第10章访问控制列表
Linux操作系统案例教程电子教案 第10章 Samba 服务器
2.修改/etc/samba/smb.conf
• 功能: 设置samba服务器选项和共享选项 • 文件格式: #说明语句 //注释行 [global] //定义全局选项 …… 全局参数=值 ……
Sabma服务器 服务器
[homes] //设置共享用户主目录 …… 资源共享参数=值 …… [printers] //设置打印机共享 …… 资源共享参数=值 ……
Sabma服务器 服务器 3)利用testparm命令测试文件配置的正确性 [root@localhost root]# testparm // 测试配置文件的正确 性 Loading smb config files from /etc/samba/smb.conf Processing section “[home]” Loaded services file OK Press enter to see a dump of your server definition Testparm命令执行后如果显示“load services file OK”信息,那么说明 samba服务器的配置文件完全正确,否则将提示出错信息,此时如果按 Enter键将显示详细的配置内容,如下: [global] workgroup=workgroup [homes] Comment=Home Directory read only=no Browseable=no 重新启动服务器
Sabma服务器 服务器
read list =user,@ group 设置只读访问用户列表 write list = user,@group 设置读写访问用户列表 valid users = user,@group 指定允许使用服务的用户列表 Invalid users = user , @group 指定不允许使用服务的用户列表;
第2章-访问控制列表(一)
第2章访问控制列表(一)➢TCP和UDP协议TCP/IP协议族的传输层协议主要有两个:TCP(Transmission ,传输控制协议)和UDP(User Datagram Protocol,用户数据抱协议)。
➢TCP协议TCP是面向连接的、可靠的进程到进程通信的协议。
TCP提供全双工服务,即数据可在同一时间双向传输,每一个TCP都有发送缓存和接受缓存,用来临时存储数据。
1.TCP报文段TCP将若干个字节构成一个分组,叫做报文段(Segment)。
TCP报文段封装在IP数据段中。
首部长度为20-60字节,以下是各个字段的含义:➢源端口:它是16位字段,为发送方进程对应的端口号➢目标端口号:它是16位字段,对应的是接收端的进程,接收端收到数据段后,根据这个端口号来确定把数据送给哪个应用程序的进程。
➢序号:当TCP从进程接收数据字节时,就把它们存储在发送缓存中,并对每一个字节进行编号。
编号的特点如下所述:◆编号不一定从0开始,一般会产尘一个随机数作为第1个字节的编号,称为初始序号(ISN),范围是0~232-1。
◆TCP每一个方向的编号是互相独立的。
◆当字节都被编上号后,TCP就给每一个报文段指派一个序号,序号就是该报文段中第1个字节的编号。
当数据到达目的地后,接收端会按照这个序号把数据重新排列,保证数据的正确性。
➢确认号:确认号是对发送端的确认信息,用它来告诉发送端这个序号之前的数据段都已经收到,比如确认号是X,就是表示前X-1个数据段都已经收到。
➢首部长度:用它可以确定首部数据结构的字节长度。
一般情况下TCP首部是20字节,但首部长度最大可以扩展为60字节。
➢保留:这部分保留位作为今后扩展功能用,现在还没有使用到。
➢控制位:这六位有很重要的作用,TCP的连接、传输和断开都是受六个控制为的指挥。
各位含义如下:◆URG:紧急指针有效位。
(指定一个包快速传送(重要数据优先传送))◆ACK:只有当ACK=1时,确认序列号字段才有效。
10第十章 组网 技术
第10章组网技术★★一台IP交换机由(ATM交换模块)、(IP交换控制器)和(交换机管理协议)。
交换机初始化为每一个物理连接建立一个ATM交换通道,根据源目标地址及端口转发。
交换机分类:1)通过交换方式划分存储转发式交换(Store and Forward)延时大;但可以提供差错校验。
主流用方式。
直通式交换(Cut-through),延迟小,交换快,没有检错能力。
碎片过滤式(Fragment Free),小于64字节就丢弃,大于等于64就转发,用于中低档交换机。
2)根据交换协议层划分第二层交换,根据MAC地址交换。
第三层交换,根据网络层地址(IP地址)交换多层交换:根据第四层端口号或应用协议进行交换。
3)根据交换机结构划分:固定端口交换机; 模块化交换机4)根据配臵方式划分堆叠型交换机:提供堆叠端口,可堆叠4~9层,堆叠后的所有交换机可以当作一台交换机来管理。
非堆叠型交换机:通过级连方式进行扩充,一般不超过4层。
5)根据管理类型划分网管型交换机:支持简单网络管理协议(SNMP)和管理信息库(MIB)。
实现远程配臵,监控,管理。
非网管型交换机:不支持SNMP和MIB,只能根据MAC地址交换。
智能型交换机:基于web图形化管理和MIB-II;提供QoS管理、VPN、用户认证。
接入层交换机:访问控制,低成本高密度接入(用户接入)汇聚层交换机:分组过滤,服务质量(QoS)和速度限制,(ACL)访问控制、组播管理。
(策略控制)核心层交换机:高性能交换机,主干线路,链路冗余,路由冗余,VLAN中继和负载均衡。
(高速转发)交换机一个端口一个冲突域一台一个广播域路由器一个端口一个广播域一口一个冲突域交换机的性能参数:汇聚按24口算接入按23口算encapsulation封装authentication 认证route(config-subif) # encapsulation dot1q 1 指封装类型和接口vlan号持久路由:指保存在注册表中的路由;交换机配臵默认网关在全局模式下配臵;如果配臵一条到某服务器特定路由用4个255全掩码。
《LinuxUNIX系统编程手册》导读
《LinuxUNIX系统编程⼿册》导读本书可以分为以下⼏个部分:1. 背景知识及概念UNIX、C语⾔以及 Linux的历史回顾,以及对UNIX标准的概述:《第1章历史和标准》。
以程序员为对象,对Linux和UNIX的概念进⾏介绍:《第2章基本概念》。
Linux和UNIX系统编程的基本概念:《第3章系统编程概念》。
2. 系统编程接⼝的基本特性⽂件I/O:《第4章⽂件I/O:通⽤的I/O模型》、《第5章深⼊探究⽂件I/O》。
内存分配:《》、《》、《》。
⽤户和组:《第8章⽤户和组》。
时间:《第10章时间》。
系统限制和选项:《第11章系统限制和选项》3. 系统编程接⼝的⾼级特性⽂件IO缓冲:《第13章⽂件I/O缓冲》。
⽂件系统:《第14章⽂件系统》。
⽂件属性:《第15章⽂件属性》。
扩展属性:《第16章扩展属性》。
访问控制列表:《第17章访问控制列表》。
⽬录和链接:《第18章⽬录和链接》。
信号:《第19章监控⽂件事件》、《第20章信号:基本概念》、《第21章信号:信号处理函数》、《第22章信号:⾼级特性》。
定时器:《第23章定时器与休眠》。
4. 进程、程序《》、《第9章进程凭证》、《》、《》、《》、《》、《》、《第34章进程组、会话和作业控制》、《第35章进程优先级和调度》、《第36章进程资源》、《》、《第38章编写安全的特权程序》、《第39章能⼒》、《第40章登录记账》、《第41章共享库基础》、《第42章共享库⾼级特性》。
5. 线程《》、《第30章线程:线程同步》、《第31章线程:线程安全和每线程存储》、《第32章线程:线程取消》、《第33章线程:更多细节》6. 进程间通信(IPC)《》:《第45章 System V IPC介绍》《第51章 POSIX IPC介绍》。
数据传输:《第44章管道和FIFO》、《第46章 System V 消息队列》、《》。
共享内存:《》、《第54章 POSIX 共享内存》。
第10章 SQUID
13
(11)acl 名称 dst IP地址 示例:
acl to_localhost dst 127.0.0.1/255.255.255.255
功能:将目的地址为本机环回地址的IP命名为 to_localhost。 (12)acl 名称 srcdomain 示例:acl mydomain srcdomain 功能:将源域名为的所有主机命名为 mydomain。 说明:此处要用到DNS反向查询,所以速度较慢。
说明:这是一对用来维护缓存不被用完 而又尽量保存更多数据的指令。
9
(5)maximum_object_size 示例:maximum_object_size 4096 KB 功能:设置squid最大缓存的对象为4MB。 说明:squid代理服务器不是任何数据都被缓存 的,默认情况下小于4MB的对象才被保存到缓存目 录中,如果网络较大或缓存目录很大,则可以适当 的提高此值,但是此值不宜过大。 (6)maximum_object_size_in_memory 示例:maximum_object_size 8 KB 功能:设置squid最大保存在内存中的对象为8KB。
说明:此处的url_regex表明后面用的是正则表
达式,可参考本书中第2章有关正则表达式的用 15 法。
(15)acl 名称 urlpath_regex [-i] urlpath 示例:acl theimagefile url_regex -i \.gif$ 功能:将url路径中以.gif结尾的文件命名为 theimagefile (16)acl 名称 time [day] [h1:m1-h2:m2] 示例:acl myworktime time MTWHF 08:00-17:00 功能:将周一到周五8:00~17:00命名为 myworktime
医疗行业远程医疗数据安全方案
医疗行业远程医疗数据安全方案第一章远程医疗数据安全概述 (2)1.1 远程医疗数据安全重要性 (2)1.2 远程医疗数据安全现状分析 (3)1.3 远程医疗数据安全发展趋势 (3)第二章数据加密技术 (4)2.1 对称加密技术 (4)2.2 非对称加密技术 (4)2.3 混合加密技术 (4)第三章身份认证与授权 (5)3.1 用户身份认证 (5)3.1.1 用户注册与审核 (5)3.1.2 多因素认证 (5)3.1.3 认证失败处理 (5)3.2 访问控制策略 (5)3.2.1 基于角色的访问控制(RBAC) (6)3.2.2 基于属性的访问控制(ABAC) (6)3.2.3 访问控制列表(ACL) (6)3.3 权限管理 (6)3.3.1 权限分配 (6)3.3.2 权限变更 (6)3.3.3 权限审计 (6)第四章数据存储与备份 (6)4.1 数据存储安全策略 (6)4.1.1 存储加密 (6)4.1.2 存储访问控制 (7)4.1.3 存储设备安全 (7)4.2 数据备份与恢复 (7)4.2.1 备份策略 (7)4.2.2 备份方法 (7)4.2.3 恢复策略 (7)4.3 数据存储审计 (7)第五章数据传输安全 (8)5.1 传输加密技术 (8)5.2 安全通道建立 (8)5.3 数据完整性验证 (9)第六章数据访问安全 (9)6.1 数据访问控制策略 (9)6.2 数据访问审计 (10)6.3 数据访问异常处理 (10)第七章安全监控与预警 (11)7.1 安全事件监控 (11)7.2 安全漏洞扫描 (11)7.3 预警机制与应急响应 (11)第八章法律法规与合规 (12)8.1 远程医疗数据安全相关法规 (12)8.1.1 国家层面法规 (12)8.1.2 行业层面法规 (12)8.2 数据安全合规要求 (12)8.2.1 数据分类与保护 (12)8.2.2 数据存储与传输 (12)8.2.3 数据访问与权限管理 (13)8.3 法律责任与风险防范 (13)8.3.1 法律责任 (13)8.3.2 风险防范 (13)第九章员工培训与安全意识 (13)9.1 员工数据安全培训 (13)9.1.1 培训目的与意义 (13)9.1.2 培训内容 (13)9.1.3 培训形式与方法 (14)9.2 安全意识培养 (14)9.2.1 安全意识的重要性 (14)9.2.2 安全意识培养措施 (14)9.3 安全文化建设 (14)9.3.1 安全文化建设的目的 (14)9.3.2 安全文化建设措施 (14)第十章远程医疗数据安全评估与改进 (14)10.1 数据安全评估方法 (15)10.1.1 风险评估 (15)10.1.2 安全审计 (15)10.1.3 安全测试 (15)10.2 安全改进策略 (15)10.2.1 加强安全意识培训 (15)10.2.2 完善安全管理制度 (15)10.2.3 强化技术防护措施 (16)10.3 持续优化与更新 (16)10.3.1 定期进行安全评估 (16)10.3.2 跟踪国内外安全发展趋势 (16)10.3.3 加强安全团队建设 (16)第一章远程医疗数据安全概述1.1 远程医疗数据安全重要性信息技术的快速发展,远程医疗作为一种新兴的医疗模式,逐渐成为我国医疗体系的重要组成部分。
信息安全基础知识
信息安全基础知识第一章:安全威胁信息安全是指保护信息系统和数据免受未经授权的访问、使用、披露、破坏或修改的风险。
常见的安全威胁包括:•恶意软件:是指设计用来损害或破坏计算机系统或数据的软件。
•网络攻击:是指通过网络进行的攻击,例如黑客攻击、DDoS攻击等。
•数据泄露:是指未经授权的数据披露或泄露。
•物理安全威胁:是指对信息系统的物理设施或设备的破坏或损害。
图1:安全威胁示意图•恶意软件•网络攻击•数据泄露•物理安全威胁第二章:常用术语解释•防火墙:是指一种网络安全系统,用于控制进出网络的数据流量。
•加密:是指将数据转换为无法读取的格式,以保护数据的机密性。
•访问控制:是指控制谁可以访问信息系统或数据的过程。
•安全审计:是指检查信息系统的安全配置和操作的过程。
第三章:安全措施安全措施是指采取的措施来保护信息系统和数据免受安全威胁。
常用的安全措施包括:•防火墙配置:是指配置防火墙来控制进出网络的数据流量。
•加密技术:是指使用加密算法来保护数据的机密性。
•访问控制列表:是指创建访问控制列表来控制谁可以访问信息系统或数据。
•安全更新和补丁:是指定期更新和补丁信息系统和软件来修复安全漏洞。
图2:安全措施示意图•防火墙配置•加密技术•访问控制列表•安全更新和补丁第四章:案例分析请根据以下案例评估一家公司的信息安全风险。
•公司名称:X公司•信息系统:X公司使用一个基于Web的应用程序来管理客户数据。
•安全风险评估结果:评估结果:•安全风险等级:高•安全建议:配置防火墙、实施加密技术、创建访问控制列表、定期更新和补丁信息系统和软件。
总结本文档提供了信息安全的基础知识,包括安全威胁、常用术语解释、安全措施等内容。
通过阅读本文档,读者将能够深入理解信息安全的核心概念和基础知识,提升对信息安全的理解和能力。
同时,文档中提供了详尽的例子和案例,以便于读者理解。
摘要本文档是关于信息安全基础知识的详尽指南,适合项目经理和工程师阅读理解。
智慧HW数通基础第十章防火墙配置
第十章防火墙及配置.1防火墙介绍现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口。
因此防火墙不但可以保护内部网络在 Internet 中的安全,同时还可以保护若干主机在一个内部网络中的安全。
在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。
而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。
.2网络安全技术.2.1网络安全技术介绍网络安全介绍Quidway 系列路由器提供一个全面的网络安全解决方案,包括用户验证、授权、数据保护等。
Quidway系列路由器所采用的安全技术主要包括:IP地址的一种访问控制验证-对用户进行验证、授权、计费的技术技术-提供一种安全“私有连接”的技术在路由器中,包过滤技术是实现防火墙的最重要的手段。
.2.2IP 包过滤技术介绍IP包过滤介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
而实现包过滤的核心技术是访问控制列表。
包过滤技术主要是设定一定的规则,控制数据包。
路由器会根据设定的规则和数据包的包头信息比较,来决定是否允许这个数据包通过。
实现包过滤技术最核心内容就是访问控制列表。
.2.3 访问控制列表为什么要用访问控制列表?拒绝某些不希望的访问。
访问控制列表具有区分数据包的能力。
用户可以通过 Internet 和外部网络进行联系,网络管理员都面临着一个问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。
为了达到这样的效果,我们需要有一定的规则来定义哪些数据包是“合法”的(或者是可以允许访问),哪些是“非法”的(或者是禁止访问)。
这些规则就是访问控制列表。
访问控制列表(续)为什么要用访问控制列表?(续)访问控制列表按照数据包的特点,规定了一些规则。
计算机网络基础10章-园区网安全
授人以鱼不如授人以渔
ACL工作原理及规则 ACL工作原理及规则
ACL放置在什么位置 ACL放置在什么位置: 放置在什么位置:
宣传教育
授人以鱼不如授人以渔
课程议题
朱明工作室
zhubob@
交换机端口安全
授人以鱼不如授人以渔
交换机端口安全概述
朱明工作室
zhubob@
交换机的端口安全机制是工作在交换机二层端口上的 一个安全特性
只允许特定MAC地址的设备接入到网络中, 只允许特定MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网 地址的设备接入到网络中 络。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。 限制端口接入的设备数量,防止用户将过多的设备接入到网络中。
设置端口从“err-disabled” 设置端口从“err-disabled”状态自动恢复所等待的时间
Switch(conifg)#
errdisable recovery interval time
授人以鱼不如授人以渔
朱明工作室
zhubob@
Switch(conifg-if)#
switchport port-security aging{static | time time }
配置安全地址的老化时间
Switch(conifg-if)#
关闭一个接口的安全地址老化功能( time 关闭一个接口的安全地址老化功能(老化时间为0 no switchport port-security aging老化时间为0)
Switch(conifg-if)# 使老化时间仅应用于动态学习到的安全地址
授人以鱼不如授人以渔
端口安全的配置
Switch(conifg-if)#
第10章 文件系统接口
如下:
FileLock lock(long begin, long end, boolean shared) Shared = true, 共享锁 Shared = false, 排他所
释放锁: FileLock 的Release()。
12
Operating Systems
File 加锁例子 – Java API
26
Operating Systems
目录操作
搜索文件 创建文件 删除文件
列出目录
重命名文件 跟踪文件系统
27
Operating Systems
目录逻辑结构的组织方法
有效:迅速定位文件 命名:方便用户
两个不同的用户的文件名称可以相同 同一文件可以有不同的名称
访问模式:创建,只读,读写,添加等; 打开文件表(Create和Delete除外)
打开文件,并返回指向一个条目的指针。
进程打开文件表:文件指针,存取权限; 系统打开文件表:磁盘位臵,访问日期,文件大 小等。
Close(Fi):将内存中的Fi的内容复制到位于磁 盘上的目录结构中。
9
Operating Systems
一系列代码段,以供装入程序调入内存执行。
4
Operating Systems
文件属性
名称:有些OS区分大小写(如Linux,Unix),有些
不区分(如DOS, Windows) 类型:由OS和程序定义 位臵:指向设备和设备上文件位臵的指针 大小 保护:决定读、写、执行等的访问控制信息 时间、日期和用户标识:文件创建、上次修改和上次 访问都可能有该信息。用于保护、安全和使用跟踪 文件的信息被保存在目录结构中,而目录结构也保存 在外存上
接触网工安全操作规程(3篇)
接触网工安全操作规程一、概述随着互联网的快速发展,网络工程师在企业中扮演着重要的角色。
网络工程师负责企业内网和互联网的架构设计、设备配置、网络维护等工作,因此他们的操作涉及的信息资产安全和系统安全问题尤为重要。
为了保障企业信息安全,制定并遵守网工安全操作规程是必要的。
二、网络设备操作1. 配置管理a. 网络设备的配置文件应进行备份,以便发生故障时能够及时恢复。
备份的文件应存储在安全可靠的地方。
b. 网络设备的配置应加密传输,避免配置信息被窃听和篡改。
c. 配置文件应加密存储,使用强密码进行保护。
2. 设备登录a. 网络设备的登录口令应定期修改,并采用复杂度较高的密码。
b. 禁止将设备登录口令告知他人,不得将密码设置为弱口令(如123456等)。
c. 登录错误时,要进行登录失败判定,并进行相应的警告和阻断。
3. 设备管理a. 禁止网络设备使用默认配置,应对设备进行定期巡检和安全审计。
b. 禁止网络设备的物理连接接口带来攻击风险,如USB接口的使用应受到限制。
三、网络拓扑调整1. 拓扑设计a. 在设计新的网络拓扑时,要根据业务需求和安全要求进行合理的规划。
b. 网络拓扑设计时要考虑安全隔离和风险控制的原则。
2. 拓扑改动a. 在对网络拓扑进行改动时,应进行事先的风险评估和安全审计。
b. 拓扑改动后要及时进行变更记录和文档更新。
四、系统维护与补丁管理1. 系统维护a. 网络设备和服务器的系统软件、硬件等应定期进行维护,保持其正常运行。
b. 对系统维护过程中产生的日志和数据要进行安全保存,以备后续审计。
2. 补丁管理a. 网络设备和服务器的系统补丁应定期进行安装,防止已发现的漏洞被利用。
b. 补丁安装前应进行备份,以避免补丁安装后发生不可预料的问题。
五、网络流量监测与分析1. 流量监测a. 对网络中的流量进行实时监测,及时发现异常流量。
b. 对高风险的流量进行阻断,确保网络安全。
2. 流量分析a. 对网络流量进行定期分析,发现异常行为和攻击行为。
IP访问控制列表
S0
S0
?
N
是否允许 ?
N
Y
IP ACL的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时,最终的缺省规则是拒绝所 有数据包通过
按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、 时间段进行匹配
规则匹配原则
从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的“允许/拒绝……”
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
√
ISPBiblioteka 访问列表访问控制列表的作用:
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
2.
出栈应用(out)
• 设备从某接口向外发送数据时进行安全规则过滤
一个接口在一个方向只能应用一组访问控制列表
IN OUT
F1/0
F1/1
访问列表的入栈应用
查找路由表 进行选路转发
是否应用 访问列表 ?
Y
N
是否允许 ?
N
Y
以ICMP信息通知源发送方
访问列表的出栈应用
Y 路由表中是 否存在记录
选择出口 S0 查看访问列表 的陈述 是否应用 N 访问列表 ?
一个访问列表多条过滤规则
是否匹配 规则条件1
Y? N
Y
拒绝 拒绝
Y 规则条件2 Y
?
是否匹配
允许 允许
N
拒绝
Y 是否匹配 Y
计算机网络基础10章-园区网安全
园区网安全威胁与挑战
01
02
03
技术更新迅速
网络安全技术日新月异, 要求企业不断跟进和学习。
攻击手段多样化
攻击者采用的手段不断翻 新,防御难度加大。
法规与合规要求
企业需要遵守越来越多的 网络安全法规和合规要求。
园区网安全目标与原则
保密性
确保敏感信息不被未经授权的人员获 取。
完整性
防止数据在传输或存储过程中被篡改 。
可以减少备份时间和存储空间的需求。
03
灾难恢复计划
灾难恢复计划是指在发生自然灾害、人为破坏等严重事件时,能够快速
恢复系统和数据的计划。该计划应包括备份数据的存储、恢复流程、测
试演练等内容。
05
园区网应用安全防护
Web应用安全防护措施
输入验证
对所有用户输入进行严格的验证,防止SQL 注入、跨站脚本等攻击。
数据存储加密技术
磁盘加密技术
通过对磁盘上的数据进行加密,防止数 据被非法访问或窃取。常见的磁盘加密 技术包括BitLocker、FileVault等。
文件加密技术
通过对文件进行加密,保护文件内容的机密 性。常见的文件加密技术包括AES、DES等 对称加密算法和RSA等非对称加密算法。
数据库加密技术
物联网设备的普及使得网络安全边界 不断扩大,如何确保这些设备的安全 性成为关键问题。
国际合作与法规
随着网络攻击跨国化趋势的加剧,国 际合作和共同制定网络安全法规变得 愈发重要。
THANKS
感谢观看
园区网安全目标与原则
可用性
确保网络服务在需要时可用,不受干扰或中断。
可控性
对网络资源和访问进行有效控制和管理。
凝思安全操作系统 V6.0.80 用户手册说明书
凝思安全操作系统V6.0.80用户手册北京凝思软件股份有限公司目 录产品概述 (1)关于本书 (6)文档约定 (6)术语简介 (8)如何使用本书 (11)第1章 登录和注销 (12)1.1 登录 (12)1.1.1 从桌面登录 (14)1.1.1.1 桌面的使用 (15)1.1.1.2 控制会话 (16)1.1.1.3 锁定屏幕 (17)1.1.2 从控制台登录 (18)1.2 文档和帮助 (19)1.3 注销 (21)1.3.1 从桌面注销 (21)1.3.2 从控制台注销 (22)第2章 系统基本使用 (23)2.1 Bash 简介 (23)2.1.1 命令 (23)2.1.2 文件和目录 (23)2.1.3 Bash 功能 (26)2.1.4 指定路径 (26)2.1.5 通配符 (26)2.1.6 less和more (27)2.1.7 管道 (27)2.1.8 存档和数据压缩 (28)2.2 用户和访问控制 (30)2.2.1 文件系统权限 (31)2.2.2 修改文件权限 (32)2.2.3 setuid位 (33)2.2.4 setgid位 (34)2.2.5 粘滞位 (34)2.2.6 自主访问控制 (34)2.2.6.1 访问控制列表 (36)2.3 重要的 Linux 命令 (39)2.3.1 文件命令 (39)2.3.2 系统命令 (43)第3章 分区与文件系统 (47)3.1 磁盘分区 (47)3.1.1 命令行分区工具——parted (47)3.1.1.1 parted基本用法 (47)3.1.1.2 创建分区表 (47)3.1.1.3 查看磁盘分区情况 (48)3.1.1.4 添加分区 (48)3.1.1.5 删除分区 (48)3.1.2 图形分区工具——gparted (48)3.1.2.1 启动gparted程序 (49)3.1.2.2 gparted程序首界面 (50)3.1.2.3 创建分区表 (51)3.1.2.4 添加分区 (53)3.1.2.5 删除分区 (57)3.2 文件系统 (59)3.2.1 创建文件系统 (59)3.2.2 修复文件系统 (59)3.3 磁盘阵列RAID (61)3.3.1 创建RAID (61)3.3.2 关闭RAID (62)3.4 逻辑卷管理LVM (63)3.4.1 基本命令介绍 (63)3.4.2 逻辑卷创建 (64)3.4.3 逻辑卷扩容 (65)3.4.4 删除逻辑卷 (65)第4章 中文支持 (66)4.1 多语言环境支持 (66)4.2 字符编码与中文字体 (67)4.3 输入法 (70)第5章 系统管理 (71)5.1 关闭或重新启动系统 (71)5.1.1 关闭系统 (71)5.1.2 重启系统 (71)5.2 初始化设置 (72)5.2.1 设备驱动模块配置 (72)5.2.2 profile文件 (72)5.2.3 issue文件 (74)5.3 系统配置 (75)5.3.1 fstab文件 (75)5.4 挂载和卸载 (77)5.4.1 挂载 (77)5.4.2 卸载 (77)5.5 系统监控 (78)5.6 数据备份与恢复 (80)5.6.1 数据备份的重要性 (80)5.6.2 工具名称 (80)5.6.3 工具安装 (80)5.6.4 备份与恢复策略 (80)5.6.4.1 完全备份 (80)5.6.4.2 增量备份 (81)5.6.4.3 差异备份 (82)5.6.5 工具参数 (83)5.6.6 功能演示 (84)第6章 软件包管理 (86)6.1 软件包管理机制 (86)6.1.1 软件包概述 (86)6.1.2 软件包命名约定 (86)6.1.3 维护脚本 (86)6.1.4 软件包优先级 (87)6.1.5 软件包依赖关系 (88)6.2 软件包管理工具 (89)6.2.1 常用的包管理工具 (89)6.2.2 dpkg (89)6.2.3 apt (89)6.2.3.1 设置软件源 (89)6.2.3.2 apt-get (90)6.2.3.3 apt-cache (90)6.2.4 aptitude (91)6.2.4.1 介绍 (91)6.2.4.2 aptitude安装 (92)6.2.5 安装软件包 (92)第7章 用户管理 (94)7.1 添加用户 (94)7.2 删除用户 (94)7.3 添加用户组 (95)7.4 删除用户组 (95)7.5 将用户添加到用户组 (95)7.6 将用户从用户组中删除 (96)7.7 改变用户当前所在组 (96)7.8 修改用户口令 (96)7.9 修改用户口令时限 (98)7.10 修改用户信息 (100)7.11 修改口令文件 (101)7.12 定义鉴别阈值 (103)第8章 网络管理 (104)8.1 网络参数配置 (104)8.1.1 interfaces文件 (104)8.1.2 resolv.conf文件 (105)8.1.3 hostname文件 (106)8.1.4 services文件 (106)8.1.5 hosts.allow文件 (108)8.1.6 hosts.deny文件 (108)8.1.7 host.conf文件 (109)8.1.8 ifconfig命令 (110)8.2 网络服务 (115)8.2.1 Apache (117)8.2.1.1 简介 (117)8.2.1.2 配置文件 (117)8.2.1.3 配置文件参数 (118)8.2.1.4 日志 (142)8.2.1.5 参考信息 (148)8.2.2 BIND (148)8.2.2.1 简介 (148)8.2.2.2 配置文件 (148)8.2.2.3 配置文件参数 (148)8.2.2.4 参考信息 (152)8.2.2.5 日志 (152)8.2.3 Samba (152)8.2.3.1 简介 (152)8.2.3.2 配置文件 (152)8.2.3.3 配置文件参数 (153)8.2.3.4 日志 (160)8.2.3.5 参考信息 (160)8.2.4 SSH (160)8.2.4.1 简介 (160)8.2.4.2 配置文件 (160)8.2.4.3 配置文件参数 (160)8.3 bonding (166)8.3.1 参数说明 (166)8.3.1.1 参数列表 (166)8.3.2 bonding模式 (168)8.3.3 配置bonding (170)8.3.3.1 操作系统及环境 (170)8.3.3.2 配置文件 (171)第9章 日志与审计 (173)9.1 日志管理 (173)9.1.1 查看系统日志 (173)9.1.2 查看用户信息 (173)9.2 安全审计 (173)9.2.1 审计守护进程 (175)9.2.1.1 环境配置文件 (175)9.2.1.2功能配置文件 (175)9.2.2 审计规则配置程序 (182)9.2.2.1 参数详解 (182)9.2.2.2 用法举例 (186)9.2.2.3 注意事项 (187)9.2.3 审计规则配置文件 (187)9.2.4 审计日志分析工具 (187)9.2.4.1 报表生成工具 (187)9.2.4.2 日志搜索工具 (187)9.2.5 审计分发程序 (188)9.2.6 审计系统附加功能 (188)9.2.7 审计系统设置 (188)第10章 凝思安全机制 (189)10.1 安全模块 (189)10.1.1 安全模块的参数 (189)10.1.2 安全模块的加载与卸载 (191)10.2 强制访问控制(Mandatory Access Control) (192)10.2.1 功能简介 (194)10.2.1.1 安全标签 (194)10.2.1.2 主体标签 (194)10.2.1.3 客体标签 (195)10.2.1.4 规则 (195)10.2.1.5 MAC配置基本流程 (196)10.2.2 规则说明 (196)10.2.3 配置文件 (197)10.2.4 配置工具 (198)10.2.5 功能演示 (199)10.2.6 调试方法 (206)10.3 网络标签 (207)10.3.1 功能简介 (207)10.3.2 配置文件 (208)10.3.3 标签使能 (209)10.3.4 规则说明 (209)10.3.4.1 在网络环境中的主客体定义 (209)10.3.4.2 网络请求接受的条件定义 (209)10.3.4.3 标签网络环境必要条件 (209)10.3.4.4 收/发数据包的细节 (209)10.3.4.5 TCP/UDP连接的区别 (210)10.3.5 功能演示 (210)10.3.6 案例展示 (214)10.3.7 调试方法 (217)10.4 强制行为控制(Mandatory Behavior Control) (220)10.4.1 功能简介 (220)10.4.2 规则说明 (221)10.4.3 配置工具 (223)10.4.4 功能演示 (224)10.4.5 调试方法 (224)10.5 强制能力控制(Mandatory Capability Control) (226)10.5.1 功能简介 (230)10.5.1.1 线程的能力 (230)10.5.1.2 文件的能力 (231)10.5.2 规则说明 (231)10.5.3 配置工具 (232)10.5.4 功能演示 (234)10.5.5 调试方法 (235)10.6 分权管理员 (237)10.6.1 管理员职责 (237)10.6.2 功能演示 (240)10.7 无root系统运行 (241)第11章 开发 (242)11.1 开发环境 (242)11.1.1 java开发环境 (242)11.1.2 C开发环境 (243)11.1.3 C++开发环境 (244)11.1.4 Python开发环境 (245)11.1.5 Perl开发环境 (245)11.1.6 Shell开发环境 (246)11.1.7 Php开发环境 (247)11.1.8 Tcl/tk开发环境 (248)11.2 开发工具 (249)11.2.1 eclipse (249)11.2.2 kdevelop (249)11.2.3 emacs (250)11.2.4 qtcreater (251)第12章 常见问题解答 (253)附录A 文件和目录 (262)A.1 / (263)A.2 /etc (265)A.3 /dev (267)A.4 /usr (267)A.5 /var (268)A.6 /proc (269)产品概述凝思安全操作系统(以下简称为“凝思系统”)是北京凝思软件股份有限公司自主研发、拥有完全自主知识产权、具备等保四级要求、并且达到军B级安全级别的操作系统,是国内首家达到安全服务器保护轮廓EAL3级别的安全产品。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 为扩展访问列表设置表项参数,有点复杂.
Router(config-if)#ip access-group access-list-number
{in | out}
• 在接口上启动这个扩展访问列表 • 尽可能将扩展访问控制列表应用在靠近源地址的位置
扩展访问列表范例1:拒绝FTP通信4.0 到子网 172.16.3.0的FTP流量通过 E0. 因为FTP服务可以很容易地通过配置到别的端口来实现,因此拒 绝21,20端口仅仅是心理安慰罢了,不能从根本上保证服务的拒绝.
使用Named(命名)IP访问列表
Router(config)#ip access-list {standard | extended} name
检查ACL的表项条目
wg_ro_a#show {protocol} access-list {access-list number}
wg_ro_a#show access-lists {access-list number}
Router(config-if)#ip access-group access-list-number {in | out}
在接口上启动访问列表 可以设定入站和出站的方向 缺省 = outbound no ip access-group access-list-number 从接口上移除访问列表
• Name:是由字母数字串组成的名字,比使用号码表示ACL来的直观;并且 不受号码范围的限制.
Router(config {std- | ext-}nacl)#{permit | deny} {ip access list test conditions} {permit | deny} {ip access list test conditions} no {permit | deny} {ip access list test conditions}
不能对列表中的条目重新排序和移除.
使用no access-list number移除整个访问列表. 例外: 命名访问列表可以移除单个表项条目,但无法重新排 序.
对于任何表项条目都不匹配的,IOS默认为拒绝所有.
除非在访问列表的结束位置用明确的permit语句允许.
检查ACL的应用
wg_ro_a#show ip interfaces e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>
如何识别标准和扩展访问列表
标准IP访问列表 (1-99):只使用源地址信息来做过滤决定. 扩展IP访问列表(100-199): 可以根据源和目的IP地址、协议类型、 源和目的端口等信息综合作出过滤决定. 延伸的标准IP访问列表编号:1300-1999. 延伸的扩展IP访问列表编号:2000-2699. 其他的访问列表号码用来进行其他二层或三层网络协议的过滤。 命名的IP访问控制列表:以列表名代替列表编号来定义IP访问控制 列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式 相似。
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 4 Router(config-line)#access-class 50 in
使用扩展访问控制列表对分组实施过 滤
扩展IP访问列表配置
Router(config)#access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
标准IP访问列表的配置
Router(config)#access-list access-list-number {permit | deny | remark} source [mask]
• • • •
逐一设定IP标准访问列表中的表项 IP标准访问列表的表号使用 1 to 99 缺省的通配符掩码 = 0.0.0.0(也就是说,当你不写通配符掩码的时候) no access-list access-list-number 移除整个ACL,编号方式的ACL不 能删除具体的表项只能全部删除,这点要格外注意。 • IP标准访问控制列表尽可能应用在靠近目的地址的位置
步骤1: 为ACL设定判断语句 ,注意从严格到不严格的顺序,即 将最频繁使用的 ACL 条目放在列表顶部。
Router(config)#access-list access-list-number {permit | deny} {test conditions}
步骤2: 把做好的ACL映射到接口上,因为最终ACL的执行 需要接口来完成。
ACLs的放置位置
每个 ACL 都应该放置在最能发挥作用的位置。 基本的规则是:
将扩展 ACL 尽可能靠近要拒绝流量的源。这样, 才能在不需要的流量流经网络之前将其过滤掉. 因为标准 ACL 不会指定目的地址,所以其位置应 该尽可能靠近目的地.
使用标准访问列表对分组实施过滤
访问列表命令概述
标准IP访问列表范例1:允许一个源的通 信流量通过
• 本例的ACL只允许源网络地址172.16.0.0的那些通信流量 通过,而阻塞其他所有的通信流量。
标准IP访问列表范例2:拒绝一个特定主 机的通信流量
• 要求设计一个ACL,以便阻塞来自一个特定主机172.16.4.13 的流量,而把所有其他的流量从E0接口发送出去.
访问控制列表的类型
• 标准访问列表(standard access lists)
– 只检查分组的源地址信息 – 允许或拒绝的是整个协议栈,不区分流量类型,如 WWW、Telnet、UDP等
• 扩展访问列表(extended access lists)
– 可以同时检查源和目的地址信息 – 可针对于三层或四层协议信息进行控制,是目前使用 非常广泛的安全控制方法。
编辑命名 ACLs
从 Cisco IOS 软件第 12.3 版开始,命名 IP ACL 允许删除指定 ACL 中的具体条目. 可以使用序列号将语句插入命名 ACL 中的任何 位置。
访问列表的配置原则
访问列表中表项的顺序是至关重要的.
推荐: 在PC中使用文本编辑器创建访问列表的表项, 然后剪 切并粘贴到路由器的配置文件中. 访问列表是从上至下的顺序处理的,要牢记 要把最严谨的表项放在最前面,防止产生错误.
Router(config-if)#{protocol} access-group access-list-number {in | out}
标准IP访问列表 (1-99) 扩展IP访问列表 (100-199) 标准IP访问列表 (1300-1999) (延伸的范围) 扩展IP访问列表 (2000-2699) (延伸的范围)
创建标准命名 ACLs
图中显示了创建标准命名 ACL 的步骤.
Step 1.进入全局配置模式,使用 ip access-list 命令创建命名 ACL。ACL 名 称是字母数字,必须唯一而且不能以数字 开头. Step 2.在命名 ACL 配置模式下,使用 permit 或 deny 语句指定一个或多个条件, 以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式.
访问列表配置指南
在路由器的全局配置模式下创建ACL。 指定一个访问列表的表号,1-99表示标准ACL;100-199 表示扩展访问列表,不到必要的时候,不要使用扩展的列 表号码. 每接口、每协议、每方向只能有一个访问列表。 在ACL中,你输入列表条目的顺序就是IOS测试的顺序。 记住:把最严格的条目写在最上面,并且注意好判断语句 之间的逻辑顺序,防止出错。 ACL的最后一行语句默认是拒绝所有,此条目并不显示, 所以要非常注意。你要根据实际情况,添加相应的允许 (permit)语句。 在把ACL映射到接口之前先做好这个ACL,否则就全部拒 绝。 ACL对穿越路由器和到达路由器的流量起作用,对来自路 由器本身的流量不起作用。
标准IP访问列表范例3:拒绝一个特定 子网的通信流量
• 要求设计一个ACL,以便阻塞一个特定子网172.16.4.0的流 量,而允许其他所有的通信流量,并把他们从E0接口转发出去