《某移动公司信息安全培训-操作安全.ppt》由会员分享,可在线阅读,更多相关《某移动公司信息安全培训-操作安全.ppt(67页珍藏版)》请在金锄头文库上搜索。
1、1,操作安全,2,操作安全,1、操作系统安全(Windows/U NIX) 2、控制措施:预防,检测和纠正 3、管理手段:责任分离,工作轮换,最小特权等 4、常见的IT任务:计算机操作,生产调度,磁带库,系统安全等 5、日常审计和监督 6、防病毒管理 7、变更管理, 8、各份和介质处理 9、事件处理 10、常见的攻击手段与防范,3,操作系统安全- WinNT/2000/XP/2003系统,版本的选择 正确的安装系统 修改默认的安装路径 系统的配置,4,版本的选择,强烈建议选择使用英文版的操作系统 中文版的bug肯定要多于英文版 补丁是先发表英文版的,5,尽量不采用网络安装 强烈建议不要采用升级
2、安装,而是进行全新的安装 硬盘的分区问题 如:iis缓冲溢出会影响整个系统的安全,建议分3个以上分区。第一个来安装 系统和日志,第二个放IIS;第三个放FTP,这样无论IIS或FTP出了安全问题 都不会影响到这个系统。 最好选择为NTFS格式 可以启用EFS(Encrypt File System)对文件进行加密 不要先格式化为fat32然后再转换到NTFS格式 建议一定要在安装完毕,并且安装好各种补丁后 在接入网络。,正确的安装系统,6,修改默认的安装路径,Win2000的默认路径为c:,存在安全的隐患,可以修改一下,比如d:!#。这也能在一定的程度上保护系统。 无论是那种操作系统安装系统后
3、,一定注意要先装上补丁把系统给修补好 补丁的安装一定要在所有需要安装的程序安装完毕后,才进行安装,否则会导致某些不定不能正常的发挥作用。,7,系统的配置,1端口,这可以说是计算机的第一道屏障,端口配置是否合理直接影响到计算机的安全,一般来说,打开需要的端口就可以了,配置方法是在网卡的属性中-tcp/ip-高级-选项-tcp/ip 筛选。根据自己的需要配置。 2IIS配置,IIS是众多组件中公认的漏洞最多的一个,而微软的IIS默认安装实在不敢恭维,所以IIS配置是我们必须的一步。首先,删除系统盘符中的inetpub目录,然后再第二个盘中建一个Inetpub,或者干脆换个名字,然后在IIS管理器中
4、将主目录指向新的文件地址。其次,删掉IIS默认安装时的scripts等目录。根据自己的需要建立,最后备份IIS。,8,系统的配置2,3彻底删掉缺省共享 在Win 2000中,默认有如下共享:c$,D$,还有admin$,ipc$等,我们可以在“计算机管理”-“共享”中删除,但是这样做还不能从根本上解决问题,因为如果重新启动,你就发现这些共享就又都出现了。如何完全解决这个问题呢?可以采用以下方法: 打开记事本并输入: net share C$ /delete net share D$ /delete (根据自己的盘符输入,如果只有c,d两个盘符上述就可以了,然后继续下面的输入) net shar
5、e ipc$ /delete net share admin$ /delete 然后保存为*.bat文件,可以随便命名,保证后缀为bat即可,然后把该文件添加到启动选项,至于如何添加方法比较多,最简单的就是拖入开始-启动文件夹里就行了,9,4账号策略 (1) 首先系统开的账号要尽可能的少,因为每多一个账号,就是增加了一分被暴力攻破的概率,严格控制账号的权限。 (2) 重命名administrator,改为一个不容易猜到的用户名,避免暴力破解 (3) 禁用guest 账号,并且重命名为一个复杂的名字,设置一个复杂的口令,并且从guest 组删除,防止黑客利用工具将guest提升到管理员组 (4)
6、 建立健壮的口令,不要使用若口令如:zhangsan,iloveyou等等。 (5) 经常改变口令,检查账号。,系统的配置3,10,5安全日志 可以在2000的本地安全策略-审核策略中打开相应的审核,推荐如下: 账户管理 成功 失败 登陆事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 成功 失败 系统时间 成功 失败 目录服务访问 失败 账户登陆事件 成功 失败,系统的配置4,11,在账户策略-密码策略中设定: 密码复杂性要求 启用 密码长度最小值 8位 强制密码历史 3次 最长存留期 30天 在账户策略-账户锁定策略中设定: 账户锁定 3次错误登录 锁定时间 15分钟 复位
7、锁定计数 30分钟 作为一个管理员,要学会定期的查看日志,并且善于发现入侵者的痕迹。,系统的配置5,12,6目录文件权限为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们必须设置目录和文件的访问权限。Windows NT的访问权限分为读取,写入,执行,修改列目录,完全控制。设置的时候注意以下原则: 1权限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限; 2拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源,所以请非常小心的设置,任何一个不当的
8、拒绝都可能导致系统无法正常运行。 3文件权限比文件夹权限高。 4利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一; 5仅给用户真正需要的权限,权限的最小化原则是安全的重要保障; 7停掉所有不必要的服务:如:task schulder和lanmanserver,系统的配置6,13,操作系统安全- Unix系统,安装,首先隔离网络进行系统安装,选择custom方式,安装你的软件包; 硬盘分区,如果用root分区记录数据,如log文件和email就可能因为拒绝服务产生大量的日志和垃圾邮件,导致系统崩溃,所以建议为/var单独的建立分区,用来存放日志和email,避免root分区溢
9、出。 / root /var log /swap swap /hoMe 及时打上安全补丁,什么是rootkit,rootkit是可以获得系统root访问权限的一类工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具,主要的表现形式就是修改正常的程序来实现自己的目的。,Rootkit的组成,所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括: 以太网嗅探器程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,例如:inetd或者login,为攻击者提供后门以便攻击者下次能够很轻松的进入。 隐藏攻击者的目录和进程的程序,例如:p
10、s、netstat、rshd和ls等。 可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。 还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。,lrk,目前最常见的 rootkit 是 Linux Rootkit(lrk),以 lrk 为例,列出这些程序及其功用,lrk工作集包含有: fix - 改变文件的 timestamp(时间戳) 和 checksum(校验和),用来把窜
11、改过的程序的timestamp 和 checksum,变更为和原先的系统中的程序相同。 linsniffer - 窃取特定网络信息(ftp / telnet / imap.)的sniffer。 sniffchk - 检查 linsniffer 是否在运行。 wted - 查阅或移除 wtmp 中指定的栏位。 z2 - 移除某个使用者最后的 utmp/wtmp/lastlog 纪录,防范和发现rootkit,首先,不要在网络上使用明文传输密码,或者使用一次性密码。 其次使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵,它们能够很好地提供系统完整性的检查。 另外如果怀疑自己
12、可能已经被植入 rootkit,可以使用 chkrootkit 来检查,chkrootkit 是专门针对rootkit的检测工具,访问控制的基本概念,主体(Subject) 主体是指主动的实体,是访问的发起者,它造成了信息的流动和系统状态的改变,主体通常包括人、进程和设备。 客体(Object) 客体是指包含或接受信息的被动实体,客体在信息流动中的地位是被动的,是处于主体的作用之下,对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等对象或是资源。 访问(Access) 访问(Access)是使信息在主体(Subject)和客体(Object)之间流动的一种交互
13、方式。访问包括读取数据,更改数据,运行程序,发起连接等。 访问许可(Access Permissions) 访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。,访问控制分类,基本理念 强制访问控制(Mandatory access control) 自主访问控制(Discretionary access control) 应用环境 网络访问控制 主机、操作系统访问控制 应用程序访问控制,用户管理的命令和工具,useradd :添加用户 adduser :添加用户 passwd :为用户设置密码 usermod :修改用户命令,可以通过usermod 来修改登录 名、用户的
14、家目录等等; pwcov :同步用户从/etc/passwd 到/etc/shadow pwck :pwck是校验用户配置文件/etc/passwd 和 /etc/shadow 文件内容是否合法或完整; finger :查看用户信息工具 id :查看用户的UID、GID及所归属的用户组 chfn :更改用户信息工具 su :用户切换工具,用户和密码的相关文件,/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令存于/etc/shadow文件中)。 /etc/passwd中包含有用户的登录名,经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户所用的shell
15、程序。其中用户号(UID)和用户组号(GID) 用于UNIX系统唯一地标识用户和同组用户及用户的访问权限。,/etc/passwd文件内容,第一字段:用户名(也被称为登录名) 第二字段:口令 第三字段:UID 第四字段:GID 第五字段:用户名全称 第六字段:用户的home目录所在位置 第七字段:用户所用SHELL 的类型,设置密码安全的命令,passwd : -k, :保留即将过期的用户在期满后能仍能使用; -d, :删除用户密码,仅能以root权限操作; -l, :锁住用户无权更改其密码,仅能通过root权限操作; -u, :解除锁定; -f, :强制操作;仅root权限才能操作; -x,
16、 :两次密码修正的最大天数,后面接数字;仅能root权限操作; -n, :两次密码修改的最小天数,后面接数字,仅能root权限操作; -w, :在距多少天提醒用户修改密码;仅能root权限操作; -i, :在密码过期后多少天,用户被禁掉,仅能以root操作; -S, :查询用户的密码状态,仅能root用户操作; chage 命令; chage 语法格式: chage OPTION. -m mindays :设定使用者必须要更改密码的最短天数。如果值为 0,表示密码永不过 期。 -M maxdays :指定密码最长的有效天数。 -d lastday :指定上次更改密码的天数 -I inactive :指定在密码过期后与账号锁定前的天数,假如指定值为 0 的话,在密码 过期后,帐号将不会被锁定。 -E expiredate :指定要锁定帐号的日期(以 YYYY-MM-DD 格式) -W warndays :指定密码过期前要警告使用者的天数。,危害密码的行为,网络侦听(sniffer) 口
