操作系统安全实验报告

sld123456
2 ℃
2019-12-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

中南大学操作系统实验报告姓名：杨国文班级：学号：指导老师：完成时间：2015-11-2-1-问答题:1../mls文件定义的是SELinux的分层安全结构，请解释其中的内容？答：./mls文件的内容是多级安全策略，它是linux系统安全中对约束的一种实现（约束是在TE规则许可范围之外对TE策略提供了更多的限制）。2.请谈谈你对SElinux架构以及Flask体系架构的认识。答：LSM（Linux安全模型）反应了它的起源-安全微内核的探索，使用Linxu安全模型（LSM）框架将其自身集成到内核当中。它是一种轻量级的访问控制框架，适用于多种访问控制模型在它上面以内核可加载模块的形式实现。用户可以选择合适的安全模块加载到Linux内核上，也就是说允许安全模块已插件的形式进入内核，简单来理解我们可以认为SELinux是LSM的一个插件。这种设计思想的好处就是模块化，在最少改变内核代码情况下，提供一个能够实现强制访问的模块。因此LSM框架允许安全模块以插件形式载入内核，而SELinux就是作为一个安全模块载入Linux内核的。SELinux权限检查的流程中，策略强制服务器会检查AVC（AccessVectorCache；访问向量缓存，客体和主体的权限常常被缓存在AVC当中），如果AVC中有策略决策则会立刻返回给策略强制服务器，如果没有会转向安全服务器，安全服务器会根据系统初始化装载到内核的二进制策略做出决策，再将决策放到AVC中缓存起来，同事将决策返回给策略强制服务器。如果决策表示允许操作，则主体可以完成对客体的操作，反之被拒绝，被拒绝访问的信息会被记录到log文件。Flask体系结构来源于DTOS系统原型，主要由两类子系统——客户端-对象管理器和安全服务器组成。它支持吊销机制，提供线程状态的及时、完全的输出，确保所有内核的操作或是原子的、或是清楚地被划分为用户可视的原子阶段，并且安全服务器原型实现了绑定4个子策略的安全策略。Flask体系结构有两个用于安全性标签的与策略无关的数据类型——安全上下文和安全标识。安全性上下文是表示安全性标签的变长字符串。安全性标识(SID)是由安全性服务器映射到安全性上下文的一个整数。SID作为实际上下文的简单句柄服务于系统。它只能由安全性服务器解释。Flask通过称为对象管理器的构造来执行实际的系统绑定。它们不透明地处理SID和安全性上下文，不涉及安全性上下文的属性。任何格式上的更改都不应该需要对象管理器进行更改。-2-《操作系统安全》实验一……Windows系统安全设置实验一、实验目的1、了解Windows操作系统的安全性2、熟悉Windows操作系统的安全设置3、熟悉MBSA的使用二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、采用MBSA测试系统的安全性，并分析原因。3、比较Windows系统的安全设置和Linux系统安全设置的异同。三、实验内容1、配置本地安全设置，完成以下内容：（1）账户策略：包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）-3-（2）账户和口令的安全设置：检查和删除不必要的账户（User用户、DuplicateUser用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。-4--5-（3）设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等-6-（4）设置IP安全策略-7-（5）其他设置：公钥策略、软件限制策略等-8-2、Windows系统注册表的配置（1）找到用户安全设置的键值、SAM设置的键值（2）修改注册表：禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。建立建立空连接：找到“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。禁止管理共享：找到-9-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。关闭139端口：在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口防范SYN攻击：相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下(1)DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。(2)DWORD：TcpMaxConnectResponseRetransmissions：定义了对于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值=2时才会被启用，默认值为3。（上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。-10-减少syn-ack包的响应时间：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3，最大20，最小1。HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000，最大可取40000预防DoS攻击：在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS攻击SynAttackProtectREG_DWORD2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0-11-防止ICMP重定向报文的攻击：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirectsREG_DWORD0x0(默认值为0x1)。该参数控制Windows是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息，有时会被利用来干坏事。Windows中默认值为1，表示响应ICMP重定向报文。禁止响应ICMP路由通告报文HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\PerformRouterDiscoveryREG_DWORD0x0(默认值为0x2)“ICMP路由公告”功能可造成他人计算机的网络连接异常，数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常。建议关闭响应ICMP路由通告报文。Windows中默认值为2，表示当DHCP发送路由器发现选项时启用。不支持IGMP协议HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IGMPLevelREG_DWORD0x0(默认值为0x2)Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。Windows虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。改成0后用routeprint将看不到224.0.0.0项了。禁止死网关监测技术HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersEnableDeadGWDetectREG_DWORD0x0(默认值为ox1)如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。修改MAC地址HKLM\SYSTEM\CurrentControlSet\Control\Class\找到右窗口的说明为“网卡“的目录，比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之，在其下0000,0001,0002...的分支中找到”DriverDesc“的键值为你网卡的说明，比如说”DriverDesc“的值为”Intel(R)82559FastEthernetLANonMotherboard“然后在右窗口新建一字符串值，名字为”Networkaddress“，内容为你想要的MAC值，比如说是”004040404040“然后重起计算机，ipconfig/all查看。3、文件及文件夹权限设置（1）用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？分属哪些组？设置其权限。-12-（2）新建一个文件夹并设置其访问控制权限。-13-4、审核日志分析（1）查找审核日志，显示其详细信息：应用程序日志、安全性日志、系统日志。-14-（2）分析各种日志所描述的内容，分析警告、信息、错误等的意义。信息为普通系统信息，警告为暂时可不处理的问题，错误为必须立即处理的问题。-15-5、使用Microsoft基准安全分析器MBSA2.0对系统进行安全评估Microsoft基准安全分析器(MBSA)可以检查操作系统，还可以扫描计算机上的不安全配置。检查Windows服务包和修补程序时，它将Windows组件（如Internet信息服务(IIS)和COM+）也包括在内。MBSA使用一个XML文件作为现有更新的清单。该XML文件包含在存档Mssecure.cab中，由MBSA在运行扫描时下载，也可以下载到本地计算机上，或通过网络服务器使用。官方下载地址：（1）MBSA可在下列网址下载：（2）MBSA的技术白皮书可在下列网址下载：操作系统安全》实验二……Linux系统安全设置实验一、实验目的1、了解Linux操作系统的安全性2、熟悉Linux操作系统的安全设置3、建立Linux操作系统的基本安全框架二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、使用RPM对系统的软件进行管理，验证系统内软件的完整性，并分析结果。3、比较Windows系统的安全设置和Linux系统安