六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 系統(tǒng)安全 >

電腦系統(tǒng)安全基礎(chǔ)知識大全

時間: 懷健20 分享

電腦系統(tǒng),又稱電腦操作系統(tǒng),是用于管理和控制計算機(jī)系統(tǒng)中的硬件及軟件資源的系統(tǒng)軟件,也是計算機(jī)系統(tǒng)的內(nèi)核與基石。下面就讓小編帶你去看看電腦系統(tǒng)安全基礎(chǔ)知識大全吧,希望能幫助到大家!

系統(tǒng)安全及應(yīng)用

簡介

作為一種開放源代碼的操作系統(tǒng),Linu__服務(wù)器以其安全.高效和穩(wěn)定的顯著優(yōu)勢而得以廣泛應(yīng)用。

本章主要從賬號安全控制、系統(tǒng)引導(dǎo)和登錄控制的角度,學(xué)習(xí)Linu__系統(tǒng)安全優(yōu)化的點(diǎn)點(diǎn)滴滴;還將學(xué)習(xí)基于Linu__環(huán)境的弱口令檢測、網(wǎng)絡(luò)掃描等安全工具的構(gòu)建和使用,幫助管理員查找安全隱患,及時采取有針對性的防護(hù)措施。

本章重點(diǎn)

su、sudo的使用

為GRUB引導(dǎo)菜單設(shè)置密碼

NMAP端口掃描器

理論講解

用戶賬號是計算機(jī)使用者的身份憑證或標(biāo)識,每個要訪問系統(tǒng)資源的人,必須憑借其用戶賬號才能進(jìn)入計算機(jī)。在Linu__系統(tǒng)中,提供了多種機(jī)制來確保用戶賬號的正當(dāng)、安全使用。

一,基本安全措施

1.系統(tǒng)賬號清理

在Linu__系統(tǒng)中.除了用戶手動創(chuàng)建的各種賬號之外,還包括隨系統(tǒng)或程序安裝過程而生成的其他大量賬號。除了超級用戶root之外,其他大量賬號只是用來維護(hù)系統(tǒng)運(yùn)作,啟動或保持服務(wù)進(jìn)程,一般是不允許登錄的,因此也稱為非登錄用戶賬號。

常見的非登錄用戶賬號包括bin,daemon.adm、lp、mail等。為了確保系統(tǒng)安全,這些用戶賬號的登錄Shell 通常是/sbin/nologin,表示禁止終端登錄,應(yīng)確保不被人為改動,如下所示:

各種非登錄用戶賬號中,還有相當(dāng)一部分是很少用到的,如games。這些用戶賬號可以視為冗余賬號,直接刪除即可。除此之外,還有一些隨應(yīng)用程序安裝的用戶賬號,若卸載程序以后未能自動刪除,則需要管理員手動進(jìn)行清理。

對于Linu__服務(wù)器中長期不用的用戶賬號,若無法確定是否應(yīng)該刪除,可以暫時將其鎖定。例如,若要鎖定、解鎖名為bob的用戶賬號,可以執(zhí)行以下操作(passwd.usermod命令都可用來鎖定、解鎖賬號)。

如果服務(wù)器中的用戶賬號已經(jīng)固定,不再進(jìn)行更改,還可以采取鎖定賬號配置文件的方法。使用chattr命令,分別結(jié)合“+i” “-i“選項來鎖定、解鎖文件,使用lsattr命令可以查看文件鎖定情況。

在賬號文件被鎖定的情況下,其內(nèi)容將不允許變更,因此無法添加、刪除賬號,也不能更改用戶的密碼、登錄Shell、宿主目錄等屬性信息。

例如在鎖定文件之后創(chuàng)建張三用戶,就會顯示創(chuàng)建失敗。如下圖:

2.密碼安全控制

在不安全的網(wǎng)絡(luò)環(huán)境中,為了降低密碼被猜出或被暴力解開的風(fēng)險,用戶應(yīng)養(yǎng)成定期更改密碼的習(xí)慣,避免長期使用同一個密碼。管理員可以在服務(wù)器端限制用戶密碼的最大有效天數(shù),對于密碼已過期的用戶,登錄時將被要求重新設(shè)置密碼,否則將拒絕登錄。

執(zhí)行以下操作可將密碼的有效期設(shè)為30天(chage命令用于設(shè)置密碼時限)。

在某些特殊情況下,如要求批量創(chuàng)建的用戶初次登錄時必須自設(shè)密碼,根據(jù)安全規(guī)劃統(tǒng)一要求所有用戶更新密碼等,可以由管理員執(zhí)行強(qiáng)制策略,以便用戶在下次登錄時必須更改密碼。例如執(zhí)行以下操作可強(qiáng)制要求用戶Bob下次登錄時重設(shè)密碼。

3.命令歷史、自動注銷

Shell 環(huán)境的命令歷史機(jī)制為用戶提供了極大的便利,但另一方面也給用戶帶來了潛在的風(fēng)險。

只要獲得用戶的命令歷史文件,該用戶的命令操作過程將會一覽無余,如果曾經(jīng)在命令行輸入明文的密碼,則無意之中服務(wù)器的安全壁壘又多了一個缺口。

Bash終端環(huán)境中,歷史命令的記錄條數(shù)由變量HISTSIZE控制,默認(rèn)為1000條。通過修改

/etc/profile 文件中的HISTSIZE變量值,可以影響系統(tǒng)中的所有用戶。例如,可以設(shè)置最多只記錄200條歷史命令。

需要注意的是,當(dāng)正在執(zhí)行程序代碼編譯、修改系統(tǒng)配置等耗時較長的操作時,應(yīng)避免設(shè)置TMOUT變量。必要時可以執(zhí)行“unset TMOUT”命令取消TMOUT變量設(shè)置。

除此之外,還可以修改用戶宿主目錄中的~/.bash_logout文件,添加清空歷史命令的操作語句。

這樣,當(dāng)用戶退出已登錄Bash環(huán)境以后,所記錄的歷史命令將自動清空。

二,用戶切換與提權(quán)

大多數(shù)Linu__服務(wù)器并不建議用戶直接以root用戶進(jìn)行登錄。一方面可以大大減少因誤操作而導(dǎo)致的破壞,另一方面也降低了特權(quán)密碼在不安全的網(wǎng)絡(luò)中被泄露的風(fēng)險。鑒于這些原因,需要為普通用戶提供一種身份切換或權(quán)限提升機(jī)制,以便在必要的時候執(zhí)行管理任務(wù)。

Linu__系統(tǒng)為我們提供了su、sudo兩種命令,其中su命令主要用來切換用戶,而sudo命令用來提升執(zhí)行權(quán)限,下面分別進(jìn)行介紹。

1.su命令——切換用戶

使用su命令,可以切換為指定的另一個用戶,從而具有該用戶的所有權(quán)限。當(dāng)然,切換時需要對目標(biāo)用戶的密碼進(jìn)行驗(yàn)證(從root用戶切換為其他用戶時除外)。例如,當(dāng)前登錄的用戶為bob

若要切換為root用戶,可以執(zhí)行以下操作:

上述命令操作中,選項“-”等同于“--login”或“-l”,表示切換用戶后進(jìn)入目標(biāo)用戶的登錄Shell環(huán)境,若缺少此選項則僅切換身份、不切換用戶環(huán)境。對于切換為root用戶的情況,“root”可 以省略。

默認(rèn)情況下,任何用戶都允許使用su命令,從而有機(jī)會反復(fù)嘗試其他用戶(如root)的登錄密碼,這樣帶來了安全風(fēng)險。為了加強(qiáng)su命令的使用控制,可以借助于pam_wheel認(rèn)證模塊,只允許極個別用戶使用su命令進(jìn)行切換。實(shí)現(xiàn)過程如下:將授權(quán)使用su命令的用戶添加到wheel組,修改

/etc/pam.d/su 認(rèn)證配置以啟用pam_wheel認(rèn)證。

修改配置文件支持允許wheel組使用su

將bob用戶加入到wheel組中

查看wheel組中是否擁有bob用戶

啟用pam_wheel認(rèn)證以后,未加入到wheel組內(nèi)的其他用戶將無法使用su命令,嘗試進(jìn)行切換時將提示“拒絕權(quán)限”,從而將切換用戶的權(quán)限控制在最小范圍內(nèi)。

如圖所示:

上圖切換失敗,拒絕權(quán)限的原因就是我們沒有把用戶張三加入到wheel組中,所以拒絕張三用戶使用su命令。

使用su命令切換用戶的操作將會記錄到安全日志/var/log/secure文件中,可以根據(jù)需要進(jìn)行查看。

2.sudo命令——提升執(zhí)行權(quán)限

通過su命令可以非常方便地切換為另一個用戶,但前提條件是必須知道目標(biāo)用戶的登錄密碼。

例如,若要從Bob用戶切換為root用戶,必須知道root用戶的密碼。對于生產(chǎn)環(huán)境中的Linu__服務(wù)器,每多一個人知道特權(quán)密碼,其安全風(fēng)險也就增加一分。

那么,有沒有一種折中的辦法,既可以讓普通用戶擁有一部分管理權(quán)限,又不需要將root用戶的密碼告訴他呢?答案是肯定的,使用sudo命令就可以提升執(zhí)行權(quán)限。不過,需要由管理員預(yù)先進(jìn)行授權(quán),指定允許哪些用戶以超級用戶(或其他普通用戶)的身份來執(zhí)行哪些命令。

1)在配置文件/etc/sudoers中添加授權(quán)

sudo機(jī)制的配置文件為/etc/sudoers,文件的默認(rèn)權(quán)限為440,保存時必須執(zhí)行:wq!”命令來強(qiáng)制操作,否則系統(tǒng)將提示為只讀文件而拒絕保存。

配置文件/etc/sudoers中,授權(quán)記錄的基本配置格式如下所示:

user MACHINE=COMMANDS

授權(quán)配置主要包括用戶、主機(jī)、命令三個部分,即授權(quán)哪些人在哪些主機(jī)上執(zhí)行哪些命令。

各部分的具體含義如下。

用戶(user):直接授權(quán)指定的用戶名,或采用“%組名”的形式(授權(quán)一個組的所有用戶)。

主機(jī)(MACHINE):使用此配置文件的主機(jī)名稱。此部分主要是方便在多個主機(jī)間共用同一份sudoers文件,一般設(shè)為localhost或者實(shí)際的主機(jī)名即可。

命令(COMMANDS):允許授權(quán)的用戶通過sudo方式執(zhí)行的特權(quán)命令,需填寫命令程序的完整路徑,多個命令之間以逗號”,”進(jìn)行分隔。

典型的sudo配置記錄中,每行對應(yīng)一個用戶或組的sudo授權(quán)配置。例如,若要授權(quán)用戶bob能夠執(zhí)行reboot來重啟虛擬機(jī),而wheel組的用戶無需驗(yàn)證密碼即可執(zhí)行任何命令,可以執(zhí)行以下操作:

因?yàn)槭侵蛔x文件,所以必須wq! 強(qiáng)制保存退出

sudo配置記錄的命令部分允許使用通配符“__”、取反符號“!”,當(dāng)需要授權(quán)某個目錄下的所有命令或取消其中個別命令時特別有用。例如,若要授權(quán)用戶syrianer 可以執(zhí)行/sbin/目錄下除ifconfig以外的其他所有命令程序,可以執(zhí)行以下操作

默認(rèn)情況下,通過sudo方式執(zhí)行的操作并不記錄。若要啟用sudo日志記錄以備管理員查看,應(yīng)在/etc/sudoers 文件中增加“Defaults logfile”設(shè)置。

2)通過sudo執(zhí)行特權(quán)命令

對于已獲得授權(quán)的用戶,通過sudo方式執(zhí)行特權(quán)命令時,只需要將正常的命令行作為sudo命令的參數(shù)即可。由于特權(quán)命令程序通常位于/sbin、/usr/sbin等目錄下,普通用戶執(zhí)行時應(yīng)使用絕對路徑。以下操作驗(yàn)證了使用sudo方式執(zhí)行命令的過程。

若要查看用戶自己獲得哪些sudo授權(quán),可以執(zhí)行“sudo-l”命令。未授權(quán)的用戶將會得到“may not run sudo”的提示,已授權(quán)的用戶則可以看到自己的sudo配置。

如果已經(jīng)啟用sudo日志,則可以從/var/log/sudo文件中看到用戶的sudo操作記錄。

三,系統(tǒng)引導(dǎo)和登錄控制

在互聯(lián)網(wǎng)環(huán)境中,大部分服務(wù)器是通過遠(yuǎn)程登錄的方式來進(jìn)行管理的,而本地引導(dǎo)和終端登錄過程往往容易被忽視,從而留下安全隱患。特別是當(dāng)服務(wù)器所在的機(jī)房環(huán)境缺乏嚴(yán)格、安全的管控制度時,如何防止其他用戶的非授權(quán)介入就成為必須重視的問題。

開關(guān)機(jī)安全控制

對于服務(wù)器主機(jī),其物理環(huán)境的安全防護(hù)是非常重要的,不僅要保持機(jī)箱完好、機(jī)柜鎖閉,還要嚴(yán)格控制機(jī)房的人員進(jìn)出、硬件設(shè)備的現(xiàn)場接觸等過程。在開關(guān)機(jī)安全控制方面,除了要做好物理安全防護(hù)以外,還要做好系統(tǒng)本身的一些安全措施。

1.調(diào)整BIOS引導(dǎo)設(shè)置

(1)將第一優(yōu)先引導(dǎo)設(shè)備(First Boot Device)設(shè)為當(dāng)前系統(tǒng)所在磁盤。

(2)禁止從其他設(shè)備(如光盤、U盤、網(wǎng)絡(luò)等)引導(dǎo)系統(tǒng),對應(yīng)的項設(shè)為“Disabled"。

(3)將BlOS的安全級別改為“setup”,并設(shè)置好管理密碼,以防止未授權(quán)的修改。

2.禁止Ctrl+Alt+Del快捷鍵重啟

快捷鍵重啟功能為服務(wù)器的本地維護(hù)提供了方便,但對于多終端登錄的Linu__服務(wù)器,禁用此功能是比較安全的選擇。在CentOS7中,執(zhí)行cat/etc/inittab命令可以得知Ctrl+Alt+Del快捷鍵功能由/usr/lib/systemd/system/ctrl-alt-del.target 文件進(jìn)行設(shè)置。查看/usr/lib/systemd/system/ctrl-alt-del.target 文件發(fā)現(xiàn),ctrl-alt-del.target是reboot.target文件的軟鏈接文件。

在不影響reboot.target文件的前提下執(zhí)行以下命令即可禁用Ctrl+Alt+Del快捷鍵功能。

systemctl mask命令是用于注銷指定服務(wù)的,例如systemctl mask cpu.service 命令用于注銷cpu服務(wù),取消注銷則使用systemctl umask命令。因此若想重新開啟Ctrl+AIt+Del快捷鍵功能,只需執(zhí)行systemctl unmask ctrl-alt-del.targct命令,然后刷新配置即可。

3.限制更改GRUB引導(dǎo)參數(shù)

在之前的課程中介紹過通過修改GRUB引導(dǎo)參數(shù),對一些系統(tǒng)問題進(jìn)行修復(fù)。從系統(tǒng)安全的角度來看,如果任何人都能夠修改GRUB引導(dǎo)參數(shù),對服務(wù)器本身顯然是一個極大的威脅。為了加強(qiáng)對引導(dǎo)過程的安全控制,可以為GRUB菜單設(shè)置一個密碼,只有提供正確的密碼才被允許修改引導(dǎo)參數(shù)。

為GRUB菜單設(shè)置的密碼建議采用grub2-mlkpasswd-pbkdf2命令生成,表現(xiàn)為經(jīng)過PBKDF2算法加密的字符串,安全性更好。生成密碼后在/etc/grub.d/00_header配置文件中,添加對應(yīng)的用戶密碼等配置,具體添加內(nèi)容如下所示。

通過上述配置,重新開機(jī)進(jìn)入GRUB菜單時,按E鍵將無法修改引導(dǎo)參數(shù)。若要獲得編輯權(quán)限,必須根據(jù)提示輸入正確的GRUB密碼,如圖所示:

為GRUB設(shè)置密碼時,“grub.pbkdf2.sha512…”部分可替換為明文的密碼字符串,如“123456”,但安全性稍差。不建議使用明文的密碼字符串。

四,終端及登錄控制

在Linu__服務(wù)器中,默認(rèn)開啟了六個tty終端,允許任何用戶進(jìn)行本地登錄。關(guān)于本地登錄的安全控制,可以從以下幾個方面著手。

1.禁止root用戶登錄

在Linu__系統(tǒng)中,login 程序會讀取/etc/securety文件,以決定允許root用戶從哪些終端(安全終端)登錄系統(tǒng)。若要禁止root用戶從指定的終端登錄,只需從該文件中刪除或者注釋掉對應(yīng)的行即可。例如,若要禁止root用戶從ty5.tty6登錄,可以修改/etc/securetty文件,將tty5.ty6行注釋掉。

2.禁止普通用戶登錄

當(dāng)服務(wù)器正在進(jìn)行備份或調(diào)試等維護(hù)工作時??赡懿幌M儆行碌挠脩舻卿浵到y(tǒng)。這時候,只需要簡單地建立/etc/nologin文件即可。login 程序會檢查/etc/nologin文件是否存在,如果存在,則拒絕普通用戶登錄系統(tǒng)(root用戶不受限制)。

此方法實(shí)際上是利用了shutdown延遲關(guān)機(jī)的限制機(jī)制,只建議在服務(wù)器維護(hù)期間臨時使用。當(dāng)手動刪除/etc/nologin文件或者重新啟動主機(jī)以后,即可恢復(fù)正常。

五,弱口令檢測、端口掃描

本節(jié)將學(xué)習(xí)使用兩個安全工具—ohn the Ripper和NMAP,前者用來檢測系統(tǒng)賬號的密碼強(qiáng)度。后者用來執(zhí)行端口掃描任務(wù)。

弱口令檢測

John the Ripper在nternet環(huán)境中,過于簡單的口令是服務(wù)器面臨的最大風(fēng)險。盡管大家都知道設(shè)置一個更長,更復(fù)雜的口令會更加安全,但總是會有一些用戶因貪圖方便而采用簡單、易記的口令字串。對于任何一個承擔(dān)著安全責(zé)任的管理員,及時找出這些弱口令賬號是非常必要的,這樣便于采取進(jìn)一步的安全措施(如提醒用戶重設(shè)更安全的口令)。

John the Ripper是一款開源的密碼解開工具,能夠在已知密文的情況下快速分析出明文的密碼字串,支持DES.MD5等多種加密算法,而且允許使用密碼字典(包含各種密碼組合的列表文件)來進(jìn)行暴力解開。通過使用John the Ripper,可以檢測Linu__/UNI__系統(tǒng)用戶賬號的密碼強(qiáng)度。

1.下載并安裝John the Ripper

John the Ripper 的官方網(wǎng)站是http://www.openwall.com/john/,通過該網(wǎng)站可以獲取穩(wěn)定版源碼包,如john-1.8.0.tar.gz。

以源碼包john-18.0,tar.gz為例,解壓后可看到三個子目錄——doc、run.src,分別表示手冊文檔、運(yùn)行程序、源碼文件,除此之外還有一個鏈接的說明文件READE。其中,doc目錄下包括READVME、INSTALL.E__AMPLES等多個文檔,提供了較全面的使用指導(dǎo)。

切換到src子目錄并執(zhí)行“make clean linu__-__86-64”命令,即可執(zhí)行編譯過程。若單獨(dú)執(zhí)行make命令,將列出可用的編譯操作、支持的系統(tǒng)類型。編譯完成以后,run子目錄下會生成一個名為john的可執(zhí)行程序。

2.檢測弱口令賬號

在安裝有John the Ripper的服務(wù)器中,可以直接對/etc/shadow文件進(jìn)行檢測。對于其他Linu__服務(wù)器,可以對shadow文件進(jìn)行復(fù)制,并傳遞給john程序進(jìn)行檢測。只需執(zhí)行run目錄下的john程序,將待檢測的shadow文件作為命令行參數(shù),就可以開始弱口令分析了。

在執(zhí)行過程中,分析出來的弱口令賬號將即時輸出,第一列為密碼字串,第二列的括號內(nèi)為相應(yīng)的用戶名(如用戶bob的密碼為“pwd@123”)。默認(rèn)情況下,john將針對常見的弱口令設(shè)置特點(diǎn)。

嘗試解開已識別的所有密文字串,如果檢測的時間太長,可以按Ctrl+C組合鍵強(qiáng)行終止。解開出的密碼信息自動保存到j(luò)ohn.pot文件中,可以結(jié)合--show”選項進(jìn)行查看。

3.使用密碼字典文件

對于密碼的暴力解開,字典文件的選擇很關(guān)鍵。只要字典文件足夠完整,密碼解開只是時間上的問題。因此,“什么樣的密碼才足夠強(qiáng)壯”取決于用戶的承受能力,有人認(rèn)為超過72小時仍無法解開的密碼才算安全,也可能有人認(rèn)為至少暴力分析一個月仍無法解開的密碼才足夠安全。

John the Ripper 默認(rèn)提供的字典文件為password.lst,其列出了3000多個常見的弱口令。如果有必要,用戶可以在字典文件中添加更多的密碼組合,也可以直接使用更加完整的其他字典文件。執(zhí)行john程序時,可以結(jié)合“--wordlist=”選項來指定字典文件的位置,以便對指定的密碼文件進(jìn)行暴力分析。

從上述結(jié)果可以看出,由于字典文件中的密碼組合較少,因此僅解開出其中四個賬號的口令。

也不難看出,像“123456iloveyou”之類的密碼有多脆弱了。

六,網(wǎng)絡(luò)掃描——NMAP

NMAP是一個強(qiáng)大的端口掃描類安全評測工具,官方站點(diǎn)是http://nmap.org/。NMAP被設(shè)計為檢測眾多主機(jī)數(shù)量的巨大網(wǎng)絡(luò),支持ping 掃描、多端口檢測、OS識別等多種技術(shù)。使用NMAP定期掃描內(nèi)部網(wǎng)絡(luò),可以找出網(wǎng)絡(luò)中不可控的應(yīng)用服務(wù),及時關(guān)閉不安全的服務(wù),減小安全風(fēng)險。

1.安裝NMAP軟件包

在CentOS7系統(tǒng)中,既可以使用光盤自帶的nmap.__86_64 2:6.40-7.el7安裝包,也可以使用從NMAP官方網(wǎng)站下載的最新版源碼包,這里以YUM方式安裝的nmap軟件包為例。

2.掃描語法及類型

NMAP的掃描程序位于/usr/bin/namp目錄下,使用時基本命令格式如下所示。

nmap [掃描類型] [選項] <掃描目標(biāo)..>

其中,掃描目標(biāo)可以是主機(jī)名、IP地址或網(wǎng)絡(luò)地址等,多個目標(biāo)以空格分隔;常用的選項有“-p”“-n",分別用來指定掃描的端口、禁用反向DNS解析(以加快掃描速度);掃描類型決定著檢測的方式,也直接影響掃描的結(jié)果。比較常用的幾種掃描類型如下:

-sS,TCP SYN掃描(半開掃描):只向目標(biāo)發(fā)出SYN數(shù)據(jù)包,如果收到SYN/ACK響應(yīng)包就認(rèn)為目標(biāo)端口正在監(jiān)聽,并立即斷開連接;否則認(rèn)為目標(biāo)端口并未開放。

-sT,TCP連接掃描:這是完整的TCP掃描方式,用來建立一個TCP連接,如果成功則認(rèn)為目標(biāo)端口正在監(jiān)聽服務(wù),否則認(rèn)為目標(biāo)端口并未開放。

-sF,TCPFN掃描:開放的端口會忽略這種數(shù)據(jù)包,關(guān)閉的端口會回應(yīng)RST數(shù)據(jù)包。許多防火墻只對SYN數(shù)據(jù)包進(jìn)行簡單過濾,而忽略了其他形式的TCP攻擊包.這種類型的掃描可間接檢測防火墻的健壯性。

-sU,UDP掃描:探測目標(biāo)主機(jī)提供哪些UDP服務(wù),UDP掃描的速度會比較慢。

-sP,ICVMP掃描:類似于ping檢測,快速判斷目標(biāo)主機(jī)是否存活,不做其他掃描。

-P0,跳過ping檢測:這種方式認(rèn)為所有的目標(biāo)主機(jī)是存活的,當(dāng)對方不響應(yīng)ICVMP請求時,使用這種方式可以避免因無法ping通而放棄掃描。

3.掃描操作示例

為了更好地說明nmap命令的用法,下面介紹幾個掃描操作的實(shí)際用例。

針對本機(jī)進(jìn)行掃描,檢查開放了哪些常用的TCP端口、UDP端口。

上圖中的命令都一樣。都是查看本機(jī)開發(fā)的端口

在掃描結(jié)果中,STATE列若為open則表示端口為開放狀態(tài),為filtered表示可能被防火墻過濾,為closed表示端口為關(guān)閉狀態(tài)。

檢查192.168.100.0/24網(wǎng)段中有哪些主機(jī)提供FTP服務(wù)。

快速檢測192.168.100.0/24網(wǎng)段中有哪些存活主機(jī)(能ping通)

檢測IP地址位于192.168.4.100~200的主機(jī)是否開啟文件共享服務(wù)。

實(shí)際上,NMAP提供的掃描類型、選項還有很多,適用于不同的掃描需求,本章僅介紹了其中一小部分常用的操作,更多用法還需要大家進(jìn)一步通過實(shí)踐去掌握。

七,實(shí)驗(yàn)案例

允許用戶radmin使用su命令進(jìn)行切換,其他用戶一律禁止切換身份。

1. 創(chuàng)建radmin,設(shè)置密碼為pwd@123

2.配置pam驗(yàn)證,支持wheel組使用su命令

3.配置主配置文件,支持wheel組使用su

授權(quán)用戶zhangsan管理所有員工的賬號,但禁止其修改root用戶的信息。

1.打開sudo主配置文件,編輯支持管理所有員工賬號

測試張三是否擁有管理所有員工賬號的權(quán)限

授權(quán)用戶lisi能夠執(zhí)行/sbin、/usr/sbin目錄下的所有特權(quán)命令,不需要密碼驗(yàn)證。

1.打開sudo主配置文件,配置不需要密碼驗(yàn)證

測試lisi是否需要密碼驗(yàn)證:

所有的su,sudo操作,必須在系統(tǒng)日志文件中進(jìn)行記錄。

1.使用su命令切換用戶的操作將會記錄到安全日志/var/log/secure文件中,所以不需要配置

2.打開sudo主配置文件

禁止使用Ctrl+Alt+Del快捷鍵,禁止root 用戶從tty5.tty6登錄,為GRUB引導(dǎo)菜單設(shè)置密碼。

1.禁止使用快捷鍵

測試是否禁用成功:

2.禁止用戶從tty5,tty6終端登錄

3.為grub引導(dǎo)菜單設(shè)置密碼

測試grub菜單密碼:

系統(tǒng)安全知識

結(jié)論:安全是個系統(tǒng)行為,不是某個點(diǎn)或某個面。

概述:SIL中文為安全完整性等級,實(shí)際分為四個等級,SIL1-SIL4演藝行業(yè)針對機(jī)械設(shè)備提出的需要滿足SIL3標(biāo)準(zhǔn)的需求,基本上都是基于多數(shù)情況下的風(fēng)險分析得出的經(jīng)驗(yàn)結(jié)論。實(shí)際對于某些懸掛類系統(tǒng),并不一定需要嚴(yán)格滿足SIL3,比如吊掛音響、道具等的固定卷揚(yáng)設(shè)備,按風(fēng)險分析的方法可確定此類設(shè)備并不一定需要達(dá)到SIL3。可對應(yīng)參照ISO13849和IEC62061等標(biāo)準(zhǔn)。

安全功能:安全功能是SIL安全標(biāo)準(zhǔn)中最基礎(chǔ)的一環(huán),安全功能是否完整,影響整個系統(tǒng)的安全性。演藝設(shè)備中的安全功能一般需要包含如下幾種:急停處理功能、安全使能開關(guān)(或操作用的激活開關(guān))斷開、位置偏差、速度偏差、安全同步丟失、超速、超載、欠載(可選)、負(fù)載監(jiān)控(可選)、松繩、超程等,針對臺下類設(shè)備還有安全門和剪切開關(guān)等。一般在系統(tǒng)設(shè)計中,都需要對上述安全功能實(shí)現(xiàn)進(jìn)行處理和描述。比如在超程的情況下為了保證系統(tǒng)的安全性能足夠,通常就需要增加超程開關(guān),并經(jīng)過已驗(yàn)證的安全型可編程控制器(或經(jīng)安全驗(yàn)證的軸控制器)對輸入信號采集分析,并輸出對應(yīng)的安全信號。

典型急停安全功能處理:急停鏈路的處理可采用的方式有多種。1. 采用帶有延時功能的安全繼電器,該實(shí)現(xiàn)方式相對常見。將急停信號輸入到安全繼電器,安全繼電器輸出兩種信號,一種輸出指向變頻器的緊急停車端子,實(shí)現(xiàn)1類急停,另一路信號輸出到設(shè)備的上端接觸器或者變頻器的STO端子,實(shí)現(xiàn)0類急停,兩路信號輸出帶有延時功能。2. 采用安全型控制器,比如安全型PLC或者經(jīng)驗(yàn)證的軸控制器,將急停信號輸入到控制器的安全輸入點(diǎn),并將安全型輸出點(diǎn)輸出到每個變頻器的STO端子或者急停端子。相比方式1,方式2的實(shí)現(xiàn)更加靈活,該種方式不光可處理急停類信號,還可以處理其他安全輸入信號,比如超程、松繩等。

能否用PLC搭建出足夠安全的系統(tǒng)?

用安全型PLC可以實(shí)現(xiàn)多數(shù)基本的安全功能,特別是針對單機(jī)設(shè)備,一般都能滿足,比如各種安全信號的采集和處理,如超程、松繩、亂繩、急停、熱保、維修等開關(guān)量信號,都可以針對該類信號進(jìn)行安全的處理。但是對于有些安全功能,如速度比較、位置比較等安全功能,有些安全型PLC能滿足,有些則無法滿足,原因主要還是和當(dāng)前市面常見的安全型PLC所認(rèn)證的安全功能相對有限有關(guān)。

現(xiàn)象和結(jié)論:對于安全系統(tǒng)的搭建,經(jīng)過認(rèn)證的軸控制器要明顯占優(yōu),軸控制器可根據(jù)需要配置對應(yīng)的安全輸入和安全輸出功能,并能在系統(tǒng)中完成對于雙編碼器信號的采集,從而完成某些安全型PLC不易完成的針對速度、位置偏差等安全功能。

電腦系統(tǒng)安全設(shè)置具體方法

平時在使用電腦的時候,我們都都害怕電腦被木馬病毒光臨。那么,電腦如何設(shè)置系統(tǒng)安裝呢?其實(shí)操作方法并不復(fù)雜,不信就隨筆者一起往下看,看看我整理的這個系統(tǒng)安全設(shè)置教程吧,希望對你能有所幫助哦。

電腦系統(tǒng)安全設(shè)置具體方法:

1,首先,右鍵點(diǎn)擊“此電腦”,菜單欄選擇“屬性”。

2,進(jìn)入屬性界面后,我們點(diǎn)擊界面上方的“控制面板”進(jìn)入下一步。

3,選擇“系統(tǒng)和安全”進(jìn)入下一步。

4,如果需要設(shè)置某些應(yīng)用可以通過防火墻的話,我們可以在應(yīng)用通過防火墻中進(jìn)行設(shè)置。

5,當(dāng)然也可以對“Wndours Dfender防火墻”其他屬性進(jìn)行設(shè)置。

關(guān)于電腦系統(tǒng)安全設(shè)置的操作方法介紹到此就介紹了。


電腦系統(tǒng)安全基礎(chǔ)知識大全相關(guān)文章:

電腦知識大全菜鳥必備

【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識點(diǎn)匯總

學(xué)習(xí)電腦知識

信息安全技術(shù)基礎(chǔ)知識及考試題

電腦入門操作大全

計算機(jī)常識及技巧大全

【網(wǎng)絡(luò)安全】:學(xué)習(xí)網(wǎng)絡(luò)安全需要哪些基礎(chǔ)知識?

學(xué)習(xí)啦在線學(xué)習(xí)網(wǎng)

局域網(wǎng)安全知識大全

電腦技術(shù)大全

733808