操作系统安全概述
系统安全是指该系统能够通过特定的安全功能控制外部对系统信息的访问。
通过可信计算基(TCB)实现主体对客体的访问策略。
可信计算基(TCB):实现计算机系统安全保护的所有安全保护机制的集合。
操作系统安全:
一方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全。
另一方面是操作系统在使用中,通过一系列的配置,保证操作系统尽量避免由于实现时的缺陷或是应用环境因素产生的不安全因素。
操作系统级别:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
操作系统安全配置:操作系统访问控制权限的恰当位置、系统的及时更新、对于攻击的防范。
操作系统访问控制权限的恰当位置:利用操作系统的访问控制功能,为用户和文件系统建立恰当的访问权限控制。
攻击的防范:对于各种可能的攻击,进行恰当合理的预先防范。
Windows系统安全防护
系统安全配置:本地安全策略配置、网络和TCP/IP配置、注册表的安全配置。
UNIX/LINUX系统安全防护
LINUX系统安全防护机制:PAM机制、加密文件系统、安全审计、强制访问控制、用户和文件配置、网络配置、系统配置。
PAM是一套共享库,其目的是提供一个框架和一套编程接口,将认证工作由程序员交到管理员,PAM允许管理员在多种认证方法间做出选择,能够改变本地认证方法而不需要重新编译与认证相关的程序。
加密文件系统就是将加密服务引入文件系统,从而提高计算机系统的安全性。
强制访问控制(MAC)是一种由系统管理员从全系统的角度定义和实施的访问控制,通过标记系统中的主客体,强制性地限制信息的共享和流动,使不同用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的失泄密和访问混乱的现象。
常见服务的安全防护
WWW服务器:Apache、IIS。
IIS系统用户认证方式:基本认证方式、基于摘要的认证方式、类似Windows的认证方式。
inetd 是一个守护程序,通过一个集中的配置文件来管理大多数入网连接。
xinetd 守护程序是 inetd 的替代,它提供许多改进的或新的特性,以及更容易的配置。
xinetd 优点如:访问权限控制、访问时间控制和占用资源控制、更灵活的审计策略指定。
SSH:提供尽可能安全的远程存取方式。具有端口转发隧道功能。
SSH的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发送内容。
参考书籍:网络安全基础与应用—张千里