OS安全机制之可追究机制

（一）标识与鉴别机制

标识：

要求系统对用户的身份进行有效标记，且要求代表用户身份的特定名称，即用户标识符uid必须满足唯一的，而且
是不能被伪造的

标识机制：

• 传统Unix系统中文件客体包括正规文件、目录文件、块设备文件、字符设备文件、命名管道FIFO、Socket、符号链接等7种。每个文件客体对应唯一的属主标识uid和属主所在组的组标识gid，保存在文件的inode中。
• 系统中的主体(进程)也具有uid和gid，即主体所代表的用户和所在组。
• Linux和Mac OS中，超级用户可以使用chown改变文件的属主uid，但是文件的属主不能改变其属主uid，这样做的原因是防止磁盘空间配额限制被恶意绕过。

鉴别：

将用户标识符与用户联系的过程，主要用以识别用户的真实身份，鉴别操作总是要求用户提供能够证明他身份的特殊信息，比如口令/password等。

与鉴别有关的认证机制：

一般采用口令认证机制，既日常使用的密码机制。
在任何需要TCB仲裁的操作之前，TCB都需要用户标识自己，TCB必须维护认证数据，并且保护数据访问被非法使用，TCB应能维护、保护和显示所有帐户的状态信息

注:

在安全操作系统中，可信计算基（TCB）要求先进行用户识别，之后才能进行要TCB调节的任何其他活动信息，此外，TCB要维护鉴别数据，不仅包括确定各个用户的许可证和授权信息，而且包括为验证各个用户标识所需信息比如口令等。用户鉴别是通过口令完成的。口令从终端到认证机的传输过程中应该注意保护，对口令的使用和更改进行审计，及时通知管理员和用户等

---

（二）可信路径机制

可信路径：

在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。但在进行用户登录、定义用户的安全属性、改变文件的安全等级等操纵时，用户必须确定是与安全内核通信而不是与一个特洛伊木马打交道。系统必须防止特洛伊木马模仿登录过程，窃取用户的口令。特权用户在进行特权操作时。也要有办法证实从终端上输出的信息是正确的，而不是来自于特洛伊木马。这种用于保障用户和真实内核通信的机制就是可信路径。

TCSEC B2级的可信路径要求为：

可信路径是终端人员能借以直接同可信计算基TCB 通信的一种机制，该机制只能由有关终端人员或可信计算基TCB 启动，不能被不可信软件模仿。

TCSEC B3 级的可信路径要求为：

连接用户（比如注册、更改主体安全级）时，计算机信息系统TCB 提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息TCB 激活，且在逻辑上与其他路径上的通信相隔离，且能正确地加以区分。

利用安全注意键实现可信通路：

系统预定了一组可信通路，当用户按下安全注意键（SAK）时，系统陷入内核进行解释，内核发现是安全注意键便激活可信通路，立刻杀死当前终端的所有用户进程（包括特洛伊木马），重新激活登录界面。用户可信相信他按下安全注意键后见到的登录界面是他同TCB建立的一条可信通路。

---

（三）安全审计机制

概念：

审计活动就是对系统中安全相关行为进行记录(recording), 检查(examining) 和 审核(reviewing)。

目的：

检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。

意义：

审计员可从审计追踪中获得详细、可靠的信息，为系统事故原因的查询、定位，事故发生前的预测、报警以及事故发生后的实时处理提供证据。

审计所有必要的事件，保证审计追踪过程及信息的完整性，审计是一个独立的过程，它应与系统其它功能相隔离，要求操作系统必须能够生成、维护及保护审计过程，使其免遭修改、非法访问及毁坏，特别要保护审计数据，要严格限制未经授权的用户访问它。

审计事件是系统审计用户操作最基本单位，可分为主体审计事件和客体审计事件：

（1）主体审计事件：

进程代表特定的用户请求系统服务、利用系统资源完成特定的任务，是系统中的活动主体。审计系统必须记录系统中所有执行安全相关活动的主体，这类审计事件即主体审计事件。其中每个用户都有自己待审计的事件，被称为用户事件标准，那些与系统安全性相关性重大，任何时候都免不了被审计的事件称为固定时间集。比如exec, fork, mount, reboot, setgid, setuid, link, unlink, ……
- 主体审计记录主要包括如下信息：
- 事件的类型、事件的成功与失败
- 主体审计事件所对应的进程标识pid
- 该进程对应的程序映像名称image
- 进程的真实用户/用户组标识ruid/rgid, 进程的有效用户/用户组标识euid/egid
- 进程当前的安全级sclass

（2）客体审计事件：

操作系统中的客体是指文件、消息、信号量、共享区等，客体审计事件关注的是对安全攸关的系统客体(或文件) 进行的存取活动。从操作系统安全的角度考虑，有一类主体安全活动与客体紧密相关。安全标准要求必须从客体的角度出发，记录这类事件。因此，这类操作即要产生主体审计记录，也要产生对应的客体审计记录。比如：chmod, chown, create, fcntl, ioctl, ……
客体审计事件必须记录：
- 客体的全路径
- 客体的属主/用户组uid/gid
- 客体的安全级

审计保护：审计追踪记录产生后，要避免这些记录被恶意破坏修改或删除，审计员应该从系统管理员中分离出来（审计职责隔离）