2.1Windows系統(tǒng)安全2.2Linux系統(tǒng)安全2.1.1Windows系統(tǒng)安全概述

1．用戶帳戶

用戶帳戶是包含用戶信息的記錄，用來標(biāo)識用戶個人的唯一性，主要包含用戶名和密碼。Windows2000使用帳戶來確認(rèn)用戶身份，并據(jù)此賦予用戶不同的權(quán)限。Windows2000支持兩種類型的用戶帳戶：本地用戶帳戶和域用戶帳戶。

本地用戶帳戶可以使用戶登錄到創(chuàng)建該帳戶的計算機(jī)，從而訪問該計算機(jī)內(nèi)的資源。本地用戶帳戶不會被復(fù)制到其他任何連網(wǎng)的計算機(jī)中，因此用戶使用本地用戶帳戶只能登錄到建立該帳戶的計算機(jī)。2.1Windows系統(tǒng)安全利用域用戶帳戶可以登錄到Windows2000域，并訪問網(wǎng)絡(luò)上的資源，例如訪問其他計算機(jī)上的文件、打印機(jī)資源等。域用戶帳戶存儲在域控制器的AD(活動目錄)數(shù)據(jù)庫中，如果域內(nèi)有多臺域控制器，則域用戶帳戶會被自動復(fù)制到同一個域中的所有域控制器中。因此，當(dāng)用戶登錄時，該域內(nèi)的任何一臺域控制器都能夠?qū)徍擞脩舻纳矸荩礄z查用戶輸入的用戶名和密碼是否正確。安裝完Windows2000以后，系統(tǒng)會自動建立一些內(nèi)置帳戶，其中最常用的是Administrator和Guest兩個帳戶。利用內(nèi)置帳戶可以執(zhí)行管理任務(wù)或訪問網(wǎng)絡(luò)資源。Administrator在Windows2000中擁有最高的權(quán)限，可以管理整個計算機(jī)和域的各項設(shè)置。可以重新命名Administrator帳戶，但不可以刪除或禁用該帳戶。Guest只有很少的權(quán)限，主要供用戶臨時使用。默認(rèn)情況下，Guest帳戶是禁用的，如果需要使用，必須手工啟動它。可以重新命名Guest帳戶，但不可以刪除該帳戶。當(dāng)用戶帳戶較多時，可以用組來管理。組是用戶帳戶的集合，組包含的多個用戶具有相同的身份和屬性。通過使用組，一次可以為多個用戶分配權(quán)力或權(quán)限，從而簡化帳戶

管理。

帳戶是登錄系統(tǒng)的基礎(chǔ)，也是眾多黑客攻擊和竊取的對象。一般的用戶常常在安裝系統(tǒng)后長期使用系統(tǒng)的默認(rèn)設(shè)置，忽視了Windows系統(tǒng)默認(rèn)設(shè)置的不安全性，而這些默認(rèn)設(shè)置常常被攻擊者利用，通過各種手段獲得合法的帳戶。所以，我們必須通過合理的設(shè)置來保障帳戶的安全。

2．文件系統(tǒng)

為了防止磁盤數(shù)據(jù)被攻擊者或本地的其他用戶破壞和竊取，文件系統(tǒng)的安全問題也是不容忽視的。Windows系統(tǒng)提供的磁盤格式有FAT16、FAT32以及NTFS。

FAT16、FAT32格式?jīng)]有考慮對安全性方面的更高要求，例如無法設(shè)置文件或文件夾的用戶訪問權(quán)限、無法對文件或文件夾進(jìn)行加密等。

NTFS是用于Windows操作系統(tǒng)的一種安全的文件系統(tǒng)，并且在使用中不易產(chǎn)生文件碎片。NTFS分區(qū)對用戶權(quán)限作出了非常嚴(yán)格的限制，每個用戶都只能按照系統(tǒng)賦予的權(quán)限進(jìn)行操作，任何企圖越權(quán)的操作都將被系統(tǒng)禁止，同時它還提供了容錯結(jié)構(gòu)日志，可以將用戶的操作全部記錄下來，從而保護(hù)了系統(tǒng)的安全。但是，NTFS分區(qū)格式的兼容性不好，對于Windows98/me系統(tǒng)，需要借助第三方軟件才能對NTFS分區(qū)進(jìn)行操作。Windows2000/XP系統(tǒng)基于NT技術(shù)，提供了完善的NTFS分區(qū)格式的支持。

3．端口安全

網(wǎng)絡(luò)為用戶提供了豐富多彩的服務(wù)，每一項服務(wù)都具有相應(yīng)的端口。例如，通過瀏覽器瀏覽網(wǎng)頁使用WWW服務(wù)，對應(yīng)端口為80；使用文件傳輸服務(wù)上傳和下載文件，對應(yīng)的端口為21；使用郵件服務(wù)收發(fā)電子郵件，對應(yīng)端口為25。在Windows2000的默認(rèn)安裝中，某些服務(wù)是開啟的，黑客經(jīng)常通過開放的端口來實現(xiàn)對系統(tǒng)的攻擊，因此我們可以通過禁用一些沒有必要的服務(wù)來提高系統(tǒng)的安全性。端口80主要用于獲取超文本傳輸協(xié)議(HyperTextTransferProtocol，HTTP)提供的服務(wù)，HTTP是連接Internet過程中最常使用的協(xié)議。端口80是WWW服務(wù)的默認(rèn)端口，在瀏覽器中使用URL訪問網(wǎng)絡(luò)時，可以將“：80”省略。有些木馬程序可以利用端口80來攻擊計算機(jī)，例如Executor、RingZero等。如果本地計算機(jī)不需要提供HTTP服務(wù)，可以關(guān)閉80端口，提高系統(tǒng)的安全性。端口21主要用于獲取文件傳輸協(xié)議(FileTransferProtocol，F(xiàn)TP)提供的服務(wù)。FTP服務(wù)主要是為了在兩臺計算機(jī)之間實現(xiàn)文件的上傳和下載，F(xiàn)TP客戶端可以采用匿名(anonymous)登錄和授權(quán)帳戶登錄兩種方式登錄FTP服務(wù)器。目前，通過FTP服務(wù)來實現(xiàn)文件的傳輸是Internet上傳、下載文件最主要的方法。一些FTP服務(wù)器提供了匿名登錄的方式，這常常被黑客所利用。端口21還可能被一些木馬程序利用，例如BladeRunner、FTPTrojan等。如果不需要提供FTP服務(wù)，應(yīng)該關(guān)閉端口21。端口25主要用于獲取簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol，SMTP)提供的服務(wù)，如今大多數(shù)郵件服務(wù)器都使用SMTP協(xié)議來發(fā)送郵件。利用端口25，黑客可以尋找SMTP服務(wù)器，用來轉(zhuǎn)發(fā)垃圾郵件。端口25也被很多木馬程序利用，例如WinSpy通過開放端口25，可以監(jiān)視計算機(jī)正在運(yùn)行的窗口和模塊。如果不需要提供郵件服務(wù)，應(yīng)該關(guān)閉端口25。

在Windows2000系統(tǒng)中，可以使用網(wǎng)絡(luò)命令netstat來查看開放的端口。在命令提示符下執(zhí)行“netstat-a-n”，即可看到以數(shù)字形式顯示的TCP、UDP端口號及狀態(tài)?？梢酝ㄟ^停止、啟動服務(wù)來關(guān)閉、打開相應(yīng)的端口。例如，如果需要關(guān)閉端口25，可以通過如下步驟來實現(xiàn)：依次點擊“開始”→“程序”→“管理工具”→“服務(wù)”菜單，打開“服務(wù)”窗口，找到“SimpleMailTransportProtocol(SMTP)”項并用右鍵單擊，在彈出的快捷菜單中單擊“停止”命令。這樣便停止了SMTP服務(wù)，相當(dāng)于關(guān)閉了端口25。啟動服務(wù)的方法與停止服務(wù)類似。

4．審核與日志

為了便于用戶監(jiān)測當(dāng)前系統(tǒng)的運(yùn)行狀況，Windows系統(tǒng)中設(shè)置了審核與日志功能。審核與日志是Windows系統(tǒng)中最基本的入侵檢測方法，當(dāng)有攻擊者企圖對系統(tǒng)進(jìn)行某些方式的攻擊時，都會被安全審核功能記錄下來并寫入到日志中。

Windows2000系統(tǒng)中提供的安全審核策略在默認(rèn)情況下是關(guān)閉的，需要手工打開。打開安全審核策略時，需要合理定義審核的對象。如果選擇的審核對象太多，將會在日志中產(chǎn)生大量的記錄，增加了閱讀和分析日志的難度。審核事件可以分為兩類：成功事件和失敗事件。成功事件表明用戶已成功獲得某資源的訪問權(quán)限；失敗事件表明用戶進(jìn)行了嘗試，但失敗了。

制定審核策略時需要考慮可供審核的事件，這些事件包括審核策略更改、審核登錄事件、審核對象訪問、審核過程追蹤、審核目錄服務(wù)訪問、審核特權(quán)使用、審核系統(tǒng)事件、審核帳戶登錄事件及審核帳戶管理。安全日志是系統(tǒng)安全審核的記錄，應(yīng)該根據(jù)選擇的審核對象和記錄產(chǎn)生的速度定義安全日志的大小，一般建議為1024MB(即1GB)。定義處理方式時，如果選擇覆蓋30天前的數(shù)據(jù)，日志中就可以保存30天的數(shù)據(jù)資料；如果選擇了按需覆蓋，則系統(tǒng)記錄滿后將自動覆蓋最早的數(shù)據(jù)；如果選擇了手工清除，必須保證日志足夠大。安全日志記錄滿后，如果不能自動處理，將禁止用戶使用計算機(jī)。安全日志不能正確記錄時，系統(tǒng)將立即關(guān)閉計算機(jī)，這并不一定意味著是一個安全問題。在正常操作中，也可能偶然發(fā)生目錄訪問或特權(quán)使用失敗的情況。對于日志的分析，應(yīng)該注意時間、地點和行為的關(guān)系，根據(jù)行為的嚴(yán)重性來進(jìn)行判斷和分析。需要注意的是，多數(shù)日志是不能記錄來訪人的IP地址的，只能記錄來訪人的計算機(jī)名。然而計算機(jī)名對于分析日志沒有太大的意義，所以應(yīng)該對多個日志綜合分析，以便得到有用的信息。2.1.2實驗——Windows用戶帳戶安全設(shè)置

【實驗?zāi)康摹?/p>

(1)掌握刪除、禁用Windows2000用戶帳戶的方法；

(2)學(xué)會合理設(shè)置密碼策略；

(3)學(xué)會合理設(shè)置帳戶鎖定策略。

【實驗環(huán)境】

PC機(jī)一臺，安裝有Windows2000Server操作系統(tǒng)?！緦嶒炦^程】

共享帳戶、Guest帳戶等具有較弱的安全保護(hù)，常常都是黑客們攻擊的對象，因此要及時檢查和刪除不必要的帳戶，必要時要禁用Guest帳戶。

以Administrator(管理員)身份登錄Windows2000Server系統(tǒng)后，進(jìn)行如下操作。

1)刪除不再使用的帳戶

(1)依次單擊“開始”→“程序”→“管理工具”→“計算機(jī)管理”菜單，打開“計算機(jī)管理”窗口，展開“本地用戶和組”節(jié)點，打開“用戶”文件夾，如圖2-1所示。圖2-1“計算機(jī)管理”窗口

(2)確認(rèn)列出的各帳戶是否仍在使用。右鍵單擊不再使用的用戶帳戶，在彈出的快捷菜單中單擊“刪除”命令，如圖2-2所示。

(3)彈出“本地用戶和組”窗口，如圖2-3所示，提示一旦用戶帳戶被刪除，所有與該用戶帳戶相關(guān)聯(lián)的權(quán)限和成員身份也隨之刪除。每個帳戶具有一個獨立于用戶名的唯一標(biāo)識符，即使新建的用戶帳戶與之前刪除的用戶帳戶同名，新用戶也不會自動接受之前刪除的帳戶的權(quán)限和成員身份，必須手工重建所有權(quán)限和成員身份。單擊“是”按鈕，確定刪除用戶帳戶。圖2-2刪除用戶帳戶圖2-3“本地用戶和組”窗口

2)禁用Guest帳戶

(1)有時為了訪問需要，可能啟用了Guest帳戶，如果不再使用，應(yīng)該禁用它。在如圖2-1所示的窗口中，右鍵單擊Guest帳戶，在彈出的菜單中單擊“屬性”命令，如圖2-4

所示。

(2)彈出“Guest屬性”窗口，如圖2-5所示。單擊選中“帳戶已停用”復(fù)選框后，單擊“確定”按鈕。此時，如果使用Guest帳戶登錄，則會提示“您的帳戶已被停用。請向系統(tǒng)管理員咨詢?！眻D2-4打開Guest帳戶的“屬性”窗口圖2-5“Guest屬性”窗口

3)設(shè)置密碼策略

(1)依次單擊“開始”→“程序”→“管理工具”→“本地安全策略”菜單，打開“本地安全設(shè)置”窗口，展開節(jié)點“帳戶策略”，雙擊“密碼策略”圖標(biāo)，如圖2-6所示。

(2)雙擊“密碼必須符合復(fù)雜性要求”圖標(biāo)，彈出“本地安全策略設(shè)置”窗口，如圖2-7所示。在“本地策略設(shè)置”下方的單選框中選擇“已啟用”項，單擊“確定”按鈕。

啟用該策略后，密碼必須符合以下最低要求：

不包含全部或部分的用戶名；

長度至少為6個字符；

包含來自以下4個類別中的3種字符：英文大寫字母(A～Z)、英文小寫字母(a～z)、10個基本數(shù)字(0～9)和非字母字符(例如！、$、#、%)。圖2-6“本地安全設(shè)置”窗口圖2-7啟用“密碼必須符合復(fù)雜性要求”

(3)在如圖2-1所示的“計算機(jī)管理”窗口中，右鍵單擊Administrator帳戶，在彈出的快捷菜單中單擊“設(shè)置密碼”命令，如圖2-8所示。

(4)彈出“設(shè)置密碼”窗口，如圖2-9所示，輸入兩次相同的密碼。為了測試啟用的密碼策略“密碼必須符合復(fù)雜性要求”是否生效，這里輸入相對簡單的密碼(例如pwd123)，點擊“確定”按鈕。圖2-8設(shè)置帳戶Administrator的密碼圖2-9“設(shè)置密碼”窗口

(5)彈出密碼設(shè)置錯誤提示窗口，如圖2-10所示，說明之前設(shè)置的密碼策略已經(jīng)生效。如果為帳戶Administrator設(shè)置密碼pwd%123，則能夠被系統(tǒng)接受。

(6)在圖2-6所示窗口中，雙擊“密碼長度最小值”圖標(biāo)，彈出如圖2-11所示的窗口，在“密碼必須至少是”下方的文本框中輸入密碼長度的最小值(例如8)，單擊“確定”按鈕。如果設(shè)置為默認(rèn)值，即0個字符，則密碼可以為空。圖2-10密碼設(shè)置錯誤圖2-11設(shè)置“密碼長度最小值”

(7)在圖2-6所示窗口中，雙擊“密碼最長存留期”圖標(biāo)，彈出如圖2-12所示窗口?？梢酝ㄟ^設(shè)置密碼的作廢期限來提醒用戶定期修改密碼，防止密碼使用時間過長而帶來安全問題。密碼作廢期的默認(rèn)值為42天。圖2-12設(shè)置“密碼最長存留期”

(8)在圖2-6所示窗口中，雙擊“密碼最短存留期”圖標(biāo)，彈出如圖2-13所示的窗口。可以通過設(shè)置密碼的最短存在期限，保證在一定的時間內(nèi)用戶不能修改密碼。該項設(shè)置可以避免入侵的攻擊者修改用戶帳戶的密碼。如果密碼的存在期限設(shè)置為默認(rèn)值0，則用戶可以立即更改密碼。圖2-13設(shè)置“密碼最短存留期”

(9)在圖2-6所示窗口中，雙擊“強(qiáng)制密碼歷史”圖標(biāo)，彈出“強(qiáng)制密碼歷史”設(shè)置窗口?？梢栽O(shè)置系統(tǒng)記住的密碼的數(shù)量來防止使用舊密碼?！皬?qiáng)制密碼歷史”策略是指用戶設(shè)置的新密碼不得與之前使用過的歷史密碼重復(fù)，該項設(shè)置的值表示當(dāng)前密碼不得與相應(yīng)數(shù)量的舊密碼相同。

(10)在圖2-6所示窗口中，雙擊“為域中所有用戶使用可還原的加密來儲存密碼”圖標(biāo)，彈出相應(yīng)的設(shè)置窗口。可以通過該項來選擇是否使用可還原的加密方式來存儲密碼。

4)設(shè)置帳戶鎖定策略

(1)在如圖2-6所示的“本地安全設(shè)置”窗口中，雙擊“帳戶鎖定策略”圖標(biāo)，如圖2-14所示。

(2)雙擊圖2-14所示窗口中的“帳戶鎖定閾值”圖標(biāo)，彈出設(shè)置窗口，可以設(shè)置造成用戶帳戶鎖定的失敗登錄的次數(shù)。帳戶一旦被鎖定就無法使用，除非管理員對其解鎖或該帳戶的鎖定時間已過期。該值如果為0，則帳戶不鎖定。

(3)雙擊圖2-14所示窗口中的“帳戶鎖定時間”圖標(biāo)，彈出設(shè)置窗口，可以設(shè)置鎖定的帳戶在自動解鎖前保持鎖定狀態(tài)的時間(單位為分鐘)。該值如果為0，一旦帳戶被鎖定后，除非管理員對其解鎖，否則該帳戶始終處于被鎖定狀態(tài)。圖2-14設(shè)置“帳戶鎖定策略”

(4)雙擊圖2-14所示窗口中的“復(fù)位帳戶鎖定計數(shù)器”圖標(biāo)，彈出設(shè)置窗口，可以設(shè)置“帳戶鎖定閾值”復(fù)位為0以及帳戶被解鎖之前所必須經(jīng)過的時間。

需要注意的是，設(shè)置“帳戶鎖定策略”時須慎重考慮，合理設(shè)置各項的值，避免給使用帶來不方便。2.1.3實驗——NTFS文件系統(tǒng)的安全設(shè)置

【實驗?zāi)康摹?/p>

(1)了解NTFS文件系統(tǒng)的特點；

(2)掌握NTFS文件系統(tǒng)中訪問權(quán)限設(shè)置及文件加密的方法。

【實驗環(huán)境】

PC機(jī)一臺，安裝有Windows2000Server操作系統(tǒng)，且至少有一個磁盤分區(qū)格式為NTFS。【實驗過程】

以Administrator(管理員)身份登錄Windows2000Server系統(tǒng)后，進(jìn)行如下操作。

1)查看分區(qū)格式

(1)右鍵單擊選定的分區(qū)(例如C:)圖標(biāo)，在彈出的快捷菜單中，單擊“屬性”命令。

(2)彈出分區(qū)屬性窗口，如圖2-15所示，在常規(guī)選項卡中可以查看分區(qū)的文件系統(tǒng)類型，例如NTFS。圖2-15分區(qū)C:?的屬性窗口

2)?NTFS文件系統(tǒng)權(quán)限設(shè)置

(1)打開使用NTFS文件系統(tǒng)的分區(qū)(例如C:)，選擇一個需要設(shè)置用戶權(quán)限的文件夾(例如C:\系統(tǒng)安全)。右鍵單擊選定的文件夾，在彈出的快捷菜單中單擊“屬性”命令，彈出該文件夾的“屬性”窗口，選擇“安全”選項卡，如圖2-16所示。圖2-16文件夾“系統(tǒng)安全”的屬性

(2)默認(rèn)情況下，Everyone組對文件夾具有完全控制權(quán)，并且所有用戶均屬于Everyone組。為了設(shè)置新添加用戶或組的訪問權(quán)限，需要更改或刪除Everyone組。

(3)單擊清除“允許將來自父系的可繼承權(quán)限傳播給該對象”復(fù)選框，彈出“安全”窗口，如圖2-17所示，單擊“復(fù)制”按鈕。

(4)在圖2-16所示窗口的上方列表中，選擇“Everyone”項，單擊“刪除”按鈕。

(5)在圖2-16所示窗口中單擊“添加”按鈕，彈出“選擇用戶或組”窗口，如圖2-18所示。在上方的列表框中選擇可以訪問該文件夾的用戶或組，單擊“添加”按鈕，選擇的項目將在下方的文本框中顯示。圖2-17“安全”窗口圖2-18“選擇用戶或組”窗口

(6)單擊“確定”按鈕，把選擇的用戶或組添加到圖2-16所示的文件夾屬性窗口中，同時可以在下方的“權(quán)限”列表中勾選用戶或組的訪問權(quán)限。

(7)單擊圖2-16中的“高級”按鈕，彈出文件夾的“訪問控制設(shè)置”窗口，可以查看或更改各用戶、組的訪問權(quán)限，如圖2-19所示。

3)?NTFS

文件系統(tǒng)中的文件加密

(1)右鍵單擊需要加密的文件，在彈出的快捷菜單中，單擊“屬性”命令，彈出文件的“屬性”窗口，如圖2-20所示。圖2-19文件夾的“訪問控制設(shè)置”窗口圖2-20文件的“屬性”窗口

(2)單擊“高級”按鈕，彈出“高級屬性”窗口，如圖2-21所示。單擊選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框，單擊“確定”按鈕回到文件夾的“屬性”窗口。

(3)單擊“確定”按鈕，彈出“加密警告”窗口，如圖2-22所示。選擇“加密文件及其父文件夾”項，單擊“確定”按鈕。圖2-21“高級屬性”窗口圖2-22“加密警告”窗口

(4)文件被加密后，只有當(dāng)前加密用戶登錄時才能看到文件內(nèi)容。注銷系統(tǒng)后，以其他用戶身份登錄系統(tǒng)，嘗試打開被加密的文件，將會彈出如圖2-23所示的“錯誤”窗口。圖2-23“錯誤”窗口2.1.4實驗——啟用審核和查看日志

【實驗?zāi)康摹?/p>

(1)理解審核和日志的概念；

(2)掌握啟用審核的方法；

(3)掌握查看日志的方法?！緦嶒灜h(huán)境】

PC機(jī)一臺，安裝有Windows2000Server操作系統(tǒng)。

【實驗過程】

以Administrator(管理員)身份登錄Windows2000Server系統(tǒng)后，進(jìn)行如下操作。

1)啟用審核

(1)依次點擊“開始”→“程序”→“管理工具”→“本地安全策略”菜單，打開“本地安全設(shè)置”窗口，展開節(jié)點“本地策略”，雙擊“審核策略”圖標(biāo)，如圖2-24所示。圖2-24設(shè)置“審核策略”

(2)雙擊“審核策略更改”圖標(biāo)，彈出設(shè)置“審核策略更改”窗口，如圖2-25所示。單擊選中“成功”或“失敗”復(fù)選框來設(shè)置審核事件的類別?！皩徍瞬呗愿摹庇糜谠O(shè)置是否對更改用戶權(quán)限分配策略、審核策略或信任策略的每個事件進(jìn)行審核。

(3)用類似的方法可以啟用對其他事件的審核：

①啟用“審核登錄事件”。每次用戶登錄或注銷計算機(jī)時都需要審核，在發(fā)生登錄嘗試的計算機(jī)的安全日志中生成一個事件。另外，當(dāng)用戶連接遠(yuǎn)程服務(wù)器時，遠(yuǎn)程服務(wù)器的安全日志中也會生成一個登錄事件。登錄事件是在登錄會話和令牌分別被創(chuàng)建或損壞時創(chuàng)建的。圖2-25設(shè)置“審核策略更改”窗口②啟用“審核對象訪問”。該審核可以通過系統(tǒng)訪問控制列表(SACL)來實現(xiàn)。SACL包含了一個用戶和組列表，對用戶和組等對象的操作都要進(jìn)行審核。用戶在Windows2000中可操作的每個對象幾乎都有一個SACL，這些對象包括NTFS文件系統(tǒng)驅(qū)動器上的文件和文件夾、打印機(jī)和注冊表項。

③啟用“審核過程追蹤”。事件日志會顯示創(chuàng)建進(jìn)程和結(jié)束進(jìn)程的嘗試。它還會記錄進(jìn)程嘗試生成句柄的行為或獲取對象間接訪問的行為。④啟用“審核目錄服務(wù)訪問”?；顒幽夸?AD)對象有相關(guān)聯(lián)的SACL時可以進(jìn)行審核。通過審核帳戶管理可審核活動目錄的用戶和組帳戶，如果想審核其他命名上下文中對象的修改，必須審核目錄服務(wù)訪問。審核目錄服務(wù)訪問時，首先啟用“審核目錄服務(wù)訪問”策略，然后在AD對象上定義SACL。

⑤啟用“審核特權(quán)使用”。如果用戶在網(wǎng)絡(luò)環(huán)境中，他們將行使所規(guī)定的用戶權(quán)限，用戶每次嘗試行使用戶權(quán)限時都會生成一個事件。啟用“審核特權(quán)使用”時，并不一定對所有用戶權(quán)限進(jìn)行審核。⑥啟用“審核系統(tǒng)事件”。在一個用戶或進(jìn)程改變計算機(jī)環(huán)境的某些方面時，會生成系統(tǒng)事件，可以審核對系統(tǒng)進(jìn)行更改的嘗試，如關(guān)閉計算機(jī)或更改系統(tǒng)時間。啟用“審核系統(tǒng)事件”時，需要審核清除安全日志的時間，因為攻擊者在對計算機(jī)環(huán)境進(jìn)行更改之后往往企圖清除留下的蹤跡。⑦啟用“審核帳戶登錄事件”。在一個用戶登錄到域時，是在域控制器上對登錄進(jìn)行處理的。如果審核域控制器上的帳戶登錄事件，那么會在域控制器上看到此登錄嘗試的記錄。帳戶登錄事件是在身份驗證程序包對用戶的憑據(jù)進(jìn)行驗證時創(chuàng)建的。在使用域憑據(jù)的情況下，帳戶登錄事件只在域控制器的事件日志中生成。如果出示的憑據(jù)是本地SAM數(shù)據(jù)庫憑據(jù)，則會在服務(wù)器的安全事件日志中創(chuàng)建帳戶登錄事件。

⑧啟用“審核帳戶管理”。該審核用于確定用戶或組是在何時創(chuàng)建、更改或刪除的。它可以確定何時創(chuàng)建了安全主體，以及什么人執(zhí)行了該任務(wù)。

2)查看日志

(1)依次點擊“開始”→“程序”→“管理工具”→“事件查看器”菜單，打開“事件查看器”窗口，如圖2-26所示。其中，“安全日志”用于記錄審核策略中所設(shè)置的安全事件。

(2)雙擊“安全日志”圖標(biāo)，可以查看安全事件的具體記錄，如圖2-27所示。

(3)雙擊“失敗審核”圖標(biāo)，彈出“失敗審核屬性”窗口，如圖2-28所示。這是對登錄事件失敗的審核，可以看到日志中詳細(xì)記錄了嘗試登錄的時間、用戶名、失敗原因等信息。圖2-26“事件查看器”窗口圖2-27查看安全事件記錄圖2-28“失敗審核屬性”窗口2.2.1Linux系統(tǒng)安全概述

1．用戶帳戶

Linux系統(tǒng)安裝完畢時，系統(tǒng)的默認(rèn)帳戶為root，即系統(tǒng)管理員帳戶。擁有此帳戶的用戶被稱為“超級用戶”，對系統(tǒng)具有完全的控制權(quán)，可對系統(tǒng)做任何設(shè)置和修改，因此維護(hù)帳戶root的安全非常重要。2.2Linux系統(tǒng)安全為了提高系統(tǒng)的安全性，應(yīng)該為帳戶root設(shè)置一個安全復(fù)雜的口令。設(shè)置口令時，如果系統(tǒng)認(rèn)為口令過于簡單，就會在用戶輸入口令時，出現(xiàn)一個警告消息來提示用戶；如果口令采用的字符重復(fù)性高、字?jǐn)?shù)太少或具有規(guī)律性等，系統(tǒng)也會出現(xiàn)類似的警告消息。

系統(tǒng)管理員(root)執(zhí)行操作時不受任何制約，很可能出現(xiàn)輸入一個錯誤的命令，導(dǎo)致重要的系統(tǒng)文件被刪除的現(xiàn)象，因此我們應(yīng)該謹(jǐn)慎使用帳戶root。系統(tǒng)管理員除了要設(shè)置復(fù)雜的口令之外，最好再建立一個普通用戶的帳戶，供日常操作使用。在沒有必要的情況下，建議不要使用帳戶root登錄系統(tǒng)。另外，最好不要在其他計算機(jī)上用root帳戶登錄自己的服務(wù)器。每個用戶至少屬于一個用戶組，系統(tǒng)可以對一個用戶組中的所有用戶進(jìn)行集中管理。Linux系統(tǒng)的用戶、用戶組的信息分別保存在?/etc/passwd、/ect/shadow、/etc/group、etc/gshadow等幾個文件中。我們可以通過禁用帳戶、修改口令規(guī)則、修改相關(guān)文件屬性等措施來提高帳戶的安全性。

2．文件和目錄的訪問權(quán)限

Linux系統(tǒng)中的每個文件和目錄都具有訪問權(quán)限，用來確定可以對文件和目錄進(jìn)行訪問的用戶及訪問方式。根據(jù)對文件和目錄的訪問權(quán)限的不同，可以把用戶分為四類：

超級用戶(root)：即系統(tǒng)管理員；

文件創(chuàng)建者：創(chuàng)建文件的用戶；

同組用戶：文件創(chuàng)建者所在的用戶組中的其他用戶；

其他用戶：文件所屬用戶組之外的其他用戶。文件或目錄的訪問權(quán)限可以分為三種：讀(r)、寫(w)和執(zhí)行(x)。它們表示的含義分別為：

文件的訪問權(quán)限：讀(r)權(quán)限表示只允許指定用戶讀取相應(yīng)文件的內(nèi)容，而禁止對它做任何的更改操作；寫(w)權(quán)限表示允許指定用戶打開并修改文件；執(zhí)行(x)權(quán)限表示允許指定用戶將該文件作為一個程序執(zhí)行。

目錄的訪問權(quán)限：讀(r)權(quán)限表示可以列出存儲在該目錄下的文件，即讀取目錄內(nèi)容列表；寫(w)權(quán)限表示允許用戶從目錄中刪除或添加新的文件，通常只有文件創(chuàng)建者和超級用戶才有對目錄的寫權(quán)限；執(zhí)行(x)權(quán)限表示允許用戶在目錄中查找，并能用相關(guān)命令將工作目錄更改為該目錄?？梢酝ㄟ^命令“l(fā)s-l”來查看文件或目錄的詳細(xì)信息，其中最左邊的一列表示文件或目錄具有的訪問權(quán)限。例如：-rwxr-xr-x，第1位的“-”表示文件(文件夾用d表示)，后面的內(nèi)容每3位為一組，分別表示文件創(chuàng)建者、同組用戶和其他用戶對該文件的訪問權(quán)限。

如果需要改變或設(shè)置文件或目錄的訪問權(quán)限，可以通過命令chmod來實現(xiàn)。只有文件創(chuàng)建者或超級用戶才有權(quán)限使用命令chmod。

3．端口安全

Linux系統(tǒng)與其他系統(tǒng)一樣，有許多服務(wù)開放的端口，使系統(tǒng)很容易受到多種攻擊。

例如：

(1)端口21。攻擊者經(jīng)常通過該端口打開匿名FTP服務(wù)器。如果這些服務(wù)器帶有可讀寫的目錄，黑客可以把這些服務(wù)器作為傳送warez(私有程序)和pr0n(通過故意拼錯詞而避免被搜索引擎分類)的節(jié)點。

(2)端口23。入侵者通過端口23搜索遠(yuǎn)程登錄的服務(wù)。多數(shù)情況下，入侵者掃描該端口是為了找到計算機(jī)運(yùn)行的操作系統(tǒng)。

(3)端口25。攻擊者通過該端口尋找SMTP服務(wù)器，目的是為了傳遞他們的spam。入侵者的帳戶總是被關(guān)閉的，他們需要撥號連接到高帶寬的E-mail服務(wù)器上，將簡單的信息傳遞到不同的地址。SMTP服務(wù)器是入侵系統(tǒng)的最常用的方法之一，因為它們完整地暴露于Internet，且郵件的路由非常復(fù)雜。

(4)端口53。黑客攻擊端口53，可能企圖進(jìn)行區(qū)域傳遞、DNS欺騙或隱藏其他通信。防火墻常常記錄或過濾端口53的通信。對于把端口53作為UDP源端口的通信，不穩(wěn)定的防火墻通常假設(shè)這是對DNS查詢的回復(fù)而允許通過，這種情況常常被黑客利用以穿透防火墻。

應(yīng)該禁用沒有必要的服務(wù)，關(guān)閉相應(yīng)的端口，從而提高系統(tǒng)的安全性。

4．日志系統(tǒng)

Linux系統(tǒng)中的日志子系統(tǒng)對于系統(tǒng)安全來說非常重要，它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，例如哪些用戶曾經(jīng)或者正在使用系統(tǒng)。系統(tǒng)受到黑客攻擊后，日志可以記錄攻擊者留下的痕跡，通過查看這些痕跡，系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的某些手段、特點等信息，從而進(jìn)行相應(yīng)處理，有效地抵御以后的攻擊。

Linux系統(tǒng)包含三個主要的日志子系統(tǒng)，即登錄日志、進(jìn)程統(tǒng)計日志和錯誤日志。登錄日志由多個程序執(zhí)行，它們把記錄寫入到文件?/var/log/wtmp和?/var/run/utmp。login等程序更新文件wtmp和utmp，使系統(tǒng)管理員能夠跟蹤用戶登錄系統(tǒng)的信息。wtmp和utmp都是二進(jìn)制文件，需要通過who、w、last等命令來查看包含的信息。

進(jìn)程統(tǒng)計日志由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個進(jìn)程終止時，它自動向進(jìn)程統(tǒng)計文件中寫一個記錄。進(jìn)程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。

錯誤日志由syslogd執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog(3)向文件/var/log/messages報告值得注意的事件。在使用日志時，系統(tǒng)管理員應(yīng)該提高警惕，隨時注意各種可疑情況，經(jīng)常檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。檢查日志文件時，需要注意不合常理的時間記載。例如：

用戶在非常規(guī)的時間登錄；

不正常的日志記錄，例如日志殘缺不全、日志文件(如wtmp)無故缺少記錄等；

用戶登錄系統(tǒng)的IP地址與之前相比有所變化；出現(xiàn)用戶登錄失敗的日志記錄，尤其是一些經(jīng)過連續(xù)多次嘗試進(jìn)入失敗的日志記錄；

非法使用或不正當(dāng)使用超級用戶權(quán)限su的指令；

無故或者非法重新啟動各項網(wǎng)絡(luò)服務(wù)的記錄。

另外，我們也不能完全依靠日志系統(tǒng)，因為高明的黑客在入侵系統(tǒng)后，經(jīng)常會清除留下的痕跡。因此我們需要綜合地進(jìn)行審查和檢測，否則很難發(fā)現(xiàn)入侵，也可能會作出錯誤的判斷。

5．系統(tǒng)安全工具

Linux系統(tǒng)中包含許多系統(tǒng)安全工具，例如Sxid、Skey、logrotate、swatch、logcheck、SSH、Tripwire、Portsentry及Openssl等，這些工具可以用來解決各方面的問題。下面僅對部分工具進(jìn)行簡單介紹：

(1)?Sxid。這是一個系統(tǒng)監(jiān)控程序，它可以監(jiān)視系統(tǒng)中的suid、sgid文件及沒有屬主的文件，并以可選的形式報告文件的變化。

(2)?Skey。設(shè)置口令時，可以通過增加Skey的長度、包含的特殊字符數(shù)來提高安全性。如果口令以明文的形式在網(wǎng)絡(luò)中傳送，上述的方法就無法保證口令的安全了。因為通過嗅探器，很容易在以太網(wǎng)中捕獲傳送的口令(如今即使在交換環(huán)境下也能實現(xiàn)這種技術(shù))。為了保證網(wǎng)絡(luò)中傳送的口令的安全性，Skey是一個很好的選擇。

Skey是一次性口令的工具，基于客戶/服務(wù)器的模式。首先在服務(wù)器端用skeyinit命令為每個用戶建立一個Skey客戶，該命令需要指定一個秘密口令，然后就可以為客戶端的用戶產(chǎn)生一次性口令列表。當(dāng)用戶通過Telnet、FTP等方式與服務(wù)器建立連接時，可以按照一次性口令列表中的口令順序輸入自己的口令。

(3)?logrotate。該程序能夠使日志文件自動循環(huán)使用，刪除保存最久的日志。logrotate一般通過cron運(yùn)行。用戶既可以讓它根據(jù)一個時間表定時更新日志文件，也可以對它進(jìn)行配置，使其在日志文件的大小超過某個閾值時進(jìn)行刷新。

(4)?swatch。它是一個實時的日志監(jiān)控工具，可以設(shè)置用戶感興趣的事件，當(dāng)事件發(fā)生時通知用戶。swatch有兩種運(yùn)行方式：

檢查完畢一個日志文件的內(nèi)容后退出；

不間斷地查看日志文件，評估每一條新記錄。

(5)?logcheck。該程序可以自動檢查日志文件，先把日常的日志信息剔除，保留一些“異?！钡娜罩居涗洠⒁訣-mail的方式發(fā)送給系統(tǒng)管理員。

(6)?SSH。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如Telnet、FTP和POP，在本質(zhì)上都是不安全的，因為它們的數(shù)據(jù)在網(wǎng)絡(luò)上以明文的形式傳送，很容易被截獲。另外，這些服務(wù)程序的安全驗證機(jī)制較弱，傳輸?shù)臄?shù)據(jù)容易被篡改。通過使用SSH(SecureSHell)，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，能夠防止網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被截獲或篡改。另外，傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，可以加快傳輸?shù)乃俣?。SSH具有很多功能，既可以代替Telnet，也可以為FTP、POP提供一個安全的“通道”。

(7)?Tripwire。該程序是一個對文件系統(tǒng)進(jìn)行完整性檢查的軟件工具，采用的技術(shù)核心是對每個要監(jiān)控的文件產(chǎn)生一個數(shù)字簽名。當(dāng)現(xiàn)有文件的數(shù)字簽名與保留的數(shù)字簽名不一致時，表明該文件必定有所改動。

當(dāng)Tripwire運(yùn)行在數(shù)據(jù)庫生成模式時，它將根據(jù)管理員設(shè)置的一個配置文件讀取指定的需要監(jiān)控的文件，對每個文件生成相應(yīng)的數(shù)字簽名，并將這些結(jié)果保存在自己的數(shù)據(jù)庫中。在缺省狀態(tài)下，MD5和SNCFRN加密手段被結(jié)合起來用以生成文件的數(shù)字簽名。如果黑客入侵了系統(tǒng)，修改了文件，可以通過Tripwire程序檢測出來。2.2.2實驗——Linux系統(tǒng)安全基本設(shè)置

【實驗?zāi)康摹?/p>

(1)熟悉Linux系統(tǒng)中的基本操作命令；

(2)通過一些基本設(shè)置，提高Linux系統(tǒng)的安全性。

【實驗環(huán)境】

PC機(jī)一臺，安裝有RedHatLinux9.0操作系統(tǒng)。

【實驗過程】

以root(管理員)身份登錄RedHatLinux9.0系統(tǒng)后，進(jìn)行如下操作。

(1)使用命令useradd創(chuàng)建新用戶：[root@localhostroot]#/usr/sbin/useraddmyuser[root@localhostroot]#/usr/sbin/useraddtest(2)設(shè)置口令，這里輸入的口令為a3b2c1，輸入時不回顯：[root@localhostroot]#/usr/bin/passwdmyuserChangingpasswordforusermyuser.Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.

1)查看用戶帳戶(3)注銷并以新用戶myuser登錄，查看文件?/etc/passwd的內(nèi)容：[myuser@localhostmyuser]$cat/etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin…(這里省略了部分內(nèi)容)wnn:x:49:49:WnnSystemAccount:/home/wnn:/sbin/nologindesktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologinmyuser:x:500:500::/home/myuser:/bin/bashtest:x:501:501::/home/test:/bin/bash系統(tǒng)中的每一個用戶對應(yīng)文件中的一條記錄，例如，新建用戶myuser對應(yīng)的記錄為：

myuser:x:500:500::/home/myuser:/bin/bash每一條記錄被冒號(:)分割成了7個字段，描述了用戶的不同屬性。這些字段包括：

用戶名：代表用戶帳戶的字符串。通常不超過8個字符，由字母、數(shù)字組成。口令：采用shadow技術(shù)后，加密后的口令存放在文件?/etc/shadow中，這里只存放一個特殊字符，如“x”或者“*”。用戶標(biāo)識號：系統(tǒng)內(nèi)部用來標(biāo)識用戶的整數(shù)。組標(biāo)識號：用來標(biāo)識用戶所屬的組，對應(yīng)著文件?/etc/group中的一條記錄。用戶信息：記錄用戶的一些個人情況，如真實姓名、電話、地址等。主目錄：用戶起始的工作目錄，它是用戶登錄到系統(tǒng)之后所處的目錄。登錄Shell：用戶登錄時使用的Shell。(4)打開?/etc/shadow時，系統(tǒng)提示權(quán)限不夠：[myuser@localhostmyuser]$cat/etc/shadowcat:/etc/shadow:Permissiondenied所有合法的用戶都可以讀取文件?/etc/passwd的內(nèi)容，如果其中保存有原始口令信息或者是經(jīng)過加密的口令，將會給系統(tǒng)帶來一定的安全威脅。默認(rèn)設(shè)置下，RedHatLinux9.0系統(tǒng)采用shadow技術(shù)，把口令從?/etc/passwd中分離出來，保存到文件?/etc/shadow中，并且只能由root用戶讀取文件?/etc/shadow的內(nèi)容。(5)注銷并以root身份登錄系統(tǒng)，查看文件?/etc/shadow的內(nèi)容：[root@localhostroot]#cat/etc/shadowroot:$1$pVPuwB1M$tzhFb2ZS9mFx2hcQd5X961:13635:0:99999:7:::bin:*:13635:0:99999:7:::daemon:*:13635:0:99999:7:::adm:*:13635:0:99999:7:::lp:*:13635:0:99999:7:::sync:*:13635:0:99999:7:::shutdown:*:13635:0:99999:7:::halt:*:13635:0:99999:7:::mail:*:13635:0:99999:7:::…(這里省略了部分內(nèi)容)wnn:!!:13635:0:99999:7:::desktop:!!:13635:0:99999:7:::myuser:$1$dK7tJ4rI$lLKDJRqsC.G3eV8rnnt8L.:13737:0:99999:7:::test:!!:13737:0:99999:7:::文件?/etc/shadow與文件?/etc/passwd相對應(yīng)，其中每一條記錄對應(yīng)一個用戶，各個字段的含義依次為：

用戶名，即登錄時使用的用戶名稱。

加密的口令。如果此處為“??！”，表示該用戶當(dāng)前沒有口令，不能用來登錄。

上次修改口令日期距離1970年1月1日的天數(shù)。

兩次修改口令間隔最少的天數(shù)。如果設(shè)為0，表示隨時可以修改口令。

兩次修改口令間隔最多的天數(shù)。在口令過期前多少天，需要向用戶送出警告信息。

如果口令到期后仍未修改，經(jīng)過多少天后系統(tǒng)將關(guān)閉該帳戶。

帳戶過期日期距離1970年1月1日的天數(shù)。

系統(tǒng)保留字段，目前尚未使用。

(6)鎖定或刪除多余帳戶：對于系統(tǒng)中已經(jīng)存在的一些帳戶，如果我們能夠確定以后不再使用，應(yīng)該鎖定或刪除它們。

鎖定帳戶使用的命令為：/usr/sbin/usermod-L[username]，例如：

[root@localhostroot]#/usr/sbin/usermod-Lmyuser

刪除帳戶使用的命令為：/usr/sbin/userdel[username]，例如：

[root@localhostroot]#/usr/sbin/userdellp[root@localhostroot]#/usr/sbin/userdelshutdown[root@localhostroot]#/usr/sbin/userdelhalt[root@localhostroot]#/usr/sbin/userdeltest2)文件及目錄的訪問權(quán)限(1)查看文件或目錄的訪問權(quán)限：[root@localhost/]#ls-l/etc/passwd-rw-r--r--1rootroot1576Aug1218:33/etc/passwd[root@localhost/]#ls-l/etc/shadow-r--------1rootroot1001Aug1218:33/etc/shadow[root@localhost/]#ls-l/|grepetcdrwxr-xr-x64rootroot8192Aug1709:17etc不難看出：用戶root可以讀寫文件passwd，其他用戶只能讀該文件；用戶root可以讀文件shadow，其他用戶無權(quán)訪問該文件；所有用戶都可以讀目錄?/etc。

(2)改變目錄?/etc的訪問權(quán)限：[root@localhost/]#chmodo-r/etc[root@localhost/]#ls-l/|grepetcdrwxr-x--x64rootroot