【CISP笔记】操作系统安全
账号安全设置
默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。
本地安全策略
打开方式
win+R 输入ecpol.msc
账号锁定策略
用户权限分配
关闭自动播放功能
自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器
账户权限控制-设置唤醒密码
控制面板-》电源选项-》唤醒时需要密码
网络访问控制-防火墙设置
确保启用Windows自带防火墙
共享安全防护-关闭管理共享
Linux系统安全
Linux系统标识与鉴别-帐号信息存储
信息存储
用户信息:
/etc/passwd
格式:name:coded-passwd(X或*表示不可登陆):UID:GID:userinfo:homedirectory:shell
/etc/shadow
格式:name:passwd:lastchg:min:max:warn:inactive:expire:flag
组信息
/etc/group
/etc/gshadow
Linux系统文件访问控制-权限模式
账号和口令安全——口令安全策略
设置账户锁定登录失败锁定次数、锁定时间
修改账户超时值,设置自动注销时间
口令修改策略
强制口令使用有效期
设置口令修改提醒
设置账户锁定登录失败锁定次数、锁定时间
vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 6
PASS_WARN_AGE 28
Linux设置——系统服务配置
禁止危险的网络服务
telnet、FTP
echo、chargen、shell、finger、NFS、RPC等
关闭非必需的网络服务
talk、ntalk等
关闭邮件服务:chkconfig --level 12345 sendmail off
关闭图形登录服务:编辑/etc/inittab文件,修改为id:3:initdefault:
关闭X font服务:chkconfig xfs off
Linux设置——远程登录安全
禁用telnet,使用SSH进行管理
限制能够登录本机的IP地址
禁止root用户远程登陆
限定信任主机
修改banner信息
远程登录安全——使用SSH/限制登录IP
禁用telnet,使用SSH进行管理
开启ssh服务:#service sshd start
限制能够登录本机的IP地址
#vi /etc/ssh/sshd_config
添加(或修改):
AllowUsers xyz@192.168.1.23
允许用户xyz通过地址192.168.1.23来登录本机
AllowUsers *@192.168.*.*
仅允许192.168.0.0/16网段所有用户通过ssh访问。
远程登录安全——禁止root/限定信任主机
禁止root用户远程登陆
#cat /etc/ssh/sshd_config
确保PermitRootLogin为no
限定信任主机
#cat /etc/hosts.equiv
#cat /$HOME/.rhosts
查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机
或直接关闭所有R系列远程服务
rlogin
rsh
rexec
远程登录安全——修改banner信息
系统banner信息
一般会给出操作系统名称、版本号、主机名称等
修改banner信息
查看修改sshd_config
#vi /etc/ssh/sshd_config
如存在,则将banner字段设置为NONE
查看修改motd:
#vi /etc/motd
该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容
文件和目录安全——设置默认umask值
设置新创建文件的默认权限掩码
可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问
umask设置的是权限“补码”
设置方法
使用umask命令
如 #umask 066
编辑/etc/profile文件,设置umask值
Linux设置——系统日志配置
启用syslog服务
配置日志存储策略
打开/etc/logrotate.d/syslog文件,检查其对日志存储空间的大小和时间的设置
使用安全软件——使用主机防火墙
Linux下的防火墙框架iptables
- 启动指令:service iptables start
- 重启指令:service iptables restart
- 关闭指令:service iptables stop
- 然后是相关配置:/etc/sysconfig/iptables
包过滤
NAT
数据包处理
Iptables基本规则
Iptables [-t table] command [match][target]
Iptables基本应用
Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
Iptables –D INPUT – dport 80 –j DROP
【CISP笔记】操作系统安全的更多相关文章
- 《Kafka权威指南》读书笔记-操作系统调优篇
<Kafka权威指南>读书笔记-操作系统调优篇 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 大部分Linux发行版默认的内核调优参数配置已经能够满足大多数应用程序的运 ...
- ucos实时操作系统学习笔记——操作系统在STM32的移植
使用ucos实时操作系统是在上学的时候,导师科研项目中.那时候就是网上找到操作系统移植教程以及应用教程依葫芦画瓢,功能实现也就罢了,没有很深入的去研究过这个东西.后来工作了,闲来无聊就研究了一下这个只 ...
- 【CISP笔记】安全攻击与防护
公开信息收集-搜索引擎 快速定位Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖 ...
- 《Linux内核分析》第二周笔记 操作系统是如何工作的
操作系统是如何工作的 一.函数调用堆栈 1.三个法宝 计算机是如何工作的?(总结)——三个法宝(存储程序计算机.函数调用堆栈.中断机制) 1)存储程序计算机工作模型,计算机系统最最基础性的逻辑结构: ...
- 19-MySQL DBA笔记-操作系统、硬件、网络的优化
第19章 操作系统.硬件.网络的优化 本章将介绍操作系统和硬件的性能优化,对于硬件,我们主要讲述CPU.内存.磁盘阵列及固态硬盘.任何优化,首先都需要有足够的数据支持,对于操作系统下性能数据的收集,这 ...
- 【CISP笔记】安全漏洞与恶意代码(2)
恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试 恶意代码检测技术 特征码扫描 沙箱技术 行为检测 恶意代码分析技术 静态分析 需要实际执行恶意代码,它通过对其二进制文 ...
- 【CISP笔记】安全漏洞与恶意代码(1)
恶意代码 类型二进制代码.脚本语言.宏语言等表现形式病毒.蠕虫.后门程序.木马.流氓软件.逻辑炸弹等 恶意代码的传播方式(1)移动存储 自动播放功能.Windows默认.自动执行autorun.inf ...
- 【CISP笔记】数据库及应用安全
数据库安全特性检查工具美国应用安全公司的App Detective英国下一代软件公司的NGS SQuirrel 常见应用安全威胁 网络层面拒绝服务.电子欺骗.嗅探.……系统层面Web服务漏洞.配置错误 ...
- 《Apache Kafka实战》读书笔记-调优Kafka集群
<Apache Kafka实战>读书笔记-调优Kafka集群 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.确定调优目标 1>.常见的非功能性要求 一.性能( ...
随机推荐
- hdu 3089 约瑟夫环
原来并不知道约瑟夫环还可以递推直接解orz 约瑟夫问题的递推公式: 设f[n]表示一共n个人,数到k出局,这样最后的winner (n个人从0开始标号,即0--n-1) f[n]=(f[n-1]+k) ...
- 2.头文件<bits/stdc++.h>
用这种方法声明头文件只需两行代码 #include<bits/stdc++.h> using namespace std; 这个头文件包含以下等等C++中包含的所有头文件: #inclu ...
- glibc resolv/res_send.c getaddrinfo() buffer stack smash when dealing malformation big DNS Response Package
catalogue . 漏洞简述 . 调试环境搭建 . 漏洞利用 . 漏洞分析 . 缓解修复方案 1. 漏洞简述 0x1: 函数调用顺序 getaddrinfo (getaddrinfo.c) -&g ...
- Java JVM、JNI、Native Function Interface、Create New Process Native Function API Analysis
目录 . JAVA JVM . Java JNI: Java Native Interface . Java Create New Process Native Function API Analys ...
- Scala: 包对象
包对象最重要的用途是兼容旧的类库,或者为某些数据类型提供增强版本:一般我们可以将其作为扩展工具方法或数据来使用
- Android数据库升级
随着Android应用版本的迭代,经常遇到数据库表结构发生改变,或者一些指定的表数据需要更新.这也就引出一个问题Android数据库的更新问题. Android数据库升级分类 Android数据库更新 ...
- nginx location在配置中的优先级
location表达式类型 ~ 表示执行一个正则匹配,区分大小写~* 表示执行一个正则匹配,不区分大小写^~ 表示普通字符匹配.使用前缀匹配.如果匹配成功,则不再匹配其他location.= 进行普通 ...
- [JavaWeb 用MyEclipse分别创建最简单的JSP程序和Servlet程序]
最近看了子柳的<淘宝技术这十年>,其中讲到因为负载和连接池问题,淘宝当年迫不得已从SUN请来一对工程师从LAMP架构转到Java+Oracle.作为一个PHP为“母语”的程序仔,真是感到压 ...
- JavaWeb学习总结-06 Listener 学习和使用
一 Listener 当Web应用在Web容器中运行时,Web应用内部会不断地发生各种事件:如Web应用被启动.Web应用被停止.用户session开始.用户session结束.用户请求到达等,可以用 ...
- Linux Basic --- The First Character in The File Properity
-rw-r--r-- [d]: content [-]: file [l]: link file [b]: interface device for storage in a device file ...