不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>系統(tǒng)安全>

系統(tǒng)安全基礎(chǔ)知識(shí)大全

時(shí)間: 懷健0 分享

系統(tǒng)安全管理包括身份鑒別、訪問(wèn)控制、可靠性與可用性、系統(tǒng)監(jiān)控、日志審計(jì)、管理員行為審計(jì)、系統(tǒng)安全評(píng)估與加固、數(shù)據(jù)備份、系統(tǒng)安全應(yīng)急九個(gè)部分的內(nèi)容。下面就讓小編帶你去看看關(guān)于系統(tǒng)安全的基礎(chǔ)知識(shí)吧,希望能幫助到大家!

系統(tǒng)安全及應(yīng)用

理論講解

用戶賬號(hào)是計(jì)算機(jī)使用者的身份憑證或標(biāo)識(shí),每個(gè)要訪問(wèn)系統(tǒng)資源的人,必須憑借其用戶賬號(hào)才能進(jìn)入計(jì)算機(jī)。在Linu__系統(tǒng)中,提供了多種機(jī)制來(lái)確保用戶賬號(hào)的正當(dāng)、安全使用。

一,基本安全措施

1.系統(tǒng)賬號(hào)清理

在Linu__系統(tǒng)中.除了用戶手動(dòng)創(chuàng)建的各種賬號(hào)之外,還包括隨系統(tǒng)或程序安裝過(guò)程而生成的其他大量賬號(hào)。除了超級(jí)用戶root之外,其他大量賬號(hào)只是用來(lái)維護(hù)系統(tǒng)運(yùn)作,啟動(dòng)或保持服務(wù)進(jìn)程,一般是不允許登錄的,因此也稱為非登錄用戶賬號(hào)。

常見(jiàn)的非登錄用戶賬號(hào)包括bin,daemon.adm、lp、mail等。為了確保系統(tǒng)安全,這些用戶賬號(hào)的登錄Shell 通常是/sbin/nologin,表示禁止終端登錄,應(yīng)確保不被人為改動(dòng),如下所示:

各種非登錄用戶賬號(hào)中,還有相當(dāng)一部分是很少用到的,如games。這些用戶賬號(hào)可以視為冗余賬號(hào),直接刪除即可。除此之外,還有一些隨應(yīng)用程序安裝的用戶賬號(hào),若卸載程序以后未能自動(dòng)刪除,則需要管理員手動(dòng)進(jìn)行清理。

對(duì)于Linu__服務(wù)器中長(zhǎng)期不用的用戶賬號(hào),若無(wú)法確定是否應(yīng)該刪除,可以暫時(shí)將其鎖定。例如,若要鎖定、解鎖名為bob的用戶賬號(hào),可以執(zhí)行以下操作(passwd.usermod命令都可用來(lái)鎖定、解鎖賬號(hào))。

如果服務(wù)器中的用戶賬號(hào)已經(jīng)固定,不再進(jìn)行更改,還可以采取鎖定賬號(hào)配置文件的方法。使用chattr命令,分別結(jié)合“+i” “-i“選項(xiàng)來(lái)鎖定、解鎖文件,使用lsattr命令可以查看文件鎖定情況。

在賬號(hào)文件被鎖定的情況下,其內(nèi)容將不允許變更,因此無(wú)法添加、刪除賬號(hào),也不能更改用戶的密碼、登錄Shell、宿主目錄等屬性信息。

例如在鎖定文件之后創(chuàng)建張三用戶,就會(huì)顯示創(chuàng)建失敗。如下圖:

2.密碼安全控制

在不安全的網(wǎng)絡(luò)環(huán)境中,為了降低密碼被猜出的風(fēng)險(xiǎn),用戶應(yīng)養(yǎng)成定期更改密碼的習(xí)慣,避免長(zhǎng)期使用同一個(gè)密碼。管理員可以在服務(wù)器端限制用戶密碼的最大有效天數(shù),對(duì)于密碼已過(guò)期的用戶,登錄時(shí)將被要求重新設(shè)置密碼,否則將拒絕登錄。

執(zhí)行以下操作可將密碼的有效期設(shè)為30天(chage命令用于設(shè)置密碼時(shí)限)。

在某些特殊情況下,如要求批量創(chuàng)建的用戶初次登錄時(shí)必須自設(shè)密碼,根據(jù)安全規(guī)劃統(tǒng)一要求所有用戶更新密碼等,可以由管理員執(zhí)行強(qiáng)制策略,以便用戶在下次登錄時(shí)必須更改密碼。例如執(zhí)行以下操作可強(qiáng)制要求用戶Bob下次登錄時(shí)重設(shè)密碼。

3.命令歷史、自動(dòng)注銷

Shell 環(huán)境的命令歷史機(jī)制為用戶提供了極大的便利,但另一方面也給用戶帶來(lái)了潛在的風(fēng)險(xiǎn)。

只要獲得用戶的命令歷史文件,該用戶的命令操作過(guò)程將會(huì)一覽無(wú)余,如果曾經(jīng)在命令行輸入明文的密碼,則無(wú)意之中服務(wù)器的安全壁壘又多了一個(gè)缺口。

Bash終端環(huán)境中,歷史命令的記錄條數(shù)由變量HISTSIZE控制,默認(rèn)為1000條。通過(guò)修改

/etc/profile 文件中的HISTSIZE變量值,可以影響系統(tǒng)中的所有用戶。例如,可以設(shè)置最多只記錄200條歷史命令。

需要注意的是,當(dāng)正在執(zhí)行程序代碼編譯、修改系統(tǒng)配置等耗時(shí)較長(zhǎng)的操作時(shí),應(yīng)避免設(shè)置TMOUT變量。必要時(shí)可以執(zhí)行“unset TMOUT”命令取消TMOUT變量設(shè)置。

除此之外,還可以修改用戶宿主目錄中的~/.bash_logout文件,添加清空歷史命令的操作語(yǔ)句。

這樣,當(dāng)用戶退出已登錄Bash環(huán)境以后,所記錄的歷史命令將自動(dòng)清空。

二,用戶切換與提權(quán)

大多數(shù)Linu__服務(wù)器并不建議用戶直接以root用戶進(jìn)行登錄。一方面可以大大減少因誤操作而導(dǎo)致的破壞,另一方面也降低了特權(quán)密碼在不安全的網(wǎng)絡(luò)中被泄露的風(fēng)險(xiǎn)。鑒于這些原因,需要為普通用戶提供一種身份切換或權(quán)限提升機(jī)制,以便在必要的時(shí)候執(zhí)行管理任務(wù)。

Linu__系統(tǒng)為我們提供了su、sudo兩種命令,其中su命令主要用來(lái)切換用戶,而sudo命令用來(lái)提升執(zhí)行權(quán)限,下面分別進(jìn)行介紹。

1.su命令——切換用戶

使用su命令,可以切換為指定的另一個(gè)用戶,從而具有該用戶的所有權(quán)限。當(dāng)然,切換時(shí)需要對(duì)目標(biāo)用戶的密碼進(jìn)行驗(yàn)證(從root用戶切換為其他用戶時(shí)除外)。例如,當(dāng)前登錄的用戶為bob

若要切換為root用戶,可以執(zhí)行以下操作:

上述命令操作中,選項(xiàng)“-”等同于“--login”或“-l”,表示切換用戶后進(jìn)入目標(biāo)用戶的登錄Shell環(huán)境,若缺少此選項(xiàng)則僅切換身份、不切換用戶環(huán)境。對(duì)于切換為root用戶的情況,“root”可 以省略。

默認(rèn)情況下,任何用戶都允許使用su命令,從而有機(jī)會(huì)反復(fù)嘗試其他用戶(如root)的登錄密碼,這樣帶來(lái)了安全風(fēng)險(xiǎn)。為了加強(qiáng)su命令的使用控制,可以借助于pam_wheel認(rèn)證模塊,只允許極個(gè)別用戶使用su命令進(jìn)行切換。實(shí)現(xiàn)過(guò)程如下:將授權(quán)使用su命令的用戶添加到wheel組,修改

/etc/pam.d/su 認(rèn)證配置以啟用pam_wheel認(rèn)證。

修改配置文件支持允許wheel組使用su

將bob用戶加入到wheel組中

查看wheel組中是否擁有bob用戶

啟用pam_wheel認(rèn)證以后,未加入到wheel組內(nèi)的其他用戶將無(wú)法使用su命令,嘗試進(jìn)行切換時(shí)將提示“拒絕權(quán)限”,從而將切換用戶的權(quán)限控制在最小范圍內(nèi)。

如圖所示:

上圖切換失敗,拒絕權(quán)限的原因就是我們沒(méi)有把用戶張三加入到wheel組中,所以拒絕張三用戶使用su命令。

使用su命令切換用戶的操作將會(huì)記錄到安全日志/var/log/secure文件中,可以根據(jù)需要進(jìn)行查看。

2.sudo命令——提升執(zhí)行權(quán)限

通過(guò)su命令可以非常方便地切換為另一個(gè)用戶,但前提條件是必須知道目標(biāo)用戶的登錄密碼。

例如,若要從Bob用戶切換為root用戶,必須知道root用戶的密碼。對(duì)于生產(chǎn)環(huán)境中的Linu__服務(wù)器,每多一個(gè)人知道特權(quán)密碼,其安全風(fēng)險(xiǎn)也就增加一分。

那么,有沒(méi)有一種折中的辦法,既可以讓普通用戶擁有一部分管理權(quán)限,又不需要將root用戶的密碼告訴他呢?答案是肯定的,使用sudo命令就可以提升執(zhí)行權(quán)限。不過(guò),需要由管理員預(yù)先進(jìn)行授權(quán),指定允許哪些用戶以超級(jí)用戶(或其他普通用戶)的身份來(lái)執(zhí)行哪些命令。

1)在配置文件/etc/sudoers中添加授權(quán)

sudo機(jī)制的配置文件為/etc/sudoers,文件的默認(rèn)權(quán)限為440,保存時(shí)必須執(zhí)行:wq!”命令來(lái)強(qiáng)制操作,否則系統(tǒng)將提示為只讀文件而拒絕保存。

配置文件/etc/sudoers中,授權(quán)記錄的基本配置格式如下所示:

user MACHINE=COMMANDS

授權(quán)配置主要包括用戶、主機(jī)、命令三個(gè)部分,即授權(quán)哪些人在哪些主機(jī)上執(zhí)行哪些命令。

各部分的具體含義如下。

用戶(user):直接授權(quán)指定的用戶名,或采用“%組名”的形式(授權(quán)一個(gè)組的所有用戶)。

主機(jī)(MACHINE):使用此配置文件的主機(jī)名稱。此部分主要是方便在多個(gè)主機(jī)間共用同一份sudoers文件,一般設(shè)為localhost或者實(shí)際的主機(jī)名即可。

命令(COMMANDS):允許授權(quán)的用戶通過(guò)sudo方式執(zhí)行的特權(quán)命令,需填寫命令程序的完整路徑,多個(gè)命令之間以逗號(hào)”,”進(jìn)行分隔。

典型的sudo配置記錄中,每行對(duì)應(yīng)一個(gè)用戶或組的sudo授權(quán)配置。例如,若要授權(quán)用戶bob能夠執(zhí)行reboot來(lái)重啟虛擬機(jī),而wheel組的用戶無(wú)需驗(yàn)證密碼即可執(zhí)行任何命令,可以執(zhí)行以下操作:

因?yàn)槭侵蛔x文件,所以必須wq! 強(qiáng)制保存退出

sudo配置記錄的命令部分允許使用通配符“__”、取反符號(hào)“!”,當(dāng)需要授權(quán)某個(gè)目錄下的所有命令或取消其中個(gè)別命令時(shí)特別有用。例如,若要授權(quán)用戶syrianer 可以執(zhí)行/sbin/目錄下除ifconfig以外的其他所有命令程序,可以執(zhí)行以下操作

默認(rèn)情況下,通過(guò)sudo方式執(zhí)行的操作并不記錄。若要啟用sudo日志記錄以備管理員查看,應(yīng)在/etc/sudoers 文件中增加“Defaults logfile”設(shè)置。

2)通過(guò)sudo執(zhí)行特權(quán)命令

對(duì)于已獲得授權(quán)的用戶,通過(guò)sudo方式執(zhí)行特權(quán)命令時(shí),只需要將正常的命令行作為sudo命令的參數(shù)即可。由于特權(quán)命令程序通常位于/sbin、/usr/sbin等目錄下,普通用戶執(zhí)行時(shí)應(yīng)使用絕對(duì)路徑。以下操作驗(yàn)證了使用sudo方式執(zhí)行命令的過(guò)程。

若要查看用戶自己獲得哪些sudo授權(quán),可以執(zhí)行“sudo-l”命令。未授權(quán)的用戶將會(huì)得到“may not run sudo”的提示,已授權(quán)的用戶則可以看到自己的sudo配置。

如果已經(jīng)啟用sudo日志,則可以從/var/log/sudo文件中看到用戶的sudo操作記錄。

三,系統(tǒng)引導(dǎo)和登錄控制

在互聯(lián)網(wǎng)環(huán)境中,大部分服務(wù)器是通過(guò)遠(yuǎn)程登錄的方式來(lái)進(jìn)行管理的,而本地引導(dǎo)和終端登錄過(guò)程往往容易被忽視,從而留下安全隱患。特別是當(dāng)服務(wù)器所在的機(jī)房環(huán)境缺乏嚴(yán)格、安全的管控制度時(shí),如何防止其他用戶的非授權(quán)介入就成為必須重視的問(wèn)題。

開關(guān)機(jī)安全控制

對(duì)于服務(wù)器主機(jī),其物理環(huán)境的安全防護(hù)是非常重要的,不僅要保持機(jī)箱完好、機(jī)柜鎖閉,還要嚴(yán)格控制機(jī)房的人員進(jìn)出、硬件設(shè)備的現(xiàn)場(chǎng)接觸等過(guò)程。在開關(guān)機(jī)安全控制方面,除了要做好物理安全防護(hù)以外,還要做好系統(tǒng)本身的一些安全措施。

1.調(diào)整BIOS引導(dǎo)設(shè)置

(1)將第一優(yōu)先引導(dǎo)設(shè)備(First Boot Device)設(shè)為當(dāng)前系統(tǒng)所在磁盤。

(2)禁止從其他設(shè)備(如光盤、U盤、網(wǎng)絡(luò)等)引導(dǎo)系統(tǒng),對(duì)應(yīng)的項(xiàng)設(shè)為“Disabled"。

(3)將BlOS的安全級(jí)別改為“setup”,并設(shè)置好管理密碼,以防止未授權(quán)的修改。

2.禁止Ctrl+Alt+Del快捷鍵重啟

快捷鍵重啟功能為服務(wù)器的本地維護(hù)提供了方便,但對(duì)于多終端登錄的Linu__服務(wù)器,禁用此功能是比較安全的選擇。在CentOS7中,執(zhí)行cat/etc/inittab命令可以得知Ctrl+Alt+Del快捷鍵功能由/usr/lib/systemd/system/ctrl-alt-del.target 文件進(jìn)行設(shè)置。查看/usr/lib/systemd/system/ctrl-alt-del.target 文件發(fā)現(xiàn),ctrl-alt-del.target是reboot.target文件的軟鏈接文件。

在不影響reboot.target文件的前提下執(zhí)行以下命令即可禁用Ctrl+Alt+Del快捷鍵功能。

systemctl mask命令是用于注銷指定服務(wù)的,例如systemctl mask cpu.service 命令用于注銷cpu服務(wù),取消注銷則使用systemctl umask命令。因此若想重新開啟Ctrl+AIt+Del快捷鍵功能,只需執(zhí)行systemctl unmask ctrl-alt-del.targct命令,然后刷新配置即可。

3.限制更改GRUB引導(dǎo)參數(shù)

在之前的課程中介紹過(guò)通過(guò)修改GRUB引導(dǎo)參數(shù),對(duì)一些系統(tǒng)問(wèn)題進(jìn)行修復(fù)。從系統(tǒng)安全的角度來(lái)看,如果任何人都能夠修改GRUB引導(dǎo)參數(shù),對(duì)服務(wù)器本身顯然是一個(gè)極大的威脅。為了加強(qiáng)對(duì)引導(dǎo)過(guò)程的安全控制,可以為GRUB菜單設(shè)置一個(gè)密碼,只有提供正確的密碼才被允許修改引導(dǎo)參數(shù)。

為GRUB菜單設(shè)置的密碼建議采用grub2-mlkpasswd-pbkdf2命令生成,表現(xiàn)為經(jīng)過(guò)PBKDF2算法加密的字符串,安全性更好。生成密碼后在/etc/grub.d/00_header配置文件中,添加對(duì)應(yīng)的用戶密碼等配置,具體添加內(nèi)容如下所示。

通過(guò)上述配置,重新開機(jī)進(jìn)入GRUB菜單時(shí),按E鍵將無(wú)法修改引導(dǎo)參數(shù)。若要獲得編輯權(quán)限,必須根據(jù)提示輸入正確的GRUB密碼,如圖所示:

為GRUB設(shè)置密碼時(shí),“grub.pbkdf2.sha512…”部分可替換為明文的密碼字符串,如“123456”,但安全性稍差。不建議使用明文的密碼字符串。

四,終端及登錄控制

在Linu__服務(wù)器中,默認(rèn)開啟了六個(gè)tty終端,允許任何用戶進(jìn)行本地登錄。關(guān)于本地登錄的安全控制,可以從以下幾個(gè)方面著手。

1.禁止root用戶登錄

在Linu__系統(tǒng)中,login 程序會(huì)讀取/etc/securety文件,以決定允許root用戶從哪些終端(安全終端)登錄系統(tǒng)。若要禁止root用戶從指定的終端登錄,只需從該文件中刪除或者注釋掉對(duì)應(yīng)的行即可。例如,若要禁止root用戶從ty5.tty6登錄,可以修改/etc/securetty文件,將tty5.ty6行注釋掉。

2.禁止普通用戶登錄

當(dāng)服務(wù)器正在進(jìn)行備份或調(diào)試等維護(hù)工作時(shí)??赡懿幌M儆行碌挠脩舻卿浵到y(tǒng)。這時(shí)候,只需要簡(jiǎn)單地建立/etc/nologin文件即可。login 程序會(huì)檢查/etc/nologin文件是否存在,如果存在,則拒絕普通用戶登錄系統(tǒng)(root用戶不受限制)。

此方法實(shí)際上是利用了shutdown延遲關(guān)機(jī)的限制機(jī)制,只建議在服務(wù)器維護(hù)期間臨時(shí)使用。當(dāng)手動(dòng)刪除/etc/nologin文件或者重新啟動(dòng)主機(jī)以后,即可恢復(fù)正常。

五,弱口令檢測(cè)、端口掃描

本節(jié)將學(xué)習(xí)使用兩個(gè)安全工具—ohn the Ripper和NMAP,前者用來(lái)檢測(cè)系統(tǒng)賬號(hào)的密碼強(qiáng)度。后者用來(lái)執(zhí)行端口掃描任務(wù)。

弱口令檢測(cè)

John the Ripper在nternet環(huán)境中,過(guò)于簡(jiǎn)單的口令是服務(wù)器面臨的最大風(fēng)險(xiǎn)。盡管大家都知道設(shè)置一個(gè)更長(zhǎng),更復(fù)雜的口令會(huì)更加安全,但總是會(huì)有一些用戶因貪圖方便而采用簡(jiǎn)單、易記的口令字串。對(duì)于任何一個(gè)承擔(dān)著安全責(zé)任的管理員,及時(shí)找出這些弱口令賬號(hào)是非常必要的,這樣便于采取進(jìn)一步的安全措施(如提醒用戶重設(shè)更安全的口令)。

1.下載并安裝John the Ripper

John the Ripper 的官方網(wǎng)站是http://www.openwall.com/john/,通過(guò)該網(wǎng)站可以獲取穩(wěn)定版源碼包,如john-1.8.0.tar.gz。

以源碼包john-18.0,tar.gz為例,解壓后可看到三個(gè)子目錄——doc、run.src,分別表示手冊(cè)文檔、運(yùn)行程序、源碼文件,除此之外還有一個(gè)鏈接的說(shuō)明文件READE。其中,doc目錄下包括READVME、INSTALL.E__AMPLES等多個(gè)文檔,提供了較全面的使用指導(dǎo)。

切換到src子目錄并執(zhí)行“make clean linu__-__86-64”命令,即可執(zhí)行編譯過(guò)程。若單獨(dú)執(zhí)行make命令,將列出可用的編譯操作、支持的系統(tǒng)類型。編譯完成以后,run子目錄下會(huì)生成一個(gè)名為john的可執(zhí)行程序。

2.檢測(cè)弱口令賬號(hào)

在安裝有John the Ripper的服務(wù)器中,可以直接對(duì)/etc/shadow文件進(jìn)行檢測(cè)。對(duì)于其他Linu__服務(wù)器,可以對(duì)shadow文件進(jìn)行復(fù)制,并傳遞給john程序進(jìn)行檢測(cè)。只需執(zhí)行run目錄下的john程序,將待檢測(cè)的shadow文件作為命令行參數(shù),就可以開始弱口令分析了。

在執(zhí)行過(guò)程中,分析出來(lái)的弱口令賬號(hào)將即時(shí)輸出,第一列為密碼字串,第二列的括號(hào)內(nèi)為相應(yīng)的用戶名(如用戶bob的密碼為“pwd@123”)。默認(rèn)情況下,john將針對(duì)常見(jiàn)的弱口令設(shè)置特點(diǎn)。

3.使用密碼字典文件

John the Ripper 默認(rèn)提供的字典文件為password.lst,其列出了3000多個(gè)常見(jiàn)的弱口令。如果有必要,用戶可以在字典文件中添加更多的密碼組合,也可以直接使用更加完整的其他字典文件。執(zhí)行john程序時(shí),可以結(jié)合“--wordlist=”選項(xiàng)來(lái)指定字典文件的位置,以便對(duì)指定的密碼文件進(jìn)行暴力分析。

也不難看出,像“123456iloveyou”之類的密碼有多脆弱了。

六,網(wǎng)絡(luò)掃描——NMAP

NMAP是一個(gè)強(qiáng)大的端口掃描類安全評(píng)測(cè)工具,官方站點(diǎn)是http://nmap.org/。NMAP被設(shè)計(jì)為檢測(cè)眾多主機(jī)數(shù)量的巨大網(wǎng)絡(luò),支持ping 掃描、多端口檢測(cè)、OS識(shí)別等多種技術(shù)。使用NMAP定期掃描內(nèi)部網(wǎng)絡(luò),可以找出網(wǎng)絡(luò)中不可控的應(yīng)用服務(wù),及時(shí)關(guān)閉不安全的服務(wù),減小安全風(fēng)險(xiǎn)。

1.安裝NMAP軟件包

在CentOS7系統(tǒng)中,既可以使用光盤自帶的nmap.__86_64 2:6.40-7.el7安裝包,也可以使用從NMAP官方網(wǎng)站下載的最新版源碼包,這里以YUM方式安裝的nmap軟件包為例。

2.掃描語(yǔ)法及類型

NMAP的掃描程序位于/usr/bin/namp目錄下,使用時(shí)基本命令格式如下所示。

nmap [掃描類型] [選項(xiàng)] <掃描目標(biāo)..>

其中,掃描目標(biāo)可以是主機(jī)名、IP地址或網(wǎng)絡(luò)地址等,多個(gè)目標(biāo)以空格分隔;常用的選項(xiàng)有“-p”“-n",分別用來(lái)指定掃描的端口、禁用反向DNS解析(以加快掃描速度);掃描類型決定著檢測(cè)的方式,也直接影響掃描的結(jié)果。比較常用的幾種掃描類型如下:

-sS,TCP SYN掃描(半開掃描):只向目標(biāo)發(fā)出SYN數(shù)據(jù)包,如果收到SYN/ACK響應(yīng)包就認(rèn)為目標(biāo)端口正在監(jiān)聽,并立即斷開連接;否則認(rèn)為目標(biāo)端口并未開放。

-sT,TCP連接掃描:這是完整的TCP掃描方式,用來(lái)建立一個(gè)TCP連接,如果成功則認(rèn)為目標(biāo)端口正在監(jiān)聽服務(wù),否則認(rèn)為目標(biāo)端口并未開放。

-sF,TCPFN掃描:開放的端口會(huì)忽略這種數(shù)據(jù)包,關(guān)閉的端口會(huì)回應(yīng)RST數(shù)據(jù)包。許多防火墻只對(duì)SYN數(shù)據(jù)包進(jìn)行簡(jiǎn)單過(guò)濾,而忽略了其他形式的TCP攻擊包.這種類型的掃描可間接檢測(cè)防火墻的健壯性。

-sU,UDP掃描:探測(cè)目標(biāo)主機(jī)提供哪些UDP服務(wù),UDP掃描的速度會(huì)比較慢。

-sP,ICVMP掃描:類似于ping檢測(cè),快速判斷目標(biāo)主機(jī)是否存活,不做其他掃描。

-P0,跳過(guò)ping檢測(cè):這種方式認(rèn)為所有的目標(biāo)主機(jī)是存活的,當(dāng)對(duì)方不響應(yīng)ICVMP請(qǐng)求時(shí),使用這種方式可以避免因無(wú)法ping通而放棄掃描。

3.掃描操作示例

為了更好地說(shuō)明nmap命令的用法,下面介紹幾個(gè)掃描操作的實(shí)際用例。

針對(duì)本機(jī)進(jìn)行掃描,檢查開放了哪些常用的TCP端口、UDP端口。

上圖中的命令都一樣。都是查看本機(jī)開發(fā)的端口

在掃描結(jié)果中,STATE列若為open則表示端口為開放狀態(tài),為filtered表示可能被防火墻過(guò)濾,為closed表示端口為關(guān)閉狀態(tài)。

檢查192.168.100.0/24網(wǎng)段中有哪些主機(jī)提供FTP服務(wù)。

快速檢測(cè)192.168.100.0/24網(wǎng)段中有哪些存活主機(jī)(能ping通)

檢測(cè)IP地址位于192.168.4.100~200的主機(jī)是否開啟文件共享服務(wù)。

實(shí)際上,NMAP提供的掃描類型、選項(xiàng)還有很多,適用于不同的掃描需求,本章僅介紹了其中一小部分常用的操作,更多用法還需要大家進(jìn)一步通過(guò)實(shí)踐去掌握。

七,實(shí)驗(yàn)案例

允許用戶radmin使用su命令進(jìn)行切換,其他用戶一律禁止切換身份。

1. 創(chuàng)建radmin,設(shè)置密碼為pwd@123

2.配置pam驗(yàn)證,支持wheel組使用su命令

3.配置主配置文件,支持wheel組使用su

授權(quán)用戶zhangsan管理所有員工的賬號(hào),但禁止其修改root用戶的信息。

1.打開sudo主配置文件,編輯支持管理所有員工賬號(hào)

測(cè)試張三是否擁有管理所有員工賬號(hào)的權(quán)限

授權(quán)用戶lisi能夠執(zhí)行/sbin、/usr/sbin目錄下的所有特權(quán)命令,不需要密碼驗(yàn)證。

1.打開sudo主配置文件,配置不需要密碼驗(yàn)證

測(cè)試lisi是否需要密碼驗(yàn)證:

所有的su,sudo操作,必須在系統(tǒng)日志文件中進(jìn)行記錄。

1.使用su命令切換用戶的操作將會(huì)記錄到安全日志/var/log/secure文件中,所以不需要配置

2.打開sudo主配置文件

禁止使用Ctrl+Alt+Del快捷鍵,禁止root 用戶從tty5.tty6登錄,為GRUB引導(dǎo)菜單設(shè)置密碼。

1.禁止使用快捷鍵

測(cè)試是否禁用成功:

2.禁止用戶從tty5,tty6終端登錄

3.為grub引導(dǎo)菜單設(shè)置密碼

測(cè)試grub菜單密碼:

至此,結(jié)束~

系統(tǒng)安全管理checklist

01.

身份鑒別

是否使用雙因素認(rèn)證來(lái)進(jìn)行身份鑒別?

賬號(hào)權(quán)限是否具有集中管理系統(tǒng)(如堡壘主機(jī)系統(tǒng))?

是否制定了賬號(hào)口令管理制度?

是否設(shè)置了口令復(fù)雜度策略?(三種組合、8位以上)

是否強(qiáng)制修改賬號(hào)的默認(rèn)口令?

是否定期更換口令?(每三個(gè)月)

是否采取了限制登錄失敗次數(shù)安全控制措施?

是否采取了連接超時(shí)等登錄安全控制措施?

是否采取了必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽?

02.

訪問(wèn)控制

訪問(wèn)權(quán)限是否按照權(quán)限分離、最小權(quán)限等原則設(shè)置?

賬號(hào)權(quán)限的開通、變更是否經(jīng)過(guò)審批?

是否對(duì)登陸系統(tǒng)訪問(wèn)路徑進(jìn)行控?

是否修改或刪除了默認(rèn)帳戶?

特權(quán)用戶權(quán)限是否分離?

是否能夠做到賬號(hào)與使用人一一對(duì)應(yīng)?

賬號(hào)權(quán)限是否設(shè)置使用期限?

是否具有系統(tǒng)中所有賬號(hào)的臺(tái)賬清單?

是否定期對(duì)系統(tǒng)賬號(hào)進(jìn)行審查和及時(shí)清理無(wú)用帳戶?

(數(shù)據(jù)庫(kù))數(shù)據(jù)關(guān)鍵字段是否支持保密性?

(數(shù)據(jù)庫(kù))數(shù)據(jù)關(guān)鍵字段是否支持完整性?

(數(shù)據(jù)庫(kù))對(duì)于數(shù)據(jù)導(dǎo)入導(dǎo)出操作,是否建立對(duì)應(yīng)的管理規(guī)定?

(數(shù)據(jù)庫(kù))是否對(duì)敏感數(shù)據(jù)進(jìn)行脫敏管理,并建立正式管理規(guī)定?

03.

可靠性與可用性

是否集群提供高可用性?

重要服務(wù)器設(shè)備是否配備冷備或熱備?

重要服務(wù)器是否配備冗余電源?

主機(jī)服務(wù)器是否進(jìn)行時(shí)鐘同步?

04.

系統(tǒng)監(jiān)控

是否采用集中管理監(jiān)控與管理平臺(tái)?

是否對(duì)系統(tǒng)運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控?

是否對(duì)重要系統(tǒng)的重要指標(biāo)(如CPU、內(nèi)存、硬盤空間等)等指標(biāo)進(jìn)行監(jiān)控?

是否對(duì)重要系統(tǒng)的重要指標(biāo)(如線程、連接數(shù))等指標(biāo)進(jìn)行監(jiān)控?

是否對(duì)系統(tǒng)監(jiān)控各項(xiàng)指標(biāo)設(shè)置閾值?

系統(tǒng)監(jiān)控達(dá)到閾值是否能夠自動(dòng)報(bào)警?

是否定期(每月)對(duì)系統(tǒng)監(jiān)控狀況進(jìn)行總結(jié)分析?

是否對(duì)系統(tǒng)各項(xiàng)指標(biāo)進(jìn)行容量的管理與規(guī)劃?

05.

日志審計(jì)

系統(tǒng)是否開啟了日志功能?

是否部署了集中日志采集設(shè)備?

日志記錄是否包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功等內(nèi)容?

日志審計(jì)記錄能否生成報(bào)表?

日志審計(jì)記錄是否采取相應(yīng)的保護(hù)措施?

是否定期(每月)對(duì)日志審計(jì)狀況進(jìn)行總結(jié)分析?

06.

管理員行為審計(jì)

是否部署統(tǒng)一認(rèn)證、授權(quán)系統(tǒng)?

是否能夠統(tǒng)一記錄管理員權(quán)限操作行為?

是否能夠?qū)芾韱T行為進(jìn)行定期(每周、每月)審計(jì)?

07.

系統(tǒng)安全評(píng)估與加固

是否具備補(bǔ)丁管理制度及變更管理?

是否使用專業(yè)工具對(duì)系統(tǒng)進(jìn)行定期掃描?掃描工具?

是否根據(jù)掃描結(jié)果對(duì)發(fā)現(xiàn)的漏洞進(jìn)行加固?

是否定期的對(duì)系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)?

是否具備測(cè)試環(huán)境?加固前是否先進(jìn)行測(cè)試環(huán)境測(cè)試?

升級(jí)加固是否具備升級(jí)失敗回退機(jī)制與應(yīng)急計(jì)劃?

是否對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全配置基線管理?

08.

數(shù)據(jù)備份

是否建立正式的備份管理制度(備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等)?

是否制定有明確的數(shù)據(jù)備份策略?(備份周期、備份方式等)

管理制度是否包含特定系統(tǒng)的業(yè)務(wù)中斷恢復(fù)時(shí)間要求?

重要的系統(tǒng)備份數(shù)據(jù)是否異地存放?

是否建立異地災(zāi)備中心?

備份介質(zhì)與備份記錄是否進(jìn)行了妥善的保管?

是否對(duì)備份數(shù)據(jù)進(jìn)行定期的恢復(fù)測(cè)試?

備份管理制度及備份恢復(fù)測(cè)試結(jié)果是否定期審查和根據(jù)實(shí)際情況更新內(nèi)容?

09.

系統(tǒng)安全應(yīng)急

是否建立了統(tǒng)一的應(yīng)急預(yù)案框架?

重要系統(tǒng)是否制定針對(duì)不同系統(tǒng)故障的應(yīng)急預(yù)案?

是否定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)?

是否定期對(duì)應(yīng)急預(yù)案進(jìn)行演練?

應(yīng)急預(yù)案是否需定期審查和根據(jù)實(shí)際情況更新內(nèi)容?

電腦系統(tǒng)安全設(shè)置具體方法

系統(tǒng)安全設(shè)置具體方法:

1,首先,右鍵點(diǎn)擊“此電腦”,菜單欄選擇“屬性”。

2,進(jìn)入屬性界面后,我們點(diǎn)擊界面上方的“控制面板”進(jìn)入下一步。

3,選擇“系統(tǒng)和安全”進(jìn)入下一步。

4,如果需要設(shè)置某些應(yīng)用可以通過(guò)防火墻的話,我們可以在應(yīng)用通過(guò)防火墻中進(jìn)行設(shè)置。

5,當(dāng)然也可以對(duì)“Wndours Dfender防火墻”其他屬性進(jìn)行設(shè)置。

關(guān)于電腦系統(tǒng)安全設(shè)置的操作方法介紹到此就介紹了。

系統(tǒng)安全基礎(chǔ)知識(shí)大全相關(guān)文章

電腦系統(tǒng)安全基礎(chǔ)知識(shí)大全有哪些

【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)點(diǎn)匯總

各類安全知識(shí)大全

安全生產(chǎn)基本知識(shí)有哪些?

安全生產(chǎn)知識(shí)點(diǎn)大全五篇

Win10系統(tǒng)的基礎(chǔ)知識(shí)大全有哪些

【網(wǎng)絡(luò)安全】:學(xué)習(xí)網(wǎng)絡(luò)安全需要哪些基礎(chǔ)知識(shí)?

安全生產(chǎn)小知識(shí)大全三篇

操作系統(tǒng)基礎(chǔ)知識(shí)

電腦安全設(shè)置及防護(hù)

系統(tǒng)安全基礎(chǔ)知識(shí)大全

系統(tǒng)安全管理包括身份鑒別、訪問(wèn)控制、可靠性與可用性、系統(tǒng)監(jiān)控、日志審計(jì)、管理員行為審計(jì)、系統(tǒng)安全評(píng)估與加固、數(shù)據(jù)備份、系統(tǒng)安全應(yīng)急九個(gè)部分的內(nèi)容。下面就讓小編帶你去看看關(guān)于系統(tǒng)安全的基礎(chǔ)知識(shí)吧,希望能幫助到大家!系統(tǒng)安全及應(yīng)用理論講解用戶賬號(hào)是計(jì)算機(jī)使用者的身份憑證或標(biāo)識(shí),每個(gè)要訪問(wèn)系統(tǒng)資源的人,必須憑借其用戶賬號(hào)才能進(jìn)入計(jì)算機(jī)。在Linu__系統(tǒng)中,提供了多種機(jī)制來(lái)確保用戶賬號(hào)的正當(dāng)、安全使用。一,基本安全措施1.系統(tǒng)賬號(hào)清理在Linu__系統(tǒng)中.除了用戶手動(dòng)創(chuàng)建的各種賬號(hào)之外,還包括隨系統(tǒng)或
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

精選文章

  • 電腦系統(tǒng)安全基礎(chǔ)知識(shí)大全
    電腦系統(tǒng)安全基礎(chǔ)知識(shí)大全

    電腦系統(tǒng),又稱電腦操作系統(tǒng),是用于管理和控制計(jì)算機(jī)系統(tǒng)中的硬件及軟件資源的系統(tǒng)軟件,也是計(jì)算機(jī)系統(tǒng)的內(nèi)核與基石。下面就讓小編帶你去看看電

736186