某移动公司信息安全培训-操作安全

1操作安全linkenpark@126.com2操作安全1、操作系统安全(Windows/UNIX)2、控制措施:预防，检测和纠正3、管理手段:责任分离，工作轮换，最小特权等4、常见的IT任务:计算机操作，生产调度，磁带库，系统安全等5、日常审计和监督6、防病毒管理7、变更管理，8、各份和介质处理9、事件处理10、常见的攻击手段与防范3操作系统安全-WinNT/2000/XP/2003系统•版本的选择•正确的安装系统•修改默认的安装路径•系统的配置4版本的选择•强烈建议选择使用英文版的操作系统•中文版的bug肯定要多于英文版•补丁是先发表英文版的5•尽量不采用网络安装•强烈建议不要采用升级安装，而是进行全新的安装•硬盘的分区问题•如：iis缓冲溢出会影响整个系统的安全，建议分3个以上分区。第一个来安装系统和日志，第二个放IIS；第三个放FTP,这样无论IIS或FTP出了安全问题都不会影响到这个系统。•最好选择为NTFS格式•可以启用EFS(EncryptFileSystem)对文件进行加密•不要先格式化为fat32然后再转换到NTFS格式•建议一定要在安装完毕，并且安装好各种补丁后在接入网络。正确的安装系统6修改默认的安装路径•Win2000的默认路径为c:，存在安全的隐患，可以修改一下，比如d:!@#。这也能在一定的程度上保护系统。•无论是那种操作系统安装系统后，一定注意要先装上补丁把系统给修补好•补丁的安装一定要在所有需要安装的程序安装完毕后，才进行安装，否则会导致某些不定不能正常的发挥作用。7系统的配置•1．端口，这可以说是计算机的第一道屏障，端口配置是否合理直接影响到计算机的安全，一般来说，打开需要的端口就可以了，配置方法是在网卡的属性中--tcp/ip--高级--选项--tcp/ip筛选。根据自己的需要配置。•2．IIS配置，IIS是众多组件中公认的漏洞最多的一个，而微软的IIS默认安装实在不敢恭维，所以IIS配置是我们必须的一步。首先，删除系统盘符中的inetpub目录，然后再第二个盘中建一个Inetpub，或者干脆换个名字，然后在IIS管理器中将主目录指向新的文件地址。其次，删掉IIS默认安装时的scripts等目录。根据自己的需要建立，最后备份IIS。8系统的配置23．彻底删掉缺省共享在Win2000中，默认有如下共享：c$,D$……，还有admin$,ipc$等，我们可以在“计算机管理”--“共享”中删除，但是这样做还不能从根本上解决问题，因为如果重新启动，你就发现这些共享就又都出现了。如何完全解决这个问题呢？可以采用以下方法：打开记事本并输入：netshareC$/deletenetshareD$/delete(根据自己的盘符输入，如果只有c,d两个盘符上述就可以了，然后继续下面的输入)netshareipc$/deletenetshareadmin$/delete然后保存为*.bat文件，可以随便命名，保证后缀为bat即可，然后把该文件添加到启动选项，至于如何添加方法比较多，最简单的就是拖入开始--启动文件夹里就行了94．账号策略（1）首先系统开的账号要尽可能的少，因为每多一个账号，就是增加了一分被暴力攻破的概率，严格控制账号的权限。（2）重命名administrator，改为一个不容易猜到的用户名，避免暴力破解（3）禁用guest账号，并且重命名为一个复杂的名字，设置一个复杂的口令，并且从guest组删除，防止黑客利用工具将guest提升到管理员组（4）建立健壮的口令，不要使用若口令如：zhangsan，iloveyou等等。（5）经常改变口令，检查账号。系统的配置3105．安全日志可以在2000的本地安全策略--审核策略中打开相应的审核，推荐如下：账户管理成功失败登陆事件成功失败对象访问失败策略更改成功失败特权使用成功失败系统时间成功失败目录服务访问失败账户登陆事件成功失败系统的配置411在账户策略-密码策略中设定：密码复杂性要求启用密码长度最小值8位强制密码历史3次最长存留期30天在账户策略-账户锁定策略中设定：账户锁定3次错误登录锁定时间15分钟复位锁定计数30分钟作为一个管理员，要学会定期的查看日志，并且善于发现入侵者的痕迹。系统的配置5126．目录文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们必须设置目录和文件的访问权限。WindowsNT的访问权限分为读取，写入，执行，修改列目录，完全控制。设置的时候注意以下原则：1权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；2拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源，所以请非常小心的设置，任何一个不当的拒绝都可能导致系统无法正常运行。3文件权限比文件夹权限高。4利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；5仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；7．停掉所有不必要的服务：如：taskschulder和lanmanserver系统的配置613操作系统安全-Unix系统•安装，首先隔离网络进行系统安装，选择custom方式，安装你的软件包；•硬盘分区，如果用root分区记录数据，如log文件和email就可能因为拒绝服务产生大量的日志和垃圾邮件，导致系统崩溃，所以建议为/var单独的建立分区，用来存放日志和email,避免root分区溢出。/root/varlog/swapswap/hoMe•及时打上安全补丁什么是rootkit•rootkit是可以获得系统root访问权限的一类工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具，主要的表现形式就是修改正常的程序来实现自己的目的。Rootkit的组成所有的rootkit基本上都是由几个独立的程序组成的，一个典型rootkit包括：•以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。•特洛伊木马程序，例如：inetd或者login，为攻击者提供后门以便攻击者下次能够很轻松的进入。•隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等。•可能还包括一些日志清理工具，例如：zap、zap2或者z2，攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。•一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。•还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。lrk目前最常见的rootkit是LinuxRootkit(lrk)，以lrk为例，列出这些程序及其功用，lrk工作集包含有:•fix-改变文件的timestamp(时间戳)和checksum（校验和），用来把窜改过的程序的timestamp和checksum，变更为和原先的系统中的程序相同。•linsniffer-窃取特定网络信息(ftp/telnet/imap..)的sniffer。•sniffchk-检查linsniffer是否在运行。•wted-查阅或移除wtmp中指定的栏位。•z2-移除某个使用者最后的utmp/wtmp/lastlog纪录防范和发现rootkit•首先，不要在网络上使用明文传输密码，或者使用一次性密码。•其次使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵，它们能够很好地提供系统完整性的检查。•另外如果怀疑自己可能已经被植入rootkit，可以使用chkrootkit来检查，chkrootkit是专门针对rootkit的检测工具访问控制的基本概念主体（Subject）主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。客体（Object）客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等对象或是资源。访问（Access）访问（Access）是使信息在主体（Subject）和客体（Object）之间流动的一种交互方式。访问包括读取数据，更改数据，运行程序，发起连接等。访问许可（AccessPermissions）访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制分类基本理念•强制访问控制（Mandatoryaccesscontrol）•自主访问控制（Discretionaryaccesscontrol）应用环境•网络访问控制•主机、操作系统访问控制•应用程序访问控制用户管理的命令和工具•useradd：添加用户•adduser：添加用户•passwd：为用户设置密码•usermod：修改用户命令，可以通过usermod来修改登录名、用户的家目录等等；•pwcov：同步用户从/etc/passwd到/etc/shadow•pwck：pwck是校验用户配置文件/etc/passwd和/etc/shadow文件内容是否合法或完整；•finger：查看用户信息工具•id：查看用户的UID、GID及所归属的用户组•chfn：更改用户信息工具•su：用户切换工具用户和密码的相关文件•/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令存于/etc/shadow文件中)。•/etc/passwd中包含有用户的登录名,经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户所用的shell程序。其中用户号(UID)和用户组号(GID)用于UNIX系统唯一地标识用户和同组用户及用户的访问权限。/etc/passwd文件内容•第一字段：用户名（也被称为登录名）•第二字段：口令•第三字段：UID•第四字段：GID•第五字段：用户名全称•第六字段：用户的home目录所在位置•第七字段：用户所用SHELL的类型设置密码安全的命令passwd:•-k,：保留即将过期的用户在期满后能仍能使用；•-d,：删除用户密码，仅能以root权限操作；•-l,：锁住用户无权更改其密码，仅能通过root权限操作；•-u,：解除锁定；•-f,：强制操作；仅root权限才能操作；•-x,：两次密码修正的最大天数，后面接数字；仅能root权限操作；•-n,：两次密码修改的最小天数，后面接数字，仅能root权限操作；•-w,：在距多少天提醒用户修改密码；仅能root权限操作；•-i,：在密码过期后多少天，用户被禁掉，仅能以root操作；•-S,：查询用户的密码状态，仅能root用户操作；chage命令；•chage语法格式：•chage[OPTION...]accountName•-mmindays：设定使用者必须要更改密码的最短天数。如果值为0，表示密码永不过期。•-Mmaxdays：指定密码最长的有效天数。•-dlastday：指定上次更改密码的天数•-Iinactive：指定在密码过期后与账号锁定前的天数，假如指定值为0的话，在密码过期后，帐号将不会被锁定。•-Eexpiredate：指定要锁定帐号的日期（以YYYY-MM-DD格式）•-Wwarndays：指定密码过期前要警告使用者的天数。危害密码的行为•网络侦听（sniffer）•口令字猜测（passwordguessing）密码的安全防范•密码长度•密码复杂性•定期更改Unix/Linux的系统目录结构/binbin是Binary的缩写。这个目录存放着最经常使用的命令。/boot这里存放的是启动Linux时使用的一些核心文件，包括一些链接文件以及镜像文件，有些类似于windows系统中的boot.ini文件。/devdev是Device(设备)的缩写。该目录下存放的是Linux的外部设备，在Linux中访问设备的方式和访问文件的方式是相同的，如磁盘设备在Lin