的实践证明，加强安全防范，特别是针对一些可能的网络攻击采取一定的安全防范措施，UN

5、IX网络系统的安全性就可以大大提高。 网络系统的攻击者可能是非法用户，也可能是合法用户，因此，加强内部管理、防范与外部同样重要。可实施以下策略进行防范。 （1）加强用户权限管理。为了保护UNIX系统资源安全，即使是对合法用户也必须采用最小权限法，即给每个用户只授予完成特定任务所必需的系统访问权限。通常可以采用给每一个用户建立请求文件和资源访问许可权的程序，给定每个用户要处理的任务权限及任务的持续时间等。        （2）加强用户口令管理和更新。口令通常是较容易出现问题的地方，即使口令被加密，也容易在非

6、法入侵者的“猛烈攻击”下被攻破。金融系统通常是一个群体工作环境，工作中经常存在各种授权，银行的柜台活动也处在电视监控之下，口令泄露机会较多。因此，一方面要强制使用安全口令（使用非字母字符、大小写字母混用、规定口令最小长度不得少于6位数，最好8位数、使用强加密算法等);另一方面系统管理员要主动定期使用口令检查程序(如:Crack)对口令文件进行检查，若口令不合乎安全规范，则需及时更换口令。还可以采用一定的技术手段，增加“字典攻击”的难度，如改变口令加密算法中的加密参数，然后加密口令，这样除非攻击者同样改变了此参数，否则就得不到正确的口令。Crack下载地址为/p

7、ub/tools/crack。        （3）设置防火墙。将网络系统内部分为多个子网，分级进行管理，这样可以有效地阻止或延缓入侵者的侵入。通常防火墙设置在内部网络与外部网络的接口处，防火墙从功能和实现机制上分为数据包过滤、代理服务器两大类，两者在安全防护上各有特点，因此，一个比较完善的防护隔离体系就是将两种防火墙结合起来，形成屏蔽子网体系结构，此举可大大提高内部网络的安全系数。但是，防火墙只能防护外部网络对内部网络的攻击，无法防护由内部网络发起的攻击或者拥有合法访问权限的内部人员从外部发起的攻击，并且防火墙无法防护内外

8、网络之间有其它不通过防火墙的通路。总之，防火墙需要与其它机制配合才能适应新的威协。        （4）定期对网络进行安全漏洞检测。网络安全是千变万化的，所以保护措施也应该是动态的，没有固定的模式可循，作为UNIX系统的管理人员,也要尝试定期对网络服务器进行攻击测试，这样既可以分析和探索试图入侵者的攻击思路，同时又可以及时发现系统安全保护机制中的潜在问题，及时进行有效防范。        （5）制定相应的灾难恢复计划。没有一种安全策略是十全十美的，因此根据

9、可能发生的情况制定相应的灾难恢复计划是非常有必要的。一是定时对网络系统上各个计算机的系统文件、数据库文件进行备份。二是对网络系统和通讯系统备份，在系统万一遇到恶意攻击、软件故障、硬件故障、用户错误、系统管理员错误等灾难后，可以及时采取相应的对策，恢复系统的正常运行，尽可能将损失减少到最小程度。 3、加强网络系统服务的安全手段和工具（1）直接配置检查。使用COPS(Computer Oracle Password and Seurity system)从系统内部检查常见的UNIX安全配置错误与漏洞，如关键文件权限设置、ftp权限与路径设置、roo

10、t路径设置、口令等等，指出存在的失误，减少系统可能被本地和远程入侵者利用的漏洞。COPS软件信息可访问http:/www.jordanpan。       （2）使用记录工具记录所有对UNIX系统的访问。大多数现成的UNIX应用系统可以通过Syslog来记录事件，这是UNIX系统提供的集中记录工具。通过每天扫描记录文件/var/adm/messaged，并可通过配置Syslog，把高优先级的事件及时传送给系统安全员处理。另一个有用工具是TCP  Wrappers，应用此软件可以解决UNIX网络系统安全监视和过滤问题，本软件将

11、所有TCP连接试图(无论成功与否)，都记录到一个文本文件里，文本文件具体内容包括请求的源地址、目的地址、TCP端口和请求时间等。通过监视TCP  Wrappers记录，查看所有未遂连接试图，并可以通过配置，由TCP  Wrappers来根据某些因素，如源或目的TCP端口、IP地址等接受或者拒绝TCP连接。TCP  Wrappers软件下载地址为ftp:/ftp.win.tue.nl/pub/security。       （3）远程网络登录服务。此服务是我们使用最频繁的，UN

12、IX系统提供了telnet和ftp远程登录，当使用telnet或ftp登录时，用户名和口令是明文传输的，这就可能被网上其他用户截获。入侵者也经常使用telnet或 ftp对网络系统发动“猛烈攻击”。我们知道，无论是Windows还是Unix操作系统，都有端口号这个概念，计算机之间的通讯，是通过对应的端口号实现的。一般系统都用缺省的端口号，比如Ftp的端口号为21，Telnet的端口号为23，Http的端口号为80 等，当我们使用Telnet登录到其它计算机上时，系统就使用默认端口号23，这是很不安全的。可以更改Telnet和Ftp端口号，具体为编辑/etc/services

13、文件，找到想要修改的Telnet和Ftp行，修改端口号，比如把Telnet的23/tcp改成6364/tcp，但不要用/etc/services文件中已存在的端口号。这样使用Telnet命令登录到该主机时，必须给出端口号，即用Telnet xxx.xxx.xxx.xxx 6364 才能进行登录，否则会被系统拒绝。通过修改端口号可以使不知道相应端口号的远程用户不能登录，进一步提高了系统的安全性。只有针对UNIX网络系统存在的漏洞采取相应的安全保护措施，才能遏制金融计算机犯罪率。但在客观上要完全消除UNIX网络系统的安全隐患非常困难，一是因为UNIX系统本身是一种非常

14、复杂的系统，二是因为UNIX系统数年来在各领域的广泛使用，使得它成为被研究得最透彻的系统之一。通常入侵者发动的攻击形式是极其复杂的，保护UNIX系统安全的关键是针对入侵者可能发动的攻击制定出一系列切实可行的安全防范策略，使各种攻击在多样化的安全防范措施面前不能轻易得逞。在对IP级安全实施加固之后(如设立安全IP包、过滤防火墙等)，还必须对传输层和应用层的安全进行加固，同时要在金融系统内部建立一整套网络系统安全管理规章和防范措施，经常进行监督检查，使安全管理规章和防范措施落到实处。要使每一位员工都有防范金融计算机犯罪的概念，了解其作案的手法及产生的危害，提高全员主动防范意识，这样才能真正有效地预

15、防金融计算机案件的发生。 （二）配置网络1 、 增加网卡并配置tcp/ip:以root用户登录系统#netconfighardwareadd new lan adapter找到网卡，安装相应的驱动程序，选中TCP/IP协议，再选择ADD，输入机器名、ip地址、子网掩码，然后重新链核心，重启机器。2、增加网关：以root用户登录系统#cd /etc#vi gateway编辑一个geteway文件，内容为：root add *.*.*.*(本地网关ip地址) 1#chmod 666 gateway给这个gateway文件赋予可执行权限#cd /etc#vi tcp编辑tc

16、p文件，在这个文件中第3个stop前增加一行gateway（二）监测网络状态#ping *.*.*.*（同网段内的地址）#ping *.*.*.* （不同网段的地址）#ping -c 10 *.*.*.*可以通过下面的系统命令和配置文件来跟踪入侵者的来源路径：  1.who-(查看谁登陆到系统中)  2.w-(查看谁登陆到系统中，且在做什么)  3.last-(显示系统曾经被登陆的用户和TTYS）  4.lastcomm-(显示系统过去被运行的命令)  stat-(可以查看现在的网络状态，如telnet到你机器上来的用户的IP地址,还有一些其它

17、的网络状态。)  6.查看router的信息。  7./var/log/messages查看外部用户的登陆状况  8.用finger 查看所有的登陆用户。  9.查看用户目录下/home/username下的登陆历史文件(.history.rchist,etc).（三）故障诊断及排除1、检查网卡后面的指示灯状态，判断是否网线不通或网络有问题。2、重启系统，察看设备列表中网络适配器状态是否正常，或者直接查看/usr/adm/whconfig文件。3、用netconfig命令查看网络配置是否正确。4、检查gateway文件内容、权限、位置是否正确。

18、Ping任何地址都不通（timeout）的情况，用1、检测，ping任何地址都有错误提示（no route）一闪而过时用2、3检测，ping同网段地址通，不同网段地址不通的用4、检测。二、 windows2000 （一） 安全管理1、 安全模式： Windows 2000 安全模型的主要功能是用户身份验证和访问控制。用户身份验证: Windows 2000 安全模型包括用户身份验证的概念，这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中，安全性系统提供了两种类型的身份验证：交互式登录(根据用户的本地计算机或 Active Directory 帐户确认用户的身份)和网络身份验

19、证（根据此用户试图访问的任何网络服务确认用户的身份）。为提供这种类型的身份验证，Windows 2000 安全系统包括了三种不同的身份验证机制：Kerberos V5、公钥证书和 NTLM（与 Windows NT 4.0 系统兼容）。基于对象的访问控制：通过用户身份验证，Windows 2000 允许管理员控制对网上资源或对象的访问。Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组，以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都

20、是对象的实例。通过管理对象的属性，管理员可以设置权限，分配所有权以及监视用户访问。管理员不仅可以控制对特殊对象的访问，也可以控制对该对象特定属性的访问。例如，通过适当配置对象的安全描述符，用户可以被允许访问一部分信息，如只访问员工姓名和电话号码而不能访问他们的家庭住址。Active Directory 和安全性：Active Directory 通过使用对象和用户凭据的访问控制提供了对用户帐户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控制信息，因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。例如，用户登录到网络时，Windows 2000

21、 安全系统通过存储在 Active Directory 上的信息来验证用户。然后，当用户试图访问网络上的服务时，系统检查由任意访问控制列表为这一服务定义的属性。由于 Active Directory 允许管理员创建组帐户，因此管理员可以更有效地管理系统的安全性。例如，通过调节文件属性，管理员可以允许组中的所有用户读取文件。这样，访问 Active Directory 中的对象以组成员为基础。2、 控制对象的访问（1）.设置、查看、更改或删除文件和文件夹权限步骤1 打开 "Windows 资源管理器"，然后定位到用户要设置权限的文件和文件夹。步骤2 右键单击该文件或文件夹，单

22、击"属性"，然后单击"安全"选项卡，步骤3 执行以下任一项操作： 要设置新组或用户的权限，请单击"添加"。按照域名名称的格式键入要设置权限的组或用户的名称，然后单击"确定"关闭对话框。 要更改或删除现有的组或用户的权限，请单击该组或用户的名称。 步骤4 如果必要，请在"权限"中单击每个要允许或拒绝的权限的"允许"或"拒绝"。 或者，若要从权限列表中删除组或用户，请单击"删除"。 注意：只能在格式化为使用 N

23、TFS 的驱动器上设置文件和文件夹权限。 要更改访问权限，用户必须是所有者或已经由所有者授权执行该操作。 无论保护文件和子文件夹的权限如何，被准许对文件夹进行完全控制的组或用户都可以删除该文件夹内的任何文件和子文件夹。 如果"权限"下的复选框为灰色，或者没有"删除"按钮，则文件或文件夹已经继承了父文件夹的权限。（2）.设置、查看或删除共享文件夹或驱动器的权限步骤1 打开 "Windows 资源管理器"，然后定位到要设置权限的共享文件夹或驱动器。步骤2 右键单击共享文件夹或驱动器，然后单击"共享&

24、quot;。步骤3 在"共享"选项卡上，单击"权限"。步骤4 要设置共享文件夹权限，请单击"添加"。键入要设置权限的组或用户的名称，然后单击"确定"关闭对话框。要删除权限，请在"名称"中选择组或用户，然后单击"删除"。步骤5 在"权限"中，如果需要，请对每个权限单击"允许"或"拒绝"。3、事件的审核：（1）设置、查看、更改或删除文件或文件夹的审核步骤1 打开 "Windows 资源管理器"，然后定

25、位到想要审核的文件和文件夹步骤2 右键单击该文件或文件夹，单击"属性"，然后单击"安全"选项卡步骤3 单击"高级"，然后单击"审核"选项卡 ， 步骤4 执行以下任一项操作：要设置新组或用户的审核，请单击"添加"。在"名称"中，键入新的用户名，然后单击"确定"，自动打开"审核项"对话框。要查看或更改现有组或用户的审核，请单击相应的名称，然后单击"查看/编辑"。要删除现有组或用户的审核，请单击相应的名称，然后单击&quo

26、t;删除"。跳过步骤 5、6、7。步骤5 如果有必要，请在"审核项"对话框中的"应用到"列表中选择要进行审核的位置"应用到"列表只能用于文件夹步骤6 在"访问"下，单击要审核的访问的"成功"或"失败"，或这两项步骤7 如果要阻止目录树中的文件和子文件夹继承这些审核项，请选中"仅对此容器内的对象和/或容器应用这些审核项"复选框注意：在 Windows 2000 审核对文件和文件夹的访问之前，用户必须使用"组策略"管理单元来启用&

27、quot;审核策略"中的"审核对象访问"设置。否则，在设置文件和文件夹的审核时，将收到错误信息且不会审核任何文件或文件夹。启用了"组策略"中的审核之后，请查看"事件查看器"中的安全日志，以检查试图访问审核的文件和文件夹是成功还是失败。只能在格式化为使用 NTFS 的驱动器上设置文件和文件夹审核。因为安全日志有大小限制，用户应当仔细选择要审核的文件和文件夹。还应该考虑到用于安全日志的磁盘空间的大小。其最大空间是在"事件查看器"中定义的。（2）.查看安全日志步骤1 打开"事件查看器"步骤2

28、 双击"安全日志"， 步骤3 在详细信息窗格中，检查审核事件列表。4、安全配置：（1） 及时安装补丁：微软的产品是以Bug & Patch而著称的，要及时安装微软发布的每一个补丁，其次补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的作用。（2） 组件的定制：WIN2000在默认情况下会安装一些常用的组件，但正是这个默认安装是极度危险的。你应该确切知道你需要哪些服务，而且仅仅安装你确实需要的服务。根据安全原则，最少的服务+最小的权限=最大的安全。如果你确实需要安装其他组件，请慎重

29、，特别是：Indexing Service，FrontPage 2000 Server Extensions，Internet Service Manager(HTML)这几个危险服务。（3）IIS：IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又很不安全，在不用这个服务时，一般可以把IIS服务禁用，如果确实需要，对IIS的配置有以下建议：首先，把C盘Inetpub目录彻底删掉，在D盘建一个Inetpub在IIS管理器中将主目录指向D:/Inetpub；其次，那个IIS安装时默认的scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己慢慢建，

30、需要什么权限开什么。应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指出的是ASP ASA和其他你确实需要用到的文件类型，实际上90%的主机有了上面两个映射就够了。接着在应用程序调试书签内将脚本错误消息改为发送文本，错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件。大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一

31、般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手。最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。（二）网络配置在桌面上用鼠标右键单击网上邻居选择属性右键单击本地连接选择属性双击 tcp/ip，输入ip地址、子网掩码、网关。（二） 监测网络状态开始运行c

32、md进入命令行方式：ping *.*.*.*（同网段内的地址）ping *.*.*.* （不同网段的地址） ping *.*.*.* -n 10 （三） 故障诊断及排除：1、检查网卡后面的指示灯状态，判断是否网线不通或网络有问题。、开始设置控制面板性能和维护系统硬件设备管理器中检查网络适配器的状态，前面有黄色的惊叹号的为状态不正常的，一般重新安装驱动程序可以解决。、检查网络配置（相关协议、服务及网关的设置），具体见二、（二）配置一节。三、 关于端口和套接字（socket）   网络程序设计全靠套接字接受和发送信息.尽管套接字这个词好象显得有些神秘,但其实这个概念极

33、易理解.    大多数网络应用程序使用两个协议:传输控制协议(TCP)和用户数据包协议(UDP).他们都使用一个端口号以识别应用程序.端口号为主机上所运行之程序所用,这样就可以通过号码象名字一样来跟踪每个应用程序.端口号让操作系统更容易的知道有多少个应用程序在使用系统,以及哪些服务有效.    理论上,端口号可由每台主机上的管理员自由的分配.但为了更好的通信通常采用一些约定的协议.这些协议使能通过端口号识别一个系统向另一个系统所请求的服务的类型.基于如此理由,大多数系统维护一个包含端口号及它们所提供哪些服务的文件.  

34、60; 端口号被从1开始分配.通常端口号超出255的部分被本地主机保留为私有用途.1到255之间的号码被用于远程应用程序所请求的进程和网络服务.每个网络通信循环地进出主计算机的TCP应用层.它被两个所连接的号码唯一地识别.这两个号码合起来叫做套接字.组成套接字的这两个号码就是机器的IP地址和TCP软件所使用的端口号.    因为网络通讯至少包括两台机器,所以在发送和接收的机器上都存在一个套接字.由于每台机器的IP地址是唯一的,端口号在每台机器中也是唯一的,所以套接字在网络中应该是唯一的.这样的设置能使网络中的两个应用程序完全的基于套接字互相对话.

35、60;  发送和接收的机器维护一个端口表,它列出了所有激活的端口号.两台机器都包括一个进程叫做绑定,这是每个任务的入口,不过在两台机器上恰恰相反.换句话说,如果一台机器的源端口号是23而目的端口号被设置成25,那么另一台机器的源端口号设置成25目的端口号设置成23.*UNIX的套接口(Socket)编程简介网络编程，即编写通过计算机网络与其他程序进行通讯的程序。在目前的模式下，相互通信的网络程序中，一方称为客户程序(client)，另一方称为服务程序(server)，大多数操作系统都提供了编译好的网络程序，比如Web客户程序(浏览器)，Web服务器程序，以及FTP，Telnet等，