-
【系统优化】新装Linux系统注意事项增加系统安全
2019-11-27 16:43:071)根据经验,选择安装包时应该按最小化原则,即不需要的或者不确定是否需要的就不安装,这样可以最大程度上确保系统安全。 2)如果安装过程落了部分包组或者其他伙伴安装时没选,再安装后可以按如下方式补上安装时...1)根据经验,选择安装包时应该按最小化原则,即不需要的或者不确定是否需要的就不安装,这样可以最大程度上确保系统安全。
2)如果安装过程落了部分包组或者其他伙伴安装时没选,再安装后可以按如下方式补上安装时未安装的包组:
yum groupinstall "Compatibility libraries" "Base" "Development tools"
yum groupinstall "debugging Tools" "Dial-up Networking Support"
可以通过yum groupinfo 包组查看具体安装的组件。
注意:不要使用yum的删除功能删除软件,会删除相关依赖,导致意外问题。
安装系统后还会有一些基本的工具没装,这时可以根据需求yum来安装下,啥时用啥时装也可。例如:
yum install tree nmap sysstat lrzsz dos2unix -y
超级管理员(root): root默认在unix/linux操作系统中拥有最高的管理权限。比喻:皇帝。
普通用户:管理员或者具备管理权限的用户创建的。权限:系统管理仅可以读、看,不能增、删、改。
[root@oldboy ~]# useradd luffy
[root@ oldboy ~]# passwd luffy ###问你新的密码,然后你输入 交互设置密码
Changing password for user luffy.
BAD PASSWORD: it is too simplistic/systematic #ç提示密码太简单了,但可以不理会。
passwd: all authentication tokens updated successfully.
非交互式设置密码:还可通过下面的命令一步到位地设置密码(其中,luffy为用户名,密码为123456)。
echo "123456"|passwd --stdin luffy && history -c
[root@ oldboy ~]# su - luffy <==由root管理员,切换到普通用户luffy
[luffy@ oldboy ~]whoami<==查看当前用户是什么luffy[luffy@oldboy ] su - root <==切回到root用户
1)超级用户root切换到普通用户下面,无需输入对应用户密码,这相当于“皇帝”去“大臣”家里。
2)普通用户切换到root或其他普通用户下,需要输入切换的对应用户密码。
3)普通用户的权限比较小,只能进行基本的系统信息查看等操作,无法更改系统配置和管理服务。
4)符号是普通用户的命令行提示符,#符号是超级管理员的提示符。示例如下: [luffy@ oldboy ~] #普通用户luffy对应的提示符
[root@ oldboy ~]# #超级管理员root对应的提示符
5)提示符@前面的字符代表当前用户(可用whoami查询),后面的为主机名(可用hostname查询),~所在的位置是窗口当前用户所在的路径。示例如下:
[luffy@ oldboy ~]#luffy为当前用户,Oldboy为主机名,~表示当前目录,即家目录。 6)Linux命令提示符由PS1环境变量控制。示例如下: [root@ oldboy ~]# echoPS1
这里的PS1='[\u@\h \W]′,可以通过全局变量配置/etc/profile文件调整PS1=′[\u@\h\W\t] '。
\d 代表日期,格式为weekday month date。
\W 利用basename取得工作目录名称,所以只会列出最后一个目录
$ 提示字符,如果是root时,提示符为# ,普通用户则为变量(放东西查看变量的内容)PS1−−−变量的名字−−−−−−藏经阁里面的武功秘籍(葵花宝典)秘籍名字(书名)PS1---查看变量里面的内容---手端着书(葵花宝典) 看书的内容(读书) PS1=新的内容 ---向变量里面放入东西----修改书的内容(升级书) 欲练此功,必先自宫,若不自宫,也能成功。 linux变量名字(书名)大写的一般是自己用(linux环境变量),在哪里都可以用的变量
SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,这个功能让系统管理员又爱又恨,这里我们还是把它给关闭了吧,至于安全问题,后面通过其他手段来解决,这也是大多数生产环境的做法,如果非要开启也是可以的。
cp /etc/selinux/config /etc/selinux/config.bak
sed 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
grep "disabled" /etc/selinux/config
# 数字0表示Permissive,即给出警告提示,但不会阻止操作,相当于disabled。
# 数字1表示Enforcing,即表示SElinux为开启状态。
setenforce:用于命令行管理SELinux的级别,后面的数字表示设置对应的级别。
提示:修改配置SElinux后,要想使其生效,必须要重启系统。因此,可配合使用setenforce 0这个临时使其关闭的命令,这样在重启前后都可以使得SElinux关闭生效了,也就是说无须立刻重启服务器了,在生产场景下Linux机器是不能随意重启的(不要给自己找任何理由重启)。
4、关闭iptables(C6)或Firewalld(C7)防火墙
关闭防火墙的目的是为了让初学者学习更方便,将来在学了iptables技术后可再统一开启。 在企业环境中,一般只有配置外网IP的linux服务器才需要开启防火墙,但即使是有外网IP,对于高并发高流量的业务服务器仍是不能开的,因为会有较大性能损失,导致网站访问很慢,这种情况下只能在前端加更好的硬件防火墙了。 关闭防火墙的具体操作过程如下:
[root@oldboyedu ~]# /etc/init.d/iptables stop
[root@oldboyedu ~]# /etc/init.d/iptables stop #<==重复执行下确认已关闭。
[root@oldboyedu ~]# /etc/init.d/iptables status
iptables: Firewall is not running.
[root@oldboyedu ~]# chkconfig iptables off
[root@oldboyedu ~]# chkconfig --list|grep ipt
iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off
[root@oldboyedu ~]# systemctl stop firewalld
[root@oldboyedu ~]# systemctl disable firewalld
[root@oldboyedu ~]# systemctl is-active firewalld #是否正在运行
[root@oldboyedu ~]# systemctl is-enabled firewalld #是否开机自启动
[root@oldboyedu ~]# systemctl stop NetworkManager
[root@oldboyedu ~]# systemctl disable NetworkManager
sed -i 's#\#Port 22#Port 7777#g' /etc/ssh/sshd_config
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
下载新的CentOS-Base.repo 到/etc/yum.repos.d/
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
之后运行yum makecache生成缓存,此步骤可以不执行。
mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup
mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-5.repo
在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具,可以说是一款很强大的http命令行工具。它支持文件的上传和下载,是综合传输工具,但按传统,习惯称url为下载工具。
-O --remote-name,把输出写到该文件中,保留远程文件的文件名
-# --progress-bar,用进度条显示当前的传送状态
-v --verbose,详细显示请求报文结构和响应报文结构信息
wget支持HTTP,HTTPS和FTP协议,可以使用HTTP代理。所谓的自动下载是指,wget可以在用户退出系统的之后在后台执行。这意味这你可以登录系统,启动一个wget下载任务,然后退出系统,wget将在后台执行直到任务完成
wget 可以跟踪HTML页面上的链接依次下载来创建远程服务器的本地版本,完全重建原始站点的目录结构。这又常被称作”递归下载”。
-V --version,显示 Wget 的版本信息并退出。
-O --output-document=FILE,将文档写入 FILE。
yum -y install tree nmap sysstat lrzsz dos2unix telnet bash-completion bash-completion-extras vim nc lsof net-tools rsync
诸如openssl、openssh、bash爆出很多软件漏洞,在企业场景需要进行修复漏洞操作,步骤如下:
[root@Oldboy ~]# rpm -qa openssl openssh bash
[root@Oldboy ~]# yum install openssl openssh bash -y
[root@Oldboy ~]# rpm -qa openssl openssh bash
openssh-5.3p1-104.el6_6.1.x86_64
openssl-1.0.1e-30.el6_6.5.x86_64
echo '#Timing synchronization time' >/var/spool/cron/root
echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &>/dev/null' >/var/spool/cron/root
echo '* - nofile 65535 ' >>/etc/security/limits.conf
tail -1 /etc/security/limits.conf
cat>>/etc/profile.d/color.sh<<EOF
alias ll='ls -l --color=auto --time-style=long-iso'
export HISTTIMEFORMAT='%F-%T '
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_synack_retries = 1
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
[root@oldboy ~]# cat /server/scripts/hostname_ip.sh
if [ # -ne 2 ];then echo "/bin/sh0 hostname PartIP"
sed -i "s#100#$2#g" /etc/sysconfig/network-scripts/ifcfg-eth[01]
export TMOUT=10 账号超时时间控制台变量(类似于Windows的锁屏)
export HISTSIZE=5 命令行历史记录数量(历史记录越少越好)
export HISTFILESIZE=5 命令行命令对应文件的记录数~/.bash_history
echo 'export TMOUT=300' >>/etc/profile
echo 'export HISTSIZE=5' >>/etc/profile
echo 'export HISTFILESIZE=5' >>/etc/profile
18、如何防止显示中文乱码(该优化初期建议不优化,直接强制看英文)
此项优化为可选项,即调整Linux系统的字符集设置,那么,什么是字符集呢?
简单的说,字符集就是一套文字符号及其编码。目前Linux下常用的字符集有:
GBK:定长,双字节,不是国际标准,支持的系统不少,实际企业用的不多。
UTF-8:非定长,1~4字节,广泛支持,MYSQL也使用UTF-8,企业广泛使用。 可通过快捷的命令方式在/etc/sysconfig/i18n中添加如下内容,使其支持中文显示:
[root@ oldboy ~]# echo LANG ###查看系统当前的字符集 en_US.UTF-8 [root@ oldboy ~]# cat /etc/sysconfig/i18n #####系统字符集配置文件的位置 LANG="en_US.UTF-8" SYSFONT="latarcyrheb-sun16" [root@Oldboy ~]# cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori ####备份 [root@Oldboy ~]# echo 'LANG="zh_CN.UTF-8"' >/etc/sysconfig/i18n ####修改配置文件 #→相当于用vi /etc/sysconfig/i18n 添加LANG="zh_CN.UTF-8"内容 [root@Oldboy ~]# source /etc/sysconfig/i18n #→使上文修改生效 ###让配置文件生效 [root@Oldboy ~]# echoLANG ###查看系统当前的字符集
不用root登录管理系统,而以普通用户登录通过sudo授权管理。
更改默认的远程连接SSH服务端口,禁止root用户远程连接,甚至要更改SSH服务只监听内网IP。
关闭SELinux及iptables(在工作场景中,如果有外部IP一般要打开iptables,高并发高流量的服务器可能无法开启)。
调整文件描述符的数量,进程及文件的打开都会消耗文件描述符数量。
定时自动清理邮件临时目录垃圾文件,防止磁盘的inodes数被小文件占满(注意Centos6和Centos5要清除的目录不同)。
精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)。
Linux内核参数优化/etc/sysctl.conf,执行sysctl -p生效。
更改系统字符集为“zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。
锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab,处理以上内容后把chattr、lsattr改名为luffy,转移走,这样就安全多了。
清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。
打补丁并升级有已知漏洞的软件。 新系统 yum –y install 已经在线上用的服务器 web服务器能够停止。
-
Linux 系统安全之 升级 OPENSSH
2020-02-25 10:01:25而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此...OpenSSH
OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。
网络安全一刻也不能放松,为了系统安全尽量将 OPENSSH 升级到最新版本,目前最新版本为 8.2 P1,下面开始准备升级。
- 实验环境 CentOS 7.5
- 为了预防万一升级失败后,无法登陆远程主机的问题,需要先安装 、启动Telnet 服务,确保可以远程登录。
- 安装、配置 Telnet 以及超级守护进程 xinetd 服务
- 编辑 telnet 主配置文件 /etc/xinetd.d/telnet
- vim /etc/xinetd.d/telnet
service telnet
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
} - 配置telnet登录的终端类型,在 /etc/securetty 文件末尾增加一些pts终端
vim /etc/securettypts/0
pts/1
pts/2
pts/3 - 启动telnet服务
systemctl start telnet.socket
查看服务状态
systemctl status telnet.socket
查看侦听端口
ss -atnl | grep 23
安装完成后,将xinetd服务加入开机自启动:
systemctl enable xinetd.service
将telnet服务加入开机自启动:
systemctl enable telnet.socket
- 使用 telnet 测试登录
- 接下来开始升级 OPENSSH
- 首先在官网上下载最新版本的源码包
- OPENSSH 源码包下载地址:https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/
- OPENSSL 源码包下载地址:https://ftp.openssl.org/source/old/
- wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.2p1.tar.gz
- wget https://ftp.openssl.org/source/old/1.1.1/openssl-1.1.1c.tar.gz
- 接下来安装 openssh 和 openssl 依赖包
yum -y install perl gcc gcc-c++ glibc make - yum -y group install 'Development Tools'
- yum -y install pam-devel libselinux-devel zlib-devel openssl-devel
-
备份原先的 openssl 文件
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/lib64/openssl /usr/lib64/openssl.old
mv /usr/lib64/libssl.so /usr/lib64/libssl.so.old -
解压 openssl 包,编译安装(需要 root 用户)
tar xf openssl-1.1.1c.tar.gz - ./config --prefix=/usr/local/openssl && make clean && make && make install
-
编译、安装无误后,下面开始配置 OPENSSL
设置 openssl 命令的软链接
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v
openssl version
- 开始安装 openssh 前,先备份原先的 openssh 文件
- mv /etc/ssh/* /bak/sshbak
- tar xf openssh-8.2p1.tar.gz
- ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/openssl --with-md5-passwords --mandir=/usr/share/man --with-pam=enable && make clean && make && make install
- echo $? --> 0 确保编译安装无误后,复制启动脚本和PAM验证文件
- cp /home/gf/openssh/openssh-8.2p1/contrib/redhat/sshd.init /etc/init.d/sshd
cp /home/gf/openssh/openssh-8.2p1/contrib/redhat/sshd.pam /etc/pam.d/sshd.pam - 编辑 /etc/ssh/sshd.conf 配置文件
- Port 22
PermitRootLogin no
PasswordAuthentication yes
UsePAM yes
UseDNS no
Subsystem sftp /usr/libexec/sftp-server - chmod +x /etc/init.d/sshd
- 把原先的 systemd 管理的 sshd 启动脚本文件删除或者移走
mv /usr/lib/systemd/system/sshd.service /bak/sshbak
mv /usr/lib/systemd/system/sshd.socket /bak/sshbak - 重新加载服务配置文件后重启 sshd 服务
- systemctl daemon-reload
- systemctl restart sshd
- chkconfig sshd on
- 重启确认无误后可以停掉 telnet 服务
- systemctl disable telnet
- 使用 ssh 测试重新登录
-
Linux系统安全防火墙篇之 IPTABLES
2019-12-15 16:10:30防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,...防火墙的定义
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。
防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙的功能
1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。 [3]
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。
IPTABLES
Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。
如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。
可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。
TARGETS
防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过],DROP[删除],QUEUE[排队],或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
TABLES
当前有三个表(哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块,这时若模块没有加载,(系统)将尝试(为该表)加载适合的模块。这些表如下:filter,这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWARD(处理通过的包)和OUTPUT(处理本地生成的包)。nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:PREROUTING (修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改准备出去的包)。mangle 这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路由之前进入的包)和OUTPUT(修改路由IPTABLES之前本地的包)。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。
COMMANDS
这些选项指定执行明确的动作:若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源(地址)或者/与 目的(地址)转换为多个地址时,这条规则会加到所有可能的地址(组合)后面。
-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。
-R -replace
从选中的链中取代一条规则。如果源(地址)或者/与 目的(地址)被转换为多地址,该命令会失败。规则序号从1开始。
-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以,如果规则序号为1,规则会被插入链的头部。这也是不指定规则序号时的默认方式。
-L -list
显示所选链的所有规则。如果没有选择链,所有链将被显示。也可以和z选项一起使用,这时链会被自动列出和归零。精确输出受其它所给参数影响。
-F -flush
清空所选链。这等于把所有规则一个个的删除。
--Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用,在清空前察看计数器,请参见前文。
-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。
-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用,如果被引用,在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数,这条命令将试着删除每个非内建的链。
-P -policy
设置链的目标规则。
-E -rename-chain
根据用户给出的名字对指定链进行重命名,这仅仅是修饰,对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则,而且内建链和用户自定义链都不能是规则的目标。
-h Help.
帮助。给出当前命令语法非常简短的说明。
PARAMETERS
参数
以下参数构成规则详述,如用于add、delete、replace、append 和 check命令。
-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部,也可以是数值,代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议,而且这是缺省时的选项。在和check命令结合时,all可以不被使用。
-s -source [!] address[/mask]
指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左边"1"的个数,因此,mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。
-d --destination [!] address[/mask]
指定目标地址,要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。
-j --jump target
-j 目标跳转
指定规则的目标;也就是说,如果包匹配应当做什么。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果规则的这个选项被忽略,那么匹配的过程不会对包产生影响,不过规则的计数器会增加。
-i -in-interface [!] [name]
i -进入的(网络)接口 [!][名称]
这是包经由该接口接收的可选的入口名称,包通过该接口接收(在链INPUT、FORWORD和PREROUTING中进入的包)。当在接口名前使用"!"说明后,指的是相反的名称。如果接口名后面加上"+",则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为"+",那么将匹配任意接口。
-o --out-interface [!][name]
-o --输出接口[名称]
这是包经由该接口送出的可选的出口名称,包通过该口输出(在链FORWARD、OUTPUT和POSTROUTING中送出的包)那么将匹配所有任意接口。
[!] -f,--fragment
[!] -f --分片
这意味着在分片的包中,规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的),这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前,表示相反的意思。
OTHER OPTIONS
其他选项
还可以指定下列附加选项:
-v --verbose
-v --详细
详细输出。这个选项让list命令显示接口地址、规则选项(如果有)和TOS(Type of Service)掩码。包和字节计数器也将被显示,分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍(不过请参看-x标志改变它),对于添加,插入,删除和替换命令,这会使一个或多个规则的相关详细信息被打印。
-n --numeric
-n --数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。
-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值,代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。
--line-numbers
当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。
MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包,而且他们大多数都可以通过在前面加上!来表示相反的意思。
tcp
当 --protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项:
--source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口:端口也可以指定包含的(端口)范围。如果首端口号被忽略,默认是"0",如果末端口号被忽略,默认是"65535",如果第二个端口号大于第一个,那么它们会被交换。这个选项可以使用 --sport的别名。
--destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。
--tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记,一个用逗号分开的列表,第二个参数是用逗号分开的标记表,是必须被设置的。标记如下:SYN ACK FIN RST URG PSH ALL NONE。因此这条命令:iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。
[!] --syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求;例如,大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接,而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN,RST,ACK SYN。如果"--syn"前面有"!"标记,表示相反的意思。
--tcp-option [!] number
匹配设置了TCP选项的。
udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项:
--source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。
--destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。
icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项:
--icmp-type [!] typename
这个选项允许指定ICMP类型,可以是一个数值型的ICMP类型,或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。
mac
--mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWARD和INPUT链的包有效。
--to-destiontion [-][:port-port]
MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP(拨号)连接:如果你拥有静态IP地址,你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像,当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址(以后所有建立的连接都将关闭)。它有一个选项:
--to-ports [-port>]
指定使用的源端口范围,覆盖默认的SNAT源地址选择(见上面)。这个选项只适用于指定了-p tcp或者-p udp的规则。
REDIRECT
只适用于nat表的PREROUTING和OUTPUT链,和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身(本地生成的包被安置为地址127.0.0.1)。它包含一个选项:
--to-ports []
指定使用的目的端口或端口范围:不指定的话,目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。
DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误:退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2,其他错误返回代码为1。
BUGS
臭虫
Check is not implemented (yet).
检查还未完成。
COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个;以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口;-o引用输出接口,两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时,iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆,所以以下选项作了不同的处理:
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。
limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)
--limit rate
最大平均匹配速率:可赋的值有'/second','/minute','/hour',or '/day'这样的单位,默认是3/hour。
--limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5
multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。
--source-port [port[,port]]
如果源端口是其中一个给定端口则匹配
--destination-port [port[,port]]
如果目标端口是其中一个给定端口则匹配
--port [port[,port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配(就可以在下面设置为使用MARK标记)。
--mark value [/mask]
匹配那些无符号标记值的包(如果指定mask,在比较之前会给掩码加上逻辑的标记)。
owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链,而且即使这样一些包(如ICMP ping应答)还可能没有所有者,因此永远不会匹配。
--uid-owner userid
如果给出有效的user id,那么匹配它的进程产生的包。
--gid-owner groupid
如果给出有效的group id,那么匹配它的进程产生的包。
--sid-owner seessionid
根据给出的会话组匹配该进程产生的包。
state
此模块,当与连接跟踪结合使用时,允许访问包的连接跟踪状态。
--state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。
unclean
此模块没有可选项,不过它试着匹配那些奇怪的、不常见的包。处在实验中。
tos
此模块匹配IP包首部的8位tos(服务类型)字段(也就是说,包含在优先位中)。
--tos tos
这个参数可以是一个标准名称,(用iptables -m tos -h 察看该列表),或者数值。
TARGET EXTENSIONS
iptables可以使用扩展目标模块:以下都包含在标准版中。
LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后,linux内核会通过printk()打印一些关于全部匹配包的信息(诸如IP包头字段等)。
--log-level level
记录级别(数字或参看 syslog.conf⑸)。
--log-prefix prefix
在纪录信息前加上特定的前缀:最多14个字母长,用来和记录中其他信息区别。
--log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。
--log-tcp-options
记录来自TCP包头部的选项。
--log-ip-options
记录来自IP包头部的选项。
MARK
用来设置包的netfilter标记值。只适用于mangle表。
--set-mark mark
REJECT
作为对匹配的包的响应,返回一个错误的包:其他情况下和DROP相同。
此目标只适用于INPUT、FORWARD和OUTPUT链,和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性:
--reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited,该类型会返回相应的ICMP错误信息(默认是port-unreachable)。选项 echo-reply也是允许的;它只能用于指定ICMP ping包的规则中,生成ping的回应。最后,选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则,只匹配TCP协议:将回应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。
--set-tos tos
你可以使用一个数值型的TOS 值,或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标,可用于转换IP首部字段中的源地址和目标地址,再传送该包,并只适用于INPUT、FORWARD和OUTPUT链,以及只调用它们的用户自定义链。
SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址(此连接以后所有的包都会被影响),停止对规则的检查,它包含选项:
--to-source [-][:port-port]
源端口中512以下的(端口)会被安置为其他的512以下的端口;512到1024之间的端口会被安置为1024以下的,其他端口会被安置为1024或以上。如果可能,端口不会被修改。
测试及应用
iptables命令选项输入顺序:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
表名包括:
- raw:高级功能,如:网址过滤。
- mangle:数据包修改(QOS),用于实现服务质量。
- net:地址转换,用于网关路由器。
- filter:包过滤,用于防火墙规则。
规则链名包括:
- INPUT链:处理输入数据包。
- OUTPUT链:处理输出数据包。
- PORWARD链:处理转发数据包。
- PREROUTING链:用于目标地址转换(DNAT)。
- POSTOUTING链:用于源地址转换(SNAT)。
动作包括:
- accept:接收数据包。
- DROP:丢弃数据包。
- REDIRECT:重定向、映射、透明代理。
- SNAT:源地址转换。
- DNAT:目标地址转换。
- MASQUERADE:IP伪装(NAT),用于ADSL。
- LOG:日志记录。
查看当前系统iptables运行状态:
也可以使用 iptables -L -n 来查看
指定查看默认表格 filter
清空所有iptables规则 使用 iptables --flush 或者 iptables -F 这两条命令是等效的。
设置永久生效
当你删除、添加规则后,这些更改并不能永久生效,这些规则很有可能在系统重启后恢复原样。
保存iptables规则
追加一条规则:仅允许SSH服务
拒绝所有其他数据包:
编辑 /etc/sysconfig/iptables 更改设置,首先默认拒绝所有链接,开放需要的链接:
重启 iptables 服务查看列表信息:
!注意:不要尝试在.bashrc或者.profile中执行以上命令,因为用户通常不是root,而且这只能在登录时加载iptables规则。
设置仅允许某一IP访问:
删除某一条规则,使用 --line-number 显示编号:
保存重启服务:
更改物理机IP地址为 192.168.10.254
无法登陆 10.4
其他机器登录正常
-
信息系统安全运维
2019-06-12 11:52:30信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复...安全运维定义
信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。安全运维服务包括如下内容:
1) 确定安全运维所涉及的信息系统及关键技术设施;
2) 根据所约定的服务范围,执行首次技术设施安全评估,评估关键技术设施所存在的安全隐
患;
3) 根据首次技术设施安全评估的结果,制定加固方案,沟通并最终对关键技术设施进行安全
加固;
4) 此后定期执行技术设施安全评估,针对评估所发现的安全隐患,提出改进建议,并指导系
统管理人员进行安全加固;
5) 当被服务单位的主机或网络正遭到攻击或已经发现遭受入侵的迹象时,及时进行应急响应,
分析事故原因并防止损失扩大;
6) 在服务期内,及时跟踪并提供安全漏洞及补丁信息或相应安全建议;
7) 针对系统管理人员在日常维护时发现、产生的安全技术问题提供咨询服务。安全运维流程
客户收益
- 清晰理解技术设施所面临的信息安全问题
- 前瞻性地处理技术设施所面临的安全问题
- 最大程度降低信息安全事件所带来的影响
- 集中精力维护信息系统的持续可用
- 提高技术人员对信息安全的认识
-
Centos系统安全系列
2020-08-17 20:07:11系统安全篇 ---- 持续更新中…… 2.1 防暴力破解—fail2ban工具 防暴力破解--fail2ban(详情及安装操作centos6版) 防暴力破解--fail2ban(详情及安装操作centos7篇) 2.2 系统数据恢复 Centos6 模拟ext4文件... -
4. 操作系统安全
2019-08-30 19:36:14操作系统安全 -
Linux 系统安全之 SElinux
2020-03-02 11:09:27SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。... -
系统安全架构设计方案
2019-10-25 16:46:23系统安全架构设计主要包含应用安全、数据安全、主机安全、网络安全四个方面,详见下图。 -
系统安全防护方案
2019-04-28 20:05:45Windows系统出厂时,微软为了兼容性,默认并未对系统安全做严格的限制,因此还需要做一些基本的安全加固,方可防止黑客入侵。 下面我们就来讲解如何对系统进行安全加固。 二、更新系统补丁 补丁是系统安全最基本的... -
信息系统安全等级保护、安全策略设计原则及安全方案笔记
2020-01-03 11:08:51《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。 -
Windows操作系统安全加固
2019-03-28 11:55:06Windows操作系统安全加固 本页目录 1. 账户管理和认证授权 2. 日志配置操作 3. IP协议安全配置 4. 文件权限 5. 服务安全 6.安全选项 7. 其他安全配置 本文档旨在指导系统管理人员或安全检查人员进行... -
Linux系统安全基础知识
2019-02-17 11:11:21Linux系统安全基础知识 -
系统安全架构包括什么
2019-09-03 09:23:47二、应用系统安全 开发程序的时候,应当事先知道并在代码层面处理大部分常见的安全问题。 1.sql注入 mybatis就使用#比使用$能规避掉很多sql注入攻击。 2.csrf(跨站请求伪造)攻击 大致三种方法,①在filter中... -
软件系统安全性测试列表
2019-06-16 14:55:471. 系统安全性及测试方法 软件系统的安全性 系统安全规范与标准 源代码评审方法 基于风险的安全测试 渗透性测试方法 模糊测试方法 2. 代码安全性检验 程序代码安全性 C++/Java安全性列表 JavaScript安全性列表 ... -
Linux系统安全学习手册
2020-08-10 13:52:06Linux服务器安全加固 Linux下的用户、组和权限 Linux中的gcc Linux中su和sudo的用法和区别 Linux系统python2与python3共存 Linux中grep工具的使用 Linux中环境变量的设置 Linux中常见的150个命令(干货) ... -
windows系统安全日志取证工具
2019-04-11 21:54:00windows系统安全日志取证工具 0x01 关于日志 Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。 0x02 ... -
电力二次系统安全分区
2018-03-06 16:25:56电力二次系统安全分区:安全I区: 实时控制区安全II区:非控制生产区安全III区:生产管理区安全IV区:信息管理区电力二次系统安全防护总示意图,如下... -
数据库安全性和计算机系统安全性有什么关系?
2018-05-14 15:37:50安全性问题不是数据库系统独有的,所有计算机系统都有这... 系统安全保护措施是否有效是数据库系统的主要指标之一 数据库的安全性和计算机系统的安全性,包括操作系统,网络系统的安全性是紧密联系,相互支持的。 ... -
软件安全测试之系统安全测试
2015-03-18 20:18:43一、操作系统安全 1. 操作系统不允许存在Nessus扫描出的高风险级别漏洞 *注:Nessus使用方法简介 对于各服务器的操作系统采用Nessus进行漏洞扫描: 1、登录Nessus; 2、创建扫描策略:点击“Policies”菜单,再... -
系统架构师学习笔记-系统安全性和保密性
2019-02-14 23:26:52信息系统安全体系 数据安全与保密 信息系统安全体系 信息安全有5个基本要素: 1. 机密性:确保信息不暴露给未授权的实体或进程。 2. 完整性:只有得到允许的人才能够修改数据,并能够判别数据是否已被... -
Bitlocker、TPM和系统安全
2018-11-30 06:17:13Bitlocker、TPM和系统安全 老狼 UEFI固件、服务器、嵌入式产品、开源硬件从业者 177 人赞了该文章 自从微软在Windows Vista首次引入Bitlocker以来,它已经越来越多的出现在我们的周围。尤其是企业用户,... -
windows系统安全
2016-08-22 20:51:561. Windows安全子系统,安全子系统包括以下部分,winlogon,图形化标识和验证GINA,本地安全认证,安全认证者提供的接口,认证包,安全支持提供者,网络登录服务,安全账号管理者,下面详细说说这些东西都是干嘛的 ... -
操作系统安全级别
2012-07-18 11:05:03美国国防部于1983年提出并于1985年批准的“可信计算机系统安全评价准则(TCSEC)”将计算机系统的安全可信性分为七个级别,它们由低到高是: ● D级,最低安全性; ● C1级,主存取控制; ● C2级,... -
Linux系统安全及应用加固———最适合新手学,新手都能看懂!超详细的理论+超详细的实验!呕心沥血之作完成...
2020-07-22 16:16:07系统安全应用一、账号安全控制1.1、账号安全基本措施1.1.1、系统帐号清理1.1.2、密码安全控制1.1.3、命令历史限制1.1.4、终端自动注销二、系统引导和登录控制2.1、使用su命令切换用户2.1.1、用途和用法2.1.2、限制... -
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
2021-02-01 19:34:58这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中... -
《信息安全保障》一1.3 信息系统安全保障概念与模型
2017-07-03 14:09:001.3 信息系统安全保障概念与模型 满足不同需求具有各种功能的信息系统是信息化社会构成的基础,信息系统安全是确保信息系统结构与相关元素的安全,以及与此相关的各种安全技术、安全服务和安全管理的总和... -
华为鸿蒙系统HarmonyOS学习之三:鸿蒙HarmonyOS 系统安全性
2020-10-13 10:29:01HarmonyOS 系统安全性 在搭载HarmonyOS的分布式终端上,可以保证“正确的人,通过正确的设备,正确地使用数据”。 通过“分布式多端协同身份认证”来保证“正确的人”。 通过“在分布式终端上构筑可信运行环境... -
统信uos 没有通过系统安全验证,无法运行
2020-12-15 09:39:13统信uos 没有通过系统安全验证,无法运行