账号安全设置

默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。

本地安全策略

打开方式

win+R 输入ecpol.msc

账号锁定策略

用户权限分配

关闭自动播放功能

自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器

账户权限控制-设置唤醒密码

控制面板-》电源选项-》唤醒时需要密码

网络访问控制-防火墙设置

确保启用Windows自带防火墙

共享安全防护-关闭管理共享

Linux系统安全

Linux系统标识与鉴别-帐号信息存储
信息存储
用户信息:
/etc/passwd

格式:name:coded-passwd(X或*表示不可登陆):UID:GID:userinfo:homedirectory:shell
/etc/shadow

格式:name:passwd:lastchg:min:max:warn:inactive:expire:flag
组信息
/etc/group
/etc/gshadow

Linux系统文件访问控制-权限模式

账号和口令安全——口令安全策略

设置账户锁定登录失败锁定次数、锁定时间
修改账户超时值,设置自动注销时间

口令修改策略
强制口令使用有效期
设置口令修改提醒
设置账户锁定登录失败锁定次数、锁定时间

vi /etc/login.defs
PASS_MAX_DAYS    90
PASS_MIN_DAYS    7
PASS_MIN_LEN     6
PASS_WARN_AGE    28

Linux设置——系统服务配置
禁止危险的网络服务
telnet、FTP
echo、chargen、shell、finger、NFS、RPC等
关闭非必需的网络服务
talk、ntalk等

关闭邮件服务:chkconfig --level 12345 sendmail off
关闭图形登录服务:编辑/etc/inittab文件,修改为id:3:initdefault:
关闭X font服务:chkconfig xfs off

Linux设置——远程登录安全
禁用telnet,使用SSH进行管理
限制能够登录本机的IP地址
禁止root用户远程登陆
限定信任主机
修改banner信息

远程登录安全——使用SSH/限制登录IP

禁用telnet,使用SSH进行管理
开启ssh服务:#service sshd start
限制能够登录本机的IP地址
#vi /etc/ssh/sshd_config
添加(或修改):
AllowUsers xyz@192.168.1.23
允许用户xyz通过地址192.168.1.23来登录本机
AllowUsers *@192.168.*.*
仅允许192.168.0.0/16网段所有用户通过ssh访问。

远程登录安全——禁止root/限定信任主机

禁止root用户远程登陆
#cat /etc/ssh/sshd_config
确保PermitRootLogin为no
限定信任主机
#cat /etc/hosts.equiv
#cat /$HOME/.rhosts
查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机
或直接关闭所有R系列远程服务
rlogin
rsh
rexec

远程登录安全——修改banner信息
系统banner信息
一般会给出操作系统名称、版本号、主机名称等
修改banner信息
查看修改sshd_config
#vi /etc/ssh/sshd_config
如存在,则将banner字段设置为NONE
查看修改motd:
#vi /etc/motd
该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容

文件和目录安全——设置默认umask值
设置新创建文件的默认权限掩码
可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问
umask设置的是权限“补码”
设置方法
使用umask命令
如 #umask 066
编辑/etc/profile文件,设置umask值

Linux设置——系统日志配置

启用syslog服务
配置日志存储策略
打开/etc/logrotate.d/syslog文件,检查其对日志存储空间的大小和时间的设置

使用安全软件——使用主机防火墙
Linux下的防火墙框架iptables

  1. 启动指令:service iptables start
  2. 重启指令:service iptables restart
  3. 关闭指令:service iptables stop
  4. 然后是相关配置:/etc/sysconfig/iptables

包过滤
NAT
数据包处理
Iptables基本规则
Iptables [-t table] command [match][target]
Iptables基本应用
Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
Iptables –D INPUT – dport 80 –j DROP

【CISP笔记】操作系统安全的更多相关文章

  1. 《Kafka权威指南》读书笔记-操作系统调优篇

    <Kafka权威指南>读书笔记-操作系统调优篇 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 大部分Linux发行版默认的内核调优参数配置已经能够满足大多数应用程序的运 ...

  2. ucos实时操作系统学习笔记——操作系统在STM32的移植

    使用ucos实时操作系统是在上学的时候,导师科研项目中.那时候就是网上找到操作系统移植教程以及应用教程依葫芦画瓢,功能实现也就罢了,没有很深入的去研究过这个东西.后来工作了,闲来无聊就研究了一下这个只 ...

  3. 【CISP笔记】安全攻击与防护

    公开信息收集-搜索引擎 快速定位Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖 ...

  4. 《Linux内核分析》第二周笔记 操作系统是如何工作的

    操作系统是如何工作的 一.函数调用堆栈 1.三个法宝 计算机是如何工作的?(总结)——三个法宝(存储程序计算机.函数调用堆栈.中断机制) 1)存储程序计算机工作模型,计算机系统最最基础性的逻辑结构: ...

  5. 19-MySQL DBA笔记-操作系统、硬件、网络的优化

    第19章 操作系统.硬件.网络的优化 本章将介绍操作系统和硬件的性能优化,对于硬件,我们主要讲述CPU.内存.磁盘阵列及固态硬盘.任何优化,首先都需要有足够的数据支持,对于操作系统下性能数据的收集,这 ...

  6. 【CISP笔记】安全漏洞与恶意代码(2)

    恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试 恶意代码检测技术 特征码扫描 沙箱技术 行为检测 恶意代码分析技术 静态分析 需要实际执行恶意代码,它通过对其二进制文 ...

  7. 【CISP笔记】安全漏洞与恶意代码(1)

    恶意代码 类型二进制代码.脚本语言.宏语言等表现形式病毒.蠕虫.后门程序.木马.流氓软件.逻辑炸弹等 恶意代码的传播方式(1)移动存储 自动播放功能.Windows默认.自动执行autorun.inf ...

  8. 【CISP笔记】数据库及应用安全

    数据库安全特性检查工具美国应用安全公司的App Detective英国下一代软件公司的NGS SQuirrel 常见应用安全威胁 网络层面拒绝服务.电子欺骗.嗅探.……系统层面Web服务漏洞.配置错误 ...

  9. 《Apache Kafka实战》读书笔记-调优Kafka集群

    <Apache Kafka实战>读书笔记-调优Kafka集群 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.确定调优目标 1>.常见的非功能性要求 一.性能( ...

随机推荐

  1. hdu 3089 约瑟夫环

    原来并不知道约瑟夫环还可以递推直接解orz 约瑟夫问题的递推公式: 设f[n]表示一共n个人,数到k出局,这样最后的winner (n个人从0开始标号,即0--n-1) f[n]=(f[n-1]+k) ...

  2. 2.头文件<bits/stdc++.h>

    用这种方法声明头文件只需两行代码 #include<bits/stdc++.h> using namespace std; 这个头文件包含以下等等C++中包含的所有头文件:  #inclu ...

  3. glibc resolv/res_send.c getaddrinfo() buffer stack smash when dealing malformation big DNS Response Package

    catalogue . 漏洞简述 . 调试环境搭建 . 漏洞利用 . 漏洞分析 . 缓解修复方案 1. 漏洞简述 0x1: 函数调用顺序 getaddrinfo (getaddrinfo.c) -&g ...

  4. Java JVM、JNI、Native Function Interface、Create New Process Native Function API Analysis

    目录 . JAVA JVM . Java JNI: Java Native Interface . Java Create New Process Native Function API Analys ...

  5. Scala: 包对象

    包对象最重要的用途是兼容旧的类库,或者为某些数据类型提供增强版本:一般我们可以将其作为扩展工具方法或数据来使用

  6. Android数据库升级

    随着Android应用版本的迭代,经常遇到数据库表结构发生改变,或者一些指定的表数据需要更新.这也就引出一个问题Android数据库的更新问题. Android数据库升级分类 Android数据库更新 ...

  7. nginx location在配置中的优先级

    location表达式类型 ~ 表示执行一个正则匹配,区分大小写~* 表示执行一个正则匹配,不区分大小写^~ 表示普通字符匹配.使用前缀匹配.如果匹配成功,则不再匹配其他location.= 进行普通 ...

  8. [JavaWeb 用MyEclipse分别创建最简单的JSP程序和Servlet程序]

    最近看了子柳的<淘宝技术这十年>,其中讲到因为负载和连接池问题,淘宝当年迫不得已从SUN请来一对工程师从LAMP架构转到Java+Oracle.作为一个PHP为“母语”的程序仔,真是感到压 ...

  9. JavaWeb学习总结-06 Listener 学习和使用

    一 Listener 当Web应用在Web容器中运行时,Web应用内部会不断地发生各种事件:如Web应用被启动.Web应用被停止.用户session开始.用户session结束.用户请求到达等,可以用 ...

  10. Linux Basic --- The First Character in The File Properity

    -rw-r--r-- [d]: content [-]: file [l]: link file [b]: interface device for storage in a device file ...