CIS操作系统安全-v

操作系统安全培训机构名称讲师名称版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容2操作系统与数据库安全知识体知识域操作系统安全知识子域Windows系统安全机制操作系统安全概述Linux系统安全机制安全操作系统数据库安全知识域：操作系统安全知识子域：操作系统安全概念了解操作系统的作用与功能了解操作系统的主要安全设计机制理解操作系统的安全配置要点3操作系统的功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口4硬件：CPU、内存、硬盘、网络硬件等内核系统调用接口用户进程操作系统安全目标操作系统安全目标标识系统中的用户和进行身份鉴别依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问监督系统运行的安全性保证系统自身的安全和完整性5操作系统安全机制（一）标识与鉴别用户身份合法性鉴别操作系统登录访问控制防止对资源的非法使用限制访问主体对访问客体的访问权限DAC、MAC、RBAC最小特权管理限制、分割用户、进程对系统资源的访问权限“必不可少的”权限6操作系统安全机制（二）信道保护正常信道的保护可信通路（TrustedPath）安全键（SAK）7操作系统安全机制（三）安全审计对系统中有关安全的活动进行记录、检查以及审核审计一般是一个独立的过程内存存取保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护分区文件共享文件备份8知识域：操作系统安全知识子域：Windows系统安全机制理解Windows系统标识与鉴别、访问控制、用户账户控制、安全审计、文件系统的安全机制和安全策略掌握Windows系统的安全配置方法9Windows系统标识与鉴别-安全主体安全主体类型用户帐户本地用户域用户组帐户everyone组network组计算机服务10Windows系统标识识与鉴别别-安全标识识安全标识识符（SecurityIdentifier，SID）安全主体体的代表表（标识用户户、组和和计算机机账户的的唯一编编码）范例：S-1-5-21-1736401710-1141508419-1540318053-100011Windows系统标识识与鉴别别-用户鉴别12账户信息息管理机机制登录验证证本地登录录验证远程登录验验证Windows用户身份份鉴别帐号信息息存储（SAM:安全账号号管理））运行期锁锁定、存储格式加加密仅对system帐号有权权限，通通过服务务进行访访问控制Windows用户身份份鉴别：：本地登登录GINA（GraphicalIdentificationandAuthentication:图形化识别别和验证)LSA（LocalSecurityAuthority：本地安全授授权）13SAM账户信息库库GINALSAWindows系统身份份鉴别：：远程登登录远程登录录鉴别协协议SMB（ServerMessageBlock）:口令明文文传输LM（LANManager）：口令令哈希传传输，强强度低NTLM（NTLANManager）：提高高口令散散列加密密强度、、挑战/响应机制制Kerberos：为分布布网络提提供单一一身份验验证14Windows系统访问问控制-ACL访问控制制列表（（AccessControlList，ACL）NTFS文件系统支持权限存储流流文件系系统中自主访问控控制灵活性高高，安全全性不高高15Windows系统访问控制制-用户账户控制制用户帐户控制制（UserAccountControl，UAC）完全访问令牌牌标准受限访问问令牌16Windows文件系统安全全NTFS文件系统权限限控制（ACL）文件、文件夹夹、注册表键键值、打印机机等对象安全加密EFS(EFS(EncryptingFileSystem)Windows内置，与文件件系统高度集集成对windows用户透明对称与非对称称算法结合Bitlocker对整个操作系系统卷加密解决设备物理理丢失安全问问题17Windows系统审计机制制Windows日志系统应用程序安全设置应用程序和服务务日志应用访问日志FTP访问日志IIS访问日志18Windows系统安全策略略账户策略密码策略账户锁定策略略本地策略审核策略用户权限分配配安全选项……19Windows系统安全配置1、安全配置前置工工作2、账号安全设设置3、关闭自动播播放4、远程访问控控制5、本地安全策略略6、服务运行安全设设置7、使用第三方方安全增强软件20Windows安全设置1-前置工作安全的安装分区设置：不不要只使用一一个分区系统补丁：SP+Hotfix补丁更新设置：：检查更新自动下载安装装或手动21Windows安全配置2-账号安全设置置账号安全设置置系统账号策略略设置账号安全选项设置22账号安全设置置-保护账号安全全默认管理账户户administrator更名设置“好”的口口令自己容易记、、别人不好猜猜不安全口令实实例：ZAQ!@WSXzaq12wsx安全口令实例:WdSrS1Y28r!23一句话“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作变形：单数字母大写，，最后加个感感叹号账号安全设置置-系统账号策略略密码策略：避避免系统出现现弱口令密码必须符合合复杂性要求求密码长度最小小值密码最短使用用期限密码最长使用期期限强制密码历史用可还原的加加密来存储密密码24账号安全设置置-账号锁定策略略账号锁定策略略：应对口令令暴力破解账号锁定时间间账号锁定阀值值重置账号锁定计计数器25账号权限控制制-用户权限分配用户权限分配配从网络访问这这台计算机拒绝从网络访问这这台计算机管理审核和安全日志从远程系统强制制关机26账户权限控制制-设置唤醒密码设置唤醒计算算机时的登录密码设置屏幕保护恢复时的的登录密码27Windows安全配置3-自动播放功能的的威胁为方便用户而而设计恶意代码借助助移动存储介介质传播的方方式28Windows安全配置-关闭自动播放关闭自动播放功能可以有效阻断U盘病毒的传播路径径29Windows全配置4-远程访问控制制网络访问控制制共享安全防护30网络访问控制制-防火墙设置确保启用Windows自带防火墙31网络访问控制-防火墙高级配置置出站规则入站规则连接安全规则则监视防火墙连接安全规则则安全关联32共享安全防护护-共享安全风险险IPC$的安全问题（（空会话连接接导致信息泄泄露）管理共享风险险(远程文件操作作)普通共享的风风险（远程文文件操作）33系统用户列表用户信息共享列表……空会话连接共享安全防护护-关闭管理共享空会话连接控控制本地安全策略设设置中对匿名名访问的限制制关闭管理共享享：修改注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters34Windows安全设置5-本地安全策略略审核策略用户权限分配安全选项……35本地安全策略略-安全选项管理工具→本本地安全策略略→安全设置置→本地策略略→安全选项交互式登录：无须按按Ctrl+Alt+Del，设置为已禁禁用交互式登录：不显示示最后的用户名，设置置为已启用设备：将CD-ROM的访问权限仅仅限于本地登登录的用户，，设置为已启启用36本地安全策略略-安全选项管理工具→本本地安全策略略→安全设置置→本地策略略→安全选项项网络访问：不允许许SAM账号的匿名枚举，设设置为已启用网络访问：可可匿名访问的的共享，删除策略设置里的值网络访问：可可匿名访问的的命名管道，删除策略设置里的值网络访问：可可远程访问的的注册表路径径，删除策略设置里的值37Windows安全配置6-服务运行安全全Windows服务（windowsservice)Windows服务程序是一一个长时间运运行的可执行行程序，不需需要用户的交交互，也不需需要用户登录录38服务运行安全全设置-关闭不必要的的服务关闭不需要的的服务计划任务远程操作注册表表……控制服务权限限System(本地系统)LocalServiceNetworkService39Windows安全配置7-第三方安全软软件防病毒软件安全防护软件40安装防病毒软软件安装病毒防护护软件恶意代码是终终端安全的最最大威胁确保病毒防护护软件病毒库库更新病毒防护软件件主要工作机机制：特征码码扫描开启云查杀41系统安全防护护软件系统安全保护软软件影子系统主机入侵检测测42知识域：操作作系统安全43知识子域：Linux系统安全机制制理解Linux系统标识与鉴鉴别、访问控控制、安全审审计、文件系系统、特权管管理的安全机机制掌握Linux系统的安全配配置方法Linux系统标识与鉴鉴别-安全主体安全主体用户：身份标标识（UserID）组：身份标识识（GroupID）用户与组基本本概念文件必须有所所有者用户必须属于某个个或多个组用户与组的关关系灵活（一一对多、多对对多等都可以以）根用户拥有所有有权限44Linux系统标识与鉴鉴别-帐号信息存储储信息存储用户信息：/etc/passwd/etc/shadow组信息/etc/group/etc/gshadow45用户信息文件件-passwd用于存放用户户信息（早期期包括使用不不可逆DES算法加密形成成用户密码散散列）特点文本格式全局可读存储条目格式式name:coded-passwd:UID:GID:userinfo:homedirectory:shell条目例子demo:x:523:100:J.demo:/home/demo:/bin/sh46用户户名名早期期：：密密码码散散列列X:代替密密码码散散列列*:账号号不不可可交交互互登登录录用户户ID用户所所属属组组ID用户信信息息用户户目目录录用户户登登录录后后使使用用的的shell用户户帐帐号号影影子子文文件件-shadow用于于存存放放用用户户密密码码散散列列、、密密码码管管理理信信息息等等特点点文本本格格式式仅对对root可读读可可写写存储储条条目目格格式式name:passwd:lastchg:min:max:warn:inactive:expire:flag条目目例例子子#root:$1$acQMceF9:13402:0:99999:7:::47用户登登录录名名及及加加密密的的用用户户口口令令上次次修修改改口口令令日日期期口令令两两次次修修改改最最小小天天数数及及最最大大天天数数口令令失失效效前前多多少少天天向向用用户户警警告告被禁禁止止登登录录前前还还有有效效天天数数帐号号被被禁禁止止登登录录时时间间保留留域域Linux系统统身身份份鉴鉴别别口令令鉴鉴别别本地登登录录远程登登录录（（telnet、FTP等））主机机信信任任（（基基于于证证书书））PAM（PluggableAuthenticationModules,可插拔拔验验证证模模块））48………PAMAPI………logintelnetSSHLinuxKerberosS/keyPAMSPILinux系统统访访问问控控制制-权限限模模式式文件件/目录录权权限限基基本本概概念念权限限类类型型：：读读、、写写、、执执行行权限限表表示示方方式式：：模模式式位位drwxr-xr-x3rootroot1024Sep1311:58test49文件类型：d为文件夹-是文件文件拥有者的权限（U）文件拥有者所在组其他用户的权限（G）系统中其他用户权限（O）链接数文件拥有者UID文件拥有者GID文件大小最后修改时间文件名Linux系统统访访问问控控制制-权限限模模式式权限的的数数字字表表示示法法权限限的的特特殊殊属属性性SUID、SGID、Sticky（防防删删除除））50-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序序Linux系统统安安全全审审计计-日志志系系统统系统统日日志类类型型连接接时时间间日日志/var/log/wtmp和/var/run/utmp由多多个个程程序序执执行行，，记记录录用用户户登登录录时时间间进程程统统计由系系统统内内核核执执行行，，为为系系统统基基本本服服务务提提供供命命令令使使用用统统计计错误日日志/var/og/messages由syslogd守护护记记录录，，制制定定注注意意的的事事项项应用程程序序日日志应用程程序序如如（（HTTP、FTP）等等创创建建的的日日志志51Linux文件系系统统文件件系系统统类类型型日志志文文件件系系统：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件件系系统统安安全全访问权权限限文件件系系统统加加密密eCryptfs（EnterpriseCryptographicFilesystem）基于于内核核，，安安全全性性高高，，用用户户操操作作便便利利加密密元数据据写在每每个个加加密密文文件件的的头部，，方方便便迁迁移移，，备备份份52文件件系系统统目目录录结结构构53/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmpLinux系统的的特权权管理理特权划划分分割管理理权限，30多种管管理特特权根用户户（root）拥有所所有特特权普通用用户特特权操操作实实现setuidsetgid特权保护护：保保护root账号不直接接使用用root登录，，普通通用户户su成为root控制root权限使使用54Linux系统安安全设设置1、安全全配置置前置置工作作2、账号号和口口令安安全3、系统服服务配配置4、远程登登录安全5、文件件和目目录安安全6、系统统日志志配置置7、使用用安全全软件件55Linux设置——安全配置前前置工工作系统安安装使用官官方/正版软软件分区挂挂载重重要目目录根目录录（/）、用用户目目录（（/home）、临临时目目录（（/tmp）等应应分开到到不同同的磁磁盘分分区自定义义安装，，选择择需要要的软软件包包不安装装全部部软件件包，，尤其其是那那些不不需要要的网网络服服务包包系统补补丁及时安装系系统补丁更新补丁前前，要要求先先在测测试系系统上上对补补丁进进行可用性性和兼容容性验验证56Linux设置——账号和和口令令安全全账号通通用配配置保护root账号口令安安全策策略57账号和和口令令安全——账号通通用配置（（1）检查、清除系统中中多余账号检查#cat/etc/passwd#cat/etc/shadow清除多多余账账号锁定账账号特殊保留的系统统伪账户，可以以设置置锁定定登录录锁定命命令：：#passwd-l<用户名名>解锁命命令：：#passwd-u<用户名名>58账号和和口令令安全全——账号通通用配配置（2）禁用root之外的的超级级用户打开系统账账号文件/etc/passwd若用户ID=0，则表示该该用户拥拥有超超级用用户的的权限检查是是否有多个个ID=0禁用或或删除除多余余的账账号59账号和和口令令安全全——账号通通用配配置（3）检查是是否存存在空空口令令账号号执行命命令#awk-F:'(==""){print$1}'/etc/shadow如果存存在空空口令令账号号，则则对其其进行行锁定定，或或要求求增加加密码要确认空空口令令账户户是否否和已有应用关联，，增加加密码码是否否会引引起应应用无无法连连接的的问题题60账号和和口令令安全全——账号通通用配配置（（3）设置账账户锁锁定登登录失失败锁锁定次次数、、锁定定时间修改账账户超超时值值，设设置自自动注注销时时间61账号和和口令令安全全——保护root账号root账号权权限很很高保护措措施禁止使使用root登录系系统只允许许普通通用户户登陆陆，然然后通通过su命令切切换到到root不要随意把把rootshell留在终终端上上；不要把当前前目录录(“./””)和普通通用户户的bin目录放放在root账号的的环境境变量量PATH中永远不以root运行其其他用用户的的或不不熟悉悉的程程序62账号和和口令令安全全——口令安安全策策略口令安安全策策略要求使使用安安全口口令口令长长度、、字符符要求求口令修修改策策略强制口口令使使用有有效期期设置口口令修修改提提醒设置账账户锁锁定登登录失失败锁锁定次次数、、锁定定时间间63vi/etc/login.defPASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE28Linux设置——系统服服务配配置禁止危险的网络络服务telnet、FTPecho、chargen、shell、finger、NFS、RPC等关闭非必需需的网网络服务talk、ntalk等确保最新版版本使用当前最新和和最安安全的的版本的服务务软件件64关闭邮邮件服务：：chkconfig--level12345sendmailoff关闭图图形登登录服服务：：编辑辑/etc/inittab文件，修改为为id:3:initdefault:关闭Xfont服务：：chkconfigxfsoffLinux设置——远程登登录安安全禁用telnet,使用SSH进行管理限制能够登登录本本机的的IP地址禁止root用户远远程登登陆限定信任主主机修改banner信息65远程登登录安安全——使用SSH/限制登登录IP禁用telnet,使用SSH进行管管理开启ssh服务：：#servicesshdstart限制能够登录本本机的的IP地址#vi/etc/ssh/sshd_config添加（或修修改）：AllowUsersxyz@3允许用户xyz通过地址3来登录本机AllowUsers*@192.168.*.*仅允许/16网段所有用户户通过ssh访问。66远程登录安全全——禁止root/限定信任主机机禁止root用户远程登陆陆#cat/etc/ssh/sshd_config确保PermitRootLogin为no限定信任主机#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述两个个文件中的主主机，删除其其中不必要的的主机，防止止存在多余的的信任主机或直接关闭所所有R系列远程服务务rloginrshrexec67远程登录安全全——修改banner信息系统banner信息一般会给出操作系系统名称、版本号号、主机名称称等修改banner信息查看修改sshd_config#vi/etc/ssh/sshd_config如存在，则将将banner字段设置为NONE查看修改motd：#vi/etc/motd该处内容将作作为banner信息显示给登登录用户。查查看该文件内内容，删除其其中的内容，，或更新成自自己想要添加加的内容68Linux设置——文件和目录安安全设置文件目录录权限设置默认umask值检查SUID/SGID文件69文件和目录安全——设置文件目录录权限保护重要的文文件目录，限限制用户访问问设置文件的属属主和属性以以进行保护极其重要的文文件或目录可可以设置为不不可改变属性性chattr

+i/etc/passwd临时文件不应应该有执行权限70常见文件权限限及属性的操操作命令：chmod、chown、chattr文件和目录安安全——设置默认umask值设置新创建文件的默认权限掩掩码可以根据要求求设置新文件件的默认访问问权限，如仅仅允许文件属属主访问，不不允许其他人人访问umask设置的是权限限“补码”设置方法使用umask命令如#umask066编辑/etc/profile文件，设置umask值71文件和目录安安全——检查SUID/SGID文件SUID/SGID的程序在运行时时，将有效用户ID改变为该程序的所有者(组)ID。因而可能存在一定定的安全隐患找出系统中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的的直接删除,这样可以防止用户滥用用及提升权限限的可能性,其命令如下：查找SUID可执行程序#find/

-perm

-4000

-user0–ls查找SGID程序#find/

-perm

-2000

-user0–ls72Linux设置——系统日志配置（1）73保护日志文件审查日志中不不正常情况非常规时间登登录日志残缺Su的使用服务的启动情况况……Linux设置——系统日志配置置（2）启用syslog服务配置日志存储储策略打开/etc/logrotate.d/syslog文件，检查其其对日志存储储空间的大小小和时间的设设置使用syslog设备Syslog.conf设置使用syslog日志服务器74Linux设置——使用安全软件件启用主机防火火墙使用最新版本本安全软件75使用安全软件件——使用主机防火墙（1）76Linux下的防火墙框框架iptables包过滤NAT数据包处理Iptables基本规则Iptables[-ttable]command[match][target]Iptables基本应用Iptables–AINPUT–s––jACCEPTIptables–DINPUT–dport80–jDROP使用安全软件件——使用主机防火墙（2）Iptables已内嵌到Linux系统中功能较强大建议设置Linux开机后自动启启动该防火墙墙77使用安全软件件——使用最新版本安全全软件使用官方安全全软件opensshopensslsnort…使用最新版软软件及时消除安全全隐患78知识域：操作作系统安全知识子域：安全全操作系统了解安全操作作系统的发展展了解安全操作作系统的设计计原则79安全操作系统统概念操作系统安全安全设置安全增强安全操作系统统可信计算机系系统评价标准准（TruestedComputerSecurityEvaluationCritria，TCSEC）可信操作系统统80安全操作系统统研究概况1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年来TrustedBSDSELinuxAppArmor81SELinux简介SELinux安全增强Linux（SecurityEnhancedLinux）安全子系统强制访问控制制（MAC）美国国家安全全局开发以GNUGPL形式开源发布布82谢谢，请提问问题！9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Tuesday,December20,202210、雨中黄叶树树，灯下白头头人。。17:30:5217:30:5217:3012/20/20225:30:52PM11、以我独沈久久，愧君相见见频。。12月-2217:30:5217:30Dec-2220-Dec-2212、故人江海别别，几度隔山山川。。17:30:5217:30:5217:30Tuesday,December20,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2217:30:5217:30:52December20,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。20十十二二月月20225:30:52下下午午17:30:5212月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。十二二月月225:30下下午午12月月-2217:30December20,202216、行动出出成果，，工作出出财富。。。2022/12/2017:30:5217:30:5220December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。5:30:52下下午5:30下下午17:30:5212月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Tuesday,December20,202210、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。17:30:5217:30:5217:3012/20/2022