系統(tǒng)安全管理包括身份鑒別、訪問控制、可靠性與可用性、系統(tǒng)監(jiān)控、日志審計(jì)、管理員行為審計(jì)、系統(tǒng)安全評(píng)估與加固、數(shù)據(jù)備份、系統(tǒng)安全應(yīng)急九個(gè)部分的內(nèi)容。下面就讓小編帶你去看看關(guān)于系統(tǒng)安全的基礎(chǔ)知識(shí)吧，希望能幫助到大家!

系統(tǒng)安全及應(yīng)用

理論講解

用戶賬號(hào)是計(jì)算機(jī)使用者的身份憑證或標(biāo)識(shí)，每個(gè)要訪問系統(tǒng)資源的人，必須憑借其用戶賬號(hào)才能進(jìn)入計(jì)算機(jī)。在Linu__系統(tǒng)中，提供了多種機(jī)制來確保用戶賬號(hào)的正當(dāng)、安全使用。

一，基本安全措施

1.系統(tǒng)賬號(hào)清理

在Linu__系統(tǒng)中.除了用戶手動(dòng)創(chuàng)建的各種賬號(hào)之外，還包括隨系統(tǒng)或程序安裝過程而生成的其他大量賬號(hào)。除了超級(jí)用戶root之外，其他大量賬號(hào)只是用來維護(hù)系統(tǒng)運(yùn)作，啟動(dòng)或保持服務(wù)進(jìn)程，一般是不允許登錄的，因此也稱為非登錄用戶賬號(hào)。

常見的非登錄用戶賬號(hào)包括bin，daemon.adm、lp、mail等。為了確保系統(tǒng)安全，這些用戶賬號(hào)的登錄Shell 通常是/sbin/nologin，表示禁止終端登錄，應(yīng)確保不被人為改動(dòng)，如下所示：

各種非登錄用戶賬號(hào)中，還有相當(dāng)一部分是很少用到的，如games。這些用戶賬號(hào)可以視為冗余賬號(hào)，直接刪除即可。除此之外，還有一些隨應(yīng)用程序安裝的用戶賬號(hào)，若卸載程序以后未能自動(dòng)刪除，則需要管理員手動(dòng)進(jìn)行清理。

對(duì)于Linu__服務(wù)器中長(zhǎng)期不用的用戶賬號(hào)，若無法確定是否應(yīng)該刪除，可以暫時(shí)將其鎖定。例如，若要鎖定、解鎖名為bob的用戶賬號(hào)，可以執(zhí)行以下操作(passwd.usermod命令都可用來鎖定、解鎖賬號(hào))。

如果服務(wù)器中的用戶賬號(hào)已經(jīng)固定，不再進(jìn)行更改，還可以采取鎖定賬號(hào)配置文件的方法。使用chattr命令，分別結(jié)合“+i” “-i“選項(xiàng)來鎖定、解鎖文件，使用lsattr命令可以查看文件鎖定情況。

在賬號(hào)文件被鎖定的情況下，其內(nèi)容將不允許變更，因此無法添加、刪除賬號(hào)，也不能更改用戶的密碼、登錄Shell、宿主目錄等屬性信息。

例如在鎖定文件之后創(chuàng)建張三用戶，就會(huì)顯示創(chuàng)建失敗。如下圖：

2.密碼安全控制

在不安全的網(wǎng)絡(luò)環(huán)境中，為了降低密碼被猜出的風(fēng)險(xiǎn)，用戶應(yīng)養(yǎng)成定期更改密碼的習(xí)慣，避免長(zhǎng)期使用同一個(gè)密碼。管理員可以在服務(wù)器端限制用戶密碼的最大有效天數(shù)，對(duì)于密碼已過期的用戶，登錄時(shí)將被要求重新設(shè)置密碼，否則將拒絕登錄。

執(zhí)行以下操作可將密碼的有效期設(shè)為30天(chage命令用于設(shè)置密碼時(shí)限)。

在某些特殊情況下，如要求批量創(chuàng)建的用戶初次登錄時(shí)必須自設(shè)密碼，根據(jù)安全規(guī)劃統(tǒng)一要求所有用戶更新密碼等，可以由管理員執(zhí)行強(qiáng)制策略，以便用戶在下次登錄時(shí)必須更改密碼。例如執(zhí)行以下操作可強(qiáng)制要求用戶Bob下次登錄時(shí)重設(shè)密碼。

3.命令歷史、自動(dòng)注銷

Shell 環(huán)境的命令歷史機(jī)制為用戶提供了極大的便利，但另一方面也給用戶帶來了潛在的風(fēng)險(xiǎn)。

只要獲得用戶的命令歷史文件，該用戶的命令操作過程將會(huì)一覽無余，如果曾經(jīng)在命令行輸入明文的密碼，則無意之中服務(wù)器的安全壁壘又多了一個(gè)缺口。

Bash終端環(huán)境中，歷史命令的記錄條數(shù)由變量HISTSIZE控制，默認(rèn)為1000條。通過修改

/etc/profile 文件中的HISTSIZE變量值，可以影響系統(tǒng)中的所有用戶。例如，可以設(shè)置最多只記錄200條歷史命令。

需要注意的是，當(dāng)正在執(zhí)行程序代碼編譯、修改系統(tǒng)配置等耗時(shí)較長(zhǎng)的操作時(shí)，應(yīng)避免設(shè)置TMOUT變量。必要時(shí)可以執(zhí)行“unset TMOUT”命令取消TMOUT變量設(shè)置。

除此之外，還可以修改用戶宿主目錄中的~/.bash_logout文件，添加清空歷史命令的操作語句。

這樣，當(dāng)用戶退出已登錄Bash環(huán)境以后，所記錄的歷史命令將自動(dòng)清空。

二，用戶切換與提權(quán)

大多數(shù)Linu__服務(wù)器并不建議用戶直接以root用戶進(jìn)行登錄。一方面可以大大減少因誤操作而導(dǎo)致的破壞，另一方面也降低了特權(quán)密碼在不安全的網(wǎng)絡(luò)中被泄露的風(fēng)險(xiǎn)。鑒于這些原因，需要為普通用戶提供一種身份切換或權(quán)限提升機(jī)制，以便在必要的時(shí)候執(zhí)行管理任務(wù)。

Linu__系統(tǒng)為我們提供了su、sudo兩種命令，其中su命令主要用來切換用戶，而sudo命令用來提升執(zhí)行權(quán)限，下面分別進(jìn)行介紹。

1.su命令——切換用戶

使用su命令，可以切換為指定的另一個(gè)用戶，從而具有該用戶的所有權(quán)限。當(dāng)然，切換時(shí)需要對(duì)目標(biāo)用戶的密碼進(jìn)行驗(yàn)證(從root用戶切換為其他用戶時(shí)除外)。例如，當(dāng)前登錄的用戶為bob

若要切換為root用戶，可以執(zhí)行以下操作:

上述命令操作中，選項(xiàng)“-”等同于“--login”或“-l”，表示切換用戶后進(jìn)入目標(biāo)用戶的登錄Shell環(huán)境，若缺少此選項(xiàng)則僅切換身份、不切換用戶環(huán)境。對(duì)于切換為root用戶的情況，“root”可 以省略。

默認(rèn)情況下，任何用戶都允許使用su命令，從而有機(jī)會(huì)反復(fù)嘗試其他用戶(如root)的登錄密碼，這樣帶來了安全風(fēng)險(xiǎn)。為了加強(qiáng)su命令的使用控制，可以借助于pam_wheel認(rèn)證模塊，只允許極個(gè)別用戶使用su命令進(jìn)行切換。實(shí)現(xiàn)過程如下：將授權(quán)使用su命令的用戶添加到wheel組，修改

/etc/pam.d/su 認(rèn)證配置以啟用pam_wheel認(rèn)證。

修改配置文件支持允許wheel組使用su

將bob用戶加入到wheel組中

查看wheel組中是否擁有bob用戶

啟用pam_wheel認(rèn)證以后，未加入到wheel組內(nèi)的其他用戶將無法使用su命令，嘗試進(jìn)行切換時(shí)將提示“拒絕權(quán)限”，從而將切換用戶的權(quán)限控制在最小范圍內(nèi)。

如圖所示：

上圖切換失敗，拒絕權(quán)限的原因就是我們沒有把用戶張三加入到wheel組中，所以拒絕張三用戶使用su命令。

使用su命令切換用戶的操作將會(huì)記錄到安全日志/var/log/secure文件中，可以根據(jù)需要進(jìn)行查看。

2.sudo命令——提升執(zhí)行權(quán)限

通過su命令可以非常方便地切換為另一個(gè)用戶，但前提條件是必須知道目標(biāo)用戶的登錄密碼。

例如，若要從Bob用戶切換為root用戶，必須知道root用戶的密碼。對(duì)于生產(chǎn)環(huán)境中的Linu__服務(wù)器，每多一個(gè)人知道特權(quán)密碼，其安全風(fēng)險(xiǎn)也就增加一分。

那么，有沒有一種折中的辦法，既可以讓普通用戶擁有一部分管理權(quán)限，又不需要將root用戶的密碼告訴他呢?答案是肯定的，使用sudo命令就可以提升執(zhí)行權(quán)限。不過，需要由管理員預(yù)先進(jìn)行授權(quán)，指定允許哪些用戶以超級(jí)用戶(或其他普通用戶)的身份來執(zhí)行哪些命令。

1)在配置文件/etc/sudoers中添加授權(quán)

sudo機(jī)制的配置文件為/etc/sudoers，文件的默認(rèn)權(quán)限為440，保存時(shí)必須執(zhí)行：wq!”命令來強(qiáng)制操作，否則系統(tǒng)將提示為只讀文件而拒絕保存。

配置文件/etc/sudoers中，授權(quán)記錄的基本配置格式如下所示:

user MACHINE=COMMANDS

授權(quán)配置主要包括用戶、主機(jī)、命令三個(gè)部分，即授權(quán)哪些人在哪些主機(jī)上執(zhí)行哪些命令。

各部分的具體含義如下。

用戶(user)：直接授權(quán)指定的用戶名，或采用“%組名”的形式(授權(quán)一個(gè)組的所有用戶)。

主機(jī)(MACHINE)：使用此配置文件的主機(jī)名稱。此部分主要是方便在多個(gè)主機(jī)間共用同一份sudoers文件，一般設(shè)為localhost或者實(shí)際的主機(jī)名即可。

命令(COMMANDS)：允許授權(quán)的用戶通過sudo方式執(zhí)行的特權(quán)命令，需填寫命令程序的完整路徑，多個(gè)命令之間以逗號(hào)”，”進(jìn)行分隔。

典型的sudo配置記錄中，每行對(duì)應(yīng)一個(gè)用戶或組的sudo授權(quán)配置。例如，若要授權(quán)用戶bob能夠執(zhí)行reboot來重啟虛擬機(jī)，而wheel組的用戶無需驗(yàn)證密碼即可執(zhí)行任何命令，可以執(zhí)行以下操作：

因?yàn)槭侵蛔x文件，所以必須wq! 強(qiáng)制保存退出

sudo配置記錄的命令部分允許使用通配符“__”、取反符號(hào)“!”，當(dāng)需要授權(quán)某個(gè)目錄下的所有命令或取消其中個(gè)別命令時(shí)特別有用。例如，若要授權(quán)用戶syrianer 可以執(zhí)行/sbin/目錄下除ifconfig以外的其他所有命令程序，可以執(zhí)行以下操作

默認(rèn)情況下，通過sudo方式執(zhí)行的操作并不記錄。若要啟用sudo日志記錄以備管理員查看，應(yīng)在/etc/sudoers 文件中增加“Defaults logfile”設(shè)置。

2)通過sudo執(zhí)行特權(quán)命令

對(duì)于已獲得授權(quán)的用戶，通過sudo方式執(zhí)行特權(quán)命令時(shí)，只需要將正常的命令行作為sudo命令的參數(shù)即可。由于特權(quán)命令程序通常位于/sbin、/usr/sbin等目錄下，普通用戶執(zhí)行時(shí)應(yīng)使用絕對(duì)路徑。以下操作驗(yàn)證了使用sudo方式執(zhí)行命令的過程。

若要查看用戶自己獲得哪些sudo授權(quán)，可以執(zhí)行“sudo-l”命令。未授權(quán)的用戶將會(huì)得到“may not run sudo”的提示，已授權(quán)的用戶則可以看到自己的sudo配置。

如果已經(jīng)啟用sudo日志，則可以從/var/log/sudo文件中看到用戶的sudo操作記錄。

三，系統(tǒng)引導(dǎo)和登錄控制

在互聯(lián)網(wǎng)環(huán)境中，大部分服務(wù)器是通過遠(yuǎn)程登錄的方式來進(jìn)行管理的，而本地引導(dǎo)和終端登錄過程往往容易被忽視，從而留下安全隱患。特別是當(dāng)服務(wù)器所在的機(jī)房環(huán)境缺乏嚴(yán)格、安全的管控制度時(shí)，如何防止其他用戶的非授權(quán)介入就成為必須重視的問題。

開關(guān)機(jī)安全控制

對(duì)于服務(wù)器主機(jī)，其物理環(huán)境的安全防護(hù)是非常重要的，不僅要保持機(jī)箱完好、機(jī)柜鎖閉，還要嚴(yán)格控制機(jī)房的人員進(jìn)出、硬件設(shè)備的現(xiàn)場(chǎng)接觸等過程。在開關(guān)機(jī)安全控制方面，除了要做好物理安全防護(hù)以外，還要做好系統(tǒng)本身的一些安全措施。

1.調(diào)整BIOS引導(dǎo)設(shè)置

(1)將第一優(yōu)先引導(dǎo)設(shè)備(First Boot Device)設(shè)為當(dāng)前系統(tǒng)所在磁盤。

(2)禁止從其他設(shè)備(如光盤、U盤、網(wǎng)絡(luò)等)引導(dǎo)系統(tǒng)，對(duì)應(yīng)的項(xiàng)設(shè)為“Disabled"。

(3)將BlOS的安全級(jí)別改為“setup”，并設(shè)置好管理密碼，以防止未授權(quán)的修改。

2.禁止Ctrl+Alt+Del快捷鍵重啟

快捷鍵重啟功能為服務(wù)器的本地維護(hù)提供了方便，但對(duì)于多終端登錄的Linu__服務(wù)器，禁用此功能是比較安全的選擇。在CentOS7中，執(zhí)行cat/etc/inittab命令可以得知Ctrl+Alt+Del快捷鍵功能由/usr/lib/systemd/system/ctrl-alt-del.target 文件進(jìn)行設(shè)置。查看/usr/lib/systemd/system/ctrl-alt-del.target 文件發(fā)現(xiàn)，ctrl-alt-del.target是reboot.target文件的軟鏈接文件。

在不影響reboot.target文件的前提下執(zhí)行以下命令即可禁用Ctrl+Alt+Del快捷鍵功能。

systemctl mask命令是用于注銷指定服務(wù)的，例如systemctl mask cpu.service 命令用于注銷cpu服務(wù)，取消注銷則使用systemctl umask命令。因此若想重新開啟Ctrl+AIt+Del快捷鍵功能，只需執(zhí)行systemctl unmask ctrl-alt-del.targct命令，然后刷新配置即可。

3.限制更改GRUB引導(dǎo)參數(shù)

在之前的課程中介紹過通過修改GRUB引導(dǎo)參數(shù)，對(duì)一些系統(tǒng)問題進(jìn)行修復(fù)。從系統(tǒng)安全的角度來看，如果任何人都能夠修改GRUB引導(dǎo)參數(shù)，對(duì)服務(wù)器本身顯然是一個(gè)極大的威脅。為了加強(qiáng)對(duì)引導(dǎo)過程的安全控制，可以為GRUB菜單設(shè)置一個(gè)密碼，只有提供正確的密碼才被允許修改引導(dǎo)參數(shù)。

為GRUB菜單設(shè)置的密碼建議采用grub2-mlkpasswd-pbkdf2命令生成，表現(xiàn)為經(jīng)過PBKDF2算法加密的字符串，安全性更好。生成密碼后在/etc/grub.d/00_header配置文件中，添加對(duì)應(yīng)的用戶密碼等配置，具體添加內(nèi)容如下所示。

通過上述配置，重新開機(jī)進(jìn)入GRUB菜單時(shí)，按E鍵將無法修改引導(dǎo)參數(shù)。若要獲得編輯權(quán)限，必須根據(jù)提示輸入正確的GRUB密碼，如圖所示：

為GRUB設(shè)置密碼時(shí)，“grub.pbkdf2.sha512…”部分可替換為明文的密碼字符串，如“123456”，但安全性稍差。不建議使用明文的密碼字符串。

四，終端及登錄控制

在Linu__服務(wù)器中，默認(rèn)開啟了六個(gè)tty終端，允許任何用戶進(jìn)行本地登錄。關(guān)于本地登錄的安全控制，可以從以下幾個(gè)方面著手。

1.禁止root用戶登錄

在Linu__系統(tǒng)中，login 程序會(huì)讀取/etc/securety文件，以決定允許root用戶從哪些終端(安全終端)登錄系統(tǒng)。若要禁止root用戶從指定的終端登錄，只需從該文件中刪除或者注釋掉對(duì)應(yīng)的行即可。例如，若要禁止root用戶從ty5.tty6登錄，可以修改/etc/securetty文件，將tty5.ty6行注釋掉。

2.禁止普通用戶登錄

當(dāng)服務(wù)器正在進(jìn)行備份或調(diào)試等維護(hù)工作時(shí)?？赡懿幌Ｍ儆行碌挠脩舻卿浵到y(tǒng)。這時(shí)候，只需要簡(jiǎn)單地建立/etc/nologin文件即可。login 程序會(huì)檢查/etc/nologin文件是否存在，如果存在，則拒絕普通用戶登錄系統(tǒng)(root用戶不受限制)。

此方法實(shí)際上是利用了shutdown延遲關(guān)機(jī)的限制機(jī)制，只建議在服務(wù)器維護(hù)期間臨時(shí)使用。當(dāng)手動(dòng)刪除/etc/nologin文件或者重新啟動(dòng)主機(jī)以后，即可恢復(fù)正常。

五，弱口令檢測(cè)、端口掃描

本節(jié)將學(xué)習(xí)使用兩個(gè)安全工具—ohn the Ripper和NMAP，前者用來檢測(cè)系統(tǒng)賬號(hào)的密碼強(qiáng)度。后者用來執(zhí)行端口掃描任務(wù)。

弱口令檢測(cè)

John the Ripper在nternet環(huán)境中，過于簡(jiǎn)單的口令是服務(wù)器面臨的最大風(fēng)險(xiǎn)。盡管大家都知道設(shè)置一個(gè)更長(zhǎng)，更復(fù)雜的口令會(huì)更加安全，但總是會(huì)有一些用戶因貪圖方便而采用簡(jiǎn)單、易記的口令字串。對(duì)于任何一個(gè)承擔(dān)著安全責(zé)任的管理員，及時(shí)找出這些弱口令賬號(hào)是非常必要的，這樣便于采取進(jìn)一步的安全措施(如提醒用戶重設(shè)更安全的口令)。

1.下載并安裝John the Ripper

John the Ripper 的官方網(wǎng)站是http://www.openwall.com/john/，通過該網(wǎng)站可以獲取穩(wěn)定版源碼包，如john-1.8.0.tar.gz。

以源碼包john-18.0，tar.gz為例，解壓后可看到三個(gè)子目錄——doc、run.src，分別表示手冊(cè)文檔、運(yùn)行程序、源碼文件，除此之外還有一個(gè)鏈接的說明文件READE。其中，doc目錄下包括READVME、INSTALL.E__AMPLES等多個(gè)文檔，提供了較全面的使用指導(dǎo)。

切換到src子目錄并執(zhí)行“make clean linu__-__86-64”命令，即可執(zhí)行編譯過程。若單獨(dú)執(zhí)行make命令，將列出可用的編譯操作、支持的系統(tǒng)類型。編譯完成以后，run子目錄下會(huì)生成一個(gè)名為john的可執(zhí)行程序。

2.檢測(cè)弱口令賬號(hào)

在安裝有John the Ripper的服務(wù)器中，可以直接對(duì)/etc/shadow文件進(jìn)行檢測(cè)。對(duì)于其他Linu__服務(wù)器，可以對(duì)shadow文件進(jìn)行復(fù)制，并傳遞給john程序進(jìn)行檢測(cè)。只需執(zhí)行run目錄下的john程序，將待檢測(cè)的shadow文件作為命令行參數(shù)，就可以開始弱口令分析了。

在執(zhí)行過程中，分析出來的弱口令賬號(hào)將即時(shí)輸出，第一列為密碼字串，第二列的括號(hào)內(nèi)為相應(yīng)的用戶名(如用戶bob的密碼為“pwd@123”)。默認(rèn)情況下，john將針對(duì)常見的弱口令設(shè)置特點(diǎn)。

3.使用密碼字典文件

John the Ripper 默認(rèn)提供的字典文件為password.lst，其列出了3000多個(gè)常見的弱口令。如果有必要，用戶可以在字典文件中添加更多的密碼組合，也可以直接使用更加完整的其他字典文件。執(zhí)行john程序時(shí)，可以結(jié)合“--wordlist=”選項(xiàng)來指定字典文件的位置，以便對(duì)指定的密碼文件進(jìn)行暴力分析。

也不難看出，像“123456iloveyou”之類的密碼有多脆弱了。

六,網(wǎng)絡(luò)掃描——NMAP

NMAP是一個(gè)強(qiáng)大的端口掃描類安全評(píng)測(cè)工具，官方站點(diǎn)是http://nmap.org/。NMAP被設(shè)計(jì)為檢測(cè)眾多主機(jī)數(shù)量的巨大網(wǎng)絡(luò)，支持ping 掃描、多端口檢測(cè)、OS識(shí)別等多種技術(shù)。使用NMAP定期掃描內(nèi)部網(wǎng)絡(luò)，可以找出網(wǎng)絡(luò)中不可控的應(yīng)用服務(wù)，及時(shí)關(guān)閉不安全的服務(wù)，減小安全風(fēng)險(xiǎn)。

1.安裝NMAP軟件包

在CentOS7系統(tǒng)中，既可以使用光盤自帶的nmap.__86_64 2:6.40-7.el7安裝包，也可以使用從NMAP官方網(wǎng)站下載的最新版源碼包，這里以YUM方式安裝的nmap軟件包為例。

2.掃描語法及類型

NMAP的掃描程序位于/usr/bin/namp目錄下，使用時(shí)基本命令格式如下所示。

nmap [掃描類型] [選項(xiàng)] <掃描目標(biāo)..>

其中，掃描目標(biāo)可以是主機(jī)名、IP地址或網(wǎng)絡(luò)地址等，多個(gè)目標(biāo)以空格分隔;常用的選項(xiàng)有“-p”“-n"，分別用來指定掃描的端口、禁用反向DNS解析(以加快掃描速度);掃描類型決定著檢測(cè)的方式，也直接影響掃描的結(jié)果。比較常用的幾種掃描類型如下:

-sS，TCP SYN掃描(半開掃描)：只向目標(biāo)發(fā)出SYN數(shù)據(jù)包，如果收到SYN/ACK響應(yīng)包就認(rèn)為目標(biāo)端口正在監(jiān)聽，并立即斷開連接;否則認(rèn)為目標(biāo)端口并未開放。

-sT，TCP連接掃描：這是完整的TCP掃描方式，用來建立一個(gè)TCP連接，如果成功則認(rèn)為目標(biāo)端口正在監(jiān)聽服務(wù)，否則認(rèn)為目標(biāo)端口并未開放。

-sF，TCPFN掃描：開放的端口會(huì)忽略這種數(shù)據(jù)包，關(guān)閉的端口會(huì)回應(yīng)RST數(shù)據(jù)包。許多防火墻只對(duì)SYN數(shù)據(jù)包進(jìn)行簡(jiǎn)單過濾，而忽略了其他形式的TCP攻擊包.這種類型的掃描可間接檢測(cè)防火墻的健壯性。

-sU，UDP掃描：探測(cè)目標(biāo)主機(jī)提供哪些UDP服務(wù)，UDP掃描的速度會(huì)比較慢。

-sP，ICVMP掃描：類似于ping檢測(cè)，快速判斷目標(biāo)主機(jī)是否存活，不做其他掃描。

-P0，跳過ping檢測(cè)：這種方式認(rèn)為所有的目標(biāo)主機(jī)是存活的，當(dāng)對(duì)方不響應(yīng)ICVMP請(qǐng)求時(shí)，使用這種方式可以避免因無法ping通而放棄掃描。

3.掃描操作示例

為了更好地說明nmap命令的用法，下面介紹幾個(gè)掃描操作的實(shí)際用例。

針對(duì)本機(jī)進(jìn)行掃描，檢查開放了哪些常用的TCP端口、UDP端口。

上圖中的命令都一樣。都是查看本機(jī)開發(fā)的端口

在掃描結(jié)果中，STATE列若為open則表示端口為開放狀態(tài)，為filtered表示可能被防火墻過濾，為closed表示端口為關(guān)閉狀態(tài)。

檢查192.168.100.0/24網(wǎng)段中有哪些主機(jī)提供FTP服務(wù)。

快速檢測(cè)192.168.100.0/24網(wǎng)段中有哪些存活主機(jī)(能ping通)

檢測(cè)IP地址位于192.168.4.100~200的主機(jī)是否開啟文件共享服務(wù)。

實(shí)際上，NMAP提供的掃描類型、選項(xiàng)還有很多，適用于不同的掃描需求，本章僅介紹了其中一小部分常用的操作，更多用法還需要大家進(jìn)一步通過實(shí)踐去掌握。

七，實(shí)驗(yàn)案例

允許用戶radmin使用su命令進(jìn)行切換，其他用戶一律禁止切換身份。

1. 創(chuàng)建radmin,設(shè)置密碼為pwd@123

2.配置pam驗(yàn)證，支持wheel組使用su命令

3.配置主配置文件，支持wheel組使用su

授權(quán)用戶zhangsan管理所有員工的賬號(hào)，但禁止其修改root用戶的信息。

1.打開sudo主配置文件，編輯支持管理所有員工賬號(hào)

測(cè)試張三是否擁有管理所有員工賬號(hào)的權(quán)限

授權(quán)用戶lisi能夠執(zhí)行/sbin、/usr/sbin目錄下的所有特權(quán)命令，不需要密碼驗(yàn)證。

1.打開sudo主配置文件，配置不需要密碼驗(yàn)證

測(cè)試lisi是否需要密碼驗(yàn)證：

所有的su，sudo操作，必須在系統(tǒng)日志文件中進(jìn)行記錄。

1.使用su命令切換用戶的操作將會(huì)記錄到安全日志/var/log/secure文件中，所以不需要配置

2.打開sudo主配置文件

禁止使用Ctrl+Alt+Del快捷鍵，禁止root 用戶從tty5.tty6登錄，為GRUB引導(dǎo)菜單設(shè)置密碼。

1.禁止使用快捷鍵

測(cè)試是否禁用成功：

2.禁止用戶從tty5,tty6終端登錄

3.為grub引導(dǎo)菜單設(shè)置密碼

測(cè)試grub菜單密碼：

至此，結(jié)束~

系統(tǒng)安全管理checklist

01.

身份鑒別

是否使用雙因素認(rèn)證來進(jìn)行身份鑒別?

賬號(hào)權(quán)限是否具有集中管理系統(tǒng)(如堡壘主機(jī)系統(tǒng))?

是否制定了賬號(hào)口令管理制度?

是否設(shè)置了口令復(fù)雜度策略?(三種組合、8位以上)

是否強(qiáng)制修改賬號(hào)的默認(rèn)口令?

是否定期更換口令?(每三個(gè)月)

是否采取了限制登錄失敗次數(shù)安全控制措施?

是否采取了連接超時(shí)等登錄安全控制措施?

是否采取了必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽?

02.

訪問控制

訪問權(quán)限是否按照權(quán)限分離、最小權(quán)限等原則設(shè)置?

賬號(hào)權(quán)限的開通、變更是否經(jīng)過審批?

是否對(duì)登陸系統(tǒng)訪問路徑進(jìn)行控?

是否修改或刪除了默認(rèn)帳戶?

特權(quán)用戶權(quán)限是否分離?

是否能夠做到賬號(hào)與使用人一一對(duì)應(yīng)?

賬號(hào)權(quán)限是否設(shè)置使用期限?

是否具有系統(tǒng)中所有賬號(hào)的臺(tái)賬清單?

是否定期對(duì)系統(tǒng)賬號(hào)進(jìn)行審查和及時(shí)清理無用帳戶?

(數(shù)據(jù)庫)數(shù)據(jù)關(guān)鍵字段是否支持保密性?

(數(shù)據(jù)庫)數(shù)據(jù)關(guān)鍵字段是否支持完整性?

(數(shù)據(jù)庫)對(duì)于數(shù)據(jù)導(dǎo)入導(dǎo)出操作，是否建立對(duì)應(yīng)的管理規(guī)定?

(數(shù)據(jù)庫)是否對(duì)敏感數(shù)據(jù)進(jìn)行脫敏管理，并建立正式管理規(guī)定?

03.

可靠性與可用性

是否集群提供高可用性?

重要服務(wù)器設(shè)備是否配備冷備或熱備?

重要服務(wù)器是否配備冗余電源?

主機(jī)服務(wù)器是否進(jìn)行時(shí)鐘同步?

04.

系統(tǒng)監(jiān)控

是否采用集中管理監(jiān)控與管理平臺(tái)?

是否對(duì)系統(tǒng)運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控?

是否對(duì)重要系統(tǒng)的重要指標(biāo)(如CPU、內(nèi)存、硬盤空間等)等指標(biāo)進(jìn)行監(jiān)控?

是否對(duì)重要系統(tǒng)的重要指標(biāo)(如線程、連接數(shù))等指標(biāo)進(jìn)行監(jiān)控?

是否對(duì)系統(tǒng)監(jiān)控各項(xiàng)指標(biāo)設(shè)置閾值?

系統(tǒng)監(jiān)控達(dá)到閾值是否能夠自動(dòng)報(bào)警?

是否定期(每月)對(duì)系統(tǒng)監(jiān)控狀況進(jìn)行總結(jié)分析?

是否對(duì)系統(tǒng)各項(xiàng)指標(biāo)進(jìn)行容量的管理與規(guī)劃?

05.

日志審計(jì)

系統(tǒng)是否開啟了日志功能?

是否部署了集中日志采集設(shè)備?

日志記錄是否包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功等內(nèi)容?

日志審計(jì)記錄能否生成報(bào)表?

日志審計(jì)記錄是否采取相應(yīng)的保護(hù)措施?

是否定期(每月)對(duì)日志審計(jì)狀況進(jìn)行總結(jié)分析?

06.

管理員行為審計(jì)

是否部署統(tǒng)一認(rèn)證、授權(quán)系統(tǒng)?

是否能夠統(tǒng)一記錄管理員權(quán)限操作行為?

是否能夠?qū)芾韱T行為進(jìn)行定期(每周、每月)審計(jì)?

07.

系統(tǒng)安全評(píng)估與加固

是否具備補(bǔ)丁管理制度及變更管理?

是否使用專業(yè)工具對(duì)系統(tǒng)進(jìn)行定期掃描?掃描工具?

是否根據(jù)掃描結(jié)果對(duì)發(fā)現(xiàn)的漏洞進(jìn)行加固?

是否定期的對(duì)系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)?

是否具備測(cè)試環(huán)境?加固前是否先進(jìn)行測(cè)試環(huán)境測(cè)試?

升級(jí)加固是否具備升級(jí)失敗回退機(jī)制與應(yīng)急計(jì)劃?

是否對(duì)數(shù)據(jù)庫進(jìn)行安全配置基線管理?

08.

數(shù)據(jù)備份

是否建立正式的備份管理制度(備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等)?

是否制定有明確的數(shù)據(jù)備份策略?(備份周期、備份方式等)

管理制度是否包含特定系統(tǒng)的業(yè)務(wù)中斷恢復(fù)時(shí)間要求?

重要的系統(tǒng)備份數(shù)據(jù)是否異地存放?

是否建立異地災(zāi)備中心?

備份介質(zhì)與備份記錄是否進(jìn)行了妥善的保管?

是否對(duì)備份數(shù)據(jù)進(jìn)行定期的恢復(fù)測(cè)試?

備份管理制度及備份恢復(fù)測(cè)試結(jié)果是否定期審查和根據(jù)實(shí)際情況更新內(nèi)容?

09.

系統(tǒng)安全應(yīng)急

是否建立了統(tǒng)一的應(yīng)急預(yù)案框架?

重要系統(tǒng)是否制定針對(duì)不同系統(tǒng)故障的應(yīng)急預(yù)案?

是否定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)?

是否定期對(duì)應(yīng)急預(yù)案進(jìn)行演練?

應(yīng)急預(yù)案是否需定期審查和根據(jù)實(shí)際情況更新內(nèi)容?

電腦系統(tǒng)安全設(shè)置具體方法

系統(tǒng)安全設(shè)置具體方法：

1，首先，右鍵點(diǎn)擊“此電腦”，菜單欄選擇“屬性”。

2，進(jìn)入屬性界面后，我們點(diǎn)擊界面上方的“控制面板”進(jìn)入下一步。

3，選擇“系統(tǒng)和安全”進(jìn)入下一步。

4，如果需要設(shè)置某些應(yīng)用可以通過防火墻的話，我們可以在應(yīng)用通過防火墻中進(jìn)行設(shè)置。

5，當(dāng)然也可以對(duì)“Wndours Dfender防火墻”其他屬性進(jìn)行設(shè)置。

關(guān)于電腦系統(tǒng)安全設(shè)置的操作方法介紹到此就介紹了。

系統(tǒng)安全基礎(chǔ)知識(shí)大全相關(guān)文章：

★ 電腦系統(tǒng)安全基礎(chǔ)知識(shí)大全有哪些

★ 【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)點(diǎn)匯總

★ 各類安全知識(shí)大全

★ 安全生產(chǎn)基本知識(shí)有哪些?

★ 安全生產(chǎn)知識(shí)點(diǎn)大全五篇

★ Win10系統(tǒng)的基礎(chǔ)知識(shí)大全有哪些

★ 【網(wǎng)絡(luò)安全】:學(xué)習(xí)網(wǎng)絡(luò)安全需要哪些基礎(chǔ)知識(shí)?

★ 安全生產(chǎn)小知識(shí)大全三篇

★ 操作系統(tǒng)基礎(chǔ)知識(shí)

★ 電腦安全設(shè)置及防護(hù)