1、*计算机网络安全基础目前,在服务器的操作系统平台上,受广大用户欢迎的有Unix、Linux和Windows NT。这三个操作系统存在着不少的安全漏洞,如果对这些漏洞不了解,不采取相应的对策和防范措施,就会使系统完全暴露在入侵者的入侵范围之内,随时有可能遭受毁灭性的攻击。本章就是从上述问题着手,来讨论:1.Unix、Linux和Windows NT等操作系统的安全基础2.系统特性和安全策略3.Unix和Windows NT操作系统的网络安全配置 第1页,共33页。*计算机网络安全基础2.1.1Unix系统的由来Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验
2、室的产品发展成为当前使用普遍、影响深远的业界主流操作系统,经历了一个逐步成长、不断完善的发展过程。由于其功能强大、技术成熟、可靠性好、网络功能强及开放性好,可满足各行各业实际应用的需求,受到了广大用户的欢迎,已经成为重要的企业级操作平台。由于Unix系统强大的生命力,它的用户每年以两位数字以上的速度增长,可以肯定地说,Unix是可以进入21世纪的少数几种操作系统平台之一。第2页,共33页。*计算机网络安全基础Unix系统在经过20多年的发展成长以后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要包括:1可靠性高。2极强的伸缩性。3网络功能强。4强大的数据库支持功
3、能。5开放性好。第3页,共33页。*计算机网络安全基础2.1.2 Unix常用命令介绍ls 这个命令相当于DOS中的dir(列目录和文件的命令)-a:把本目录下所有的文件,包括隐含的文件列出来。-l:把文件的文件长度、修改的日期等详细信息列出来。-p:在每个文件名后附一个字符说明文件类型。*表示可执行文件,表示目录,表示连接。-d:将目录当作文件显示,而不是显示其下的文件。当输入ls-al命令并接回车时,就会列出当前目录下所有文件和目录的名称。第4页,共33页。*计算机网络安全基础cd变换目录,和DOS相同。如果你在cd后面没有给定目的地,则表示目的地是根目录。在Unix中有三种表示目录的符号
4、:“”、“”、“”。“”表示当前目录路径的位置,“”表示当前路径的上一层目录,或称“父目录”,“”表示根目录,根目录指每个用户所拥有的目录。如想进入某一目录,只需在cd后加上要进入的目录名,例如cdetc。who列出现在系统里有哪些用户。Unix是一个多用户的操作系统,可以同时有许多人在机器上。who命令可以把他们的名字和终端号都列出来。第5页,共33页。*计算机网络安全基础cpcp命令等同于DOS里的copy命令,即复制文件。例如:cp filel file2会将filel文件复制为file2文件。它有如下几个重要参数:-r:将目录完全地复制到其他目录里,相当于xcopy。-p:在Unix里
5、,当你操作时,系统会自动更改文件属主、组、权限和时间。-p参数使这些内容保持不变。catcatenate的缩写,意为把内容串起来,其实际作用在于显示文件内容,相当于DOS里面的type命令。当输入catetcpasswd命令,就会显示出本系统的口令文件。第6页,共33页。*计算机网络安全基础man英语“manual”的缩写。这是一条使用频率很高的命令,用来得到系统对一个特定命令的帮助信息。例如,如果想得到cat命令的详细帮助信息,就输入man cat。mv这个命令是move的缩写,就是移动一个目录或文件。my filel file2就是把文件filel移动为file2,移动后filel会消失,
6、实际上就是把filel改名为file2。第7页,共33页。*计算机网络安全基础rmrm就是remove,即删除文件。当需要删除目录以及目录以下的子目录时,需用r参数。grep在文件当中查找指定字符。例如grep root passwd,其功能为在passwd文件当中寻找root字符并输出该行。find用来搜寻特定文件或目录。其使用格式为:find路径匹配表达式主要的匹配表达式有:-name,通过文件名查找;-perm,通过文件属性查找;-print,输出搜寻结果。第8页,共33页。*计算机网络安全基础2.1.3 Unix系统基本知识超级用户在Unix系统中有一个名为root的用户,这个用户在系
7、统上拥有最大的权限,即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。文件属性 为保护每个用户的私人文件不受他人非法修改,系统为每个文件和目录都设定了属性。-rw-r-r-l root wheel 545 Apr 4 12:19 file1r表示可读,w表示可写,x表示可执行。第9页,共33页。*计算机网络安全基础ShellShell是用户和Unix系统内核之间的接口程序。在提示符下输入的每个命令都由Shell先解释然后传给Unix内核。可以简单地认为Shell就是Unix的命令解释器,相当于DOS中的COMMAND.COM。输入/输出重定向重定向用于改变一个命令的输入输出源。“
8、”符号用于把当前命令的输入输出重走向为指定的文件。管道管道可以把一系列命令连接起来。这意味着第一个命令的输出会通过管道传给第二个命令而作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,以此类推。第10页,共33页。*计算机网络安全基础2.2.1 Linux的历史 Unix系统对计算机硬件的要求比较高,对于一般的个人来说,想要在PC机上运行Unix是比较困难的。而Linux就为一般用户提供了一个使用Unix界面操作系统的机会。因为Linux是按照Unix风格设计的操作系统,所以在源代码级上兼容绝大部分的Unix标准。可以说相当多的网络安全人员在自己的机器上运行的正是Linux。第1
9、1页,共33页。*计算机网络安全基础2.2.2 Linux的特点1与Unix高度兼容。Linux是一种完全符合POSIX.l等国际标准的操作系统,它和大部分商业Unix操作系统保持高度的兼容性,几乎所有的Unix命令都可以在Linux下使用。2高度的稳定性和可靠性。Linux是一种完全32位的操作系统(其实Linux可以很容易地升级为64位),具备完善的多任务机制。第12页,共33页。*计算机网络安全基础3完全开放源代码,价格低廉。Linux符合GNU通用公共版权协议,是自由软件,它的源代码是完全开放的,可以免费得到,这对于系统安全人员来说是非常重要的,因为阅读源代码是发现系统漏洞的最主要方法
10、。而且与各种商业操作系统相比。4安全可靠,绝无后门。由于源代码开放,用户不用担心Linux中会存在秘密后门,而且任何错误都会被及时发现并修正,因此Linux可以提供极高的安全性。第13页,共33页。*计算机网络安全基础2.2.3 vi用法介绍vi是Linux下的一个非常好用的全屏幕文本编辑器。vi有两种模式,即编辑模式和命令模式。编辑模式用来输入文字资料,而命令模式用来下达一些编排文件、存档以及离开vi等等的操作命令。进入进入vi:直接输入vi 离开离开vi:命令模式下键入:q,:wq指令则是存盘后再离开 模式切换:模式切换:切换到命令模式下需按Esc键 第14页,共33页。*计算机网络安全基
11、础Windows 9x:在具有众多优点的同时,它的缺点是稳定性和安全性欠佳。Windows 9598极易受到各种木马以及炸弹的袭击,一般的网络用户都可以使用一些特种工具轻而易举地让Windows 9x死机。Windows NT:对网络功能的支持更为强大,并且稳定性有了本质的提高。注册表:注册表:注册表是Windows系统的核心数据库,里面只存放了某些文件类型的应用程序信息。要方便地修改注册表可以使用注册表编辑程序regedit。第15页,共33页。*计算机网络安全基础第16页,共33页。*计算机网络安全基础2.4.1 网络配置文件 1./etchosts文件文件 该文件的目的是提供简单的主机名
12、到IP地址的转换。一个例子,其中以“#”打头的行表示注释:#IP ADDRESS FQDNALIASEShost2 第17页,共33页。*计算机网络安全基础2./etc/ethers文件文件 当一个主机在本地网络上,并知道其IP地址时,TCP/IP将它转换成实际的以太网地址。这可以通过地址转换协议(ARP),或者创建一个etcethers文件并由该文件列出所有的以太网地址列表来实现。该文件的格式是:前面是以太网地址,后面是正式的主机名,例如:#Ethernet AddressHostname5:2:21:3:fc:1ahost12:54:12:4:54:7fhost2e1:0:c1:1:9:2
13、3host3第18页,共33页。*计算机网络安全基础3./etc/networks 文件文件该文件提供了一个Internet上的IP地址和名字。每一行提供了一个特定的网络的信息,例如:#NETWORK NAMEIP ADDRESS187.12.4ftp.host2.org166.23.56该文件中的每一项包括一个网络的IP地址、名称、别名和注释。第19页,共33页。*计算机网络安全基础4./etc/protocols文件文件该文件提供了一个已知的DARPA Internet协议的列表。下例每行包含了协议名、协议号以及该协议的别名:#Internet(IP)protocolsip0IP#inte
14、rnet protocol,pseudo protocol numbericmp1ICMP#internet control message protocolggp3GGP#gateway to gateway protocoltcp6TCP#transmission control protocolegp8EGP#exterior gateway protocolpup12PUP#PARC universal packet protocoludp17UDP#user data gram protocolhello63HELLO#HELLO Routing Protocol 第20页,共33页
15、。*计算机网络安全基础5./etc/services文件文件该文件提供了可用的服务列表。对每一个服务,文件中的每一行提供了下述信息:正式服务名、端口号、协议名、别名#Network services Internet style#echo7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpftp21/tcptelnet23/tcp第21页,共33页。*计算机网络安全基础2.4.2 Unix文件访问控制 Unix系统的资源访问控制是基于文件的,为了维护系统的安全性,系统中每一个文件都具有一定的访问权限,只有具有这种访
16、问权限的用户才能访问该文件,否则系统将给出Permission Denied的错误信息。有三类用户:用户本人、用户所在组的用户、其它用户 允许权:R-读W-写X-执行允许权组:A-管理员(所有权利)V-属主G-组O-其他每个人第22页,共33页。*计算机网络安全基础2.4.3 NFS文件访问系统的安全 任一台主机都可以做NFS服务器或者NFS客户。或者二者兼而有之。用户最常犯的错误只是简单的NFS设置错误,设置有错误的NFS主机到处都是。由于NFS对用户的认证非常简单,并且对NFS设置错误的例子比比皆是。因此NFS对网络安全的危害是非常巨大的。首先,对可以安装调出文件卷的主机没有限制,将使得任
17、何主机都可以安装,因此攻击者所在的主机也一样可以安装它。即使没有其它权限,攻击者通过这一步便已看到了系统的许多信息。第23页,共33页。*计算机网络安全基础其次,没有明确地设置调出文件卷为只读,则调出文件卷在客户端缺省为可读、可写。这时候攻击者便可以增加,修改,删除或替换NFS服务器上的文件。需要明确指出的是,调出文件卷缺省为可写。第三,许多主机常常将NFS服务器上的系统信箱和用户主目录所在的目录调出。安装这些目录的用户(攻击者),只要具有文件属主的UID和GID,便可以阅读这些文件。这只要攻击者在本机是超级用户,那么他便可以用su命令变成任何普通用户,或者诸如bin这类的特殊用户。第24页,
18、共33页。*计算机网络安全基础第四,有一些系统甚至将NFS服务器上的根目录调出。这等于是将系统送到别人眼底。系统的一切秘密暴露无疑。攻击者只需用命令“su bin”变成bin用户,或者与root同组的用户,便可以替换系统一些启动时的文件,或者在(root用户的主目录),/bin(bin用户的主目录)下增加一个.rhosts文件。系统已经为外来用户敞开了大门。第25页,共33页。*计算机网络安全基础设置NFS时的一些安全事项:限制可安装调出文件卷的客户机及可安装的目录。如果可能,将文件系统以只读方式调出去。对调出的文件及目录设置为root所有。不要将服务器的可执行文件调出。不要将用户目录调出去。
19、使用安全的NFS最后一点,最好不要使用NFS。第26页,共33页。*计算机网络安全基础2.5.1 Windows NT的资源访问控制 Windows NT安全模式的一个最初目标,就是定义一系列标准的安全信息,并把它应用于所有对象的实例,这些安全信息,包括下列元素:1所有者2组3自由 ACL(Access Control List)4系统ACL 5存取令牌(Access Token)第27页,共33页。*计算机网络安全基础2.5.2 Windows NT的 NTFS文件系统 NTFS文件系统是一种安全的文件系统,因为它支持文件访问控制,人们可以设置文件和目录的访问权限,控制谁可以使用这个文件,以
20、及如何使用这个文件。五个预定义的许可为:拒绝访问,读取,更改,完全控制和选择性访问。第28页,共33页。*计算机网络安全基础本章内容:1Unix是一个多任务多用户的操作系统,它具有:可靠性高、极强的伸缩性、网络功能强、强大的数据库支持功能和开放性好等特点。2Linux是按照Unix风格设计的操作系统,所以在源代码级上兼容绝大部分的Unix标准。Linux主要具有:与Unix高度兼容、高度的稳定性和可靠性、完全开放源代码,价格低廉和系统安全可靠,绝无后门等特点。3Windows NT具有支持多种网络协议、内置的因特网功能和支持NTFS文件系统等显著特点。注册表是Windows系统的核心数据库。4
21、Unix网络配置 和Windows网络配置。第29页,共33页。*计算机网络安全基础1网络操作系统与单机操作系统之间的主要区别是什么?2局域网操作系统有哪些基本服务功能?3Unix操作系统的主要特点有哪些?4Linux操作系统的主要特点有哪些?5Windows NT操作系统的主要特点有哪些?6Windows NT操作系统的安全特点是什么?7Unix操作系统的文件访问控制是基于什么来完成的?8Unix操作系统对文件进行操作的有哪三类用户?9简述NTFS文件系统的特点?10在Windows NT操作系统中对文件访问许可设置有哪些?11在Windows NT操作系统中对目录访问许可设置有哪些?第30
22、页,共33页。第31页,共33页。第32页,共33页。其实,世上最温暖的语言,“不是我爱你,而是在一起。”所以懂得才是最美的相遇!只有彼此以诚相待,彼此尊重,相互包容,相互懂得,才能走的更远。相遇是缘,相守是爱。缘是多么的妙不可言,而懂得又是多么的难能可贵。否则就会错过一时,错过一世!择一人深爱,陪一人到老。一路相扶相持,一路心手相牵,一路笑对风雨。在平凡的世界,不求爱的轰轰烈烈;不求誓言多么美丽;唯愿简单的相处,真心地付出,平淡地相守,才不负最美的人生;不负善良的自己。人海茫茫,不求人人都能刻骨铭心,但求对人对己问心无愧,无怨无悔足矣。大千世界,与万千人中遇见,只是相识的开始,只有彼此真心付
23、出,以心交心,以情换情,相知相惜,才能相伴美好的一生,一路同行。然而,生活不仅是诗和远方,更要面对现实。如果曾经的拥有,不能天长地久,那么就要学会华丽地转身,学会忘记。忘记该忘记的人,忘记该忘记的事儿,忘记苦乐年华的悲喜交集。人有悲欢离合,月有阴晴圆缺。对于离开的人,不必折磨自己脆弱的生命,虚度了美好的朝夕;不必让心灵痛苦不堪,弄丢了快乐的自己。擦汗眼泪,告诉自己,日子还得继续,谁都不是谁的唯一,相信最美的风景一直在路上。人生,就是一场修行。你路过我,我忘记你;你有情,他无意。谁都希望在正确的时间遇见对的人,然而事与愿违时,你越渴望的东西,也许越是无情无义地弃你而去。所以美好的愿望,就会像肥皂
24、泡一样破灭,只能在错误的时间遇到错的人。岁月匆匆像一阵风,有多少故事留下感动。愿曾经的相遇,无论是锦上添花,还是追悔莫及;无论是青涩年华的懵懂赏识,还是成长岁月无法躲避的经历愿曾经的过往,依然如花芬芳四溢,永远无悔岁月赐予的美好相遇。其实,人生之路的每一段相遇,都是一笔财富,尤其亲情、友情和爱情。在漫长的旅途上,他们都会丰富你的生命,使你的生命更充实,更真实;丰盈你的内心,使你的内心更慈悲,更善良。所以生活的美好,缘于一颗善良的心,愿我们都能善待自己和他人。一路走来,愿相亲相爱的人,相濡以沫,同甘共苦,百年好合。愿有情有意的人,不离不弃,相惜相守,共度人生的每一个朝夕直到老得哪也去不了,依然是彼此手心里的宝,感恩一路有你!感谢您对文章的阅读跟下载,希望本篇文章能帮助到您,建议您下载后自己先查看一遍,把用不上的部分页面删掉哦,当然包括最后一页,最后祝您生活愉快!第33页,共33页。
