第8讲 文件加密与系统审计 第4章:操作系统基础安全性 第5部分/共5部分.

Slides:



Advertisements
Similar presentations
数据结构 东北大学软件学院数据结构课程建设小组.  通过本课程的学习掌握常用数据结构的逻辑结构特 征、存储结构及相关算法及实现的原理。  学会从问题入手,分析研究计算机加工的数据结构 的特性,以便为应用所涉及的数据设计适当的逻辑 结构、存储结构及其相应的操作算法,并初步掌握 时间和空间分析技术。
Advertisements

第六章 交际礼仪 学习目标 案例导入 主要内容 互动训练 思考练习.
我的家乡 南通 ….
第六 章数据库访问页 6.1 数据访问页视图 6.2 创建数据访问页 6.3 编辑数据访问页 6.4 查看数据访问页 退出.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
電腦硬體裝修丙級 ----安裝微軟windows作業系統----
陳文孝執行副總經理 簡歷 陳文孝 執行副總經理 陳文孝現任勤業眾信聯合會計師事務所稅務部-稅務部/中國稅務與商務諮詢組 執行副總經理。
Linux管理与应用 Linux文件系统- 磁盘加载与卸载 主讲教师:张美平
Linux 的檔案管理.
实用操作系统概念 张惠娟 副教授 1.
營建自動化 -營建管理資訊化 授課老師:劉俊杰 副教授 中華民國89年9月27日.
贴近教学 服务师生 方便老师.
Adviser :Quincy-Wu Speaker :Kai-Jia Chung Date :
資訊安全與系統管理 2013/3/13 Chien wei lin.
UNIX系統與資料庫安裝 Why UNIX 常用的工具程式介紹 資料庫的安裝.
五、学习方法及应考对策 (一)学习方法 1.保证复习时间,吃透教材:上课之前应该对课程相关内容进行预习,把不理解的问题记录下来,带着问题听课。考试之前务必把课本看3遍以上,第一遍一定要精读,最好能做笔记,边读边记,不要快,要记牢。第二、三遍可以查缺补漏型的看,通过做题目看书,加深课本印象。 2.加强概念、理论性内容的重复记忆:概念、理论性内容一般比较抽象,所以在理解的基础上一定要重复记忆,在接受辅导之后,再加以重点记忆,以便及时巩固所学内容,切忌走马观花似的复习,既浪费时间,效果也不好。
科學科 污染 空氣 成因 的 : 題目 及 減少空氣污染的方法 陳玉玲 (4) 姓名 : 去到目錄.
陈香兰 助教:陈博、李春华 Spring 2009 嵌入式操作系统 陈香兰 助教:陈博、李春华 Spring 2009.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
台灣大學計算機及資訊網路中心 教學研究組 張傑生
Linux 切换、 创建和删除目录 系统管理 宁波市高校慕课联盟课程
Syslog介紹.
Linux 基础与常用命令简介 生物信息学培训班 杭州,2018年1月18日 周银聪.
第3章 Linux系统的基本操作 3.1 X Window图形化用户界面 3.2 GNOME的桌面环境 3.3 窗口和菜单操作
第二讲 搭建Java Web开发环境 主讲人:孙娜
第二天 计算机基础技能培训 (一)linux基础知识
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第4节 虚拟文件系统 virtual filesystem (VFS)
大学计算机基础 典型案例之一 构建FPT服务器.
SVN服务器的搭建(Windows) 柳峰
大数据管理技术 --NoSQL数据库 HBase 陈 辉 大数据分析技术.
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
中国科学技术大学计算机系 陈香兰(0551- ) Spring 2009
第17章 网站发布.
ENS 10.1安装配置指南 王俊涛 | SE.
貨幣需求與貨幣市場的均衡.
Windows 7 的系统设置.
YMSM D-PACK 安装手册 作成者:D-PACK维护组(YMSLx) 作成日:
分布式程序设计 姚斌 计算机科学与工程系 上海交通大学.
DevDays ’99 The aim of this mission is knowledge..
Linux的虚拟文件系统.
第二章 登录UNIX操作系统.
内容摘要 ■ 课程概述 ■ 教学安排 ■ 什么是操作系统? ■ 为什么学习操作系统? ■ 如何学习操作系统? ■ 操作系统实例
微机系统的组成.
中華大學 資訊工程學系 報告人:資訊工程學系 許慶賢 系主任.
第三章 UNIX的文件与目录.
2019/4/20 关注NE官方微信,获取更多服务.
2019/4/16 关注NE官方微信,获取更多服务.
商業行為成立的要件 動動腦 Q 請試著判斷下列何者為商業行為? 請試著判斷下列何者為商業行為?.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
2019/4/26 关注NE官方微信,获取更多服务.
IT 安全 第 11节 加密控制.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
Lab17 程序设计B班
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
生命教育 媒材應用分享 電影 天外奇蹟(UP) 華盛頓高中 巫孟容.
本节内容 文件系统 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
基于NFC耗材防伪方案.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Python 环境搭建 基于Anaconda和VSCode.
106年免試入學第一次模擬 選填重要日程表說明 1.106年1月10日中午12時~106年1月16日中午12時完成第一次模擬
第四章 UNIX文件系统.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
Linux文件系统.
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
第六讲 酒店客房管理系统(二) 教育部“十二五”职业教育国家规划教材
入侵检测技术 大连理工大学软件学院 毕玲.
JUDDI安装手册.
Presentation transcript:

第8讲 文件加密与系统审计 第4章:操作系统基础安全性 第5部分/共5部分

本讲内容 主题:文件加密与系统审计 教材内容: 第4.9节:加密文件系统 第4.10节:系统行为审计 © 2009 电子工业出版社

文件加密 为什么要加密? 文件加密方法: 以开源的eCryptfs为例讨论文件系统加密方法。 文件离开操作系统的控制范围也不泄漏内容。 单个文件加密 整个磁盘加密 文件系统加密(目录树加密) 以开源的eCryptfs为例讨论文件系统加密方法。 © 2009 电子工业出版社

文件系统树型结构示例 / vmunix bin etc dev usr passwd passwd hosts local lib © 2009 电子工业出版社

文件系统的安装思想 安装点 文件系统B 文件系统A © 2009 电子工业出版社

目录树与文件系统的关系 一棵(子)目录树可能对应一个文件系统 安装点 文件系统B 文件系统A © 2009 电子工业出版社

面向目录树的文件系统加密 定义加密安装点,并安装待加密目录树。 安装:mount -t ecryptfs /d1 /d2 安装目录树 安装:mount -t ecryptfs /d1 /d2 卸载:umount /d1 创建5个文件:/d2/f0, /d2/d4/f1, /d2/d4/f2, /d2/d4/f3, /d2/d4/f4 © 2009 电子工业出版社

正常的文件加密和解密 明文 明文 密文 密文 经加密安装点,写文件时加密。 经加密安装点,读文件时解密。 © 2009 电子工业出版社

读写文件时的异常情况 不经加密安装点,写文件时不加密。 不经加密安装点,读文件时不解密。 明文 密文 明文 密文 © 2009 电子工业出版社

消除文件访问不一致性的方法 使加密安装点与目录树顶点重合。 mount -t ecryptfs /d1 /d1 加密安装点 目录树顶点 © 2009 电子工业出版社

虚拟文件系统支持多文件系统共存 硬盘上的Ext3 虚拟文件系统 cp(1) U盘上的NTFS © 2009 电子工业出版社

虚拟文件系统支持统一操作示例 /tmp/test cp 虚拟文件系统 Ext3 NTFS /usb/test inf = open(“/usb/test”,O_RDONLY,0); outf = open(“tmp/test”, O_WRONLY|O_CREAT|O_TRUNC,0600); do { i = read(inf,buf,4096); write(outf,buf,i); } while (i); close(outf); close(inf); 虚拟文件系统 Ext3 NTFS /tmp/test /usb/test © 2009 电子工业出版社

从用户空间到物理介质的数据流 文件系统的 write( ) sys_write( ) write 操作 用户空间 虚拟文件系统 文件系统 © 2009 电子工业出版社

堆叠式文件系统的思想 在现有文件系统之上叠加一层新的机制,为文件系统增加新的功能。 应用程序 虚拟文件系统 堆叠层 Ext3 NTFS © 2009 电子工业出版社

eCryptfs的基本结构和原理 © 2009 电子工业出版社

经由加密安装点的文件读写处理 明文 密文 © 2009 电子工业出版社

Ext2文件系统分区及块组的布局 引导块 第0号块组 第n号块组 数据块位图 i-节点位图 i-节点表 超级块 组描述符 数据块 1 块 y 块 z 块 文件属性 文件数据 © 2009 电子工业出版社

eCryptfs的文件加密思路 把文件数据划分成数据块(页),对这些数据块加密,并添加加密相关的描述信息,作为头部信息,置于文件的前部。 解密文件(eCryptyfs文件) 第 0 号解密页 第 1 号解密页 第 2 号解密页 加密文件(低层文件) RFC2440Tag3和Tag11包 文件大小 eCryptfs标记 第 0 号加密页 第 1 号加密页 第 2 号加密页 标志 把文件数据划分成数据块(页),对这些数据块加密,并添加加密相关的描述信息,作为头部信息,置于文件的前部。 Tag3和Tag11分别是密钥信息及其标识信息。 © 2009 电子工业出版社

eCryptfs的文件加密思路 添加的头部信息 原有数据部分 解密文件(eCryptyfs文件) 第 0 号解密页 第 1 号解密页 第 2 号解密页 添加的头部信息 原有数据部分 加密文件(低层文件) RFC2440Tag3和Tag11包 文件大小 eCryptfs标记 第 0 号加密页 第 1 号加密页 第 2 号加密页 标志 把文件数据划分成数据块(页),对这些数据块加密,并添加加密相关的描述信息,作为头部信息,置于文件的前部。 Tag3和Tag11分别是密钥信息及其标识信息。 © 2009 电子工业出版社

eCryptfs对文件加密过程 ...... ...... 文件 页 页 页 页 初始化向量 文件加密密钥 密码运算API © 2009 电子工业出版社

eCryptfs的加密/解密处理 明文文件视图 密文文件视图 © 2009 电子工业出版社

文件加密密钥 文件加密密钥 get_random_bytes() 密码运算API 文件 密码运算API EFEK 文件加密密钥的 加密密钥 (FEKEK) 文件加密密钥 get_random_bytes() 密码运算API 文件 密码运算API EFEK © 2009 电子工业出版社

文件加密密钥的加密密钥(FEKEK) = 认证令牌 用户安装目录树到加密安装点时提供 口令 MD5 运算 65535 次 口令 || 盐值 盐值 密钥环 认证令牌 文件加密密钥的加密密钥(FEKEK) = 认证令牌 © 2009 电子工业出版社

认证令牌标识符 MD5 运算 认证令牌 密钥环 FEKEK 标识符 定位 © 2009 电子工业出版社

大自然给我们的启示 当它们从这里走过时,沙滩记录它们的足迹。---- 审计 © 2009 电子工业出版社

大自然让我们去联想 从这个场景看,这里曾发生过什么?---- 审计分析 © 2009 电子工业出版社

系统运行时留下的足迹 来自UNIX系统的/var/log/messages日志文件。 ...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost=61.135.170.110 user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 来自UNIX系统的/var/log/messages日志文件。 © 2009 电子工业出版社

系统运行足迹的基本构成 生成日志的日期和时间 生成日志的计算机名称 生成日志的服务名称 进程号 日志正文 ...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost=61.135.170.110 user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 生成日志的服务名称 进程号 日志正文 © 2009 电子工业出版社

系统运行足迹的含意 摘选了4条记录: 记录1:网络启动成功(面向本机)。 记录2:网络启动成功(面向网卡)。 记录3:FTP认证失败。 ...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost=61.135.170.110 user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 摘选了4条记录: 记录1:网络启动成功(面向本机)。 记录2:网络启动成功(面向网卡)。 记录3:FTP认证失败。 记录4:alice成功变为root身份。 © 2009 电子工业出版社

系统记录的典型足迹有哪些? 这是UNIX系统中/var/log目录下的典型日志文件,记录典型的日志信息。 © 2009 电子工业出版社

常用syslog审计服务系统的结构 由四个主要部分构成:syslogd日志处理守护进程、配置文件、日志文件和syslog函数库。 © 2009 电子工业出版社

审计配置文件的结构 /etc/syslog.conf *.err;kern.debug;auth.notice /dev/console daemon,auth.notice /var/log/messages auth.* root,wenchang © 2009 电子工业出版社

审计配置文件的结构 /etc/syslog.conf *.err;kern.debug;auth.notice /dev/console daemon,auth.notice /var/log/messages auth.* root,wenchang 审计信息源 审计信息目的地 审计事件紧迫级别 审计事件产生者 © 2009 电子工业出版社

审计事件的紧迫级别 © 2009 电子工业出版社

审计事件的产生着 © 2009 电子工业出版社

审计配置信息示例 auth.* @sise.ruc.edu.cn authpriv.* @loghost mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker © 2009 电子工业出版社

审计配置信息示例--目的地说明 auth.* @sise.ruc.edu.cn authpriv.* @loghost mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker 远程主机名 通过管道传给进程 所有用户 远程主机别名 允许信息缓冲(不立刻写日志) © 2009 电子工业出版社

审计配置信息示例--信息源说明 auth.* @sise.ruc.edu.cn authpriv.* @loghost mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker 所有紧迫级别 有等号表示仅该级别,无等号表示该级别及以上。 所有事件产生者 © 2009 电子工业出版社

问题? wenchang@ruc.edu.cn © 2009 电子工业出版社