操作系統安全機版本：3.0發布日期：2014-12-1生效日期：2015-1-1操作系統與數據庫安全知識體知識域操作系統安全知識子域操作系統安全概述Windows系統安全機制Linux系統安全機制安全操作系統2數據庫安全3知識子域：操作系統安全概念了解操作系統的作用與功能了解操作系統的主要安全設計機制理解操作系統的安全配置要點用戶與計算機硬件之間的接口操作系統為用戶提供了虛擬計算機，把硬件的復雜性與用戶計算機系統的資源管理者CPU管理管理設備管理文件管理網絡與通信管理用戶接口硬件：CPU、內存、硬盤、網絡硬件等內核系統調用接口用戶進程4操作系統安全目標標識系統中的用戶和進行

鑒別依據系統安全策略對用戶的操作進行控制，防止用戶和

者對計算機資源的監督系統運行的安全性保證系統自身的安全和完整性5鑒別標識與鑒別用戶操作系統登錄控制防止對資源的限制

主體對使用客體的權限DAC、MAC、RBAC最小 管理限制、分割用戶、進程對系統資源的“必不可少的”權限權限6信道保護正常信道的保護通路（Trusted

Path）安全鍵（SAK）78安全審計對系統中有關安全的活動進行記錄、檢查以及審核審計一般是一個獨立的過程內存存取保護進程間/系統進程內存保護段式保護、頁式保護和段頁式保護文件系統保護分區文件共享文件備份知識子域：Windows系統安全機制理解Windows系統標識與鑒別、

控制、用戶賬戶控制、安全審計、文件系統的安全機制和安全策略掌握Windows系統的安全配置方法9安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機服務10安全標識符（Security

Identifier，SID）安全主體的代表（標識用戶、組和計算機賬戶的唯一編碼）范例：S-1-5-21-1736401710-1141508419-1540318053-100011賬戶信息管理機制登錄驗證本地登錄驗證登錄驗證12帳號信息

（SAM:安全賬號管理）運行期鎖定、僅對system帳號格式加密限，通過服務進行

控制Windows用戶

鑒別：本地登錄GINA（Graphical

Identification

andAuthentication:圖形化識別和驗證)LSA（Local

Security

Authority：本地安全>SAM賬戶信息庫GINALSA13登錄鑒別協議SMB（Server

Message

Block）:口令明文傳輸LM（LAN

Manager）：口令哈希傳輸，強度低NTLM（NT

LAN

Manager）：提高口令散列加密強度、

/響應機制Kerberos：為分布網絡提供單一

驗證14控制列表（Access

Control

List，ACL）NTFS文件系統支持權限自主流文件系統中控制靈活性高，安全性不高15用戶帳戶控制（User

Account

Control，UAC）完全

令牌標準受限

令牌16NTFS文件系統權限控制（ACL）表鍵值、

等對象文件、文件夾、安全加密EFS(EFS(Encrypting

File

System

)Windows內置，與文件系統高度集成對windows用戶透明對稱與非對稱算法結合Bitlocker對整個操作系統卷加密解決設備物理丟失安全問題17Windows日志系統應用程序安全設置應用程序和服務日志應用FTPIIS日志日志日志18賬戶策略策略賬戶鎖定策略本地策略審核策略用戶權限分配安全選項……191、安全配置前置工作2、賬號安全設置3、關閉自動4、

控制5、本地安全策略6、服務運行安全設置7、使用第

安全增強20安全的安裝分區設置：不要只使用一個分區系統補丁：SP+Hotfix補丁更新設置：檢查更新自動

安裝或手動2122賬號安全設置系統賬號策略設置賬號安全選項設置默認管理賬戶administrator更名設置“好”的口令自己容易記、別人不好猜不安全口令實例：ZAQ!@WSXzaq12wsx安全口令實例:WdSrS1Y28r!一句話“ 生日是1月28日!”

Wdsrs1y28rWdSrS1Y28r!稍作變形：單數字母大寫，最后加個感嘆號23策略：避免系統出現弱口令必須符合復雜性要求長度最小值最短使用期限最長使用期限強制

歷史用可還原的加密來24賬號鎖定策略：應對口令賬號鎖定時間賬號鎖定閥值重置賬號鎖定計數器25用戶權限分配從網絡

這臺計算機

從網絡訪問這臺計算機管理審核和安全日志從

系統強制關機26設置喚醒計算機時的登錄設置屏幕保護恢復時的登錄27為方便用戶而設計代碼借助移動介質的方式28關閉自動

功能可以有效阻斷U盤的路徑29網絡 控制共享安全防護30確保啟用Windows自帶31出站規則入站規則連接安全規則監視連接安全規則安全關聯32IPC$的安全問題（空會話連接導致信息>管理共享風險(普通共享的風險（文件操作)文件操作）系統用戶列表用戶信息

共享列表……空會話連接33的限制空會話連接控制本地安全策略設置中對關閉管理共享：修改表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters34審核策略用戶權限分配安全選項……35管理工具→本地安全策略→安全設置→本地策略→安全選項交互式登錄：無須按Ctrl+A

el，設置為已禁用交互式登錄：不顯示最后的用戶名，設置為已啟用設備：將CD-ROM的 權限僅限于本地登錄的用戶，設置為已啟用36管理工具→本地安全策略→安全設置→本地策略→安全選項：不允許SAM賬號的

枚舉，設置為已啟用的共享，刪除策略設置里的值名管道，刪除策略設置里的值網絡網絡網絡網絡：可：可：可的

表路徑，刪除策略設置里的值37Windows服務（windows

service)Windows服務程序是一個長時間運行的可執行程序，不需要用戶的交互，也不需要用戶登錄38關閉不需要的服務計劃任務操作

表……控

務權限System(本地系統)Local

ServiceNetwork

Service39防安全防護40安裝防護代碼是終端安全的最大確保防護防護庫更新主要工作機制：特征碼掃描開啟云查殺41系統安全保護系統主機 檢測42知識子域：Linux系統安全機制理解Linux系統標識與鑒別、

控制、安全審計、文件系統、

管理的安全機制掌握Linux系統的安全配置方法43安全主體用戶：組：標識（User

ID）標識（Group

ID）用戶與組基本概念文件必須有所有者用戶必須屬于某個或多個組用戶與組的關系靈活（一對多、多對多等都可以）根用戶擁有所

限44信息用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow45用于存放用戶信息（早期包括使用不可逆DES算法散列）加密形成用戶特點文本格式全局可讀條目格式name:coded-passwd:UID:GID:userinfo:homedirectory:s條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh用戶登錄后使用的s46用于存放用戶 散列、特點管理信息等文本格式僅對root可讀可寫條目格式name:passwd:lastchg:min:max:warn:inactive:expire:flag條目例子#root:$1$acQMceF9:13402:0:99999:7:::用保留域47口令鑒別本地登錄登錄（主機信任（基于net、FTP等）>PAM（Pluggable

Authentication

Modules,可插拔驗證模塊）PAMAPI……loginnet……SSHLinuxKerberosS/keyPAMSPI48文件/ 權限基本概念權限類型：讀、寫、執行權限表示方式：模式位drwxr-xr-x 3

root

root

1024

Sep

1311:58test文件名最后修改時間文件大小文件擁有者GID文件擁有者UID數系統中其他用戶權限（O）文件擁有者所在組其他用戶的權限（G）文件擁有者的權限（U）文件類型：d為文件夾-是文件49權限的數字表示法權限的特殊屬性SUID、SGID、Sticky（防刪除）-r-s--x--x 1root

root 10704Apr

15 2002

/usr/bin/passwd^SUID程序5051系統日志類型連接時間日志/var/log/wtmp和/var/run/utmp由多個程序執行，記錄用戶登錄時間進程統計由系統內核執行，為系統基本服務提供命令使用統計錯誤日志/var/og/messages由syslogd守護記錄，制定注意的事項應用程序日志應用程序如（HTTP、FTP）等創建的日志文件系統類型日志文件系統：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件系統安全權限文件系統加密eCryptfs（Enterprise

Cryptographic

Filesystem）基于內核，安全性高，用戶操作便利加密元數據寫在每個加密文件的頭部，方便遷移，備份52/home

bin

proc

usr

bootlib

dev

etc

varftp

ljw

linuxbin

lib

man

tmp

lib

log

run

spool

tmp53劃分分割管理權限，30多種管理根用戶（root）擁有所有普通用戶setuid操作實現setgid保護：保護root賬號不直接使用root登錄，普通用戶su成為root控制root權限使用54安全配置前置工作賬號和口令安全系統服務配置登錄安全文件和

安全系統日志配置使用安全55系統安裝使用

/正版分區掛載重要根

（/）、用戶

（/home）、臨時

（/tmp）等應分開到不同的磁盤分區自定義安裝，選擇需要的

包包，尤其是那些不需要的網絡服務包不安裝全部系統補丁及時安裝系統補丁更新補丁前，要求先在測試系統上對補丁進行可用性和兼容性驗證5657賬號通用配置保護root賬號口令安全策略檢查、清除系統中多余賬號檢查#cat/etc/passwd#cat

/etc/shadow清除多余賬號鎖定賬號特殊保留的系統偽賬戶，可以設置鎖定登錄鎖定命令：#passwd-l<用戶名>命令：#passwd-u<用戶名>58禁用root之外的超級用戶打開系統賬

/etc/passwd若用戶ID=0，則表示該用戶擁有超級用戶的權限檢查是否有多個ID=0禁用或刪除多余的賬號59檢查是否存在空口令賬號執行命令#awk

-F:

'(

==

"")

{

print

$1}'

/etc/shadow如果存在空口令賬號，則對其進行鎖定，或要求增加要確認空口令賬戶是否和已有應用關聯，增加是否會引起應用無法連接的問題60設置賬戶鎖定登錄失敗鎖定次數、鎖定時間修改賬戶超時值，設置自動注銷時間61root賬號權限很高保護措施使用root登錄系統只允許普通用戶登陸，然后通過su命令切換到root不要隨意把root

s 留在終端上；當前 (“

.

/”)和普通用戶的bin

放在root賬號的環境變量PATH中不以root運行其他用戶的或不熟悉的程序62口令安全策略要求使用安全口令口令長度、字符要求口令修改策略強制口令使用有效期設置口令修改提醒設置賬戶鎖定登錄失敗鎖定次數、鎖定時間vi

/etc/login.defPASS_MAX_DAYS

90PASS_MIN_DAYS

7PASS_MIN_LEN

6PASS_WARN_AGE

2863的網絡服務net、FTPecho、chargen、s關閉非必需的網絡服務talk、ntalk等、finger、NFS、RPC等確保

版本使用當前

和最安全的版本的服務關閉郵件服務：chkconfig--level

12345

sendmail

off關閉圖形登錄服務：編輯/etc/inittab文件，修改為id:3:initdefault:關閉X

font服務：chkconfig

xfs

off64禁用

net,使用SSH進行管理限制能夠登錄本機的IP地址登陸root用戶限定信任主機修改banner信息65禁用

net,使用SSH進行管理開啟ssh服務：#service sshd

start限制能夠登錄本機的IP地址#vi

/etc/ssh/sshd_config添加（或修改）：AllowUsers

xyz@3允許用戶xyz通過地址3來登錄本機AllowUsers

*@192.168.*.*僅允許/16網段所有用戶通過ssh

。66root用戶 登陸#cat/etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機#cat/etc/hosts.equiv#cat

/$HOME/.rhosts查看上述兩個文件中的主機，刪除其中不必要的主機，防止存在多余的信任主機服務或直接關閉所有R系列rloginrshrexec67系統banner信息一般會給出操作系統名稱、版本號、主機名稱等修改banner信息查看修改sshd_config#vi

/etc/ssh/sshd_config如存在，則將banner字段設置為NONE查看修改motd：#vi

/etc/motd該處內容將作為banner信息顯示給登錄用戶。查看該文件內容，刪除其中的內容，或更新成自己想要添加的內容6869設置文件

權限設置默認umask值檢查SUID/SGID文件保護重要的文件

，限制用戶設置文件的屬主和屬性以進行保護極其重要的文件或

可以設置為不可改變屬性chattr+i

/etc/passwd臨時文件不應該有執行權限常見文件權限及屬性的操作命令：od、chown、chattr70設置新創建文件的默認權限掩碼可以根據要求設置新文件的默認

權限，如僅允許文件屬主

，不允許其他人umask設置的是權限“補碼”設置方法使用umask命令如#umask

066編輯/etc/profile文件，設置umask值71SUID/SGID的程序在運行時，將有效用戶ID改變為該程序的所有者(組)ID。因而可能存在一定的安全隱患找出系統中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的直接刪除,這樣可以防止用戶

及提升權限的可能性,其命令如下：查找SUID可執行程序#

find

/

-perm

-4000

-user

0

–ls查找SGID程序#

find

/

-perm

-2000-user

0

–ls72保護日志文件日志中不正常情況非常規時間登錄日志殘缺Su的使用服務的啟動情況……73啟用syslog服務配置日志

策略打