操作系统10第十章 操作系统管理(2)1

10.4操作系统安全(Security)安全威胁(TypesofSecurityThreats)身份认证(Authentication)程序威胁(ProgramThreats)威胁监测(ThreatMonitoring)可信系统(TrustedSystem)威胁类型阻断(interruption)系统资产被毁损或变成不可用、不能用截取(interception)非授权方得到系统资产，如盗取保密数据篡改(modification)系统数据被非授权者改变伪造(fabrication)非授权者将假对象加入系统威胁类型阻断sourcedestination截取sourcedestinationsourcedestination篡改sourcedestination伪造10.4.1闯入与身份认证身份认证最常用的手段是口令.口令加密后存储到系统的Password文件中用户口令在帐户建立时连同登录名字一起记载在系统password文件中Linux/etc/shadowUNIX/etc/passwd加密函数易于计算但难于取反口令的选取推荐选取原则混合使用字母(大小写)、数字.采用一个熟悉句字中出现的单词的首字母，如MfnisB(MyFather’sNameisBob).UNIX口令UNIX系统在加密之前对口令拼加“salt”salt是随机产生的长度为12bit的附加位，将其与口令s（56bit）串接在一起，然后对其结果再运行crypt(3)算法，加密后的结果连同salt一起保存在passwd文件中10charscrypt(3)saltpassword12bit56bitUser-idsaltEpsw(s,salt)User-idUNIX口令载入User-idsaltEpsw(s,salt)User-idcrypt(3)passwordcompareUNIX口令验证一次性口令原理基于单向函数y=f(x)给定x，可以很容易地计算y;给定y，从计算上来说不可能求得x;用户首先选定一个保密口令s，同时指定一个整数n（口令使用次数）Passwordgeneration:第一代口令为p1=fn(s);第二代口令为p2=fn-1(s);...第n代口令为pn=f(s).一次性口令主机初始化P0=f(P1)和n记在passwordfile中第一次登录:主机响应n,远程用户输入口令s,在客户端计算出p1=fn(s)并传送给主机,主机计算出p0=f(p1)并将其与passwordfile中的p0相比较.如果相同登录成功，主机用p1取代passwordfile中的p0,并将n减1.一次性口令第二次登录:主机响应n-1,远程用户输入口令s,在客户端计算出p2=fn-1(s)并传送给主机,主机计算出p1=f(p2)并将其与password文件中的p1相比较.如果相同登录成功，主机用p2取代password文件中的p1,并将n减1.特点抗截取10.4.2程序威胁独立程序寄生程序陷阱门逻辑炸弹特洛伊木马细菌蠕虫病毒复制恶意程序逻辑炸弹逻辑炸弹是隐藏在合法程序中可以被某种条件触发而执行某种破坏性动作的程序软件开发者可以采用这种手段制约使用者，以达到某种目的,逻辑炸弹程序的设计是容易的，一般编程人员都能实现，但要伪装得好、不易被发现，则需要一定的设计技巧和编程经验.特洛伊木马特洛伊木马是嵌入于某合法程序中的秘密例程，合法程序的执行将导致秘密例程的执行，是具有伪装的攻击程序.例如甲欲得到乙的文件F,因无权限不能直接访问，便编写一个游戏程序G并邀请甲玩，甲运行G，这确实是一个游戏程序，但在后台G将F复制到乙用户的目录下，达到了文件窃取的目的特洛伊木马防止特洛伊木马增强权限检查和控制，如限制存取灵活性提高自我防范意识，慎重使用来历不明的软件后门(trapdoor)后门是程序中绕过例行检查的入口这种非正常入口在程序开发过程中普遍存在，一旦系统发布所有后门均应关闭后门一般有两种情况忘记关闭有意保留细菌(bacteria)消耗系统资源.进程复制eg.Systemcallfork,spaw,etc.文件复制makenewbacteriafile细菌可以指数级别增长，消耗CPU资源内存资源磁盘空间病毒(virus)病毒不是一个独立的程序，而是寄生于某一合法程序(通常是一个可执行程序)上的一段代码，其危害包括两个方面：传播，使其它文件感染上该病毒；破坏，具体破坏动作多种多样，如删除系统文件.压缩病毒的感染过程④P1P1’CVP2’CVP2①②③蠕虫(worm)危害：复制和传播，通过自身复制消耗系统资源，在网上从一个计算机传播到另一个计算机；除利用spawn复制和传播外，可能伴随执行不期望的动作.10.4.3安全策略口令管理初始口令当为给一个用户建立户头时,为其规定一个登录口令关卡口令在某些关键目录、关键文件等设置口令,可以防止非授权的用户对其进行访问,达到保护的目的主副口令即设置两个口令:一个为主口令,另外一个为副口令.主副口令分别由两个不同的用户掌握,仅当二者都在场时才能成功对答通过防火墙(firewall)防火墙是网络上分离可信系统(trustedsystem)与非可信系统(un-trustedsystem)的常用方法介于可靠系统与非可靠系统之间的一台计算机或一个路由器构成作用限制两个不同安全域之间的相互访问动态监视和记录所有连接加密加密的思想是伪装信息，使局外人不可理解信息的真正含义安全性取决于对密钥的管理加密保护可以防止信息被截取(interception)不能防止信息被篡改(modification)加密加密和解密原理一个加密系统可由五元组定义：S={P,C,K,E,D},其中P为明文空间，C为密文空间，K为密钥空间，E为加密算法，D为解密算法.EDC=E(P,KE)PP=D(C,KD)KEKD审计(auditing)审计作为事后追踪的手段来保证系统安全审计将涉及系统安全的操作记录在系统监听日志(auditlog)中以便在发生安全问题后对违反系统安全规则的事件能够有效地追查事件发生时间、地点与过程审计(auditing)审计记录的事件使用识别和认证机制(如注册过程)；将某客体引入某个用户的地址空间(如打开文件)；删除客体；系统管理员和安全管理员执行的操作.审计(auditing)审计的事件包括：对系统资源的访问；使用某种特权对系统资源进行访问；注册/退出操作；修改系统或用户口令；不成功的登录操作.备份与恢复抗御信息破坏(disruption)的安全措施导致信息破坏的原因可能是人为的，如文件被非法删除；也可能是自然原因造成的，如存储介质失效、自然灾害等；系统操作员必须定期地对系统中的重要数据进行转储.10.4.3可信系统可信系统的核心是最小的可信计算基(TrustedComputingBase，TCB)TCB由强制实施所有安全规则的硬件和软件构成TCB组成绝大多数硬件(I/O设备除外，因为它们不影响安全性)；操作系统核心中的一部分；进程创建进程切换存储映射部分文件设备IO管理其它具有特权用户权限的用户程序(例如UNIX系统中的setuid的root程序)．10.4.3可信系统可信系统结构访问监视器进程所有系统调用TCB操作系统核心用户空间系统空间