中国科学技术大学：《安全操作系统》课程教学资源（PPT课件讲稿）第六讲 主流操作系统中的安全技术——Linux GOS Linux Security

主流操作系统的安全技术 Linux/Unix安全技术 Windows:安全技术 1958 03 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

主流操作系统的安全技术 ❖Linux/Unix安全技术 ❖Windows安全技术

Linux/UNIX安全概述 UNIX >多用户、多任务 >实现了有效的访问控制、身份标识与验证、审计记录 等安全措施 >安全性一般能达到TCSEC的C2级 Linux >一种类UNIX的OS >一个开放式系统 冬本课程：Linux 0 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux/UNIX安全概述 ❖UNIX ➢多用户、多任务 ➢实现了有效的访问控制、身份标识与验证、审计记录 等安全措施 ➢安全性一般能达到TCSEC的C2级 ❖Linux ➢一种类UNIX的OS ➢一个开放式系统 ❖本课程：Linux

Linux/UNIX安全技术 Linux身份验证 必Linux访问控制 冬Linux网络服务安全 冬Linux备份恢复 冬Linux日志系统 1958 Linux内核安全技术 Science and Technoloovor china 安全Linux服务器配置参考 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux/UNIX安全技术 ❖Linux身份验证 ❖Linux访问控制 ❖Linux网络服务安全 ❖Linux备份/恢复 ❖Linux日志系统 ❖Linux内核安全技术 ❖安全Linux服务器配置参考

Linux/UNIX安全技术 冬Linux身份验证 必Linux访问控制 冬Linux网络服务安全 冬Linux备份恢复 冬Linux日志系统 1958 Linux内核安全技术 nooc了 安全Linux服务器配置参考 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux/UNIX安全技术 ❖Linux身份验证 ❖Linux访问控制 ❖Linux网络服务安全 ❖Linux备份/恢复 ❖Linux日志系统 ❖Linux内核安全技术 ❖安全Linux服务器配置参考

Linux:身份标识和验证 。Linux系统的登录过程 必Linux的主要帐号管理文件 ?PAM安全验证机制 大 1958 oivarein of Science and Technol 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux身份标识和验证 ❖Linux系统的登录过程 ❖Linux的主要帐号管理文件 ❖PAM安全验证机制

Linux:身份标识和验证 冬Linux系统的登录过程 Linux的主要帐号管理文件 PAM安全验证机制 大 1958 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux身份标识和验证 ❖Linux系统的登录过程 ❖Linux的主要帐号管理文件 ❖PAM安全验证机制

Linux系统的登录过程 基于用户名和口令 通过终端登录Linux的过程 1. Init进程确保为每个终端连接（或虚拟终端)运行一个getty进程 ,gety进程监听对应的终端并等待用户登录 2. Getty输出一条欢迎信息（此欢迎信息保存在/etc/issue文件中） ,并提示用户输入用户名，接着gety激活login 3.login要求用户输入口令，并根据系统中的etc/passwd文件来检查 用户名和口令的一致性 4.若一致，启动一个shell;否则logini进程推出，进程终止 5. nit进程注意到logini进程终止，则会再次为该终端启动gety进程 /etc/passwd文件用来维护系统中每个合法用户的信息，包括用户登录名、 经过加密的口令、口令时限、用户号UD、用户组号GD、用户主目录以及 用户使用的shel 加密后的口令也可能存放在系统的/etc/shadow文件中 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux系统的登录过程 ❖ 基于用户名和口令 ❖ 通过终端登录Linux的过程： 1. Init进程确保为每个终端连接（或虚拟终端）运行一个getty进程 ，getty进程监听对应的终端并等待用户登录 2. Getty输出一条欢迎信息（此欢迎信息保存在/etc/issue文件中） ，并提示用户输入用户名，接着getty激活login 3. login要求用户输入口令，并根据系统中的etc/passwd文件来检查 用户名和口令的一致性 4. 若一致，启动一个shell；否则login进程推出，进程终止 5. Init进程注意到login进程终止，则会再次为该终端启动getty进程 /etc/passwd文件用来维护系统中每个合法用户的信息，包括用户登录名、 经过加密的口令、口令时限、用户号UID、用户组号GID、用户主目录以及 用户使用的shell 加密后的口令也可能存放在系统的/etc/shadow文件中

Linux:身份标识和验证 。Linux系统的登录过程 必Linux的主要帐号管理文件 冬PAM安全验证机制 1958 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux身份标识和验证 ❖Linux系统的登录过程 ❖Linux的主要帐号管理文件 ❖PAM安全验证机制

Linux的主要帐号管理文件 '☐令文件/etc/passwd >/etc/passwd文件用于存放用户的基本信息 ●每个账户在该文件中有拥有一个相应的条目 1958 >Reading Hacking Linux exposed ch1,p7 &ch9,p284 http://www.aka.org.cn/Lectures/002/Lecture-2.2.1/320.html Science and Technolo 嵌入式系统实验室 EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

Linux的主要帐号管理文件 ❖口令文件/etc/passwd ➢/etc/passwd文件用于存放用户的基本信息 ⚫每个账户在该文件中有拥有一个相应的条目 ➢Reading： ⚫Hacking Linux exposed，ch1，p7；&ch9，p284 ⚫http://www.aka.org.cn/Lectures/002/Lecture-2.2.1/320.html

老版的/etc/passwd举例 jdoe@serverls cat /etc/passwd root:aleGVpwjgvHGg:0:0:root:/root:/bin/bash bin:*1:1:bin:/bin: daemon:*2:2:daemon:/sbin: adm:*:3:4:adm:/var/adm: 1p:*:4:7:1p:/var/spool/1pd: sync:*5:0:sync:/sbin:/bin/sync mail:*8:12 mail:/var/spool/mail: news:*9:13:newg:/var/spool/news: uucp:*10:14:uucp:/var/spool/uucp: gopher:*13:30:gopher:/usr/lib/gopher-data: ftp:*:14:50:FTP User:/home/ftp: nobody:*99:99 Nobody:/ xfs:*100:101:X Funt Server:/etc/X11/fs:/bin/false jdoe:2bTlcMw8zesdw:500:100:John Doe:/home/jdoe:/bin/bash student:9d9WE322:501:100::/home/student:/bin/bash EMBEDDED SYSTEM LABORATORY SUZHOU INSTITUTE FON ADVANCED STUDY OF USTC

老版的/etc/passwd举例