信息安全基礎(chǔ)實(shí)驗(yàn)指導(dǎo)實(shí)驗(yàn)指導(dǎo)書

年5月29日信息安全基礎(chǔ)實(shí)驗(yàn)指導(dǎo)實(shí)驗(yàn)指導(dǎo)書文檔僅供參考<信息安全基礎(chǔ)實(shí)驗(yàn)指導(dǎo)>實(shí)驗(yàn)指導(dǎo)書實(shí)驗(yàn)一古典密碼算法實(shí)驗(yàn)名稱:古典密碼算法實(shí)驗(yàn)類型:設(shè)計(jì)性實(shí)驗(yàn)學(xué)時(shí):4適用對(duì)象:信息安全一、實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)常見的古典密碼學(xué)算法,經(jīng)過編程實(shí)現(xiàn)替代密碼算法和置換密碼算法,加深對(duì)古典密碼體制的了解,為深入學(xué)習(xí)密碼學(xué)奠定基礎(chǔ)。二、實(shí)驗(yàn)要求分析替代密碼算法和置換密碼算法的功能需求,詳細(xì)設(shè)計(jì)實(shí)現(xiàn)替代密碼算法和置換密碼算法的數(shù)據(jù)結(jié)構(gòu)和流程,給出測(cè)試用例和測(cè)試步驟,得出測(cè)試和結(jié)論。替代密碼算法和置換密碼算法的實(shí)現(xiàn)程序必須提供加密和解密兩個(gè)接口:intencrypt()和intdecrypt()。當(dāng)加密或者解密成功時(shí)返回CRYPT_OK,失敗時(shí)返回CRYPT_ERROR。三、實(shí)驗(yàn)原理古典密碼算法曾被廣泛應(yīng)用,大都比較簡(jiǎn)單,使用手工和機(jī)械操作來實(shí)現(xiàn)加密和解密。它的主要應(yīng)用對(duì)象是文字信息,利用密碼算法實(shí)現(xiàn)文字信息的加密和解密。下面介紹兩種常見的具有代表性的古典密碼算法,以幫助讀者對(duì)密碼算法建立一個(gè)初步的印象。替代密碼替代密碼的原理是使用替代法進(jìn)行加密,就是將明文由其它的字母、數(shù)字或符合所代替后形成密文。這里每個(gè)明文字母對(duì)應(yīng)的密文字母可能是一個(gè),也可能是多個(gè)。接收者對(duì)密文進(jìn)行逆向替換即可得到明文。替代密碼有五種表現(xiàn)形式:eq\o\ac(○,1)單表代替即簡(jiǎn)單替代密碼或者稱為單字母代替,明文字母表中的一個(gè)字符對(duì)應(yīng)密文字母表中的一個(gè)字符。這是所有加密中最簡(jiǎn)單的方法。eq\o\ac(○,2)多名碼代替就是將明文字母表中的字符映射為密文字母表中的多個(gè)字符。多名碼簡(jiǎn)單代替早在14就由DuchyMantua公司使用。在英文中,元音字母出現(xiàn)頻率最高,降低對(duì)應(yīng)密文字母出現(xiàn)頻率的一種方法就是使用多名碼,如e可能被密文5、13或25替代。eq\o\ac(○,3)多音碼代替就是將多個(gè)明文字符代替為一個(gè)密文字符。比如將字母”i”和”j”對(duì)應(yīng)為”K”,”v”和”w”代替為”L”最古老的這種多字母加密始見于1563年由波她的<密寫評(píng)價(jià)>(Defurtioisliterarumnotis)一書。eq\o\ac(○,4)多表代替即由多個(gè)簡(jiǎn)單代替組成,也就是使用了兩個(gè)或兩個(gè)以上的代替表。比如使用有5個(gè)簡(jiǎn)單代替表的代替密碼,明文的第一個(gè)字母用第一個(gè)代替表,第二個(gè)字母用第二個(gè)表,第三個(gè)字母用第三個(gè)表,以此類推,循環(huán)使用這五張代替表。多表代替密碼由萊昂.巴蒂斯塔于1568年創(chuàng)造,著名的維吉尼亞密碼和博福特密碼均是多表代替密碼。下面我們介紹一種典型的單表替代密碼——?jiǎng)P撒(Caesar)密碼,又叫循環(huán)移位密碼。它的加密方法就是將明文中的每個(gè)字母用字母表中該字母后的第R個(gè)字母來替換,達(dá)到加密的目的。它的加密過程能夠表示為下面的函數(shù):其中,ｍ為明文字母在字母表中的位置數(shù);ｎ為字母表中的字母?jìng)€(gè)數(shù);ｋ為密鑰;為密文字母在字母表中對(duì)應(yīng)的位置數(shù)。 例如:對(duì)于明文字母H,其在字母表中的位置數(shù)為8,設(shè),則按照上式計(jì)算出來的密文為L(zhǎng),計(jì)算過程如下: ２．置換密碼置換密碼算法的原理是不改變明文字符,而是按照某一規(guī)則重新排列消息中的比特或字符順序,才而實(shí)現(xiàn)明文信息的加密。置換密碼有時(shí)又稱為換位密碼。矩陣換位法是實(shí)現(xiàn)置換密碼的一種常見方法。它將明文中的字母按照給定的順序安排在一個(gè)矩陣中,然后用根據(jù)密鑰提供的順序重新組合矩陣中的字母,從而形成密文。例如,明文為attackbeginsatfive,密鑰為cipher,將明文按照每行6個(gè)字母的形式排在矩陣中,形成如下形式:根據(jù)密鑰cipher中各個(gè)字母在字母表中出現(xiàn)的先后順序,給定一個(gè)置換:根據(jù)上面的置換,將原有居住中的字母按照第１列、第４裂、第５裂、第３裂、第２列、第６列的順序排列,則有下面的形式:從而得到密文:ａｂａｔｇｆｔｅｔｃｎｖａｉｉｋｓｅ其解密過程是根據(jù)密鑰的字母數(shù)作為列數(shù),將密文按照列、行的順序?qū)懗?再根據(jù)由密鑰給出的矩陣置換產(chǎn)生新的矩陣,從而恢復(fù)明文。四、實(shí)驗(yàn)所需儀器、設(shè)備、材料(試劑)運(yùn)行Windows或Linux操作系統(tǒng)的PC機(jī),具有g(shù)cc(Linux)、VC(Windows)等C語言或java編譯環(huán)境。五、實(shí)驗(yàn)預(yù)習(xí)要求、實(shí)驗(yàn)條件、方法及步驟(1)根據(jù)實(shí)驗(yàn)原理部分對(duì)替代密碼算法的介紹,自己創(chuàng)立明文信息,并選擇一個(gè)密鑰,編寫替代密碼算法的實(shí)現(xiàn)程序,實(shí)現(xiàn)加密和解密操作。(2)根據(jù)實(shí)驗(yàn)原理部分對(duì)置換密碼算法的介紹,自己創(chuàng)立明文信息,并選擇一個(gè)密鑰,編寫置換密碼算法的實(shí)現(xiàn)程序,實(shí)現(xiàn)加密和解密操作。六、思考題你所知道的古典密碼算法還有那些?詳細(xì)說明具體的加密和解密過程。你所看過的和密碼有關(guān)的電影或小說有哪些?描述一下其中的加密解密基本原理。實(shí)驗(yàn)二使用Sniffer工具嗅探實(shí)驗(yàn)名稱:使用Sniffer工具嗅探實(shí)驗(yàn)類型:驗(yàn)證性實(shí)驗(yàn)、綜合性實(shí)驗(yàn)學(xué)時(shí):6適用對(duì)象:信息安全實(shí)驗(yàn)?zāi)康慕?jīng)過使用SnifferPro軟件掌握Sniffer(嗅探器)工具的使用方法,實(shí)現(xiàn)捕捉FTP、HTTP等協(xié)議的數(shù)據(jù)包,以理解TCP/IP協(xié)議中的多種協(xié)議的數(shù)據(jù)結(jié)構(gòu)、會(huì)話連接建立和終止的過程、TCP序列號(hào)、應(yīng)答序號(hào)的變化規(guī)律。而且,經(jīng)過實(shí)驗(yàn)了解FTP、HTTP等協(xié)議明文傳輸?shù)奶匦?以建立安全意識(shí),防止FTP、HTTP等協(xié)議由于傳輸明文密碼造成的泄密。二、實(shí)驗(yàn)要求(1)用兩臺(tái)主機(jī)做實(shí)驗(yàn),一臺(tái)主機(jī)進(jìn)行Telnet登陸,另一臺(tái)主機(jī)進(jìn)行嗅探,把嗅探到的重要信息寫出來,特別是用戶名和密碼,過程與任務(wù)二和任務(wù)三類似。 (2)任務(wù)三中嗅探HTTP信息所得到的數(shù)據(jù)包太多,既占用主機(jī)的硬盤資源,分析起來又極其麻煩,其實(shí)能夠設(shè)置DefineFilter選項(xiàng)中的DataPattern,這個(gè)功能能夠設(shè)置更加詳細(xì)的過濾選項(xiàng)從而使我們用最少的數(shù)據(jù)包得到最有用的數(shù)據(jù),請(qǐng)自己做實(shí)驗(yàn)并研究怎樣設(shè)置這些選項(xiàng),并把任務(wù)三的實(shí)驗(yàn)重新做一遍,以得到少而有用的數(shù)據(jù)包,把設(shè)置的詳細(xì)步驟和最終結(jié)果寫出來。 (3)用兩臺(tái)主機(jī)做實(shí)驗(yàn),在一臺(tái)主機(jī)上安裝防火墻,另一臺(tái)主機(jī)再進(jìn)行嗅探,看是否還能接收到信息,如果不能,分析其原因并詳細(xì)寫出來。三、實(shí)驗(yàn)原理Sniffer是NAI公司推出的協(xié)議分析軟件,它能夠利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報(bào)文,并迎合了網(wǎng)絡(luò)管理所需的基本要求,支持豐富的協(xié)議,能夠進(jìn)行快速解碼分析,而且Sniffer能夠運(yùn)行在各種Windows平臺(tái)。1．網(wǎng)絡(luò)技術(shù)與設(shè)備簡(jiǎn)介在講述Sniffer的概念之前,首先需要講述局域網(wǎng)設(shè)備的一些基本概念。數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)?幀由幾部分組成,不同的部分執(zhí)行不同的功能。幀經(jīng)過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型,然后經(jīng)過網(wǎng)卡發(fā)送到網(wǎng)線上,經(jīng)過網(wǎng)線到達(dá)它們的目的機(jī)器,在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀,并告訴操作系統(tǒng)幀已到達(dá),然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過程中,嗅探器會(huì)帶來安全方面的問題。每一個(gè)在局域網(wǎng)(LAN)上的工作站都有其硬件地址,這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器(這一點(diǎn)與Internet地址系統(tǒng)比較相似)。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí),這些數(shù)據(jù)包就會(huì)發(fā)送到LAN上所有可用的機(jī)器。在一般情況下,網(wǎng)絡(luò)上所有的機(jī)器都能夠”聽”到經(jīng)過的流量,但對(duì)不屬于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說,工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù),而是簡(jiǎn)單地忽略這些數(shù)據(jù))。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式(關(guān)于混雜模式的概念會(huì)在后面解釋),那么它就能夠捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。2．網(wǎng)絡(luò)監(jiān)聽原理Sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(NIC,一般為以太同卡)置為雜亂(promiscuous)模式狀態(tài)的工具,一旦同卡設(shè)置為這種模式,它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包。普通的情況下,阿卡只接收和自己的地址有關(guān)的信息包,即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使Sniffer能接收并處理這種方式的信息,系統(tǒng)需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情況下,網(wǎng)絡(luò)硬件和TCP／IP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無關(guān)的數(shù)據(jù)包,因此,為了繞過標(biāo)準(zhǔn)的TCP／IP堆棧,網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式。一般情況下,要激活這種方式,內(nèi)核必須支持這種偽設(shè)備Bpfilter,而且需要root權(quán)限來運(yùn)行這種程序,因此sniffer需要root身份安裝,如果只是以本地用戶的身份進(jìn)人了系統(tǒng),那么不可能喚探到root的密碼,因?yàn)椴荒苓\(yùn)行Sniffer。基于Sniffer這樣的模式,能夠分析各種信息包并描述出網(wǎng)絡(luò)的結(jié)構(gòu)和使用的機(jī)器,由于它接收任何一個(gè)在同一網(wǎng)段上傳輸?shù)臄?shù)據(jù)包,因此也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常見的擴(kuò)大戰(zhàn)果的方法,用來奪取其它主機(jī)的控制權(quán)。3.Snifffer的分類Sniffer分為軟件和硬件兩種,軟件的Sniffer有NetXray、Packetboy、Netmonitor等,其優(yōu)點(diǎn)是物美價(jià)廉,易于學(xué)習(xí)使用,同時(shí)也易于交流;缺點(diǎn)是無法抓取網(wǎng)絡(luò)上所有的傳輸,某些情況下也就無法真正了解網(wǎng)絡(luò)的故障和運(yùn)行情況。硬件的Sniffer一般稱為協(xié)議分析儀,一般都是商業(yè)性的,價(jià)格也比較貴。實(shí)際上本實(shí)驗(yàn)中所講的Sniffer指的是軟件。它把包抓取下來,然后打開并查看其中的內(nèi)容,能夠得到密碼等。Sniffer只能抓取一個(gè)物理網(wǎng)段內(nèi)的包,就是說,你和監(jiān)聽的目標(biāo)中間不能有路由或其它屏蔽廣播包的設(shè)備,這一點(diǎn)很重要。因此,對(duì)一般撥號(hào)上網(wǎng)的用戶來說,是不可能利用Sniffer來竊聽到其它人的通信內(nèi)容的。4.Snifffer可能造成的危害嗅探器能夠捕獲口令;能夠捕獲專用的或者機(jī)密的信息;能夠用來危害網(wǎng)絡(luò)鄰居的安全,或者用來獲取更高級(jí)別的訪問權(quán)限。事實(shí)上,如果你在網(wǎng)絡(luò)上存在非授權(quán)的嗅探器就以為著你的系統(tǒng)已經(jīng)暴露在別人面前了。四、實(shí)驗(yàn)所需儀器、設(shè)備、材料(試劑)兩臺(tái)安裝Windows/XP的PC機(jī),在其中一臺(tái)上安裝SnifferPro軟件。將兩臺(tái)PC機(jī)經(jīng)過hub相連,組成一個(gè)局域網(wǎng)。五、實(shí)驗(yàn)預(yù)習(xí)要求、實(shí)驗(yàn)條件、方法及步驟任務(wù)一熟悉Sniffer工具的使用 1.SnifferPro軟件簡(jiǎn)介 Sniffer是NAI公司推出的協(xié)議分析軟件,實(shí)驗(yàn)中使用SnifferPro4.7來截獲網(wǎng)絡(luò)中傳輸?shù)腇TP、HTTP、Telnet等數(shù)據(jù)包,并進(jìn)行分析。 2.使用說明 啟動(dòng)SnifferPro軟件后能夠看到它的主界面,啟動(dòng)時(shí)有時(shí)需要選擇相應(yīng)的網(wǎng)卡,選好后即可啟動(dòng)軟件。用戶能夠經(jīng)過命令File/SelectSetting…來選擇相應(yīng)的網(wǎng)卡。(如圖2-1所示)圖2-1網(wǎng)卡選擇 工具欄簡(jiǎn)介如圖2-2。圖2-2(A)工具欄圖2-2(B)工具欄網(wǎng)絡(luò)監(jiān)視面板簡(jiǎn)介,Dashbord能夠監(jiān)控網(wǎng)絡(luò)的利用率、流量以及錯(cuò)誤報(bào)文等多種內(nèi)容。單擊Dashbord按鈕(Monitor/Dashbord)即可打開Dashbord面板運(yùn)行操作(如圖2-3)圖2-3Dashbord界面HostTable提供了被監(jiān)視到的所有主機(jī)正在與網(wǎng)絡(luò)的通信情況,在其操作界面下,單擊Outline按鈕便可獲知各主機(jī)的IP地址、出入信包和信包大小等信息,如圖2-4顯示方式為IP。圖2-4HostTable界面任務(wù)二捕獲FTP數(shù)據(jù)包并進(jìn)行分析(1)假設(shè)A主機(jī)監(jiān)視B主機(jī)的活動(dòng),首先A主機(jī)要知道B主機(jī)的IP地址,B主機(jī)能夠在命令符提示下輸入ipconfig查詢自己的IP地址并通知A主機(jī)。(2)選中Monitor菜單下的Matrix或直接點(diǎn)擊網(wǎng)絡(luò)性能監(jiān)視快捷鍵,此時(shí)能夠看到網(wǎng)絡(luò)中的TrafficMap視圖,如圖2-5所示,能夠單擊左下角的MAC、IP或IPX使TrafficMap視圖顯示相應(yīng)主機(jī)的MAC地址、IP地址或者IPX地址。圖2-5顯示的是MAC地址,每條連線表明兩臺(tái)主機(jī)間的通信。圖2-5Matrix視圖(3)單擊菜單中的CaptureDefineFilterAdvanced,再選中IPTCPFTP,如圖2-6,然后單擊OK。圖2-6過濾器選項(xiàng)(4)回到TrafficMap視圖中,用鼠標(biāo)選中要捕捉的B主機(jī)IP地址,選中后的IP地址以白底高亮顯示。此時(shí),單擊鼠標(biāo)右鍵,選中Capture或者單擊捕獲報(bào)文快捷鍵中的開始按鈕,Sniffer則開始捕捉指定IP地址主機(jī)的有關(guān)FTP協(xié)議的數(shù)據(jù)包。 (5)開始捕捉后,單擊工具欄中的CapturePanel按鈕,圖中顯示出捕捉的Packet的數(shù)量。 (6)B主機(jī)開始登陸一個(gè)FTP服務(wù)器。接著B主機(jī)打開FTP的某個(gè)目錄。 (7)此時(shí),從CapturePanel中看到捕獲數(shù)據(jù)包已達(dá)到一定數(shù)量,單擊StopandDisplay按鈕,停止抓包。 (8)停止抓包后,單擊窗口左下角的Decode選項(xiàng),窗中會(huì)顯示所捕捉的數(shù)據(jù),并分析捕獲的數(shù)據(jù)包。如圖2-7所示。圖2-7Decode視圖從捕獲的包中,我們能夠發(fā)現(xiàn)大量有用的信息。例如,能夠清楚地看出用戶名為test,密碼為。任務(wù)三捕獲HTTP數(shù)據(jù)包并分析(1)同任務(wù)二。 (2)同任務(wù)二。(3)單擊菜單中的CaptureDefineFilterAdvanced,再選中IPTCPHTTP,如圖2-8,然后單擊OK。圖2-8過濾器選項(xiàng)(4)同任務(wù)二。(5)同任務(wù)二。(6)B主機(jī)開始登陸一個(gè)Web服務(wù)器(網(wǎng)站),并輸入自己的郵箱地址和密碼。(7)同任務(wù)二。(8)停止抓包后,單擊窗口左下角的Decode選項(xiàng),窗中會(huì)顯示所捕捉的數(shù)據(jù),并分析捕獲的數(shù)據(jù)包。如圖2-9所示。圖2-9Decode視圖由任務(wù)二的實(shí)驗(yàn)和任務(wù)三的實(shí)驗(yàn)我們能夠看出,Sniffer能夠探查出局域網(wǎng)內(nèi)流動(dòng)的任何信息,特別是用戶名和密碼之類敏感的數(shù)據(jù),因此在局域網(wǎng)內(nèi)的安全就至關(guān)重要了,其實(shí)只要在電腦內(nèi)安裝上網(wǎng)絡(luò)防火墻,并把Windows操作系統(tǒng)的安全級(jí)別提高,Sniffer工具就可能嗅探不到任何信息。六、思考題你所了解的網(wǎng)絡(luò)嗅探工具還有那些?和Sniffer比較有何優(yōu)缺點(diǎn)?如果讓你開發(fā)一個(gè)網(wǎng)絡(luò)嗅探工具,應(yīng)該如何設(shè)計(jì)和實(shí)現(xiàn)?經(jīng)過使用網(wǎng)絡(luò)嗅探工具,你體會(huì)應(yīng)該在那些方面加強(qiáng)信息的安全性?實(shí)驗(yàn)三賬號(hào)口令破解實(shí)驗(yàn)名稱:賬號(hào)口令破解實(shí)驗(yàn)類型:驗(yàn)證性實(shí)驗(yàn)學(xué)時(shí):4適用對(duì)象:信息安全一、實(shí)驗(yàn)?zāi)康?經(jīng)過密碼破解工具的使用,了解賬號(hào)口令的安全性,掌握安全口令設(shè)置原則,以保護(hù)賬號(hào)口令的安全。二、實(shí)驗(yàn)要求(1)自己嘗試設(shè)置不同復(fù)雜度的用戶密碼,經(jīng)過設(shè)置LC5中的不同破解方法進(jìn)行破解,記錄破解時(shí)間,加深對(duì)密碼保護(hù)的理解。(2)經(jīng)過設(shè)置”任務(wù)”中的”從Sniffer導(dǎo)入”選項(xiàng),嘗試經(jīng)過嗅探器在線探測(cè)網(wǎng)絡(luò)中傳輸?shù)目诹?改變身份驗(yàn)證方式,再進(jìn)行嘗試,將步驟和結(jié)果加以整理并提交報(bào)告。(3)整理總結(jié)增加密碼口令安全性的方法和策略。三、實(shí)驗(yàn)原理口令密碼應(yīng)該說是用戶最重要的一道防護(hù)門,如果密碼被破解了,那么用戶的信息將很容易被竊取,因此密碼安全是特別需要關(guān)注的內(nèi)容。隨著網(wǎng)絡(luò)黑客攻擊技術(shù)的增強(qiáng)和方式的改變,許多口令都可能被攻擊和破譯,這就要求用戶提高對(duì)口令安全的認(rèn)識(shí)。這個(gè)實(shí)驗(yàn)中介紹了口令破解的原理和工具的使用,能夠用這些工具來測(cè)試用戶密碼的強(qiáng)度和安全性,以使用戶選擇更為安全的口令。一般入侵者常常采用下面幾種方法獲取用戶的密碼口令,包括弱口令掃描、Sniffer密碼嗅探、暴力破解、社會(huì)工程學(xué)(即經(jīng)過欺詐手段獲取)以及木馬程序或鍵盤記錄程序等手段。有關(guān)弱口令掃描、Sniffer密碼嗅探等已經(jīng)在前面的實(shí)驗(yàn)中做了介紹,本章我們主要就暴力密碼破解的工作原理進(jìn)行簡(jiǎn)要介紹。首先介紹一種星號(hào)”*”密碼查看器的工作原理。在Windows中Edit控件是一個(gè)標(biāo)準(zhǔn)控件,當(dāng)把其Password屬性設(shè)為True時(shí),輸入的口令密碼就會(huì)屏蔽為星號(hào),從而達(dá)到保護(hù)密碼的目的。雖然表面上我們看到輸入的密碼都是星號(hào),但程序中的Edit控件仍是用戶輸入的明文密碼。應(yīng)用程序能夠獲取該控件中的明文密碼信息,也能夠經(jīng)過向其發(fā)送WM_GETTEXT或EM_GETLINE消息來獲取Edit控件中的內(nèi)容。當(dāng)破解程序發(fā)現(xiàn)當(dāng)前探測(cè)的窗口是Edit控件時(shí),即可利用具有ES-PASSWORD屬性的Edit控件的這個(gè)特性,經(jīng)過SendMessage向此窗口發(fā)送WM-GETEXT或EM-GETLINE消息,這樣Edit框中的”*”內(nèi)容就一目了然了。當(dāng)然,不同密碼程序的加密機(jī)制有所不同,主面介紹的僅是其中的一種破解方法,但讀者能夠從中了解口令解密的機(jī)制。有關(guān)系統(tǒng)用戶賬號(hào)密碼口令的破解主要是基于密碼匹配的破解方法,最基本的方法有兩個(gè),即窮舉法和字典法。窮舉法就是效率最低的辦法,將字符或數(shù)字按照窮舉的規(guī)則生成口令字符串,進(jìn)行遍歷嘗試。在口令密碼稍微復(fù)雜的情況下,窮舉法的破解速度很低。字典法相對(duì)來說效率較高,它用口令字典中事先定義的常見字符去嘗試匹配口令?？诹钭值涫且粋€(gè)很大的文本文件,能夠經(jīng)過自己編輯或者由字典工具生成,里面包含了單詞或者數(shù)字的組合。如果你的密碼就是一個(gè)單詞或者是簡(jiǎn)單的數(shù)字組合那么破解者就能夠很輕易的破解密碼。當(dāng)前常見的密碼破解和審核工具有很多種,例如破解Windows平臺(tái)口令的L0phtCrack、WMICracker、SMBCrack、CNIPCNT弱口令終結(jié)者以及商用的工具:Elcomsoft公司的AdancedNTSecurityExplorer和ProactiveWindowsSecurityExplorer、Winternals的Locksmith等,用于Unix平臺(tái)的有JohntheRipper等。下面的實(shí)驗(yàn)中,主要經(jīng)過介紹L0phtCrack5的使用,了解用戶口令的安全性。四、實(shí)驗(yàn)所需儀器、設(shè)備、材料(試劑)一臺(tái)安裝Windows/XP系統(tǒng)的計(jì)算機(jī),安裝L0phtCrack5.02密碼破解工具。五、實(shí)驗(yàn)預(yù)習(xí)要求、實(shí)驗(yàn)條件、方法及步驟任務(wù)一使用L0phtCrack5破解密碼L0phtCrack5(簡(jiǎn)寫為L(zhǎng)C5)是L0phtCrack組織開發(fā)的Windows平臺(tái)口令審核程序的最新版本,它提供了審核Windows用戶賬號(hào)的功能,以提高系統(tǒng)的安全性。另外,LC5也被一些非法入侵者用來破解Windows用戶口令,給用戶的網(wǎng)絡(luò)安全造成很大的威脅。因此,了解LC5的使用方法,能夠避免使用不安全的密碼,從而提高用戶本身系統(tǒng)的安全性。在Windows操作系統(tǒng)中,用戶賬戶的安全管理使用了安全賬號(hào)管理器SAM(SecurityAccountManager)的機(jī)制,用戶和口令經(jīng)過加密Hash變換后以Hash列表形式存放在%SystemRoot%\System32下的SAM文件中。LC5主要是經(jīng)過破解這個(gè)SAM文件來獲取用戶名和密碼的。LC5能夠從本地系統(tǒng)、其它文件系統(tǒng)系統(tǒng)備份中獲取SAM文件,從而破解出用戶口令。 我們事先在主機(jī)內(nèi)建立用戶名test,密碼分別陸續(xù)設(shè)置為空密碼、123123、security、security123進(jìn)行測(cè)試。 啟動(dòng)LC5,彈出來LC5的主界面如圖5-1所示。圖5-1LC5主界面如果破解本臺(tái)計(jì)算機(jī)的口令,而且具有管理員權(quán)限,那么選擇從本地機(jī)器導(dǎo)入;如果已經(jīng)侵入遠(yuǎn)程的一臺(tái)主機(jī),而且有管理員權(quán)限,那么能夠選擇從遠(yuǎn)程電腦導(dǎo)入,這樣就能夠破解遠(yuǎn)程主機(jī)的SAM文件(這種方法對(duì)使用syskey保護(hù)的計(jì)算機(jī)無效);如果獲得了一臺(tái)主機(jī)的緊急修復(fù)盤,那么能夠破解緊急修復(fù)盤中的SAM文件;LC5還提供在網(wǎng)絡(luò)中探測(cè)加密口令的選項(xiàng),LC5能夠在一臺(tái)計(jì)算機(jī)向另一臺(tái)計(jì)算機(jī)經(jīng)過網(wǎng)絡(luò)進(jìn)行認(rèn)證的挑戰(zhàn)/應(yīng)答過程中截獲加密口令散列,這也要求和遠(yuǎn)程計(jì)算機(jī)建立起連接。本實(shí)驗(yàn)破解本地計(jì)算機(jī)的口令,因此選擇”從本地機(jī)器導(dǎo)入”,然后單擊Next按鈕,彈出如圖5-5所示的對(duì)話框。由于設(shè)置的是空口令,因此選擇快速口令破解即能夠破解口令,再單擊Next按鈕,彈出如圖5-6所示的對(duì)話框。選擇默認(rèn)的選項(xiàng)即可,接著單擊Next按鈕,彈出如圖5-7所示的對(duì)話框。單擊Finish按鈕,軟件就開始破解賬號(hào)密碼了,破解結(jié)果如圖5-8所示。能夠看到,用戶test的密碼為空,軟件很快就被破解出來了。把test用戶的密碼改為”123123”,再次測(cè)試,由于口令不是太復(fù)雜,還是選擇快速口令破解,破解結(jié)果如下圖5-9所示。 能夠看到,test用戶的密碼”123123”也被很快的破解出來了。把主機(jī)密碼設(shè)置的復(fù)雜一些,不選用數(shù)字,選擇某些英文單詞,比如security,再次測(cè)試,由于密碼復(fù)雜了一些,破解方法選擇”普通口令破解”,測(cè)試結(jié)果如圖5-10所示。能夠看到,復(fù)雜口令的破解速度雖慢,但還是把比較復(fù)雜的口令security123破解出來了。其實(shí)我們還能夠設(shè)置更加復(fù)雜的口令,采用更加復(fù)雜的自定義口令破解模式,設(shè)置界面如圖5-13所示。其中,”字典攻擊”中我們能夠選擇字典列表的字典文件進(jìn)行破解,LC5本身帶有簡(jiǎn)單的字典文件,也能夠自己創(chuàng)立或者利用字典工具生成字典文件;”混合字典”破解口令把單詞、數(shù)字或符號(hào)進(jìn)行混合組合破解;”預(yù)定散列”攻擊是利用預(yù)先生成的口令散列值和SAM中的散列值進(jìn)行匹配,這種方法由于不用在線計(jì)算Hash,因此速度很快;利用"暴力破解"中的字符設(shè)置選項(xiàng),能夠設(shè)置為"字母+數(shù)字"、"字母+數(shù)字+普通符號(hào)"、"字母+數(shù)字+全部符號(hào)",這樣我們就從理論上把大部分密碼組合采用暴力方式遍歷所有字符組合而破解出來,只是破解時(shí)間可能很長(zhǎng)。任務(wù)二掌握安全的密碼設(shè)置策略暴力破解理論上能夠破解任何密碼,但如果密碼過于復(fù)雜,暴力破解需要的時(shí)間會(huì)很長(zhǎng)(比如幾天),在這段較長(zhǎng)的時(shí)間內(nèi),增加了用戶發(fā)現(xiàn)入侵和破解行為的機(jī)會(huì),以采取某種措施來阻止破解,因此密碼越復(fù)雜越好。一般設(shè)置密碼要遵循以下幾個(gè)原則:(1)密碼長(zhǎng)度不小于8個(gè)字符;(2)包含有大寫和小寫的英文字母、數(shù)字和特殊符號(hào)的組合;(3)不包含姓名、用戶名、單詞、日期以及這幾項(xiàng)的組合;(4)定期修改密碼,而且對(duì)新密碼做較大的變動(dòng)。例如,這樣的一個(gè)密碼就是一個(gè)復(fù)雜度很高的密碼”974a3K%n_4$Fr1#”,破解軟件要花費(fèi)很長(zhǎng)的時(shí)間才能破解。任務(wù)三密碼破解的防護(hù)syskey是Windows和WindowsXP中增加的一項(xiàng)功能,它能夠使用啟動(dòng)密鑰來保護(hù)SAM文件中的賬號(hào)信息。默認(rèn)情況下,啟動(dòng)密鑰是一個(gè)隨機(jī)生成的密鑰,存儲(chǔ)在本地計(jì)算機(jī)上。這個(gè)啟動(dòng)密鑰在計(jì)算機(jī)啟動(dòng)后必須正確輸入才能登錄系統(tǒng)。經(jīng)過在命令行界面下輸入命令syskey,回車后即會(huì)啟動(dòng)syskey的設(shè)置界面,如圖5-14所示。圖5-14syskey配置界面經(jīng)過syskey保護(hù),攻擊者即使經(jīng)過另外一個(gè)操作系統(tǒng)掛上你的硬盤,偷走計(jì)算機(jī)上的一個(gè)SAM文件的拷貝,這份SAM文件的拷貝對(duì)于她們也是沒有意義的,因?yàn)镾yskey提供了非常好的安全保護(hù)。當(dāng)然,要防止攻擊者進(jìn)入系統(tǒng)后對(duì)本地計(jì)算機(jī)啟動(dòng)密鑰的提索,這能夠經(jīng)過配置syskey時(shí),將啟動(dòng)密鑰存儲(chǔ)在軟盤上實(shí)現(xiàn)啟動(dòng)密鑰與本地計(jì)算機(jī)的|分隔。另外,還能夠經(jīng)過選擇安全的身份驗(yàn)證協(xié)議,防止嗅探器探測(cè)到網(wǎng)絡(luò)中傳輸?shù)拿艽a。在Windows和WindowsXP中,默認(rèn)的身份認(rèn)證協(xié)議是Kerberosv5,它采用了復(fù)雜的加密方式來防止未經(jīng)授權(quán)的用戶截獲網(wǎng)絡(luò)中傳輸?shù)拿艽a信息?？墒?如果計(jì)算機(jī)沒有加入到域中,則采用的身份認(rèn)證協(xié)議是NTLM。NTLM采用詢問應(yīng)答的方式進(jìn)行身份驗(yàn)證,它有3種變體:LM(LanManager)、NTLMversion1和NTLMversion2,其中NTLMversion2是最安全的身份驗(yàn)證方式。為了加強(qiáng)網(wǎng)絡(luò)安全性,需要關(guān)閉LM和NTLMversionl這兩種相對(duì)不安全的方式。能夠經(jīng)過控制面板→管理工具→本地安全策略,在打開的本地安全策略窗口中,打開安全設(shè)置\本地策略\安全選項(xiàng),在右側(cè)的窗口中,雙擊鼠標(biāo)左鍵打開"網(wǎng)絡(luò)安全:LanManager身份驗(yàn)證級(jí)別",在列表中選擇"僅發(fā)送N11Mv2響應(yīng)＼拒絕LM&NτML"選項(xiàng),如圖515所示。在Windows系統(tǒng)里面有很多措施來增強(qiáng)密碼口令的安全,詳細(xì)步驟和過程請(qǐng)參考實(shí)驗(yàn)"Windows系統(tǒng)安全"中的賬戶和口令安全設(shè)置。圖5-15身份認(rèn)證協(xié)議的選擇界面實(shí)驗(yàn)四Windows操作系統(tǒng)安全實(shí)驗(yàn)名稱:Windows操作系統(tǒng)安全實(shí)驗(yàn)類型:驗(yàn)證性實(shí)驗(yàn)、綜合性實(shí)驗(yàn)學(xué)時(shí):4適用對(duì)象:信息安全實(shí)驗(yàn)?zāi)康慕?jīng)過實(shí)驗(yàn)掌握Windows賬戶與密碼的安全設(shè)置、文件系統(tǒng)的保護(hù)和加密、安全策略與安全模板的使用、審核和日志的啟用、本機(jī)漏洞檢測(cè)軟件MBSA的使用,建立一個(gè)Windows操作系統(tǒng)的基本安全框架。二、實(shí)驗(yàn)要求根據(jù)Windows操作系統(tǒng)中的各項(xiàng)安全性要求,完成相關(guān)的設(shè)置,詳細(xì)觀察記錄設(shè)置前后系統(tǒng)的變化,給出分析報(bào)告。三、實(shí)驗(yàn)原理我們從賬戶口令、文件系統(tǒng)、日志和審核、安全漏洞掃描等方面對(duì)Windows操作系統(tǒng)安全進(jìn)行介紹。 1.賬戶和口令賬戶和口令是登錄系統(tǒng)的基礎(chǔ),也是眾多黑客程序攻擊和竊取的對(duì)象。因此,系統(tǒng)帳戶和口令的安全是非常重要的,也是能夠經(jīng)過合理設(shè)置來實(shí)現(xiàn)的。普通用戶常常在安裝系統(tǒng)后長(zhǎng)期使用系統(tǒng)的默認(rèn)設(shè)置,忽視了Windows系統(tǒng)默認(rèn)設(shè)置的不安全性,而這些不安全性常常被攻擊者利用,經(jīng)過各種手段獲得合法的賬戶,進(jìn)一步破解口令。因此,首先需要保障賬戶和密碼的安全。文件系統(tǒng)磁盤數(shù)據(jù)被攻擊者或本地的其它用戶破壞和竊取是經(jīng)常困擾用戶的問題,文件系統(tǒng)的安全問題也是非常重要的。Windows系統(tǒng)提供的磁盤格式有FAT、FAT32以及NTFS。其中,FAT格式和FAT32格式?jīng)]有考慮對(duì)安全性方面的更高需求,例如無法設(shè)置用戶訪問權(quán)限等。NTFS文件系統(tǒng)是Windows操作系統(tǒng)中的一種安全的文件系統(tǒng),管理員或用戶能夠設(shè)置每個(gè)文件夾的訪問權(quán)限,從而限制一些用戶和用戶組的訪問,以保障數(shù)據(jù)的安全。3.數(shù)據(jù)加密軟件EFS當(dāng)用戶的計(jì)算機(jī)在沒有足夠物理保護(hù)的地方使用時(shí),或者發(fā)生計(jì)算機(jī)或磁盤的被竊、被拆換,在所有這些情況下,保密的數(shù)據(jù)都可能被竊取,造成重要數(shù)據(jù)的丟失。采用加密文件系統(tǒng)(EFS)的加密功能對(duì)敏感數(shù)據(jù)文件進(jìn)行加密,能夠加強(qiáng)數(shù)據(jù)的安生性,而且減小計(jì)算機(jī)、磁盤被竊或者被拆換后數(shù)據(jù)失竊的隱患。EFS采用了對(duì)稱和非對(duì)稱兩種加密算法對(duì)文件進(jìn)行加密,首先系統(tǒng)利用生成的對(duì)稱密鑰將文件加密成為密文,然后采用EFS證書中包含的公鑰將對(duì)稱密鑰加密后與密文附加在一起。文件采用EFS加密后,能夠控制特定的用戶有權(quán)解密數(shù)據(jù),這樣即使攻擊者能夠訪問計(jì)算機(jī)的數(shù)據(jù)存儲(chǔ)器,也無法讀取用戶數(shù)據(jù)。只有擁有EFS證書的用戶,采用證書中公鑰對(duì)應(yīng)的私鑰,先解密公鑰加密的對(duì)稱密鑰,然后再用對(duì)稱密鑰解密密文,才能對(duì)文件進(jìn)行讀寫操作。EFS屬于NTFS文件系統(tǒng)的一項(xiàng)默認(rèn)功能,同時(shí)要求使用EFS的用戶必須擁有在NTFS卷中修改文件的權(quán)限。審核與日志為了便于用戶監(jiān)測(cè)當(dāng)前系統(tǒng)的運(yùn)行狀況,Windows系統(tǒng)中設(shè)置了審核與日志功能。審核與日志是Windows系統(tǒng)中最基本的入侵檢測(cè)方法,當(dāng)有攻擊者嘗試對(duì)系統(tǒng)進(jìn)行某些方式的攻擊時(shí),都會(huì)被安全審核功能記錄下來,寫入到日志中。一些Windows下的應(yīng)用程序,如IIS(Internet信息服務(wù)器),也帶有相關(guān)的審核日志功能,例如,IIS的FTP日志和WWW日志等。IIS每天生成一個(gè)日志文件,包含了該日的一切記錄,例如,試圖經(jīng)過網(wǎng)絡(luò)登陸系統(tǒng)的IP地址等。文件名一般為ex年份月份日期,例如,ex050123,就是1月23日產(chǎn)生的日志。IIS的WWW日志在系統(tǒng)盤中\(zhòng)%systemroot%\System32\logfiles\w3svc1\目錄下,FTP日志在\%systemroot%\System32\logfiles\msftpsvc1\目錄下。而系統(tǒng)日志、安全性日志和應(yīng)用程序日志分別為\%systemroot%\System32\config文件夾下的3個(gè)文件。5.安全模板Windows系統(tǒng)中的安全設(shè)置項(xiàng)目繁多,包括賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務(wù)、注冊(cè)表和文件系統(tǒng)等。一一設(shè)置這些安全項(xiàng)目相當(dāng)復(fù)雜,為了提高系統(tǒng)安全性設(shè)置的簡(jiǎn)易性,微軟在Windows系統(tǒng)中提供了不同安全級(jí)別的安全模板,不同安全級(jí)別的模板包含了不同安全性要求的配置項(xiàng)目。用戶只要簡(jiǎn)單地根據(jù)需要選擇啟用相應(yīng)的模板,即可自動(dòng)按照模板配置各項(xiàng)安全屬性。對(duì)部分模板的意義做如下說明:setupsecurity.inf:全新安裝系統(tǒng)的默認(rèn)安全設(shè)置basicws.inf:基本的安全級(jí)別compatws.inf:將系統(tǒng)的NTFS和ACL設(shè)置成安全層次較低的NT4.0設(shè)置securews.inf:提供較高安全性的安全級(jí)別hisecws.inf:提供高度安全性的安全級(jí)別上述模板文件名的后面兩個(gè)字符,ws代表workstation&server,dc代表domaincontroller。Windows系統(tǒng)也支持用戶自己構(gòu)建模板。6.MBSA(MicrosoftBaselineSecurityAnalyzer)要檢查當(dāng)前系統(tǒng)是否符合一定的安全標(biāo)準(zhǔn),手動(dòng)逐項(xiàng)檢查的過程是非常繁雜的。Microsoft提供了自動(dòng)檢查Windows系統(tǒng)漏洞的安全審計(jì)工具M(jìn)BSA。它將從微軟的升級(jí)服務(wù)器中下載最新的補(bǔ)丁包文件,檢查Windows系統(tǒng)中是否安裝了最新的安全補(bǔ)丁。另外,它還能夠?qū)ο到y(tǒng)漏洞、IIS漏洞、SQLServer數(shù)據(jù)庫(kù)以及IE、OFFICE等應(yīng)用程序的漏洞進(jìn)行掃描,以檢查系統(tǒng)的各項(xiàng)配置是否符合安全性要求。四、實(shí)驗(yàn)所需儀器、設(shè)備、材料(試劑)1臺(tái)安裝Windows/XP操作系統(tǒng)的計(jì)算機(jī),磁盤格式配置為NTFS,預(yù)裝MBSA(MicrosoftBaselineSecurityAnalyzer)工具。五、實(shí)驗(yàn)預(yù)習(xí)要求、實(shí)驗(yàn)條件、方法及步驟需要說明的是,以下設(shè)置均需以管理員(Administrator)身份登陸系統(tǒng)。在Windows和WindowsXP操作系統(tǒng)中,相關(guān)安全設(shè)置會(huì)稍有不同,但大同小異,下面主要以Windows的設(shè)置步驟為例進(jìn)行說明。任務(wù)一賬戶和口令的安全設(shè)置1.刪除不再使用的賬戶,禁用guest賬戶共享賬戶、guest賬戶等具有較弱的安全保護(hù),常常都是黑客們攻擊的對(duì)象,系統(tǒng)的賬戶越多,被攻擊者攻擊成功的可能性越大,因此要及時(shí)檢查和刪除不必要的賬戶,必要時(shí)禁用guest賬戶。(1)檢查和刪除不必要的賬戶。右鍵單擊”開始”按鈕,打開”資源管理器”,選擇”控制面板”中的”用戶和密碼”項(xiàng)。在彈出的對(duì)話框(如圖6-1所示)中列出了系統(tǒng)的所有賬戶。確認(rèn)各賬戶是否仍在使用,刪除其中不用的賬戶。圖6-1用戶和密碼(2)guest賬戶的禁用。為了便于觀察實(shí)驗(yàn)結(jié)果,確保實(shí)驗(yàn)用機(jī)在實(shí)驗(yàn)前能夠使用guest賬戶登陸;打開””控制面板中的”管理工具”,選中”計(jì)算機(jī)管理”中”本地用戶和組”,打開”用戶”,彈出如圖6-2所示的窗口; 右鍵單擊guest用戶,彈出如圖6-3所示對(duì)話框,選擇”屬性”,在彈出的對(duì)話框中”賬戶己停用”一欄前打勾;圖6-3guest屬性確定后,guest前的圖標(biāo)上會(huì)出現(xiàn)一個(gè)紅色的叉。此時(shí)再次試用guest賬戶登陸,則會(huì)顯示”您的賬戶已被停用,請(qǐng)與管理員聯(lián)系”。2.啟用賬戶策略賬戶策略是Windows賬戶管理的重要工具。打開”控制面板”→”管理工具”→”本地安全策略”,選擇”賬戶策略”,如圖6-4所示。雙擊”密碼策略”,彈出如圖6-5所示的窗口。密碼策略用于決定系統(tǒng)密碼的安全規(guī)則和設(shè)置。圖6-3密碼策略其中,符合復(fù)雜性要求的密碼是具有相當(dāng)長(zhǎng)度、同時(shí)含有數(shù)字、大小寫字母和特殊字符的序列。雙擊其中每一項(xiàng),可按照需要改變密碼特性的設(shè)置。(1)雙擊”密碼必須符合復(fù)雜性要求”,在彈出的如圖6-4所示對(duì)話框中,選擇”啟用”;下面我們看一下策略是否啟動(dòng),打開”控制面板”中”用戶和密碼”項(xiàng),在彈出的如圖6-7所示對(duì)話框中選擇一個(gè)用戶后,單擊”設(shè)置密碼”按鈕。圖6-7用戶和密碼在出現(xiàn)的設(shè)置密碼窗口中輸入密碼。此時(shí)設(shè)置的密碼要符合設(shè)置的密碼要求。例如,若輸入密碼為L(zhǎng)123456,則彈出如圖6-8所示的對(duì)話框;若輸入密碼為L(zhǎng)_123456,密碼被系統(tǒng)接受。(2)雙擊圖6-5面板中”密碼長(zhǎng)度最小值”,在彈出的對(duì)話框(見圖6-8)中設(shè)置可被系統(tǒng)接納的賬戶密碼長(zhǎng)度最小值,例如設(shè)置為6個(gè)字符。一般為了達(dá)到較高的安全性,建議密碼長(zhǎng)度的最小值為8。圖6-8密碼長(zhǎng)度最小值(3)雙擊圖6-5面板中”密碼最長(zhǎng)存留期”,在彈出的對(duì)話框(見圖6-10)中設(shè)置系統(tǒng)要求的賬戶密碼的最長(zhǎng)使用期限為42天。設(shè)置密碼自動(dòng)保留期,能夠提醒用戶定期修改密碼,防止密碼使用時(shí)間過長(zhǎng)帶來的安全問題。圖6-10密碼最長(zhǎng)存留期(4)雙擊圖6-5面板中”密碼最短存留期”,在彈出的對(duì)話框(見圖6-11)中修改設(shè)置密碼最短存留期為7天。在密碼最短存留期內(nèi)用戶不能修改密碼。這項(xiàng)設(shè)置是為了避免入侵的攻擊者修改賬戶密碼。(5)雙擊”強(qiáng)制密碼歷史”和”為域中所有用戶使用可還原的加密儲(chǔ)存密碼”,在相繼彈出的類似對(duì)話框中,設(shè)置讓系統(tǒng)記住的密碼數(shù)量和是否設(shè)置加密存儲(chǔ)密碼。至此,密碼策略設(shè)置完畢。在賬戶策略中的第2項(xiàng)是賬戶鎖定策略,它決定系統(tǒng)鎖定賬戶的時(shí)間等相關(guān)設(shè)置。打開圖6-5中”賬戶鎖定策略”,彈出如圖6-12所示的窗口。圖6·12賬戶鎖定策略(1)雙擊"賬戶鎖定闕值",在彈出的對(duì)話框(見圖6·13)中設(shè)置賬戶被鎖定之前經(jīng)過的無效登錄次數(shù)(如3次),以便防范攻擊者利用管理員身份登錄后無限次的猜測(cè)賬戶的密碼(窮舉法攻擊)。(2)雙擊"賬戶鎖定時(shí)間",在彈出的對(duì)話框(見圖6-14)中設(shè)置賬戶被鎖定的時(shí)間(如2Omin)。此后,當(dāng)某賬戶無效登錄(如密碼錯(cuò)誤)的次數(shù)超過3次時(shí),系統(tǒng)將鎖定該賬戶 20min。3.開機(jī)時(shí)設(shè)置為”不自動(dòng)顯示上次登錄賬戶”Windows默認(rèn)設(shè)置為開機(jī)時(shí)自動(dòng)顯示上次登陸的賬戶名,許多用戶也采用了這一設(shè)置。這對(duì)系統(tǒng)來說是很不安全的,攻擊者會(huì)從本地或FremindSeIVice的登陸界面看到用戶名。圖6·14賬戶鎖定時(shí)間要禁止顯示上次的登陸用戶名,可做如下設(shè)置:右鍵單擊"開始"按鈕,打開"資源管理器",選中"控制面板",打開"管理工具"朋下,"本地安全策略"工頁(yè),選擇"本地策略"中的"安全選項(xiàng)氣并在圖6-15所示窗口右側(cè)列表中選擇”登陸屏幕上不要顯示上次登陸的用戶名”選項(xiàng),彈出如圖6-16所示的對(duì)話框。選擇”己?jiǎn)⒂谩?完成設(shè)置。4.禁止枚舉賬戶名為了便于遠(yuǎn)程用戶共享牢地文件,Windows默認(rèn)設(shè)置遠(yuǎn)程用戶能夠經(jīng)過空連接枚舉出所有本地賬戶名,這給了攻擊者可乘之機(jī)。要禁止枚舉賬戶名,可執(zhí)行以下操作:打開””本地安全策略項(xiàng),選擇””本地策略中的””安全選項(xiàng),如圖6-17所示,選擇"對(duì)匿名連接的額外限制"工頁(yè),在"本地策略設(shè)置"中選擇"不允許枚舉SAM賬戶和共享"(見圖618)。圖6·1g司對(duì)匿名連接的額外限制另外,在"安全選項(xiàng)"中還有多項(xiàng)增強(qiáng)系統(tǒng)安全的選工頁(yè),請(qǐng)讀者自行查看。 文件系統(tǒng)安全設(shè)置任務(wù)二 (1)打開采用NTFS格式的磁盤,選擇一個(gè)需要設(shè)置用反極限的文件夾。這里選擇E盤下的"工具備份"文件夾。 (2)右鍵單擊該‘文件失去F選擇"屬性",在工具欄中選擇"安全",彈出如圖6-19所示的窗口。文件夾安全屬性岳、圖、6,19 (3)將"允許將來自父索的主可能繼承權(quán)限傳播給該對(duì)象"之前的勾去掉,以去掉來縮、文件夾的繼承權(quán)限(如不去摸則無法刪除可對(duì)父系文件夾操作用戶組的操作權(quán)(4)選中列表中的Everyone組,單擊"刪除"按鈕,刪除Everyone組的操作權(quán)限。由于新建的用戶往往都?xì)w屬于Everyone組,而Everyone組在缺省情況下對(duì)所有系統(tǒng)驅(qū)動(dòng)器都有完全控制權(quán),刪除Everyone組的操作權(quán)限能夠?qū)π陆ㄓ脩舻臋?quán)限進(jìn)行限制。原則上只保留允許訪問此文件夾的用戶和用戶組。 (5)選擇相應(yīng)用戶組,在對(duì)應(yīng)的復(fù)選框中打勾,設(shè)置其余用戶組對(duì)該文件夾的操作權(quán)限。 (6)單擊"高級(jí)"按鈕,彈出如圖620所示的窗口,查看各用戶組的權(quán)限。該文件夾,子文件夾及文件該文件夾,子文件夾及文件完全控制讀取及運(yùn)行守』允許抽imsuators@本允許FowerUses臼町用戶權(quán)限圖630用加密軟件EFS加密硬盤數(shù)據(jù) (1)打開"控制面板"中的"用戶和密碼",創(chuàng)立-個(gè)名為MYUSER的新用戶。 ,(2)打開磁盤格式為NTFS的磁盤,選擇要進(jìn)行加密的文件夾,這里仍選擇E:1"I具備份"。 (3)右鍵單擊該文件夾,打開"屬性"窗口,選擇"常規(guī)"選工頁(yè),單擊"高級(jí)yyt鈕,彈出如圖6·21所示的對(duì)話框。任務(wù)三圖6·21文件夾高級(jí)屬性(4)選擇"加密內(nèi)容以便保護(hù)數(shù)據(jù)",單擊"確定"按鈕。(5)在彈出的對(duì)話框中選擇"將更改利用于該文件夾、子文件夾和文件"。圖6·22加密(6)加密完畢后保存當(dāng)前用戶下的文件,單擊"開始"按鈕,打開"關(guān)機(jī)",在下拉列表中選擇"注銷……用戶"(即當(dāng)前用戶),以剛才新建的MYUSER用戶登陸系統(tǒng)。再次訪問"工具備份"文件夾,打開其中的文件時(shí),彈出如圖6·23所示的錯(cuò)誤窗口。圖6·23錯(cuò)誤窗口說明該文件夾己經(jīng)被加密,在沒有授權(quán)的情況下無法打開。(7)再次切換用戶,以原來加密文件夾的管理員賬戶登陸系統(tǒng)。單擊"開始"按鈕,在飛行"框中輸入mmc,打開系統(tǒng)控制臺(tái)。單擊左上角的"控制臺(tái)"按鈕,選擇"添加l刷除管理單元",在彈出的對(duì)話框中單擊"添加"按鈕,選擇添加"證書",如圖6·24際,為當(dāng)前的加密文件系統(tǒng)EFS設(shè)置證書。 (8)在控制臺(tái)窗口左側(cè)的目錄樹中選擇"證書""個(gè)人""證書"。能夠看到用于加密文件系統(tǒng)的證書顯示在右側(cè)的窗口中,如圖625所示。雙擊此證書,單擊詳細(xì)信息,則能夠看到證書中包含的詳細(xì)信息,主要的一項(xiàng)是所包含的公鑰,如圖6·26所幣。(9)選中用于EFS的證書,單擊右鍵,在彈出的菜單中單擊"所有任務(wù)飛在展開的菜單中,單擊"導(dǎo)出",則彈出"歡迎使用證書導(dǎo)出向?qū)?,單擊"下一步"按鈕,選擇"是,導(dǎo)出私鑰",如圖ι27所示,接著設(shè)置保護(hù)私鑰的密碼,如圖6·28所示,然后將導(dǎo)出的證書文件保存在磁盤上的某個(gè)路徑,如圖6-29所示,這就完成了證書的導(dǎo)出,如圖6·30所示。圖6·30導(dǎo)出完成(10)再次切換用戶,以新建的MYUSER登陸系統(tǒng),重復(fù)步驟(7)和(8),右鍵單擊選中的"證書"文件夾,選擇"所有任務(wù)"中的"導(dǎo)入",在彈出的"使用證書導(dǎo)入向?qū)?窗口,單擊"下一步"按鈕,在地址欄中填入步驟。)中導(dǎo)出證書文件的地址,導(dǎo)入該證書,如圖631所示。圖631導(dǎo)入文件(11)輸入在步驟。)中為保護(hù)私鑰設(shè)置的密碼,如圖6-32所示,選擇將證書放入"個(gè) 人"存儲(chǔ)區(qū)中,單擊"下一步"按鈕,完成證書導(dǎo)入,如圖6·33所示。4牛二Jh平LLLLLLLL也掉自由蹦酣蛐蛐酣睡醒蠟瞥戴遇圖633完成導(dǎo)入(12)再次雙擊加密文件夾中的文件,文件能夠正常打開。說明該用戶已成為加密文件的授權(quán)用戶,如圖6·34所示。圖634文件打開任務(wù)四啟用審核與日志查看1.打開審核策略(l)打開"控制面板"中的"管理工具",選擇"本地安全策略":(2)·打開"本地策略"中的"審核策略",能夠看到當(dāng)前系統(tǒng)的審核策略,如圖6-35所示: (3)雙擊每項(xiàng)策略能夠選擇是否啟用該項(xiàng)策略。例如"審核賬戶管理"將對(duì)每次建立新用戶、刪除用戶等操作進(jìn)行記錄,"審核登錄事件"將對(duì)每次用戶的登錄進(jìn)行記錄:"審核過程追蹤"將對(duì)每次啟動(dòng)或者退出的程序或者進(jìn)程進(jìn)行記錄,根據(jù)需要啟用相關(guān)審核策略。審核策略啟用后,審核結(jié)果放在各種事件日志中。圖6·35審核策略2.查看事件日志。)打開"控制面板"中的"管理工具",雙擊"事件查看器",如圖636所示,可以看到Windows反P的3種日志,其中安全日志用于記錄剛才上面審核策略中所設(shè)置的安全事件。翻應(yīng)用程序曰:志因安全日:志組系統(tǒng)日志應(yīng)用程序錯(cuò)誤記錄安全審核記錄系統(tǒng)$苦誤記錄日;吉、日志日志5121.OMB256圖6·36事件查看器 (2)雙擊"安全日志",可查看有效無效、登陸嘗試等安全事件的具體記錄。例如,查看用戶登錄/注銷的日志,彈出類似圖6·37和圖6·38所示的對(duì)話框。圖6·37和圖638分別為登錄事件的失敗審核與成功審核。能夠看到日志中詳細(xì)t錄了登錄的時(shí)間、賬戶名、錯(cuò)誤類型等信息。其中,"事件ID"用于標(biāo)識(shí)各事件的類型,各D的意義能夠查看Microsoft網(wǎng)站。任務(wù)五時(shí)叫飛嗖mmm明節(jié)盼牛在每罪貿(mào)ZFJ苦苦器ZEF瑞號(hào)在串串古到擺在雪茹苦嗦概ggzj圖637登錄失敗日志圖6-38登錄成功日志啟用安全策略與安全模板1.啟用安全模板開始前,請(qǐng)記錄當(dāng)前系統(tǒng)的賬戶策略和審核日志狀態(tài),以便與實(shí)驗(yàn)后的設(shè)置進(jìn)行比較。三句 p 辛盧 (1)單擊"開始",選擇"運(yùn)行吧按鈕,在對(duì)話框中輸入IIMIle,打開系統(tǒng)控制臺(tái),如圖6羽所示。圖6·39控制臺(tái)(2)單擊工具欄上的"控制臺(tái)",在彈出的案單中選擇"添加/刪除管理單元",單擊自添加",在彈出的如圖640所示的窗口中分別選擇"安全模板"、44安全配置和分析",軸"添加"按鈕后,關(guān)閉窗口,并單擊"確定"按鈕。圖640管理單元(3)此時(shí)系統(tǒng)控制臺(tái)中根節(jié)點(diǎn)下添加了"安全模板"、"安全配置分析"兩個(gè)文件夾。打開"安全模板"文件夾,能夠看到系統(tǒng)中存在的安全模板,如圖641所示的窗口。圖641安全模板右鍵單擊模板名稱,選擇"設(shè)置描述",能夠看到該模板的相關(guān)信息。選擇"打開",右側(cè)窗口出現(xiàn)該模板中的安全策略,雙擊每種安全策略可看到其相關(guān)配置,如圖6·42所習(xí)之。(4)右鍵單擊"安全配置與分析",選擇"打開數(shù)據(jù)庫(kù)"。在彈出的對(duì)話框中輸入欲新建安全數(shù)據(jù)庫(kù)的名稱,例如起名為mycomputer-sdb,如圖643所示。單擊"打開"按鈕,在彈出的窗口中,根據(jù)計(jì)算機(jī)準(zhǔn)備配置成的安全級(jí)別,選擇一個(gè)安全模板將其導(dǎo)入。圖ι42模板的具體設(shè)置圖643打開數(shù)據(jù)庫(kù)(5)右鍵單擊"安全配置與分析",選擇"立即分析計(jì)算機(jī)",單擊"確定"按鈕。系統(tǒng)開始按照上一步中選定的安全模板,對(duì)當(dāng)前系統(tǒng)的安全設(shè)置是否符合要求進(jìn)行分析。分析完畢后,可在目錄中選擇查看各安全設(shè)置的分析結(jié)果,如圖6·44所示。 (6)右鍵單擊"安全配置與分析",選擇"立即配置計(jì)算機(jī)",則按照第(4)步中所選擇的安全模板的要求對(duì)當(dāng)前系統(tǒng)進(jìn)行配置。如果事先對(duì)系統(tǒng)的缺省配置選項(xiàng)做了記錄,接著記錄啟用安全模板后系統(tǒng)的安全設(shè)置,與啟用前進(jìn)行比較,即可發(fā)現(xiàn),如果選用的安全模板級(jí)別較高,則使用安全模板后系統(tǒng)的安全配置選項(xiàng)增加了許多。分析結(jié)果2.創(chuàng)立安全模板(1)重復(fù)任務(wù)五第1部分第(1)步~第(4)步。在圖6ι-4鉛2中展開"安全模板"氣,右鍵單擊模板所在路徑(即圖中的對(duì)話框中填入欲新力加日入的模板名稱ImIn1yt臼eIm肌InL1b,在"安全模板描述"中填入"自設(shè)模板"飛?？梢钥吹叫铝尤漳０宄霈F(xiàn)在模板列表中,如圖645所示。圖644:1整釜運(yùn)黎擺擺黯盟盟主哲堂堂?主胃mmmh默認(rèn)安全設(shè)置.需要設(shè)置環(huán)摸變量D白I配置戚全新安裝時(shí)NR文件飛注冊(cè)表A..增強(qiáng)seqxews設(shè)置.對(duì)POW-『Use..配置成全新安黯才NT陀文件飛注冊(cè)表A..可選組{牛文件安全.多數(shù)文件可能不到..可選組件文件安全.多數(shù)文件可能不可..配置成全新安裝時(shí)陽(yáng)陌文件宦跚表A..配置成全新安翻才陽(yáng)陌文件飛注冊(cè)袋AH全新安裝系統(tǒng)的默認(rèn)安全設(shè)置默認(rèn)安全設(shè)重.不包括喃戶權(quán)限飛部R.挨執(zhí)委會(huì)注意旦不刨F用戶權(quán)限飛受限.自設(shè)模板圖6-45新加模板(2)雙擊mytem,在顯示的安全策略列表中雙擊"賬戶策略"下的"密碼策略",可發(fā)現(xiàn)其中任一項(xiàng)均顯示"沒有定義"。雙擊欲設(shè)置的安全策略(如"密碼長(zhǎng)度最小值"),彈出如自6.46所示的對(duì)話框。圖6-46密碼長(zhǎng)度最小值設(shè)置(3)在”在模板中定義這個(gè)策略設(shè)置”前打勾,在框中填入密碼的最小長(zhǎng)度7。(4)依次設(shè)定”賬戶策略”、”本地策略”等項(xiàng)目中的每項(xiàng)安全策略,直至完成安全模板的設(shè)置。至此,自設(shè)安全模板mytem創(chuàng)立完畢,能夠按照任務(wù)五第1部分中的步驟導(dǎo)入系統(tǒng)中。任務(wù)六利用MBSA檢查和配置系統(tǒng)安全MBSA是微軟公司提供的安全審計(jì)工具,能夠從微軟網(wǎng)站免費(fèi)下載,它的下載地址是。其安裝過程也非常簡(jiǎn)單,下面對(duì)MBSA的使用方法進(jìn)行介紹。檢查系統(tǒng)漏洞雙擊打開MBSA,在彈出的窗口中選擇”Scanacomputer”(或”Pickacomputertoscan”)菜單,如圖1所示。圖6-47MBSA歡迎界面系統(tǒng)將彈出”Pickacomputertoscan”對(duì)話框(如圖2),如圖6-47所示。在彈出的窗口中填寫本地計(jì)算機(jī)名稱或IP地址,并選擇希望掃描的漏洞類型。這里采用全部漏洞掃描,單擊”Startscan”按鈕,掃描計(jì)算機(jī)。注意:由于掃描過程需要連接Microsoft網(wǎng)站,因此需要事先配置好網(wǎng)絡(luò)連接。掃描結(jié)束后,彈出如圖6-49所示的安全性報(bào)告。圖6-49安全性報(bào)告檢查安全性報(bào)告并手動(dòng)修復(fù)漏洞安全性報(bào)告中,最左側(cè)一欄為評(píng)估結(jié)果,其中紅色和黃色的叉號(hào)表示該項(xiàng)目未能經(jīng)過測(cè)試;雪花圖標(biāo)表示該項(xiàng)目還能夠進(jìn)行優(yōu)化,也可能是程序跳過了其中的某項(xiàng)測(cè)試;感嘆號(hào)表示尚有更詳細(xì)的信息;綠色的對(duì)勾表示該項(xiàng)目已經(jīng)過測(cè)試;Whatwasscanned表明檢查的項(xiàng)目,Resultdetails中詳細(xì)說明了該項(xiàng)目中出現(xiàn)的問題;Howtocorrectthis說明了解決的方式。首先查看報(bào)告中評(píng)價(jià)結(jié)果為叉號(hào)的項(xiàng)目(這里選擇filesystem),打開resultdetails,察看該項(xiàng)檢查中出現(xiàn)的具體問題。圖6-50現(xiàn)示的是對(duì)磁盤檢查的結(jié)果,由于所有硬盤都沒有使用更加安全的NTFS文件系統(tǒng),因此評(píng)估結(jié)果顯示為叉號(hào)。圖6-50評(píng)估的詳細(xì)結(jié)果單擊howtocorrectthis按鈕,彈出的窗口顯示了有關(guān)如何修改項(xiàng)目設(shè)置的提示信息;根據(jù)提示,我們能夠修改不符合安全性要求的設(shè)置。完成修改后,再次進(jìn)行掃描,查看修改后的設(shè)置是否已經(jīng)達(dá)到安全要求。六、思考題你認(rèn)為微軟的安全策略有哪些優(yōu)缺點(diǎn)?請(qǐng)你關(guān)注它的下一個(gè)版本,看看你的想法是否正確。實(shí)驗(yàn)五Linux操作系統(tǒng)安全實(shí)驗(yàn)名稱:Linux操作系統(tǒng)安全實(shí)驗(yàn)類型:驗(yàn)證性實(shí)驗(yàn)學(xué)時(shí):4適用對(duì)象:信息安全一、實(shí)驗(yàn)?zāi)康慕?jīng)過實(shí)驗(yàn)熟悉LiI111x環(huán)境下的用戶管理、進(jìn)程管理以及文件管理的相關(guān)操作命令,掌握Linux操作系統(tǒng)中的相關(guān)安全配置方法,建立起Linux操作系統(tǒng)的基本安全框架。二、實(shí)驗(yàn)原理1.用戶管理Linux系統(tǒng)支持以命令行或窗口方式管理用戶和用戶組。它提供了安全的用戶名和口令文件保護(hù)以及強(qiáng)大的口令設(shè)置規(guī)則,并對(duì)用戶和用戶組的權(quán)限進(jìn)行細(xì)粒度的劃分。Linux系統(tǒng)的用戶和用戶組的信息分別保存在/etc/shadow、/etc/passwd、/etc/group和/etc/gshadow等幾個(gè)文件中,為這些文件設(shè)置較高的安全權(quán)限是完全必要的。在較高安全要求的系統(tǒng)中,能夠?qū)⑦@些文件設(shè)置為不可更改。Linux系統(tǒng)中也帶有一些常見的口令字典,以便在用戶設(shè)置的口令不太安全時(shí)及時(shí)的提醒用戶。表6-1列出了與用戶管理有關(guān)的命令及其簡(jiǎn)單的使用規(guī)則和參數(shù)。如果希望進(jìn)一步了解這些命令,能夠在Linux操作系統(tǒng)中經(jīng)過使用man命令查看。表6-1用戶管理常見命令及參數(shù)命令格式用途常見參數(shù)UseraddUseradd[參數(shù)及對(duì)應(yīng)內(nèi)容]賬戶名按照設(shè)置添加用戶無參數(shù)直接建立-d設(shè)置用戶主目錄-G設(shè)置用戶附屬組-p設(shè)置用戶密碼PasswdPasswd[參數(shù)及對(duì)應(yīng)內(nèi)容]賬戶名為用戶添加密碼或其它相關(guān)操作無參數(shù)設(shè)置用戶密碼-l鎖定賬戶-u解除鎖定-S查看用戶狀態(tài)FingerFinger[參數(shù)]賬戶名查看用戶的相關(guān)信息usermodUsemod[參數(shù)及對(duì)應(yīng)內(nèi)容]賬戶名用戶建立后修改用戶的相關(guān)屬性-d–G-p同useradd-l更改用戶名UserdelUserdel[參數(shù)]賬戶名刪除用戶無參數(shù)直接刪除-r將其目錄刪除GroupaddGroupadd[參數(shù)及對(duì)應(yīng)選項(xiàng)]組名添加用戶組無參數(shù)直接建立并使用默認(rèn)id-g設(shè)置組idGpasswdGpasswd[參數(shù)]賬戶名對(duì)組用戶進(jìn)行操作-a把用戶加入組-d把用戶從組中刪除-A對(duì)組指派管理員GroupdelGroupdel[組名]刪除用戶組無Susu賬戶名A將當(dāng)前用戶切換為用戶A無ChageChage[參數(shù)及對(duì)應(yīng)內(nèi)容]賬戶名設(shè)置用戶管理規(guī)則-m密碼被更改前須等待的天數(shù)-M一個(gè)密碼最長(zhǎng)的有效期限-E賬號(hào)將過期的時(shí)間-W提前警告密碼將過期的天數(shù)ChattrChattr[+/-][參數(shù)]文件名稱限制/解除某文件的特殊設(shè)置I不能夠更改其中,在對(duì)系統(tǒng)有較高安全需求時(shí),能夠限制只有部分用戶有權(quán)使用用于切換用戶的su命令。Linux系統(tǒng)中提供了用于限定該命令使用權(quán)限的wheel用戶組,只有該組的用戶才有權(quán)使用su命令,將準(zhǔn)許使用su命令的用戶添加到該組中,即可限制其它用戶對(duì)該命令的使用。2.文件管理在Linux操作系統(tǒng)中,文件和目錄的權(quán)限根據(jù)其所屬的用戶或用戶組來劃分:(1)文件所屬的用戶,即文件的創(chuàng)立者。(2)文件所屬用戶組的用戶,即文件創(chuàng)立者所在的用戶組中的其它用戶。(3)其它用戶,即文件所屬用戶組之外的其它用戶。每個(gè)文件或者目錄的擁有者以及管理員root用戶,能夠?yàn)樯鲜?種用戶或用戶組設(shè)置讀、寫或可執(zhí)行的權(quán)限。用戶也能夠經(jīng)過改變文件所屬的用戶和組改變3類用戶的權(quán)限。對(duì)文件夾設(shè)置SGID權(quán)限,任何在該目錄中創(chuàng)立的文件和子目錄都將與其父目錄屬于同樣的用戶組。這種管理有時(shí)是必要的,有時(shí)會(huì)帶來一定的安全問題,因此在建立文件時(shí)要特別小心文件夾的SGID權(quán)限位。另一個(gè)容易帶來安全問題的文件是home/*/.bash-history(*表示某用戶名)。為了便于重復(fù)輸入很長(zhǎng)的命令,該文件保存了此用戶曾經(jīng)使用的一定數(shù)目(系統(tǒng)默認(rèn)為500或1000)的命令。這樣就暴露了一些重要信息,例如文件的路徑,一些與用戶身份有關(guān)的密碼等,為攻擊的黑客留下了可乘之機(jī)。能夠經(jīng)過設(shè)置/etc/profile文件中的參數(shù)設(shè)置,減少保留的命令數(shù)目。表6-2中列出了用于文件管理和安全的一些相關(guān)命令及其參數(shù)。表6-2文件和權(quán)限管理的命令及其參數(shù)命令格式用途常見參數(shù)mkdirmkdir[參數(shù)及選項(xiàng)]文件夾名或文件夾名/子文件夾名建立文件夾及子文件夾-p直接建立帶有子文件夾的文件夾rmdirrmdir路徑及文件夾名刪除文件夾touchtouch路徑及文件名新建文件vivi路徑及文件名編輯文件catcat路徑及文件名查看文件內(nèi)容可在Cat后加上"〉"表示下面的屏幕輸出寫入文件rmrm路徑及文件名刪除文件llll路徑及文件名或文件夾名查看文件的權(quán)限等詳細(xì)信息或?qū)⑽募A中的文件信息列表chmodchmod數(shù)字或字符路徑及文件名或文件夾名為文件或文件夾設(shè)置讀、寫、可執(zhí)行權(quán)限詳見表后附文chownchown用戶A文件將文件或文件夾的所屬用戶更改為用戶Achgrpchgrp用戶組A文件將文件或文件夾的所屬用戶組更改為用戶組Atar[參數(shù)]包文件名(.tar)打包文件1,文件2將一個(gè)或幾個(gè)文件打包或解除打包-cvf將文件打包-xvf將包文件解包gzipgzip[參數(shù)]包文件名將一個(gè)包文件進(jìn)行壓縮-l查看打包文件的詳細(xì)信息gunzip[參數(shù)]壓縮包名(.tar.gz)將一個(gè)壓縮包解壓附:chmod命令有以下兩種格式:格式1:命令樣例:chmod[+一=][rwxs]文件名最左面的一組參數(shù),U表示所屬用戶(user),g表示所屬用戶組(group),O表示其它用戶(other),a表示所有用戶(all)等,表示對(duì)這些用戶或用戶組的權(quán)限進(jìn)行變更。中間一組參數(shù)表示要進(jìn)行的操作,其中,"+"表示增加權(quán)限,"一"表示減少權(quán)限,"="表示分配權(quán)限,同時(shí)將其它權(quán)限刪除。最右面的一組參數(shù)表示要分配的權(quán)限,其中r表示允 許讀取,w表示允許寫入,x表示允許執(zhí)行,S為uid和gid。例如:[root@localhostchild]#ctMIlod0·rxnewfile表示將其它用戶對(duì)newflle的可讀r與可執(zhí)行x權(quán)限刪除。關(guān)于各用戶組對(duì)當(dāng)前文件的權(quán)限,能夠用11命令進(jìn)行查看:[root@localhostchild]#llnewale -rWE·E·xlroot root 1912月1310:58Ilewnle其中第1位的.表示文件(d表示文件夾),后面的每3位為一組,分別表示所屬用戶、用戶組和其它用戶的權(quán)限,每組的3位又分別表示該類用戶的可讀、可寫和可執(zhí)行權(quán)限。例如rWM·E-x表示用戶mot對(duì)newfile文件具有可讀、可寫、可執(zhí)行的權(quán)限:root所在的用戶組mot中的用戶對(duì)newflle文件具有可讀、可執(zhí)行權(quán)限,不具有可寫權(quán)限;其它 用戶對(duì)newfile文件具有可讀、可執(zhí)行權(quán)限,不具有可寫權(quán)限。格式22命令樣例zchmodnxyz文件名用這種形式也能夠設(shè)置相關(guān)權(quán)限。其中n位為2時(shí)表示設(shè)置SGID,也能夠不設(shè)置;x、y、z這3個(gè)數(shù)字分別表示所屬用戶、所屬用戶組以及其它用戶的權(quán)限。各數(shù)字實(shí)際I上是把讀、寫和執(zhí)行3個(gè)權(quán)限位分別用二進(jìn)制數(shù)表示,0表示沒有該權(quán)限,1表示有例限。這樣一個(gè)二進(jìn)制數(shù)111表示讀寫和執(zhí)行權(quán)限都有,轉(zhuǎn)換成十進(jìn)制數(shù)就是7。同理, 只即101)即表示有讀和執(zhí)行的權(quán)限而沒有寫權(quán)限。例如:[root@localhostchild]#chmod然后用ll命令查看文件權(quán)限:[root@locdhostchild]#llnewfilefWXE--XE--xlrootroot3.插入式身份認(rèn)證模塊PAMPAM(PluggableAuthenticationModules)是插入式身份認(rèn)證模塊,它提供身份認(rèn)證功能防止未授權(quán)用戶的訪問,其身份認(rèn)證功能高度模塊化,可經(jīng)過配置文件進(jìn)行靈活配置,在高版本的Limx系統(tǒng)中自動(dòng)啟動(dòng)了P劇,用戶也能夠自行配置PAM文件?？墒?任何很小的錯(cuò)誤改動(dòng)都可能導(dǎo)致所有用戶被阻塞(包括根用戶)。因此,在進(jìn)行相關(guān)文件改動(dòng)之前,應(yīng)當(dāng)先備份系統(tǒng)內(nèi)核。Limo-0的一系列pam配置文件保存在/etc/pam.d文件夾中。在下面的實(shí)驗(yàn)中能夠看到它包含與登錄、密碼驗(yàn)證以及相關(guān)命令有關(guān)的一系列文件。文件中包含的語句形式 如下:passwordshadow755Ilewfile1912月1311:02newfilesumcient/lib/security/$ISA/pam--unix-SOI11111okustauthtoKInd5上述語句是按照下面的格式進(jìn)行排列的:module-typecontd-flagmodule-patharguments其中的module-type,即PAM包含的模塊類型,共有4種,見表63所列。表63module-type模塊類型說明模塊類型 說 明Auth 用于提示用戶提供身份認(rèn)證信息,如口令 Account 檢查用戶賬戶信息,如口令時(shí)效信息及訪問限制Session 用于提供會(huì)話建立之前和之后的功能 Passwod 負(fù)責(zé)更新用戶身份認(rèn)證標(biāo)記,如口令 第2個(gè)字段comol-fIag,為控制參數(shù),表示系統(tǒng)根據(jù)此PAM模塊的運(yùn)行結(jié)果如何控制后繼操作以及應(yīng)用此模塊的必要性。該字段有以下4種類型,見表634所列。表64COIlKol-fIag類型說明控制標(biāo)志 說 明R噸uimd 這個(gè)模塊必須為將要授予的服務(wù)返回成功。如果該模塊是一系列使用模塊中的一個(gè),發(fā)生錯(cuò)誤后,其 它模塊仍將繼續(xù)執(zhí)行,但不會(huì)告知是哪個(gè)模塊發(fā)生了錯(cuò)誤R噸uisite 同上所述。但此錯(cuò)誤會(huì)終止所有模塊的執(zhí)行并返回一個(gè)失敗狀態(tài)Opdonal 并非必須的模塊Sllmcient 如果這個(gè)模塊運(yùn)行成功,那么其它的模塊都能夠忽略:但其失敗不會(huì)帶來整個(gè)堆撓的運(yùn)行失敗module-path字段指明了pam模塊的絕對(duì)路徑,一般在/lib/security目錄下。Arguments字段的參數(shù)用于指定該模塊的某些具體操作,指定的參數(shù)是能夠選擇的,一個(gè)模塊能夠附帶多個(gè)參數(shù)。所有模塊的通用參數(shù)在表6-5中列出。表63Arguments類型說明標(biāo)準(zhǔn)參數(shù) 說 明Debug 產(chǎn)生附加信息輸出到syslog*(即系統(tǒng)日志) Audit 產(chǎn)生更詳細(xì)的信息輸出到syslog No-W缸EI 禁止傳送警告消息到應(yīng)用 Likeaua 該參數(shù)使模塊無論是檢查還是設(shè)置都返回一個(gè)相同的值涉及到的特殊模塊的參數(shù)將在下面的實(shí)驗(yàn)中介紹。配置文件中也可能出現(xiàn)下面的語句: au也 required pam--stack-SOservice=system-auth表示從/etc/Pauldsystem,auth文件取出被引用模塊類型的內(nèi)容,并將這些內(nèi)容插入相關(guān)參考點(diǎn)。下面的實(shí)驗(yàn)中,能夠看到system-auth文件的完整內(nèi)容。4.系統(tǒng)記錄sysl。gdLinux系統(tǒng)使用了一系列的日志文件,為管理員提供了很多關(guān)于系統(tǒng)安全狀態(tài)的信息。syslogd是一種系統(tǒng)日志守護(hù)進(jìn)程,它接受系統(tǒng)和應(yīng)用程序、守護(hù)進(jìn)程以及內(nèi)核提供的消息,并根據(jù)在/etdsyslog-conf文件中的配置,來對(duì)這些消息在不同日志文件中進(jìn)行記錄和處理。絕大部分內(nèi)部系統(tǒng)工具都會(huì)經(jīng)過呼叫syslog接口來提供這些記錄到日志中232的消息。系統(tǒng)管理員能夠經(jīng)過設(shè)置／ect／syslog．conf文件來設(shè)置希望記錄的消息類型或希望視的設(shè)備。該文件接受的句法形式如下:facility．1evelaction‘其中,facility表示可用的syslog設(shè)備。下面列出了一些常見的設(shè)備:一authpriv包括特權(quán)信息比如用戶名的身份認(rèn)證行為．qkem內(nèi)核消息imail與電子郵件有關(guān)的消息。望User由一個(gè)用戶程序產(chǎn)生的任何消息*通配符level表示與各設(shè)備相關(guān)聯(lián)的各種不同設(shè)備的優(yōu)先級(jí)或重要性級(jí)別。下面從高到出一些優(yōu)先級(jí)::emerg系統(tǒng)不可用crit阻止某個(gè)工具或子系統(tǒng)功能發(fā)揮的一種錯(cuò)誤情況jelT阻止某個(gè)工具或子系統(tǒng)組件功能發(fā)揮的一種錯(cuò)誤情況:warning一個(gè)警告信息info信息性消息none無安全級(jí)}所有優(yōu)先級(jí),除了noneaction字段系統(tǒng)支持的相關(guān)操作。下面列出了一些常見操作:file指定一個(gè)日志文件的絕對(duì)路徑名,消息將被寫入到這個(gè)terminal完全限定的串行或并行設(shè)備說明,消息將被寫入這個(gè)設(shè)@hostname將消息寫入一個(gè)可辨識(shí)的遠(yuǎn)程主機(jī)username將消息發(fā)給指定用戶,木表示所有用戶根據(jù)上面的說明,語句mail．％／var／log／maillog能夠這樣解釋:與電任意安全級(jí)別的消息都將被寫／X．／var／log／maillog文件中。三、實(shí)驗(yàn)環(huán)境安裝Redhat9．0操作系統(tǒng)的計(jì)算機(jī)。四、實(shí)驗(yàn)內(nèi)容任務(wù)一賬戶和口令安全1．查看和添加賬戶(1)在X—Windows窗口中單擊鼠標(biāo)右鍵,選擇”新建終端”,【root@localhostroot]#useraddmylist利用useradd命令新建名為mylist的新賬戶。(2)輸入命令行:【root@localhostroot]#cat／etc／shadow輸入j鍵端L,!簟、{哮÷壤藹,233利用cat查看系統(tǒng)中的賬戶列表,其中一部分列表如下:Icyl:$lSktYiazPESQtTSx3By6chicHU6BM~s90:12761:0:99999:7:::shiyanshi:shiyanshi:12761:0:99999:7:::5:$151vhrLLst$jou6y8bGhljDpsSFz3Y8L／:12762:0:99999:7:::／田IJsu;令切換到新建的mynst賬戶,重復(fù)步驟(2),檢查shadow文件的權(quán)限設(shè)置#安全。設(shè)置安全時(shí),普通用戶mylist應(yīng)沒有查看該系統(tǒng)文件的權(quán)限。在終端中出現(xiàn)如的提示:cat:／etc／shadow:權(quán)限不夠2．添加和更改密碼(1)在終端中輸入:[root@localhostroot]#passwdmylist冀莖箋震器輸入原來密碼即可刪用passwd命令添加或改變?nèi)我庥脩舻淖⒁?系統(tǒng)管理員無需輸入原來密碼即能夠利用命令添邪_戥吸父仕恧用廠’H。隅;但普通用戶只能夠改變自己的密碼。(2)輸入后將依次出現(xiàn)如下提示:Changingpasswordforusermylist·Newpassword:Retypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully．黧‰蒜i謄L黼inux篙翥鬈一蝴一…一典(3)輸入下面的命令,查看系統(tǒng)中是否有用十槿鍘{譬俏女芏削羆爸小瞄于丹乏密碼檢測(cè)模塊:『r00t@10calllostroot]#locatepamcracklib．SOdictIgrepcrack如果有,終端上將有如下的輸出:／lib／security／pam_cracklib．SO／var／www／manual／mod／mod_php4／de／function．crack-closedict·html|Ⅵ氆I(xiàn)f、N、N、N／manual／mod／mod_php4／de／function．crack-opendict·html,v州www／manual／mod／mod舭s／function．cr