操作系统安全实验报告.docx

《操作系统安全实验报告.docx》由会员分享，可在线阅读，更多相关《操作系统安全实验报告.docx（20页珍藏版）》请在三一办公上搜索。

1、操作系统安全实验报告CENTRAL SOUTH UNIVERSITY 操作系统安全实验报告 学生姓名 班级学号 指导教师 设计时间 操作系统安全实验一 Windows系统安全设置实验 一、实验目的 1、了解Windows操作系统的安全性 2、熟悉Windows操作系统的安全设置 3、熟悉MBSA的使用 二、实验要求 1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。 2、采用MBSA测试系统的安全性，并分析原因。 3、比较Windows系统的安全设置和Linux系统安全设置的异同。 三、实验内容人 1、配置本地安全设置，完成以下内容： 账户策略：包括密码策略和账户锁

2、定策略 A账户锁定策略： 账户锁定阈值：指用户输入几次错误的密码后将用户账户锁定，默认为0，代表不锁定 账户锁定时间：指当用户账户被锁定后经过多长时间会自动解锁，0表示只有管理员才能受控解锁 复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器复位为0. B.密码策略 账户和口令的 安全设置：检查和删除不必要的账户、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户、不让系统显示上次登录的用户名。 A.创建用户： 控制面板-管理工具-计算机管理-本地用户和组-用户-创建用户 B.修改用户权限： 控制面板-用户账户-管理其他账户-更改账户类型

3、 C.禁止枚举账号： 禁止原因：枚举账号指某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口，然后通过共享会话猜测管理员系统密码，因此需要禁止枚举账号 方法：本地安全设置-“安全设置”-“本地策略”-“安全选项”-双击对匿名连接的额外限制-不允许枚举SAM账号和共享” D创建陷阱用户： 原因：本来用户是权限是非管理员，让黑客认为他是管理员，取名Administrator，是因为一般的管理员用户默认名为Administrator 方法：右击 我的电脑 管理 本地用户和组 用户 1、将右侧“管理计算机的内置账户”默认的是administrator,改名为其他名字，但不要以adm

4、in、root等命名。 2、在右侧空白处右击 新用户在弹出的对话框中用户名：admin或administrator，密码自设 设置用户权限： 运行组策略编辑器程序，在编辑器窗口的左侧窗口中逐级展开“计算机配置Windows设置安全设置本地策略用户权限指派”分支。双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。 E禁止来宾账户 F不让系统显示上次登录的用户名： 组策略计算机配置windows配置安全配置本地策略安全选项双击交互式登陆：不显示上次的用户名交互式登陆：不显示上次的用户名属性单击已选用确定 设置审核策略：审核策略更改、审核账户

5、登录事件、审核账户管理、审核登录事件、审核特权使用等 方法：控制面板-管理工具-本地安全策略-本地策略审核策略 设置IP安全策略 作用：IP安全策略是起到IP地址的安全保护设置作用的，可以防止比尔ping自己的电脑，关闭一些危险的端口。 方法： 管理工具本地安全策略右键ip安全策略创建IP安全策略单击下一步3389过滤默认下一步确定后管理IP筛选器操作建立筛选器添加输入3389筛选器1-单击添加下一步任何ip地址下一步目的地址选我的Ip地址下一步选择TCP的IP协议设置从任何端都到本机的某一端口下一步-管理筛选器操作添加下一步取名下一步阻止下一步完成筛选器建立 接着建立IP安全规则双击建立的3

6、389过滤”添加下一步选择是到下图 选择3389过滤器1阻止3389下一步完成安全规则建立IP安全策略右键3389过滤单击之指派开始应用IP策略所以连接3389的TCP请求都被阻止 建立允许管理员登陆的策略： 打开上图重复建立筛选器步骤建立3389筛选器2的筛选器-重复建筛选器操作的步骤-建立名为3389的操作，在选择动作时使用”许可“ 其他设置：公钥策略、软件限制策略等 公钥策略：可以让电脑自动向企业证书颁发机构提交证书申请并安装办法的证书，这样有助于电脑获得在组织内执行公钥加密操作。 软件限制策略：简单而言，就是设置哪些软件可用哪些不可用，默认情况是关闭的。 设置某软件不可用： 右键软件限

7、制策略建立新的策略单击其他规则选新路径规则单击浏览选择相应程序安全级别中选不允许单击确定 2、Windows系统注册表的配置 找到用户安全设置的键值、SAM设置的键值 修改注册表： 禁止建立空连接禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。 A打开系统注册表： 开始运行键入regedit B.禁止建立空连接： 空连接就是不用密码和用户名的IPC连接，在Windows 下，它是Net 命令来实现的 方法1：开始运行键入regedit-找到如下主键HKEY_L

8、OCAL_MACHINESYSTEMCurrentControlSetControlLSA把RestrictAnonymous的键值改为:00000001 上述操作执行完成后，用net share命令仍能看到ipc$ 共享，但只是不允许匿名空连接，可使用密码连接。 方法2：开始-设置-控制面板-管理工具-服务 ，在服务中停止掉 server的服务 C.禁止管理共享： 方法1：在计算机管理中直接停止共享 右击我的电脑管理共享文件夹共享右击需要停止的共享停止共享。 方法2： 编辑注册表 使用前:方法停止系统默认共享，在系统重新启动后，又恢复了共享，可以通过修改注册表的方法，永久停止系统默认共享。

9、在注册表中找到如下组键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters，新建DWORD类型的键，键名AutoShareServer，键值设为0。 但IPC$共享不受此影响，要想停止IPC$共享，可建立一个批处理文件stopipc.bat，内容包括net share ipc$ /delete一行，然后在启动组中建立一个快捷方式。当以Administrator组中用户登录时，可停止IPC$共享，当以其它用户登录时，因不能执行NET命令，不能停止IPC$共享。 D减少Syn-ack包的响应时间： HKLM

10、SYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的 次数。 增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默认值为3，最大20，最小1。 HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默认值为1000，最大可取40000

11、 E防范SYN攻击： 相关的值项在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD：SynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。 (2) DWORD：TcpMaxConnectResponseRetransmissions：定义了对 于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值=2时才会被启用，默认值为3。 F预防DoS攻击： 在注册表 HKLMSYSTEM

12、CurrentControlSetServicesTcpipPa rameters中更改以下值可以防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 G防止ICMP重定向报文的

13、攻击： HKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 不支持ICMP协议 IGMP(Internet Group Manage Protocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host,windows系列采用了这个协议,因为此项技术尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚

14、至鼠标,键盘均不管用. 非得重起不 H修改MAC地址： 控制面板网络和控制中心更改适配器设置选择本地要修改MAC地址的网卡 右键网卡选择属性配置高级网络地址输入新的MAC地址 3、文件及文件夹权限设置 用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？有属哪些组？设置其权限。 新建一个文件夹并设置其访问控制权限。 系统的当前用户为Adiministrator，因此选中该用户，编辑其权限，将拒绝权限项全部打钩后，点击应用，在打开文件的时候显示： 4、审核日志分析 查找审核日志，显示其详细信息：应用程序日志、安全性日志、系 统日志。 控制面板管理工具事件查看器windows日志安全双击事件

15、详细信息 ProcessID表示进程的身份验证号是0xa60 分析各种日志所描述的内容，分析警告、信息、错误等的意义。 信息为普通系统信息， 警告为暂时可不处理问题， 错误为必须立即处理的问题 5、使用Microsoft 基准安全分析器MBSA 2.0对系统进行安全评估 Microsoft 基准安全分析器 (MBSA) 可以检查操作系统，还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时，它将 Windows 组件也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中，由 MBSA 在运行扫描时下载，也可以

16、下载到本地计算机上，或通过网络服务器使用。 6、信息安全综合实验系统中的实验： 信息安全 01. Windows用户管理 02. Windows策略管理 03. Windows网络与服务管理 04. Web服务安全配置 06. 远程桌面安全配置 22. 文件事件审计实验 23. 网络事件审计实验 24. 应用程序审计实验 25. 主机监管实验 26.日志事件审计实验 27. 日志关联审计实验 28. 审计跟踪实验 29. FAT32数据恢复实验 30. NTFS数据恢复实验 36. Snapshot快照实验 37. 主机存活性判断实验 38. 服务端口判断实验 39. 操作系统判断实验 40.

17、 操作系统漏洞扫描实验 网络攻防 03. Windows Server IP安全配置 07. Windows系统账户安全评估 08. Windows系统账户安全评估 10. 弱口令破解实验 11. 信息安全风险评估实验 12. 配置Windows系统安全评估日志配置2 13. 配置Windows系统安全评估IP协议安全配置 14. 配置Windows系统安全评估Windows日志与审计 操作系统安全实验二 Linux系统安全设置实验 一、实验目的 1、了解Linux操作系统的安全性 2、熟悉Linux操作系统的安全设置 3、建立Linux操作系统的基本安全框架 二、实验要求 1、根据实验中的安

18、全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。 2、使用RPM对系统的软件进行管理，验证系统内软件的完整性，并分析结果。 3、比较Windows系统的安全设置和Linux系统安全设置的异同。 三、实验内容 cd /home 进入 / home 目录 cd . 返回上一级目录 cd ./. 返回上两级目录 cd 进入个人的主目录 cd user1 进入个人的主目录 cd - 返回上次所在的目录 pwd 显示工作路径 ls 查看目录中的文件 ls -F 查看目录中的文件 ls -l 显示文件和目录的详细资料 ls -a 显示隐藏文件 ls *0-9* 显示包含数字的文件名和目录名 t

19、ree 显示文件和目录由根目录开始的树形结构(1) lstree 显示文件和目录由根目录开始的树形结构(2) mkdir dir1 创建一个叫做 dir1 的目录 mkdir dir1 dir2 同时创建两个目录 mkdir -p /tmp/dir1/dir2 创建一个目录树 rm -f file1 删除一个叫做 file1 的文件 rmdir dir1 删除一个叫做 dir1 的目录 rm -rf dir1 删除一个叫做 dir1 的目录并同时删除其内容 rm -rf dir1 dir2 同时删除两个目录及它们的内容 mv dir1 new_dir 重命名/移动 一个目录 cp file1

20、file2 复制一个文件 cp dir/* . 复制一个目录下的所有文件到当前工作目录 cp -a /tmp/dir1 . 复制一个目录到当前工作目录 cp -a dir1 dir2 复制一个目录 1、账户和口令安全 (1)查看和添加账户 在终端下输入命令：useradd *，建立一个新账户； Sudo 授权： sudo -i表示以root身份登录，进程的实际用户ID和有效用户ID都变成了root，主目录也切换为root的主目录。 想从root用户切回user用户只需执行命令：su user cat /etc/shadaw, 查看系统中的账户列表； 查看文件内容 cat file1 从第一个字

21、节开始正向查看文件的内容 tac file1 从最后一行开始反向查看一个文件的内容 more file1 查看一个长文件的内容 less file1 类似于 more 命令，但是它允许在文件中和正向操作一样的反向操作 head -2 file1 查看一个文件的前两行 tail -2 file1 查看一个文件的最后两行 tail -f /var/log/messages 实时查看被添加到一个文件中的内容 (2)添加和更改密码：passwd命令 (3)查看Linux系统中是否有用于检测密码安全的黑客技术语字典及密码检测模块：locate pam_cracklib.so dict|grep crac

22、k 2、账户安全设置 强制用户首次登陆时修改口令，强制每90天更改一次口令，并提前10天提示：change命令 账户的禁用与恢复：passwd命令，锁定除root之外的不必要的超级用户 把root用户密码设为空了，Linux中都不允许使用空密码 建立用户组，设置用户：groupadd命令、groupmod命令、gpasswd命令 groupmod命令更改用户组信息命令，-n选项用于修改用户组组名，-g选项用于修改用户组的GID groupadd命令 groupmod命令 gpasswd命令 设置密码规则：/etc/login.defs文件编辑修改，设置用户的密码最长使用天数、最小密码长度等 P

23、ASS_MAX_DAYS 90 #密码最长过期天数 PASS_MIN_DAYS 80 #密码最小过期天数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 #密码过期警告天数 为账户和组相关系统文件加上不可更改属性，防止非授权用户获取权限：chattr命令、 文件的特殊属性 - 使用 + 设置权限，使用 - 用于取消 chattr +a file1 只允许以追加方式读写文件 chattr +c file1 允许这个文件能被内核自动压缩/解压 chattr +d file1 在进行文件系统备份时，dump程序将忽略这个文件 chattr +i file1 设置成不可

24、变的文件，不能被删除、修改、重命名或者链接 chattr +s file1 允许一个文件被安全地删除 chattr +S file1 一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘 chattr +u file1 若文件被删除，系统会允许你在以后恢复这个被删除的文件 lsattr 显示特殊的属性 删除用户和用户组：userdel命令、groupdel命令 删除用户组 删除用户 限制su命令提权：/etc/pam.d/su文件，在头部添加命令： auth required /lib/security/pam_wheel.so group=wheel 这样，只有wheel组的用

25、户可以su到root用户 将用户加入到某个组：usermod命令 确认shadow中的空口令帐号：awk命令 /中间有一个！表示密码为空 3、文件系统管理安全 查看某个文件的权限：ls l 设置文件属主及属组等的权限：chmod命令 切换用户，检查用户对文件的权限：su命令 修改文件的属主和属组：chown命令 chmod ugo+rwx directory1 设置目录的所有人(u)、群组(g)以及其他人(o)以读、写(w)和执行(x)的权限 chmod go-rwx directory1 删除群组(g)与其他人(o)对目录的读写执行权限 chown user1 file1 改变一个文件的所有

26、人属性 chown -R user1 directory1 改变一个目录的所有人属性并同时改变改目录下所有文件的属性 chgrp group1 file1 改变文件的群组 chown user1:group1 file1 改变一个文件的所有人和群组属性 find / -perm -u+s 罗列一个系统中所有使用了SUID控制的文件 chmod u+s /bin/file1 设置一个二进制文件的 SUID 位 - 运行该文件的用户也被赋予和所有者同样的权限 chmod u-s /bin/file1 禁用一个二进制文件的 SUID位 chmod g+s /home/public 设置一个目录的SG

27、ID 位 - 类似SUID ，不过这是针对目录的 chmod g-s /home/public 禁用一个目录的 SGID 位 chmod o+t /home/public 设置一个文件的 STIKY 位 - 只允许合法所有人删除文件 chmod o-t /home/public 禁用一个目录的 STIKY 位 文件的打包备份和压缩、和解压：tar命令、gzip命令、gunzip命令 tar -cvf archive.tar file1 创建一个非压缩的 tarball tar -cvf archive.tar file1 file2 dir1 创建一个包含了 file1, file2 以及 d

28、ir1的档案文件 tar -tf archive.tar 显示一个包中的内容 tar -xvf archive.tar 释放一个包 tar -xvf archive.tar -C /tmp 将压缩包释放到 /tmp目录下 tar -cvfj archive.tar.bz2 dir1 创建一个bzip2格式的压缩包 tar -xvfj archive.tar.bz2 解压一个bzip2格式的压缩包 tar -cvfz archive.tar.gz dir1 创建一个gzip格式的压缩包 tar -xvfz archive.tar.gz 解压一个gzip格式的压缩包 gzip file1 压缩一个

29、叫做 file1的文件 gzip -9 file1 最大程度压缩 gunzip file1.gz 解压一个叫做 file1.gz的文件 备份 dump -0aj -f /tmp/home0.bak /home 制作一个 /home 目录的完整备份 dump -1aj -f /tmp/home0.bak /home 制作一个 /home 目录的交互式备份 restore -if /tmp/home0.bak 还原一个交互式备份 设置应用于目录的SGID权限位： 文件权限用 12 个二进制位表示，如果该位的值是 1，表示有相应的权限： 11 10 9 8 7 6 5 4 3 2 1 0 S G T

30、 r w x r w x r w x 第 11 位为 SUID 位，第 10 位为 SGID 位，第 9 位为 sticky 位，第 8-0 位对应于上面的三组 rwx 位。 上面的-rwsr-xr-x的值为： 1 0 0 1 1 1 1 0 1 1 0 1 -rw-r-Sr-的值为： 0 1 0 1 1 0 1 0 0 1 0 0 chmod g+s filename 设置SGID位 chmod g-s filename 去掉SGID设置 SUID作用：让本来没有相应权限的用户运行这个程序时，可以访问他没有权限访问的资源。 4、信息安全综合实验系统实验 信息安全 07. Linux文件系统

31、08. Linux用户管理 09. Linux日志管理 10. Linux网络与服务管理 20. Linux恶意脚本实验 31. ext2数据恢复实验 33. IP SAN网络存储实验 34. NAS网络存储实验 35. NFS数据实验 网络攻防 16. Linux用户管理实验 23. 综合扫描实验 操作系统安全实验三 SELinux实验 一、实验目的 1、了解Linux操作系统的安全性 2、熟悉SELinux安全模块的配置和使用 3、熟悉SELinux框架的基本内容 二、实验要求 1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。 2、熟悉Flask安全体系框架和

32、SELinux安全体系结构的组成。 3、比较Flask安全体系框架和权能体系结构。 三、实验内容 1、安装与启动SELinux安全模块 Selinux简介： Selinxux的特点：对访问的控制彻底化，对所有的文件、目录、端口的访问都是基于策略设定的，可由管理员时行设定。对于用户只赋予最小权限。用户被划分成了一些role(角色)，即使是root用户，如果不具有sysadm_r角色的话，也不是执行相关的管理。哪些role可以执行哪些domain,也是可以修改的。 当启动selinux的时候，所有文件与对象都有安全上下文。进程的安全上下文是域，安全上下文由用户:角色:类型表示。 ubuntu 10

33、环境下： sudo apt-get install selinux 2、查看当前SELinux目前的设置，理解设置影响哪方面的安全？ 查看selinux加载的内核模块：semodule l SELinux当前运行状态：getenforce 设置运行状态： sudo setenforce Enforcing | Permissive | 1 | 0 SELinux的工作模式一共有三种 enforcing、permissive和disabled enforcing 强制模式：只要是违反策略的行动都会被禁止，并作为内核信息记录 permissive 允许模式：违反策略的行动不会被禁止，但是会提示警告

34、信息 disabled 禁用模式：禁用SELinux，与不带SELinux系统是一样的，通常情况下我们在不怎么了解SELinux时，将模式设置成disabled，这样在访问一些网络应用时就不会出问题了 查看拒绝信息：getsebool -a、getsebool allow_execheap 查看允许的服务：/var/log/messages、/usr/bin/audit2allow 查看用户安全上下文：id 1 检查帐号的安全上下文 root:system_r:unconfined_t:SystemLow-SystemHigh 可以查看selinux错误日志：sealert -a /var/l

35、og/audit/audit.log 3、修改SELinux设置，理解设置影响哪方面的安全？ 修改安全上下文：chcon R chcon -R -tsamba_share_t /tmp/abc 注：安全上下文的简单理解说明，受到selinux保护的进程只能访问标识为自己只够访问的安全上下文的文件与目录。 例如：上面解释为使用smb进程能够访问/tmp/abc目录而设定的安全上下文。 修改策略：setsebool P setsebool命令 setsebool P allow_ftpd_anon_write=1 -P 是永久性设置，否则重启之后又恢复预设值。 示例： rootredhatfile

36、s# setsebool -P allow_ftpd_anon_write=1 rootredhatfiles# getsebool allow_ftpd_anon_write allow_ftpd_anon_write- on 说明：如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问，配置文件中也允许可写，但是selinux中策略中不允许可写，仍然不可写。所以基于selinux保护的服务中，安全性要高于很多。其他修改设置方面，如http、ftp、nfs等。 nfs selinux对nfs的限制好像不是很严格，默认状态下，不对nfs的安全上下文进行标记，而且在默认状态的策略下，nf

37、s的目标策略允许nfs_export_all_ro nfs_export_all_ro nfs_export_all_rw值为0 所以说默认是允许访问的。但是如果共享的是/home/abc的话，需要打开相关策略对home的访问。 setsebool -Puse_nfs_home_dirs boolean 1 getsebooluse_nfs_home_dirs ftp 如果ftp为匿名用户共享目录的话，应修改安全上下文。 chcon -R -t public_content_t /var/ftp chcon -R -t public_content_rw_t /var/ftp/incoming

38、 策略的设置 setsebool -P allow_ftpd_anon_write =1 getsebool allow_ftpd_anon_write allow_ftpd_anon_write- on http apache的主目录如果修改为其它位置，selinux就会限制客户的访问。 修改安全上下文： chcon -R -t httpd_sys_content_t /home/html 由于网页都需要进行匿名访问，所以要允许匿名访问。 修改策略： setsebool -P allow_ftpd_anon_write = 1 setsebool -P allow_httpd_anon_wr

39、ite = 1 setsebool -P allow_anon_write =1 关闭selinux对httpd的保护 httpd_disable_trans=0 5、查看源代码。 6、C:WindowsWinSxSamd64_microsoft-windows-s.ytools-ex.resources_31bf3856ad364e35_6.2.9200.16384_zh-cn_be045691f7e110cb 7、%SystemRoot%System32Wbem 8、/etc/selinux下的target目录的作用： /etc/selinux/是存放所有策略文件和主要配置文件的目录。其中

40、策略文件分为两种，一种是严格策略，一种就是target目标策略，它定义了只有目标进程受到SELinux限制，非目标进程就不会受到SELinux限制，有限策略模式下，9个系统服务受SELinux监控，几乎所有的网络服务都受控。配置文件是/etc/selinux/config，一般测试过程中使用“permissive”模式，这样仅会在违反SELinux规则时发出警告，然后修改规则，最后由用户觉得是否执行严格“enforcing”的策略，禁止违反规则策略的行为。 9、请谈谈你对Selinux架构和Flask体系结构的认识。 Selinux在Linux内核实现了灵活的和细粒度的非自主存取控制，并能够灵

41、活的支持多种安全策略。他的最初实现形式是作为一个特殊的核心补丁。 Selinux的安全体系结构称之为Flask，在Flask体系结构中，安全策略和通用接口被封装在了安全服务器中，他是一个内核子系统。 Flask由两部分组成，即策略和实施，策略封装在安全服务器中，实施由对象管理器具体执行。 系统内核的对象管理器执行系统的具体操作，当需要对安全性进行判断时，向安全服务器提出请求。对象管理器只关心SID，请求到达服务器后，实现与安全上下文的映射并进行计算，然后将决定的结果返回给对象管理器。 系统中的安全请求和决定由三种情况，分别是：标签决定，存取决定和多实例化决定。安全服务器是内核的子系统，用于实现对策略的封装并提供通用接口。Selinux的安全服务器实现了一种混合的安全策略，包括类型实施，基于角色的访问控制和可选的多级别安全性。 Flask结构还提供了一个访问控制向量缓存模块，允许对象管理器缓存访问向量，减小整体性能的损耗。