系统安全基础知识大全_1.docx

《系统安全基础知识大全_1.docx》由会员分享，可在线阅读，更多相关《系统安全基础知识大全_1.docx（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、系统安全基础知识大全系统安全基础知识大全怀健.密码安全控制在不安全的网络环境中，为了降低密码被猜出的风险，用户应养成定期更改密码的习惯，避免长期使用同一个密码。管理员能够在服务器端限制用户密码的最大有效天数，对于密码已过期的用户，登录时将被要求重新设置密码，否则将拒绝登录。执行下面操作可将密码的有效期设为30天(chage命令用于设置密码时限)。在某些特殊情况下，如要求批量创立的用户初次登录时必须自设密码，根据安全规划统一要求所有用户更新密码等，能够由管理员执行强迫策略，以便用户在下次登录时必须更改密码。例如执行下面操作可强迫要求用户Bob下次登录时重设密码。3.命令历史、自动注销Shell环

2、境的命令历史机制为用户提供了极大的便利，但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件，该用户的命令操作经过将会一览无余，假如曾经在命令行输入明文的密码，则无意之中服务器的安全壁垒又多了一个缺口。Bash终端环境中，历史命令的记录条数由变量HISTSIZE控制，默以为1000条。通过修改/etc/profile文件中的HISTSIZE变量值，能够影响系统中的所有用户。例如，能够设置最多只记录200条历史命令。需要注意的是，当正在执行程序代码编译、修改系统配置等耗时较长的操作时，应避免设置TMOUT变量。必要时能够执行“unsetTMOUT命令取消TMOUT变量设置。除此之外，还

3、能够修改用户宿主目录中的/.bash_logout文件，添加清空历史命令的操作语句。这样，当用户退出已登录Bash环境以后，所记录的历史命令将自动清空。二，用户切换与提权大多数Linu_服务器并不建议用户直接以root用户进行登录。一方面能够大大减少因误操作而导致的毁坏，另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因，需要为普通用户提供一种身份切换或权限提升机制，以便在必要的时候执行管理任务。Linu_系统为我们提供了su、sudo两种命令，其中su命令主要用来切换用户，而sudo命令用来提升执行权限，下面分别进行介绍。1.su命令切换用户使用su命令，能够切换为指定的另一

4、个用户，进而具有该用户的所有权限。当然，切换时需要对目的用户的密码进行验证(从root用户切换为其他用户时除外)。例如，当前登录的用户为bob若要切换为root用户，能够执行下面操作:上述命令操作中，选项“-等同于“-login或“-l，表示切换用户后进入目的用户的登录Shell环境，若缺少此选项则仅切换身份、不切换用户环境。对于切换为root用户的情况，“root可以省略。默认情况下，任何用户都允许使用su命令，进而有时机反复尝试其他用户(如root)的登录密码，这样带来了安全风险。为了加强su命令的使用控制，能够借助于pam_wheel认证模块，只允许极个别用户使用su命令进行切换。实现经

5、过如下：将受权使用su命令的用户添加到wheel组，修改/etc/pam.d/su认证配置以启用pam_wheel认证。修改配置文件支持允许wheel组使用su将bob用户参加到wheel组中查看wheel组中能否拥有bob用户启用pam_wheel认证以后，未参加到wheel组内的其他用户将无法使用su命令，尝试进行切换时将提示“拒绝权限，进而将切换用户的权限控制在最小范围内。如下图：上图切换失败，拒绝权限的原因就是我们没有把用户张三参加到wheel组中，所以拒绝张三用户使用su命令。使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中，能够根据需要进行查看。2.

6、sudo命令提升执行权限通过su命令能够非常方便地切换为另一个用户，但前提条件是必须知道目的用户的登录密码。例如，若要从Bob用户切换为root用户，必须知道root用户的密码。对于生产环境中的Linu_服务器，每多一个人知道特权密码，其安全风险也就增加一分。那么，有没有一种折中的办法，既能够让普通用户拥有一部分管理权限，又不需要将root用户的密码告诉他呢?答案是肯定的，使用sudo命令就能够提升执行权限。不过，需要由管理员预先进行受权，指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。1)在配置文件/etc/sudoers中添加受权sudo机制的配置文件为/etc/sudo

7、ers，文件的默认权限为440，保存时必须执行：wq!命令来强迫操作，否则系统将提示为只读文件而拒绝保存。配置文件/etc/sudoers中，受权记录的基本配置格式如下所示:userMACHINE=COMMANDS受权配置主要包括用户、主机、命令三个部分，即受权哪些人在哪些主机上执行哪些命令。各部分的详细含义如下。用户(user)：直接受权指定的用户名，或采用“%组名的形式(受权一个组的所有用户)。主机(MACHINE)：使用此配置文件的主机名称。此部分主要是方便在多个主机间共用同一份sudoers文件，一般设为localhost或者实际的主机名即可。命令(COMMANDS)：允许受权的用户通

8、过sudo方式执行的特权命令，需填写命令程序的完好途径，多个命令之间以逗号，进行分隔。典型的sudo配置记录中，每行对应一个用户或组的sudo受权配置。例如，若要受权用户bob能够执行reboot来重启虚拟机，而wheel组的用户无需验证密码即可执行任何命令，能够执行下面操作：由于是只读文件，所以必须wq!强迫保存退出sudo配置记录的命令部分允许使用通配符“_、取反符号“!，当需要受权某个目录下的所有命令或取消其中个别命令时十分有用。例如，若要受权用户syrianer能够执行/sbin/目录下除ifconfig以外的其他所有命令程序，能够执行下面操作默认情况下，通过sudo方式执行的操作并不

9、记录。若要启用sudo日志记录以备管理员查看，应在/etc/sudoers文件中增加“Defaultslogfile设置。2)通过sudo执行特权命令对于已获得受权的用户，通过sudo方式执行特权命令时，只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin、/usr/sbin等目录下，普通用户执行时应使用绝对途径。下面操作验证了使用sudo方式执行命令的经过。若要查看用户本人获得哪些sudo受权，能够执行“sudo-l命令。未受权的用户将会得到“maynotrunsudo的提示，已受权的用户则能够看到本人的sudo配置。假如已经启用sudo日志，则能够从/var/

10、log/sudo文件中看到用户的sudo操作记录。三，系统引导和登录控制在互联网环境中，大部分服务器是通过远程登录的方式来进行管理的，而本地引导和终端登录经过往往容易被忽视，进而留下安全隐患。十分是当服务器所在的机房环境缺乏严格、安全的管控制度时，怎样防止其他用户的非受权参与就成为必须重视的问题。开关机安全控制对于服务器主机，其物理环境的安全防护是非常重要的，不仅要保持机箱完好、机柜锁闭，还要严格控制机房的人员进出、硬件设备的现场接触等经过。在开关机安全控制方面，除了要做好物理安全防护以外，还要做好系统本身的一些安全措施。1.调整BIOS引导设置(1)将第一优先引导设备(FirstBootDe

11、vice)设为当前系统所在磁盘。(2)禁止从其他设备(如光盘、U盘、网络等)引导系统，对应的项设为“Disabled。(3)将BlOS的安全级别改为“setup，并设置好管理密码，以防止未受权的修改。2.禁止Ctrl+Alt+Del快速键重启快速键重启功能为服务器的本地维护提供了方便，但对于多终端登录的Linu_服务器，禁用此功能是比拟安全的选择。在CentOS7中，执行cat/etc/inittab命令能够得知Ctrl+Alt+Del快速键功能由/usr/lib/systemd/system/ctrl-alt-del.target文件进行设置。查看/usr/lib/systemd/syste

12、m/ctrl-alt-del.target文件发现，ctrl-alt-del.target是reboot.target文件的软链接文件。在不影响reboot.target文件的前提下执行下面命令即可禁用Ctrl+Alt+Del快速键功能。systemctlmask命令是用于注销指定服务的，例如systemctlmaskcpu.service命令用于注销cpu服务，取消注销则使用systemctlumask命令。因而若想重新开启Ctrl+AIt+Del快速键功能，只需执行systemctlunmaskctrl-alt-del.targct命令，然后刷新配置即可。3.限制更改GRUB引导参数在之前

13、的课程中介绍过通过修改GRUB引导参数，对一些系统问题进行修复。从系统安全的角度来看，假如任何人都能够修改GRUB引导参数，对服务器本身显然是一个极大的威胁。为了加强对引导经过的安全控制，能够为GRUB菜单设置一个密码，只要提供正确的密码才被允许修改引导参数。为GRUB菜单设置的密码建议采用grub2-mlkpasswd-pbkdf2命令生成，表现为经过PBKDF2算法加密的字符串，安全性更好。生成密码后在/etc/grub.d/00_header配置文件中，添加对应的用户密码等配置，详细添加内容如下所示。通过上述配置，重新开机进入GRUB菜单时，按E键将无法修改引导参数。若要获得编辑权限，必

14、须根据提示输入正确的GRUB密码，如下图：为GRUB设置密码时，“grub.pbkdf2.sha512部分可替换为明文的密码字符串，如“123456，但安全性稍差。不建议使用明文的密码字符串。四，终端及登录控制在Linu_服务器中，默认开启了六个tty终端，允许任何用户进行本地登录。关于本地登录的安全控制，能够从下面几个方面着手。1.禁止root用户登录在Linu_系统中，login程序会读取/etc/securety文件，以决定允许root用户从哪些终端(安全终端)登录系统。若要禁止root用户从指定的终端登录，只需从该文件中删除或者注释掉对应的行即可。例如，若要禁止root用户从ty5.t

15、ty6登录，能够修改/etc/securetty文件，将tty5.ty6行注释掉。2.禁止普通用户登录当服务器正在进行备份或调试等维护工作时。可能不希望再有新的用户登录系统。这时候，只需要简单地建立/etc/nologin文件即可。login程序会检查/etc/nologin文件能否存在，假如存在，则拒绝普通用户登录系统(root用户不受限制)。此方法实际上是利用了shutdown延迟关机的限制机制，只建议在服务器维护期间临时使用。当手动删除/etc/nologin文件或者重新启动主机以后，即可恢复正常。五，弱口令检测、端口扫描本节将学习使用两个安全工具ohntheRipper和NMAP，前者

16、用来检测系统账号的密码强度。后者用来执行端口扫描任务。弱口令检测JohntheRipper在nternet环境中，过于简单的口令是服务器面临的最大风险。尽管大家都知道设置一个更长，更复杂的口令会愈加安全，但总是会有一些用户因贪图方便而采用简单、易记的口令字串。对于任何一个承当着安全责任的管理员，及时找出这些弱口令账号是非常必要的，这样便于采取进一步的安全措施(如提醒用户重设更安全的口令)。1.下载并安装JohntheRipperJohntheRipper的官方网站是:/openwall/john/，通过该网站能够获取稳定版源码包，如john-1.8.0.tar.gz。以源码包john-18.0

17、，tar.gz为例，解压后可看到三个子目录doc、run.src，分别表示手册文档、运行程序、源码文件，除此之外还有一个链接的讲明文件READE。其中，doc目录下包括READVME、INSTALL.E_AMPLES等多个文档，提供了较全面的使用指导。切换到src子目录并执行“makecleanlinu_-_86-64命令，即可执行编译经过。若单独执行make命令，将列出可用的编译操作、支持的系统类型。编译完成以后，run子目录下会生成一个名为john的可执行程序。2.检测弱口令账号在安装有JohntheRipper的服务器中，能够直接对/etc/shadow文件进行检测。对于其他Linu_服

18、务器，能够对shadow文件进行复制，并传递给john程序进行检测。只需执行run目录下的john程序，将待检测的shadow文件作为命令行参数，就能够开场弱口令分析了。在执行经过中，分析出来的弱口令账号将即时输出，第一列为密码字串，第二列的括号内为相应的用户名(如用户bob的密码为“pwd123)。默认情况下，john将针对常见的弱口令设置特点。3.使用密码字典文件JohntheRipper默认提供的字典文件为password.lst，其列出了3000多个常见的弱口令。假如有必要，用户能够在字典文件中添加更多的密码组合，可以以直接使用愈加完好的其他字典文件。执行john程序时，能够结合“-w

19、ordlist=选项来指定字典文件的位置，以便对指定的密码文件进行暴力分析。也不难看出，像“123456iloveyou之类的密码有多脆弱了。六,网络扫描NMAPNMAP是一个强大的端口扫描类安全评测工具，官方站点是:/nmap.org/。NMAP被设计为检测诸多主机数量的宏大网络，支持ping扫描、多端口检测、OS识别等多种技术。使用NMAP定期扫描内部网络，能够找出网络中不可控的应用服务，及时关闭不安全的服务，减小安全风险。1.安装NMAP软件包在CentOS7系统中，既能够使用光盘自带的nmap._86_642:6.40-7.el7安装包，可以以使用从NMAP官方网站下载的最新版源码包，

20、这里以YUM方式安装的nmap软件包为例。2.扫描语法及类型NMAP的扫描程序位于/usr/bin/namp目录下，使用时基本命令格式如下所示。nmap扫描类型选项扫描目的.其中，扫描目的能够是主机名、IP地址或网络地址等，多个目的以空格分隔;常用的选项有“-p“-n，分别用来指定扫描的端口、禁用反向DNS解析(以加快扫描速度);扫描类型决定着检测的方式，也直接影响扫描的结果。比拟常用的几种扫描类型如下:-sS，TCPSYN扫描(半开扫描)：只向目的发出SYN数据包，假如收到SYN/ACK响应包就以为目的端口正在监听，并立即断开连接;否则以为目的端口并未开放。-sT，TCP连接扫描：这是完好的

21、TCP扫描方式，用来建立一个TCP连接，假如成功则以为目的端口正在监听服务，否则以为目的端口并未开放。-sF，TCPFN扫描：开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。很多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP攻击包.这种类型的扫描可间接检测防火墙的强健性。-sU，UDP扫描：探测目的主机提供哪些UDP服务，UDP扫描的速度会比拟慢。-sP，ICVMP扫描：类似于ping检测，快速判定目的主机能否存活，不做其他扫描。-P0，跳过ping检测：这种方式以为所有的目的主机是存活的，当对方不响应ICVMP请求时，使用这种方式能够避免因无法ping通而放弃扫描。3

22、.扫描操作示例为了更好地讲明nmap命令的用法，下面介绍几个扫描操作的实际用例。针对本机进行扫描，检查开放了哪些常用的TCP端口、UDP端口。上图中的命令都一样。都是查看本机开发的端口在扫描结果中，STATE列若为open则表示端口为开放状态，为filtered表示可能被防火墙过滤，为closed表示端口为关闭状态。检查192.168.100.0/24网段中有哪些主机提供FTP服务。快速检测192.168.100.0/24网段中有哪些存活主机(能ping通)检测IP地址位于192.168.4.100200的主机能否开启文件分享服务。实际上，NMAP提供的扫描类型、选项还有很多，适用于不同的扫描

23、需求，本章仅介绍了其中一小部分常用的操作，更多用法还需要大家进一步通过实践去把握。七，实验案例允许用户radmin使用su命令进行切换，其他用户一律禁止切换身份。1.创立radmin,设置密码为pwd1232.配置pam验证，支持wheel组使用su命令3.配置主配置文件，支持wheel组使用su受权用户zhangsan管理所有员工的账号，但禁止其修改root用户的信息。1.打开sudo主配置文件，编辑支持管理所有员工账号测试张三能否拥有管理所有员工账号的权限受权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令，不需要密码验证。1.打开sudo主配置文件，配置不需要密码验

24、证测试lisi能否需要密码验证：所有的su，sudo操作，必须在系统日志文件中进行记录。1.使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中，所以不需要配置2.打开sudo主配置文件禁止使用Ctrl+Alt+Del快速键，禁止root用户从tty5.tty6登录，为GRUB引导菜单设置密码。1.禁止使用快速键测试能否禁用成功：2.禁止用户从tty5,tty6终端登录3.为grub引导菜单设置密码测试grub菜单密码：至此，结束系统安全管理checklist01.身份鉴别能否使用双因素认证来进行身份鉴别?账号权限能否具有集中管理系统(如堡垒主机系统)?能否制定了账

25、号口令管理制度?能否设置了口令复杂度策略?(三种组合、8位以上)能否强迫修改账号的默认口令?能否定期更换口令?(每三个月)能否采取了限制登录失败次数安全控制措施?能否采取了连接超时等登录安全控制措施?能否采取了必要措施防止鉴别信息在网络传输经过中被窃听?02.访问控制访问权限能否根据权限分离、最小权限等原则设置?账号权限的开通、变更能否经过审批?能否对登陆系统访问途径进行控?能否修改或删除了默认帐户?特权用户权限能否分离?能否能够做到账号与使用人逐一对应?账号权限能否设置使用期限?能否具有系统中所有账号的台账清单?能否定期对系统账号进行审查和及时清理无用帐户?(数据库)数据关键字段能否支持保密

26、性?(数据库)数据关键字段能否支持完好性?(数据库)对于数据导入导出操作，能否建立对应的管理规定?(数据库)能否对敏感数据进行脱敏管理，并建立正式管理规定?03.可靠性与可用性能否集群提供高可用性?重要服务器设备能否配备冷备或热备?重要服务器能否配备冗余电源?主机服务器能否进行时钟同步?04.系统监控能否采用集中管理监控与管理平台?能否对系统运行情况进行实时监控?能否对重要系统的重要指标(如CPU、内存、硬盘空间等)等指标进行监控?能否对重要系统的重要指标(如线程、连接数)等指标进行监控?能否对系统监控各项指标设置阈值?系统监控到达阈值能否能够自动报警?能否定期(每月)对系统监控状况进行总结分

27、析?能否对系统各项指标进行容量的管理与规划?05.日志审计系统能否开启了日志功能?能否部署了集中日志收集设备?日志记录能否包括事件的日期和时间、用户、事件类型、事件能否成功等内容?日志审计记录能否生成报表?日志审计记录能否采取相应的保护措施?能否定期(每月)对日志审计状况进行总结分析?06.管理员行为审计能否部署统一认证、受权系统?能否能够统一记录管理员权限操作行为?能否能够对管理员行为进行定期(每周、每月)审计?07.系统安全评估与加固能否具备补丁管理制度及变更管理?能否使用专业工具对系统进行定期扫描?扫描工具?能否根据扫描结果对发现的漏洞进行加固?能否定期的对系统进行补丁升级?能否具备测试

28、环境?加固前能否先进行测试环境测试?升级加固能否具备升级失败回退机制与应急计划?能否对数据库进行安全配置基线管理?08.数据备份能否建立正式的备份管理制度(备份方式、备份频度、存储介质、保存期等)?能否制定有明确的数据备份策略?(备份周期、备份方式等)管理制度能否包含特定系统的业务中断恢复时间要求?重要的系统备份数据能否异地存放?能否建立异地灾备中心?备份介质与备份记录能否进行了妥善的保管?能否对备份数据进行定期的恢复测试?备份管理制度及备份恢复测试结果能否定期审查和根据实际情况更新内容?09.系统安全应急能否建立了统一的应急预案框架?重要系统能否制定针对不同系统故障的应急预案?能否定期对系统相关的人员进行应急预案培训?能否定期对应急预案进行演练?应急预案能否需定期审查和根据实际情况更新内容?电脑系统安全设置详细方法系统安全设置详细方法：1，首先，右键点击“此电脑，菜单栏选择“属性。2，进入属性界面后，我们点击界面上方的“控制面板进入下一步。3，选择“系统和安全进入下一步。4，假如需要设置某些应用能够通过防火墙的话，我们能够在应用通过防火墙中进行设置。5，当然可以以对“WndoursDfender防火墙其他属性进行设置。关于电脑系统安全设置的操作方法介绍到此就介绍了。系统安全基础知识大全