2网络安全基础防护.pptVIP

* * * * * * * * * 修改默认root密码长度 默认root密码长度是5位，建议修改为8位 编辑/etc/login.defs，修改 PASS_MIN_LEN 5 为 PASS_MIN_LEN 8 Page */37 打开密码shadow支持功能 利用md5算法加密 为shadow文件添加不可更改属性 [root@redhat root]# chattr +i /etc/shadow Page */37 取消所有不需要的服务 telnet、http等默认启动的服务 关闭telnet，编辑/etc/xinetd.d/telnet，修改 disable = no 为 disable = yes 更改/etc/xinetd.conf的权限为600，只允许root来读写该文件 [root@redhat root]# chmod 600 /etc/xinetd.conf Page */37 小练习 要关闭HTTP、FTP等服务应该如何实现？ Page */37 屏蔽系统信息 登录信息包括Linux发行版、内核版本名和服务器主机名等 [root@redhat root]# rm /etc/issue [root@redhat root]# rm /etc/ 禁止按Ctrl+Alt+Del键关闭系统 编辑/etc/inittab，将 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改为 ＃ca::ctrlaltdel:/sbin/shutdown -t3 -r now Page */37 不允许root从不同的控制台进行登录 编辑/etc/securetty，在不需要登录的TTY设备前添加#，禁止从该TTY设备进行root登录 使用SSH进行远程连接 通过SSH客户端软件连接Linux 在Linux下利用以下命令连接其他Linux [root@redhat root]# ssh –l root 80 Page */37 禁止随意通过su命令将普通用户变为root用户 编辑/etc/pam.d/su，加入以下内容 auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel (wheel为系统中隐含的组，只有wheel组的成员才能用su命令成为root） Page */37 配置防火墙 利用iptables防火墙 保持必威体育精装版的系统内核 随时关注Linux网站上内核更新 Page */37 Web安全 随时下载安全补丁 只开放80端口 放置在专门的区域中 利用SSL安全访问 将IIS的安装目录和数据与系统磁盘分开 设置WWW目录的访问权限 Page */37 SQL Server的安全 安装SQL Server的必威体育精装版补丁程序 使用安全的帐号策略 选择正确的身份验证模式 加强数据库日志记录 除去不需要的网络协议 Page */37 Page */37 网络安全基础防护 Web安全防护 数据库安全防护 Linux安全防护 Windows安全防护 路由器安全管理 交换机安全管理 设备安全防护 操作系统安全防护 应用程序安全防护 通过设置路由器（交换机）控制台、远程登录以及AUX接口安全，设置强密码策略，设置ACL等 设置GRUB口令，删除特殊帐号，修改密码长度，取消不需要的服务，屏蔽登录信息等 背景 随着BENET公司的网络设备和服务器越来越多，应用越来越复杂。提出了新的需求： 实施路由器与交换机安全管理 实施操作系统安全 Page */37 背景 利用MBSA进行Windows安全扫描 完成目标 安装MBSA 利用MBSA进行Windows安全扫描 查看扫描结果 Page */37 背景 通过MBSA扫描结果来加强Windows安全性 完成目标 开启密码复杂性策略 开启帐户安全策略 开启帐户审核策略 开启安全选项 关闭潜在危险服务 Page */37 背景 利用RHEL4自身功能加强系统安全性 完成目标 设置GRUB口令 删除系统默认帐号及组帐号 禁止三键重启 删除登录信息 设置最短口令长度 利用SSH替代Telnet Page */37 背景 加强路由器（交换机）的安全访问控制 完成目标 能够对路由器登录实施口令控制 关闭基于Web的配置 关闭其他不必要的服务 关