【CISP笔记】操作系统安全

账号安全设置

默认管理账号Administrator更名，设置密码（字母、数字、大小写字母、特殊字符，长度在8位以上）。

本地安全策略

打开方式

win+R 输入ecpol.msc

账号锁定策略

用户权限分配

关闭自动播放功能

自动播放功能的危害，插入U盘时自动执行病毒文件，则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器

账户权限控制-设置唤醒密码

控制面板-》电源选项-》唤醒时需要密码

网络访问控制-防火墙设置

确保启用Windows自带防火墙

共享安全防护-关闭管理共享

Linux系统安全

Linux系统标识与鉴别-帐号信息存储
信息存储
用户信息：
/etc/passwd

格式：name:coded-passwd（X或*表示不可登陆）:UID:GID:userinfo:homedirectory:shell
/etc/shadow

格式：name:passwd:lastchg:min:max:warn:inactive:expire:flag
组信息
/etc/group
/etc/gshadow

Linux系统文件访问控制-权限模式

账号和口令安全——口令安全策略

设置账户锁定登录失败锁定次数、锁定时间
修改账户超时值，设置自动注销时间

口令修改策略
强制口令使用有效期
设置口令修改提醒
设置账户锁定登录失败锁定次数、锁定时间

vi /etc/login.defs
PASS_MAX_DAYS    90
PASS_MIN_DAYS    7
PASS_MIN_LEN     6
PASS_WARN_AGE    28

Linux设置——系统服务配置
禁止危险的网络服务
telnet、FTP
echo、chargen、shell、finger、NFS、RPC等
关闭非必需的网络服务
talk、ntalk等

关闭邮件服务：chkconfig --level 12345 sendmail off
关闭图形登录服务：编辑/etc/inittab文件，修改为id:3:initdefault:
关闭X font服务：chkconfig xfs off

Linux设置——远程登录安全
禁用telnet,使用SSH进行管理
限制能够登录本机的IP地址
禁止root用户远程登陆
限定信任主机
修改banner信息

远程登录安全——使用SSH/限制登录IP

禁用telnet,使用SSH进行管理
开启ssh服务：#service sshd start
限制能够登录本机的IP地址
#vi /etc/ssh/sshd_config
添加（或修改）：
AllowUsers xyz@192.168.1.23
允许用户xyz通过地址192.168.1.23来登录本机
AllowUsers *@192.168.*.*
仅允许192.168.0.0/16网段所有用户通过ssh访问。

远程登录安全——禁止root/限定信任主机

禁止root用户远程登陆
#cat /etc/ssh/sshd_config
确保PermitRootLogin为no
限定信任主机
#cat /etc/hosts.equiv
#cat /$HOME/.rhosts
查看上述两个文件中的主机，删除其中不必要的主机，防止存在多余的信任主机
或直接关闭所有R系列远程服务
rlogin
rsh
rexec

远程登录安全——修改banner信息
系统banner信息
一般会给出操作系统名称、版本号、主机名称等
修改banner信息
查看修改sshd_config
#vi /etc/ssh/sshd_config
如存在，则将banner字段设置为NONE
查看修改motd：
#vi /etc/motd
该处内容将作为banner信息显示给登录用户。查看该文件内容，删除其中的内容，或更新成自己想要添加的内容

文件和目录安全——设置默认umask值
设置新创建文件的默认权限掩码
可以根据要求设置新文件的默认访问权限，如仅允许文件属主访问，不允许其他人访问
umask设置的是权限“补码”
设置方法
使用umask命令
如 #umask 066
编辑/etc/profile文件，设置umask值

Linux设置——系统日志配置

启用syslog服务
配置日志存储策略
打开/etc/logrotate.d/syslog文件，检查其对日志存储空间的大小和时间的设置

使用安全软件——使用主机防火墙
Linux下的防火墙框架iptables

1. 启动指令:service iptables start   
2. 重启指令:service iptables restart   
3. 关闭指令:service iptables stop   
4.   
5. 然后是相关配置:/etc/sysconfig/iptables

包过滤
NAT
数据包处理
Iptables基本规则
Iptables [-t table] command [match][target]
Iptables基本应用
Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
Iptables –D INPUT – dport 80 –j DROP