精华内容
参与话题
问答
  • 1)根据经验,选择安装包时应该按最小化原则,即不需要的或者不确定是否需要的就不安装,这样可以最大程度上确保系统安全。 2)如果安装过程落了部分包组或者其他伙伴安装时没选,再安装后可以按如下方式补上安装时...

    1、系统安装最小化

    1)根据经验,选择安装包时应该按最小化原则,即不需要的或者不确定是否需要的就不安装,这样可以最大程度上确保系统安全。

    2)如果安装过程落了部分包组或者其他伙伴安装时没选,再安装后可以按如下方式补上安装时未安装的包组:

    yum groupinstall "Compatibility libraries" "Base" "Development tools"

    yum groupinstall "debugging Tools" "Dial-up Networking Support"

    可以通过yum groupinfo 包组查看具体安装的组件。

    注意:不要使用yum的删除功能删除软件,会删除相关依赖,导致意外问题。

    3) 安装系统补装工具命令

    安装系统后还会有一些基本的工具没装,这时可以根据需求yum来安装下,啥时用啥时装也可。例如:

    yum install tree nmap sysstat lrzsz dos2unix -y

    如果需要更新补丁则执行

    yum update

    2、系统权限最小化

    linux/unix是一个多用户、多任务的操作系统。

    超级管理员(root): root默认在unix/linux操作系统中拥有最高的管理权限。比喻:皇帝。

    普通用户:管理员或者具备管理权限的用户创建的。权限:系统管理仅可以读、看,不能增、删、改。

    权限越大,责任越大。

    可使用如下命令添加一个普通用户账号,并为其设置口令:

    [root@oldboy ~]# useradd luffy

    [root@ oldboy ~]# passwd luffy ###问你新的密码,然后你输入 交互设置密码

    Changing password for user luffy.

    New password:

    BAD PASSWORD: it is too simplistic/systematic #ç提示密码太简单了,但可以不理会。

    BAD PASSWORD: is too simple

    Retype new password:

    passwd: all authentication tokens updated successfully.

    提示:

    非交互式设置密码:还可通过下面的命令一步到位地设置密码(其中,luffy为用户名,密码为123456)。

    echo "123456"|passwd --stdin luffy && history -c

    尝试切换用户角色,命令如下:

    [root@ oldboy ~]# su - luffy <==由root管理员,切换到普通用户luffy

    [luffy@ oldboy ~]whoami<==查看当前用户是什么luffy[luffy@oldboy ] su - root <==切回到root用户

    Password:

    说明:

    1)超级用户root切换到普通用户下面,无需输入对应用户密码,这相当于“皇帝”去“大臣”家里。

    2)普通用户切换到root或其他普通用户下,需要输入切换的对应用户密码。

    3)普通用户的权限比较小,只能进行基本的系统信息查看等操作,无法更改系统配置和管理服务。

    4)符号是普通用户的命令行提示符,#符号是超级管理员的提示符。示例如下: [luffy@ oldboy ~] #普通用户luffy对应的提示符

    [root@ oldboy ~]# #超级管理员root对应的提示符

    5)提示符@前面的字符代表当前用户(可用whoami查询),后面的为主机名(可用hostname查询),~所在的位置是窗口当前用户所在的路径。示例如下:

    [luffy@ oldboy ~]#luffy为当前用户,Oldboy为主机名,~表示当前目录,即家目录。 6)Linux命令提示符由PS1环境变量控制。示例如下: [root@ oldboy ~]# echoPS1

    [\u@\h \W]$

    这里的PS1='[\u@\h \W]′,可以通过全局变量配置/etc/profile文件调整PS1=′[\u@\h\W\t] '。

    注意:PS1必须大写的。

    参数 含义

    \d 代表日期,格式为weekday month date。

    \H 完整的主机名称。

    \h 仅取主机的第一个名字。

    \t 显示时间为24小时格式,如HHMMSS。

    \T 显示时间为12小时格式。

    \A 显示时间为24小时格式HHMM。

    \u 当前用户的账号名称。

    \v BASH的版本信息。

    \w 完整的工作目录名称。家目录会以~显示

    \W 利用basename取得工作目录名称,所以只会列出最后一个目录

    \# 下达的第几个命令

    $ 提示字符,如果是root时,提示符为# ,普通用户则为变量(放东西查看变量的内容)PS1−−−变量的名字−−−−−−藏经阁里面的武功秘籍(葵花宝典)秘籍名字(书名)PS1---查看变量里面的内容---手端着书(葵花宝典) 看书的内容(读书) PS1=新的内容 ---向变量里面放入东西----修改书的内容(升级书) 欲练此功,必先自宫,若不自宫,也能成功。 linux变量名字(书名)大写的一般是自己用(linux环境变量),在哪里都可以用的变量

    3、关闭SELinux       

    SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,这个功能让系统管理员又爱又恨,这里我们还是把它给关闭了吧,至于安全问题,后面通过其他手段来解决,这也是大多数生产环境的做法,如果非要开启也是可以的。

    关闭方式如下

    永久关闭selinux

    # 备份

    cp /etc/selinux/config /etc/selinux/config.bak

    # sed修改,看看结果,不加-i

    sed 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

    # 确认并使用 sed -i 修改文件内容

    sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

    # 检查结果

    grep "disabled" /etc/selinux/config

    临时关闭selinux

    setenforce 0

    # 数字0表示Permissive,即给出警告提示,但不会阻止操作,相当于disabled。

    # 数字1表示Enforcing,即表示SElinux为开启状态。

    getenforce # 查看命令

    命令说明:

    setenforce:用于命令行管理SELinux的级别,后面的数字表示设置对应的级别。

    getenforce:查看SELinux当前的级别状态。

    提示:修改配置SElinux后,要想使其生效,必须要重启系统。因此,可配合使用setenforce 0这个临时使其关闭的命令,这样在重启前后都可以使得SElinux关闭生效了,也就是说无须立刻重启服务器了,在生产场景下Linux机器是不能随意重启的(不要给自己找任何理由重启)。

    4、关闭iptables(C6)或Firewalld(C7)防火墙

    关闭防火墙的目的是为了让初学者学习更方便,将来在学了iptables技术后可再统一开启。 在企业环境中,一般只有配置外网IP的linux服务器才需要开启防火墙,但即使是有外网IP,对于高并发高流量的业务服务器仍是不能开的,因为会有较大性能损失,导致网站访问很慢,这种情况下只能在前端加更好的硬件防火墙了。 关闭防火墙的具体操作过程如下:

    CentOS 6.x

    关闭防火墙

    [root@oldboyedu ~]# /etc/init.d/iptables stop 

    [root@oldboyedu ~]# /etc/init.d/iptables stop #<==重复执行下确认已关闭。

    查看是否关闭

    [root@oldboyedu ~]# /etc/init.d/iptables status 

    iptables: Firewall is not running.

    关闭开机自启动命令,前面已经关闭这里就无需执行。

    [root@oldboyedu ~]# chkconfig iptables off 

    [root@oldboyedu ~]# chkconfig --list|grep ipt

    iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off

    CentOS7.x

    关闭防火墙

    [root@oldboyedu ~]# systemctl stop firewalld

    关闭开机自启动

    [root@oldboyedu ~]# systemctl disable firewalld

    查看防火墙状态

    [root@oldboyedu ~]# systemctl is-active firewalld #是否正在运行

    [root@oldboyedu ~]# systemctl is-enabled firewalld #是否开机自启动

    关闭NetworkManager

    [root@oldboyedu ~]# systemctl stop NetworkManager

    [root@oldboyedu ~]# systemctl disable NetworkManager

    5、更改SSH远程默认的22端口

    sed -i 's#\#Port 22#Port 7777#g' /etc/ssh/sshd_config

    service sshd restart

    6、使用国内镜像做yum源

    默认国外的yum源(软件仓库)比较慢,所以换成国内的。

    备份

    mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

    下载新的CentOS-Base.repo 到/etc/yum.repos.d/

    CentOS 5

    wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo

    或者

    curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo

    CentOS 6

    wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

    或者

    curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

    CentOS 7

    wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

    或者

    curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

    之后运行yum makecache生成缓存,此步骤可以不执行。

    7、epel源的安装

    备份(如有配置其他epel源)

    mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup

    mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup

    下载新repo 到/etc/yum.repos.d/

    epel(RHEL 7)

    wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

    epel(RHEL 6)

    wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

    epel(RHEL 5)

    wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-5.repo

    更换查看帮助的网站mirrors.aliyun.com

    8、关于网络下载命令

    curl

    在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具,可以说是一款很强大的http命令行工具。它支持文件的上传和下载,是综合传输工具,但按传统,习惯称url为下载工具。

    常用参数

    -o --output,把输出写到该文件中

    -O --remote-name,把输出写到该文件中,保留远程文件的文件名

    -I --head,只显示传输文档,经常用于测试连接本身

    -s --silent,静默模式,不输出任何东西

    -T --upload-file,上传文件

    -V --version,显示版本信息

    -f --fail,只输出错误信息

    -# --progress-bar,用进度条显示当前的传送状态

    -H --header,自定义标题传递到服务器

    -v --verbose,详细显示请求报文结构和响应报文结构信息

    wget 主要用于下载文件

    wget支持HTTP,HTTPS和FTP协议,可以使用HTTP代理。所谓的自动下载是指,wget可以在用户退出系统的之后在后台执行。这意味这你可以登录系统,启动一个wget下载任务,然后退出系统,wget将在后台执行直到任务完成

    wget 可以跟踪HTML页面上的链接依次下载来创建远程服务器的本地版本,完全重建原始站点的目录结构。这又常被称作”递归下载”。

    常用参数

    -V --version,显示 Wget 的版本信息并退出。

    -h --help,打印此帮助。

    -b --background,启动后转入后台。

    -O --output-document=FILE,将文档写入 FILE。

    -q --quiet,安静模式(无信息输出)。

    -v --verbose,详尽的输出(此为默认值)。

    9、安装常用软件

    为了使用方便,可以安装一些常用的软件。

    yum -y install tree nmap sysstat lrzsz dos2unix telnet bash-completion bash-completion-extras vim nc lsof net-tools rsync

    10、升级具有典型漏洞的软件版本

    诸如openssl、openssh、bash爆出很多软件漏洞,在企业场景需要进行修复漏洞操作,步骤如下:

    首先查看相关软件的版本号。

    [root@Oldboy ~]# rpm -qa openssl openssh bash

    openssl-1.0.1e-30.el6.x86_64

    bash-4.1.2-29.el6.x86_64

    openssh-5.3p1-104.el6.x86_64

    执行升级已知漏洞的软件版本到最新,命令如下:

    [root@Oldboy ~]# yum install openssl openssh bash -y

    [root@Oldboy ~]# rpm -qa openssl openssh bash

    openssh-5.3p1-104.el6_6.1.x86_64

    bash-4.1.2-29.el6.x86_64

    openssl-1.0.1e-30.el6_6.5.x86_64

    11、时间同步

    echo '#Timing synchronization time' >/var/spool/cron/root

    echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &>/dev/null' >/var/spool/cron/root

    crontab -l

    12、加大文件描述

    echo '* - nofile 65535 ' >>/etc/security/limits.conf 

    tail -1 /etc/security/limits.conf

    13、别名和环境变量优化

    cat>>/etc/profile.d/color.sh<<EOF

    alias ll='ls -l --color=auto --time-style=long-iso'

    PS1='

    \e[32;1m

    [\u@\h \W]$

    \e[0m

    '

    export HISTTIMEFORMAT='%F-%T '

    EOF

    14、内核优化

    cat >>/etc/sysctl.conf<<EOF

    net.ipv4.tcp_fin_timeout = 2

    net.ipv4.tcp_tw_reuse = 1

    net.ipv4.tcp_tw_recycle = 1

    net.ipv4.tcp_syncookies = 1

    net.ipv4.tcp_keepalive_time = 600

    net.ipv4.ip_local_port_range = 4000 65000

    net.ipv4.tcp_max_syn_backlog = 16384

    net.ipv4.tcp_max_tw_buckets = 36000

    net.ipv4.route.gc_timeout = 100

    net.ipv4.tcp_syn_retries = 1

    net.ipv4.tcp_synack_retries = 1

    net.core.somaxconn = 16384

    net.core.netdev_max_backlog = 16384

    net.ipv4.tcp_max_orphans = 16384

    EOF

    sysctl -p

    15、修改主机名和IP脚本

    [root@oldboy ~]# cat /server/scripts/hostname_ip.sh 

    #!/usr/bin/sh

    if [ # -ne 2 ];then   echo "/bin/sh0 hostname PartIP"

    exit 1

    fi

    hostnamectl set-hostname $1

    sed -i "s#100#$2#g" /etc/sysconfig/network-scripts/ifcfg-eth[01]

    systemctl restart network

    16、更改Linux特殊变量

    临时生效:

    export TMOUT=10        账号超时时间控制台变量(类似于Windows的锁屏)

    export HISTSIZE=5          命令行历史记录数量(历史记录越少越好)

    export HISTFILESIZE=5   命令行命令对应文件的记录数~/.bash_history

    永久生效:

    echo 'export TMOUT=300' >>/etc/profile

    echo 'export HISTSIZE=5' >>/etc/profile

    echo 'export HISTFILESIZE=5' >>/etc/profile

    source /etc/profile

    17、隐藏Linux版本信息

    cat /etc/issue

    >/etc/issue

    >/etc/issue.net

    这时候就没有任何版本信息了

    18、如何防止显示中文乱码(该优化初期建议不优化,直接强制看英文)

    此项优化为可选项,即调整Linux系统的字符集设置,那么,什么是字符集呢?

    简单的说,字符集就是一套文字符号及其编码。目前Linux下常用的字符集有:

    GBK:定长,双字节,不是国际标准,支持的系统不少,实际企业用的不多。

    UTF-8:非定长,1~4字节,广泛支持,MYSQL也使用UTF-8,企业广泛使用。 可通过快捷的命令方式在/etc/sysconfig/i18n中添加如下内容,使其支持中文显示:

    CentOS 6.x修过过程

    [root@ oldboy ~]# echo LANG                ###查看系统当前的字符集 en_US.UTF-8 [root@ oldboy ~]# cat /etc/sysconfig/i18n   #####系统字符集配置文件的位置 LANG="en_US.UTF-8" SYSFONT="latarcyrheb-sun16" [root@Oldboy ~]# cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori  ####备份 [root@Oldboy ~]# echo 'LANG="zh_CN.UTF-8"'  >/etc/sysconfig/i18n ####修改配置文件 #→相当于用vi /etc/sysconfig/i18n 添加LANG="zh_CN.UTF-8"内容 [root@Oldboy ~]# source /etc/sysconfig/i18n #→使上文修改生效    ###让配置文件生效 [root@Oldboy ~]# echoLANG ###查看系统当前的字符集

    zh_CN.UTF-8

    CentOS 7.x修过过程

    修改/etc/locale.conf这个文件

    提示:

    乱码的核心解决方法:

    系统字符集(utf-8)

    xshell软件的字符集保持一致(utf-8)

    文件使用的字符集一致

    zh_CN.GBK

    注意“zh_CN.UTF-8”的大小写字母。

    这个中文显示配置要跟你自己的SSH客户端的配置一致。

    Linux基础优化与安全重点小结

    不用root登录管理系统,而以普通用户登录通过sudo授权管理。

    更改默认的远程连接SSH服务端口,禁止root用户远程连接,甚至要更改SSH服务只监听内网IP。

    定时自动更新服务器的时间,使其和互联网时间同步。

    配置yum更新源,从国内更新源下载安装软件包。

    关闭SELinux及iptables(在工作场景中,如果有外部IP一般要打开iptables,高并发高流量的服务器可能无法开启)。

    调整文件描述符的数量,进程及文件的打开都会消耗文件描述符数量。

    定时自动清理邮件临时目录垃圾文件,防止磁盘的inodes数被小文件占满(注意Centos6和Centos5要清除的目录不同)。

    精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)。

    Linux内核参数优化/etc/sysctl.conf,执行sysctl -p生效。

    更改系统字符集为“zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。

    锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab,处理以上内容后把chattr、lsattr改名为luffy,转移走,这样就安全多了。

    清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。

    清除多余的系统虚拟用户账号。

    为grub引导菜单加密码。

    禁止主机被ping。

    打补丁并升级有已知漏洞的软件。 新系统 yum –y install 已经在线上用的服务器 web服务器能够停止。

     

    展开全文
  • 信息系统安全运维

    千次阅读 2019-06-12 11:52:30
    信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复...

    安全运维定义
            信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

    安全运维服务包括如下内容:
    1) 确定安全运维所涉及的信息系统及关键技术设施;
    2) 根据所约定的服务范围,执行首次技术设施安全评估,评估关键技术设施所存在的安全隐
    患;
    3) 根据首次技术设施安全评估的结果,制定加固方案,沟通并最终对关键技术设施进行安全
    加固;
    4) 此后定期执行技术设施安全评估,针对评估所发现的安全隐患,提出改进建议,并指导系
    统管理人员进行安全加固;
    5) 当被服务单位的主机或网络正遭到攻击或已经发现遭受入侵的迹象时,及时进行应急响应,
    分析事故原因并防止损失扩大;
    6) 在服务期内,及时跟踪并提供安全漏洞及补丁信息或相应安全建议;
    7) 针对系统管理人员在日常维护时发现、产生的安全技术问题提供咨询服务。

    安全运维流程

    客户收益

    1. 清晰理解技术设施所面临的信息安全问题
    2. 前瞻性地处理技术设施所面临的安全问题
    3. 最大程度降低信息安全事件所带来的影响
    4. 集中精力维护信息系统的持续可用
    5. 提高技术人员对信息安全的认识
       

     

    展开全文
  • windows系统安全

    千次阅读 2016-08-22 20:51:56
    1. Windows安全系统安全系统包括以下部分,winlogon,图形化标识和验证GINA,本地安全认证,安全认证者提供的接口,认证包,安全支持提供者,网络登录服务,安全账号管理者,下面详细说说这些东西都是干嘛的 ...

    下面我们来讲Windows系统的安全

    1. Windows安全子系统,安全子系统包括以下部分,winlogon,图形化标识和验证GINA,本地安全认证,安全认证者提供的接口,认证包,安全支持提供者,网络登录服务,安全账号管理者,下面详细说说这些东西都是干嘛的

    a) Winlogon和GINA,winlogon调用GINA DLL并监视安全序列,而GINADLL通过提供一个交互式的界面为用户登录提供认证请求,GINA DLL被设计为一个独立的模块,也可以用一个更好的方式比如指纹识别来代替内置的GINA DLL模块。在启动的过程中先加载winlogon,然后winlogon加载GINA DLL,GINA负责提供一个登录接口,在开始的过程中,winlogon会首先加载注册表,查看HKLM/Software/Microsoft/Windows NT/CurrectVersion/Winlogon然后在里面查看是不是存在GinaDLL键,如果不存在的话,那么系统调用自带的msgina.dll

    b) 本地安全认证,本地安全认证LSA是安全子系统的核心,它的作用就是加载认证包,管理域间的信任关系,GINA DLL 在提供登录接口之后,调用的就是LSA用于加载认证包,

    c) 安全支持者提供的接口,微软的安全支持提供者提供的接口SSPI用于提供一些安全服务API,为应用程序和服务提供请求安全的认证连接和

    d) 认证包为真实用户提供认证,在通过GINA DLL的可信认证之后认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中

    e) 安全支持提供者,安全支持提供者用于实现一些附加的安全机制,安装时以驱动程序的形式安装,默认会有Msnsspc.dll(微软网络挑战反应认证模块),Msapsspc.dll分布式密码认证挑战反应模块和Schannel.dll证书模块等

    f) 网络登录服务,这个服务用于在通过认证之后建立一个安全的通道,要实现这个目标必需通过安全通道与域中的域控制器来建立连接,然后通过安全的通道传递用户口令,在域的域控制器上的响应请求之后,重新取回用户的SIDs和用户权限

    g) 安全账号管理器SAM,这个是一个用来保护用户用户名和密码的数据库,不同的域有不同的SAM,在域复制的过程中,Sam包将会被拷贝

    2. Windows对用户账号的安全管理使用了安全账号管理器机制,安全账号管理器对账号的管理通过安全标志进行,安全标志是唯一的,即便用户名相同。SAM保存在%systemroot%\system32\config\sam里面,该文件是windows的用户账户数据库,在windows域控制器中,账户和口令被保存在活动的目录里面,对应的文件是%systemroot%\ntds\ntds.dit

    3. 还有一个机制就是syskey,在运行里面输入就可以对系统进行二重加密,而且这个加密一旦启用就无法关闭,这个加密就是对windows账户数据库的加密

    4. 登录验证,在用户尝试登录windows时,系统会首先使用默认的kerberos作为基本的验证机制,如果找不到密钥分发中心的KDC服务,那么就会使用NT的NTLM安全机制来验证本地的SAM用户,验证过程如下:

    a) 输入用户名密码之后GINA会收集这些信息

    b) 然后GINA把信息传送给LSA,LSA再传递给SSPI(安全支持者提供的接口)

    c) SSPI将用户名密码传递给KerberosSSP,然后检查目的及其是本机还是域名,如果是本机,那么返回错误消息给SSPI,如果找不到KDC,则机器生成一个用户不可见的内部错误,这个内部错误促发SSPI通知GINA,然后GINA再次传送这些信息给SSPI,SSPI传送用户名密码给NTML,然后NTML使用Netlogon服务和本地SAM来验证用户

    5. 用户权限与权力,网络的安全取决于给用户或组的授权能力,包括权限、权力和共享。权限是可以授予用户或做的文件系统能力,分为登录权限和操作权限,权力是在系统上完成指定动作的授权

    a) 用户权力,权力适用于对整个系统范围内的对象和任务,通常是授权用户执行某些系统任务,比如允许用户关闭系统等

    b) 用户权限,权限适用于特定的对象,比如目录和文件(只适用于NTFS的卷)的操作,允许那个用户可以使用这些对象和如何使用这些对象,权限分为RXWDPO,R读,X执行,W可写,D删除,P更改权限,O获取目录的所有权,

    c) 共享权限,共享权限适用于文件夹,如果文件夹不是共享的,那么在网络上就不会有人看到它,也就无法访问

    6. 日志与审计,windows有3种类型的事件日志

    a) 系统日志,用于跟踪系统时间,跟踪系统的启动过程中的事件或控制器的故障

    b) 应用程序日志,跟踪用户程序关联的事件,比如应用程序加载的dll,或失败的信息

    c) 安全日志,安全日志的默认状态是关闭的,用于记录登录上网和下网,改变访问权限以及系统的启动和关闭,日志的默认存储路径在%systemroot%\system32\config中,位于注册表的HKLM\System\CurrentControlSet\Services\Eventlog后,下面的Application,Security,System三个子文件分别对应了应用程序,安全,系统三个日志

    d) 设置文件的访问权限,首先应用为NTFS格式的磁盘,可以在文件属性的安全选项卡中进行设置,进入安全标签之后应首先取消允许将父系的可继承权限传播给该对象选项,然后在下面的用户中选择该文件的权限。

    e) 日志审计的基本规则

            i.     FTP日志分析,在#DATE后面显示的为日期,然后在下面显示的信息依次是:
    时间,IP地址,USER,用户名, 331(试图登录)
    时间,IP地址,PASS – 530(登录失败)
    时间,IP地址,PASS – 230(登录成功)
    时间,IP地址,PASS – 530(登录失败)

           ii.     HTTP日志分析,基本顺序为: 日期,时间,访客IP,访问的IP,端口,后面可能是GET 然后一个文件(或网页),后面的信息是浏览器和操作系统

    7. 安全策略:

    a) 密码策略,这个可以在控制面板本地安全策略里面找到,设置的密码必需符合安全性要求,并且有效期默认为42天,其中所有的选择的都是可以自己设置的,包括密码的安全性要求的开关等

    b) 锁定策略,可以在本地安全策略里面设置账户锁定策略,就是输入多少次密码输入错误之后执行的操作

    c) 审核策略,审核策略是网络安全的核心之一,这个也是在本地安全策略secpol.msc里面的,审核报告会被写入安全日志,可以使用事件查看器来查看,

    d) 用户权力指派,安全组定义了从建立页面文件到登录服务器控制台的各种权力。用户和组通过被添加到相应的安全组页面而得到的这些系统权限

    e) 安全选项:安全选项包括了一些与安全有关的注册表项,这些表项与用户无关,只影响到常规的系统操作,可以使用secedit命令来更改,可以使用Refresh-policyMachine_policy在不重启计算机的情况下刷新策略

    f) 装载自定义的安全模板:安全模板是对整个系统安全属性的一个配置文件,系统管理员可以生产一个安全模板,并把它应用于本地计算机或输出到一个活动目录的组策略对象,当一个新的模板加入到一个新的组策略之后,所有受它所影响的计算机都会接收到模板的设置,

    g) Windows加密文件系统,用于提供一种核心文件的加密技术,用于NTFS的卷上

    首发于我的个人网站: 点击打开链接

    展开全文
  • 系统安全的基本概念和权限控制系统的类型

    RBAC:如果把权限的分配卡定在角色级别,则系统各处(也就是每一项资源)只需要判断当前用户是否具有某些角色,此时系统中定义的角色是固定的,不会增删。
    管理力度更细的一种方式是:针对资源定义出系统中所有权限,权限可灵活的分配给不同的角色,角色是可以增删和修改权限!

    权限表示对何种资源可以施加的何种操作!比如"删除用户"权限,资源是用户信息,操作是删除。

    权限可以表述为:对某种资源可以施加什么样的操作,是资源与操作之间的可执行关系表述

     

    Repository的根本立足点在于它是查找和定位聚合根供支持。不管其实现是否涉及数据访问,即使是一个所有领域对象都驻留在内存中的系统,也依然需要Repository!

    展开全文
  • 系统安全架构设计方案

    千次阅读 2019-10-25 16:46:23
    系统安全架构设计主要包含应用安全、数据安全、主机安全、网络安全四个方面,详见下图。
  • Linux系统安全

    千次阅读 2020-08-17 20:07:11
    系统安全篇 ---- 持续更新中…… 2.1 防暴力破解—fail2ban工具 防暴力破解--fail2ban(详情及安装操作centos6版) 防暴力破解--fail2ban(详情及安装操作centos7篇) 2.2 系统数据恢复 Centos6 模拟ext4文件...
  • Windows主机操作系统安全加固规范

    千次阅读 2019-04-10 09:47:56
    涉及内容: 下载地址:https://download.csdn.net/download/fly_hps/11100720
  • CentOS7 系统安全加固实施方案介绍

    万次阅读 2015-09-23 12:43:48
    CentOS7.0系统安全加固手册 目录 一、用户帐号和环境……………………………………………………………………………………. 2二、系统访问认证和授权………………………………………………………………………………...
  • 无人驾驶系统安全

    千次阅读 2017-02-08 17:08:37
    作者:刘少山,李文超,唐洁 责编:何永灿,欢迎人工智能领域技术投稿、约稿、给文章纠错,请发送邮件至heyc@csdn...本文是无人驾驶技术系列的第九篇,详细介绍针对无人车传感器、操作系统、控制系统、车联网的攻...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 系统安全及应用

    千次阅读 2018-09-13 21:13:37
    基本安全措施 1、系统账号清理 1、将非登陆用户的shell设为 /sbin/nologin 2、无法确定是否应该删除可以暂时锁定,长期不使用的账号 3、如果系统中账号已经固定,不再更改,还可以采用锁定账号配置文件的...
  • 软件安全测试之系统安全测试

    千次阅读 2015-03-18 20:18:43
    一、操作系统安全 1. 操作系统不允许存在Nessus扫描出的高风险级别漏洞 *注:Nessus使用方法简介 对于各服务器的操作系统采用Nessus进行漏洞扫描: 1、登录Nessus; 2、创建扫描策略:点击“Policies”菜单,再...
  • 操作系统安全机制

    千次阅读 2018-09-16 23:38:37
    版权声明:本文为博主原创文章,未经博主允许不得转载。...操作系统安全性表现 物理上分离:要求进程使用不同的物理实体 时间上分离:具有不同安全要求进程在不同时间运行 逻辑上分离:要求进程...
  • 应用系统安全管理

    千次阅读 2017-04-05 17:12:22
    应用系统安全管理 1 身份鉴别 1.1 应用系统采用专用的登录控制模块
  • 系统安全防护方案

    千次阅读 2019-04-28 20:05:45
    Windows系统出厂时,微软为了兼容性,默认并未对系统安全做严格的限制,因此还需要做一些基本的安全加固,方可防止黑客入侵。 下面我们就来讲解如何对系统进行安全加固。 二、更新系统补丁 补丁是系统安全最基本的...
  • Android操作系统安全

    千次阅读 2012-04-08 21:34:22
     Android在迅猛发展的同时,其安全问题一直没有引起足够的重视,但在2010年6月研究人员发布Android平台的KernelRootkit以来,Android平台的安全问题引来了越来越多的关注,而同时,Android平台的恶意软件也开始流行...
  • 操作系统安全级别

    千次阅读 2012-07-18 11:05:03
     美国国防部于1983年提出并于1985年批准的“可信计算机系统安全评价准则(TCSEC)”将计算机系统的安全可信性分为七个级别,它们由低到高是:  ● D级,最低安全性;  ● C1级,主存取控制;  ● C2级,...
  • 数据库系统安全机制

    万次阅读 2008-03-22 22:15:00
    1.1.4 数据库系统安全机制数据库安全机制是用于实现数据库的各种安全策略的功能集合,正是由这些安全机制来实现安全模型,进而实现保护数据库系统安全的目标。近年来,对用户的认证与鉴别、存取控制、数据库加密及...
  • 信息系统安全威胁

    千次阅读 2016-03-18 23:24:20
    1. 安全威胁的种类 2. 病毒、蠕虫、木马 3. ARP欺骗、IP源地址欺骗、路由欺骗、TCP会话劫持 4. 拒绝服务攻击、各种泛洪攻击
  • 如何提高Linux系统安全性的十大招数

    千次阅读 2005-12-23 11:44:00
    如何提高Linux系统安全性的十大招数Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年来,绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中,所以大部分Unix厂商...
  • 苹果Mac OS X系统安全评级(1)

    千次阅读 2012-10-14 09:06:17
     苹果Mac OS X系统安全性能的完善是一个长久而持续的过程,在这个过程中,我们还可以从一个侧面回忆一下操作系统安全体系发展的过程。  在80年代初,IBM开创引领了个人计算机时代的开端,80年代中期个人...
  • 系统安全架构包括什么

    千次阅读 2019-09-03 09:23:47
    二、应用系统安全 开发程序的时候,应当事先知道并在代码层面处理大部分常见的安全问题。 1.sql注入 mybatis就使用#比使用$能规避掉很多sql注入攻击。 2.csrf(跨站请求伪造)攻击 大致三种方法,①在filter中...
  • Windows操作系统安全加固

    千次阅读 2019-03-28 11:55:06
    Windows操作系统安全加固 本页目录 1. 账户管理和认证授权 2. 日志配置操作 3. IP协议安全配置 4. 文件权限 5. 服务安全 6.安全选项 7. 其他安全配置 本文档旨在指导系统管理人员或安全检查人员进行...
  • (1)安全区I为实时控制区,凡是具有实时监控功能的 系统或其中的监控功能部分均应属于安全区I。(2)安全区II为非控制生产区,原则上不具备控制功能的生 产业务和批发交易业务系统均属于该区。(3)安全区III为生产管理...
  • 4. 操作系统安全

    千次阅读 2019-08-30 19:36:14
    操作系统安全
  • 一些操作系统安全设置

    千次阅读 2016-06-19 22:26:54
    操作系统通用安全设置 禁用ping命令 通过创建IP安全策略,禁用ping命令。 屏蔽FTP默认欢迎界面
  • 一、安全扫描技术1.1 安全扫描技术概念1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。2、安全扫描技术分为系统扫描和网络扫描两大类。 (1)...
  • Linux系统安全基础知识

    千次阅读 2019-02-17 11:11:21
    Linux系统安全基础知识
  • 什么是系统安全状态

    千次阅读 2017-02-24 15:28:50
    系统能按某种顺序如(P1,P2,...,Pn),来为每个进程分配所需要的资源,直至最大需求,使每个进程都可以顺序完成。若系统不存在这样一个安全序列,则称系统处于不安全状态。

空空如也

1 2 3 4 5 ... 20
收藏数 193,016
精华内容 77,206
关键字:

系统安全