• 【CISP笔记】操作系统安全

    账号安全设置

    默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。

    本地安全策略

    打开方式

    win+R 输入ecpol.msc

    账号锁定策略

    用户权限分配

    关闭自动播放功能

    自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器

    账户权限控制-设置唤醒密码

    控制面板-》电源选项-》唤醒时需要密码

    网络访问控制-防火墙设置

    确保启用Windows自带防火墙

    共享安全防护-关闭管理共享

    Linux系统安全

    Linux系统标识与鉴别-帐号信息存储
    信息存储
    用户信息:
    /etc/passwd

    格式:name:coded-passwd(X或*表示不可登陆):UID:GID:userinfo:homedirectory:shell
    /etc/shadow

    格式:name:passwd:lastchg:min:max:warn:inactive:expire:flag
    组信息
    /etc/group
    /etc/gshadow

    Linux系统文件访问控制-权限模式



    账号和口令安全——口令安全策略

    设置账户锁定登录失败锁定次数、锁定时间
    修改账户超时值,设置自动注销时间

    口令修改策略
    强制口令使用有效期
    设置口令修改提醒
    设置账户锁定登录失败锁定次数、锁定时间

    vi /etc/login.defs
    PASS_MAX_DAYS    90
    PASS_MIN_DAYS    7
    PASS_MIN_LEN     6
    PASS_WARN_AGE    28

    Linux设置——系统服务配置
    禁止危险的网络服务
    telnet、FTP
    echo、chargen、shell、finger、NFS、RPC等
    关闭非必需的网络服务
    talk、ntalk等

    关闭邮件服务:chkconfig --level 12345 sendmail off
    关闭图形登录服务:编辑/etc/inittab文件,修改为id:3:initdefault:
    关闭X font服务:chkconfig xfs off

    Linux设置——远程登录安全
    禁用telnet,使用SSH进行管理
    限制能够登录本机的IP地址
    禁止root用户远程登陆
    限定信任主机
    修改banner信息

    远程登录安全——使用SSH/限制登录IP

    禁用telnet,使用SSH进行管理
    开启ssh服务:#service sshd start
    限制能够登录本机的IP地址
    #vi /etc/ssh/sshd_config
    添加(或修改):
    AllowUsers xyz@192.168.1.23
    允许用户xyz通过地址192.168.1.23来登录本机
    AllowUsers *@192.168.*.*
    仅允许192.168.0.0/16网段所有用户通过ssh访问。

    远程登录安全——禁止root/限定信任主机

    禁止root用户远程登陆
    #cat /etc/ssh/sshd_config
    确保PermitRootLogin为no
    限定信任主机
    #cat /etc/hosts.equiv
    #cat /$HOME/.rhosts
    查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机
    或直接关闭所有R系列远程服务
    rlogin
    rsh
    rexec

    远程登录安全——修改banner信息
    系统banner信息
    一般会给出操作系统名称、版本号、主机名称等
    修改banner信息
    查看修改sshd_config
    #vi /etc/ssh/sshd_config
    如存在,则将banner字段设置为NONE
    查看修改motd:
    #vi /etc/motd
    该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容

    文件和目录安全——设置默认umask值
    设置新创建文件的默认权限掩码
    可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问
    umask设置的是权限“补码”
    设置方法
    使用umask命令
    如 #umask 066
    编辑/etc/profile文件,设置umask值

    Linux设置——系统日志配置

    启用syslog服务
    配置日志存储策略
    打开/etc/logrotate.d/syslog文件,检查其对日志存储空间的大小和时间的设置

    使用安全软件——使用主机防火墙
    Linux下的防火墙框架iptables

    1. 启动指令:service iptables start   
    2. 重启指令:service iptables restart   
    3. 关闭指令:service iptables stop   
    4.   
    5. 然后是相关配置:/etc/sysconfig/iptables


    包过滤
    NAT
    数据包处理
    Iptables基本规则
    Iptables [-t table] command [match][target]
    Iptables基本应用
    Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
    Iptables –D INPUT – dport 80 –j DROP
  • 相关阅读:
    Go语言基础练习题系列2
    Go语言基础练习题系列1
    Go语言基础之8--面向对象编程1之结构体(struct)
    Go语言基础之7--函数详解
    分数规划(Bzoj1486: [HNOI2009]最小圈)
    [APIO2018] Circle selection 选圆圈(假题解)
    Bzoj4520: [Cqoi2016]K远点对
    KDTree(Bzoj2648: SJY摆棋子)
    矩阵树定理
    CF235C Cyclical Quest
  • 原文地址:https://www.cnblogs.com/yaochc/p/5592422.html
Copyright © 2020-2023  润新知