【文档说明】第二章操作系统与网络安全.pptx，共(33)页，119.104 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-288318.html

以下为本文档部分文字说明：

第2章操作系统与网络安全目前，在服务器的操作系统平台上，受广大用户欢迎的有Unix、Linux和WindowsNT。这三个操作系统存在着不少的安全漏洞，如果对这些漏洞不了解，不采取相应的对策和防范措施，就会使系统完全暴露在入侵者的入

侵范围之内，随时有可能遭受毁灭性的攻击。本章就是从上述问题着手，来讨论：1.Unix、Linux和WindowsNT等操作系统的安全基础2.系统特性和安全策略3.Unix和WindowsNT操作系统的网络安全配置计算机网络安

全基础2.3Windows系统简介Windows9x：在具有众多优点的同时，它的缺点是稳定性和安全性欠佳。Windows95／98极易受到各种木马以及炸弹的袭击，一般的网络用户都可以使用一些特种工具轻而易举地让Windows9x

死机。WindowsNT：对网络功能的支持更为强大，并且稳定性有了本质的提高。注册表：注册表是Windows系统的核心数据库，里面只存放了某些文件类型的应用程序信息。要方便地修改注册表可以使用注册表编辑程序regedit。计算机网络安全基础2.3Windows

系统简介计算机网络安全基础2.5WindowsNT/2000网络配置2.5.1WindowsNT/2000的资源访问控制WindowsNT安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例，这些安全信息，包括下列元素：1．所有者2．组3．自由

ACL（AccessControlList）4．系统ACL5．存取令牌（AccessToken）计算机网络安全基础2.5WindowsNT网络配置2.5.2WindowsNT的NTFS文件系统NTFS文件系统是一种安全的文

件系统，因为它支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何使用这个文件。五个预定义的许可为：拒绝访问，读取，更改，完全控制和选择性访问。计算机网络安全基础2.5WindowsNT/2000常用命令WindowsNT/2000常用命令补充计算机网络安全基

础2.1Unix系统简介2.1.1Unix系统的由来Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的业界主流操作系统，经历了一个逐步成长、不断完善的发展过程。由于其功能强大、技术成熟、可靠性好

、网络功能强及开放性好，可满足各行各业实际应用的需求，受到了广大用户的欢迎，已经成为重要的企业级操作平台。由于Unix系统强大的生命力，它的用户每年以两位数字以上的速度增长，可以肯定地说，Unix是可以进入21世纪的少数几种操作

系统平台之一。计算机网络安全基础2.1Unix系统简介Unix系统在经过20多年的发展成长以后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要包括：1．可靠性高。2．极强的伸缩性。3．网络功能强。4．强大的数据库支持功能。5．开放性好。计算机网络安全基础2.1Uni

x系统文件目录简介Unix系统采用目录树结构,各种不同的文件分类放在不同的目录下,树的根部及文件的最高级是“/”目录,然后由各种子目录构成Bin:存放系统可执行文件的目录,包括常用的命令和执行脚本Boot:放置启动操作系统所需要的文件Dev:Unix将各种硬

件看成是文件,此目录放置对应的硬件文件Etc:放置系统常用的配置文件和脚本Home:用户的个人资料,每个用户有自己的文件夹Mnt:挂载文件的目录Usr:用户文件和安装程序的目录Tmp:系统运行中产生的临时文件存放的目录.

计算机网络安全基础2.1Unix系统简介2.1.2Unix常用命令介绍ls这个命令相当于DOS中的dir（列目录和文件的命令）-a：把本目录下所有的文件，包括隐含的文件列出来。-l：把文件的文件长度、修改的日期等详细信息列出来。-p：在每个文件名后附一个字符说明文件

类型。*表示可执行文件，／表示目录，＠表示连接。-d：将目录当作文件显示，而不是显示其下的文件。当输入ls-al命令并接回车时，就会列出当前目录下所有文件和目录的名称。计算机网络安全基础2.1Unix系统简介cd变换目录，和DOS相同

。如果你在cd后面没有给定目的地，则表示目的地是根目录。在Unix中有三种表示目录的符号：“．”、“．．”、“~”。“．”表示当前目录路径的位置，“．．”表示当前路径的上一层目录，或称“父目录”，“~”表示根目录，根目录指每个用户所拥有的目录。如想进入某一目录，只需在cd后

加上要进入的目录名，例如cd／etc。who列出现在系统里有哪些用户。Unix是一个多用户的操作系统，可以同时有许多人在机器上。who命令可以把他们的名字和终端号都列出来。计算机网络安全基础2.1Unix系统简介cpcp命令等同于DOS里的copy命令，即复制文件。例如：cpfile

lfile2会将filel文件复制为file2文件。它有如下几个重要参数：-r：将目录完全地复制到其他目录里，相当于xcopy。-p：在Unix里，当你操作时，系统会自动更改文件属主、组、权限和时间。

-p参数使这些内容保持不变。catcatenate的缩写，意为把内容串起来，其实际作用在于显示文件内容，相当于DOS里面的type命令。当输入cat／etc／passwd命令，就会显示出本系统的口令文件。计算机网络安全基础2.1Unix系

统简介man英语“manual”的缩写。这是一条使用频率很高的命令，用来得到系统对一个特定命令的帮助信息。例如，如果想得到cat命令的详细帮助信息，就输入mancat。mv这个命令是move的缩写，就是移动一个目录或文件。myfi

lelfile2就是把文件filel移动为file2，移动后filel会消失，实际上就是把filel改名为file2。计算机网络安全基础2.1Unix系统简介rmrm就是remove，即删除文件。当需要删除目录以及目录以下的子目录时，需用r参数

。grep在文件当中查找指定字符。例如greprootpasswd，其功能为在passwd文件当中寻找root字符并输出该行。find用来搜寻特定文件或目录。其使用格式为：find［路径］［匹配表达式］主要的匹配表达式有：-name，通过文件名查找；-perm，通过文件属性查找；-

print，输出搜寻结果。计算机网络安全基础2.1Unix系统简介2.1.3Unix系统基本知识●超级用户在Unix系统中有一个名为root的用户，这个用户在系统上拥有最大的权限，即不需授权就可以对其他用户的文件、目录以及系统文件进行任意操作。●文件属性为保护每个用户的私人文件不受他人非

法修改，系统为每个文件和目录都设定了属性。-rw-r--r--lrootwheel545Apr412:19file1r表示可读，w表示可写，x表示可执行。计算机网络安全基础2.1Unix系统简介●Shel

lShell是用户和Unix系统内核之间的接口程序。在提示符下输入的每个命令都由Shell先解释然后传给Unix内核。可以简单地认为Shell就是Unix的命令解释器，相当于DOS中的COMMAND.COM。●输入/输出重定向重定向用于改变一个命

令的输入／输出源。“<”和“>”符号用于把当前命令的输入／输出重走向为指定的文件。●管道管道可以把一系列命令连接起来。这意味着第一个命令的输出会通过管道传给第二个命令而作为第二个命令的输入，第二个命令的输出又会

作为第三个命令的输入，以此类推。计算机网络安全基础2.2Linux系统简介2.2.1Linux的历史Unix系统对计算机硬件的要求比较高，对于一般的个人来说，想要在PC机上运行Unix是比较困难的。而Linux就为一般用户提供了一个使用Unix界面操作系统的机会

。因为Linux是按照Unix风格设计的操作系统，所以在源代码级上兼容绝大部分的Unix标准。可以说相当多的网络安全人员在自己的机器上运行的正是Linux。计算机网络安全基础2.2Linux系统简介2.2.2Linux的特点1．与Unix高度

兼容。Linux是一种完全符合POSIX.l等国际标准的操作系统，它和大部分商业Unix操作系统保持高度的兼容性，几乎所有的Unix命令都可以在Linux下使用。2．高度的稳定性和可靠性。Linux是一种完全32位的操作系统（其实Linux可以很容易地升级为6

4位），具备完善的多任务机制。计算机网络安全基础2.2Linux系统简介3．完全开放源代码，价格低廉。Linux符合GNU通用公共版权协议，是自由软件，它的源代码是完全开放的，可以免费得到，这对于系统安全人员来说是非常重要的，因为阅读源代码是发现系统漏洞的最主

要方法。而且与各种商业操作系统相比。4．安全可靠，绝无后门。由于源代码开放，用户不用担心Linux中会存在秘密后门，而且任何错误都会被及时发现并修正，因此Linux可以提供极高的安全性。计算机网络安全基础2.2Linux系统简介2.2.3vi用法介绍vi是

Linux下的一个非常好用的全屏幕文本编辑器。vi有两种模式，即编辑模式和命令模式。编辑模式用来输入文字资料，而命令模式用来下达一些编排文件、存档以及离开vi等等的操作命令。进入vi：直接输入vi<文件名>离开vi：命令模式下键入:q，:wq指令则是存盘后

再离开模式切换：切换到命令模式下需按Esc键计算机网络安全基础2.4Unix网络配置2.4.1网络配置文件1./etc／hosts文件该文件的目的是提供简单的主机名到IP地址的转换。一个例子，其中以“#”打头的行表示注释：#IPADDRESSFQDNALIASES127.0.0.1local

host178.12.32.13hostl.edu.cnhost1145.32.16.76host2.com.cnhost2计算机网络安全基础2.4Unix网络配置2./etc/ethers文件当一个主机在本地网络上，并知道其IP地址

时，TCP/IP将它转换成实际的以太网地址。这可以通过地址转换协议（ARP），或者创建一个／etc／ethers文件并由该文件列出所有的以太网地址列表来实现。该文件的格式是：前面是以太网地址，后面是正式的主机名，例如：#EthernetAddressHostname5:2:

21:3:fc:1ahost12:54:12:4:54:7fhost2e1:0:c1:1:9:23host3计算机网络安全基础2.4Unix网络配置计算机网络安全基础2.4Unix网络配置4./etc/protocols文件该文件提供了

一个已知的DARPAInternet协议的列表。下例每行包含了协议名、协议号以及该协议的别名：#Internet（IP）protocolsip0IP#internetprotocol,pseudoprotocolnumbericmp1ICMP#internetcontrolmessagep

rotocolggp3GGP#gatewaytogatewayprotocoltcp6TCP#transmissioncontrolprotocolegp8EGP#exteriorgatewayprotocolpup12PUP#PARCuniversalpacke

tprotocoludp17UDP#userdatagramprotocolhello63HELLO#HELLORoutingProtocol计算机网络安全基础2.4Unix网络配置5./etc/ser

vices文件该文件提供了可用的服务列表。对每一个服务，文件中的每一行提供了下述信息：正式服务名、端口号、协议名、别名#NetworkservicesInternetstyle#echo7/tcpecho7/udpdiscard9

/tcpsinknulldiscard9/udpsinknullsystat11/tcpftp21/tcptelnet23/tcp计算机网络安全基础2.4Unix网络配置2.4.2Unix文件访问控制Unix系统的资源访问控制是基于文件的，为了维护系统的安全性，系统中每一个文件

都具有一定的访问权限，只有具有这种访问权限的用户才能访问该文件，否则系统将给出PermissionDenied的错误信息。有三类用户：用户本人、用户所在组的用户、其它用户允许权：R--读W--写X--执行允许权组：A--管理员（所有权利）V--属主G--组O--其他每个人计算机网络安全

基础2.4Unix网络配置2.4.3NFS文件访问系统的安全任一台主机都可以做NFS服务器或者NFS客户。或者二者兼而有之。用户最常犯的错误只是简单的NFS设置错误，设置有错误的NFS主机到处都是。由于NFS

对用户的认证非常简单，并且对NFS设置错误的例子比比皆是。因此NFS对网络安全的危害是非常巨大的。首先，对可以安装调出文件卷的主机没有限制，将使得任何主机都可以安装，因此攻击者所在的主机也一样可以安装它。即使没有其它权限，攻击者通过这一步便已看到了系统的许多信息。

计算机网络安全基础2.4Unix网络配置其次，没有明确地设置调出文件卷为只读，则调出文件卷在客户端缺省为可读、可写。这时候攻击者便可以增加，修改，删除或替换NFS服务器上的文件。需要明确指出的是，调出文件卷缺省为可写。第三，许多主机

常常将NFS服务器上的系统信箱和用户主目录所在的目录调出。安装这些目录的用户（攻击者），只要具有文件属主的UID和GID，便可以阅读这些文件。这只要攻击者在本机是超级用户，那么他便可以用su命令变成任何普通用户，或者诸如bin这类的特殊用户。计算机网络安全基础2.4Unix网络配置第四，有一些

系统甚至将NFS服务器上的根目录调出。这等于是将系统送到别人眼底。系统的一切秘密暴露无疑。攻击者只需用命令“subin”变成bin用户，或者与root同组的用户，便可以替换系统一些启动时的文件，或者在／（root用户的主目录），/bin（

bin用户的主目录）下增加一个.rhosts文件。系统已经为外来用户敞开了大门。计算机网络安全基础2.4MOUNT命令的使用MOUNT命令用于加载文件系统,完整的格式是:MOUNT–TVFSTYPEDEVICEDIR第一个部分是需要挂载的的文件系统的格式,如-TEXET2第二个部分是需要挂载

的设备文件名如:/dev/hda5第三个部分是指出挂载到何处如:/mnt/disk例1:挂载一个MS-DOS分区到/mnt/disk挂载点上,这个分去设备名称为/dev/hda5Mount–tmsdos/dev/hda5/mnt/disk例2:挂载usb设备Mo

unt/dev/sda/mnt/usb计算机网络安全基础2.4Unix网络配置设置NFS时的一些安全事项：●限制可安装调出文件卷的客户机及可安装的目录。●如果可能，将文件系统以只读方式调出去。●对调出的文件及目录设置为root所有。●不要将服务器的可执行文件调出。●不要将用户目录

调出去。●使用安全的NFS●最后一点，最好不要使用NFS。计算机网络安全基础小结本章内容：1．Unix是一个多任务多用户的操作系统，它具有：可靠性高、极强的伸缩性、网络功能强、强大的数据库支持功能和开放性好等特点。2．Linux是按照Unix风格设计的操作系统，所以在源代码级上兼容绝大部分的Un

ix标准。Linux主要具有：与Unix高度兼容、高度的稳定性和可靠性、完全开放源代码，价格低廉和系统安全可靠，绝无后门等特点。3．WindowsNT具有支持多种网络协议、内置的因特网功能和支持NTFS文件系统等显著特点。注册表是Windows系统的

核心数据库。4．Unix网络配置和Windows网络配置。计算机网络安全基础习题与思考题1．网络操作系统与单机操作系统之间的主要区别是什么？2．局域网操作系统有哪些基本服务功能？3．Unix操作系统的主要特点有哪些？4．Linux操作系统的主要特点有哪些

？5．WindowsNT操作系统的主要特点有哪些？6．WindowsNT操作系统的安全特点是什么？7．Unix操作系统的文件访问控制是基于什么来完成的？8．Unix操作系统对文件进行操作的有哪三类用户？9．简述NTFS文件系统的特点？10．在Windo

wsNT操作系统中对文件访问许可设置有哪些？11．在WindowsNT操作系统中对目录访问许可设置有哪些？计算机网络安全基础