Chinaunix首页 | 论坛 | 博客
  • 博客访问: 287893
  • 博文数量: 33
  • 博客积分: 861
  • 博客等级: 军士长
  • 技术积分: 325
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-26 09:35
文章存档

2013年(1)

2012年(8)

2011年(25)

分类: 网络与安全

2011-04-09 09:33:11

Currently most operating systems support a variety of networking protocols, hardware, and 

applications for using them. This means that computers running dissimilar operating systems can 

participate in a common  for sharing resources such as , files, printers, and scanners

 using either wired or wireless connections. Networks can essentially allow a computer's operating 

system to access the resources of a remote computer to support the same functions as it could if 

those resources were connected directly to the local computer. This includes everything from simple 

communication, to using networked file systems or even sharing another computer's graphics or 

sound hardware. Some network services allow the resources of a computer to be accessed 

transparently, such as SSH which allows networked users direct access to a computer's command 

line interface.

当前大多数操作系统支持多样的网络协议,硬件和它们的一些应用。这意味着运行着不同操作系统的电脑可以加入一个公共的网络共享像计算、文件、打印机、扫描器、有线或无线链接之类的资源。从本质上讲网络可以让一个计算机的操作系统访问一台远程机上的资源而且支持这样的功能:就像看上去好像是访问本地计算机上的资源一样方便。这包括从简单的通信交流到使用网络文件系统甚至是共享另外一台计算机上的图片、声音的硬件资源。一些网络服务允许一台计算机上的资源被很方便的访问,像允许网络用户直接访问一台计算机的命令行接口的SSH

Client/server networking involves a program on a computer somewhere which connects via a 

network to another computer, called a server. Servers offer (or host) various services to other 

network computers and users. These services are usually provided through ports or numbered 

access points beyond the server's . Each port number is usually associated 

with a maximum of one running program, which is responsible for handling requests to that port.

 A daemon, being a user program, can in turn access the local hardware resources of that computer 

by passing requests to the operating system kernel.

客户端/服务器端网络包含一个在某处一台计算机上的程序可以通过网络介质连接到另外一台计算机,即服务器。服务器提供各种服务给其他的网络计算机,就是用户。这些服务通常通过端口或者被编号的访问点访问主机网络地址对应的点。每一个端口号通常对应一个正在运行的程序,这个程序负责处理对这个端口的一切请求。一个后台程序,作为一个用户程序,可以依次访问通过向操作系统内核申请得到的本地计算机硬件资源。

Many operating systems support one or more vendor-specific or open networking protocols as well, for example,  on  systems,  on systems 

from , and Microsoft-specific protocols () on Windows. Specific protocols for specific tasks may also be supported such

 as  for file access. Protocols like , or esd can be easily extended over the network to 

provide sound from local applications, on a remote system's sound hardware.

许多操作系统支持一个或多个自动标识或者网络工作协议,例如IBM系统里的SNA,数码仪器公司系统的DECNETWindows下的微软特殊协议SMB。用于特殊用途的特殊协议可能会被做为NFS支持。像ESound协议,或者esd可以在一台远程机器的声音硬件上被本地应用轻易扩展到支持声音。

Security 安全

A computer being secure depends on a number of technologies working properly. A modern operating

 system provides access to a number of resources, which are available to software running on the 

system, and to external devices like networks via the kernel.

一台计算机是否安全取决于许多技术是否被合适的利用。一个现代操作系统提供了对许多资源的访问途径,它们可能是运行在系统上的软件,也可能是基于内核的外围设备。

The operating system must be capable of distinguishing between requests which should be allowed to

 be processed, and others which should not be processed. While some systems may simply 

distinguish between "privileged" and "non-privileged", systems commonly have a form of requester identity, such as a user name. To establish

 identity there may be a process of authentication. Often a username must be quoted, and each 

username may have a password. Other methods of authentication, such as magnetic cards or 

biometric data, might be used instead. In some cases, especially connections from the network, 

resources may be accessed with no authentication at all (such as reading files over a network share).

 Also covered by the concept of requester identity is authorization; the particular services and 

resources accessible by the requester once logged into a system are tied to either the requester's

 user account or to the variously configured groups of users to which the requester belongs.

操作系统必须能够区分一些请求中那些请求应该给予相应而其他的请求不应该给予相应。然而一些系统可能简单的区分特权级和非特权,系统一般会有一个请求认证的表,比如用户名。为了维持认证可能会需要一个认证过程。通常用户名是必须要验证的,每一个用户名都会对应一个密码。其他的认证方式,像磁卡认证和生物特征认证,可能会被使用代替这种方式。在一些情况下,尤其是联网情况下,资源可能会被毫无认证地访问(例如通过一个网络阅读软件阅读材料)。另外,快要被请求认证的概念代替的是身份认证,请求访问资源信号的发出者一旦进入系统将会试图配置它所在的用户组或者用户账号(以提高权限)。

In addition to the allow/disallow model of security, a system with a high level of security will also offer 

auditing options. These would allow tracking of requests for access to resources (such as, "who has

 been reading this file?"). Internal security, or security from an already running program is only 

possible if all possibly harmful requests must be carried out through interrupts to the operating 

system kernel. If programs can directly access hardware and resources, they cannot be secured.

 

除了允许/禁止有安全性问题的模型,一个具有高安全等级的系统将会做出审查的选择。这将允许跟踪访问资源的请求者(例如谁度读过这个文件)。内部安全,或者来自一个已经在运行的程序的安全问题是唯一的一种可能如果所有的可能产生安全问题的请求被通过中断系统的内核执行的话。如果程序可以直接访问硬件资源的话,它们是不安全的。

External security involves a request from outside the computer, such as a login at a connected 

console or some kind of network connection. External requests are often passed through device

 drivers to the operating system's kernel, where they can be passed onto applications, or carried 

out directly. Security of operating systems has long been a concern because of highly sensitive data 

held on computers, both of a commercial and military nature. The United States  

 (DoD) created the  (TCSEC) 

which is a standard that sets basic requirements for assessing the effectiveness of security. This 

became of vital importance to operating system makers, because the TCSEC was used to evaluate,

 classify and select computer systems being considered for the processing, storage and retrieval of 

sensitive or .

外部安全包括来自计算机之外的请求,譬如在一个远程控制终端或类似网络设备上登陆。外部请求常常被通过设备驱动传递给内核,通过内核这些信息又被传递给相应的应用程序或者直接执行掉。操作系统安全很长时间被作为一个考虑因为在计算机上存有高敏感度的数据,不管是商业的还是军事的数据。美国国防部创建了可信赖计算机系统评估标准,即TCSEC,这是出于对安全效果评价的基本需求。由于TCSEC被用于在考虑到机密情报资料的处理、存储和检索时评估、区分和选择操作系统,它对操作系统编写者变得尤为重要,甚至可以说是生死攸关了。

Network services include offerings such as file sharing, print services, email, web sites, and 

 (FTP), most of which can have compromised security. At the front line

 of security are hardware devices known as  or intrusion detection/prevention systems. 

At the operating system level, there are a number of software firewalls available, as well as intrusion 

detection/prevention systems. Most modern operating systems include a software firewall, which is 

enabled by default. A software firewall can be configured to allow or deny network traffic to or from

 a service or application running on the operating system. Therefore, one can install and be running 

an insecure service, such as Telnet or FTP, and not have to be threatened by a security breach 

because the firewall would deny all traffic trying to connect to the service on that port.

网络服务包括提供文件共享服务,打印设备,电子邮件,网站和FTP等服务,他们中的大多数服务都会有安全问题。在安全的最前沿的就是为我们所熟知的防火墙以及一些入侵侦测/预防系统的硬件。在操作系统层,有许多的防火墙软件可以供我们使用,这些在默认情况下是激活的。一种防火墙软件可以被在是否允许网络或者一些服务应用程序运行上边做配置。因此,个人可以安装并运行一些不安全的服务像Telnet或者Ftp而不会受到安全威胁因为防火墙将会拒绝所有试图在连接这个端口的服务请求。

An alternative strategy, and the only sandbox strategy available in systems that do not meet the

 , is the operating system not running user programs

 as native code, but instead either  a processor or provides a host for a  based system such as Java.

一种可选择的策略,也是唯一沙箱策略在不满足波佩克与戈德堡虚拟化需求的系统中可用的是操作系统不要将用户代码做为本地代码执行,不过呢,一些模拟器可以为代码提供一个主机环境,像Java

Internal security is especially relevant for multi-user systems; it allows each user of the system to have private files that the other users cannot 

tamper with or read. Internal security is also vital if auditing is to be of any use, since a program 

can potentially bypass the operating system, inclusive of bypassing auditing.

对于多用户系统,内部安全是尤其值得关注的;它允许系统每一个用户拥有一个别的用户不能阅读、删除、修改的私有文件夹。如果安全审查几乎不起作用时内部安全也是极其重要的,因为一个程序可以简单的绕过操作系统,当然也包括绕过安全审查。

阅读(1954) | 评论(2) | 转发(0) |
给主人留下些什么吧!~~

advancing2011-05-28 13:03:09

来踩踩^_^

advancing2011-05-28 13:03:06

来踩踩^_^