單元1系統(tǒng)性能和安全

1、單元1—系統(tǒng)性能和安全,目標(biāo)以服務(wù)形式提供系統(tǒng)資源從原則角度討論安全性從實際操作角度討論安全性 安全策略：用戶安全策略：系統(tǒng)響應(yīng)策略 系統(tǒng)錯誤和違例 對錯誤進(jìn)行分析的方法 錯誤分析：假說 對錯誤進(jìn)行分析的方法（續(xù)）錯誤分析

2、：收集數(shù)據(jù)系統(tǒng)監(jiān)控的益處網(wǎng)絡(luò)監(jiān)控工具,聯(lián)網(wǎng)，本地視圖聯(lián)網(wǎng)，遠(yuǎn)程視圖文件系統(tǒng)分析 典型的可疑權(quán)限監(jiān)控進(jìn)程進(jìn)程監(jiān)控工具報告系統(tǒng)活動根據(jù)賬戶管理進(jìn)程系統(tǒng)日志文件syslogd 和 klogd 的配置日志文件分析結(jié)束 單元 1,目標(biāo),學(xué)習(xí)了本單元后，你應(yīng)該能夠：● 理解系統(tǒng)性能和安全的目標(biāo)● 描述安全域● 描述系統(tǒng)錯誤● 解釋系統(tǒng)錯誤分析方法● 解釋維護(hù)系統(tǒng)狀態(tài)的益處● 描述聯(lián)網(wǎng)資源● 描述貯

3、存數(shù)據(jù)的資源● 描述進(jìn)程資源● 描述日志文件分析,以服務(wù)形式提供系統(tǒng)資源,● 計算機(jī)體系由各種“角色”組成 ● 提供服務(wù)的系統(tǒng) ● 請求服務(wù)的系統(tǒng)● 系統(tǒng)體系由各種“角色”組成 ● 提供服務(wù)的進(jìn)程 ● 請求服務(wù)的進(jìn)程● 處理體系由各種“角色”組成 ● 提供服務(wù)的賬戶 ● 接受服務(wù)的賬戶● 作為保護(hù)系統(tǒng)安全的策略，系統(tǒng)資源及其使用必須要被逐項記錄,從原則角度討論安全性,

4、● 安全領(lǐng)域 ● 物理 ● 本地 ● 遠(yuǎn)程 ● 人事,從實際操作角度討論安全性,● 從設(shè)計目標(biāo)上講，系統(tǒng)提供可用資源● 從策略上講，系統(tǒng)保留可用資源● 只提供您必須提供的服務(wù)，只提供個必需的用戶 ● “我需要提供這個服務(wù)嗎？我知道自己在提供它嗎？” ● “他們需要這個服務(wù)嗎？他們知道這個服務(wù)的存在嗎” ● “系統(tǒng)行為和它的歷史記錄一致嗎？” ● “我有沒

5、有應(yīng)用所有相關(guān)的安全更新？”● 監(jiān)控系統(tǒng)資源的安全弱點和不良性能,安全策略：用戶,● 管理用戶活動 ● 包括安全策略的維護(hù)● 誰負(fù)責(zé)什么？● 關(guān)于假警報，誰做最后的決定？● 什么時候通知警方？,安全策略：系統(tǒng),● 管理系統(tǒng)活動● 定期系統(tǒng)監(jiān)控 ● 在外部服務(wù)器上記載日志，以防萬一系統(tǒng)泄密 ● 使用 logwatch 來監(jiān)控系統(tǒng)日志 ● 監(jiān)控輸入和輸出的帶寬用量● 定期備份系統(tǒng)數(shù)據(jù),響應(yīng)

6、策略,● 假定可疑的系統(tǒng)是不值得信任的 ● 不要運行來自可以系統(tǒng)的程序 ● 用可信的介質(zhì)引導(dǎo)，校驗是否有破環(huán)之處 ● 分析遠(yuǎn)程記錄器的日志和“本地”日志 ● 根據(jù)只讀的備份 RPM 數(shù)據(jù)庫來檢查文件的完整性● 為機(jī)器制作一份系統(tǒng)映像，進(jìn)行進(jìn)一步的分析和證據(jù)收集● 重新安裝機(jī)器，從備份中恢復(fù)數(shù)據(jù),系統(tǒng)錯誤和違例,● 都會影響系統(tǒng)性能● 系統(tǒng)性能關(guān)系到系統(tǒng)安全 ● 系統(tǒng)錯誤會生出體系空

7、擋 ● 體系空擋會給另類資源訪問提供可乘之機(jī) ● 另類資源訪問機(jī)會會導(dǎo)致無法記錄的資源訪問 ● 無法記錄的資源訪問時違反安全策略的行為,對錯誤進(jìn)行分析的方法,● 判斷問題的性質(zhì)● 再現(xiàn)出錯過程● 查找進(jìn)一步信息,錯誤分析：假說,● 形成一系列假說● 挑選一個假說來證明● 測試假說,對錯誤進(jìn)行分析的方法 （續(xù)）,● 記錄結(jié)果，若有必要建立或測試新的假說● 如果簡單的假說沒有產(chǎn)生有建設(shè)性的結(jié)果，就需要

8、進(jìn)一步分析問題,錯誤分析：收集數(shù)據(jù),● strace ● tail –f ● syslog 的 *.debug● 應(yīng)用程序中的 –debug 選項,系統(tǒng)監(jiān)控的益處,● 系統(tǒng)性能和安全可以通過定期系統(tǒng)監(jiān)控來維護(hù)● 系統(tǒng)監(jiān)控包括: ● 網(wǎng)絡(luò)監(jiān)控和分析 ● 文件系統(tǒng)監(jiān)控 ● 進(jìn)程監(jiān)控 ● 日志文件分析,網(wǎng)絡(luò)監(jiān)控工具,● 網(wǎng)絡(luò)接口（ip） ● 顯示系統(tǒng)中可用的網(wǎng)絡(luò)接口● 端口掃描器（n

9、map） ● 顯示系統(tǒng)中的可用服務(wù)● 數(shù)據(jù)包嗅探器（tcpdump、wireshark） ● 保持和分析所有“嗅探”系統(tǒng)式看得到的網(wǎng)絡(luò)流量,聯(lián)網(wǎng)，本地視圖,● ip 工具 ● 被初始化腳本調(diào)用 ● 比 ifconfig 命令的功能更強大● 使用 netstat –ntaupe 來獲取一下列表： ● 活躍的網(wǎng)絡(luò)服務(wù)器 ● 建立的連接,聯(lián)網(wǎng)，遠(yuǎn)程視圖,● nmap 報告在對遠(yuǎn)程

10、連接開放的端口上的活躍服務(wù) ● 具備高級掃描選項 ● 提供遠(yuǎn)程 OS 檢測 ● 在小型或大型子網(wǎng)中掃描● 沒有被掃描系統(tǒng)管理員的書面許可，不要使用該程序 ！● 帶有圖形化前端（nmapfe）,文件系統(tǒng)分析,● 定期文件系統(tǒng)監(jiān)控能夠防止 ● 用盡系統(tǒng)資源 ● 缺乏訪問控制導(dǎo)致的安全違例● 文件系統(tǒng)監(jiān)控應(yīng)該包括： ● 數(shù)據(jù)完整性掃描 ● 檢查可疑文件● 工具：df

11、、du,典型的可疑權(quán)限,● 沒有已知用戶的文件可能代表未經(jīng)授權(quán)的訪問： ● 查找不屬于 /etc/passwd 文件中列出的用戶或組群的文件和目錄： find / \( -nouser –o -nogroup)● 帶有“其它（other）”寫權(quán)限（o+w）的文件或目錄可能代表有潛在問題 ● 查找可被“其它”用戶寫入的文件: find / -type f –perm -002 ●

12、 查找可被“其它”用戶寫入的目錄： find / -type d –perm -2,監(jiān)控進(jìn)程,● 監(jiān)控進(jìn)程來決定： ● 性能降低的原因 ● 是否有正在執(zhí)行的可疑進(jìn)程● 監(jiān)控工具 ● top ● gnome-system-monitor ● sar,進(jìn)程監(jiān)控工具,● top ● 實時查看處理器活動 ● 交互地終止（kill）進(jìn)程或重設(shè)其優(yōu)先級（ren

13、ice） ● 查看系統(tǒng)的統(tǒng)計數(shù)據(jù)，總數(shù)或累計數(shù)據(jù)● 圖形化（GUI）系統(tǒng)監(jiān)控工具 ● gnome-system-monitor:GNOME的進(jìn)程、CPU、和內(nèi)存監(jiān)控器 ● kpm：KDE平臺中的 top 命令,報告系統(tǒng)活動,● 定時報告，超時 ● cron 命令大量產(chǎn)生sa1 和 sa2 ● sar 讀取和生成“可讀”的日志● 通常用來對性能進(jìn)行微調(diào) ● 更準(zhǔn)確的統(tǒng)計數(shù)據(jù)

14、 ● 二進(jìn)制“數(shù)據(jù)庫”采集方法 ● 定期 ● 模式的存在跡象表明哪些活動屬于“正常”活動,根據(jù)賬戶管理進(jìn)程,● 使用 PAM 來在賬戶資源上設(shè)置控制會限制 ● pam_access.so 可以被用來按賬戶和位置來限制訪問 ● pam_time.so 可以被用按照日期和時間來限制訪問 ● pam_limits.so 可以被用來限制進(jìn)程可用的資源,系統(tǒng)日志文件,● 為

15、什么要監(jiān)控日志文件？● 要監(jiān)控哪些日志？● 日志記錄服務(wù)： ● 許多守護(hù)進(jìn)程都將信息發(fā)送給 syslogd 命令 ● 內(nèi)核信息由 klogd 命令處理,syslogd 和 klogd 的配置,● 在 /etc/syslog.conf 配置 syslogd 和 klogd● 語法： facility.prioritylog_location● 示例： mail.info /dev/tty8