精华内容
下载资源
问答
  • 2020-05-31 14:08:07

    什么是安全访问

    安全访问是为车辆安全而设计的,允许诊断设备访问ECU内部的重要数据或请求ECU执行影响车辆安全的诊断服务的授权方式。安全访问是通过种子-秘钥(Seed-Key)的方式来实现的。未经过安全访问解锁时,ECU处于锁定状态,不允许访问重要数据(DID)/存储区域和执行某些影响车辆安全的诊断服务。需要通过安全访问的方式解锁ECU,来允许上述操作的执行。

    解锁ECU需要执行如下操作:

    • 诊断设备通过UDS的安全访问服务(Security Access Service, SID 0x27)向ECU请求种子(Seed)。
    • ECU通过诊断响应,提供随机生成的种子(Seed)。
    • 诊断设备收到种子(Seed)后,按照事先约定的安全算法,根据种子(Seed)计算秘钥(Key)。 并将秘钥(Key)通过安全访问服务(Security Access Service, SID 0x27)发送给ECU。
    • ECU收到诊断设备发来的秘钥(Key)后,与自身根据约定的安全算法计算的秘钥(Key)进行比对。如果二者一致,则认为通过了安全访问,ECU被解锁。否则视为秘钥(Key)校验失败,ECU仍处于锁定状态。

    什么时候需要安全访问

    请求诊断服务

    常用的诊断服务中,请求如下的诊断服务是需要通过安全访问的。其它诊断服务是否需要安全访问,由整车厂或ECU供应商定义。

    诊断服务标识
    Service ID
    诊断服务
    Diagnostic Service
    0x11ECU复位
    ECUReset
    0x34请求下载
    RequestDownload
    0x35请求上传
    RequestUpload

    控制器复位服务(ECU Reset Service,SID 0x11)的执行过程中,ECU会短暂的失去功能,影响到车辆的安全。需要通过安全访问服务授权后,才能被执行。
    请求下载服务(Request Download Service, SID 0x34)通常用于通过Bootloader更新ECU的程序或标定数据。由于下载了错误的软件或标定数据后,会影响ECU的功能或影响车辆的排放,所以是一定要通过安全访问的方式授权的。
    通过请求上传服务(Request Upload Service, SID 0x35),可以将ECU的程序和标定数据上传到诊断设备中。这也是要通过安全访问严格限制的。避免被非授权设备恶意读取。

    通过标识符访问数据或执行功能

    如下的诊断服务,可以通过标识符(Identifier)读写ECU中的数据或控制ECU执行某些功能。

    诊断服务标识
    Service ID
    诊断服务
    Diagnostic Service
    0x22通过ID读取数据
    ReadDataByIdentifier
    0x2E通过ID写入数据
    WriteDataByIdentifier
    0x2F通过ID进行输入输出控制
    InputOutputControlByIdentifier
    0x31例程控制
    RoutineControl

    当这些被访问的数据或被请求执行的功能关系到车辆的安全或排放,也需要通过安全访问的方式授权。注意,这里的安全访问要求仅针对诊断服务中的标识符(DID/RID)参数,并不针对诊断服务。例如,通过0x22服务读取数据时,某些DID是普通的数据,不需要安全访问。只有读取安全相关的DID数据时才需要安全访问。哪些DID需要安全访问,由整车厂或ECU供应商定义。

    通过地址访问存储器

    通过如下的诊断服务读取存储器中的数据或向存储器中写入数据时,如果访问的存储器地址中的数据关系到车辆的安全或影响排放,也是需要通过安全访问授权的。

    诊断服务标识
    Service ID
    诊断服务
    Diagnostic Service
    0x23通过地址读取存储器数据
    ReadMemoryByAddress
    0x3D通过地址向存储器写入数据
    WriteMemoryByIdentifier

    此外,通过标识符读取定标数据服务(ReadScalingDataByIdentifier Service,SID 0x24)、通过周期性数据标识符读取数据服务(ReadDataByPeriodicIdentifier Service,SID 0x2A)、动态定义数据标识符服务(DynamicallyDefineDataIdentifier Service,SID 0x2C)和请求传输文件服(RequestFileTransfer service,SID 0x38)也需要安全访问的授权。由于这些服务不是很常用,在此不做过多介绍。

    更多相关内容
  • 1. 什么是中国国家信息安全产品认证证书 中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律...

    一、信息安全产品认证

    1. 什么是中国国家信息安全产品认证证书

    中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。 中国信息安全认证中心为国家质检总局直属事业单位。中心简称为信息认证中心。 英文全称:China Information Security Certification Center;英文缩写:ISCCC。

    2. 背景

    目前市场上通行的信息安全产品认证有三种:

    《网络关键设备和网络安全专用产品安全认证》

    《中国国家信息安全产品认证证书》

    《IT产品信息安全认证证书》

    其中,在产品功能和性能满足条件的情况下,《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证。

    3. 中国国家信息安全产品认证证书作用

    根据《中华人民共和国产品质量法》、《中华人民共和国标准化法》、《中华人民共和国进出口商品检验法》、《中华人民共和国认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,决定对部分信息安全产品实施强制性认证,发布了《第一批信息安全产品强制性认证目录》

    目录包含8大类别13种产品
    https://www.isccc.gov.cn/zxyw/cprz/gjxxaqcprz/zyxcprztzgg/09/314483.shtml
    https://www.docin.com/p-1594182334.html

    凡列入强制性认证目录内的信息安全产品,未获得《中国国家信息安全产品认证证书》,不得出厂、销售、进口或在其他经营活动中使用。

    4. 国家信息安全产品认证流程

    国家信息安全产品认证流程
    https://www.renrendoc.com/paper/100880104.html

    国家信息安全产品认证流程:

    1、认证申请

    准备申请材料、申请书等

    2、递交申请书

    向中国信息安全认证中心提交认证申请书(包括申请书所要求的其他资料)纸质版1式2份,电子版1份。含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。拟用于涉密信息系统的产品,按照国家有关保密规定和标准执行,不适用本申请指南。

    3、申请资料审查

    中国信息安全认证中心在收到申请资料后对其进行审查,如果资料不符合要求,申请方应按要求修改或补充;如果资料符合要求,进行单元划分。单元划分完成后,中国信息安全认证中心向申请方发出送样通知。

    4、发出送样通知单

    中国信息安全认证中心向客户发出送样通知单

    5、申请方向实验室送样

    *实验室选择

    申请方从指定实验室名单中,根据指定实验室的业务范围,自主选取检测实验室。指定实验室及业务范围参见中国国家认证认可监督管理委员会公告(2009年第25号)。

    *送样原则和数量

    详见各个产品的认证实施规则。

    *型式试验

    检测实验室完成检测后,将型式试验报告提交至中国信息安全认证中心。

    国家信息安全产品认证

    6、申请方缴费

    申请方收到缴费通知后,向中国信息安全认证中心缴纳认证费用(不包括实验室检测费用)。

    7、初始工厂检查

    工厂检查依据各个产品的认证实施规则进行,工厂检查包括信息安全保证能力、质量保证能力和产品一致性检查。(时间2-4天)综合评价、认证决定中国信息安全认证中心依据相关标准和规范对申请资料、型式试验报告和工厂检查报告等进行综合评价,作出认证决定。

    8、颁发证书

    证书制作完毕后,申请方可以自行到中国信息安全认证中心领取或委托中国信息安全认证中心邮寄。同时,证书信息将在中国信息安全认证中心网站予以公告。证书的有效性证书有效期为5年,证书有效期内,证书的有效性依据发证机构的定期监督获得维持。

    9、证后监督

    从获证后第12个月起进行第一次获证后监督,此后每12个月进行一次获证后监督。 必要情况下,认证机构可采取事先不通知的方式对生产厂实施监督。必要时可增加监督频次,详见各个产品的认证实施规则。

    二、CCRC信息安全服务资质(认证)

    官网: https://www.isccc.gov.cn/

    1. 背景和基本概念

    随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

    信息系统安全服务资质(CCRC)侧重在于信息安全服务领域。

    2. CCRC信息安全服务资质

    CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、 技术能力等方面的要求进行评价。

    该资质共8个单项,每个单项分为一、二、三级(最低)。其中一级最高,三级最低。共分8个不同的方向,分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全

    信息安全服务资质认证证书前名叫ISCCC,现在改名为CCRC。信息系统安全服务资质(CCRC),目前只有中国网络安全审查技术与认证中心一家机构才能审批的资质证书

    CCRC其实就是信息安全服务资质,也就是以前的名称是ISCCC。这三个其实就是一个东西,也就是都是信息安全服务资质认证证书的意思。

    CCRC信息安全服务资质单项

    官网:https://www.isccc.gov.cn/zxyw/fwzzrz/index.shtml

    1、信息安全风险评估
      2、 信息安全应急处理
      3、信息系统安全集成
      4、信息系统灾难备份与恢复
      5、软件安全开发
      6、信息系统安全运维
      7、网络安全审计
      8、工业控制系统安全
    在这里插入图片描述
    各分项都有三个级别,三级最低,一级最高。其中如果是做三级单个分项,其申报基础要求为:

    1、社保人数10人以上;
    2、近三年完成的信息安全项目1个以上;
    3、持证信息安全保障人员2名以上。

    因此,CCRC信息安全服务资质安全集成服务资质三级申报的时候,企业也是需要满足以上三个基础要求。

    审核标准

    信息系统安全服务资质(CCRC)对项目的管理及资料的存档更加严谨,人员有严格的要求,对于申请不同类别和级别的相关安全保障人员数量、毕业学历、毕业时间都有明确的要求。

    3. 信息安全服务资质评审发证机构介绍

    CCRC 中国网络安全审查技术与认证中心(原中国信息安全认证中心-ISCCC)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。

    中国网络安全审查技术与认证中心为国家市场监督管理总局直属事业单位,系第三方公正机构和法人实体。其职能为:承担网络安全审查技术与方法研究;开展网络安全认证评价及相关标准技术和方法研究;承担网络安全审查人员和网络安全认证人员技术培训工作;在批准的工作范围内按照认证基本规范和认证规则开展认证工作;受理认证委托、实施评价、做出认证决定,颁发认证证书;负责认证后的跟踪检查和相应认证标志使用的监督;受理有关的认证投诉、申诉工作;依法暂停、注销和撤销认证证书;对认证及认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训;对提供信息安全服务的机构、人员进行资质注册和培训;根据国家法律、法规及授权参加相关国际组织开展信息安全领域的国际合作;依据法律、法规及授权从事相关认证工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。

    4. CCRC信息安全服务资质证书样本

    在这里插入图片描述

    5. CCRC信息安全服务资质认证有什么好处?

    通过信息系统安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。

    证书持有单位可在有效期内从事有关的信息安全服务工作,并接受中国网络安全审查技术与认证中心(以下简称为CNITSEC)的监督;

    可用于政府、金融等行业招标投标项目,提高竞争力;提高公司市场占有率,提升企业形象。
    这个证书的发证机构有中国信息安全测评中心或中国网络安全审查技术与认证中心。由此可见,其证书的含金量是不低的。且企业如果有这个证书,在参加招投标中是可以获得加分的,对企业自身实力的提升也很有帮助。

    CCRC信息安全服务资质认证的好处:
    1、企业申请并完成信息安全服务资质有助于信息安全服务商完善自身管理体系,提高服务质量和水平。
    2、企业申请并完成信息安全服务资质有助于提高需方对信息安全服务商的信任度。
    3、企业获得CCRC信息安全服务资质认证证书有助于提高中标率。
    4、企业获得CCRC信息安全服务资质认证证书可用于荣誉展示。

    6. CCRC信息安全服务资质二级、三级各项基本要求

    资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

    CCRC信息安全服务资质三级需要的条件

    信息安全服务资质三级需要的条件

    1. 申请人必须是中国境内注册的法人单位,成立时间1年以上。
    2. 公司的注册资本在50万元以上,且没有任何不良的信用记录,办公面积有100平米以上。
    3. 公司近两年的信息安全服务业务完成验收项目总额100万元以上。
    4. 近一年未出现亏损,营业收入达到300万元以上,固定资产净值有10万以上,并有中华人民共和国境内依法设立的会计师事务所出具的财务审计报告。
    5. 通过ISO9001认证,建立有项目管理、客户服务管理、人力资源管理制度。
    6. 技术负责人具备电子信息类硕士以上学位或电子信息类中级以上职称、且从事信息安全服务业务技术工作不少于1年;财务负责人至少有会计技术初级资格。
    7. 信息安全服务的工作人员不少于10名,取得“信息系统业务安全服务工程师”培训证书的人数不少于5名。

    CCRC认证三级(一个分项)基本要求:

    1、社保人数10人以上

    2、近三年完成的信息安全项目1个以上

    3、持证信息安全保障人员2名以上

    CCRC认证二级(一个分项)基本要求

    1、社保人数30人以上

    2、近三年完成的信息安全项目6个以上

    3、持证信息安全保障人员6名以上

    以上就是企业做CCRC认证三级、二级分别所需的基本要求

    CCRC信息安全服务资质一级要求

    都知道CCRC信息安全服务资质一级是最高级别,所以一级也是不能像三级和二级一样直接申请的,如要直接申请一级,首先要进行申请,申请通过之后才能正常申报。所以要申报一级,企业必须要有一定扎实的实力才可以。

    申请方可根据条件直接申请,或获得二级一年以上可提出相同类别的一级申请,且服务管理程 序文件需建立、发布并运行一年以上。

    人员素质与要求
    1、组织负责人拥有4年以上信息技术领域管理经历
    2、技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致)。
    3、项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致)。

    业绩要求
    1、从事信息安全服务(与申报类别一致)5年以上。
    2、近3年内签订并完成至少10个信息安全服务(与申报类别一致)项目。

    7. CCRC信息安全服务资质认证流程图及申报资料清单

    参考URL: https://blog.csdn.net/qiye51/article/details/115860285
    在这里插入图片描述
    CCRC信息安全服务资质认证证书需要提交的材料清单:

    1.服务资质认证申请书;

    2.独立法人资格证明材料;

    3.从事信息安全服务的相关资质证明;

    4.工作保密制度及相应组织监管体系的证明材料;

    5.与信息安全风险评估服务人员签订的保密协议复印件;

    6.人员构成与素质证明材料;

    7.公司组织结构证明材料;

    8.具备固定办公场所的证明材料;

    9.项目管理制度文档;

    10.信息安全服务质量管理文件;

    11.项目案例及业绩证明材料;

    12.信息安全服务能力证明材料等。

    CCRC认证有效期

    CCRC认证有效期为5年。在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。

    获得CRCC证书后维护需做

    1)每年均需监督审核,提前2个月提交监督审核通知单回执及自评价表。
    2)原则上证后第1年监督审核为现场审核
    3)在认证风险可控的情况下,原则上证后第2年为非现场审核,第3年为现场审核,以此类推。
    4)若存在影响认证有效性的情况,增加现场审核的频度与部分项的审核力度

    造成撤销的情况

    1)逾期3个月未按规定接受监督审核的
    2)证书暂停期间,未在规定时间内完成整改并通过验证;
    3)违规使用认证证书,造成不良影响;
    4)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
    5)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请
    6)其他需要撤销证书的情况。

    三、参考

    360借条通过CCRC权威认证,再获国家级认可
    参考URL: https://blog.csdn.net/FL63Zv9Zou86950w/article/details/122469635
    http://www.isocsr.com/ccrc/ruanjiankaifazizhi
    信息安全产品认证介绍
    https://zhuanlan.zhihu.com/p/405689624

    展开全文
  • 服务器实战部署安全策略

    千次阅读 2022-03-17 16:34:26
    一、防火墙 防火墙是服务器的第一道防线,虽然不能百分百防护得到,但至少能阻挡大多数黑客的DOS或DDOS以及利用部分开源软件的漏洞进行病毒植入等攻击。 1.防火墙设置开机自启动 systemctlenablefirewalld ...

    一、防火墙

    防火墙是服务器的第一道防线,虽然不能百分百防护得到,但至少能阻挡大多数黑客的DOS或DDOS以及利用部分开源软件的漏洞进行病毒植入等攻击。

    1.防火墙设置开机自启动

    systemctl enable firewalld

    2.防火墙常用命令

    (1)防火墙状态查看(开启或关闭)

    systemctl status firewalld

    (2)开放端口

    firewall-cmd --permanent --add-port=端口/tcp

    (3)关闭端口

    firewall-cmd --permanent --remove-port=端口/tcp

    (4)防火墙重启

    firewall-cmd --reload

    (5)查看防火墙已开放端口

    firewall-cmd --list-ports

    注意:
    无论是服务器开放端口还是关闭端口必须要重启防火墙生效,否则无效。

    二、远程连接

    1.ssh端口修改

    vim /etc/ssh/sshd_config

    添加一行Port 12593即可,如图所示:

    重启sshd:

    systemctl restart sshd

    需要开启防火墙:

    firewall-cmd --permanent --add-port=12593/tcp
    firewall-cmd --reload

    2.禁用root远程登录

    修改配置文件:

    vi /etc/ssh/sshd_config

    添加如下内容:

    找到 # PermitRootLogin yus
    改为 PermitRootLogin no

    创建用户及授权:

    useradd blog #添加用户
    passwd #重置密码
    chown -R 用户名  路径

    三、备份管理

    1.数据备份

    编写服务脚本通过scp命令进行远程传输到备份服务器对应的数据备份
    目录。
    核心命令如下:

    scp  -r sql_月份或天.zip mysql@ip:/home/mysql/backup

    数据备份脚本内容可供参考(可以结合上面的scp命令,实现备份到另外的服务器):

    
    #!/bin/bash
    base_dir=/home/blog/sql_script
    DATE=$(date +%Y%m%d)
    time=$(date "+%Y-%m-%d %H:%M:%S")
    cd $base_dir
    mysqldump -uroot -p123456 --databases wordpress nacos > dump_$DATE.sql
    
    if [ $? -eq 0 ]
    then
      echo "成功备份mysql数据库,当前日期为:"$time >> /home/blog/mysql_dump.log
    
    else
    
      echo "备份mysql数据库失败:当前日期为:"$time>> /home/blog/mysql_dump.log
    
    fi

    2.程序日志备份

    目前日志主要存储在/home/blog/dev/log目录下。
    核心命令如下(可写入shell脚本定时执行):

    scp -r server_log_月份或天.zip server@ip:/home/server/backup

    3.系统日志备份(针对服务器所产生的系统日志)

    一般日志主要存储在/var/log下。
    核心命令如下(可写入shell脚本定时执行):

    scp -r system_log_月份或天.zip system@ip:/home/system/backup

    四、定期更新系统内核

    • 1.硬件兼容性更好(支持更多的硬件);

    • 2.修复原有内核系统漏洞(有的黑客会以原有系统漏洞来达到攻击服务器的目的),提升系统稳定性;

    • 3.系统将拥有更多的内存(内核部分将不会被交换到虚拟内存中,这也是不少朋友感觉服务器内存虽然16G,实际能用的可能只有12~13G左右);

    • 4.更多的新功能和特性,提高效率,减少运维工作量

    要按照实际情况更新系统内核,切不可随意更新,更新前一定要有充足的准备,防止更新以后出现不兼容性问题导致影响巨大(特别是生产环境,要特别小心,可以事先做试验更新确保问题,同时也把坑给踩了)。

    1.更新yum源仓库
    yum -y update
    2.启用 ELRepo 仓库
    rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
    3.安装ELRepo仓库的yum源
    yum install
    https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
    4.查询可用的系统内核包
    yum --disablerepo="*" --enablerepo="elrepo-kernel" list available
    5.安装最新版本内核
    yum --enablerepo=elrepo-kernel install kernel-ml
    6.设置新的内核为grub2的默认版本
    grub2-set-default 0
    7.生成 grub 配置文件并重启
    grub2-mkconfig -o /boot/grub2/grub.cfg (必须等待该命令执行完毕后才执行reboot重启服务器)
    reboot
    8.验证新内核
    uname -r

    五、服务管理

    1.应用软件

    (1)MySQL

    a.避免使用默认端口3306;

    b.如需对外暴露,限制IP;

    c.对外连接账户,密码设置复杂且做严格库表权限控制;

    d.不使用根用户运行MySQL。

    (2)Redis

    a.禁止监听公网;

    b.禁止使用root用户启动;

    c.限制Redis配置文件访问权限(chmod 600 redis.conf)

    d.修改默认端口(最好不要为6379);

    e.打开保护模式;

    f.开启账号密码认证模式;

    g.数据加密,开启SSL代理。

    (3)Nginx

    a.隐藏版本号(防止黑客针对版本漏洞进行攻击);

    b.开启HTTPS;

    c.开启黑白名单;

    d.添加账号认证(一般为basic,双重认证的体系);

    e.限制请求方法;

    f.拒绝User-Agent和Header头设置;

    g.图片防盗链;

    h.控制并发连接数;

    i.限制缓冲区大小(防止缓冲区溢出攻击)。

    2.微服务

    (1)通过网关代理访问,仅暴露网关(网关处于公网下,一般Nginx代理网关,网关处于内网)。

    (2)各个微服务处于内网,通过注册中心建立联系,如涉及集群,可通过Nginx负载均衡策略实现请求分发。

    展开全文
  • 让你的Linux服务器更安全的一些措施

    千次阅读 2021-12-14 10:39:49
    今年Amazon对国内跨境电商大规模的封店,其源头在于一个国内一个刷分及刷评论的elastic数据库被泄露,这个微小的安全事件,引发大量国内电商被封,对多公司来说,这种损失是难以估量的。 切记,安全无小事

    互联网上的攻击和恶意软件与扫描几乎无处不在。你的每一个互联网上能探测访问到的服务器几乎无时无刻都在遭受各种扫描与攻击尝试。

    所以,如果你有服务器是在网络中能够被访问到的,那你得学会好好保护你的Linux服务器。

    我在这篇文章中提供了一些常见的方法,它能帮助你避免一些恶意扫描与漏洞尝试。

    主要的一些点包括:

    • 不使用远程登录默认的22端口
    • 禁用ROOT用户远程登录
    • 禁用SSH用户名密码登录,只允许密钥登录
    • 不要使用软件或服务的默认端口
    • 开启系统自带的防火墙,启用最小访问原则
    • 保持系统经常性的更新

    下面是针对每一点的具体解释与推荐做法

    1. 不使用远程登录默认的22端口

    为什么

    对于服务器,我们几乎都是使用SSH进行远程登录操作。SSH的默认端口是22,这个是众所周知的。

    所以,不要使用22默认的端口,很多扫描一天24小时就是不断的在扫描并尝试使用22端口进行登录。如果你的远程登录端口不是22,则意味着针对这一个点的扫描的可能性极大的减少了。

    如何做

    sshd的配置文件位于:/etc/ssh/sshd_config

    修改这个文件

    vim /etc/ssh/sshd_config
    # 找到Port 22这一行,注释掉它,在它的下面添加新的一行记录
    Port 12021
    
    # 重启服务
    sudo systemctl restart sshd
    

    这样,你的远程端口就变为12021,而不是22了

    ssh -p 12021 name@ip
    

    这样,下次你在远程登录时,添加-p参数就好了。

    效果

    你要知道,22这个很容易知道,不是22这个则不太好猜测,就算是计算机不停的轮询猜测sshd的端口,这个范围也大大增加了。

    而大多数情况下,对sshd的扫描都主要是针对22来的,因为不修改端口的情况太多了

    2. 禁用ROOT用户远程登录

    为什么

    Root用户的权限太高了,无论什么情况下,都不应该允许Root远程登录,而是使用其它用户来允许远程登录。

    如何做

    找到sshd配置文件,/etc/ssh/sshd_config

    vim /etc/ssh/sshd_config
    

    找到,PermitRootLogin这样的字样及行

    PermitRootLogin no
    

    将这个值修改为no

    # 重启服务
    sudo systemctl restart sshd
    

    当前,切记在禁用ROOT前,要新增了另一个用户以供远程登录

    效果

    有两个效果,其一,默认扫描很多情况下是使用ROOT用户来尝试登录,一旦Root不允许登录,则猜测用户名的难度大大增加。

    而另一方面,就算是非root用户被攻破,如果你对这个用户的权限进行很好的控制,它造成的影响总相对会少一些。

    3. 禁用远程用户名密码登录,取之以密钥登录

    为什么

    计算机通过轮询+猜测的方式来攻破总是非常有效的,网上的用户名密码库太多了,很多人的用户名密码对在互联网上早已泄露了。

    对于服务器来说,与其想着如何强化密码,不如直接禁用掉密码登录,只支持密钥的方法来登录

    如何做

    # 如果你还没有ssh-key,你可以在本机先生成一个ssh-key以做使用
    ssh-keygen -t rsa -C "your_email@example.com"
    # 将你的key上传到服务器(此方法仅限你使用的是Linux或Mac系统,Win不适应命令)
    ssh-copy-id -i ~/.ssh/id_rsa -p 12021 username@ip
    

    然后修改/etc/ssh/sshd_config

    vim /etc/ssh/sshd_config
    
    #修改或添加以下配置
    RSAAuthentication yes
    PubkeyAuthentication yes
    
    sudo systemctl restart sshd
    

    最后,确认远程登录支持密钥登录后,禁用password登录

    vim /etc/ssh/sshd_config
    #修改或添加以下配置
    PasswordAuthentication no
    

    效果

    完成这一步后,基本意味着互联网的用户名密码远程扫描式攻击基本就无效了。只要保护好你自己本机的私钥,通过SSH扫描攻击尝试基本就不存在了

    4. 不要使用软件的默认端口

    为什么

    做过编程的人都知道,MySQL的端口端口是3306,Postgres的默认端口是5432

    要知道,但凡是软件或服务,都可能会有漏洞。

    恶意扫描会对常用软件,常用服务的端口进行尝试,特别是针对已知的存在漏洞的服务或软件,进行尝试。

    很多人压根不会做任何修改,直接以默认端口来运行相应的服务。甚至更甚的,在正式环境不需要密码都能访问这些服务的现象也时有发生。

    如何做

    没有特别的方式,针对你服务器上的软件或服务,进行修改。每个软件或服务的修改方式并不一致。将其修改为非默认的端口。

    还要特别注意,有些诸如Redis这样的,一定要设置用户名密码,不要密码都不要就能访问。

    效果

    还有那个原理,非默认端口不好猜测。换了端口,谁知道你的MySQL端口是什么呢?

    这同样能极大的减少恶意软件的攻击与扫描。

    事实上,大多数情况下,类似的服务不应该公开对外访问才是合理的。

    5. 开启系统自带的防火墙,启用最小访问原则

    为什么

    Linux系统都有防火墙,比如Debian有ufw防火墙,CentOS有iptables等。

    当然,云服务类似阿里或腾讯云是有默认的防火墙安全策略的。你首先可以设置这一层的策略。但似乎云服务的安全策略只针对公网访问才有限。

    但这不能成为你让你的机器裸奔的理由。开启你的防火墙。

    如何做

    以Debian上的ufw为例

    #安装
    sudo apt update
    sudo apt install ufw
    
    #查看状态
    sudo ufw status verbose
    
    # 查看内置应用
    sudo ufw app list
    
    # 允许443
    sudo ufw allow Nginx\ https
    
    # 允许12021远程端口
    Sudo uff allow 12021/tcp
    
    #启用防火墙
    sudo ufw enable
    

    效果

    这样,没有必要开放的端口不需要开放。这样当然能更少的避免恶意软件的攻击与扫描。

    6. 保持系统经常性的更新

    为什么

    好吧,这是非常重要的一个点。

    每天都可能有新的系统漏洞被发现,不同的系统,都会及时的发布更新补丁。你应该每天去更新你的系统,特别是安全性的补丁。

    同样,不同的软件也会定时发布更新,修复安全漏洞或其它。

    如何做

    其实非常简单,每个系统几乎都提供了更新机制

    # debian系
    sudo apt update #更新最新信息
    sudo apt upgrade #升级或安装新的补丁
    

    效果

    只要你做的及时,这样就能有效的防止新的漏洞

    安全无小事

    今年Amazon对国内跨境电商大规模的封店,其源头在于一个国内一个刷分及刷评论的elastic数据库被泄露,这个微小的安全事件,引发大量国内电商被封,对多公司来说,这种损失是难以估量的。

    安全无小事,当然刷分或刷单这个事合不合理这一点撇开不论,如果我们能有效的保护我们的服务器及数据,学会保护我们的服务器及数据的安全,就能尽量避免类似的意外。

    切记,安全无小事。

    展开全文
  • 什么是安全测试

    万次阅读 多人点赞 2020-10-18 13:47:09
    安全测试的目的,怎么做安全测试,与传统测试的区别
  • 安全教育平台登录不上解决办法:1.第一种情况:要确定你输入的账号和密码是否正确。2.第二种情况:如果确定账号和密码无误的情况下,看下平台是否不兼容你目前使用的浏览器,更换浏览器试试。3.第三种情况:如果这个...
  • 云服务器发现安全漏洞怎么解决?

    千次阅读 2022-02-11 16:10:46
    云服务器发现安全漏洞怎么解决?很多企业对数据方面非常重视,服务器一有问题都会及时处理,以防数据泄露,那么如果发现漏洞该怎么呢?下面我们就来看看吧!
  • 连接性为新功能增加了很多空间,但也带来了明显更高的安全风险。 物联网中使用什么芯片? 物联网在微控制器上运行,而不是微处理器。微处理器是用于驱动服务器、个人电脑和电话的芯片。事实上,这两类芯片的名称和...
  • 4、为开发人员提供快速有效的开发框架、服务、公用组件; 5、负责项目开发过程中的技术攻关,和运行中出现的技术问题; 6、负责对架构进行优化,持续改进性能、可扩展性、稳定性、安全性。 岗位需要具...
  • 在行业内大家都把CCRC信息安全服务资质认证简称为CCRC认证,在CCRC认证中,一共是有三个级别,三级最低,一级最高,CCRC三级认证的企业数量也是相对来说最多的。那大家知道企业CCRC认证三级、二级分别都有哪些...
  • 前言 这次花了大把精力一边学习一边整理网络安全服务职位(包括但不仅限于:安全服务工程师,安全运营工程师,安全运维工程师,安全攻防工程师“)的面试问题。 话不多说,让我们一起学习吧 目前来说还有非常多的不...
  • 安全模式是Windows 操作系统中的一种诊断启动模式,用于在操作系统无法正常启动时获取有限的Windows访问权限。 正常模式与安全模式相反,它以其典型方式启动Windows。 注意:安全模式在macOS上称为安全启动。术语...
  • 这里写自定义目录标题写在前面判断题正确单选题错误单选题...F 项目TD是项目网络安全管理的第一责任人,项目组在任命时要明确网络安全管理职责,负责网络安全管理措施在本项目组的执行,组织网络安全现场培训。 F 接
  • 服务器安全篇【ssh安全

    千次阅读 2018-02-11 11:54:23
    一元一个月学生机都有人入侵,根据提示ssh端口再被爆破),上服务器看了下history,记录被清除了,根据腾讯的安全提示找到了相应可疑病毒文件,本地虚拟机了分析这应该是一个十字符病毒,没看到可疑正在运行进程。...
  • OSI安全体系结构的五类安全服务以及八类安全机制

    万次阅读 多人点赞 2017-03-15 10:01:56
    五类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。 认证(鉴别)服务:在网络交互过程中,对收发双方的身份及数据来源进行验证。 访问控制服务:防止未授权用户...
  • 什么是功能安全

    万次阅读 2018-07-06 09:15:33
    什么是功能安全(FS)?在现代工业控制领域中,可编程电子硬件、软件系统的大量使用,大大提升了自动化程度。但由于设备设计中的缺失,以及开发制造中风险管理意识的不足,这些存在设计缺陷的产品大量流入相关行业的...
  • 采用 DSP 时,通过安全的数据共享来最大化数据的协作和价值,并采用创新的数据安全技术和理念实现更大范围的数据共享安全。通过DSP的数据安全运营,让CDO一眼掌握资产动态与数据安全保护措施及效果;数据Owner自己的...
  • 青藤云安全一、二面一面二面 一面 0xx 1.自我介绍 2.如何磁盘挂载 3.如何永久性的磁盘挂载 4.在渗透测试过程中,系统登录的日志目录 5.如何查看操作系统下正在监听的端口 6.netstat后面会跟哪些参数 7.如何用...
  • 上一篇《统一诊断服务(UDS)- 什么是安全访问》中介绍了安全访问的机制和应用场合。为了易于理解,文中笼统的描述为通过安全访问后ECU就被解锁了。实际上,ECU内部存在着安全等级(Security Level)。通过安全访问...
  • 服务器安全

    万次阅读 2018-11-26 12:41:03
    服务器安全是一个讨论不完的话题,既然不能专业,那就交给专业的服务商去,我们可以采用阿里云、安全狗、xxx和xxx平台的服务,综合保障服务器安全。 使用阿里云盾定期扫描域名,及时处理发现的风险。 使用阿里...
  • 渗透测试实习生和安全服务实习生的面试题,企业有知道创宇,安恒信息,默安科技,奇安信四个企业。面试题本人能记多少就写多少,可供参考,祝大家成功拿到offer。
  • 目录 概述 ...但是直接暴露内网的IP或者IP某个端口给外网是不安全的,因此需要一些安全的手段。这里采用STCP(secret TCP)的方式配置安全的内网穿透,即访问内网客户端的时候,需要外网客户端
  • 软件测试之安全怎么

    千次阅读 2020-06-08 11:17:59
    安全测试在做什么?2.安全测试者是怎样定位自己的?3.安全的本质是什么?4.概念定义5.我们应该如何去着手5.1.测试的特性5.1.1.操作系统安全5.1.2.数据库5.1.3.web安全5.1.4.软件的发布与安装安全5.1.5.协议与接口...
  • 常见安全服务介绍,囊括基线加固、风险评估、应急响应、渗透测试、代码审计、重保
  • 一、网络安全概述 1.1 网络中的“安全”问题 信息安全经历两大变革: 从物理和管理方法 转变成 自动化工具保护信息安全 终端普遍使用网络传输数据并保证数据安全 网络中的“安全”问题 监听 截获 篡改 假冒 ...
  • 服务器安全防护

    千次阅读 2018-12-08 17:24:42
    IT技术可以说是一把双刃剑,为我们带来便捷的同时,也带来了威胁,网络安全问题就是其中之一。如今,随着黑客技术的发展,服务器被攻击的事件屡见不鲜,如何保障服务器...1. 从基本起,及时安装系统补丁 不论是...
  • 麟学堂网络空间安全学习群-有奖竞答通过三道题的方式,由浅入深,逐步讲解,帮助大家了解一个知识点,最终掌握知识点。 今日三题: 1、计算机的五大硬件为 A、输入、输出、CPU,内存,BIOS B、输入、输出、...
  • 运维安全概述

    千次阅读 2022-04-18 15:12:19
    另一方面,一个运维漏洞的出现,通常反映了一个企业的安全规范、流程或者是这些规范、流程的执行出现了问题,这种情况下,可能很多服务器都存在这类安全问题,也有可能这个服务还存在其他的运维安全问题。...
  • Spring Cloud中如何保证各个微服务之间调用的安全性?

    千次阅读 多人点赞 2021-08-19 15:39:58
    但是在在微服务集群中服务之间暴力的接口,或者对于第三方开放的接口如果不安全和认证,后果可想而知。 阅读下文之前思考几个问题: 如何在restTemplate远程调用请求增加添加统一认证? 服务认证如何规范...
  • 在微信开发时,需要点击...因为微信的安全做得比较好,我们根据 微信 js sdk写的函数、方法,只有在指定的安全域名下才能被微信唤起。 注意:设置完安全域后,还要能保证此域名下能访问微信提供的txt文件...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,174,380
精华内容 469,752
关键字:

安全服务是做什么的

友情链接: NetGuard.rar