【CISP笔记】操作系统安全
账号安全设置
默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。
本地安全策略
打开方式
win+R 输入ecpol.msc
账号锁定策略
用户权限分配
关闭自动播放功能
自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器
账户权限控制-设置唤醒密码
控制面板-》电源选项-》唤醒时需要密码
网络访问控制-防火墙设置
确保启用Windows自带防火墙
共享安全防护-关闭管理共享
Linux系统安全
Linux系统标识与鉴别-帐号信息存储
信息存储
用户信息:
/etc/passwd
格式:name:coded-passwd(X或*表示不可登陆):UID:GID:userinfo:homedirectory:shell
/etc/shadow
格式:name:passwd:lastchg:min:max:warn:inactive:expire:flag
组信息
/etc/group
/etc/gshadow
Linux系统文件访问控制-权限模式
账号和口令安全——口令安全策略
设置账户锁定登录失败锁定次数、锁定时间
修改账户超时值,设置自动注销时间
口令修改策略
强制口令使用有效期
设置口令修改提醒
设置账户锁定登录失败锁定次数、锁定时间
vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 6
PASS_WARN_AGE 28
Linux设置——系统服务配置
禁止危险的网络服务
telnet、FTP
echo、chargen、shell、finger、NFS、RPC等
关闭非必需的网络服务
talk、ntalk等
关闭邮件服务:chkconfig --level 12345 sendmail off
关闭图形登录服务:编辑/etc/inittab文件,修改为id:3:initdefault:
关闭X font服务:chkconfig xfs off
Linux设置——远程登录安全
禁用telnet,使用SSH进行管理
限制能够登录本机的IP地址
禁止root用户远程登陆
限定信任主机
修改banner信息
远程登录安全——使用SSH/限制登录IP
禁用telnet,使用SSH进行管理
开启ssh服务:#service sshd start
限制能够登录本机的IP地址
#vi /etc/ssh/sshd_config
添加(或修改):
AllowUsers xyz@192.168.1.23
允许用户xyz通过地址192.168.1.23来登录本机
AllowUsers *@192.168.*.*
仅允许192.168.0.0/16网段所有用户通过ssh访问。
远程登录安全——禁止root/限定信任主机
禁止root用户远程登陆
#cat /etc/ssh/sshd_config
确保PermitRootLogin为no
限定信任主机
#cat /etc/hosts.equiv
#cat /$HOME/.rhosts
查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机
或直接关闭所有R系列远程服务
rlogin
rsh
rexec
远程登录安全——修改banner信息
系统banner信息
一般会给出操作系统名称、版本号、主机名称等
修改banner信息
查看修改sshd_config
#vi /etc/ssh/sshd_config
如存在,则将banner字段设置为NONE
查看修改motd:
#vi /etc/motd
该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容
文件和目录安全——设置默认umask值
设置新创建文件的默认权限掩码
可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问
umask设置的是权限“补码”
设置方法
使用umask命令
如 #umask 066
编辑/etc/profile文件,设置umask值
Linux设置——系统日志配置
启用syslog服务
配置日志存储策略
打开/etc/logrotate.d/syslog文件,检查其对日志存储空间的大小和时间的设置
使用安全软件——使用主机防火墙
Linux下的防火墙框架iptables
- 启动指令:service iptables start
- 重启指令:service iptables restart
- 关闭指令:service iptables stop
- 然后是相关配置:/etc/sysconfig/iptables
包过滤
NAT
数据包处理
Iptables基本规则
Iptables [-t table] command [match][target]
Iptables基本应用
Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
Iptables –D INPUT – dport 80 –j DROP
【CISP笔记】操作系统安全的更多相关文章
- 《Kafka权威指南》读书笔记-操作系统调优篇
<Kafka权威指南>读书笔记-操作系统调优篇 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 大部分Linux发行版默认的内核调优参数配置已经能够满足大多数应用程序的运 ...
- ucos实时操作系统学习笔记——操作系统在STM32的移植
使用ucos实时操作系统是在上学的时候,导师科研项目中.那时候就是网上找到操作系统移植教程以及应用教程依葫芦画瓢,功能实现也就罢了,没有很深入的去研究过这个东西.后来工作了,闲来无聊就研究了一下这个只 ...
- 【CISP笔记】安全攻击与防护
公开信息收集-搜索引擎 快速定位Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖 ...
- 《Linux内核分析》第二周笔记 操作系统是如何工作的
操作系统是如何工作的 一.函数调用堆栈 1.三个法宝 计算机是如何工作的?(总结)——三个法宝(存储程序计算机.函数调用堆栈.中断机制) 1)存储程序计算机工作模型,计算机系统最最基础性的逻辑结构: ...
- 19-MySQL DBA笔记-操作系统、硬件、网络的优化
第19章 操作系统.硬件.网络的优化 本章将介绍操作系统和硬件的性能优化,对于硬件,我们主要讲述CPU.内存.磁盘阵列及固态硬盘.任何优化,首先都需要有足够的数据支持,对于操作系统下性能数据的收集,这 ...
- 【CISP笔记】安全漏洞与恶意代码(2)
恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试 恶意代码检测技术 特征码扫描 沙箱技术 行为检测 恶意代码分析技术 静态分析 需要实际执行恶意代码,它通过对其二进制文 ...
- 【CISP笔记】安全漏洞与恶意代码(1)
恶意代码 类型二进制代码.脚本语言.宏语言等表现形式病毒.蠕虫.后门程序.木马.流氓软件.逻辑炸弹等 恶意代码的传播方式(1)移动存储 自动播放功能.Windows默认.自动执行autorun.inf ...
- 【CISP笔记】数据库及应用安全
数据库安全特性检查工具美国应用安全公司的App Detective英国下一代软件公司的NGS SQuirrel 常见应用安全威胁 网络层面拒绝服务.电子欺骗.嗅探.……系统层面Web服务漏洞.配置错误 ...
- 《Apache Kafka实战》读书笔记-调优Kafka集群
<Apache Kafka实战>读书笔记-调优Kafka集群 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.确定调优目标 1>.常见的非功能性要求 一.性能( ...
随机推荐
- jQuery—选择器
摘抄自<锋利的jQuery> 一.基本选择器 $("#one").css("background","#bbffaa"); 选取 ...
- 伪集群zookeeper模式下codis的部署安装
1,zookeeper伪集群部署 部署在192.168.0.210服务器上 下载 去官网将3.4.6版本的zookeeper下载下来到/app目录下解压 首先 ...
- zabbix监控系列(1)之zabbix-server安装
推荐使用yum来安装 第一步:LAMP平台 zabbix使用php开发的,所以依赖于LAMP或者LNMP平台,由于http+mysql用yum安装及其方便,所以我在这里使用yum安装. yum -y ...
- Ubuntu修改mysql默认编码的方法
ubuntu使用apt-get安装mysql后,server的默认编码是latin1,下面把server的编码修改成utf8. 编码相关信息: 1 2 3 4 5 6 7 8 9 10 11 12 1 ...
- Rsync
转自:http://www.mike.org.cn/blog/index.php?load=read&id=639###pp=0 [rsync实现网站的备份,文件的同步,不同系统的文件的同步, ...
- JavaWeb---总结(十)JSP标签
一.JSP标签介绍 JSP标签也称之为Jsp Action(JSP动作)元素,它用于在Jsp页面中提供业务逻辑功能,避免在JSP页面中直接编写java代码,造成jsp页面难以维护. 二.JSP常用标签 ...
- BZOJ2458: [BeiJing2011]最小三角形
类似分治最近点对的方法乱搞一下就行. #include<bits/stdc++.h> #define N 200010 #define M (s+t>>1) using nam ...
- Struts2入门-十分简单的登陆
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互. 开始编写St ...
- Linux下安装setup tools小工具
1, 最小化的linux系统(centos\redhat)默认都是没有安装setup图形小工具的,你输入setup命令会提示 command not found . 如果要使用这个命令安装方法 1.安 ...
- HTML学习笔记——选择器
1> ID选择器.交叉选择器.群组选择器.子代选择器 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN& ...