1 / 158

系统安全

系统安全. 培训机构名称 讲师名字. Unix/Linux 安全实践. 数据库 安全基础. 操作系统基础. 数据库系统安全 管理. Windows 安全实践. 可信计算技术. 课程内容. 操作系统安全. 系统安全. 数据库安全. 知识体. 知识域. 知识子域. 知识域:操作系统安全. 知识子域:操作系统基础 了解操作系统体系架构和基本概念(进程、文件、对象、用户接口、系统调用); 了解操作系统基本实现机制( CPU 模式与保护环、进程隔离、进程调度). 操作系统基础. 计算机系统结构和基本原理 操作系统基本概念 操作系统基本实现机制.

belle
Download Presentation

系统安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 系统安全 培训机构名称 讲师名字

  2. Unix/Linux安全实践 数据库安全基础 操作系统基础 数据库系统安全管理 Windows安全实践 可信计算技术 课程内容 操作系统安全 系统安全 数据库安全 知识体 知识域 知识子域

  3. 知识域:操作系统安全 • 知识子域:操作系统基础 • 了解操作系统体系架构和基本概念(进程、文件、对象、用户接口、系统调用); • 了解操作系统基本实现机制(CPU模式与保护环、进程隔离、进程调度)

  4. 操作系统基础 • 计算机系统结构和基本原理 • 操作系统基本概念 • 操作系统基本实现机制

  5. 计算机系统结构 一般情况下,我们不能直接操作裸机,必须通过一个叫做基本输入输出系统的软件系统(英文为Basic Input/Output System,简称BIOS),才能操作控制裸机,之所以这样称呼它,是因为它提供了最基本的计算机操作功能,如在屏幕上显示一点,接收一个键盘字符的输入等。 在基本输入输出系统的外面是操作系统(Operating System):专门负责管理计算机的各种资源,并提供操作电脑所需的工作界面。有了它们,人们才可以方便自如地使用电脑。 应用软件一般都运行在操作系统之上,由专业人员根据各种需要开发。我们平时见到和使用的绝大部分软件均为应用软件,如杀毒软件,文字处理软件,学习软件,游戏软件,上网软件等等 具体结构图如右图所示: 应用程序 操 作 系 统 基本输入输出系统(BIOS) 底层硬件设备

  6. 操作系统结构 用户进程 系统调用接口 内核 硬件:CPU、内存、硬盘、网络硬件等 用户进程:用户应用程序是运行在操作系统最高层的一个庞大的软件集合,当一个用户程序在操作系统之上运行时,它就成为操作系统中的一个进程。 系统调用接口:在应用程序中,可通过系统调用来调用操作系统内核中特定的过程,以实现特定的服务,比如创建一个新进程等。由若干条指令构成的过程:SHELL、VISUL、WHO等 内核:操作系统的灵魂,它负责管理磁盘上的文件、内存,负责启动并运行程序,负责从网络上接收和发送数据包等。内核实际是抽象的资源操作到具体硬件操作细节之间的接口。 硬件:这个子系统包括了操作系统安装时需要的所有可能的物理设备,如CPU、内存、硬盘、网络硬件等

  7. 操作系统基础 • 计算机系统结构和基本原理 • 操作系统基本概念 • 操作系统基本实现机制

  8. 程序、进程和线程 • 程序是在计算机上运行的一组指令及指令参数的集合,指令按照既定的逻辑控制计算机运行。 • 进程是程序运行的一个实例,是运行着的程序。 • 线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位。

  9. 进程调度

  10. 系统调用和CPU特权级 • 由操作系统实现的所有系统调用所构成的集合即程序接口或应用编程接口(API)。 • CPU特权级是指为保护某些危险的指令被误执行而划分成不同的权限级别。

  11. 操作系统基础 • 计算机系统结构和基本原理 • 操作系统基本概念 • 操作系统基本实现机制

  12. 操作系统基本概念 • 什么是操作系统? • 操作系统是控制其他程序运行,管理系统资源并为用户提供操作界面的系统软件的集合。 • 是管理计算机系统的全部硬件资源包括软件资源及数据资源;控制程序运行;改善人机界面;为其它应用软件提供支持等,使计算机系统所有资源最大限度地发挥作用,为用户提供方便的、有效的、友善的服务界面。 操作系统是管理以CPU为核心对角及其它计算机硬件的设备驱动程序。

  13. 操作系统层次 用户 程序接口 用户程序 操作系统接口 O.S.操作系统 硬件接口/特权指令 外部设备

  14. 操作系统基本功能 • 资源管理 • 系统的设备资源和信息资源都是操作系统根据用户需求按一定的策略来进行分配和调度的。 • 处理器管理 – 分时 • 存储管理 – 内存和外存的分配 • 设备管理 – 分配和回收 • 信息管理 – 文件系统 • 程序控制 • 人机交互 • 进程管理 • 内存管理

  15. 操作系统基本组成 • 用户接口 • 为不同用户提供操作界面,实现对系统资源的控制 • 进程管理 • 通过对CPU每个执行周期的分片,实现不同进程的调度,从而实现多任务 • 内存管理 • 管理和规划主机内存的使用,为其它模块提供接口 • 文件系统管理 • 用于明确磁盘或分区上的文件的方法和数据结构,提高磁盘存储利用率、文件安全性 • 磁盘管理 • 处理不同的磁盘高度和读写请求,保证磁盘的存储效率 • 设备管理 • 管理不同的外设,保证设备的合理使用和分配

  16. 知识域:操作系统安全 • 知识子域:Unix/Linux安全实践 • 了解unix/linux系统架构和关键系统组件; • 理解系统服务和系统进程; • 理解unix/linux系统启动过程 • 理解unix/Linux系统安全实现,包括文件系统安全、身份认证与验证授权、账号安全、日志与审计等

  17. Unix/Linux安全实践 • 系统概述 • 系统架构和关键系统组件 • 系统服务和进程 • 系统启动过程 • 系统安全原理 • 文件系统安全 • 身份认证与验证授权 • 账号安全 • 日志与审计 • 其它

  18. Unix/Linux系统架构

  19. Unix/Linux安全实践 • 系统概述 • 系统架构和关键系统组件 • 系统服务和进程 • 系统启动过程 • 系统安全原理 • 文件系统安全 • 身份认证与验证授权 • 账号安全 • 日志与审计 • 其它

  20. 什么是守护进程(服务) • 服务就是运行在网络服务器上监听用户请求的进程 • 服务是通过端口号来区分的 • 常见的服务及其对应的端口 • ftp : 21 • telnet : 23 • http(www) : 80 • pop3 : 110

  21. 在UNIX系统里启动与关闭服务? • 在UNIX系统中, 服务是通过inetd 进程或启动脚本来启动 • 通过 inetd 来启动的服务可以通过在/etc/inetd.conf 文件中注释来禁用 • 通过启动脚本启动的服务可以通过改变脚本名称的方式禁用

  22. inetd 超级服务器? • 1. inetd超级服务器 • inetd 的功能 • inetd 的配置和管理 • 2. 服务的关闭 • 关闭通过inetd启动的服务 • 关闭独立启动的服务 • 3. inetd 的替代品 • xinetd(http://www.xinetd.org) • xinetd 比inetd更多管理功能 • xinetd 的配置

  23. # inetd.conf This file describes the services that will be available # through the INETD TCP/IP super server. To re-configure # the running INETD process, edit this file, then send the # INETD process a SIGHUP signal. # # Echo, discard, daytime, and chargen are used primarily for testing. # # To re-read this file after changes, just do a 'killall -HUP inetd' # #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal # # These are standard services. # ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd inetd配置文件

  24. Unix/Linux安全实践 • 系统概述 • 系统架构和关键系统组件 • 系统服务和进程 • 系统启动过程 • 系统安全原理 • 文件系统安全 • 身份认证与验证授权 • 账号安全 • 日志与审计 • 其它

  25. PC机启动过程 • PC启动 Intel CPU进入实模式 • 开始执行0xFFFF0(ROM—BIOS)处的代码 • BIOS 自检 • 初始化位于地址0 的中断向量表 • BIOS将启动盘的第一个扇区装入到0x7C00, • 并开始执行此处的代码 • 完成内核的初始化

  26. UNIX引导过程概述 1. 开始引导装入程序(boot loader) 2. 内核初始化并运行内核程序 3. 开始其他系统 “自发的” 进程 4. 运行系统起始脚本

  27. 内核活动 1. 识别CPU体系结构并初始化 2. 计算物理内存并初始化虚拟内存系统 3. 为内部结构分配内存 4. 探测系统设备,配置它们和初始化它们

  28. 内核引导的自发进程 “自发” 进程是内核通过特别机制创建的 这些进程通常用来控制进程调度安排和 VM system 它们不是存在于文件系统中可执行的进程,而是真正的内核代码 INIT 进程开始并引导系统运行开始脚本

  29. BSD “起始”(start-up)脚本 • init 运行 shell 脚本 /etc/rc: – Mounts 本地文件系统 – 初始化网络接口 – 开始系统daemon程序 • /etc/rc 运行 /etc/rc.local 中的特定系统服务程序 • /etc/rc.conf 脚本用来告诉系统在引导时运行哪些服务

  30. SYSV “开始” (start-up)脚本 • init程序依据设定运行级别运行相应的“开始”级别脚本: • S – 系统启动配置 • 2 – 初始化网络配置,启动系统daemon程序 • 3 – 输出文件系统,启动本地daemon进程 • 运行级别0是中止系统,运行级别6是重新引导系统 • 启动脚本存放在 /etc/init.d目录中 • 通常一个脚本对应一个daemon进程或者一项配置任务 • 这些脚本都可以带有“start”或“stop”参数– 这样当系统down的时候,可以很好地关闭打开的进程 • 每一个运行级别都对应一个/etc/rc*.d目录 • /etc/rc*.d中的链接文件的原文件是/etc/init.d目录中文件 • 链接文件命名方式是 S nn… (脚本运行使用“start” 参数)或者 K nn… (脚本运行使用“stop”参数) • nn代表脚本运行的顺序

  31. 底线 • 管理员可以控制在系统引导结束后运行哪些服务 • 对于BSD系统, 编辑/etc/rc.conf (或者去掉/etc/rc*中注释标记) • 对于SYSV系统, 删除 (或者重命名) 在 /etc/rc*.d目录中的链接文件

  32. Init控制引导进程 1. 基本系统配置 2. 开始网络服务 3. 开始NFS守护进程 4. 运行系统其他守护进程 5. 提供X界面登录的窗口

  33. 1、基本系统配置 • 装载root文件系统-包括关键程序和配置文件 • 配置网络接口 • 装载其他文件系统,其中一些可能是从网络装载

  34. 2、开始网络服务 • DNS服务-只在有DNS服务的机器上运行 • Portmapper (rpcbind )– 基于RPC服务的主控守护进程 • NIS/NIS+– 基于RPC的网络信息数据库 • Syslog– 系统日志进程 • inetd – 运行其他网络服务的“meta” 守护进程

  35. 3、开始NFS守护进程 NFS 客户端进程: lockd – NFS 文件锁定系统 statd – 在系统重引导后解锁进程 NFS 服务器端进程: mountd – 服务器响应客户请求 nfsd – NFS I/O 进程 "Automounter" (amd or automountd)

  36. 4、运行系统其他进程 • cron– 在事先设定好的时间运行的后台进程 • Sendmail – 邮件服务进程 • 其他服务进程 – NTP、 SNMP、 HTTP、“volume managers”、local services ……

  37. Unix/Linux安全实践 • 系统概述 • 系统架构和关键系统组件 • 系统服务和进程 • 系统启动过程 • 系统安全原理 • 文件系统安全 • 身份认证与验证授权 • 账号安全 • 日志与审计 • 其它

  38. 文件系统目录结构 / home bin proc usr boot lib dev etc var ftp ljw linux bin lib man tmp lib log run spool tmp

  39. 常见目录用途

  40. 常见目录用途

  41. 文件类型

  42. Unix文件系统的权限 #ls –al test drwxr-xr-x 3 root root 1024 Sep 13 11:58 test • 在unix中用模式位表示文件的类型及权限 通常由一列10个字符来表示,每个字符表示一个模式设置 • 第1位:表示文件类型。 • d表示目录,-表示普通文件,l表示链接文件等等,s表示socket文件,c表示字符设备,b表示块设备 • 每个文件和目录有三组权限,一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。 • 第2-10位:表示文件权限 • "r"表示可读,"w"表示可写,"x"表示可执行。一共9位(每组3位),合起来称为模式位(mode bits)

  43. 文件模式位

  44. UNIX文件权限模式数学字表示 文件所有者 文件所在组 其它人权限

  45. 文件、目录隐含模式 r r r r - - - - s x t x r r - - x x r r w w s x sticky sgid suid r w x 1 1 1

  46. setuid和setgid 什么是setuid和setgid程序? UNIX中的SUID(Set User ID)/SGID(Set Group ID)设置了用户id和分组id属性,允许用户以特殊权利来运行程序,这种程序执行时具有文件所有者的权限和文件所在组的权限。 如passwd程序,它就设置了SUID位 -r-s--x--x 1 root root 10704 Apr 15 2002 /usr/bin/passwd ^SUID程序 passwd程序执行时就具有root(文件所有者)的权限 为什么要有SUID和SGID程序? SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的.比如每个用户都允许修改自己的密码, 但是修改密码时又需要root权限,所以修改密码的程序需要以管理员权限来运行.

  47. UNIX文件和目录权限位的含义

  48. [root@smithers /etc]# ls -al |more total 937 drwxr-xr-x 32 root root 3072 Aug 31 11:07 . drwxr-xr-x 16 root root 1024 May 27 08:05 .. -rw------- 1 root root 0 May 25 08:22 .pwd.lock -rw-r--r-- 1 root root 20 May 25 08:55 HOSTNAME -rw-r--r-- 1 root root 42 May 25 12:56 MACHINE.SID -rw-r--r-- 1 root root 5468 Mar 29 1999 Muttrc drwxr-xr-x 14 root root 1024 May 27 07:46 X11 -rw-r--r-- 1 root root 39 Jun 2 08:24 adjtime -rw-r--r-- 1 root root 732 Apr 19 16:38 aliases -rw-r--r-- 1 root root 16384 May 25 08:36 aliases.db --More-- 查看UNIX文件权限 • ls -l 命令可以来显示文件名与特性。 • 下面信息的第一栏可以表明文件类型和该文件赋予不同组用户的权限

More Related