《操作系统安全性》

第九章操作系统平安性程维.操作系统平安性WindowsNT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统平安扫描软件.WindowsNT/2000四种平安协议WindowsNTLANManager(NTLM)验证协议KerberosV5验证协议DPA分布式密码验证协议基于公共密钥的协议.WindowsNT/2000WinNT登录NT文件系统〔NTFS〕NT平安漏洞及其解决建议Windows2000的分布式平安协议.

WinNT登录

Ctrl，Alt，Del三个键不能被屏蔽的平安帐号管理器(SecurityAccountManager)机制针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议.NT文件系统〔NTFS〕最适合处理大磁盘的文件系统支持保证文件和文件夹平安性的访问控制列表(ACL).NT平安漏洞及其解决建议WindowsNT系统上的重大平安漏洞，主要包括两大局部：NT效劳器和工作站的平安漏洞关于浏览器和NT机器的两个严重平安漏洞。更佳的解决方案是：建设一个强壮的防火墙，精心地配置它，只授权给可信赖的主机能通过防火墙。正象以上针对大多数平安漏洞的解决建议一样，在防火墙上，截止所有从端口137到139的TCP和UDP连接，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接。这是一种辅助措施，以限制该平安漏洞。值得注意的是，有些黑客程序可以具有选择端口号的能力，它可能成功地攻击其它端口。.Windows2000的分布式平安协议在WindowsNT4.0中，主要的分布式平安协议是NTLM〔WindowsNTLANManager〕。Windows2000里，微软采用了一个新的平安系统。在这个新的平安系统中，Kerberos是缺省的分布式平安协议。当然，Windows2000仍然支持NTLM以及SSL协议。.Kerberoskerberos是以SSP(SecurityServiceProvider)的方式通过SSPI(SecurityServiceProviderInterface)来实现的。应用程序可以直接通过SSPI来获得Kerberos的效劳KerberosSSP能够提供三种平安性效劳认证：进行身份验证；数据完整性：保证数据在传送过程中不被篡改；数据保密性：保证数据在传送过程中不被获取.操作系统平安性WindowsNT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统平安扫描软件.

UNIX

UNIX系统平安根底Unix系统登录过程.UNIX系统平安根底口令平安UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。文件许可权第一个rwx：表示文件属主的访问权限。第二个rwx：表示文件同组用户的访问权限。第三个rwx：表示其他用户的访问权限。目录许可在UNIX系统中，目录也是一个文件.UNIX系统平安根底umask命令umask设置用户文件和目录的文件创立缺省屏蔽值设置用户ID和同组用户ID许可用户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的目标文件cpmvln和cpio命令cp拷贝文件时，假设目的文件不存在那么将同时拷贝源文件的存取许可mv移文件时，新移的文件存取许可与原文件相同ln为现有文件建立一个链，即建立一个引用同一文件的新名字cpio命令用于将目录结构拷贝到一个普通文件中，而后可再用cpio命令将该普通文件转成目录结构.UNIX系统平安根底su和newgrp命令su命令：可不必注销户头而将另一用户又登录进入系统，作为另一用户工作newgrp命令：与su相似，用于修改当前所处的组名文件加密crypt命令可提供给用户以加密文件，使用一个关键词将标准输入的信息编码为不可读的杂乱字符串，送到输出设备其他平安问题.

UNIX

UNIX系统平安根底Unix系统登录过程.

Unix系统登录过程

UNIX内核将被调入计算机内存init程序调用getty程序在终端上显示login等登录信息假设用户通过身份验证，login进程把用户的home目录设置成当前目录并把控制交给一系列setup程序.操作系统平安性WindowsNT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统平安扫描软件.其他操作系统NetWare系统NetWare操作系统经过NCSC测试，具有C2级平安标准VAX/VMSVMS系统具有C2级平安标准，一般都使用在一些重要的研究和军事机构里的.操作系统平安性WindowsNT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统平安扫描软件.

操作系统漏洞

黑客攻击或者入侵行为分为两种：主动方式和被动方式主动方式即通过网络主动发送恶意请求，到达令目标系统失去响应或者获得目标系统的控制权，从而到达进一步破坏的目的被动方式即利用互联网可交互的特点，在网上发布一些含有恶意代码的网页、软件、电子邮件，当其他用户浏览网页、运行软件、翻开电子邮件时，恶意代码在用户计算机中发挥作用，破坏系统或者安装后门，使用户对计算机失去控制.操作系统漏洞操作系统的缺陷主要来源于以下4个方面I/O访问策略的混乱不完全的介入通用性.操作系统漏洞操作系统脆弱性等级A级是指允许过程用户未经授权访问的漏洞B级是指允许本地用户非法访问的漏洞，允许本地用户获得或增加未经授权的访问C级是指允许拒绝效劳的漏洞口令攻击术IISUnicode漏洞攻击程序说明微软IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个平安漏洞，导致用户可以远程通过IIS执行任意命令.操作系统平安性WindowsNT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统平安扫描软件.操作系统入侵检测检测方法确保Linux平安的措施.检测方法检查系统密码文件检查系统运行进程检查系统守护进程检查网络连接和监听端口检查系统日志检查系统中的core文件两种著名的后门文件.rhosts和.forward检查内核级后门手工入侵检测的缺陷.确保Linux平安的措施取消不必要的效劳限制系统的出入保持最新的系统核心检查登录密码设定用户帐号的平安等级增强平安防护工具限制超级用户的权力追踪黑客的踪迹.操作系统平安性WindowsNT/2000UNIX其他操作系统操作系统漏洞操作系统入侵检测系统平安扫描软件.系统平安扫描软件系统平安漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的，对本主