返回
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12

网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12

ID:43770836

大小:1.48 MB

页数:26页

时间:2019-10-14

网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12_第1页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12_第2页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12_第3页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12_第4页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12_第5页
资源描述:

《网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux12》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络操作系统—— Linux配置与管理第12章Linux安全管理Linux访问控制机制Linux安全模型用户身份验证加固Linux系统SELinux强制访问控制学习要点12.1Linux安全概述访问控制机制自主访问控制(DiscretionaryAccessControl,DAC)基于请求者的身份和访问规则来控制访问。每一个对象都会记录一个所有者(拥有者)的信息,只要是对象的所有者,就可以获得完整控制该对象的能力。DAC允许对象所有者完整访问该对象,但其他人需要访问该对象时,就必须授予适当的权限。但是每一个对象都仅有一组所有者信息,如果需要更复杂的访问控制的

2、能力就需要访问控制列表(AccessControlList,ACL)来为不同的用户设置不同的权限。DAC与ACL都只是针对使用者与对象的关系进行访问控制,无法满足对安全性的复杂性要求。强制访问控制(MandatoryAccessControl,MAC)通过比较具有安全许可的安全标记来控制访问。MAC机制不允许对象的所有者随意修改或授予该对象相应的权限,而是通过强制方式为每个对象统一授予权限。用户或进程除了需要具备传统的权限外,还必须获得系统的MAC授权,方能访问指定的对象,这样管理者就可以获得更多的访问控制能力,从而进行更精密细致的访问控制配置,MAC的安全

3、性比授予用户完全控制能力的DAC高得多。在配置与维护方面MAC要比DAC复杂得多,这也是提高安全性所要付出的代价。MAC的实现机制主要包括RBAC和MLS。RBAC全称Role-basedAccessControl,可以译为基于角色的访问控制,其实现机制是以用户所属的角色进行访问权限判断。MLS全称Mufti-LevelSecurity,可以译为多层安全,其实现机制是以数据内容的敏感性或机密性定义若干不同的等级,以对象的机密等级来决定进程对该对象的访问能力。12.1Linux安全概述Linux安全模型传统的Linux安全模型Linux基于所有者、所属组和其他

4、用户的身份进行文件权限控制。文件(还包括设备、目录等)是被访问的对象,用户或进程等是要访问对象的主体。每个对象都有3个权限集,分别定义所有者权限、所属组权限和其他用户权限,这些权限由系统内核负责实现。用户根据对象的权限访问和操作这些对象。一个进程或程序运行时实际上会表现为一个复制到可执行内存区域的文件,所以权限要对进程产生两次影响。对象的任何所有者都可以设置或者改变对象的权限,超级用户root既对系统中的所有对象拥有所有权,又能够改变系统中所有对象的权限。具有root权限的用户或者进程可以在Linux系统中任意行事,也就是root决定一切。基于MAC的Lin

5、ux安全模型在一个基于MAC的系统上,超级用户仅用于维护全局安全策略。日常的系统管理员则使用无权改变全局安全策略的账户。基于MAC模型的操作系统在配置和维护上比DAC复杂得多。要创建一个有效的全局安全策略,需要知道系统上每个应用的预期行为的细节。目前Linux的MAC解决方案SELinux(Security-EnhancedLinux)与AppArmor都简化了MAC复杂性,部分实现MAC。SELinux是NSA(美国国家安全局)对Linux强制访问控制的有效实现。为便于实现,SELinux仅用于限制关键的网络守护进程,而其他都需要LinuxDAC进行保护。

6、AppArmor是Novell对SuSELinux的MAC实现,具有强大的安全控制能力而且配置维护比SELinux容易。在多用户环境下运行Linux,或者对Linux较高安全性要求,首选具有全面访问控制能力的SELinux。12.1Linux安全概述Linux安全威胁缓冲区溢出缓冲区溢出(bufferoverflow)是指利用程序的漏洞,用某些恶意代码覆盖程序代码,从而攻击系统。缓冲区溢出是所有安全问题中最重要也最危险的,几乎所有“致命的”安全漏洞都与它相关。设置root权限的程序设置root权限的程序是被设置了setuid位的程序,任何人都可以以root权

7、限运行,而不是实际执行它的进程或用户的权限。如果一个设置root权限的程序能以某种方式被发现或滥用,其他非特权用户就能顺利地利用该程序掌握root权限,非法地打开一个root终端。Web应用漏洞安装带有已知漏洞的Web应用程序,或者编写容易暴露缺陷的自定义Web应用程序,成为目前Web应用漏洞的主要来源。rootkit攻击rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具,而不是用于获得系统root访问权限的工具。通过rootkit的嗅探器获得其他系统的用户和密码之后,攻击者再利用这些信息侵入其他系统。拒绝服务攻击(DoS)任何阻止正常使用

8、系统和网络资源的行为都认为是一种拒绝服务行为。管理员

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。