《电脑系统安全基础知识大全_1.docx》由会员分享,可在线阅读,更多相关《电脑系统安全基础知识大全_1.docx(57页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、电脑系统安全基础知识大全电脑系统安全基础知识大全怀健.密码安全控制在不安全的网络环境中,为了降低密码被猜出或被暴力解开的风险,用户应养成定期更改密码的习惯,避免长期使用同一个密码。管理员能够在服务器端限制用户密码的最大有效天数,对于密码已过期的用户,登录时将被要求重新设置密码,否则将拒绝登录。执行下面操作可将密码的有效期设为30天(chage命令用于设置密码时限)。在某些特殊情况下,如要求批量创立的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码等,能够由管理员执行强迫策略,以便用户在下次登录时必须更改密码。例如执行下面操作可强迫要求用户Bob下次登录时重设密码。3.命令历史、
2、自动注销Shell环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件,该用户的命令操作经过将会一览无余,假如曾经在命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默以为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,能够影响系统中的所有用户。例如,能够设置最多只记录200条历史命令。需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置TMOUT变量。必要时能够执行“unsetTMOUT命令取消TMOUT变
3、量设置。除此之外,还能够修改用户宿主目录中的/.bash_logout文件,添加清空历史命令的操作语句。这样,当用户退出已登录Bash环境以后,所记录的历史命令将自动清空。二,用户切换与提权大多数Linu_服务器并不建议用户直接以root用户进行登录。一方面能够大大减少因误操作而导致的毁坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务。Linu_系统为我们提供了su、sudo两种命令,其中su命令主要用来切换用户,而sudo命令用来提升执行权限,下面分别进行介绍。1.su命令切换用户使用su命令,
4、能够切换为指定的另一个用户,进而具有该用户的所有权限。当然,切换时需要对目的用户的密码进行验证(从root用户切换为其他用户时除外)。例如,当前登录的用户为bob若要切换为root用户,能够执行下面操作:上述命令操作中,选项“-等同于“-login或“-l,表示切换用户后进入目的用户的登录Shell环境,若缺少此选项则仅切换身份、不切换用户环境。对于切换为root用户的情况,“root可以省略。默认情况下,任何用户都允许使用su命令,进而有时机反复尝试其他用户(如root)的登录密码,这样带来了安全风险。为了加强su命令的使用控制,能够借助于pam_wheel认证模块,只允许极个别用户使用su
5、命令进行切换。实现经过如下:将受权使用su命令的用户添加到wheel组,修改/etc/pam.d/su认证配置以启用pam_wheel认证。修改配置文件支持允许wheel组使用su将bob用户参加到wheel组中查看wheel组中能否拥有bob用户启用pam_wheel认证以后,未参加到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示“拒绝权限,进而将切换用户的权限控制在最小范围内。如下图:上图切换失败,拒绝权限的原因就是我们没有把用户张三参加到wheel组中,所以拒绝张三用户使用su命令。使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,能够根
6、据需要进行查看。2.sudo命令提升执行权限通过su命令能够非常方便地切换为另一个用户,但前提条件是必须知道目的用户的登录密码。例如,若要从Bob用户切换为root用户,必须知道root用户的密码。对于生产环境中的Linu_服务器,每多一个人知道特权密码,其安全风险也就增加一分。那么,有没有一种折中的办法,既能够让普通用户拥有一部分管理权限,又不需要将root用户的密码告诉他呢?答案是肯定的,使用sudo命令就能够提升执行权限。不过,需要由管理员预先进行受权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。1)在配置文件/etc/sudoers中添加受权sudo机制的配置文件
7、为/etc/sudoers,文件的默认权限为440,保存时必须执行:wq!命令来强迫操作,否则系统将提示为只读文件而拒绝保存。配置文件/etc/sudoers中,受权记录的基本配置格式如下所示:userMACHINE=COMMANDS受权配置主要包括用户、主机、命令三个部分,即受权哪些人在哪些主机上执行哪些命令。各部分的详细含义如下。用户(user):直接受权指定的用户名,或采用“%组名的形式(受权一个组的所有用户)。主机(MACHINE):使用此配置文件的主机名称。此部分主要是方便在多个主机间共用同一份sudoers文件,一般设为localhost或者实际的主机名即可。命令(COMMANDS
8、):允许受权的用户通过sudo方式执行的特权命令,需填写命令程序的完好途径,多个命令之间以逗号,进行分隔。典型的sudo配置记录中,每行对应一个用户或组的sudo受权配置。例如,若要受权用户bob能够执行reboot来重启虚拟机,而wheel组的用户无需验证密码即可执行任何命令,能够执行下面操作:由于是只读文件,所以必须wq!强迫保存退出sudo配置记录的命令部分允许使用通配符“_、取反符号“!,当需要受权某个目录下的所有命令或取消其中个别命令时十分有用。例如,若要受权用户syrianer能够执行/sbin/目录下除ifconfig以外的其他所有命令程序,能够执行下面操作默认情况下,通过sud
9、o方式执行的操作并不记录。若要启用sudo日志记录以备管理员查看,应在/etc/sudoers文件中增加“Defaultslogfile设置。2)通过sudo执行特权命令对于已获得受权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin、/usr/sbin等目录下,普通用户执行时应使用绝对途径。下面操作验证了使用sudo方式执行命令的经过。若要查看用户本人获得哪些sudo受权,能够执行“sudo-l命令。未受权的用户将会得到“maynotrunsudo的提示,已受权的用户则能够看到本人的sudo配置。假如已经启用sudo日志
10、,则能够从/var/log/sudo文件中看到用户的sudo操作记录。三,系统引导和登录控制在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录经过往往容易被忽视,进而留下安全隐患。十分是当服务器所在的机房环境缺乏严格、安全的管控制度时,怎样防止其他用户的非受权参与就成为必须重视的问题。开关机安全控制对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等经过。在开关机安全控制方面,除了要做好物理安全防护以外,还要做好系统本身的一些安全措施。1.调整BIOS引导设置(1)将第一优先引导设备(F
11、irstBootDevice)设为当前系统所在磁盘。(2)禁止从其他设备(如光盘、U盘、网络等)引导系统,对应的项设为“Disabled。(3)将BlOS的安全级别改为“setup,并设置好管理密码,以防止未受权的修改。2.禁止Ctrl+Alt+Del快速键重启快速键重启功能为服务器的本地维护提供了方便,但对于多终端登录的Linu_服务器,禁用此功能是比拟安全的选择。在CentOS7中,执行cat/etc/inittab命令能够得知Ctrl+Alt+Del快速键功能由/usr/lib/systemd/system/ctrl-alt-del.target文件进行设置。查看/usr/lib/sys
12、temd/system/ctrl-alt-del.target文件发现,ctrl-alt-del.target是reboot.target文件的软链接文件。在不影响reboot.target文件的前提下执行下面命令即可禁用Ctrl+Alt+Del快速键功能。systemctlmask命令是用于注销指定服务的,例如systemctlmaskcpu.service命令用于注销cpu服务,取消注销则使用systemctlumask命令。因而若想重新开启Ctrl+AIt+Del快速键功能,只需执行systemctlunmaskctrl-alt-del.targct命令,然后刷新配置即可。3.限制更改G
13、RUB引导参数在之前的课程中介绍过通过修改GRUB引导参数,对一些系统问题进行修复。从系统安全的角度来看,假如任何人都能够修改GRUB引导参数,对服务器本身显然是一个极大的威胁。为了加强对引导经过的安全控制,能够为GRUB菜单设置一个密码,只要提供正确的密码才被允许修改引导参数。为GRUB菜单设置的密码建议采用grub2-mlkpasswd-pbkdf2命令生成,表现为经过PBKDF2算法加密的字符串,安全性更好。生成密码后在/etc/grub.d/00_header配置文件中,添加对应的用户密码等配置,详细添加内容如下所示。通过上述配置,重新开机进入GRUB菜单时,按E键将无法修改引导参数。
14、若要获得编辑权限,必须根据提示输入正确的GRUB密码,如下图:为GRUB设置密码时,“grub.pbkdf2.sha512部分可替换为明文的密码字符串,如“123456,但安全性稍差。不建议使用明文的密码字符串。四,终端及登录控制在Linu_服务器中,默认开启了六个tty终端,允许任何用户进行本地登录。关于本地登录的安全控制,能够从下面几个方面着手。1.禁止root用户登录在Linu_系统中,login程序会读取/etc/securety文件,以决定允许root用户从哪些终端(安全终端)登录系统。若要禁止root用户从指定的终端登录,只需从该文件中删除或者注释掉对应的行即可。例如,若要禁止ro
15、ot用户从ty5.tty6登录,能够修改/etc/securetty文件,将tty5.ty6行注释掉。2.禁止普通用户登录当服务器正在进行备份或调试等维护工作时。可能不希望再有新的用户登录系统。这时候,只需要简单地建立/etc/nologin文件即可。login程序会检查/etc/nologin文件能否存在,假如存在,则拒绝普通用户登录系统(root用户不受限制)。此方法实际上是利用了shutdown延迟关机的限制机制,只建议在服务器维护期间临时使用。当手动删除/etc/nologin文件或者重新启动主机以后,即可恢复正常。五,弱口令检测、端口扫描本节将学习使用两个安全工具ohntheRipp
16、er和NMAP,前者用来检测系统账号的密码强度。后者用来执行端口扫描任务。弱口令检测JohntheRipper在nternet环境中,过于简单的口令是服务器面临的最大风险。尽管大家都知道设置一个更长,更复杂的口令会愈加安全,但总是会有一些用户因贪图方便而采用简单、易记的口令字串。对于任何一个承当着安全责任的管理员,及时找出这些弱口令账号是非常必要的,这样便于采取进一步的安全措施(如提醒用户重设更安全的口令)。JohntheRipper是一款开源的密码解开工具,能够在已知密文的情况下快速分析出明文的密码字串,支持DES.MD5等多种加密算法,而且允许使用密码字典(包含各种密码组合的列表文件)来进
17、行暴力解开。通过使用JohntheRipper,能够检测Linu_/UNI_系统用户账号的密码强度。1.下载并安装JohntheRipperJohntheRipper的官方网站是:/openwall/john/,通过该网站能够获取稳定版源码包,如john-1.8.0.tar.gz。以源码包john-18.0,tar.gz为例,解压后可看到三个子目录doc、run.src,分别表示手册文档、运行程序、源码文件,除此之外还有一个链接的讲明文件READE。其中,doc目录下包括READVME、INSTALL.E_AMPLES等多个文档,提供了较全面的使用指导。切换到src子目录并执行“makecle
18、anlinu_-_86-64命令,即可执行编译经过。若单独执行make命令,将列出可用的编译操作、支持的系统类型。编译完成以后,run子目录下会生成一个名为john的可执行程序。2.检测弱口令账号在安装有JohntheRipper的服务器中,能够直接对/etc/shadow文件进行检测。对于其他Linu_服务器,能够对shadow文件进行复制,并传递给john程序进行检测。只需执行run目录下的john程序,将待检测的shadow文件作为命令行参数,就能够开场弱口令分析了。在执行经过中,分析出来的弱口令账号将即时输出,第一列为密码字串,第二列的括号内为相应的用户名(如用户bob的密码为“pwd
19、123)。默认情况下,john将针对常见的弱口令设置特点。尝试解开已识别的所有密文字串,假如检测的时间太长,能够按Ctrl+C组合键强行终止。解开出的密码信息自动保存到john.pot文件中,能够结合-show选项进行查看。3.使用密码字典文件对于密码的暴力解开,字典文件的选择很关键。只要字典文件足够完好,密码解开只是时间上的问题。因而,“什么样的密码才足够强壮取决于用户的承受能力,有人以为超过72小时仍无法解开的密码才算安全,可以能有人以为至少暴力分析一个月仍无法解开的密码才足够安全。JohntheRipper默认提供的字典文件为password.lst,其列出了3000多个常见的弱口令。假
20、如有必要,用户能够在字典文件中添加更多的密码组合,可以以直接使用愈加完好的其他字典文件。执行john程序时,能够结合“-wordlist=选项来指定字典文件的位置,以便对指定的密码文件进行暴力分析。从上述结果能够看出,由于字典文件中的密码组合较少,因而仅解开出其中四个账号的口令。也不难看出,像“123456iloveyou之类的密码有多脆弱了。六,网络扫描NMAPNMAP是一个强大的端口扫描类安全评测工具,官方站点是:/nmap.org/。NMAP被设计为检测诸多主机数量的宏大网络,支持ping扫描、多端口检测、OS识别等多种技术。使用NMAP定期扫描内部网络,能够找出网络中不可控的应用服务,
21、及时关闭不安全的服务,减小安全风险。1.安装NMAP软件包在CentOS7系统中,既能够使用光盘自带的nmap._86_642:6.40-7.el7安装包,可以以使用从NMAP官方网站下载的最新版源码包,这里以YUM方式安装的nmap软件包为例。2.扫描语法及类型NMAP的扫描程序位于/usr/bin/namp目录下,使用时基本命令格式如下所示。nmap扫描类型选项扫描目的.其中,扫描目的能够是主机名、IP地址或网络地址等,多个目的以空格分隔;常用的选项有“-p“-n,分别用来指定扫描的端口、禁用反向DNS解析(以加快扫描速度);扫描类型决定着检测的方式,也直接影响扫描的结果。比拟常用的几种扫
22、描类型如下:-sS,TCPSYN扫描(半开扫描):只向目的发出SYN数据包,假如收到SYN/ACK响应包就以为目的端口正在监听,并立即断开连接;否则以为目的端口并未开放。-sT,TCP连接扫描:这是完好的TCP扫描方式,用来建立一个TCP连接,假如成功则以为目的端口正在监听服务,否则以为目的端口并未开放。-sF,TCPFN扫描:开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。很多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包.这种类型的扫描可间接检测防火墙的强健性。-sU,UDP扫描:探测目的主机提供哪些UDP服务,UDP扫描的速度会比拟慢。-sP,ICVMP扫描
23、:类似于ping检测,快速判定目的主机能否存活,不做其他扫描。-P0,跳过ping检测:这种方式以为所有的目的主机是存活的,当对方不响应ICVMP请求时,使用这种方式能够避免因无法ping通而放弃扫描。3.扫描操作示例为了更好地讲明nmap命令的用法,下面介绍几个扫描操作的实际用例。针对本机进行扫描,检查开放了哪些常用的TCP端口、UDP端口。上图中的命令都一样。都是查看本机开发的端口在扫描结果中,STATE列若为open则表示端口为开放状态,为filtered表示可能被防火墙过滤,为closed表示端口为关闭状态。检查192.168.100.0/24网段中有哪些主机提供FTP服务。快速检测1
24、92.168.100.0/24网段中有哪些存活主机(能ping通)检测IP地址位于192.168.4.100200的主机能否开启文件分享服务。实际上,NMAP提供的扫描类型、选项还有很多,适用于不同的扫描需求,本章仅介绍了其中一小部分常用的操作,更多用法还需要大家进一步通过实践去把握。七,实验案例允许用户radmin使用su命令进行切换,其他用户一律禁止切换身份。1.创立radmin,设置密码为pwd1232.配置pam验证,支持wheel组使用su命令3.配置主配置文件,支持wheel组使用su受权用户zhangsan管理所有员工的账号,但禁止其修改root用户的信息。1.打开sudo主配置
25、文件,编辑支持管理所有员工账号测试张三能否拥有管理所有员工账号的权限受权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令,不需要密码验证。1.打开sudo主配置文件,配置不需要密码验证测试lisi能否需要密码验证:所有的su,sudo操作,必须在系统日志文件中进行记录。1.使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,所以不需要配置2.打开sudo主配置文件禁止使用Ctrl+Alt+Del快速键,禁止root用户从tty5.tty6登录,为GRUB引导菜单设置密码。1.禁止使用快速键测试能否禁用成功:2.禁止用户从tty5,tty6终端
26、登录3.为grub引导菜单设置密码测试grub菜单密码:系统安全知识结论:安全是个系统行为,不是某个点或某个面。概述:SIL中文为安全完好性等级,实际分为四个等级,SIL1-SIL4演艺行业针对机械设备提出的需要知足SIL3标准的需求,基本上都是基于多数情况下的风险分析得出的经历结论。实际对于某些悬挂类系统,并不一定需要严格知足SIL3,比方吊挂音响、道具等的固定卷扬设备,按风险分析的方法可确定此类设备并不一定需要到达SIL3。可对应参照ISO13849和IEC62061等标准。安全功能:安全功能是SIL安全标准中最基础的一环,安全功能能否完好,影响整个系统的安全性。演艺设备中的安全功能一般需
27、要包含如下几种:急停处理功能、安全使能开关(或操作用的激活开关)断开、位置偏差、速度偏差、安全同步丢失、超速、超载、欠载(可选)、负载监控(可选)、松绳、超程等,针对台下类设备还有安全门和剪切开关等。一般在系统设计中,都需要对上述安全功能实现进行处理和描绘。比方在超程的情况下为了保证系统的安全性能足够,通常就需要增加超程开关,并经过已验证的安全型可编程控制器(或经安全验证的轴控制器)对输入信号收集分析,并输出对应的安全信号。典型急停安全功能处理:急停链路的处理可采用的方式有多种。1.采用带有延时功能的安全继电器,该实现方式相对常见。将急停信号输入到安全继电器,安全继电器输出两种信号,一种输出指
28、向变频器的紧急停车端子,实现1类急停,另一路信号输出到设备的上端接触器或者变频器的STO端子,实现0类急停,两路信号输出带有延时功能。2.采用安全型控制器,比方安全型PLC或者经历证的轴控制器,将急停信号输入到控制器的安全输入点,并将安全型输出点输出到每个变频器的STO端子或者急停端子。相比方式1,方式2的实现愈加灵敏,该种方式不光可处理急停类信号,还能够处理其他安全输入信号,比方超程、松绳等。能否用PLC搭建出足够安全的系统?用安全型PLC能够实现多数基本的安全功能,十分是针对单机设备,一般都能知足,比方各种安全信号的收集和处理,如超程、松绳、乱绳、急停、热保、维修等开关量信号,都能够针对该
29、类信号进行安全的处理。但是对于有些安全功能,如速度比拟、位置比拟等安全功能,有些安全型PLC能知足,有些则无法知足,原因主要还是和当前市面常见的安全型PLC所认证的安全功能相对有限有关。现象和结论:对于安全系统的搭建,经过认证的轴控制器要明显占优,轴控制器可根据需要配置对应的安全输入和安全输出功能,并能在系统中完成对于双编码器信号的收集,进而完成某些安全型PLC不易完成的针对速度、位置偏差等安全功能。电脑系统安全设置详细方法平常在使用电脑的时候,我们都都害怕电脑被木马病毒光临。那么,电脑怎样设置系统安装呢?其实操作方法并不复杂,不信就随笔者一起往下看,看看我整理的这个系统安全设置教程吧,希望对你能有所帮助哦。电脑系统安全设置详细方法:1,首先,右键点击“此电脑,菜单栏选择“属性。2,进入属性界面后,我们点击界面上方的“控制面板进入下一步。3,选择“系统和安全进入下一步。4,假如需要设置某些应用能够通过防火墙的话,我们能够在应用通过防火墙中进行设置。5,当然可以以对“WndoursDfender防火墙其他属性进行设置。关于电脑系统安全设置的操作方法介绍到此就介绍了。电脑系统安全基础知识大全
限制150内