安全操作系统考试材料.docx
《安全操作系统考试材料.docx》由会员分享,可在线阅读,更多相关《安全操作系统考试材料.docx(26页珍藏版)》请在冰点文库上搜索。
安全操作系统考试材料
1、Windows2000的访问控制过程图(大题):
2.PAM安全验证机制,组成(大题):
PAM是由Sun提供的一种认证机制,为更有效的身份验证方法的开发提供了便利,在此基础上可以很容易的开发出替代常规的用户名加口令的身份验证方法。
目的:
提供一个框架和一套编程接口,将认证工作由程序员交给管理员
允许管理员在多种认证方法之间做出选择,
能够改变本地认证方法而不需要重新编译与认证相关的应用程序
以共享库的形式提供
组成:
PAMAPI
PAMSPI
PAM库
PAM配置文件
(首先是调入相应的认证模块,然后通过所有认证模块(PAM配置文件)所遵循的统一应用程序接口(PAMSPI)与相应的认证模块交互,认证模块将认证的结果传递给PAMLIB(PAM核心库),然后返回给服务程序。
)
3.当init进程开始时,首先在daemon_d域中启动(大题)
对writeable_t中的任何客体,能创建c、读取r、写入w和搜d
对sysbin_t中的任何客体,能够读取r、搜索d和执行x
对generic_t,readable_t,dte_t中的任何客体,能够读取和搜索
当init进程调用登录程序时,登录程序自动转换到login_d域中
表示为:
当init程序开始的时候,它首先在此域中启动,它能够创建(c)、读取(r)、写入(w)和搜索(d)型writable_t中的任何客体,也能够读取、搜索和执行(x)型sysbin_t中的任何客体,还能够读取和搜索型generic_t,readable_t和dte_d域中,概括如下:
domaindaemon_d=(/sbin/init),
(crwd->writable_t),
(rxd->sysbin_t),
(rd->generic_t,dte_t,readable_t),
(auto->login_d);
另外:
策略要求只有自身为管理员的主体(属于d_admin域)才可以“写”系统的可执行文件(属于型sysbin_t)。
管理员使用普通Unix命令解释程序来实现这一过程。
admin_d域中的主体只能创建在generic_t型中的客体,但是可以读、写、执行和搜索任何客体。
另外,admin_d域中的主体还能够利用sigtstp的信号将在d_deamon域中执行的进程挂起(suspeng)表示如下:
domainadmin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),
(crwxd->generic_t),
(rwxd->readable_t,writable_t,dte_t,sysbin_t),
(sigtstp->daemon_d);
还有:
普通用户域(user_d)也必须收到类似的约束,在该域中,用户只能“写”writable_t型的客体,只能运行sysbin_t型的客体,只能创建generic_t型的客体;但只能读、搜索所有的型的客体;表示如下:
domainuser_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh),
(crwxd->generic_t),
(rxd->sysbin_t),
(crwd->writable_t),
(rd->readable_t,dte_t);
以及:
登录域(login_d)控制对用户域(user_d)和管理域(admin_d)的访问,这种控制是登陆域的唯一功能,该域的主体不能执行任何其他程序。
登录域同时也被授予更改用户ID的权限(因此具有setauch的权限),因此对于登录域的访问严格的受到login程序的限制,表示如下:
domainlogin_d=(/usr/bin/login),
(crwd->writable_t),
(rd->readable_t,generic_t,dte_t),
setauth,
(exec->user_d,admin_d);
为日志文件定义一个新的型log_t,只有daemon_d的主体和新加的log_d的主体才能更改系统日志,一旦daemon_d域的进程调用了syslogd进程,syslogd进程就能进入log_d域。
此时syslogd进程可以操纵系统日志,可以读写日志,但不能访问系统可执行文件,如果一个用户(user_d)想要操作一个日志客体,请求将造拒绝。
这里是因为user_d域并没有赋予其主体对log_t客体的访问权限;表示如下:
domaindaemon_d=(/sbin/init),
(crwd->writable_t),
(rxd->readable_t),
(rd->generic_t,dte_t,sysbin_t),
(auto->login_d,log_d);
domainlog_d=(/usr/sbin/syslogd),
(crwd->log_t),
(rwd->writable_t),
(rd->generic_t,readable_t);
assign-rlog_t/usr/var/log;
assignwritable_t/usr/var/log/wtmp,/usr/var/log/utmp
5、环、段(大题):
段:
每个数据区或程序被称为一个段。
环:
一个环就是一个进程在其中执行的一个区域。
在环上执行程序:
6、自主访问控制实现:
主体
(Subject)
客体(Object)
File1
File2
File3
Sunny
Own/Read/Write
Read
Write
Clone
Read
Own/Read/Write
Read
Richard
Read
Write
Own/Read/Write
访问控制矩阵示例
访问控制表能力列表
名称
优点
缺点
访问控制表
通过查询一个客体的ACL,系统“引用监视器”很容易判断试图访问该客体的主体是否有相应的权限。
同时也很容易撤销所有主体对一客体的所有权限,只需要将该客体的ACL列表设为空即可。
基于ACL的系统中要判断一主体所拥有的所有权限是很困难的事情,这必须要遍历系统中所有客体,然后组成该主体所拥有的访问权限的集合
能力列表
很容易查出某一主体在此系统中所拥有的所有权限
要判定所有的主体中,有哪些主体能够访问某一特定的客体就很困难了,这就需要遍历系统中所有主体的能力列表
7、基于安全标签的强制访问控制机制:
7解析:
安全级别:
系统用来保护该信息的程度。
敏感标签:
客体的安全级别的在外表示,系统利用此敏感性标签来判定一进程是否拥有对此客体的访问权限。
许可级别(进程的安全级别):
当前进程(主体)的安全级别用来评定此进程对信息的访问程度。
许可标签:
当前进程的外在表表示系统利用进程的安全级别来判定此进程是否拥有对要访问的信息的相应权限。
基于主客体安全标签的强制访问控制机制,一进程(主体)要想访问客体,其许可标签必须具备:
1)若想对客体有写权限,主体的安全级别(安全等级+范畴)必须被客体的安全级别支配。
(主体安全等级<=客体的安全级别主体的范畴<=客体的范畴)2)若想要对客体具有读权限,主体的安全级别必须支配支配客体的安全级别。
(主体安全等级>=客体的安全级别主体的范畴>=客体的范畴)
8、
3.对于一个具体的访问控制策略,若具有全局性和永久性,则其标签集合在数学上必会形成“偏序关系”(partialorder)
支配关系:
“≥”满足偏序关系的两个元素x和y,只可能存在3种关系:
x≥y;或者y≥x;或者无关:
即x和y不可比
偏序关系的特征:
反自身性:
x≥x反对称性:
若x≥y并且y≥x,则x=y传递性:
若x≥y并且y≥z,则x≥z
为保持全局性和永久性,标签的选择不能随便
4.TCSEC中,将访问支持策略分为6类(名字解释见书)
Identification&authentication,标识与鉴别Accountability,可记账性,Assurance,确切保证
5.DTEL策略将进程分为7个域
守护进程域(daemon_d)、可信域(trusted_d)、注册域(login_d)、普通用户域(user_d)、系统操作用户域(system_d)、管理域(admin_d)、网络应用域(network_appli_d)
6.DTEL将Unix系统分为4个相互隔离的主体域
user_d:
普通用户域
admin_d:
管理员用户域
login_d:
兼容DTE认证过程的域
daemon_d:
系统后台守护进程的域
当init进程开始时,首先在daemon_d域中启动
对writeable_t中的任何客体,能创建c、读取r、写入w和搜索d
对sysbin_t中的任何客体,能够读取r、搜索d和执行x
对generic_t,readable_t,dte_t中的任何客体,能够读取和搜索
当init进程调用登录程序时,登录程序自动转换到login_d域中
7.ACL分类(填空);访问ACL,缺省ACL
8.ACL的保存:
基本ACL,扩展ACL
9.ACL操作命令(填空):
getfacl - 取得文件的ACL信息;setfacl - 设置文件的ACL信息
10.Linux自主访问控制基本思想:
(1)系统内的每一个主体(用户或代表用户组进程)都有一个唯一的用户号(uid),并且总是属于一个用户组,而每一个用户组有惟一的组号;
(2)系统对每一个客体的访问主体区分为客体的属主(u)、客体的属组(g)以及其他用户(o),而对每一个客体的访问模式区分为读(r)、写(w)和执行(x),所有这些信息构成一访问控制矩阵;(3)当用户访问客体时,根据进程的uid、gid和文件的访问控制信息检查访问的合法性;(4)为维护系统的安全性,对于某些客体,普通用户不应具有某访问权限,但是由于某种需要,用户又必须能超越对这些客体的受限访问。
11.访问支持策略分为六类:
标识与鉴别,可记账性,确切保证,连续保护,客体重用,隐蔽信道处理。
12策略语言:
是用来表达安全性或完整性策略的语言。
是用来表达安全性或完整性策略的语言。
13自主访问控制策略:
用来判定一个用户是否有权限访问客体的一种访问约束机制,该客体的拥有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权限。
强制访问控制:
用于将系统中的信息分密级和范畴进行管理,保证每个用户只能够访问那些被标明能够由他访问的信息的一种访问约束机制。
14隐蔽信道:
可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道;
有隐蔽存储信道、隐蔽时间通道这两类。
15安全审计的异常状况的处理:
(1)切换到审计文件控制结构中设定的备用文件系统,继续审计;
(2)关闭审计系统;(3)关闭整个系统。
16.WindowsNT的安全模型包括5个主要部分:
登录(WinLogon);本地安全认证子系统(LSA);msv1_0;安全帐户管理器(SAM);NTLANManager(NTLM)
17.Windows安全性组件:
安全引用监视器,SRM;本地安全认证LSA;LSA策略数据库;安全帐号管理器服务;SAM数据库;默认身份认证包;登录进程;网络登录服务
18.安全操作系统研究与开发工作划分为4个时期(填空):
奠基时期;食谱时期;多策略时期;动态策略时期
19.隐藏子目录:
目的:
实现对/tmp等共享目录的支持;进程要访问共享目录时,在共享子目录下建立对应的隐藏子目录,隐藏子目录的安全等级与进程的安全等级相等,进程实际访问到的是隐藏子目录,而不是表面上的共享目录
隐藏子目录的存在是动态的,访问前建立,访问后删除;对用户透明
20.TCB在TCSEC中的定义:
一个计算机系统中的保护机制的全体,它们共同负责实施一个安全策略,它们包括硬件、固件和软件;一个TCB由在一个产品或系统上共同实施一个统一的安全策略的一个活多个组件构成。
21.访问控制策略针对前两个方面分类:
反映系统的机密性和完整性要求
确立相应的访问规则以控制对系统资源的访问
22.访问支持策略:
针对后两个方面分类
反映系统的可记账性要求和可用性要求
支持访问控制策略
23.客体重用:
重新分配给某些主体的介质包含有一个或多个客体,为达到安全的重新分配这些资源的目的,这些资源在重新抚平给新的主体时不能包含任何残留信息,即防止在系统中的介质在被重新分配时,确保曾经在介质中存放过的信息不会泄露给新的主体
24.权能:
可以看成是对象的保护名
权能性质:
(1)权能是对象在系统范围使用的名字,在整个系统范围内是唯一的;
(2)权能必须包含一部分,决定了该权能允许的对以它命名的对象的访问权(3)权能只能由系统特殊的底层部分来创建,权能不允许修改。
权能组成部分:
用于标识对象的标识符;定义对象类型的域;定义访问权的域。
权能系统的局限性:
由于系统允许权能的持有者控制这种权能的直接遗传,导致基于权能的机制不能很好地适合提供策略的可变通性;如何在一个基于权能系统中解决支持多层安全策略的问题。
权能体系的优点如下:
(1)权能为访问对象和保护对象提供了一个统一的、不可旁路的方法;
(2)权能与层次设计方法是非常协调的,权能促进了机制与策略的分离。
25.安全操作系统的设计方法:
分层设计,环结构设计
26.安全操作系统开发的三种方法:
虚拟机法,改进/增强法,仿真方法
(1)虚拟机法缺点:
由于对虚拟机的依赖,局限性太大
(2)改进/增强法:
优点:
代价小;用户接口不变;效率变化不大
缺点:
受GOS的限制;难达B3
(3)仿真法:
缺点:
工作量大;围绕安全策略,仿真困难
27.最小特权管理思想是:
将系统原有的超级用户的特权划分为一组细粒度的特权,分别授给不同的系统操作员/管理员,使各种系统管路员/操作员只具有完成其任务所需的特权。
最小特权的流行实现方法:
基于角色的管理模型(RBAC)
28.访问控制的基本概念:
主体(subject)是访问操作中的主动实体;客体(objective)是访问操作中的被动实体
访问矩阵(accessmatrix)是以主体为行索引、以客体为列索引的矩阵,使用M表示
矩阵中第i行第j列的元素使用Mij表示,表示主体Si可以对客体Oj进行的一组访问方式
29.访问控制项ACE=SID或GSID+访问掩码
1.30.自主访问控制机制:
标明计算机系统内的用户和由此用户发起的进程对系统内给定信息的访问许可。
通常在系统中实现。
强制访问控制:
用于将系统中的信息分密级和范畴进行管理,保证每个用户只能够访问那些被标明能够由他访问的信息的一种访问约束机制。
。
31.最显著的特征:
全局性和永久性;无论何时何地,主体和客体的标签是不会改变的。
全局性:
对特定的信息,从任何地方访问,它的敏感级别相同
永久性:
对特定的信息,在任何时间访问,它的敏感级别相同;上述特征在多级安全体系中称为“宁静性原则”。
32.可信计算基:
一个计算机系统中的保护机制的全体,他们共同负责实施一个安全策略,它们包括硬件、固件和软件;一个TCB由在一个产品或系统上共同实施一个统一的安全策略的一个或多个组件构成。
TCB设计和实现:
配置管理、分发和操作、开发指导性文档、生命周期支持、测试、脆弱性评定。
TCB自身安全保护:
TSF保护,资源利用,TCB访问
33.用户标识:
用来标明用户的身份,确保用户在系统中的惟一性和可辨别性,一般用户名称和用户标示符来标明系统的一个用户。
34.用户鉴别:
用特定的信息对用户身份的真实性进行确认。
35、
36、安全操作系统的开发
从两个方面进行:
安全功能、安全保证
十项安全功能:
标识与鉴别、自主访问控制、标记、强制访问控制、客体重用、审计、数据完整性、可信路径、隐通道分析、可信恢复
三个方面的安全保证:
TCB自身保护、TCB设计和实现、TCB安全管理
----------------------------------------------------------------------------------------------------------------------
2.最小特权原则:
系统中每个主体只拥有和其操作相符的所要求的必需的最小特权集。
3.隐蔽信道:
允许进程以危害系统安全策略的方式传输信息的通信信道。
分为:
存储隐通道和时间隐通道
4.标识与审计:
用于保证只有合法用户才能进入系统进而访问系统中的资源。
5.审计跟踪:
是系统活动的流水记录。
6.客体重用:
客体重用指在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销客体所含信息的所有授权。
当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
用户标识:
用来标明用户的身份,确保用户在系统中的唯一性和可辨识性,一般用名称和用户标识符(UID)来标明系统中的一个用户。
7.ActiveDirectory活动目录:
Windows创建的目录服务,采用结构化的数据存储方式存储有关网络对象的信息,为用户管理网络环境各个组成要素的标识提供一个强有力的手段。
11.chmod命令用来重新设定对客体的访问权限
chown命令用来修改某个文件或目录的属主
chgrp命令用来修改某个文件或目录的用户组
12.TCB的组成:
操作系统的安全内核
具有特权的程序和命令
处理敏感信息的程序,如系统管理命令等
与TCB实施安全策略有关的文件
其他有关的固件、硬件和设备
负责系统管理的人员
保障固件和硬件正确的程序和诊断软件
13.Linux系统的登录过程:
1)Init进程确保为每个终端连接(或虚拟终端)运行一个getty进程,getty进程监听对应的终端并等待用户登录
2)Getty输出一条欢迎信息(此欢迎信息保存在/etc/issue文件中),并提示用户输入用户名,接着getty激活login
3)login要求用户输入口令,并根据系统中的etc/passwd文件来检查用户名和口令的一致性
4)若一致,启动一个shell;否则login进程推出,进程终止
5)Init进程注意到login进程终止,则会再次为该终端启动getty进程
14.权能的一般概念:
权能具有如下性质:
权能是对象在系统范围使用的名字,在整个系统范围内是唯一的。
权能必须包含一部分,决定了该权能允许的对以它命名的对象的访问权。
权能只能由系统特殊的底层部分来创建,权能不允许修改。
权能组成部分:
用于标识对象的标识符。
定义对象类型的域。
定义访问权的域。
14.强制访问控制策略最显著的特征:
全局性和永久性
无论何时何地,主体和客体的标签是不会改变的。
全局性:
对特定的信息,从任何地方访问,它的敏感级别相同
永久性:
对特定的信息,在任何时间访问,它的敏感级别相同
上述特征在多级安全体系中称为“宁静性原则”
15安全访问策略:
1)访问控制策略:
反映系统的机密性和完整性要求
确立相应的访问规则以控制对系统资源的访问
2)访问支持策略:
反映系统的可记账性要求和可用性要求
支持访问控制策略
16.NT设计目标:
TCSEC标准的C2级。
17.石文昌在《安全操作系统研究的发展》中将1967~2001年中的安全操作系统研究与开发工作划分为4个时期:
(填2个)
奠基时期:
1967年Adept-50项目启动后。
食谱时期:
1983年美国TCSEC标准颁布后。
多策略时期:
1993以后,超越TCSEC,在操作系统中实现多种安全策略。
动态策略时期:
1999后,安全操作系统支持多种安全策略的动态变化,实现安全策略的多样性。
18、偏序关系的特征:
反自身性:
x≥x
反对称性:
若x≥y并且y≥x,则x=y
传递性:
若x≥y并且y≥z,则x≥z
19.DTE策略把所有的进程分为如下7个域:
守护进程域daemon_d、可信域trustd_d、注册域login_d、用户域user_d、系统操作用户域system_d、管理域admin_d、网络应用域network_appli_d。
(划线的为可以转到其他域的)
20.安全操作系统的开发三个方面的安全保证:
TCB自身安全保护:
TSF保护、资源利用、TCB访问
TCB设计和实现:
配置管理、分发和操作、开发指导性文档、生命周期支持、测试、脆弱性评定
TCB安全管理:
22.宁静性原则:
在强制访问控制策略中,无论何时何地,主客体标签不会改变,既有全局性也有永久性。
23.PAM功能:
加密口令;对用户进行资源限制,防止DOS攻击;允许随意Shadow口令;设定特定用户在指定地点登录;使支持C/S应用中的机器、
24.windows安全性组件:
安全引用监视器SRM;本地安全认证LSA;LSA策略数据库;安全账户管理器服务;SAM数据库;默认身份认证包;登录进程;网络登录服务。
1.以下不属于NTFS文件系统安全的项目是( )
D.安全的备份
2.以下哪一项是属于一个拒绝服务攻击()
A.一个能够阻止合法用户访问服务器和服务的攻击
3.在NTFS文件系统中。
一个共享文件夹的共享权限和NTFS权限发生了冲突。
以下说法正确的是( )
B.系统会认定最少的权限
4.WINDOWSNT操作系统适用于哪种安全等级()
D.C2
5.在Windows2000中,要将TELNET的NTLM值设成2用以提示管理员远程用户将尝试连接。
应该输入什么命令( )
C.TLNTADMN
6.Windows2000的本地安全数据库存储在( )
B.%systemroot%\winnt\system32\config
7.下面WINDOWSNT的SID正确的是()
D.S-1-2-34-5678901234-5678901234-567
8.TELNET是一个准许一个用户利用一个远程计算机进行工作的程序,默认作用的TCP端口是( )
B.23
9.下面哪一项注册表分支包含计算机信息()
A.HKLM
10.在Windows2000中网络管理员利用注册表不可以( )
D.删除应用程序
11.在Windows2000中BackupOperators组能够( )
A.备份所有的用户文件,包括该文件明确指定BackupOperaters组拒绝访问
12.缺省情况下以下什么组可以删除打印机()
A.PowerUsers
13.你公司使用一个代理服务器连接到INTERNET,要使所有用户都不能访问这个不安全的WEB站点,你应该( )
C.在代理服务器里把屏蔽
14.被动审核是指( )
B.简单地记录活动,但不做任何事情
15.DAVID是Sales组和MANAGER组的成员,他尝试访问C:
\DESK这个目录下的文件,他已经被授予了读权限,Sales组被授予了完全控制权限,MANAGER组被授予了禁止访问权限,下面哪种是对DAVID起作用的权限()
D.NOACCESS
16.以下不属于Windows2000中的安全组件的是
C.备份
17.在Windows2000个人版中,可以定义用户是否能从网络登录的管理单元是:
C.本地安全策略
18.在Linux下,用户的密码文件存储在
升级会员 