02_系统安全试验

02_系统安全试验.md

《信息安全综合实践》实验报告

系统安全

           实验时长：      分钟

一、实验目的

了解操作系统的用户认证、安全审计等安全机制；
熟悉linux系统及其基本操作命令；
了解linux用户管理和安全策略设置方法；
了解一些基本的攻击工具、攻击方法。

二、实验内容

序	内容	实验结果
1)	Windows用户口令破解	- [ ] 失败 - [√ ] 成功
2)	linux用户管理	- [ ] 失败 - [√ ] 成功
3)	linux用户口令策略设置（选做）	- [ ] 未做 - [ ] 失败 - [√ ] 成功
4)	Apparmor访问控制策略	- [ ] 失败 - [√ ] 成功
5)	Linux日志查看（选做）	- [ ] 未做 - [ ] 失败 - [√ ] 成功

三、分析和思考（90分）

在口令破解实验中请结合自己所做的操作（如增加或修改用户口令），比较操作前后所获得SAM文件信息的不同之处，说明每条记录的各字段的含义（截图不超过4张），并总结SAM文件的安全特性。（15分）
添加用户前的SAM文件内容：

添加用户后的SAM文件内容：

主要内容差距为：

1003表示RID（Relative Identifier）：RID是一个相对标识符，它是一个整数，用于在本地计算机上唯一标识一个安全主体（如用户或组）。相对于该安全主体所属的域或本地计算机的安全主体而言，RID是唯一的
test表示User，用户账户包含有关该用户的安全设置，如密码策略和访问权限
1003后面的一堆代表LM（LAN Manager）：LM是早期的密码哈希算法。由于存在漏洞容易破解，windows vista和更高版本的操作系统已经不使用这个。
LM后面的一堆代表NTLM（LAN Manager）：虽然使用LM哈希算法，但是使用更安全的哈希算法（MD5或SHA1）。已经被更安全的Kerberos协议取代。
SAM文件的安全特性：
1.访问控制：只有授权用户才可以访问它。
2.加密：SAM文件中储存的密码是加密的，即使被访问也无法查看密码。
3.权限控制：只有管理员权限的才可以访问和修改。
4.监控：SAM文件的访问和修改记录可以被操作系统的安全审计功能记录下来。
5.约束性：SAM文件中存储的信息只适用于本地用户账户，无法用于远程用户认证。
根据SAM口令破解的情况，给出设置安全性较高的用户口令的原则或建议。（20分）
1.复杂度和长度：口令应该足够复杂和足够长。
2.避免常见密码：很多攻击方法都是暴力破解，选取常见的密码很容易被破解。
3.避免个人信息：避免用个人信息设置密码，以防个人信息泄露后密码也被破解。
4.使用密码管理器：使用密码管理器可以帮助生成复杂的密码，并且可以自动保存和管理多个账号的口令。
5.多因素认证：启用多因素认证可以增加账号的安全性，例如通过短信验证码、指纹识别等等。
查看mysql的apparmor配置文件内容，说明文件结构和各部分含义。并对比工作模式更改前后的变化。（25分）
设置为comlain模式下的内容：

设置为enforce下的内容：

in enforce mode ：也就是强制执行某些规则或安全措施，以确保系统的安全性和稳定性。
in complain mode:也就是当这些用户或资料违反了系统规则或安全措施时，系统会发出警告或记录，但不会采取强制措施。这通常是为了方便管理员或审计员对系统的管理和监控。
两种模式下主要的区别是 /usr/sbin/mysqld由complain mode改变为enforce mode，这意味着系统将不再容忍MYSQL进程执行任何违反规则或安全措施的行为，并将采取必要的强制措施来确保系统的安全性和稳定性。
思考Windows的两种安全认证协议NTLM和Kerberos，总结分析各自的优点、缺点及其可能存在的至少１种攻击方式。（30分）
Kerberos比NTLM更安全和可扩展，特别适用于大型网络环境和跨域身份验证。但是，在小型本地网络环境中，NTLM可能更为简单和方便。需要注意的是，NTLM协议在更高版本将被完全移除。
攻击方式：1.NTLM中的Pass the Hash攻击：攻击者可以截取哈希值，然后将其用于认证和访问受保护的资源。这种攻击方式被称为“Pass the Hash”，因为攻击者并不需要获取密码本身，只需要获取密码的哈希值即可。
2.Kerberos中的票据重用攻击：攻击者可以窃取受信任的票据-granting票（TGT），并将其用于向其他服务器发出身份验证请求，从而获得对受保护资源的访问权限。
3.中间人攻击：攻击者可以截获NTLM或Kerberos的通信流量，并在通信过程中进行窃听和篡改。这种攻击方式可能导致攻击者获得用户凭据或TGT，并以此进行身份验证和访问资源。