数据安全
游戏服务器的操作系统的数据安全重要指通过安全机制来掩护操作系统运行时产生的数据以及系统用户数据的安全。数据安全重要包含数据完整性与数据机密性2个方面。
数据完整性重要指数据不受未经授权的修正,可以分为数据完整性掩护和数据完整性监测2个方面。数据完整性掩护是对数据完整性的主动掩护,通过访问把持等安全机制,把持只有满足完整性条件时才干修正数据。 Windows系统的MIC机制、 Linux系统的 SELINUX等机制都可认为数据完整性掩护供给支撑。数据完整性检测是通过完整性检测机制对指定文件生成验证信息,然后在系统应用过程中检测和报告系统中受掩护文件被修正、増加、删除、属性修正的详细情况,属于事后追查技巧。范例的数据完整性检测工具有UNIX系统的 Tripwire等。
数据保密性则是指数据信息只能被数据拥有者授权的用户获取,其他用户以及服务的供给者都无权获取数据信息。当前重要基于密码学对数据进行加密存储来实现对数据机密性的掩护,由于数据在文件系统中以密文存储,因此,即使文件丧失,也很难造成信息的泄漏。在商用操作系统中, Windows系统的 Bit Locker驱动器加密实现对操作系统卷上存储的所有数据进行加密
掩护,EFS( Encrypting File System)则在NTFS文件系统上实现对文件或目录的加密Linux内核也供给了企业级加密文件系统eCryptfs,通过叠加在Ex2、Ext3等其他文件系统上实现对文件的加密存储,为上层利用供给透明、动态、高效和安全的加密功效。除了加密存储之外,在操作系统中通过访问把持机制把持用户对数据的读操作也在必定程度上掩护信息不被泄漏。
网络安全支撑
防火墙为信息系统安全构建了网络屏障,操作系统也供给了对防火墙技巧的支撑。在 Linux操作系统中供给了 Netfilter/Iptables信息分组过滤系统, Netfilter是 Linux内核协议栈中实现的防火墙系统,为利用供给抽象、通用化的框架,在内核中构建信息分组过滤表,并遵守表中的规矩对分组进行过滤检查;以 Netfilter框架为基础, Iptables构建了利用层防火墙工具,为用户供给数据分组选择功效。
此外,在网络数据传输方面, Ipsec(In-ternet Protocol Securiy)簇通过对IP的分组进行加密和认证对IP的掩护,重要功效包含数据加密、对网络单元的访问把持、数据源地址验证、数据完整性检査和防止重放攻击等。目前,Windows、 Linux等主流操作系统都对 Ipsec进行了实现。
内存管理安全加强
传统的操作系统用户过程空间管理将过程的代码与数据进行统一存放,因此,恶意攻击者可以利用程序中的缓冲区溢出漏洞,在数据中注入恶意代码,通过恶意代码的履行获取对系统的访问权限。针对缓冲区溢出攻击,很多技巧在经典内存管理的基础上进行安全加强,通过对过程空间堆栈的掩护来打破缓冲区溢出攻击成功的条件,起到戒备攻击的作用。
Stack Guard技巧通过编译器对返回地址进行掩护,能够及时创造返回地址被簒改,从而避免恶意代码的履行;NX(No- e Xecute)通过从硬件机制上将数据页标记为不可履行来防止恶意代码履行,通过禁止数据段的履行来有效防止缓冲区溢出类的攻击;ASLR( Address SpaceLayout Randomization)技巧通过对过程地址空间的随机化布局使攻击者难以猜测过程中的执
行地址,从而戒备恶意程序对已知地址进行攻击; Safe SEH与 SEHOP技巧则对异常处理函数进行掩护,防止攻击者通过簒改异常处理函数来履行恶意代码。
内存管理损坏鍰冲区溢出的条件来进行攻击防御。如果说这类技巧是与攻击者的正面反抗,增长攻击成功的难度,那么强制访问把持技巧则是研究在恶意攻击者成功攻破系统后,如何将丧失降到最低。在操作系统安全防护系统中,这两类技巧都起到了不可或缺的重要作用。
