課程設計--linux操作系統(tǒng)安全性的研究

1、<p><b>　　計算機與信息學院</b></p><p><b>　　課程設計報告</b></p><p>　　2009 年 12 月 16 日</p><p>　　*******大學計算機與信息學院信息工程類</p><p>　　課程設計報告結(jié)果評定</p><

2、p>　　目 錄</p><p>　　1．課程設計的目的1</p><p>　　2．課程設計的要求1</p><p>　　3. 課程設計報告內(nèi)容1</p><p>　　3.1系統(tǒng)安全性的基本概念1</p><p>　　3.1.1系統(tǒng)安全性的內(nèi)容1</p><p>　　

3、3.1.2系統(tǒng)安全威脅類型 ...................................................................................1</p><p>　　3.1.3系統(tǒng)安全性的主要目標2</p><p>　　3.2系統(tǒng)安全的技術指標2</p><p>　　3.2.1標識與鑒別機制3</p

4、><p>　　3.2.2訪問控制4-5</p><p>　　3.2.3最小特權管理6</p><p>　　3.2.4可信通路6</p><p>　　3.2.5安全審計機制7</p><p>　　3.2.6存儲保護、運行保護和I/O保護7</p><p>　　3.3Linux操作系統(tǒng)的安全機

5、制8-11</p><p>　　3.4Linux安全性的提高11-13</p><p>　　4．問題討論與分析13</p><p><b>　　5．結(jié)束語13</b></p><p><b>　　參考文獻14</b></p><p><b>　　系統(tǒng)安全性

6、研究</b></p><p><b>　　1．課程設計的目的</b></p><p>　　課程設計為學生提供了一個既動手又動腦，獨立實踐的機會，將課本上的理論知識和實際有機的結(jié)合起來，鍛煉學生的分析系統(tǒng)，解決實際問題的能力。提高學生分析系統(tǒng)、實踐編程的能力。</p><p><b>　　2．課程設計的要求</b>

7、;</p><p>　　考察操作系統(tǒng)安全性的技術指標；分析這些技術指標的合理、有效性；以某操作系統(tǒng)LINUX安全性作進一步的分析研究。</p><p>　　認真完成本課程設計的全部過程。并以最終課程設計成果來證明其獨立完成各種實際任務的能力。從而，反映出理解和運用本課程知識的水平和能力。</p><p><b>　　課程設計報告內(nèi)容</b>&l

8、t;/p><p>　　3.1系統(tǒng)安全性的基本概念</p><p>　　3.1.1系統(tǒng)安全的內(nèi)容。</p><p>　　系統(tǒng)的安全性可以包括俠義安全概念和廣義安全概念兩個方面。前者主要是只對外部攻擊的防范，后者則是指保障系統(tǒng)中數(shù)據(jù)的機密性、完整性和系統(tǒng)的可用性的概念。當主要使用廣義的安全概念。</p><p>　　系統(tǒng)安全性包括三個方面的內(nèi)容，即物

9、理安全、邏輯安全和安全管理。物理安全是指系統(tǒng)設備及相關設施受到物理保護，使之免遭破壞或者丟失。安全管理包括各種安全管理的政策和機制。邏輯安全是指系統(tǒng)中信息資源的安全，它包括：數(shù)據(jù)機密性、數(shù)據(jù)完整性和系統(tǒng)可用性。</p><p>　　3.1.2系統(tǒng)安全威脅類型</p><p>　　為了防范攻擊者的攻擊，必須了解攻擊者威脅系統(tǒng)安全的方式。攻擊者可能采用的攻擊方式層出不窮，而且還會隨著科學技術的

10、發(fā)展，不斷形成許多新的威脅系統(tǒng)安全的攻擊方式，當前幾種主要的威脅類型。</p><p><b>　?、偌倜坝脩羯矸?。</b></p><p><b>　?、跀?shù)據(jù)截取。</b></p><p><b>　　③ 拒絕服務 </b></p><p><b>　?、苄薷男?/p>

11、息</b></p><p><b>　?、輦卧煨畔?lt;/b></p><p><b>　?、薹裾J操作</b></p><p><b>　?、咧袛鄠鬏?lt;/b></p><p><b>　?、嗤ㄐ帕糠治?lt;/b></p><p>

12、;　　3.1.3系統(tǒng)安全的目的：</p><p>　　操作系統(tǒng)是硬件和其他應用軟件之間的連接橋梁，它所提供的安全服務主要包 括：內(nèi)存保護、文件保護、普通實體保護（對實體的一般存取控制）、存取鑒別（用戶身份的鑒別）等。</p><p>　　系統(tǒng)安全的主要目標：</p><p>　　①按系統(tǒng)安全策略對用戶的操作進行訪問控制，防止用戶對計算機資源的非法 使用（竊取、篡改

13、和破壞）</p><p>　?、跇俗R系統(tǒng)中的用戶，并對身份進行鑒別</p><p>　?、郾O(jiān)督系統(tǒng)運行的安全性</p><p>　　④保證系統(tǒng)自身的安全行和完整性</p><p>　　3.2系統(tǒng)安全的技術指標</p><p>　　3.2.1標識與鑒別機制</p><p><b>　?、?/p>

14、標識與鑒別機制</b></p><p>　　標識是用戶要向系統(tǒng)表明的身份。每個用戶都具有一個系統(tǒng)可以是識別的內(nèi)部名稱，即用戶標識。用戶標識可以是用戶名、登錄ID、身份證號或者智能卡等。用戶一旦完成了身份標識，這個身份標識就要對該用戶的所有行為負責，操作系統(tǒng)通過標識來跟蹤用戶的操作。因此，用戶標識必須是唯一的并且不能偽造的。</p><p>　　用戶可以用以下四種方法中的一種，表

15、明他們是自己聲明的身份。</p><p><b>　?、僮C實你所知道的</b></p><p>　　密碼驗證是安全操作系統(tǒng)中最普通的身份驗證的方法，登錄系統(tǒng)時，通常要出示自己的密碼。這就是你所知道的。你所知道的內(nèi)容除了密碼，還有身份證號碼，你最喜歡的數(shù)字，你最愛的人的名字等，這些都是可以作為身份識別的信息。</p><p>　　值得注意的是，使

16、用安全系數(shù)高的密碼，提高安全性的最簡單有效的方法之一就是使用一個不會輕易被暴力攻擊所猜到的密碼。</p><p>　　什么是暴力攻擊?攻擊者使用一個自動化系統(tǒng)來盡可能快的猜測密碼，以希望不久可以發(fā)現(xiàn)正確的密碼。使用包含特殊字符和空格，同時使用大小寫字母，避免使用從字典中能找到的單詞，不要使用純數(shù)字密碼，這種密碼破解起來比你使用母親的名字或你的生日作為密碼要困難的多。另外，要記住，每使密碼長度增加一位，就會以倍數(shù)級

17、別增加由你的密碼字符所構(gòu)成的組合。一半來說，小于8個字符的密碼被認為是很容易被破解的。可以用10個、12個字符作為密碼，16個當然更好了。在不會因為過長而難于鍵入的情況下，讓你的密碼盡可能的更長會更加安全。</p><p><b>　?、诔鍪灸闼鶕碛械?lt;/b></p><p>　　這種方法是指用戶出示自己擁有的可以證明身份的物質(zhì)，例如，智能卡、憑證設備和內(nèi)存卡等。智能

18、卡鑒別的方法現(xiàn)在應用也很廣泛，智能卡具有微芯片，芯片中可以包含用戶的詳細信息。但是智能卡需要依賴于智能卡讀卡機才能進行操作，使用智能卡的安全操作系統(tǒng)需要具有相應的硬件支持。</p><p><b>　　③證明你是誰</b></p><p>　　該方法一些無法輕易復制或偷走的物理、遺傳或其他人類特征為基礎的內(nèi)容進行身份的識別。例如指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特

19、征掃描等。</p><p><b>　?、鼙憩F(xiàn)你的動作</b></p><p>　　指表現(xiàn)出你自己特有的能夠表明身份的動作。例如簽名、鍵入密碼的速度與力量、語速等，不過這種方法具有一定的誤判率，因此一般作為輔助鑒別手段。</p><p>　　生物鑒別方法也是比較常用的身份識別的鑒別方法，生物鑒別主要側(cè)重于前面提到的“證明你是誰”和“表現(xiàn)你的動作

20、”的身份鑒別發(fā)，該方法要求用戶提供的是用戶獨有的行為或生理上的特點，包括指紋、面容掃描、虹膜掃描、視網(wǎng)膜掃描、手掌掃描、心跳或者脈搏取樣、語音取樣、簽名力度、案件取樣等。生物識別的方法采用的技術成為生物測定學。使用一個生物測定學因素代替用戶或者賬戶ID作為身份標識，需要生物測定學取樣對已存儲的取樣數(shù)據(jù)庫中的內(nèi)容進行一對多的查找，并且要在生物測定學取樣和已存儲取樣之間保持主體身份的一一對應。如果使用生物測定因素其特性隨時間而變化，例如人的

21、語調(diào)、頭發(fā)或簽字的方式，則采樣必須定期重新進行。</p><p>　?、?.2.2訪問控制</p><p>　　用戶通過身份鑒別后，還必須通過授權才能訪問資源或者進行操作。授權可以只在用戶的身份識別通過以后再進行。系統(tǒng)通過訪問控制來提供授權。訪問控制的基本任務是防止用戶對系統(tǒng)資源的非法使用，保證對客體的所有直接訪問都是被認可的。</p><p>　　使用訪問控制機制

22、主要是為了達到以下目的：</p><p>　?、俦Ｗo存儲在計算機上的個人信息。</p><p>　?、诒Ｗo重要信息的機密性。</p><p>　?、劬S護計算機內(nèi)信息的完整性。</p><p>　?、軠p少病毒感染機會，從而延緩這種感染的傳播。</p><p>　?、荼ＷC系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯。&

23、lt;/p><p>　　訪問控制機制的實行主要包含以下措施：</p><p>　?、俅_定要保護的資源。即確定系統(tǒng)中被處理、被控制或被訪問的對象，如文件、進程等。</p><p>　?、谑跈?。即規(guī)定可以訪問資源的實體或主體，通常是一個人，有時也指一個軟件程序或進程。</p><p>　?、鄞_定訪問權限。即通過確定可以對該資源執(zhí)行的動作，例如讀、寫、

24、執(zhí)行、追加、刪除等不同方式的組合。</p><p>　　④實施訪問權限。即通過確定每個實體可以對哪些資源執(zhí)行哪里動作來確定該安全方案。</p><p>　　目前主要的有三種訪問控制技術：自主訪問控制、強制訪問控制和基于角色的訪問控制。</p><p>　　自主訪問控制一個安全的操作系統(tǒng)需要具備訪問控制機制。它基于對主體及主體所屬的主體組的識別，來限制對客體的訪問，

25、還要校驗主體對客體的訪問請求是否符合存取控制規(guī)定來決定對客體訪問的執(zhí)行與否。這里所謂的自主訪問控制是指主體可以自主地（也可能是單位方式）將訪問權，或訪問權的某個子集授予其它主體。為了實現(xiàn)完備的自主訪問控制系統(tǒng)，由訪問控制矩陣提供的信息必須以某種形式存放在系統(tǒng)中。訪問矩陣中的每行表示一個主體，每一列則表示一個受保護的客體，而矩陣的元素，則表示主體可以對客體的訪問模式。</p><p><b>　　強制訪

26、問控制</b></p><p>　　自主訪問控制是保護系統(tǒng)資源不被非法訪問的一種有效手段。但是由于它的控制是自主的，也帶來了問題。于是，人們又提出了一種更強有力的訪問控制手段，這就是強制訪問控制。在自主訪問控制方式中，某一合法用戶可以任意運行一程序來修改他擁有的文件存取控制信息，而操作系統(tǒng)無法區(qū)分這種修改是用戶自己的操作，還是惡意攻擊的特洛伊木馬的非法操作。通過強加一些不可逾越的訪問限制，系統(tǒng)可以防止

27、某一些類型的特洛伊木馬的攻擊。在強制訪問控制方式中，系統(tǒng)對主體和客體都分配一個特殊的安全屬性，而且這一屬性一般不能更改，系統(tǒng)通過比較主體和客體的安全屬性來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的安全屬性。強制訪問控制還可以阻止某個進程共享文件，并阻止通過一個共享文件向其它進程傳遞信息。強制訪問控制施加給用戶自己客體的嚴格的限制，但也使用戶受到自己的限制。但是，系統(tǒng)為了防范特洛伊木馬，必須要這么做。即便是

28、不在存在特洛伊木馬，強制訪問控制也有用，它可以防止在用戶無意或不負責任的操作時，泄露機密信息。強制訪問控制對專用的或簡單的系統(tǒng)是有效的，但對通用、大型系統(tǒng)并不那么有效。</p><p><b>　　基于角色的訪問控制</b></p><p>　　基于角色的訪問控制（RBAC）是20世紀90年代由美國的國家標準和技術研究院提出的一種訪問機制，該機制可以減少授權管理的復雜

29、性，降低管理開銷。</p><p>　　RBAC本質(zhì)上也是強制訪問控制的一種，只不過訪問控制是基于工作的描述（如角色或者任務），而不是主體的身份。系統(tǒng)通過主體的角色或任務定義主體訪問客體的能力，如果主體處于管理位置上，那么它將比處于臨時位置上的人具有更大的資源訪問能力。RBAC在人員頻繁變動的環(huán)境中很有用。</p><p>　　RBAC的基本思想：授權給用戶的訪問資權限，通常由用戶擔當?shù)慕?/p>

30、色來確定。例如，一個銀行包含的角色可以有出納員、會計師、貸款員等。他們職能不同，擁有的訪問權限也就各不相同。RBAC根據(jù)用戶在組織內(nèi)所處角色作出訪問權授權與控制，但用戶不能自主地將訪問權限傳給別人，但他無權將開處方的權利傳給護士。</p><p>　　一個用戶可經(jīng)授權而擁有多個角色，一個角色可由多個用戶構(gòu)成；每個角色可執(zhí)行多種操作，每個操作也可由不同的角色執(zhí)行；一個用戶可擁有多個主體，即擁有處于活動狀態(tài)、以用戶身

31、份運行的多個進程，但每個主體只對應一個用戶，每個操作可施加于多個客體，每個客體也可以接受多個操作。用戶（主體）能夠?qū)σ豢蛷d執(zhí)行訪問操作的必要條件是，該用戶被授權了一定的角色，其中有一個在當前時刻處于活躍狀態(tài)，而且這個角色對客體擁有相應的訪問權限。</p><p>　　3.2.3最小特權管理</p><p>　　最小特權原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(Least Privil

32、ege)，指的是"在完成某種操作時所賦予網(wǎng)絡中每個主體(用戶或進程)必不可少的特權"。最小特權原則，則是指"應限定網(wǎng)絡中每個主體所必須的最小特權，確保可能的事故、錯誤、網(wǎng)絡部件的篡改等原因造成的損失最小"。</p><p>　　最小特權原則一方面給予主體"必不可少"的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作;另一方面，它

33、只給予主體"必不可少"的特權，這就限制了每個主體所能進行的操作。</p><p>　　最小特權原則要求每個用戶和程序在操作時應當使用盡可能少的特權，而角色允許主體以參與某特定工作所需要的最小特權去簽入(Sign)系統(tǒng)。被授權擁有強力角色(Powerful Roles)的主體，不需要動輒運用到其所有的特權，只有在那些特權有實際需求時，主體才去運用它們。如此一來，將可減少由于不注意的錯誤或是侵入者

34、假裝合法主體所造成的損壞發(fā)生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程序之間潛在的相互作用，從而使對特權無意的、沒必要的或不適當?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權的最小部分才擁有特權。</p><p><b>　　3.2.4可信通路</b></p><p>　　可信通路是用戶能夠借以直接同可信計算基通信的一種機制。用戶進

35、行與安全有關的操作時，例如登錄、定義用戶的安全屬性、改變文件的安全等級等操作，必須保證是與計算機系統(tǒng)的安全核心通信。特權用戶在進行特權操作時，也要確定從終端上輸出的信息是正確的，而不是來自特洛伊木馬。這些都需要一個機制保障用戶和內(nèi)核的通信，這種機制就是由可信通路提供的。可信通路能夠保證用戶確定是和安全核心通信，防止不可信進程如特洛伊木馬等模擬系統(tǒng)的登錄過程而竊取用戶的口令。</p><p>　　提供可信通路的最簡

36、單的辦法是給每個用戶兩臺終端，一臺用于處理日常工作，另一臺專門用于和內(nèi)核的硬連接。這種辦法雖然簡單，但是十分昂貴。實際應用中對用戶建議可信通路的一種方法是使用通用終端，通過發(fā)信號給核心。這個信號是不可信軟件不能攔截、覆蓋或者偽造的。一般稱這個信號為“安全注意鍵”。安全注意鍵是由終端驅(qū)動程序檢測到的按鍵的一個特殊的組合。系統(tǒng)一旦識別到用戶在一個終端上鍵入安全注意鍵，就會終止對應到該終端的所有用戶進程，啟動可信的會話過程，以保證用戶名和口令

37、不被竊走。</p><p>　　3.2.5安全審計機制</p><p>　　審計機制一般是通過對日志的分析來完成的。日志就是紀錄的事件或統(tǒng)計數(shù)據(jù)，這些事件或者統(tǒng)計數(shù)據(jù)能提供關于系統(tǒng)使用及性能方面的信息。審計就是對日志紀錄的分析并以清晰的、能理解的方式表達系統(tǒng)信息。系統(tǒng)的安全審計就是對系統(tǒng)中有關安全的活動進行紀錄、檢查及審核。</p><p>　　審計通過事后分析的方

38、法認定違反安全規(guī)則的行為，從而保證系統(tǒng)的安全。審計機制的主要作用如下：</p><p>　　能夠詳細紀錄與系統(tǒng)安全有關的行為，并對這些進行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全。</p><p>　　能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點、過程以及對應的主體。</p><p>　　對于已受攻擊的系統(tǒng)，可以提供信息幫助進行損失評估和系統(tǒng)

39、恢復。</p><p>　　可見，審計是操作系統(tǒng)安全的一個重要方面。安全操作系統(tǒng)一般都要求采用審計機制來監(jiān)視與安全相關的活動。美國國防部《橘皮書》中就明確要求“可信計算機必須向授權人員提供一種能力，以便對訪問、生成或泄露秘密或敏感信息的任何活動進行審計。根據(jù)一個特定機制和/或特定應用的審計要求，可以有選擇地獲取審計數(shù)據(jù)。但是審計數(shù)據(jù)中必須有足夠細的粒度，以支持對一個特定個體已發(fā)生的動作或代表該個體發(fā)生的動作進行追

40、蹤”。</p><p>　　3.2.6存儲保護、運行保護和I/O保護</p><p><b>　　1>存儲保護</b></p><p>　　對于一個安全操作系統(tǒng)，存儲保護是一個最基本的要求，這主要是指保護用戶在存儲器中的數(shù)據(jù)。保護單元為存儲器中的最小數(shù)據(jù)范圍，可以是字、字塊、頁面或段。保護單元越小，則存儲保護精度越高。對于代表單個用戶，在

41、內(nèi)存中一次運行一個進程的系統(tǒng)，存儲保護機制應該防止用戶程序?qū)Σ僮飨到y(tǒng)的影響。在允許許多道程序并發(fā)運行的多任務操作系統(tǒng)中，還進一步要求存儲保護機制對進程的存儲區(qū)域?qū)嵭邢嗷ジ綦x。</p><p>　　存儲保護與存儲器管理是緊密相關的，存儲保護負責保證系統(tǒng)各個任務之間互不干擾，存儲器管理則是為了更有效地利用存儲空間。</p><p><b>　　2>運行保護</b>&

42、lt;/p><p>　　安全操作系統(tǒng)的運行保護是基于一種保護環(huán)境的等級結(jié)構(gòu)實現(xiàn)的，這種保護環(huán)稱為運行域。運行域是進程運行的區(qū)域，在最內(nèi)層具有最小環(huán)號的環(huán)具有最高特權，而在最外層具有最大環(huán)號的環(huán)是最小的特權環(huán)。最內(nèi)層是操作系統(tǒng)，它控制整個計算機系統(tǒng)的運行，靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應用環(huán)，最外一層則是控制各種不同用戶的應用環(huán)。</p><p>　　在這里最重要的的安全概念是：等級域機制

43、應該保護某一環(huán)不被其外層環(huán)侵入，并且允許在某一環(huán)內(nèi)的進程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)。進程隔離機制與等級域是不同的。給定一個進程，它可以在任意時刻在任何一個環(huán)內(nèi)運行，在運行期間還可以從一個環(huán)轉(zhuǎn)移到另一個環(huán)。當一個進程在某個環(huán)內(nèi)運行時，進程隔離機制將保護該進程免遭在同一環(huán)內(nèi)同時運行的其他進程破壞，也就是說，系統(tǒng)將隔離在同一環(huán)內(nèi)同時運行的各個進程。</p><p><b>　　3>I/O保

44、護</b></p><p>　　I/O操作一般是由操作系統(tǒng)完成的一個特權操作。操作系統(tǒng)對I/O操作使用對應的系統(tǒng)調(diào)用，用戶不需要控制I/O操作細節(jié)。對I/O操作進行安全控制的最簡單的方式是將設備看成一個客體，對其應用相應的訪問控制規(guī)則。由于所有的I/O不是向設備寫數(shù)據(jù)就是從設備接收數(shù)據(jù)，所以一個進行I/O操作的進程必須受到對設備的讀寫兩種訪問控制。這就意味設備到介質(zhì)間的路徑可以不受什么約束，而處理到設

45、備間的路徑則需要施以一定的讀寫訪問控制。</p><p>　　3.3Linux安全性的研究</p><p>　　經(jīng)過十多年的發(fā)展，Linux的功能在不斷增強，其安全機制亦在逐步完善。按照TCSEC評估準則，目前Linux的安全級基本達到了C2級，更高安全級別的Linux系統(tǒng)正在開發(fā)之中，下面我們來簡單介紹一下Linux主要安全機制，這些機制有些已被標準的Linux所接納，有些只是提供了“補

46、丁”程序。</p><p>　　PAM（pluggable Authentication Modules）是一套共享庫，其目的是提供一個框架和一套編程接口，將認證工作由程序員交給管理員，PAM允許管理員在多種認證方法之間作出選擇，它能夠改變本地認證方法而不需要重新編譯與認證相關的應用程序。</p><p>　　PAM的功能包括：加密口令（包括DES和其他加密算法）；對用戶進行資源限制，防止

47、DOS攻擊；允許隨意shadow口令；限制特定用戶在指定時間從指定地點登錄；引入概念“Client Plug-in Agents”，使PAM支持C/S應用中的機器---機器認證成為可能。</p><p>　　PAM為更有效的認證方法的開發(fā)提供了便利，在此基礎上可以很容易的開發(fā)出代替常規(guī)的用戶名加口令的認證方法，如智能卡、指紋識別等認證技術。</p><p><b>　　入侵檢測系

48、統(tǒng)</b></p><p>　　入侵檢測技術是一項相對比較新的技術，目前很少有操作系統(tǒng)安裝了入侵檢測工具，事實上，標準的Linux發(fā)布版本也是最近才配置了這種工具。盡管入侵檢測系統(tǒng)的歷史很短，但是發(fā)展卻很快。利用Linux配備的工具和從因特網(wǎng)下載的工具，就可以是Linux具備高級的入侵檢測能力，這些能力包括：紀錄入侵企圖，當攻擊發(fā)生時通知管理員；在規(guī)定情況的攻擊發(fā)生時，采取事先規(guī)定的措施；發(fā)送一些錯誤

49、信息，比如偽裝成其他操作系統(tǒng)，這樣攻擊者會認為他們正在攻擊一個Windows NT或者Solaris系統(tǒng)。</p><p><b>　　加密文件</b></p><p>　　加密技術在現(xiàn)代計算機系統(tǒng)安全中扮演這越來越重要的角色。加密文件系統(tǒng)就是將加密服務引入文件系統(tǒng)，從而提高計算機系統(tǒng)的安全性。有太多的理由需要加密文件系統(tǒng)，比如防止硬盤被偷竊、防止未經(jīng)授權的訪問等。&

50、lt;/p><p>　　目前Linux已有很多種加密文件系統(tǒng)，如CFS，TCFS，CRYPTFS等，較有代表性的是TCFS（Transparent Cryptographic File system）,它通過將加密服務和文件系統(tǒng)緊密集成，使用戶感覺不到文件的加密過程。TCFS不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，備份與修復以及用戶訪問保密文件的語義也不變，TCFS能夠做到讓加密文件對以下用戶不可讀：合法擁有者以外的用戶、用戶和遠

51、程文件系統(tǒng)通信線路上的偷聽者、文件系統(tǒng)服務器的超級用戶。而對合法用戶，訪問加密文件與普通文件幾乎沒有區(qū)別。</p><p><b>　　安全審計</b></p><p>　　即使系統(tǒng)管理員十分精明的采取了各種安全措施，但是系統(tǒng)還可能存在一些新漏洞。攻擊者在漏洞被修復之前會迅速抓住機會公平可能多的機器。雖然Linux不能預測何時主機會受到攻擊，但是可以記錄攻擊者的行蹤。

52、</p><p>　　例如：Linux審計系統(tǒng)可以記錄以下內(nèi)容：所有系統(tǒng)和內(nèi)核信息、每一次網(wǎng)絡連接和它們的源IP地址以及發(fā)生時間、攻擊者的用戶名甚至操作系統(tǒng)類型、遠程用戶申請訪問文件、用戶控制的進程、用戶使用的每條命令等，在調(diào)查網(wǎng)絡入侵者的時候，日志信息是不可缺少的，即使這種調(diào)查在實際攻擊發(fā)生之后進行</p><p><b>　　強制訪問</b></p>

53、<p>　　傳統(tǒng)的強制訪問實現(xiàn)都是基于TCSEC中定義的MLS策略，但因MLS本身存在著這樣那樣的缺點（不靈活、兼容性差、難于管理等），研究人員已經(jīng)提出多種MAC策略，如DTE、RBAC、等。由于Linux是一種自由的操作系統(tǒng)，目前在其實現(xiàn)強制訪問控制的就有好幾種，其中比較典型的包括：SELinux、RSBAC、MAC Linux等，采用的策略也不同。</p><p>　　例如：NSA推出的SELin

54、ux安全體系結(jié)構(gòu)稱為Flask，在這一結(jié)構(gòu)中安全性策略的邏輯和通用接口一起封裝在與操作系統(tǒng)獨立的組件中，這個單獨的組件稱為安全服務器。SELinux的安全服務器定義了一種混合的安全服務器，由于類型實施（TE）、基于角色控制（RBAC）和多級安全（MLS）組成通過替換安全服務器，可以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然后通過Check Policy編譯成二進制形式，存儲在文件ss_policy中，在內(nèi)核引導時

55、讀到內(nèi)核空間。這意味著安全性策略在每次系統(tǒng)引導時都會有所不同。策略甚至可以通過使用security_load_policy接口在系統(tǒng)操作期間更改（只要將策略配置成允許這樣更改）。</p><p><b>　　防火墻</b></p><p>　　防火墻是在被保護網(wǎng)絡和Internet之間，或者在其他網(wǎng)絡之間限制訪問的一種部件或一系列部件。</p><

56、p>　　Linux防火墻系統(tǒng)提供了如下功能：</p><p><b>　　訪問控制</b></p><p>　　訪問控制可以執(zhí)行基于地址（源和目標）、用戶和時間的訪問控制策略，從而可以杜絕非授權的訪問，同時保護內(nèi)部用戶的合法訪問不受影響。</p><p><b>　　審計</b></p><p&g

57、t;　　審計對通過它的網(wǎng)絡訪問進行紀錄，建立完備的日志，審計和追蹤網(wǎng)絡訪問紀錄，并可以根據(jù)需要產(chǎn)生報表。</p><p><b>　　抗攻擊</b></p><p>　　防火墻系統(tǒng)直接暴露在非信任網(wǎng)絡中，對外界來說，受到防火墻保護的內(nèi)部網(wǎng)絡如同一個點，所有的攻擊都是直接針對它，該點稱為堡壘機，因此要求堡壘機具有高度的安全性和抵御各種攻擊的能力。</p>

58、<p><b>　　其他附屬功能</b></p><p>　　如與審計相關的報警和入侵檢測，與訪問控制相關的身份認證、加密和認證，甚至VPN等。</p><p>　　3.4 Linux系統(tǒng)安全性提高</p><p>　　1、限制超級用戶的權力</p><p>　　root是Linux保護的重點，由于它權力無限，

59、因此最好不要輕易將超級用戶授權出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的權限，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的權限。Sudo就是這樣的工具。</p><p>　　sudo并不能限制所有的用戶行為，尤其是當某些簡單的指令沒有設置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內(nèi)容的/etc/cat指令，如果有了超級用戶的權限，黑客就可以用它修改或刪除一些重要的文件。</

60、p><p>　　2、 增強安全防護工具</p><p>　　SSH是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開密鑰技術對網(wǎng)絡上兩臺主機之間的通信信息加密，并且用其密鑰充當身份驗證的工具。</p><p>　　由于SSH將網(wǎng)絡上的信息加密，因此它可以用來安全地登錄到遠程主機上，并且在兩臺主機之間安全地傳送信息

61、。實際上，SSH不僅可以保障Linux主機之間的安全通信，Windows用戶也可以通過SSH安全地連接到Linux服務器上。</p><p><b>　　3、檢查登錄密碼</b></p><p>　　設定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設定不合適，就很容易被破譯，尤其是擁有超級用戶使用權限的用戶，如果沒有良好的密碼，將給造成很大的安全漏洞。</p

62、><p>　　在多用戶中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當?shù)拿艽a，要確保密碼的安全度，就只能依靠密碼破解程序了。</p><p>　　實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux的/etc/passwd密碼文件或/etc/sh

63、adow影子文件相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。</p><p>　　在網(wǎng)絡上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執(zhí)行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。</p><p>　　4、設定用戶賬號的安全等級</p><p>　　除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬

64、號可以被賦予不同的權限，因此在建立一個新用戶ID時，管理員應該根據(jù)需要賦予該賬號不同的權限，并且歸并到不同的用戶組中。</p><p>　　在Linux上的tcpd中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設置，不允許上機人員名單在/etc/hosts.deny中設置。設置完成之后，需要重新啟動inetd程序才會生效。此外，Linux將自動把允許進入或不

65、允許進入的結(jié)果記錄到/rar/log/secure文件中，管理員可以據(jù)此查出可疑的進入記錄。</p><p>　　每個賬號ID應該有專人負責。在企業(yè)中，如果負責某個ID的職員離職，管理員應立即從中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。</p><p>　　在用戶賬號之中，黑客最喜歡具有root權限的賬號，這種超級用戶有權修改或刪除各種設置，可以在中暢行無阻。因此，在給任何賬

66、號賦予root權限之前，都必須仔細考慮。</p><p>　　Linux中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在RedHatLinux中，該文件的初始值僅允許本地虛擬控制臺(rtys)以root權限登錄，而不允許遠程用戶以root權限登錄。最好不要修改該文件，如果一定要從遠程登錄為root權限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。</p&

67、gt;<p><b>　　問題討論與分析</b></p><p>　　安全設計往往會導致系統(tǒng)性能降低，一個好的安全性設計，應當在考慮安全目標的同時，亦注重不要使系統(tǒng)性降低的過多</p><p>　　另一個后果是，安全設計可能帶來的不良的用戶界面，甚至在某些時候，一個通常被認為安全的操作，系統(tǒng)卻當作不安全的操作拒絕執(zhí)行。</p><p&

68、gt;　　所以“計算機安全”不是一個絕對的概念，只要有足夠的工具和足夠的時間，一個被認為“安全”的系統(tǒng)仍然會收到致命的攻擊，這也是最有名的安全標準TCSEC被稱作可信計算機系統(tǒng)評價準則而不是安全計算機系統(tǒng)評估準則的原因，因為達到，某一個安全級別的系統(tǒng)，只能說更安全了，變得更可信了、而不意味著絕對安全性，不過，這也從另一個角度表明，計算機安全研究還有很長的路要走。</p><p><b>　　5．結(jié)束語&

69、lt;/b></p><p>　　這次課程設計我找了很多的材料比較很很多系統(tǒng)安全性技術的指標，不僅讓我對課本的知識掌握得更加透徹，而且還了解了更多的課本外的知識。正如上面說的</p><p>　　從計算機安全的角度看，世界上沒有絕對密不透風、百分之百安全的計算機，Linux也不例外。雖然Linux的安全性能很高，使順手牽羊型的黑客和電腦玩家不能輕易闖入，但卻不一定能阻擋那些身懷絕技的

70、武林高手。所以計算機安全研究的路還很長。因此通過這次課程設計我真正了解了操作系統(tǒng)安全性內(nèi)涵和要求，學到了很多有用的知識。</p><p><b>　　參考文獻</b></p><p>　　[1]賈春福、鄭鵬 《操作系統(tǒng)安全》 武漢大學出版社2006.12</p><p>　　[2]劉克龍、馮登國、石文昌 《操作系統(tǒng)原理與技術》北京：科學出版社，

71、2004.07</p><p>　　[3]湯小丹，梁紅兵，哲鳳萍，湯子瀛 計算機操作系統(tǒng)（第三版）[M].西安電子科技大學出版社，2007.5</p><p>　　[4]梁紅兵，湯小丹《計算機操作系統(tǒng)》學習指導與題解（第二版）[M].西安電子科技大學出版社，2008.9</p><p>　　[5]William Stallings，陳渝譯，向勇審校 操作系統(tǒng)——精髓