(作業(yè)系統(tǒng)安全)

第四章OperatingSystemSecurity(作業(yè)系統(tǒng)安全)目錄4.1前言4.2電腦作業(yè)系統(tǒng)之安全威脅4.3電腦病毒4.4軟體方面的安全漏洞4.5任意性安全模式4.6強(qiáng)制性安全模型4.7以角色為基礎(chǔ)的安全模式4.8存取控制方法4.9UNIX作業(yè)系統(tǒng)存取控制4.1前言電腦系統(tǒng)內(nèi)的資料若可以任由他人存取讀寫而不加以管制，整個電腦系統(tǒng)就危機(jī)重重了。為了保護(hù)資訊不被未經(jīng)授權(quán)的使用者盜用或破壞，可以用存取控制(AccessControl)的策略及機(jī)制來達(dá)到資訊保護(hù)的目的。作業(yè)系統(tǒng)安全的主要目的，就是運(yùn)用一套安全策略(SecurityPolicy)讓每位合法使用者在系統(tǒng)允許的範(fàn)圍內(nèi)存取系統(tǒng)資源4.2電腦作業(yè)系統(tǒng)之安全威脅非法使用者的入侵及存取合法使用者蓄意的破壞及洩密惡意的軟體(ComputerVirus,TrojanHorse,ComputerWorm,Trapdoor)

伺服器程式攻擊(ServerAttack)

伺服器程式因程式撰寫時的疏忽或設(shè)定錯誤，讓攻擊者有機(jī)可乘4.3電腦病毒何謂電腦病毒（ComputerVirus）？小的程式（或者可以被直接或間皆執(zhí)行的程式片段或檔案）依附在別的程式上自行複製、感染、傳播、發(fā)作美國與伊拉克的戰(zhàn)爭曾使用電腦病毒癱瘓對方的指揮中心電腦病毒的類型啟動磁區(qū)型病毒(BootSector,PartitionTable)

可執(zhí)行檔病毒-亦稱為檔案型病毒

又可區(qū)分為「常駐型」及「非常駐型」(記憶體)二種類型巨集(Macro)病毒如Word或者Excel的VBA巨集電腦寄生蟲(Worm)

複製、傳播電腦寄生蟲(阻斷服務(wù))、不會破壞系統(tǒng)

CodeRed、Morris、Nimda、…

特洛依木馬

將一段程式碼偷藏在普通程式、不會複製電腦病毒的類型邏輯炸彈(LogicBomb)

一旦條件吻合就執(zhí)行預(yù)先偷藏(特洛依木馬)之程式碼暗門(Trapdoor)

暗門程式是指程式設(shè)計人員故意在程式中留下一安全漏洞或秘密以方便進(jìn)行未經(jīng)授權(quán)存取薩拉米香腸(Salami)

利用人類不注意細(xì)微東西的心態(tài)以及積少成多的道理而發(fā)展成的特殊軟體電腦中毒的癥狀原本執(zhí)行正常的程式或檔案，現(xiàn)在卻無法正常地被執(zhí)行，或者是系統(tǒng)無原無故發(fā)生當(dāng)機(jī)的次數(shù)越來越多。電腦的執(zhí)行速度或資料讀取的速度突然變慢。上網(wǎng)連線的速度變慢或者根本連不出去。電腦使用中不斷出現(xiàn)無聊的對話方塊或是動畫音樂，且關(guān)也關(guān)不掉。硬碟中的檔案被刪除或變更，甚至整個硬碟被重新格式化。不斷收到奇怪主題的電子郵件，且數(shù)量急遽增加。電腦病毒的生命週期創(chuàng)造期(病毒製作人)孕育期(等待擴(kuò)散)潛伏期(進(jìn)入繁殖傳染)發(fā)病期(執(zhí)行破壞動作)

根除期

病毒碼原理病毒碼是一病毒的特徵，就如同是病毒的指紋一般，可用它來偵測病毒並辨別出是哪一種病毒。預(yù)防電腦病毒的方法安裝防毒軟體定期更新病毒碼不任意執(zhí)行電子郵件中所夾帶的檔案盡量使用硬碟開機(jī)

不隨意執(zhí)行有包含巨集的檔案不下載或使用來路不明的檔案4.4軟體方面的安全漏洞溢位攻擊

編譯程式?jīng)]有對記憶體(暫存區(qū))空間的使用進(jìn)行限制及檢查競爭條件

在多工環(huán)境下，多個執(zhí)行程式同時競爭一個資源亂數(shù)值的預(yù)測

被選定的亂數(shù)值必須是不可被預(yù)知的

Pseudo-randomnumbergenerator所產(chǎn)生的亂數(shù)，其結(jié)果是可以被預(yù)知的作業(yè)系統(tǒng)的安全模式任意性安全模式(DiscretionaryAccessControl)強(qiáng)制性安全模式(MandatoryAccessControl)以角色為基礎(chǔ)的安全模式(Role-basedAccessControl)4.5任意性安全模式使用者對自己所擁有的檔案及其他週邊設(shè)備資源，可自行決定是否提供或授權(quán)其他人來存取，其存取的權(quán)限分為讀、寫及執(zhí)行等三種。

(利用存取控制矩陣及群組是常被使用到的解決方法)4.5任意性安全模式電腦作業(yè)系統(tǒng)安全性策略安全性管理政策(大方向)集中式安全管理或分散式安全管理電腦作業(yè)系統(tǒng)安全性策略存取控制政策封閉式系統(tǒng)(如Intranet)考慮的是安全性需求開放式系統(tǒng)(如Internet)考慮的是以使用方便性為重點決定某些人對某些資源具有哪些存取權(quán)力需要才給之存取權(quán)限安全政策（白名單）最大分享安全政策（黑名單）存取權(quán)限種類，可讀、可寫、可執(zhí)行、可刪除、可列印等，需界定是否有階層式的關(guān)係電腦作業(yè)系統(tǒng)安全性策略決定某些人對某些資源具有哪些存取權(quán)力名稱相關(guān)存取控制，資料庫存取範(fàn)圍因人而異名稱相關(guān)存取控制範(fàn)例電腦作業(yè)系統(tǒng)安全性策略決定某些人對某些資源具有哪些存取權(quán)力名稱相關(guān)存取控制，資料庫存取範(fàn)圍因人而異(看到所有資料錄但部份欄位)內(nèi)容相關(guān)存取控制，僅允許存取某些資料錄上下文相關(guān)存取控制，如員工編號及薪資檔案和員工編號及姓名檔案組合起來就可洩漏薪資資訊時間相關(guān)存取控制，不限制在連續(xù)的查詢指令(上一次查詢結(jié)果+這一次查詢結(jié)果有可能洩密則…)電腦作業(yè)系統(tǒng)安全性策略控制資料流向政策是否允許將存取控制權(quán)力或資料檔案的存取權(quán)限授權(quán)給他人任意性強(qiáng)制性-Bell-Lapadula安全策略使用者安全系統(tǒng)大於資料安全系統(tǒng)時才允許被讀取資料安全系統(tǒng)大於使用者安全系統(tǒng)時才允許被寫入電腦作業(yè)系統(tǒng)安全性策略執(zhí)行安全性控制政策預(yù)防式，盡可能制訂安全性政策，避免發(fā)生安全漏洞偵測式，發(fā)生安全事件後緊急的應(yīng)變措施主件(Subject)

具有執(zhí)行能力之程式、使用者、處理等等物件(Object)

電腦系統(tǒng)內(nèi)之資源如檔案、記憶體、印表機(jī)等等存取類型(AccessType)或存取權(quán)(AccessRight)

主件對物件存取之權(quán)限如讀取、寫入、執(zhí)行等等三維存取法則：F：S＊O＊A＝(True,False)三個基本要素存取法則範(fàn)例存取控制處理簡易存取控制矩陣4.6強(qiáng)制性安全模型用於對資料安全有強(qiáng)烈要求的系統(tǒng)，由系統(tǒng)管理者統(tǒng)一指定使用者對資源之權(quán)限存取策略。(利用階層式的存取控制是常被使用到的解決方法)。強(qiáng)制型安全策略強(qiáng)制性安全等級強(qiáng)制性安全種類強(qiáng)制型安全策略完全順序階級(Totally-OrderedHierarchy)：極機(jī)密>機(jī)密>密>一般強(qiáng)制型安全策略敏感標(biāo)籤＝安全等級＊P(安全種類)強(qiáng)制型安全策略部分順序階級(Partially-OrderHierarchy)TheBell-Lapadula(貝爾-拉帕杜拉)Model美國空軍贊助MITRE公司所發(fā)展主件(Subject)、物件(Object)、存取權(quán)每個主件都有許可證(Clearance)、物件都有分類等級(Classification)、統(tǒng)稱二者為安全等級。存取權(quán)：唯讀(Read-Only)、附加(Append)、

執(zhí)行(Execute)、讀寫(Read-Write)根據(jù)存取清單(AccessLists)及存取規(guī)則(AccessRules)決定資料是否允許存取基本特性

簡易安全特性(SimpleSecurityProperty)：主件(使用者)不能讀取安全等級比自己高之物件。(NoReadUp)星星安全特性(StarSecurityProperty)：主件(使用者)不能寫入資料到安全等級比自己低之物件。(NoWriteDown)Bell-Lapadula

安全性質(zhì)

4.7以角色為基礎(chǔ)的安全模式

RBAC模型之關(guān)係圖最小特權(quán)(LeastPrivilege):管理者只需授與此一角色能夠完成此一任務(wù)所需的存取權(quán)限即可，不需要給予多餘的特權(quán)。授權(quán)分工(SeparationofDuties):將許多任務(wù)拆解成許多個子任務(wù)(Subtasks)再指派給某一特定的角色分別來執(zhí)行，RBAC模型關(guān)係圖之階層化角色與限制條件RBAC1擁有RBAC0之權(quán)限且無限制條件RBAC2不繼承RBAC0之權(quán)限且有限制條件存取控制之系統(tǒng)架構(gòu)圖4.8存取控制方法簡易存取控制矩陣範(fàn)例主件O1O2O3O4O5S144010S221302S313414S421043物件0:不可存取(Noaccess)1:可執(zhí)行(Execute)2:可讀取(Read)3:可寫入(Write)4:擁有者(Owner)存取串列法範(fàn)例S14S22S31S42O1EndS14S21S33S41O2EndS23S34O3EndS11S31S44O4EndS22S34S43O5End因為存取控制矩陣通常過於稀疏因而有以下之方法較沒效率4.9UNIX作業(yè)系統(tǒng)存取控制存取使用者：擁有者(Owner)、擁有者所屬群組(Group)、及系統(tǒng)內(nèi)其他不相關(guān)使用者。存取權(quán)：讀(r)、寫(w)、執(zhí)行(x)。Jenny為檔案test.txt的擁有者，Jenny對此檔案具有讀(r)、寫(w)、及執(zhí)行(x)之存取權(quán)。如何在UNIX系統(tǒng)建網(wǎng)頁？設(shè)帳戶名稱(Username)為mshwang、

主機(jī)網(wǎng)址為.tw>cd[enter]>cd..[enter]>chmod711mshwang[enter]>cd[enter]>mkdirpublic_html[enter]>chmod711public_html[enter]>cdpublic_html[enter]

輸入或傳入檔案index.html>chmod644index.html[enter]Linux-PAM(PluggableAuthenticationModule)的運(yùn)作流程auth:認(rèn)證模組(確認(rèn)使用者的合法性)account:帳戶模組(非認(rèn)證的帳戶管理)session:會談模組(前置或後置進(jìn)行事項)Password:通行密碼模組(更改授權(quán)資料的方式)管理功能模組Linux-PAM的反應(yīng)類型Linux-PAM(PluggableAuthenticationModule)的運(yùn)作流程管理功能模組Linux-PAM設(shè)定檔設(shè)定檔存放的方式：將所有管理功能交由單一設(shè)定檔(pam.conf)所指定的模組來完成在/etc/pam.d/目錄下存放每一個應(yīng)用程式所對應(yīng)的設(shè)定檔減少設(shè)定錯誤的機(jī)率易於維護(hù)可以通過使用不同設(shè)定檔連接系統(tǒng)的認(rèn)證機(jī)制可加快對於設(shè)定檔的解析?？舍槍δ硞€設(shè)定檔設(shè)定不同的存取權(quán)限。更易於軟體的管理。Linux-