安全计算环境linux-身份鉴别技术 2021-03-06

安全计算环境linux- 身份鉴别 技术

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

要求解读

Linux系或统的用户鉴别过程与其他UNIX系统相同：系统管理员为用户建立一个账户并为其指定一个口令,用户使用指定的口今登录后重新配置自己的自已的口令，这样用户就具备一个私有口令。etc/password文件中记录用户的属性信息，包括用户名、密码、用户标识、组标识等信息。现在Linux系统中不再直接保存在/etc/password文件中,通常将password文件中的口令字段使用一个“x”来代替，将/etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。当然，shadow文件是不能被普通用户读取的，只有超级用户才有权读取。

Linux中的/etc/logindefs是登录程序的配置文件，在这里我们可配置密码的最大过期天数，密码的最大长度约束等内容。如果/etc/pamd/system-auth文件里有相同的选项，则以/etc/pamd/system-auth里的设置为准，也就是说/etc/pamd/system-aut的配置优先级高于/etc/logindefs。

Linux系统具有调用PAM的应用程度认证用户。登示服务、屏保等功能，其中一个重要的文件使是etc/pamd/system-auth(在Kedhat Cent0s 和Fedora系上）。/etc/pamd/system-auth或/etc/logindefs中的配置优先级高于其他地方的配置。

另外，root用户不受pam认证规则的限制，相关配置不会影响root用户的密码，root用户可以随意设置密码的。logindefs文件也是对root用户无效的。

测评方法

1)访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。

2)以有权限的账户身份登录 *** 作系统后，使用命令more查看/etc/shadow文件，核查系统是否存在空口令账户

3)使用命令more查看/etc/login defs文件，查看是否设置密码长度和定期更换要求

#more /etc/login defs

使用命令more查看/etc/pamd/system-auth文件。查看密码长度和复杂度要求

4)检查是否存在旁路或身份鉴别措施可绕过的安全风险

预期结果和主要证据

1)登录需要密码

2)不存在空口令账户

3)得出类似反馈信息，如下:

PASS MAX_DAYS 90 #登录密码有效期90天

PASS MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次

PASS MIN_LEN 7 #登录密码最小长度7位

PASS WARN_AGE 7 #登录密码过期提前7天提示修改

4）不存在绕过的安全风险

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

要求解读

Linux系统具有调用PAM的应用程度认证用户、登录服务、屏保等功能，其中一个重要的文件便/etc/pamd/system-auth ，Redhat5以后版本使用pam_tally2so模块控制用户密码认证失败的次数上限，可以实现登录次数、超时时间，解锁时间等。

着只是针对某个程序的认证规则，在PAM目录(/etc/pam d)下形如sshd、login 等等的对应各程序的认证规则文件中进行修改。若所有密码认证均应用规则， 可直接修改system_auth文件

测评方法

1)系统配置并启用了登录失败处理功能

2)以root身份登录进入Linux， 查看文件内容:

# cat /ete/pamd/system -auth或根据linux版本不同在common文件中

3)查看/etc/profile中的TIMEOUT环境变量，是否配置超时锁定参数

预期结果和主要证据

得出类似反馈信息，如下:

1)和2)查看登录失败处理功能相关参数，/etc/pamd/system—auth文件中存在"account required /lib/security/pam_tallyso deny=3

no_ magic root reset" ;

3)记录在文件/etc/profile中设置了超时锁定参数，在profile下设置TMOUT= 300s

c) 当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听

要求解读

  Linux提供了远程访问与管理的接口，以方便管理员进行管理 *** 作，网络登录的方式也是多样的，例如可以使用Telnet登录，也可以使用SSH登录。但是，Telnet不安全。I因为其在教据传输过程中，账户与密码均明文传输，这是非常危险的。黑客通过一些网络对嗅探工是能够轻易地的窃取网络中明文传输的账户与密码，因此不建议通过Telnet协议对服务器进行远程管理。针对Telnet协议不安全这种情况，可以在远程登录时使用SSH协议。其原理跟Telnet类似，只是其具有更高的安全性。SSH是一个运行在传输控制层上的应用程序，与Telnet相比，它提供了强大的认证与加密功能，可以保证在远程连接过程中，其传输的数据是加密处理过的。因此保障了账户与口令的安全

测评方法

  访谈系统管理员，进行远程管理的方式。

1)以root身份登录进入Linux查看是否运行了sshd服务，service - status-all | grep sshd

查看相关的端口是否打开，netstat -an|grep 22

若未使用SSH方式进行远程管理，则查看是否使用了Telnet 方式进行远程管理

service - -status-all|grep running,查看是否存在Telnet服务

2)可使用wireshark等抓包工具，查看协议是否为加密

3)本地化管理，N/A

预期结果和主要证据

1)使用SSH方式进行远程管理，防止鉴别信息在传输过程中被窃听,Telnet默认不符合

2)通过抓包工具，截获信息为密文，无法读取，协议为加密

3) N/A本地管理

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

解读

对于第三级及以上的 *** 作系统要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

测评方法

访谈和核查系统管理员在登录 *** 作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术

预期结果和主要证据

除口令之外，采用了另外一种鉴别机制，此机制采用了密码技术，如调用了密码机或采取SM1-SM4等算法

关于数据库安全及其防范方案的分析

随着网络的不断发展，数据的共享日益加强，数据的安全保密越来越重要。为了计算机数据库整体安全性的控制，需要做好很多细节性的工作，并根据具体应用环境的安全需要来分析安全薄弱环节，并制定统一的安全管理策略加以实施，以保证其最高的安全性。

1数据库安全环境的分析

随着时代的发展，我国的计算机信息安全标准也在不断提升。在当下的数据库系统安全控制模块中，我国数据库安全分为不同的等级。但是总体来说，我国的数据库安全性是比较低的，这归结于我国数据技术体系的落后。为了更好的健全计算机数据库体系，进行数据库安全体系的研究是必要的。我国现有的一系列数据安全理论是落后于发达国家的。这体现在很多的应用领域，比如电力领域、金融领域、保险领域等。很多软件都是因为其比较缺乏安全性而得不到较大范围的应用，归根结底是数据库安全性级别比较低。

为了满足现阶段数据库安全工作的需要，进行相关标准的深化研究是必要的。这需要对数据库安全进行首要考虑，且需要考虑到方方面面，才更有利于数据库保密性的控制，从而保证这些数据存储与调用的一致性。

在当前数据库安全控制过程中，首先需要对这些数据进行可用性的分析，从而有利于避免数据库遭到破坏，更有利于进行数据库的损坏控制及其修复。其次为了保证数据库的安全性、效益性，也离不开对数据库整体安全性方案的应用。最后必须对数据库进行的一切 *** 作进行跟踪记录，以实现对修改和访问数据库的用户进行追踪，从而方便追查并防止非法用户对数据库进行 *** 作。

2数据库安全策略的更新

为了满足现阶段数据库安全性方案的应用，进行身份的鉴别是必要的。所谓的身份鉴别就是进行真实身份及其验证身份的配比，这样可以避免欺诈及其假冒行为的发生。身份鉴别模式的应用，表现在用户使用计算机系统进行资源访问时。当然在一些特定情况下，也要进行身份鉴别，比如对某些稀缺资源的访问。

身份鉴别通常情况下可以采用以下三种方法：一是通过只有被鉴别人自己才知道的信息进行鉴别，如密码、私有密钥等；二是通过只有被鉴别人才拥有的信物进行鉴别，如IC卡、护照等；三是通过被鉴别人才具有的生理或者行为特征等来进行鉴别，如指纹、笔迹等。

在当前访问控制模块中，除了进行身份鉴别模式的应用外，还需要进行信息资源的访问及其控制，这样更有利于不同身份用户的权限分配。这就需要进行访问级别的控制，针对各个系统的内部数据进行 *** 作权限的控制，进行自主性及其非自主性访问的控制，满足数据库的安全需要。实现用户对数据库访问权限进行控制，让所有的用户只能访问自己有权限使用的数据。当某一个用户具有对某些数据进行访问的权限时，他还可以把对这些数据的 *** 作权限部分或者全部的转移给其他用户，这样其他的用户也获得了对这些数据的访问权。

为了更好的进行数据库的安全管理，审计功能的应用也必不可少。这需要就数据库的数据进行统一性的 *** 作。这样管理员更加方便对数据库应用情况进行控制，审计功能也有利于对数据库的 *** 作行为进行控制，更有利于控制用户对数据库的访问。攻击检测是通过升级信息来分析系统的内部和外部所有对数据库的攻击企图，把当时的攻击现场进行复原，对相关的攻击者进行处罚。通过这种方法，可以发现数据库系统的安全隐患，从而来改进以增加数据库系统的安全性。

在数据库数据处理过程中，可以进行一些合法查询模式的应用，当需要调取保密数据时，就需要应用推理分析模块。这是数据库安全性方案控制过程中的重难点，而通过这种简单的推理分析方法调取保密数据，是得不到有效解决的。但是我们可以使用以下几种方法来对这种推理进行控制：数据加密的基本思想就是改变符号的排列方式或按照某种规律进行替换，使得只有合法的用户才能理解得到的数据，其他非法的用户即使得到了数据也无法了解其内容。

通过对加密粒度的应用，更有利于进行数据库加密性的控制。其分为几种不同的应用类型等级。在当前应用模块中，需要进行数据保护级别的分析，进行适当的加密粒度的分析。更有利于满足数据库级别加密的需要。该加密技术的应用针对的是整体数据库，从而针对数据库内部的表格、资料等加密。采用这种加密粒度，加密的密钥数量较少，一个数据库只需要一个加密密钥，对于密钥的管理比较简单。但是，由于数据库中的数据能够被许多的用户和应用程序所共享，需要进行很多的数据处理，这将极大的降低服务器的运行效率，因此这种加密粒度只有在一些特定的情况下才使用。

表级加密也是比较常用的方法，这种方法应用于数据库内部的数据加密。针对具体的存储数据页面进行加密控制。这对于系统的运行效率的提升具备一定的帮助，不会影响系统的运行效率。这种方法需要应用到一些特殊工具进行处理，比如解释器、词法分析器等，进行核心模块的控制，进行数据库管理系统源代码的控制及其优化。但是其难以确保数据库管理系统的整体逻辑性，也存在缺陷。记录级加密；这种加密技术的加密粒度是表格中的每一条记录，对数据库中的每一条记录使用专门的函数来实现对数据的加密、解密。通过这种加密方法，加密的粒度更加小巧，具有更好的选择性和灵活性。字段级加密；这种加密技术的加密粒度是表格中的某一个或者几个字段。通过字段级的加密粒度只需要对表格中的敏感列的数据进行加密，而不需要对表格中的所有的数据进行加密。

选择加密算法也是比较常见的数据加密方法。它是数据加密的核心部分。对于数据库的整体安全性的控制具有直接性的影响。通过对加密算法的分析，得知其分为公共密钥加密及其对称加密。在数据加密模块中，需要进行密文及其明文的区分，从而进行明文及其密文的转换，也就是普遍意义上的密码。密码与密钥是两个不同的概念。后者仅是收发双方知道的信息。在数据加密技术中，对密钥进行管理主要包括以下几个方面，产生密钥。产生怎样的密钥主要取决于使用什么样的算法。若产生的密钥强度不一样就称这种算法实现的是非线性的密钥空间，若产生的密钥强度一样就称这种算法实现的是线性的密钥空间。分配密钥、传递密钥：分配密钥就是产生一个密钥并且将这个密钥分配给某个用户使用的过程。

密钥的传递分为不同的应用形式，集中式与分散式。所谓的集中式就是进行密钥整体式的传递；所谓的分散式就是对密钥的多个部分进行划分，以秘密的方法给用户进行传递。通过将整体方法与分散方法应用到存储模块中，更好的满足现阶段数据库整体安全性的需要。对于密钥的备份可以使用和对密钥进行分散存储一样的方式进行，以避免太多的人知道密钥；而销毁密钥需要有管理和仲裁机制，以防止用户对自己的 *** 作进行否认。

3结束语

随着计算机，特别是网络的不断发展，数据的共享日益加强，数据的安全保密越来越重要。本文详细阐述了数据库的安全防范，分别从数据分析、用户鉴别、访问权限控制、审计、数据加密等环节逐一剖析数据库安全。为了计算机数据库整体安全性的控制，需要做好很多细节性的工作，并根据具体应用环境的安全需要来分析安全薄弱环节，并制定统一的安全管理策略加以实施，以保证其最高的安全性。

用sqlserver访问数据库整理如下：

SQLServer默认是不允许远程连接的，如果想要在本地用SSMS连接远程服务器上的数据库，需要确认以下环节：

1）如果是工作组环境，则需要使用SQLServer身份验证方式

2）如果是Windows域环境，则可使用Windows身份验证或者SQLServer身份验证

现在以工作组环境下SQLServer身份验证方式为例：

1）启用SQLServer身份验证模式进行登录。

2）建立可用的SQLServer服务器登录名

3）允许远程连接到服务器实例

4）设置服务器的“方面”中，“”属性为True

5）确保服务器实例和“SQLServerBrowser”服务开启

6）确保服务器实例的TCP/IP协议已启用，并且端口号为1433

7）确保Windows的防火墙允许SQLServer使用的端口号(1433)可访问，或者关闭防火墙。最后用SSMS连接远程的SQLServer。

like可以用来模糊查询likeabc%其中%代表任意字符窜likeabc_其中_代表一个字符likeabc[1-9]代表一个数字从1到9例子如selectfromtable1whereaaalikeabc%查询table1表中以abc开头的字段

当用户通过 Microsoft Windows 用户帐户进行连接时，SQL Server 使用 Windows *** 作系统中的信息验证帐户名和密码。这是默认的身份验证模式，比混合模式更为安全。Windows 身份验证使用 Kerberos 安全协议，根据强密码的复杂性验证提供密码策略强制实施，提供帐户锁定支持，并支持密码过期。

当选择混合模式身份验证时，输入并确认系统管理员 (sa) 密码。设置强密码对于确保系统的安全性至关重要。切勿设置空密码或弱 sa 密码。

注意 SQL Server 密码可包含 1 到 128 个字符，其中包括任何字母、符号和数字的组合。如果选择混合模式身份验证，则必须输入强 sa 密码，然后才能继续执行安装向导的下一页

参考资料：

select from 管理员表名 where 账号字段='xxx' and 密码字段='xxxx'

select from 管理员表名 where 主键ID in (select 主键ID from 管理员表名 where 账号字段='xxx' and 密码字段='xxxx')

以上就是关于安全计算环境linux-身份鉴别技术 2021-03-06全部的内容，包括:安全计算环境linux-身份鉴别技术 2021-03-06、关于数据库安全及其防范方案的分析(数据库的安全策略)、如何用sqlserver访问数据库等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！