1、<p><b>　　計(jì)算機(jī)與信息學(xué)院</b></p><p><b>　　課程設(shè)計(jì)報(bào)告</b></p><p>　　2009 年 12 月 16 日</p><p>　　*******大學(xué)計(jì)算機(jī)與信息學(xué)院信息工程類</p><p>　　課程設(shè)計(jì)報(bào)告結(jié)果評定</p><

2、p>　　目 錄</p><p>　　1．課程設(shè)計(jì)的目的1</p><p>　　2．課程設(shè)計(jì)的要求1</p><p>　　3. 課程設(shè)計(jì)報(bào)告內(nèi)容1</p><p>　　3.1系統(tǒng)安全性的基本概念1</p><p>　　3.1.1系統(tǒng)安全性的內(nèi)容1</p><p>　　

3、3.1.2系統(tǒng)安全威脅類型 ...................................................................................1</p><p>　　3.1.3系統(tǒng)安全性的主要目標(biāo)2</p><p>　　3.2系統(tǒng)安全的技術(shù)指標(biāo)2</p><p>　　3.2.1標(biāo)識與鑒別機(jī)制3</p

4、><p>　　3.2.2訪問控制4-5</p><p>　　3.2.3最小特權(quán)管理6</p><p>　　3.2.4可信通路6</p><p>　　3.2.5安全審計(jì)機(jī)制7</p><p>　　3.2.6存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)7</p><p>　　3.3Linux操作系統(tǒng)的安全機(jī)

5、制8-11</p><p>　　3.4Linux安全性的提高11-13</p><p>　　4．問題討論與分析13</p><p><b>　　5．結(jié)束語13</b></p><p><b>　　參考文獻(xiàn)14</b></p><p><b>　　系統(tǒng)安全性

6、研究</b></p><p><b>　　1．課程設(shè)計(jì)的目的</b></p><p>　　課程設(shè)計(jì)為學(xué)生提供了一個(gè)既動手又動腦，獨(dú)立實(shí)踐的機(jī)會，將課本上的理論知識和實(shí)際有機(jī)的結(jié)合起來，鍛煉學(xué)生的分析系統(tǒng)，解決實(shí)際問題的能力。提高學(xué)生分析系統(tǒng)、實(shí)踐編程的能力。</p><p><b>　　2．課程設(shè)計(jì)的要求</b>

7、;</p><p>　　考察操作系統(tǒng)安全性的技術(shù)指標(biāo)；分析這些技術(shù)指標(biāo)的合理、有效性；以某操作系統(tǒng)LINUX安全性作進(jìn)一步的分析研究。</p><p>　　認(rèn)真完成本課程設(shè)計(jì)的全部過程。并以最終課程設(shè)計(jì)成果來證明其獨(dú)立完成各種實(shí)際任務(wù)的能力。從而，反映出理解和運(yùn)用本課程知識的水平和能力。</p><p><b>　　課程設(shè)計(jì)報(bào)告內(nèi)容</b>&l

8、t;/p><p>　　3.1系統(tǒng)安全性的基本概念</p><p>　　3.1.1系統(tǒng)安全的內(nèi)容。</p><p>　　系統(tǒng)的安全性可以包括俠義安全概念和廣義安全概念兩個(gè)方面。前者主要是只對外部攻擊的防范，后者則是指保障系統(tǒng)中數(shù)據(jù)的機(jī)密性、完整性和系統(tǒng)的可用性的概念。當(dāng)主要使用廣義的安全概念。</p><p>　　系統(tǒng)安全性包括三個(gè)方面的內(nèi)容，即物

9、理安全、邏輯安全和安全管理。物理安全是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，使之免遭破壞或者丟失。安全管理包括各種安全管理的政策和機(jī)制。邏輯安全是指系統(tǒng)中信息資源的安全，它包括：數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和系統(tǒng)可用性。</p><p>　　3.1.2系統(tǒng)安全威脅類型</p><p>　　為了防范攻擊者的攻擊，必須了解攻擊者威脅系統(tǒng)安全的方式。攻擊者可能采用的攻擊方式層出不窮，而且還會隨著科學(xué)技術(shù)的

10、發(fā)展，不斷形成許多新的威脅系統(tǒng)安全的攻擊方式，當(dāng)前幾種主要的威脅類型。</p><p><b>　?、偌倜坝脩羯矸荨?lt;/b></p><p><b>　?、跀?shù)據(jù)截取。</b></p><p><b>　?、?拒絕服務(wù) </b></p><p><b>　　④修改信

11、息</b></p><p><b>　　⑤偽造信息</b></p><p><b>　?、薹裾J(rèn)操作</b></p><p><b>　?、咧袛鄠鬏?lt;/b></p><p><b>　　⑧通信量分析</b></p><p>

12、;　　3.1.3系統(tǒng)安全的目的：</p><p>　　操作系統(tǒng)是硬件和其他應(yīng)用軟件之間的連接橋梁，它所提供的安全服務(wù)主要包 括：內(nèi)存保護(hù)、文件保護(hù)、普通實(shí)體保護(hù)（對實(shí)體的一般存取控制）、存取鑒別（用戶身份的鑒別）等。</p><p>　　系統(tǒng)安全的主要目標(biāo)：</p><p>　?、侔聪到y(tǒng)安全策略對用戶的操作進(jìn)行訪問控制，防止用戶對計(jì)算機(jī)資源的非法 使用（竊取、篡改

13、和破壞）</p><p>　?、跇?biāo)識系統(tǒng)中的用戶，并對身份進(jìn)行鑒別</p><p>　?、郾O(jiān)督系統(tǒng)運(yùn)行的安全性</p><p>　　④保證系統(tǒng)自身的安全行和完整性</p><p>　　3.2系統(tǒng)安全的技術(shù)指標(biāo)</p><p>　　3.2.1標(biāo)識與鑒別機(jī)制</p><p><b>　?、?/p>

14、標(biāo)識與鑒別機(jī)制</b></p><p>　　標(biāo)識是用戶要向系統(tǒng)表明的身份。每個(gè)用戶都具有一個(gè)系統(tǒng)可以是識別的內(nèi)部名稱，即用戶標(biāo)識。用戶標(biāo)識可以是用戶名、登錄ID、身份證號或者智能卡等。用戶一旦完成了身份標(biāo)識，這個(gè)身份標(biāo)識就要對該用戶的所有行為負(fù)責(zé)，操作系統(tǒng)通過標(biāo)識來跟蹤用戶的操作。因此，用戶標(biāo)識必須是唯一的并且不能偽造的。</p><p>　　用戶可以用以下四種方法中的一種，表

15、明他們是自己聲明的身份。</p><p><b>　?、僮C實(shí)你所知道的</b></p><p>　　密碼驗(yàn)證是安全操作系統(tǒng)中最普通的身份驗(yàn)證的方法，登錄系統(tǒng)時(shí)，通常要出示自己的密碼。這就是你所知道的。你所知道的內(nèi)容除了密碼，還有身份證號碼，你最喜歡的數(shù)字，你最愛的人的名字等，這些都是可以作為身份識別的信息。</p><p>　　值得注意的是，使

16、用安全系數(shù)高的密碼，提高安全性的最簡單有效的方法之一就是使用一個(gè)不會輕易被暴力攻擊所猜到的密碼。</p><p>　　什么是暴力攻擊?攻擊者使用一個(gè)自動化系統(tǒng)來盡可能快的猜測密碼，以希望不久可以發(fā)現(xiàn)正確的密碼。使用包含特殊字符和空格，同時(shí)使用大小寫字母，避免使用從字典中能找到的單詞，不要使用純數(shù)字密碼，這種密碼破解起來比你使用母親的名字或你的生日作為密碼要困難的多。另外，要記住，每使密碼長度增加一位，就會以倍數(shù)級

17、別增加由你的密碼字符所構(gòu)成的組合。一半來說，小于8個(gè)字符的密碼被認(rèn)為是很容易被破解的?？梢杂?0個(gè)、12個(gè)字符作為密碼，16個(gè)當(dāng)然更好了。在不會因?yàn)檫^長而難于鍵入的情況下，讓你的密碼盡可能的更長會更加安全。</p><p><b>　?、诔鍪灸闼鶕碛械?lt;/b></p><p>　　這種方法是指用戶出示自己擁有的可以證明身份的物質(zhì)，例如，智能卡、憑證設(shè)備和內(nèi)存卡等。智能

18、卡鑒別的方法現(xiàn)在應(yīng)用也很廣泛，智能卡具有微芯片，芯片中可以包含用戶的詳細(xì)信息。但是智能卡需要依賴于智能卡讀卡機(jī)才能進(jìn)行操作，使用智能卡的安全操作系統(tǒng)需要具有相應(yīng)的硬件支持。</p><p><b>　?、圩C明你是誰</b></p><p>　　該方法一些無法輕易復(fù)制或偷走的物理、遺傳或其他人類特征為基礎(chǔ)的內(nèi)容進(jìn)行身份的識別。例如指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特

19、征掃描等。</p><p><b>　?、鼙憩F(xiàn)你的動作</b></p><p>　　指表現(xiàn)出你自己特有的能夠表明身份的動作。例如簽名、鍵入密碼的速度與力量、語速等，不過這種方法具有一定的誤判率，因此一般作為輔助鑒別手段。</p><p>　　生物鑒別方法也是比較常用的身份識別的鑒別方法，生物鑒別主要側(cè)重于前面提到的“證明你是誰”和“表現(xiàn)你的動作

20、”的身份鑒別發(fā)，該方法要求用戶提供的是用戶獨(dú)有的行為或生理上的特點(diǎn)，包括指紋、面容掃描、虹膜掃描、視網(wǎng)膜掃描、手掌掃描、心跳或者脈搏取樣、語音取樣、簽名力度、案件取樣等。生物識別的方法采用的技術(shù)成為生物測定學(xué)。使用一個(gè)生物測定學(xué)因素代替用戶或者賬戶ID作為身份標(biāo)識，需要生物測定學(xué)取樣對已存儲的取樣數(shù)據(jù)庫中的內(nèi)容進(jìn)行一對多的查找，并且要在生物測定學(xué)取樣和已存儲取樣之間保持主體身份的一一對應(yīng)。如果使用生物測定因素其特性隨時(shí)間而變化，例如人的

21、語調(diào)、頭發(fā)或簽字的方式，則采樣必須定期重新進(jìn)行。</p><p>　?、?.2.2訪問控制</p><p>　　用戶通過身份鑒別后，還必須通過授權(quán)才能訪問資源或者進(jìn)行操作。授權(quán)可以只在用戶的身份識別通過以后再進(jìn)行。系統(tǒng)通過訪問控制來提供授權(quán)。訪問控制的基本任務(wù)是防止用戶對系統(tǒng)資源的非法使用，保證對客體的所有直接訪問都是被認(rèn)可的。</p><p>　　使用訪問控制機(jī)制

22、主要是為了達(dá)到以下目的：</p><p>　?、俦Ｗo(hù)存儲在計(jì)算機(jī)上的個(gè)人信息。</p><p>　　②保護(hù)重要信息的機(jī)密性。</p><p>　?、劬S護(hù)計(jì)算機(jī)內(nèi)信息的完整性。</p><p>　?、軠p少病毒感染機(jī)會，從而延緩這種感染的傳播。</p><p>　?、荼ＷC系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯。&

23、lt;/p><p>　　訪問控制機(jī)制的實(shí)行主要包含以下措施：</p><p>　　①確定要保護(hù)的資源。即確定系統(tǒng)中被處理、被控制或被訪問的對象，如文件、進(jìn)程等。</p><p>　?、谑跈?quán)。即規(guī)定可以訪問資源的實(shí)體或主體，通常是一個(gè)人，有時(shí)也指一個(gè)軟件程序或進(jìn)程。</p><p>　?、鄞_定訪問權(quán)限。即通過確定可以對該資源執(zhí)行的動作，例如讀、寫、

24、執(zhí)行、追加、刪除等不同方式的組合。</p><p>　?、軐?shí)施訪問權(quán)限。即通過確定每個(gè)實(shí)體可以對哪些資源執(zhí)行哪里動作來確定該安全方案。</p><p>　　目前主要的有三種訪問控制技術(shù)：自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制。</p><p>　　自主訪問控制一個(gè)安全的操作系統(tǒng)需要具備訪問控制機(jī)制。它基于對主體及主體所屬的主體組的識別，來限制對客體的訪問，

25、還要校驗(yàn)主體對客體的訪問請求是否符合存取控制規(guī)定來決定對客體訪問的執(zhí)行與否。這里所謂的自主訪問控制是指主體可以自主地（也可能是單位方式）將訪問權(quán)，或訪問權(quán)的某個(gè)子集授予其它主體。為了實(shí)現(xiàn)完備的自主訪問控制系統(tǒng)，由訪問控制矩陣提供的信息必須以某種形式存放在系統(tǒng)中。訪問矩陣中的每行表示一個(gè)主體，每一列則表示一個(gè)受保護(hù)的客體，而矩陣的元素，則表示主體可以對客體的訪問模式。</p><p><b>　　強(qiáng)制訪

26、問控制</b></p><p>　　自主訪問控制是保護(hù)系統(tǒng)資源不被非法訪問的一種有效手段。但是由于它的控制是自主的，也帶來了問題。于是，人們又提出了一種更強(qiáng)有力的訪問控制手段，這就是強(qiáng)制訪問控制。在自主訪問控制方式中，某一合法用戶可以任意運(yùn)行一程序來修改他擁有的文件存取控制信息，而操作系統(tǒng)無法區(qū)分這種修改是用戶自己的操作，還是惡意攻擊的特洛伊木馬的非法操作。通過強(qiáng)加一些不可逾越的訪問限制，系統(tǒng)可以防止

27、某一些類型的特洛伊木馬的攻擊。在強(qiáng)制訪問控制方式中，系統(tǒng)對主體和客體都分配一個(gè)特殊的安全屬性，而且這一屬性一般不能更改，系統(tǒng)通過比較主體和客體的安全屬性來決定一個(gè)主體是否能夠訪問某個(gè)客體。用戶的程序不能改變他自己及任何其它客體的安全屬性。強(qiáng)制訪問控制還可以阻止某個(gè)進(jìn)程共享文件，并阻止通過一個(gè)共享文件向其它進(jìn)程傳遞信息。強(qiáng)制訪問控制施加給用戶自己客體的嚴(yán)格的限制，但也使用戶受到自己的限制。但是，系統(tǒng)為了防范特洛伊木馬，必須要這么做。即便是

28、不在存在特洛伊木馬，強(qiáng)制訪問控制也有用，它可以防止在用戶無意或不負(fù)責(zé)任的操作時(shí)，泄露機(jī)密信息。強(qiáng)制訪問控制對專用的或簡單的系統(tǒng)是有效的，但對通用、大型系統(tǒng)并不那么有效。</p><p><b>　　基于角色的訪問控制</b></p><p>　　基于角色的訪問控制（RBAC）是20世紀(jì)90年代由美國的國家標(biāo)準(zhǔn)和技術(shù)研究院提出的一種訪問機(jī)制，該機(jī)制可以減少授權(quán)管理的復(fù)雜

29、性，降低管理開銷。</p><p>　　RBAC本質(zhì)上也是強(qiáng)制訪問控制的一種，只不過訪問控制是基于工作的描述（如角色或者任務(wù)），而不是主體的身份。系統(tǒng)通過主體的角色或任務(wù)定義主體訪問客體的能力，如果主體處于管理位置上，那么它將比處于臨時(shí)位置上的人具有更大的資源訪問能力。RBAC在人員頻繁變動的環(huán)境中很有用。</p><p>　　RBAC的基本思想：授權(quán)給用戶的訪問資權(quán)限，通常由用戶擔(dān)當(dāng)?shù)慕?/p>

30、色來確定。例如，一個(gè)銀行包含的角色可以有出納員、會計(jì)師、貸款員等。他們職能不同，擁有的訪問權(quán)限也就各不相同。RBAC根據(jù)用戶在組織內(nèi)所處角色作出訪問權(quán)授權(quán)與控制，但用戶不能自主地將訪問權(quán)限傳給別人，但他無權(quán)將開處方的權(quán)利傳給護(hù)士。</p><p>　　一個(gè)用戶可經(jīng)授權(quán)而擁有多個(gè)角色，一個(gè)角色可由多個(gè)用戶構(gòu)成；每個(gè)角色可執(zhí)行多種操作，每個(gè)操作也可由不同的角色執(zhí)行；一個(gè)用戶可擁有多個(gè)主體，即擁有處于活動狀態(tài)、以用戶身

31、份運(yùn)行的多個(gè)進(jìn)程，但每個(gè)主體只對應(yīng)一個(gè)用戶，每個(gè)操作可施加于多個(gè)客體，每個(gè)客體也可以接受多個(gè)操作。用戶（主體）能夠?qū)σ豢蛷d執(zhí)行訪問操作的必要條件是，該用戶被授權(quán)了一定的角色，其中有一個(gè)在當(dāng)前時(shí)刻處于活躍狀態(tài)，而且這個(gè)角色對客體擁有相應(yīng)的訪問權(quán)限。</p><p>　　3.2.3最小特權(quán)管理</p><p>　　最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)(Least Privil

32、ege)，指的是"在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體(用戶或進(jìn)程)必不可少的特權(quán)"。最小特權(quán)原則，則是指"應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)，確?？赡艿氖鹿?、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小"。</p><p>　　最小特權(quán)原則一方面給予主體"必不可少"的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作;另一方面，它

33、只給予主體"必不可少"的特權(quán)，這就限制了每個(gè)主體所能進(jìn)行的操作。</p><p>　　最小特權(quán)原則要求每個(gè)用戶和程序在操作時(shí)應(yīng)當(dāng)使用盡可能少的特權(quán)，而角色允許主體以參與某特定工作所需要的最小特權(quán)去簽入(Sign)系統(tǒng)。被授權(quán)擁有強(qiáng)力角色(Powerful Roles)的主體，不需要?jiǎng)虞m運(yùn)用到其所有的特權(quán)，只有在那些特權(quán)有實(shí)際需求時(shí)，主體才去運(yùn)用它們。如此一來，將可減少由于不注意的錯(cuò)誤或是侵入者

34、假裝合法主體所造成的損壞發(fā)生，限制了事故、錯(cuò)誤或攻擊帶來的危害。它還減少了特權(quán)程序之間潛在的相互作用，從而使對特權(quán)無意的、沒必要的或不適當(dāng)?shù)氖褂貌惶赡馨l(fā)生。這種想法還可以引申到程序內(nèi)部：只有程序中需要那些特權(quán)的最小部分才擁有特權(quán)。</p><p><b>　　3.2.4可信通路</b></p><p>　　可信通路是用戶能夠借以直接同可信計(jì)算基通信的一種機(jī)制。用戶進(jìn)

35、行與安全有關(guān)的操作時(shí)，例如登錄、定義用戶的安全屬性、改變文件的安全等級等操作，必須保證是與計(jì)算機(jī)系統(tǒng)的安全核心通信。特權(quán)用戶在進(jìn)行特權(quán)操作時(shí)，也要確定從終端上輸出的信息是正確的，而不是來自特洛伊木馬。這些都需要一個(gè)機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信通路提供的?？尚磐纺軌虮ＷC用戶確定是和安全核心通信，防止不可信進(jìn)程如特洛伊木馬等模擬系統(tǒng)的登錄過程而竊取用戶的口令。</p><p>　　提供可信通路的最簡

36、單的辦法是給每個(gè)用戶兩臺終端，一臺用于處理日常工作，另一臺專門用于和內(nèi)核的硬連接。這種辦法雖然簡單，但是十分昂貴。實(shí)際應(yīng)用中對用戶建議可信通路的一種方法是使用通用終端，通過發(fā)信號給核心。這個(gè)信號是不可信軟件不能攔截、覆蓋或者偽造的。一般稱這個(gè)信號為“安全注意鍵”。安全注意鍵是由終端驅(qū)動程序檢測到的按鍵的一個(gè)特殊的組合。系統(tǒng)一旦識別到用戶在一個(gè)終端上鍵入安全注意鍵，就會終止對應(yīng)到該終端的所有用戶進(jìn)程，啟動可信的會話過程，以保證用戶名和口令

37、不被竊走。</p><p>　　3.2.5安全審計(jì)機(jī)制</p><p>　　審計(jì)機(jī)制一般是通過對日志的分析來完成的。日志就是紀(jì)錄的事件或統(tǒng)計(jì)數(shù)據(jù)，這些事件或者統(tǒng)計(jì)數(shù)據(jù)能提供關(guān)于系統(tǒng)使用及性能方面的信息。審計(jì)就是對日志紀(jì)錄的分析并以清晰的、能理解的方式表達(dá)系統(tǒng)信息。系統(tǒng)的安全審計(jì)就是對系統(tǒng)中有關(guān)安全的活動進(jìn)行紀(jì)錄、檢查及審核。</p><p>　　審計(jì)通過事后分析的方

38、法認(rèn)定違反安全規(guī)則的行為，從而保證系統(tǒng)的安全。審計(jì)機(jī)制的主要作用如下：</p><p>　　能夠詳細(xì)紀(jì)錄與系統(tǒng)安全有關(guān)的行為，并對這些進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全。</p><p>　　能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點(diǎn)、過程以及對應(yīng)的主體。</p><p>　　對于已受攻擊的系統(tǒng)，可以提供信息幫助進(jìn)行損失評估和系統(tǒng)

39、恢復(fù)。</p><p>　　可見，審計(jì)是操作系統(tǒng)安全的一個(gè)重要方面。安全操作系統(tǒng)一般都要求采用審計(jì)機(jī)制來監(jiān)視與安全相關(guān)的活動。美國國防部《橘皮書》中就明確要求“可信計(jì)算機(jī)必須向授權(quán)人員提供一種能力，以便對訪問、生成或泄露秘密或敏感信息的任何活動進(jìn)行審計(jì)。根據(jù)一個(gè)特定機(jī)制和/或特定應(yīng)用的審計(jì)要求，可以有選擇地獲取審計(jì)數(shù)據(jù)。但是審計(jì)數(shù)據(jù)中必須有足夠細(xì)的粒度，以支持對一個(gè)特定個(gè)體已發(fā)生的動作或代表該個(gè)體發(fā)生的動作進(jìn)行追

40、蹤”。</p><p>　　3.2.6存儲保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)</p><p><b>　　1>存儲保護(hù)</b></p><p>　　對于一個(gè)安全操作系統(tǒng)，存儲保護(hù)是一個(gè)最基本的要求，這主要是指保護(hù)用戶在存儲器中的數(shù)據(jù)。保護(hù)單元為存儲器中的最小數(shù)據(jù)范圍，可以是字、字塊、頁面或段。保護(hù)單元越小，則存儲保護(hù)精度越高。對于代表單個(gè)用戶，在

41、內(nèi)存中一次運(yùn)行一個(gè)進(jìn)程的系統(tǒng)，存儲保護(hù)機(jī)制應(yīng)該防止用戶程序?qū)Σ僮飨到y(tǒng)的影響。在允許許多道程序并發(fā)運(yùn)行的多任務(wù)操作系統(tǒng)中，還進(jìn)一步要求存儲保護(hù)機(jī)制對進(jìn)程的存儲區(qū)域?qū)嵭邢嗷ジ綦x。</p><p>　　存儲保護(hù)與存儲器管理是緊密相關(guān)的，存儲保護(hù)負(fù)責(zé)保證系統(tǒng)各個(gè)任務(wù)之間互不干擾，存儲器管理則是為了更有效地利用存儲空間。</p><p><b>　　2>運(yùn)行保護(hù)</b>&

42、lt;/p><p>　　安全操作系統(tǒng)的運(yùn)行保護(hù)是基于一種保護(hù)環(huán)境的等級結(jié)構(gòu)實(shí)現(xiàn)的，這種保護(hù)環(huán)稱為運(yùn)行域。運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最小環(huán)號的環(huán)具有最高特權(quán)，而在最外層具有最大環(huán)號的環(huán)是最小的特權(quán)環(huán)。最內(nèi)層是操作系統(tǒng)，它控制整個(gè)計(jì)算機(jī)系統(tǒng)的運(yùn)行，靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)，最外一層則是控制各種不同用戶的應(yīng)用環(huán)。</p><p>　　在這里最重要的的安全概念是：等級域機(jī)制

43、應(yīng)該保護(hù)某一環(huán)不被其外層環(huán)侵入，并且允許在某一環(huán)內(nèi)的進(jìn)程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)。進(jìn)程隔離機(jī)制與等級域是不同的。給定一個(gè)進(jìn)程，它可以在任意時(shí)刻在任何一個(gè)環(huán)內(nèi)運(yùn)行，在運(yùn)行期間還可以從一個(gè)環(huán)轉(zhuǎn)移到另一個(gè)環(huán)。當(dāng)一個(gè)進(jìn)程在某個(gè)環(huán)內(nèi)運(yùn)行時(shí)，進(jìn)程隔離機(jī)制將保護(hù)該進(jìn)程免遭在同一環(huán)內(nèi)同時(shí)運(yùn)行的其他進(jìn)程破壞，也就是說，系統(tǒng)將隔離在同一環(huán)內(nèi)同時(shí)運(yùn)行的各個(gè)進(jìn)程。</p><p><b>　　3>I/O保

44、護(hù)</b></p><p>　　I/O操作一般是由操作系統(tǒng)完成的一個(gè)特權(quán)操作。操作系統(tǒng)對I/O操作使用對應(yīng)的系統(tǒng)調(diào)用，用戶不需要控制I/O操作細(xì)節(jié)。對I/O操作進(jìn)行安全控制的最簡單的方式是將設(shè)備看成一個(gè)客體，對其應(yīng)用相應(yīng)的訪問控制規(guī)則。由于所有的I/O不是向設(shè)備寫數(shù)據(jù)就是從設(shè)備接收數(shù)據(jù)，所以一個(gè)進(jìn)行I/O操作的進(jìn)程必須受到對設(shè)備的讀寫兩種訪問控制。這就意味設(shè)備到介質(zhì)間的路徑可以不受什么約束，而處理到設(shè)

45、備間的路徑則需要施以一定的讀寫訪問控制。</p><p>　　3.3Linux安全性的研究</p><p>　　經(jīng)過十多年的發(fā)展，Linux的功能在不斷增強(qiáng)，其安全機(jī)制亦在逐步完善。按照TCSEC評估準(zhǔn)則，目前Linux的安全級基本達(dá)到了C2級，更高安全級別的Linux系統(tǒng)正在開發(fā)之中，下面我們來簡單介紹一下Linux主要安全機(jī)制，這些機(jī)制有些已被標(biāo)準(zhǔn)的Linux所接納，有些只是提供了“補(bǔ)

46、丁”程序。</p><p>　　PAM（pluggable Authentication Modules）是一套共享庫，其目的是提供一個(gè)框架和一套編程接口，將認(rèn)證工作由程序員交給管理員，PAM允許管理員在多種認(rèn)證方法之間作出選擇，它能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序。</p><p>　　PAM的功能包括：加密口令（包括DES和其他加密算法）；對用戶進(jìn)行資源限制，防止

47、DOS攻擊；允許隨意shadow口令；限制特定用戶在指定時(shí)間從指定地點(diǎn)登錄；引入概念“Client Plug-in Agents”，使PAM支持C/S應(yīng)用中的機(jī)器---機(jī)器認(rèn)證成為可能。</p><p>　　PAM為更有效的認(rèn)證方法的開發(fā)提供了便利，在此基礎(chǔ)上可以很容易的開發(fā)出代替常規(guī)的用戶名加口令的認(rèn)證方法，如智能卡、指紋識別等認(rèn)證技術(shù)。</p><p><b>　　入侵檢測系

48、統(tǒng)</b></p><p>　　入侵檢測技術(shù)是一項(xiàng)相對比較新的技術(shù)，目前很少有操作系統(tǒng)安裝了入侵檢測工具，事實(shí)上，標(biāo)準(zhǔn)的Linux發(fā)布版本也是最近才配置了這種工具。盡管入侵檢測系統(tǒng)的歷史很短，但是發(fā)展卻很快。利用Linux配備的工具和從因特網(wǎng)下載的工具，就可以是Linux具備高級的入侵檢測能力，這些能力包括：紀(jì)錄入侵企圖，當(dāng)攻擊發(fā)生時(shí)通知管理員；在規(guī)定情況的攻擊發(fā)生時(shí)，采取事先規(guī)定的措施；發(fā)送一些錯(cuò)誤

49、信息，比如偽裝成其他操作系統(tǒng)，這樣攻擊者會認(rèn)為他們正在攻擊一個(gè)Windows NT或者Solaris系統(tǒng)。</p><p><b>　　加密文件</b></p><p>　　加密技術(shù)在現(xiàn)代計(jì)算機(jī)系統(tǒng)安全中扮演這越來越重要的角色。加密文件系統(tǒng)就是將加密服務(wù)引入文件系統(tǒng)，從而提高計(jì)算機(jī)系統(tǒng)的安全性。有太多的理由需要加密文件系統(tǒng)，比如防止硬盤被偷竊、防止未經(jīng)授權(quán)的訪問等。&

50、lt;/p><p>　　目前Linux已有很多種加密文件系統(tǒng)，如CFS，TCFS，CRYPTFS等，較有代表性的是TCFS（Transparent Cryptographic File system）,它通過將加密服務(wù)和文件系統(tǒng)緊密集成，使用戶感覺不到文件的加密過程。TCFS不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，備份與修復(fù)以及用戶訪問保密文件的語義也不變，TCFS能夠做到讓加密文件對以下用戶不可讀：合法擁有者以外的用戶、用戶和遠(yuǎn)

51、程文件系統(tǒng)通信線路上的偷聽者、文件系統(tǒng)服務(wù)器的超級用戶。而對合法用戶，訪問加密文件與普通文件幾乎沒有區(qū)別。</p><p><b>　　安全審計(jì)</b></p><p>　　即使系統(tǒng)管理員十分精明的采取了各種安全措施，但是系統(tǒng)還可能存在一些新漏洞。攻擊者在漏洞被修復(fù)之前會迅速抓住機(jī)會公平可能多的機(jī)器。雖然Linux不能預(yù)測何時(shí)主機(jī)會受到攻擊，但是可以記錄攻擊者的行蹤。

52、</p><p>　　例如：Linux審計(jì)系統(tǒng)可以記錄以下內(nèi)容：所有系統(tǒng)和內(nèi)核信息、每一次網(wǎng)絡(luò)連接和它們的源IP地址以及發(fā)生時(shí)間、攻擊者的用戶名甚至操作系統(tǒng)類型、遠(yuǎn)程用戶申請?jiān)L問文件、用戶控制的進(jìn)程、用戶使用的每條命令等，在調(diào)查網(wǎng)絡(luò)入侵者的時(shí)候，日志信息是不可缺少的，即使這種調(diào)查在實(shí)際攻擊發(fā)生之后進(jìn)行</p><p><b>　　強(qiáng)制訪問</b></p>

53、<p>　　傳統(tǒng)的強(qiáng)制訪問實(shí)現(xiàn)都是基于TCSEC中定義的MLS策略，但因MLS本身存在著這樣那樣的缺點(diǎn)（不靈活、兼容性差、難于管理等），研究人員已經(jīng)提出多種MAC策略，如DTE、RBAC、等。由于Linux是一種自由的操作系統(tǒng)，目前在其實(shí)現(xiàn)強(qiáng)制訪問控制的就有好幾種，其中比較典型的包括：SELinux、RSBAC、MAC Linux等，采用的策略也不同。</p><p>　　例如：NSA推出的SELin

54、ux安全體系結(jié)構(gòu)稱為Flask，在這一結(jié)構(gòu)中安全性策略的邏輯和通用接口一起封裝在與操作系統(tǒng)獨(dú)立的組件中，這個(gè)單獨(dú)的組件稱為安全服務(wù)器。SELinux的安全服務(wù)器定義了一種混合的安全服務(wù)器，由于類型實(shí)施（TE）、基于角色控制（RBAC）和多級安全（MLS）組成通過替換安全服務(wù)器，可以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然后通過Check Policy編譯成二進(jìn)制形式，存儲在文件ss_policy中，在內(nèi)核引導(dǎo)時(shí)

55、讀到內(nèi)核空間。這意味著安全性策略在每次系統(tǒng)引導(dǎo)時(shí)都會有所不同。策略甚至可以通過使用security_load_policy接口在系統(tǒng)操作期間更改（只要將策略配置成允許這樣更改）。</p><p><b>　　防火墻</b></p><p>　　防火墻是在被保護(hù)網(wǎng)絡(luò)和Internet之間，或者在其他網(wǎng)絡(luò)之間限制訪問的一種部件或一系列部件。</p><

56、p>　　Linux防火墻系統(tǒng)提供了如下功能：</p><p><b>　　訪問控制</b></p><p>　　訪問控制可以執(zhí)行基于地址（源和目標(biāo)）、用戶和時(shí)間的訪問控制策略，從而可以杜絕非授權(quán)的訪問，同時(shí)保護(hù)內(nèi)部用戶的合法訪問不受影響。</p><p><b>　　審計(jì)</b></p><p&g

57、t;　　審計(jì)對通過它的網(wǎng)絡(luò)訪問進(jìn)行紀(jì)錄，建立完備的日志，審計(jì)和追蹤網(wǎng)絡(luò)訪問紀(jì)錄，并可以根據(jù)需要產(chǎn)生報(bào)表。</p><p><b>　　抗攻擊</b></p><p>　　防火墻系統(tǒng)直接暴露在非信任網(wǎng)絡(luò)中，對外界來說，受到防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)如同一個(gè)點(diǎn)，所有的攻擊都是直接針對它，該點(diǎn)稱為堡壘機(jī)，因此要求堡壘機(jī)具有高度的安全性和抵御各種攻擊的能力。</p>

58、<p><b>　　其他附屬功能</b></p><p>　　如與審計(jì)相關(guān)的報(bào)警和入侵檢測，與訪問控制相關(guān)的身份認(rèn)證、加密和認(rèn)證，甚至VPN等。</p><p>　　3.4 Linux系統(tǒng)安全性提高</p><p>　　1、限制超級用戶的權(quán)力</p><p>　　root是Linux保護(hù)的重點(diǎn)，由于它權(quán)力無限，

59、因此最好不要輕易將超級用戶授權(quán)出去。但是，有些程序的安裝和維護(hù)工作必須要求有超級用戶的權(quán)限，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的權(quán)限。Sudo就是這樣的工具。</p><p>　　sudo并不能限制所有的用戶行為，尤其是當(dāng)某些簡單的指令沒有設(shè)置限定時(shí)，就有可能被黑客濫用。例如，一般用來顯示文件內(nèi)容的/etc/cat指令，如果有了超級用戶的權(quán)限，黑客就可以用它修改或刪除一些重要的文件。</

60、p><p>　　2、 增強(qiáng)安全防護(hù)工具</p><p>　　SSH是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開密鑰技術(shù)對網(wǎng)絡(luò)上兩臺主機(jī)之間的通信信息加密，并且用其密鑰充當(dāng)身份驗(yàn)證的工具。</p><p>　　由于SSH將網(wǎng)絡(luò)上的信息加密，因此它可以用來安全地登錄到遠(yuǎn)程主機(jī)上，并且在兩臺主機(jī)之間安全地傳送信息

61、。實(shí)際上，SSH不僅可以保障Linux主機(jī)之間的安全通信，Windows用戶也可以通過SSH安全地連接到Linux服務(wù)器上。</p><p><b>　　3、檢查登錄密碼</b></p><p>　　設(shè)定登錄密碼是一項(xiàng)非常重要的安全措施，如果用戶的密碼設(shè)定不合適，就很容易被破譯，尤其是擁有超級用戶使用權(quán)限的用戶，如果沒有良好的密碼，將給造成很大的安全漏洞。</p

62、><p>　　在多用戶中，如果強(qiáng)迫每個(gè)用戶選擇不易猜出的密碼，將大大提高的安全性。但如果passwd程序無法強(qiáng)迫每個(gè)上機(jī)用戶使用恰當(dāng)?shù)拿艽a，要確保密碼的安全度，就只能依靠密碼破解程序了。</p><p>　　實(shí)際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux的/etc/passwd密碼文件或/etc/sh

63、adow影子文件相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。</p><p>　　在網(wǎng)絡(luò)上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執(zhí)行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。</p><p>　　4、設(shè)定用戶賬號的安全等級</p><p>　　除密碼之外，用戶賬號也有安全等級，這是因?yàn)樵贚inux上每個(gè)賬

64、號可以被賦予不同的權(quán)限，因此在建立一個(gè)新用戶ID時(shí)，管理員應(yīng)該根據(jù)需要賦予該賬號不同的權(quán)限，并且歸并到不同的用戶組中。</p><p>　　在Linux上的tcpd中，可以設(shè)定允許上機(jī)和不允許上機(jī)人員的名單。其中，允許上機(jī)人員名單在/etc/hosts.allow中設(shè)置，不允許上機(jī)人員名單在/etc/hosts.deny中設(shè)置。設(shè)置完成之后，需要重新啟動inetd程序才會生效。此外，Linux將自動把允許進(jìn)入或不

65、允許進(jìn)入的結(jié)果記錄到/rar/log/secure文件中，管理員可以據(jù)此查出可疑的進(jìn)入記錄。</p><p>　　每個(gè)賬號ID應(yīng)該有專人負(fù)責(zé)。在企業(yè)中，如果負(fù)責(zé)某個(gè)ID的職員離職，管理員應(yīng)立即從中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。</p><p>　　在用戶賬號之中，黑客最喜歡具有root權(quán)限的賬號，這種超級用戶有權(quán)修改或刪除各種設(shè)置，可以在中暢行無阻。因此，在給任何賬

66、號賦予root權(quán)限之前，都必須仔細(xì)考慮。</p><p>　　Linux中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機(jī)名稱。例如，在RedHatLinux中，該文件的初始值僅允許本地虛擬控制臺(rtys)以root權(quán)限登錄，而不允許遠(yuǎn)程用戶以root權(quán)限登錄。最好不要修改該文件，如果一定要從遠(yuǎn)程登錄為root權(quán)限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。</p&

67、gt;<p><b>　　問題討論與分析</b></p><p>　　安全設(shè)計(jì)往往會導(dǎo)致系統(tǒng)性能降低，一個(gè)好的安全性設(shè)計(jì)，應(yīng)當(dāng)在考慮安全目標(biāo)的同時(shí)，亦注重不要使系統(tǒng)性降低的過多</p><p>　　另一個(gè)后果是，安全設(shè)計(jì)可能帶來的不良的用戶界面，甚至在某些時(shí)候，一個(gè)通常被認(rèn)為安全的操作，系統(tǒng)卻當(dāng)作不安全的操作拒絕執(zhí)行。</p><p&

68、gt;　　所以“計(jì)算機(jī)安全”不是一個(gè)絕對的概念，只要有足夠的工具和足夠的時(shí)間，一個(gè)被認(rèn)為“安全”的系統(tǒng)仍然會收到致命的攻擊，這也是最有名的安全標(biāo)準(zhǔn)TCSEC被稱作可信計(jì)算機(jī)系統(tǒng)評價(jià)準(zhǔn)則而不是安全計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則的原因，因?yàn)檫_(dá)到，某一個(gè)安全級別的系統(tǒng)，只能說更安全了，變得更可信了、而不意味著絕對安全性，不過，這也從另一個(gè)角度表明，計(jì)算機(jī)安全研究還有很長的路要走。</p><p><b>　　5．結(jié)束語&

69、lt;/b></p><p>　　這次課程設(shè)計(jì)我找了很多的材料比較很很多系統(tǒng)安全性技術(shù)的指標(biāo)，不僅讓我對課本的知識掌握得更加透徹，而且還了解了更多的課本外的知識。正如上面說的</p><p>　　從計(jì)算機(jī)安全的角度看，世界上沒有絕對密不透風(fēng)、百分之百安全的計(jì)算機(jī)，Linux也不例外。雖然Linux的安全性能很高，使順手牽羊型的黑客和電腦玩家不能輕易闖入，但卻不一定能阻擋那些身懷絕技的

70、武林高手。所以計(jì)算機(jī)安全研究的路還很長。因此通過這次課程設(shè)計(jì)我真正了解了操作系統(tǒng)安全性內(nèi)涵和要求，學(xué)到了很多有用的知識。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]賈春福、鄭鵬 《操作系統(tǒng)安全》 武漢大學(xué)出版社2006.12</p><p>　　[2]劉克龍、馮登國、石文昌 《操作系統(tǒng)原理與技術(shù)》北京：科學(xué)出版社，

71、2004.07</p><p>　　[3]湯小丹，梁紅兵，哲鳳萍，湯子瀛 計(jì)算機(jī)操作系統(tǒng)（第三版）[M].西安電子科技大學(xué)出版社，2007.5</p><p>　　[4]梁紅兵，湯小丹《計(jì)算機(jī)操作系統(tǒng)》學(xué)習(xí)指導(dǎo)與題解（第二版）[M].西安電子科技大學(xué)出版社，2008.9</p><p>　　[5]William Stallings，陳渝譯，向勇審校 操作系統(tǒng)——精髓