第8讲 文件加密与系统审计 第4章：操作系统基础安全性 第5部分/共5部分

本讲内容 主题：文件加密与系统审计 教材内容： 第4.9节：加密文件系统 第4.10节：系统行为审计 © 2009 电子工业出版社

文件加密 为什么要加密？ 文件加密方法： 以开源的eCryptfs为例讨论文件系统加密方法。 文件离开操作系统的控制范围也不泄漏内容。 单个文件加密 整个磁盘加密 文件系统加密（目录树加密） 以开源的eCryptfs为例讨论文件系统加密方法。 © 2009 电子工业出版社

文件系统树型结构示例 / vmunix bin etc dev usr passwd passwd hosts local lib © 2009 电子工业出版社

文件系统的安装思想 安装点 文件系统B 文件系统A © 2009 电子工业出版社

目录树与文件系统的关系 一棵（子）目录树可能对应一个文件系统 安装点 文件系统B 文件系统A © 2009 电子工业出版社

面向目录树的文件系统加密 定义加密安装点，并安装待加密目录树。 安装：mount -t ecryptfs /d1 /d2 安装目录树 安装：mount -t ecryptfs /d1 /d2 卸载：umount /d1 创建5个文件：/d2/f0, /d2/d4/f1, /d2/d4/f2, /d2/d4/f3, /d2/d4/f4 © 2009 电子工业出版社

正常的文件加密和解密 明文 明文 密文 密文 经加密安装点，写文件时加密。 经加密安装点，读文件时解密。 © 2009 电子工业出版社

读写文件时的异常情况 不经加密安装点，写文件时不加密。 不经加密安装点，读文件时不解密。 明文 密文 明文 密文 © 2009 电子工业出版社

消除文件访问不一致性的方法 使加密安装点与目录树顶点重合。 mount -t ecryptfs /d1 /d1 加密安装点 目录树顶点 © 2009 电子工业出版社

虚拟文件系统支持多文件系统共存 硬盘上的Ext3 虚拟文件系统 cp(1) U盘上的NTFS © 2009 电子工业出版社

虚拟文件系统支持统一操作示例 /tmp/test cp 虚拟文件系统 Ext3 NTFS /usb/test inf = open(“/usb/test”,O_RDONLY,0); outf = open(“tmp/test”, O_WRONLY|O_CREAT|O_TRUNC,0600); do { i = read(inf,buf,4096); write(outf,buf,i); } while (i); close(outf); close(inf); 虚拟文件系统 Ext3 NTFS /tmp/test /usb/test © 2009 电子工业出版社

从用户空间到物理介质的数据流 文件系统的 write( ) sys_write( ) write 操作 用户空间 虚拟文件系统 文件系统 © 2009 电子工业出版社

堆叠式文件系统的思想 在现有文件系统之上叠加一层新的机制，为文件系统增加新的功能。 应用程序 虚拟文件系统 堆叠层 Ext3 NTFS © 2009 电子工业出版社

eCryptfs的基本结构和原理 © 2009 电子工业出版社

经由加密安装点的文件读写处理 明文 密文 © 2009 电子工业出版社

Ext2文件系统分区及块组的布局 引导块 第0号块组 第n号块组 数据块位图 i-节点位图 i-节点表 超级块 组描述符 数据块 1 块 y 块 z 块 文件属性 文件数据 © 2009 电子工业出版社

eCryptfs的文件加密思路 把文件数据划分成数据块（页），对这些数据块加密，并添加加密相关的描述信息，作为头部信息，置于文件的前部。 解密文件（eCryptyfs文件） 第 0 号解密页 第 1 号解密页 第 2 号解密页 加密文件（低层文件） RFC2440Tag3和Tag11包 文件大小 eCryptfs标记 第 0 号加密页 第 1 号加密页 第 2 号加密页 标志 把文件数据划分成数据块（页），对这些数据块加密，并添加加密相关的描述信息，作为头部信息，置于文件的前部。 Tag3和Tag11分别是密钥信息及其标识信息。 © 2009 电子工业出版社

eCryptfs的文件加密思路 添加的头部信息 原有数据部分 解密文件（eCryptyfs文件） 第 0 号解密页 第 1 号解密页 第 2 号解密页 添加的头部信息 原有数据部分 加密文件（低层文件） RFC2440Tag3和Tag11包 文件大小 eCryptfs标记 第 0 号加密页 第 1 号加密页 第 2 号加密页 标志 把文件数据划分成数据块（页），对这些数据块加密，并添加加密相关的描述信息，作为头部信息，置于文件的前部。 Tag3和Tag11分别是密钥信息及其标识信息。 © 2009 电子工业出版社

eCryptfs对文件加密过程 ...... ...... 文件 页 页 页 页 初始化向量 文件加密密钥 密码运算API © 2009 电子工业出版社

eCryptfs的加密/解密处理 明文文件视图 密文文件视图 © 2009 电子工业出版社

文件加密密钥 文件加密密钥 get_random_bytes() 密码运算API 文件 密码运算API EFEK 文件加密密钥的 加密密钥 (FEKEK) 文件加密密钥 get_random_bytes() 密码运算API 文件 密码运算API EFEK © 2009 电子工业出版社

文件加密密钥的加密密钥(FEKEK) = 认证令牌 用户安装目录树到加密安装点时提供 口令 MD5 运算 65535 次 口令 || 盐值 盐值 密钥环 认证令牌 文件加密密钥的加密密钥(FEKEK) = 认证令牌 © 2009 电子工业出版社

认证令牌标识符 MD5 运算 认证令牌 密钥环 FEKEK 标识符 定位 © 2009 电子工业出版社

大自然给我们的启示 当它们从这里走过时，沙滩记录它们的足迹。---- 审计 © 2009 电子工业出版社

大自然让我们去联想 从这个场景看，这里曾发生过什么？---- 审计分析 © 2009 电子工业出版社

系统运行时留下的足迹 来自UNIX系统的/var/log/messages日志文件。 ...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost=61.135.170.110 user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 来自UNIX系统的/var/log/messages日志文件。 © 2009 电子工业出版社

系统运行足迹的基本构成 生成日志的日期和时间 生成日志的计算机名称 生成日志的服务名称 进程号 日志正文 ...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost=61.135.170.110 user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 生成日志的服务名称 进程号 日志正文 © 2009 电子工业出版社

系统运行足迹的含意 摘选了4条记录： 记录1：网络启动成功（面向本机）。 记录2：网络启动成功（面向网卡）。 记录3：FTP认证失败。 ...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost=61.135.170.110 user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 摘选了4条记录： 记录1：网络启动成功（面向本机）。 记录2：网络启动成功（面向网卡）。 记录3：FTP认证失败。 记录4：alice成功变为root身份。 © 2009 电子工业出版社

系统记录的典型足迹有哪些？ 这是UNIX系统中/var/log目录下的典型日志文件，记录典型的日志信息。 © 2009 电子工业出版社

常用syslog审计服务系统的结构 由四个主要部分构成：syslogd日志处理守护进程、配置文件、日志文件和syslog函数库。 © 2009 电子工业出版社

审计配置文件的结构 /etc/syslog.conf *.err;kern.debug;auth.notice /dev/console daemon,auth.notice /var/log/messages auth.* root,wenchang © 2009 电子工业出版社

审计配置文件的结构 /etc/syslog.conf *.err;kern.debug;auth.notice /dev/console daemon,auth.notice /var/log/messages auth.* root,wenchang 审计信息源 审计信息目的地 审计事件紧迫级别 审计事件产生者 © 2009 电子工业出版社

审计事件的紧迫级别 © 2009 电子工业出版社

审计事件的产生着 © 2009 电子工业出版社

审计配置信息示例 auth.* @sise.ruc.edu.cn authpriv.* @loghost mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker © 2009 电子工业出版社

审计配置信息示例--目的地说明 auth.* @sise.ruc.edu.cn authpriv.* @loghost mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker 远程主机名 通过管道传给进程 所有用户 远程主机别名 允许信息缓冲(不立刻写日志) © 2009 电子工业出版社

审计配置信息示例--信息源说明 auth.* @sise.ruc.edu.cn authpriv.* @loghost mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker 所有紧迫级别 有等号表示仅该级别，无等号表示该级别及以上。 所有事件产生者 © 2009 电子工业出版社

问题？ wenchang@ruc.edu.cn © 2009 电子工业出版社