6 1谈谈操作系统安全 1.3提升操作系统安全的途径 ¤提升操作系统安全的主要途径与方法 提升物理完全 ¤安装操作系统的服务器应该放置在安装监视器、温湿度适宜的隔离房间内,确 保服务器不被其他人随意接触,提升操作系统的物理安全性。 删除所有测试账号、共享账号,设置合理的用户权限策略,制定复杂用户 密码并定期检查等。 ■关闭不必要的服务进程。 经常更新应用程序 ¤周期性的进行操作系统补丁升级,加强系统内核安全性。 ■严格进行防火墙规则限制。 使用增强安全防护工具,定期检测操作系统的安全风险并加以修复。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 1.谈谈操作系统安全 提升操作系统安全的主要途径与方法 ◼ 提升物理完全 安装操作系统的服务器应该放置在安装监视器、温湿度适宜的隔离房间内,确 保服务器不被其他人随意接触,提升操作系统的物理安全性。 ◼ 删除所有测试账号、共享账号,设置合理的用户权限策略,制定复杂用户 密码并定期检查等。 ◼ 关闭不必要的服务进程。 ◼ 经常更新应用程序 周期性的进行操作系统补丁升级,加强系统内核安全性。 ◼ 严格进行防火墙规则限制。 ◼ 使用增强安全防护工具,定期检测操作系统的安全风险并加以修复。 6 1.3 提升操作系统安全的途径
1谈谈操作系统安全 14 Linux的安全机制 口 Linux内置多种安全保护机制。 ■PAM机制 aPAM( Pluggable Authentication Modules)机制是一套共享库,其目的是提供一个框架 和一套编程接口,将认证工作由程序员交给管理员,PAM允许管理员在多种认证方法之间 进行选择,它能够在不重新编译与认证相关应用程序的情况下改变本地认证方法。 ■安全审计机制 ¤虽然linu不能预测何时服务器会遭受攻击,但它记录入侵者行踪,记录事件信息和网络连 接情况,这些信息将保存到日志列表中为后续复査提供支持。 ■强制访问控制机制 强制访问控制(MAC, Mandatory Access Contro)是一种由系统管理员从全系统的角度 定义和实施的访问控制机制,它通过标记系统中的主客体,强制性地限制信息的共享和流 动,使不同的用户只能访问到与其相关的、指定范围的信息,从根本上防止信息泄密和访 问混乱的现象。 防火墙机制 ¤通过配置防火墙的访问控制、审计以及抗攻击等功能,保障服务器自身安全忄 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 1.谈谈操作系统安全 Linux内置多种安全保护机制。 ◼ PAM机制 PAM(Pluggable Authentication Modules)机制是一套共享库,其目的是提供一个框架 和一套编程接口,将认证工作由程序员交给管理员,PAM允许管理员在多种认证方法之间 进行选择,它能够在不重新编译与认证相关应用程序的情况下改变本地认证方法。 ◼ 安全审计机制 虽然Linux不能预测何时服务器会遭受攻击,但它记录入侵者行踪,记录事件信息和网络连 接情况,这些信息将保存到日志列表中为后续复查提供支持。 ◼ 强制访问控制机制 强制访问控制(MAC,Mandatory Access Control)是一种由系统管理员从全系统的角度 定义和实施的访问控制机制,它通过标记系统中的主客体,强制性地限制信息的共享和流 动,使不同的用户只能访问到与其相关的、指定范围的信息,从根本上防止信息泄密和访 问混乱的现象。 ◼ 防火墙机制 通过配置防火墙的访问控制、审计以及抗攻击等功能,保障服务器自身安全性。 7 1.4 Linux的安全机制
8 2使用 SELinux提升内核安全性 21 SELinux简介 ¤ SELinux( Security- Enhanced linux)是基于 LInux内核的强制访问控 制机制的实现,旨在提升 Linux操作系统內核安全性。 Linux Kernel26及以上版本均集成 SELinux模块。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux(Security-Enhanced Linux)是基于Linux内核的强制访问控 制机制的实现,旨在提升Linux操作系统内核安全性。 Linux Kernel 2.6及以上版本均集成SELinux模块。 8 2.1 SELinux简介
9 2使用 SELinux提升内核安全性 21 SELinuX简介 SELinux的起源。 SELinux是美国国家安全局(NAS)项目,旨在增强Linx系统的安全性。 SELina起源于1980年开始的微内核和操作系统安全的硏究,这两个方向的硏究最后 形成了分布式信任计算机( DTMach, Distribute trusted mach)项目,融合了前 期研究项目的成果。 美国国家安全局参加了 DTMach项目,并继续参与了后续安全微内核项目,最终产 生了一个新的项目Fask,支持更丰富的动态类型的强制机制 美国国家安全局认为需要通过社区推广Fask。1999年在 Linux内核中实现Fask安全 架构,20年发布第一个公共版本,叫做安全增强的 Linux,并在inu×2.2X内核中 以内核补丁形式发布。 美国国家安全局在2001年 Linux核心高峰会上,以普通 Linux为基础架构提出了 SELinux,并使用较具有弹性的MAC和Fask架构,将 Linux安全等级提升至B1,同时 具有资料标记与强制存取控制的功能,号称是最安全的 Linux操作系统。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux的起源。 ◼ SELinux是美国国家安全局(NAS)项目,旨在增强Linux系统的安全性。 ◼ SELinux起源于1980年开始的微内核和操作系统安全的研究,这两个方向的研究最后 形成了分布式信任计算机(DTMach,Distribute Trusted Mach)项目,融合了前 期研究项目的成果。 ◼ 美国国家安全局参加了DTMach项目,并继续参与了后续安全微内核项目,最终产 生了一个新的项目Flask,支持更丰富的动态类型的强制机制。 ◼ 美国国家安全局认为需要通过社区推广Flask。1999年在Linux内核中实现Flask安全 架构,2000年发布第一个公共版本,叫做安全增强的Linux,并在Linux 2.2.x内核中 以内核补丁形式发布。 ◼ 美国国家安全局在2001年Linux核心高峰会上,以普通Linux为基础架构提出了 SELinux,并使用较具有弹性的MAC和Flask架构,将Linux安全等级提升至B1,同时 具有资料标记与强制存取控制的功能,号称是最安全的Linux操作系统。 9 2.1 SELinux简介
10 2使用 SELinux提升内核安全性 22 SELinuX能够干什么 进程 DAO 对象 以用户身份 操作系统通过 如文件 运行的程 序,拥有该 属主 通过对文件权 用户对应属 其他 决定是否可以 其他三类权 操作 限 种角色的权限 进行访问控制 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 10 2.2 SELinux能够干什么