操作系统安全 第10部分 linux、unix 系统安全.ppt

改变文件的当属关系的工具 chown chown 所接的新的属主和新的属组之间应该以.或:连接，属主和属组之一可以为空。如果属主为空，应该是 :属组 ；如果属组为空就不必需要.或:了。 chown 也提供了-R参数，这个参数对目录改变属主和属组极为有用，我们可以通过加-R参数来改变某个目录下的所有文件到新的属主或属组； 改变文件的属组工具 chgrp 它的用户和chown 类似，只不过它仅是用来改变文件或目录的属组的；-R参数用于目录及目录下所有文件改变属组的。它和chown的用法是一样的。 扩展实验5-1设置文件和目录权限相关命令 PAM PAM（可插拔认证模块）方式允许系统管理员设置多种认证措施而无须重新编译要进行认证的程序，这就使得管理员能根据当前需求的变化而变更用户认证的方法 。 PAM的模块类型 PAM定义了四种类型的模块： auth模块提供实际的认证过程，可能是提示口令输入并检查输入的口令，设置必威体育官网网址字如用户组或KERBEROS通行证。 account模块负责检查并确认是否可以进行认证（比如，帐户是否到期，用户此时此刻是否可以登入，等等）。 password模块被用来设置口令。 session模块将被用来做用户使用其帐户前的初始化工作，如安装用户的HOME目、使用用户的电子邮箱等。 举例 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so shadow nullok auth required /lib/security/pam_nologin.so account required /lib/security/pam_pwdb.so password required /lib/security/pam_cracklib.so password required /lib/security/pam_pwdb.so shadow nullok use_authtok session required /lib/security/pam_pwdb.so Telnet安全 telnet有以下几个严重缺陷： 口令没有加密，第三者可用嗅探器捕获到口令。 Telnet没有采用强用户认证。 Telnet不进行会话完整性检查。 Telnet会话没有加密。 SSH SSH(secure Shell)是一个用来替代TELNET、FTP以及R命令的工具包，旨在解决口令在网上明文传输的问题。 扩展实验5-2 SSH安装和使用 NFS安全 NFS(network file system)是由SUN公司开发, 并于1984年推出， NFS的功能在于提供不同机器间的档案分享与共用 . NFS的不安全性主要体现于以下4个方面: 新手对NFS的访问控制机制难于做到得心应手,控制目标的精确性难以实现 NFS没有真正的用户验证机制,而只有对RPC/Mount请求的过程验证机制 较早的NFS可以使未授权用户获得有效的文件句柄 在RPC远程调用中,一个SUID的程序就具有超级用户权限 NFS安全 禁止NFS服务,或以AFS服务取而代之(Andrew File System) 如果一定要开NFS,不要让一个单机可以既是client,也是server export出的文件系统只设置为只读 禁止那些有SUID特性的程序的执行 不要export home 目录 不要export可执行特性 扩展实验5-3设置NFS共享及安全 Apache服务器安全 Apache服务器是Internet网上应用最为广泛的Web服务器软件之一。Apache服务器源自美国国家超级技术计算应用中心（NCSA）的Web服务器项目中。目前已在互联网中占据了领导地位。 主要的安全缺陷： （1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷 （2）缓冲区溢出的安全缺陷 （3）被攻击者获得root权限的安全缺陷 正确维护和配置Apache服务器 （1）Apache服务器配置文件 （2）Apache服务器的日志文件 （3）Apache服务器的目录安全认证 （4）Apache服务器访问控制 （5）Apache服务器的密码保护问题 日志查看和分析工具 在Linux系统中，有三个主要的日志子系统： 连接时间日志--由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。 进程统计--由系统内