理论部分:
一试述操作系统安全在信息系统安全中的重要性。
答:操作系统安全在信息系统安全中十分重要。没有计算机系统的安全就没有信息的安全。在数据中心系统的各个层次上,硬件、操作系统、网络部件、数据库管理系统软件及应用软件,各自在安全中都肩负着重要的职责。作为系统软件中最基础部分的操作系统,其安全问题的解决又是重中之重。在软件的范畴中,操作系统处在最底层,是所有其他软件的基础,它在解决安全问题上也起着基础性、关键性的作用,没有操作系统的安全支持,计算机系统的安全就缺乏了根基。
操作系统是计算机资源的百接管理者,它直接和硬件打交道并为用户提供接口,是计算机软件的基础和核心。数据库管理系统DBMS是建立在操作系统之上的,如果没有操作系统安全机制的支持,就不可能保障其存取控制的安全可信性。在网络环境中,网络安全依赖于各主机系统的安全可信性,没有操作系统的安全,就谈不上主机系统和网络系统的安全性。因此,操作系统的安全是整个主机系统安全的基础,没有操作系统安全,就不可能真正解决数据库安全、网络安全和其他应用软件的安全问题。
另外,一个有效可靠的操作系统也应具有很强的安全性,必须具有相应的保护措施,杜绝或限制天窗、隐蔽通道、特洛伊木马等对系统构成的安全隐患;对系统中的信息提供足够的保护,防止末授权用户的滥用或毁坏。只靠硬件不能提供充分的保护手段,必须由操作系统的安全机制与相关硬件相结合才能提
供强有力的保护。因此,操作系统安全是计算机信息系统安全的一个不可缺少的支柱,对操作系统安全进行设计具有重要的意义。
二、依据GB17859标准,简述第三级和第四级可信信息系统的主要安全功能需求以及它们之间的主要差别。
答:第三级为安全标记保护级。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
第四级为结构化保护级。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
三、基本概念:可信计算基、引用监控器、访问控制、安全功能与安全保证、安全策略与安全模型。
答:1、可信计算基
通用定义:可信计算基是“计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务”。通常所指的可信计算基是构成安全计算机信息系统的所有安全保护装置的组合体(通常称为安全子系统),以防止不可信主体的干扰和篡改。
数据库领域定义:可信计算基(Trusted Computing Base,TCB)是为实现数据库安全的所有实施策略和机制的集合,它是实施、检查、监督数据库安全的机
构,这是数据库安全中的一个基本概念。
引用监控器
2、引用监控器
linux系统安装步骤csdn引用监控器是一种特殊的监控器,负责控制对系统资源的访问。J.P. Anderson 把引用监控机的具体实现称为引用验证机制,它是实现引用监控机思想的硬件和软件的组合。
引用验证机制需要同时满足以下三个原则:(1)必须具有自我保护能力;(2)必须总是处于活跃状态;(3)必须设计得足够小,以利于分析和测试,从而能够证明它的实现是正确的。
3、访问控制
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
4、安全功能与安全保证:
5、安全策略与安全模型
网络安全策略:主要表现在系统的可靠性、可用性、保密性、完整性、可用性、保密性、完整性、不可抵赖性和可控性等方面。
网络安全模型:是动态网络安全过程的抽象描述,通过对安全模型的研究,通过对安全模型的研究,了解安全动态过程的构成因素,是构建合理而实用的安全策略体系的前提之一。为了达到安全防范的目标,需要建立合理的网络安全模型,立合理的网络安全模型,以指导网络安全工作的部署和管理。
实践部分:
一.内核升级必要的包需要那些?
答:包需要有:libncurses5-dev(menuconfig)和essential
sudo apt-get install build-essential kernel-package
sudo apt-get install make
sudo apt-get install gcc
二.编译内核的步骤是什么?
答:一、准备工作
首先说明,下面带#号的行都是要输入的命令行,且本文提到的所有命令行都在终端里输入。
启动Linux系统,并用根用户登录,进入终端模式下。
1、查看Linux内核版本# uname -a
如果屏幕显示的是2.6.x,说明你的已经是2.6的内核,也用不着看下文了,该干什么干什么去吧!~~~如果显示的是2.4.x,那恭喜你,闯关通过,赶快进行下一步。
2、下载2.6内核源码
下载地址:/pub/linux/kernel/v2.6/linux-2.6.15.5.tar.bz2
3、下载内核升级工具
由于linux2.6内核的内核模块处理过程有所改变,因此linux2.4内核下的modutils 工具包已经不再适合linux2.6内核,需要下载较新版本的module-init-tools和modutils,笔者下载的是module-init-tools-3.2.2.tar.bz2和modutils-2.4.5-1.src.rpm (1)下载module-init-tools-3.2.2.tar.bz2
/pub/linux/utils/kernel/module-init-tools/
(2)下载modutils-2.4.5-1.src.rpm的地址是
/pub/linux/utils/kernel/modutils/v2.4/
其安装步骤为:
#rpm -e --nodeps modutils (强行卸载原有的modutils RPM包)
#rpm -ivh modutils-2.4.5-1.src.rpm (把源代码包安装到了/usr/src/redhat目录下)
#cd /usr/src/redhat/SPECS (进入规范文件目录下)
#rpmbuild --bb modutils.spec (生成二进制的RPM包)
#cd ../RPMS/i386 (转入刚生成的RPM包所在的位置)
#rpm -ivh modutils*.rpm (安装生成的modutils-2.4.5-1.i386.rpm和
modutils-debuginfo-2.4.5-1.i386.rpm二进制RPM包)
(3)下载mkinitrd-4.1.18-2.i386.rpm
hi.csdn/link.php?url=lixuzhena.download.csdn
(4)下载lvm2-2.00.25-1.01.i386.rpm
hi.csdn/link.php?url=lixuzhena.download.csdn
(5)下载device-mapper-1.00.19-2.i386.rpm
hi.csdn/link.php?url=lixuzhena.download.csdn
二、配置工作
好啦,2.6内核和4个升级工具都下载完了(少一个也不行,如果没有下载齐全,请不要尝试下面的步骤,升级是不会成功的),下面回到Linux系统中开始配置工作吧。
4、将下载好的内核源码包和4个升级工具都拷贝到/usr/src文件夹下。怎么拷贝就不用我教了吧~~~~不会拷贝的去撞墙吧!~~呵呵!
5、拷贝完毕,开始解压新内核,具体操作请依次执行以下命令:
# cd /usr/src (进入到/usr/src目录下,如果已经在/usr/src目录下,可不执行该命令) # rm –rf linux (删除linux文件夹。值得一提的是,如果内核先前从未编译过,则没有这个文件夹,此命令行可略过)
# tar jvxf linux-2.6.15.5.tar.bz2 (解压新内核)
# ln -s linux-2.6.15.5 linux (重新生成linux文件夹)
6、安装module-init-tools工具
在/usr/src目录下,依次执行下列命令:
# tar jvxf module-init-tools-3.2.tar.bz2 (解压module-init-tools)
# cd module-init-tools-3.2 (由/usr/src目录进入module-init-tools目录下)
#./configure --prefix=/
# make moveold
# make all install
#./f /f
7、安装另外三个升级工具
回到/usr/src目录下,依次执行下列3个命令来安装另外三个升级工具:
# rpm -ivh --nodeps mkinitrd-4.1.18-2.i386.rpm (注意,这里一定要加入--nodeps参数,下同)
# rpm -ivh --nodeps lvm2-2.00.25-1.01.i386.rpm
# rpm -ivh --nodeps device-mapper-1.00.19-2.i386.rpm
如果不更新以上几个升级包,在后面编译内核时会提示以下错误:
mkinitrd failed
make[1]: *** [install] Error 1
make: *** [install] Error 2
8、配置内核选项。
(注意:在内核选项配置中,有些选项前面加有<*>,表示该选项必须编译入内核,而不能编译为内核模块,否则有可能编译失败,望注意。)
# cd linux-2.6.15.5 (进入到/usr/src/linux-2.6.15.5目录下)
# make mrproper (该命令可确保源代码目录下没有不正确的.o文件)
# make menuconfig (配置内核各选项)
此时会出现一个图形界面,列出了所有的内核配置选项,有的选项下还有子选项,你可以用方向键来选择,用Y键来确定。经过我多次试验,大多数选项默认就行,以下几个选项必须选择(请认真核对下面每一个选项,否则编译很有可能前功尽弃):
(1)Loadable Module support选项中,选上“Module unloading”和“Automatic kernel
module loading”这两项;
(2)Device Drivers--->Block Devices中选上“Loopback device support”;
Device Drivers--->Multi-device support(RAID and LVM)处要选上“device mapper support”;
Device Drivers--->Graphics support,一定要选上“ Support for frame buffer devices”;
Device Drivers --->USB support --->选上“USB Mass Storage support”(如果是在实
环境中,想要更多USB支持,就全选吧。我的是在虚拟机中,用不着了) Device Drivers --->;Network device support --->Ethernet (10 or 100Mbit) ---><*> AMD PCnet32 PCI support(该选项最好直接编译入内核,而不是编译为内核模块)
Device Drivers --->Character devices -à Serial derivers -à 8250/16650 and Compatiable serial support 必须选上,否则minicom不好用!(我后加的)
(3)File system--->(以下9个选项是关于ext2和ext3文件系统配置,全部选上) Second extended fs support
Ext2 extended attributes
Ext2 POSIX Access Control Lists
Ext2 Security Labels
Ext3 journalling file system support
Ext3 extended attributes
Ext3 POSIX Access Control Lists
Ext3 Security Labels
JBB (ext3) debugging support
File system--->DOS/FA T/NT Filesystems --->选上“NTFS file system support”;
注意:
ext2和ext3文件系统配置很重要,也是必需的,如果对Ext3、Ext2文件的支持不直接编译进内核,在你reboot时机器就会当掉,出现如下错误信息:
kernel panic : no init found ,try passing init = option
或者是:
VFS:Cannot open root device "hdxy" or unknow-block(0,0)
Please append a correct "root=" boot option
kernel panic:VFS:Unable to mount root fs on unknown-block(0,0)
或者是:
mount: error 19 mounting ext3
pivotroot: pivot_root(/sysroot,/sysroot/initrd) failed: 2
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论