Download presentation
Presentation is loading. Please wait.
1
第8讲 文件加密与系统审计 第4章:操作系统基础安全性 第5部分/共5部分
2
本讲内容 主题:文件加密与系统审计 教材内容: 第4.9节:加密文件系统 第4.10节:系统行为审计 © 2009 电子工业出版社
3
文件加密 为什么要加密? 文件加密方法: 以开源的eCryptfs为例讨论文件系统加密方法。 文件离开操作系统的控制范围也不泄漏内容。
单个文件加密 整个磁盘加密 文件系统加密(目录树加密) 以开源的eCryptfs为例讨论文件系统加密方法。 © 2009 电子工业出版社
4
文件系统树型结构示例 / vmunix bin etc dev usr passwd passwd hosts local lib
© 2009 电子工业出版社
5
文件系统的安装思想 安装点 文件系统B 文件系统A © 2009 电子工业出版社
6
目录树与文件系统的关系 一棵(子)目录树可能对应一个文件系统 安装点 文件系统B 文件系统A © 2009 电子工业出版社
7
面向目录树的文件系统加密 定义加密安装点,并安装待加密目录树。 安装:mount -t ecryptfs /d1 /d2
安装目录树 安装:mount -t ecryptfs /d1 /d2 卸载:umount /d1 创建5个文件:/d2/f0, /d2/d4/f1, /d2/d4/f2, /d2/d4/f3, /d2/d4/f4 © 2009 电子工业出版社
8
正常的文件加密和解密 明文 明文 密文 密文 经加密安装点,写文件时加密。 经加密安装点,读文件时解密。 © 2009 电子工业出版社
9
读写文件时的异常情况 不经加密安装点,写文件时不加密。 不经加密安装点,读文件时不解密。 明文 密文 明文 密文
© 2009 电子工业出版社
10
消除文件访问不一致性的方法 使加密安装点与目录树顶点重合。 mount -t ecryptfs /d1 /d1 加密安装点 目录树顶点
© 2009 电子工业出版社
11
虚拟文件系统支持多文件系统共存 硬盘上的Ext3 虚拟文件系统 cp(1) U盘上的NTFS © 2009 电子工业出版社
12
虚拟文件系统支持统一操作示例 /tmp/test cp 虚拟文件系统 Ext3 NTFS /usb/test
inf = open(“/usb/test”,O_RDONLY,0); outf = open(“tmp/test”, O_WRONLY|O_CREAT|O_TRUNC,0600); do { i = read(inf,buf,4096); write(outf,buf,i); } while (i); close(outf); close(inf); 虚拟文件系统 Ext3 NTFS /tmp/test /usb/test © 2009 电子工业出版社
13
从用户空间到物理介质的数据流 文件系统的 write( ) sys_write( ) write 操作 用户空间 虚拟文件系统 文件系统
© 2009 电子工业出版社
14
堆叠式文件系统的思想 在现有文件系统之上叠加一层新的机制,为文件系统增加新的功能。 应用程序 虚拟文件系统 堆叠层 Ext3 NTFS
© 2009 电子工业出版社
15
eCryptfs的基本结构和原理 © 2009 电子工业出版社
16
经由加密安装点的文件读写处理 明文 密文 © 2009 电子工业出版社
17
Ext2文件系统分区及块组的布局 引导块 第0号块组 第n号块组 数据块位图 i-节点位图 i-节点表 超级块 组描述符 数据块 1 块
y 块 z 块 文件属性 文件数据 © 2009 电子工业出版社
18
eCryptfs的文件加密思路 把文件数据划分成数据块(页),对这些数据块加密,并添加加密相关的描述信息,作为头部信息,置于文件的前部。
解密文件(eCryptyfs文件) 第 0 号解密页 第 1 号解密页 第 2 号解密页 加密文件(低层文件) RFC2440Tag3和Tag11包 文件大小 eCryptfs标记 第 0 号加密页 第 1 号加密页 第 2 号加密页 标志 把文件数据划分成数据块(页),对这些数据块加密,并添加加密相关的描述信息,作为头部信息,置于文件的前部。 Tag3和Tag11分别是密钥信息及其标识信息。 © 2009 电子工业出版社
19
eCryptfs的文件加密思路 添加的头部信息 原有数据部分
解密文件(eCryptyfs文件) 第 0 号解密页 第 1 号解密页 第 2 号解密页 添加的头部信息 原有数据部分 加密文件(低层文件) RFC2440Tag3和Tag11包 文件大小 eCryptfs标记 第 0 号加密页 第 1 号加密页 第 2 号加密页 标志 把文件数据划分成数据块(页),对这些数据块加密,并添加加密相关的描述信息,作为头部信息,置于文件的前部。 Tag3和Tag11分别是密钥信息及其标识信息。 © 2009 电子工业出版社
20
eCryptfs对文件加密过程 ...... ...... 文件 页 页 页 页 初始化向量 文件加密密钥 密码运算API
© 2009 电子工业出版社
21
eCryptfs的加密/解密处理 明文文件视图 密文文件视图 © 2009 电子工业出版社
22
文件加密密钥 文件加密密钥 get_random_bytes() 密码运算API 文件 密码运算API EFEK 文件加密密钥的 加密密钥
(FEKEK) 文件加密密钥 get_random_bytes() 密码运算API 文件 密码运算API EFEK © 2009 电子工业出版社
23
文件加密密钥的加密密钥(FEKEK) = 认证令牌
用户安装目录树到加密安装点时提供 口令 MD5 运算 65535 次 口令 || 盐值 盐值 密钥环 认证令牌 文件加密密钥的加密密钥(FEKEK) = 认证令牌 © 2009 电子工业出版社
24
认证令牌标识符 MD5 运算 认证令牌 密钥环 FEKEK 标识符 定位 © 2009 电子工业出版社
25
大自然给我们的启示 当它们从这里走过时,沙滩记录它们的足迹。---- 审计 © 2009 电子工业出版社
26
大自然让我们去联想 从这个场景看,这里曾发生过什么?---- 审计分析 © 2009 电子工业出版社
27
系统运行时留下的足迹 来自UNIX系统的/var/log/messages日志文件。 ......
Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost= user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 来自UNIX系统的/var/log/messages日志文件。 © 2009 电子工业出版社
28
系统运行足迹的基本构成 生成日志的日期和时间 生成日志的计算机名称 生成日志的服务名称 进程号 日志正文 ......
Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost= user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 生成日志的服务名称 进程号 日志正文 © 2009 电子工业出版社
29
系统运行足迹的含意 摘选了4条记录: 记录1:网络启动成功(面向本机)。 记录2:网络启动成功(面向网卡)。 记录3:FTP认证失败。
...... Aug 21 11:04:32 siselab network: Bringing up loopback interface: succeeded Aug 21 11:04:35 siselab network: Bringing up interface eth0: succeeded Aug 21 13:01:14 siselab vsftpd(pam_unix)[10565]: authentication failure;logname= uid=0 euid=0 tty= ruser= rhost= user=alice Aug 21 14:44:24 siselab su(pam_unix)[11439]: session opened for user root by alice(uid=600) 摘选了4条记录: 记录1:网络启动成功(面向本机)。 记录2:网络启动成功(面向网卡)。 记录3:FTP认证失败。 记录4:alice成功变为root身份。 © 2009 电子工业出版社
30
系统记录的典型足迹有哪些? 这是UNIX系统中/var/log目录下的典型日志文件,记录典型的日志信息。 © 2009 电子工业出版社
31
常用syslog审计服务系统的结构 由四个主要部分构成:syslogd日志处理守护进程、配置文件、日志文件和syslog函数库。
© 2009 电子工业出版社
32
审计配置文件的结构 /etc/syslog.conf *.err;kern.debug;auth.notice /dev/console
daemon,auth.notice /var/log/messages auth.* root,wenchang © 2009 电子工业出版社
33
审计配置文件的结构 /etc/syslog.conf *.err;kern.debug;auth.notice /dev/console
daemon,auth.notice /var/log/messages auth.* root,wenchang 审计信息源 审计信息目的地 审计事件紧迫级别 审计事件产生者 © 2009 电子工业出版社
34
审计事件的紧迫级别 © 2009 电子工业出版社
35
审计事件的产生着 © 2009 电子工业出版社
36
审计配置信息示例 auth.* @sise.ruc.edu.cn authpriv.* @loghost
mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker © 2009 电子工业出版社
37
审计配置信息示例--目的地说明 auth.* @sise.ruc.edu.cn authpriv.* @loghost
mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker 远程主机名 通过管道传给进程 所有用户 远程主机别名 允许信息缓冲(不立刻写日志) © 2009 电子工业出版社
38
审计配置信息示例--信息源说明 auth.* @sise.ruc.edu.cn authpriv.* @loghost
mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * mark.* /dev/console local7.* /var/log/boot.log news.=crit /var/log/news/news.crit *.alert |dectalker 所有紧迫级别 有等号表示仅该级别,无等号表示该级别及以上。 所有事件产生者 © 2009 电子工业出版社
39
问题? © 2009 电子工业出版社
Similar presentations
