账号安全设置

默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。

本地安全策略

打开方式

win+R 输入ecpol.msc

账号锁定策略

用户权限分配

关闭自动播放功能

自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器

账户权限控制-设置唤醒密码

控制面板-》电源选项-》唤醒时需要密码

网络访问控制-防火墙设置

确保启用Windows自带防火墙

共享安全防护-关闭管理共享

Linux系统安全

Linux系统标识与鉴别-帐号信息存储
信息存储
用户信息:
/etc/passwd

格式:name:coded-passwd(X或*表示不可登陆):UID:GID:userinfo:homedirectory:shell
/etc/shadow

格式:name:passwd:lastchg:min:max:warn:inactive:expire:flag
组信息
/etc/group
/etc/gshadow

Linux系统文件访问控制-权限模式

账号和口令安全——口令安全策略

设置账户锁定登录失败锁定次数、锁定时间
修改账户超时值,设置自动注销时间

口令修改策略
强制口令使用有效期
设置口令修改提醒
设置账户锁定登录失败锁定次数、锁定时间

vi /etc/login.defs
PASS_MAX_DAYS    90
PASS_MIN_DAYS    7
PASS_MIN_LEN     6
PASS_WARN_AGE    28

Linux设置——系统服务配置
禁止危险的网络服务
telnet、FTP
echo、chargen、shell、finger、NFS、RPC等
关闭非必需的网络服务
talk、ntalk等

关闭邮件服务:chkconfig --level 12345 sendmail off
关闭图形登录服务:编辑/etc/inittab文件,修改为id:3:initdefault:
关闭X font服务:chkconfig xfs off

Linux设置——远程登录安全
禁用telnet,使用SSH进行管理
限制能够登录本机的IP地址
禁止root用户远程登陆
限定信任主机
修改banner信息

远程登录安全——使用SSH/限制登录IP

禁用telnet,使用SSH进行管理
开启ssh服务:#service sshd start
限制能够登录本机的IP地址
#vi /etc/ssh/sshd_config
添加(或修改):
AllowUsers xyz@192.168.1.23
允许用户xyz通过地址192.168.1.23来登录本机
AllowUsers *@192.168.*.*
仅允许192.168.0.0/16网段所有用户通过ssh访问。

远程登录安全——禁止root/限定信任主机

禁止root用户远程登陆
#cat /etc/ssh/sshd_config
确保PermitRootLogin为no
限定信任主机
#cat /etc/hosts.equiv
#cat /$HOME/.rhosts
查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机
或直接关闭所有R系列远程服务
rlogin
rsh
rexec

远程登录安全——修改banner信息
系统banner信息
一般会给出操作系统名称、版本号、主机名称等
修改banner信息
查看修改sshd_config
#vi /etc/ssh/sshd_config
如存在,则将banner字段设置为NONE
查看修改motd:
#vi /etc/motd
该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容

文件和目录安全——设置默认umask值
设置新创建文件的默认权限掩码
可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问
umask设置的是权限“补码”
设置方法
使用umask命令
如 #umask 066
编辑/etc/profile文件,设置umask值

Linux设置——系统日志配置

启用syslog服务
配置日志存储策略
打开/etc/logrotate.d/syslog文件,检查其对日志存储空间的大小和时间的设置

使用安全软件——使用主机防火墙
Linux下的防火墙框架iptables

  1. 启动指令:service iptables start
  2. 重启指令:service iptables restart
  3. 关闭指令:service iptables stop
  4. 然后是相关配置:/etc/sysconfig/iptables

包过滤
NAT
数据包处理
Iptables基本规则
Iptables [-t table] command [match][target]
Iptables基本应用
Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
Iptables –D INPUT – dport 80 –j DROP

【CISP笔记】操作系统安全的更多相关文章

  1. 《Kafka权威指南》读书笔记-操作系统调优篇

    <Kafka权威指南>读书笔记-操作系统调优篇 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 大部分Linux发行版默认的内核调优参数配置已经能够满足大多数应用程序的运 ...

  2. ucos实时操作系统学习笔记——操作系统在STM32的移植

    使用ucos实时操作系统是在上学的时候,导师科研项目中.那时候就是网上找到操作系统移植教程以及应用教程依葫芦画瓢,功能实现也就罢了,没有很深入的去研究过这个东西.后来工作了,闲来无聊就研究了一下这个只 ...

  3. 【CISP笔记】安全攻击与防护

    公开信息收集-搜索引擎 快速定位Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖 ...

  4. 《Linux内核分析》第二周笔记 操作系统是如何工作的

    操作系统是如何工作的 一.函数调用堆栈 1.三个法宝 计算机是如何工作的?(总结)——三个法宝(存储程序计算机.函数调用堆栈.中断机制) 1)存储程序计算机工作模型,计算机系统最最基础性的逻辑结构: ...

  5. 19-MySQL DBA笔记-操作系统、硬件、网络的优化

    第19章 操作系统.硬件.网络的优化 本章将介绍操作系统和硬件的性能优化,对于硬件,我们主要讲述CPU.内存.磁盘阵列及固态硬盘.任何优化,首先都需要有足够的数据支持,对于操作系统下性能数据的收集,这 ...

  6. 【CISP笔记】安全漏洞与恶意代码(2)

    恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试 恶意代码检测技术 特征码扫描 沙箱技术 行为检测 恶意代码分析技术 静态分析 需要实际执行恶意代码,它通过对其二进制文 ...

  7. 【CISP笔记】安全漏洞与恶意代码(1)

    恶意代码 类型二进制代码.脚本语言.宏语言等表现形式病毒.蠕虫.后门程序.木马.流氓软件.逻辑炸弹等 恶意代码的传播方式(1)移动存储 自动播放功能.Windows默认.自动执行autorun.inf ...

  8. 【CISP笔记】数据库及应用安全

    数据库安全特性检查工具美国应用安全公司的App Detective英国下一代软件公司的NGS SQuirrel 常见应用安全威胁 网络层面拒绝服务.电子欺骗.嗅探.……系统层面Web服务漏洞.配置错误 ...

  9. 《Apache Kafka实战》读书笔记-调优Kafka集群

    <Apache Kafka实战>读书笔记-调优Kafka集群 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.确定调优目标 1>.常见的非功能性要求 一.性能( ...

随机推荐

  1. hdu 2857 求点关于线段的对称点

    本来很简单的一个题,但是有个大坑: 因为模板中Tline用到了直线的一般方程ax+by+c=0,所以有种很坑的情况需要特判: 斜率不存在啊喂 老子坑了一下午2333 #include <math ...

  2. ecshop /includes/init.php Arbitrary User Login Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对用户输入的cookie,判断免登的逻辑中存在漏洞,导致黑客可以直接通过 ...

  3. java重写equals方法

    @Override public int hashCode() { return task.getId(); } @Override public boolean equals(Object obj) ...

  4. pom中定义某jar包的依赖,但并不使用该jar包,那最后部署的应用中会有这个jar包么?

    关于这个问题,首先得明确这个jar包的依赖是怎么定义的,我们知道在maven的pom文件中,会有:dependencymanagement和dependency2个部分   一般我们说在depende ...

  5. AngularJs angular.element

    angular.element 将DOM元素或者HTML字符串一包装成一个jQuery元素. 格式:angular.element(element); element:包装成jquery对象的html ...

  6. MATLAB cell & struct

    CELL cell的每个单元都可以存储任何数据,比如传递函数等.当然,存储矩阵更是没有问题的了.但是用cell数据类型之前,要先初始化. a=cell(n,m) 那么就把a初始化为一个n行m列的空ce ...

  7. 【Beta】第一次任务发布

    后端 整理以下5个环节的API文档:登录注册.收藏以及获取收藏.个人信息的获取以及更新.发送实验数据以获取PDF报告 验收条件:每个接口说明请求格式(请求方式,请求内容)和返回格式 例: 请求 方式: ...

  8. Linux C/C++ --- “” and <> in the use of head include file(Pending Verification)

    for example: #include <stdlib.h>#include <stdio.h>#include <wiringPi.h>#include &l ...

  9. 64位centos下安装python的PIL模块

    http://blog.csdn.net/xiaojun1288/article/details/8673529

  10. BZOJ树链剖分题目汇总

    1036,2157,2243,4034,4196;2325,2908,3083,3159,3531,3626,3999;可以不树剖:1146;2819,2843,4448,4530.