单元1系统性能和安全.pptx

1、单元单元1系统性能和安全系统性能和安全目标目标以服务形式提供系统资源以服务形式提供系统资源从原则角度讨论安全性从原则角度讨论安全性从实际操作角度讨论安全性从实际操作角度讨论安全性 安全策略：用户安全策略：用户安全策略：系统安全策略：系统响应策略响应策略 系统错误和违例系统错误和违例 对错误进行分析的方法对错误进行分析的方法 错误分析：假说错误分析：假说 对错误进行分析的方法（续）对错误进行分析的方法（续）错误分析：收集数据错误分析：收集数据系统监控的益处系统监控的益处网络监控工具网络监控工具联网，本地视图联网，本地视图联网，远程视图联网，远程视图文件系统分析文件系统分析 典型的可疑权限典型的可

2、疑权限监控进程监控进程进程监控工具进程监控工具报告系统活动报告系统活动根据账户管理进程根据账户管理进程系统日志文件系统日志文件syslogd 和和 klogd 的配置的配置日志文件分析日志文件分析结束结束 单元单元 1目标目标学习了本单元后，你应该能够：学习了本单元后，你应该能够：理解系统性能和安全的目标理解系统性能和安全的目标 描述安全域描述安全域 描述系统错误描述系统错误 解释系统错误分析方法解释系统错误分析方法 解释维护系统状态的益处解释维护系统状态的益处 描述联网资源描述联网资源 描述贮存数据的资源描述贮存数据的资源 描述进程资源描述进程资源 描述日志文件分析描述日志文件分析以服务形式

3、提供系统资源以服务形式提供系统资源 计算机体系由各种计算机体系由各种“角色角色”组成组成 提供服务的系统提供服务的系统 请求服务的系统请求服务的系统 系统体系由各种系统体系由各种“角色角色”组成组成 提供服务的进程提供服务的进程 请求服务的进程请求服务的进程 处理体系由各种处理体系由各种“角色角色”组成组成 提供服务的账户提供服务的账户 接受服务的账户接受服务的账户 作为保护系统安全的策略，系统资源及其使用必作为保护系统安全的策略，系统资源及其使用必须要被逐项记录须要被逐项记录从原则角度讨论安全性从原则角度讨论安全性 安全领域安全领域 物理物理 本地本地 远程远程 人事人事从实际操作角度讨论安

4、全性从实际操作角度讨论安全性 从设计目标上讲，系统提供可用资源从设计目标上讲，系统提供可用资源 从策略上讲，系统保留可用资源从策略上讲，系统保留可用资源 只提供您必须提供的服务，只提供个必需只提供您必须提供的服务，只提供个必需的用户的用户 “我需要提供这个服务吗？我知道自己在提供它吗？我需要提供这个服务吗？我知道自己在提供它吗？”“他们需要这个服务吗？他们知道这个服务的存在吗他们需要这个服务吗？他们知道这个服务的存在吗”“系统行为和它的历史记录一致吗？系统行为和它的历史记录一致吗？”“我有没有应用所有相关的安全更新？我有没有应用所有相关的安全更新？”监控系统资源的安全弱点和不良性能监控系统资源

5、的安全弱点和不良性能安全策略：用户安全策略：用户 管理用户活动管理用户活动 包括安全策略的维护包括安全策略的维护 谁负责什么？谁负责什么？关于假警报，谁做最后的决定？关于假警报，谁做最后的决定？什么时候通知警方？什么时候通知警方？安全策略：系统安全策略：系统 管理系统活动管理系统活动 定期系统监控定期系统监控 在外部服务器上记载日志，以防万一系统泄密在外部服务器上记载日志，以防万一系统泄密 使用使用 logwatch 来监控系统日志来监控系统日志 监控输入和输出的带宽用量监控输入和输出的带宽用量 定期备份系统数据定期备份系统数据响应策略响应策略 假定可疑的系统是不值得信任的假定可疑的系统是不值

6、得信任的 不要运行来自可以系统的程序不要运行来自可以系统的程序 用可信的介质引导，校验是否有破环之处用可信的介质引导，校验是否有破环之处 分析远程记录器的日志和分析远程记录器的日志和“本地本地”日志日志 根据只读的备份根据只读的备份 RPM 数据库来检查文件的完整性数据库来检查文件的完整性 为机器制作一份系统映像，进行进一步的为机器制作一份系统映像，进行进一步的分析和证据收集分析和证据收集 重新安装机器，从备份中恢复数据重新安装机器，从备份中恢复数据系统错误和违例系统错误和违例 都会影响系统性能都会影响系统性能 系统性能关系到系统安全系统性能关系到系统安全 系统错误会生出体系空挡系统错误会生出

7、体系空挡 体系空挡会给另类资源访问提供可乘之机体系空挡会给另类资源访问提供可乘之机 另类资源访问机会会导致无法记录的资源访问另类资源访问机会会导致无法记录的资源访问 无法记录的资源访问时违反安全策略的行为无法记录的资源访问时违反安全策略的行为对错误进行分析的方法对错误进行分析的方法 判断问题的性质判断问题的性质 再现出错过程再现出错过程 查找进一步信息查找进一步信息错误分析：假说错误分析：假说 形成一系列假说形成一系列假说 挑选一个假说来证明挑选一个假说来证明 测试假说测试假说对错误进行分析的方法对错误进行分析的方法（续）（续）记录结果，若有必要建立或测试新的假说记录结果，若有必要建立或测试新

8、的假说 如果简单的假说没有产生有建设性的结果，如果简单的假说没有产生有建设性的结果，就需要进一步分析问题就需要进一步分析问题错误分析：收集数据错误分析：收集数据 strace tail f syslog 的的*.debug 应用程序中的应用程序中的 debug 选项选项系统监控的益处系统监控的益处 系统性能和安全可以通过定期系统监控来系统性能和安全可以通过定期系统监控来维护维护 系统监控包括系统监控包括:网络监控和分析网络监控和分析 文件系统监控文件系统监控 进程监控进程监控 日志文件分析日志文件分析网络监控工具网络监控工具 网络接口（网络接口（ip）显示系统中可用的网络接口显示系统中可用的网

9、络接口 端口扫描器（端口扫描器（nmap）显示系统中的可用服务显示系统中的可用服务 数据包嗅探器（数据包嗅探器（tcpdump、wireshark）保持和分析所有保持和分析所有“嗅探嗅探”系统式看得到的网络流量系统式看得到的网络流量联网，本地视图联网，本地视图 ip 工具工具 被初始化脚本调用被初始化脚本调用 比比 ifconfig 命令的功能更强大命令的功能更强大 使用使用 netstat ntaupe 来获取一下列表：来获取一下列表：活跃的网络服务器活跃的网络服务器 建立的连接建立的连接联网，远程视图联网，远程视图 nmap 报告在对远程连接开放的端口上的报告在对远程连接开放的端口上的活跃

10、服务活跃服务 具备高级扫描选项具备高级扫描选项 提供远程提供远程 OS 检测检测 在小型或大型子网中扫描在小型或大型子网中扫描 没有被扫描系统管理员的书面许可，不要使用该没有被扫描系统管理员的书面许可，不要使用该程序程序！带有图形化前端（带有图形化前端（nmapfe）文件系统分析文件系统分析 定期文件系统监控能够防止定期文件系统监控能够防止 用尽系统资源用尽系统资源 缺乏访问控制导致的安全违例缺乏访问控制导致的安全违例 文件系统监控应该包括：文件系统监控应该包括：数据完整性扫描数据完整性扫描 检查可疑文件检查可疑文件 工具：工具：df、du典型的可疑权限典型的可疑权限 没有已知用户的文件可能代

11、表未经授权的没有已知用户的文件可能代表未经授权的访问：访问：查找不属于查找不属于/etc/passwd 文件中列出的用户或组文件中列出的用户或组群的文件和目录：群的文件和目录：find/(-nouser o-nogroup)带有带有“其它（其它（other）”写权限（写权限（o+w）的文件或目录可能代表有潜在问题的文件或目录可能代表有潜在问题 查找可被查找可被“其它其它”用户写入的文件用户写入的文件:find/-type f perm-002 查找可被查找可被“其它其它”用户写入的目录：用户写入的目录：find/-type d perm-2监控进程监控进程 监控进程来决定：监控进程来决定：性能

12、降低的原因性能降低的原因 是否有正在执行的可疑进程是否有正在执行的可疑进程 监控工具监控工具 top gnome-system-monitor sar进程监控工具进程监控工具 top 实时查看处理器活动实时查看处理器活动 交互地终止（交互地终止（kill）进程或重设其优先级（）进程或重设其优先级（renice）查看系统的统计数据，总数或累计数据查看系统的统计数据，总数或累计数据 图形化（图形化（GUI）系统监控工具）系统监控工具 gnome-system-monitor:GNOME的进程、的进程、CPU、和内存监控器、和内存监控器 kpm：KDE平台中的平台中的 top 命令命令报告系统活动报

13、告系统活动 定时报告，超时定时报告，超时 cron 命令大量产生命令大量产生sa1 和和 sa2 sar 读取和生成读取和生成“可读可读”的日志的日志 通常用来对性能进行微调通常用来对性能进行微调 更准确的统计数据更准确的统计数据 二进制二进制“数据库数据库”采集方法采集方法 定期定期 模式的存在迹象表明哪些活动属于模式的存在迹象表明哪些活动属于“正常正常”活动活动根据账户管理进程根据账户管理进程 使用使用 PAM 来在账户资源上设置控制会限制来在账户资源上设置控制会限制 pam_access.so 可以被用来按账户和位置来限制访可以被用来按账户和位置来限制访问问 pam_time.so 可以

14、被用按照日期和时间来限制访问可以被用按照日期和时间来限制访问 pam_limits.so 可以被用来限制进程可用的资源可以被用来限制进程可用的资源系统日志文件系统日志文件 为什么要监控日志文件？为什么要监控日志文件？要监控哪些日志？要监控哪些日志？日志记录服务：日志记录服务：许多守护进程都将信息发送给许多守护进程都将信息发送给 syslogd 命令命令 内核信息由内核信息由 klogd 命令处理命令处理 syslogd 和和 klogd 的配置的配置 在在/etc/syslog.conf 配置配置 syslogd 和和 klogd 语法：语法：facility.prioritylog_location 示例：示例：mail.info /dev/tty8日志文件分析日志文件分析 应该定期执行应该定期执行 安装安装 logwatch，并由，并由 crond 每小时运每小时运行一次来报告可能出现的问题行一次来报告可能出现的问题 在寻找异常情况时，在寻找异常情况时，logwatch 使用使用“否否定定”列表列表 丢弃所有正常的信息丢弃所有正常的信息 分析剩下的信息分析剩下的信息结束结束 单元单元 1 答疑答疑 总结总结 答疑答疑 上机准备上机准备 课程目标课程目标 序列序列 参考答案参考答案 若需帮助，请向知道老师咨询若需帮助，请向知道老师咨询