一、Windows系统安全
1、常用命令
查看系统版本 ver
查看主机名hostname
查看用户net user
查看开放端口netstat -ano
打开注册表regedit
打开事件查看器eventvwr.msc
打开系统服务services.msc
打开组策略编辑器gpedit.msc
打开本地安全策略secpol.msc
打开本地用户和组lusrmgr.msc
账号相关命令net user:
1)查看账户详细信息:net user 账号名(隐藏账号后面加$)
2)创建(空密码)[删除]账号:net user 名 /add[del]
3)创建普通账户,密码为123:net user 名 123 /add
4)把账户加入[退出]管理员组:net localgroup administrators 名 /add[del]
5)启用[停用]账户:net user 名 /active:yes[no]
6)新建[删除]组:net localgroup 组名 /add[del]
开启和关闭服务net start/stop servername
通过进程ID找到端口对应的服务(任务管理器)
二、查找系统后门的一些软件
1、启动条目查找系统后门:autoruns
2、按行为查找后门:filemon、regmon
3、按隐藏技术查找后门:icesword
三、发现系统异常
1、系统启动:系统日志记录、系统运行时间、网络连接时间
2、系统资源:进程占用大量CPU时间、进程消耗大量物理内存、磁盘空间减少
3、网络流量异常:发送或接收大量SYN数据包、发送或接收大量ICMP数据包、其他流量(如BT协议流量,FTP协议流量)
四、Linux安全
/bin目录放置单人维护模式下还能够被操作的指令;
/boot目录开机会使用到的文件;
/dev存放装置与接口设备的文件;
/etc系统主要的配置文件放置在此目录,例如账号密码文件、各种服务的启始档等;
/lib放置在开机时会用到的函式库;
/opt给第三方协力软件放置的目录;
/sbin放置开机过程中所需要的,包括开机、修复、还原系统所需指令;
/tmp让一般使用者或是正在执行的程序暂时放置文件的地方
shadow文件中 MD5、HASH算法:
三部分组成:$id(加密算法)$salt(随机数)$encrypted(加密密文)
id值$1指的加密算法:1时指的采用MD5加密;5时指的采用SHA256加密;6时指的采用SHA512加密;
salt值:是某个固定长度的随机字符串,每次修改passwd之后随机生成该字符串;
密文是通过加密算法计算出来的。
查看端口开放情况:netstat -pan命令查看当前开放的端口、lsof -i显示进程和端口对应关系。(通过PID)
chkconfig --list查看服务启动信息(各服务的启动脚本存放在/etc/init.d和/etc/xinetd.d目录下)