單元1系統(tǒng)性能和安全

1、單元1—系統(tǒng)性能和安全,目標(biāo)以服務(wù)形式提供系統(tǒng)資源從原則角度討論安全性從實(shí)際操作角度討論安全性 安全策略：用戶安全策略：系統(tǒng)響應(yīng)策略 系統(tǒng)錯(cuò)誤和違例 對(duì)錯(cuò)誤進(jìn)行分析的方法 錯(cuò)誤分析：假說(shuō) 對(duì)錯(cuò)誤進(jìn)行分析的方法（續(xù)）錯(cuò)誤分析

2、：收集數(shù)據(jù)系統(tǒng)監(jiān)控的益處網(wǎng)絡(luò)監(jiān)控工具,聯(lián)網(wǎng)，本地視圖聯(lián)網(wǎng)，遠(yuǎn)程視圖文件系統(tǒng)分析 典型的可疑權(quán)限監(jiān)控進(jìn)程進(jìn)程監(jiān)控工具報(bào)告系統(tǒng)活動(dòng)根據(jù)賬戶管理進(jìn)程系統(tǒng)日志文件syslogd 和 klogd 的配置日志文件分析結(jié)束 單元 1,目標(biāo),學(xué)習(xí)了本單元后，你應(yīng)該能夠：● 理解系統(tǒng)性能和安全的目標(biāo)● 描述安全域● 描述系統(tǒng)錯(cuò)誤● 解釋系統(tǒng)錯(cuò)誤分析方法● 解釋維護(hù)系統(tǒng)狀態(tài)的益處● 描述聯(lián)網(wǎng)資源● 描述貯

3、存數(shù)據(jù)的資源● 描述進(jìn)程資源● 描述日志文件分析,以服務(wù)形式提供系統(tǒng)資源,● 計(jì)算機(jī)體系由各種“角色”組成 ● 提供服務(wù)的系統(tǒng) ● 請(qǐng)求服務(wù)的系統(tǒng)● 系統(tǒng)體系由各種“角色”組成 ● 提供服務(wù)的進(jìn)程 ● 請(qǐng)求服務(wù)的進(jìn)程● 處理體系由各種“角色”組成 ● 提供服務(wù)的賬戶 ● 接受服務(wù)的賬戶● 作為保護(hù)系統(tǒng)安全的策略，系統(tǒng)資源及其使用必須要被逐項(xiàng)記錄,從原則角度討論安全性,

4、● 安全領(lǐng)域 ● 物理 ● 本地 ● 遠(yuǎn)程 ● 人事,從實(shí)際操作角度討論安全性,● 從設(shè)計(jì)目標(biāo)上講，系統(tǒng)提供可用資源● 從策略上講，系統(tǒng)保留可用資源● 只提供您必須提供的服務(wù)，只提供個(gè)必需的用戶 ● “我需要提供這個(gè)服務(wù)嗎？我知道自己在提供它嗎？” ● “他們需要這個(gè)服務(wù)嗎？他們知道這個(gè)服務(wù)的存在嗎” ● “系統(tǒng)行為和它的歷史記錄一致嗎？” ● “我有沒(méi)

5、有應(yīng)用所有相關(guān)的安全更新？”● 監(jiān)控系統(tǒng)資源的安全弱點(diǎn)和不良性能,安全策略：用戶,● 管理用戶活動(dòng) ● 包括安全策略的維護(hù)● 誰(shuí)負(fù)責(zé)什么？● 關(guān)于假警報(bào)，誰(shuí)做最后的決定？● 什么時(shí)候通知警方？,安全策略：系統(tǒng),● 管理系統(tǒng)活動(dòng)● 定期系統(tǒng)監(jiān)控 ● 在外部服務(wù)器上記載日志，以防萬(wàn)一系統(tǒng)泄密 ● 使用 logwatch 來(lái)監(jiān)控系統(tǒng)日志 ● 監(jiān)控輸入和輸出的帶寬用量● 定期備份系統(tǒng)數(shù)據(jù),響應(yīng)

6、策略,● 假定可疑的系統(tǒng)是不值得信任的 ● 不要運(yùn)行來(lái)自可以系統(tǒng)的程序 ● 用可信的介質(zhì)引導(dǎo)，校驗(yàn)是否有破環(huán)之處 ● 分析遠(yuǎn)程記錄器的日志和“本地”日志 ● 根據(jù)只讀的備份 RPM 數(shù)據(jù)庫(kù)來(lái)檢查文件的完整性● 為機(jī)器制作一份系統(tǒng)映像，進(jìn)行進(jìn)一步的分析和證據(jù)收集● 重新安裝機(jī)器，從備份中恢復(fù)數(shù)據(jù),系統(tǒng)錯(cuò)誤和違例,● 都會(huì)影響系統(tǒng)性能● 系統(tǒng)性能關(guān)系到系統(tǒng)安全 ● 系統(tǒng)錯(cuò)誤會(huì)生出體系空

7、擋 ● 體系空擋會(huì)給另類資源訪問(wèn)提供可乘之機(jī) ● 另類資源訪問(wèn)機(jī)會(huì)會(huì)導(dǎo)致無(wú)法記錄的資源訪問(wèn) ● 無(wú)法記錄的資源訪問(wèn)時(shí)違反安全策略的行為,對(duì)錯(cuò)誤進(jìn)行分析的方法,● 判斷問(wèn)題的性質(zhì)● 再現(xiàn)出錯(cuò)過(guò)程● 查找進(jìn)一步信息,錯(cuò)誤分析：假說(shuō),● 形成一系列假說(shuō)● 挑選一個(gè)假說(shuō)來(lái)證明● 測(cè)試假說(shuō),對(duì)錯(cuò)誤進(jìn)行分析的方法 （續(xù)）,● 記錄結(jié)果，若有必要建立或測(cè)試新的假說(shuō)● 如果簡(jiǎn)單的假說(shuō)沒(méi)有產(chǎn)生有建設(shè)性的結(jié)果，就需要

8、進(jìn)一步分析問(wèn)題,錯(cuò)誤分析：收集數(shù)據(jù),● strace ● tail –f ● syslog 的 *.debug● 應(yīng)用程序中的 –debug 選項(xiàng),系統(tǒng)監(jiān)控的益處,● 系統(tǒng)性能和安全可以通過(guò)定期系統(tǒng)監(jiān)控來(lái)維護(hù)● 系統(tǒng)監(jiān)控包括: ● 網(wǎng)絡(luò)監(jiān)控和分析 ● 文件系統(tǒng)監(jiān)控 ● 進(jìn)程監(jiān)控 ● 日志文件分析,網(wǎng)絡(luò)監(jiān)控工具,● 網(wǎng)絡(luò)接口（ip） ● 顯示系統(tǒng)中可用的網(wǎng)絡(luò)接口● 端口掃描器（n

9、map） ● 顯示系統(tǒng)中的可用服務(wù)● 數(shù)據(jù)包嗅探器（tcpdump、wireshark） ● 保持和分析所有“嗅探”系統(tǒng)式看得到的網(wǎng)絡(luò)流量,聯(lián)網(wǎng)，本地視圖,● ip 工具 ● 被初始化腳本調(diào)用 ● 比 ifconfig 命令的功能更強(qiáng)大● 使用 netstat –ntaupe 來(lái)獲取一下列表： ● 活躍的網(wǎng)絡(luò)服務(wù)器 ● 建立的連接,聯(lián)網(wǎng)，遠(yuǎn)程視圖,● nmap 報(bào)告在對(duì)遠(yuǎn)程

10、連接開(kāi)放的端口上的活躍服務(wù) ● 具備高級(jí)掃描選項(xiàng) ● 提供遠(yuǎn)程 OS 檢測(cè) ● 在小型或大型子網(wǎng)中掃描● 沒(méi)有被掃描系統(tǒng)管理員的書(shū)面許可，不要使用該程序 ！● 帶有圖形化前端（nmapfe）,文件系統(tǒng)分析,● 定期文件系統(tǒng)監(jiān)控能夠防止 ● 用盡系統(tǒng)資源 ● 缺乏訪問(wèn)控制導(dǎo)致的安全違例● 文件系統(tǒng)監(jiān)控應(yīng)該包括： ● 數(shù)據(jù)完整性掃描 ● 檢查可疑文件● 工具：df

11、、du,典型的可疑權(quán)限,● 沒(méi)有已知用戶的文件可能代表未經(jīng)授權(quán)的訪問(wèn)： ● 查找不屬于 /etc/passwd 文件中列出的用戶或組群的文件和目錄： find / \( -nouser –o -nogroup)● 帶有“其它（other）”寫(xiě)權(quán)限（o+w）的文件或目錄可能代表有潛在問(wèn)題 ● 查找可被“其它”用戶寫(xiě)入的文件: find / -type f –perm -002 ●

12、 查找可被“其它”用戶寫(xiě)入的目錄： find / -type d –perm -2,監(jiān)控進(jìn)程,● 監(jiān)控進(jìn)程來(lái)決定： ● 性能降低的原因 ● 是否有正在執(zhí)行的可疑進(jìn)程● 監(jiān)控工具 ● top ● gnome-system-monitor ● sar,進(jìn)程監(jiān)控工具,● top ● 實(shí)時(shí)查看處理器活動(dòng) ● 交互地終止（kill）進(jìn)程或重設(shè)其優(yōu)先級(jí)（ren

13、ice） ● 查看系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)，總數(shù)或累計(jì)數(shù)據(jù)● 圖形化（GUI）系統(tǒng)監(jiān)控工具 ● gnome-system-monitor:GNOME的進(jìn)程、CPU、和內(nèi)存監(jiān)控器 ● kpm：KDE平臺(tái)中的 top 命令,報(bào)告系統(tǒng)活動(dòng),● 定時(shí)報(bào)告，超時(shí) ● cron 命令大量產(chǎn)生sa1 和 sa2 ● sar 讀取和生成“可讀”的日志● 通常用來(lái)對(duì)性能進(jìn)行微調(diào) ● 更準(zhǔn)確的統(tǒng)計(jì)數(shù)據(jù)

14、 ● 二進(jìn)制“數(shù)據(jù)庫(kù)”采集方法 ● 定期 ● 模式的存在跡象表明哪些活動(dòng)屬于“正?！被顒?dòng),根據(jù)賬戶管理進(jìn)程,● 使用 PAM 來(lái)在賬戶資源上設(shè)置控制會(huì)限制 ● pam_access.so 可以被用來(lái)按賬戶和位置來(lái)限制訪問(wèn) ● pam_time.so 可以被用按照日期和時(shí)間來(lái)限制訪問(wèn) ● pam_limits.so 可以被用來(lái)限制進(jìn)程可用的資源,系統(tǒng)日志文件,● 為

15、什么要監(jiān)控日志文件？● 要監(jiān)控哪些日志？● 日志記錄服務(wù)： ● 許多守護(hù)進(jìn)程都將信息發(fā)送給 syslogd 命令 ● 內(nèi)核信息由 klogd 命令處理,syslogd 和 klogd 的配置,● 在 /etc/syslog.conf 配置 syslogd 和 klogd● 語(yǔ)法： facility.prioritylog_location● 示例： mail.info /dev/tty8