10第十一章操作系统管理

1、11.4 操作系统安全(Security)安全威胁(Types of Security Threats)身份认证(Authentication)程序威胁(Program Threats)威胁监测(Threat Monitoring)可信系统(Trusted System)威胁类型阻断(interruption) 系统资产被毁损或变成不可用、不能用 截取(interception) 非授权方得到系统资产，如盗取保密数据篡改(modification) 系统数据被非授权者改变伪造(fabrication) 非授权者将假对象加入系统 威胁类型阻断sourcedestination截取sourcede

2、stinationsourcedestination篡改sourcedestination伪造11.4.1闯入与身份认证 身份认证最常用的手段是口令 .口令加密后存储到系统的Password文件中用户口令在帐户建立时连同登录名字一起记载在系统password 文件中 Linux /etc/shadow UNIX /etc/passwd加密函数易于计算但难于取反 口令的选取 推荐选取原则 混合使用字母(大小写)、数字 .采用一个熟悉句字中出现的单词的首字母，如MfnisB (My Fathers Name is Bob) .UNIX口令 UNIX系统在加密之前对口令拼加“salt” salt是随

3、机产生的长度为12bit的附加位，将其与口令s（56bit）串接在一起，然后对其结果再运行crypt(3)算法，加密后的结果连同salt一起保存在passwd文件中10chars crypt(3)saltpassword12bit56 bitUser-id salt Epsw(s,salt)User-idUNIX口令载入 Passwd文件User-id salt Epsw(s,salt) User-id crypt(3)passwordcompareUNIX口令验证 Passwd文件口令猜测(password guessing)收集可能的口令, 形成口令词典;此项工作可增量式完成, 不断丰富通

4、过各种渠道获取某待攻击系统的passwd文件或shadow文件(离线)对口令词典中的每个口令, 运行加密算法(如crypt(3)算法), 得到加密后的口令,并与passwd或shadow中的加密口令逐一进行比较, 如有相同则猜中.Brute force成功率不可低估!UNIX口令与password guessing按上述方法, 对每个猜测的口令需要附加12位的salt, 增加4096种可能性, 大大增加了破解难度.但假如要猜测某指定用户的口令, salt是已知的(在passwd或shadow文件中), 是否增加破解难度?Salt不是concatenate到口令前或后部, 而是分散插入到口令原码

5、之中, 如何?如: 原口令: ICanPass; salt为saltedIsCalanPteasds问题: 正常口令对答时需要知道分散插入的位置一次性口令(one time password)原理基于单向函数 y=f(x) 给定x，可以很容易地计算y ; 给定y，从计算上来说不可能求得x ;用户首先选定一个保密口令s，同时指定一个整数n（口令使用次数） Password generation:第一代口令为p1=fn(s) ; 第二代口令为p2=fn-1(s) ;第三代口令为p3=fn-2(s) ;.第n代口令为pn=f(s) .一次性口令主机初始化P0=f(P1)和n记在password fi

6、le中 第一次登录 :主机响应n , 远程用户输入口令s, 在客户端计算出p1=fn(s)并传送给主机 ,主机计算出p0=f(p1)并将其与password file中的p0相比较 . 如果相同登录成功，主机用p1取代password file中的p0, 并将n减1 .一次性口令第二次登录 :主机响应n-1 , 远程用户输入口令s, 在客户端计算出p2=fn-1(s)并传送给主机 ,主机计算出p1=f(p2)并将其与password 文件中的p1相比较 . 如果相同登录成功，主机用p2取代password 文件中的p1, 并将n减1 .特点抗截取用户每次输入的口令不变, 都是s11.4.2 程

7、序威胁 寄生程序独立程序逻辑炸弹特洛伊木马陷阱门隐蔽通道病毒细菌蠕虫间谍软件复制恶意程序1. 逻辑炸弹(logic bomb) 逻辑炸弹是隐藏在合法程序中可以被某种条件触发而执行某种破坏性动作的代码 软件开发者可以采用这种手段制约使用者，以达到某种目的 ,逻辑炸弹程序的设计是容易的，一般编程人员都能实现，但要伪装得好、不易被发现，则需要一定的设计技巧和编程经验 .2.特洛伊木马(Trojan Horse) 特洛伊木马是嵌入于某合法程序中的秘密例程，合法程序的执行将导致秘密例程的执行，是具有伪装的攻击程序 .例如 甲欲得到乙的文件F, 因无权限不能直接访问，便编写一个游戏程序G并邀请乙玩，乙运行

8、G，这确实是一个游戏程序，但在后台G将F复制到甲用户的目录下，达到了文件窃取的目的 2. 特洛伊木马防止特洛伊木马 增强权限检查和控制，如限制存取灵活性 提高自我防范意识，慎重使用来历不明的软件 3. 后门(陷阱门，trapdoor) 后门是程序中绕过例行检查的入口这种非正常入口在程序开发过程中普遍存在，一旦系统发布所有后门均应关闭后门一般有两种情况 忘记关闭有意保留 分析证实Windows95/98都存在后门4. 隐蔽通道(covert channel)Lampson于1973年提出如果一个通道的设计既不是用于通信的，也不是用于传递信息的，则称其为隐蔽通道能让一个进程以违反系统安全策略的方式

9、传递消息的信息通道不受安全策略控制，违反安全策略的信息泄露途径 5. 病毒(virus) 病毒不是一个独立的程序，而是寄生于某一合法程序(通常是一个可执行程序)上的一段代码 ，其危害包括两个方面： 传播，使其它文件感染上该病毒； 破坏，具体破坏动作多种多样，如删除系统文件 . 5. 病毒(virus)病毒的个特性寄生性：依附某一合法程序(通常为可执行程序)，该合法程序的执行将触发病毒代码潜伏性：等待触发条件满足时，激发表现模块传染性：把病毒模块复制给其他未感染文件破坏性：删除文件, 破坏系统等5. 病毒(virus)病毒类型文件型病毒：可执行文件，可处于文件前部、后部或中间某处，通过文件头处的

10、跳转指令转到病毒代码内存驻留病毒：文件一旦执行，占据内存空间引导扇区病毒：开机时借助导引过程进入系统宏病毒：利用Word提供的宏功能，将病毒插入到带宏的doc文件中，由于宏允许包含任何程序，这样宏病毒可做任何事情电子邮件病毒：嵌入到附件中的word宏病毒，打开时病毒被激活。压缩病毒的感染过程P1P1CV压缩解压P2CV压缩解压P2感染程序被感染程序6. 细菌(bacteria) 独立程序, 消耗系统资源 .进程复制 eg. System call fork, spaw, etc.文件复制 make new bacteria file细菌可以指数级别增长 ，消耗 CPU资源 内存资源磁盘空间 7

11、. 蠕虫(worm) 危害：复制和传播，通过自身复制消耗系统资源，在网上从一个计算机传播到另一个计算机；除利用spawn复制和传播外，可能伴随执行不期望的动作. 8. 间谍软件(spyware)独立程序负责监视系统和用户活动，窃取敏感信息，用户名密码银行卡号信用卡号等将窃取的信息以加密的方式传给攻击者11.4.3 安全策略口令管理 初始口令当为给一个用户建立户头时, 为其规定一个登录口令 关卡口令 在某些关键目录、关键文件等设置口令, 可以防止非授权的用户对其进行访问, 达到保护的目的 主副口令 即设置两个口令: 一个为主口令, 另外一个为副口令. 主副口令分别由两个不同的用户掌握, 仅当二者

12、都在场时才能成功对答通过 防火墙(firewall) 防火墙是网络上分离可信系统(trusted system)与非可信系统(un-trusted system)的常用方法 介于可靠系统与非可靠系统之间的一台计算机或一个路由器构成作用 限制两个不同安全域之间的相互访问 动态监视和记录所有连接 防火墙(firewall)阻断某些协议通过允许http协议通过阻断finger等可能导致蠕虫攻击的协议通过通常将internet定义为不可信域内部局域网定义为安全域介于二者之间的域定义为非军事化区允许因特网到非军事化区的连接, 由局域网到因特网的连接不允许因特网到局域网的连接非军事化区到局域网的连接加密

13、加密的思想是伪装信息，使局外人不可理解信息的真正含义安全性取决于对密钥的管理 加密保护可以防止信息被截取(interception)不能防止信息被篡改(modification) 加密 加密和解密原理 一个加密系统可由五元组定义：S=P,C,K,E,D, 其中P为明文空间，C为密文空间，K为密钥空间，E为加密算法，D为解密算法. EDC=E(P,KE)PP=D(C,KD)KEKD审计(auditing) 审计作为事后追踪的手段来保证系统安全审计将涉及系统安全的操作记录在系统监听日志(audit log)中以便在发生安全问题后对违反系统安全规则的事件能够有效地追查事件发生时间、地点与过程 审计(auditing)审计记录的事件 使用识别和认证机制(如注册和退出过程)；修改系统或用户口令；不成功的登录操作；将某客体引入某个用户的地址空间(如打开文件)；删除客体；系统管理员和安全管理员执行的操作；对系统资源的访问；使用某种特权对系统资源进行访问.备份与恢复 抗御信息破坏(disruption)的安全措施导致信息破坏的原因可能是人为的，如文件被非法删除；也可能是自然原因造成的，如存储介质失效、自然灾害等；系统操作员必须定期地对系统中的重要数据进行转储. 11.4.4 可信系统在安全领域, 人们多谈可信系统, 而不是安全系统可信系统的规格比安全系统更高可信系统的核心是最小的可信计算基(Tr