标签:
账号安全设置
默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。
本地安全策略
打开方式
win+R 输入ecpol.msc
账号锁定策略
用户权限分配
关闭自动播放功能
自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+R 输入gpedit.msc打开本地组策略编辑器
账户权限控制-设置唤醒密码
控制面板-》电源选项-》唤醒时需要密码
网络访问控制-防火墙设置
确保启用Windows自带防火墙
共享安全防护-关闭管理共享
Linux系统安全
Linux系统标识与鉴别-帐号信息存储
信息存储
用户信息:
/etc/passwd
格式:name:coded-passwd(X或*表示不可登陆):UID:GID:userinfo:homedirectory:shell
/etc/shadow
格式:name:passwd:lastchg:min:max:warn:inactive:expire:flag
组信息
/etc/group
/etc/gshadow
Linux系统文件访问控制-权限模式
账号和口令安全——口令安全策略
设置账户锁定登录失败锁定次数、锁定时间
修改账户超时值,设置自动注销时间
口令修改策略
强制口令使用有效期
设置口令修改提醒
设置账户锁定登录失败锁定次数、锁定时间
vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 6
PASS_WARN_AGE 28
Linux设置——系统服务配置
禁止危险的网络服务
telnet、FTP
echo、chargen、shell、finger、NFS、RPC等
关闭非必需的网络服务
talk、ntalk等
关闭邮件服务:chkconfig --level 12345 sendmail off
关闭图形登录服务:编辑/etc/inittab文件,修改为id:3:initdefault:
关闭X font服务:chkconfig xfs off
Linux设置——远程登录安全
禁用telnet,使用SSH进行管理
限制能够登录本机的IP地址
禁止root用户远程登陆
限定信任主机
修改banner信息
远程登录安全——使用SSH/限制登录IP
禁用telnet,使用SSH进行管理
开启ssh服务:#service sshd start
限制能够登录本机的IP地址
#vi /etc/ssh/sshd_config
添加(或修改):
AllowUsers xyz@192.168.1.23
允许用户xyz通过地址192.168.1.23来登录本机
AllowUsers *@192.168.*.*
仅允许192.168.0.0/16网段所有用户通过ssh访问。
远程登录安全——禁止root/限定信任主机
禁止root用户远程登陆
#cat /etc/ssh/sshd_config
确保PermitRootLogin为no
限定信任主机
#cat /etc/hosts.equiv
#cat /$HOME/.rhosts
查看上述两个文件中的主机,删除其中不必要的主机,防止存在多余的信任主机
或直接关闭所有R系列远程服务
rlogin
rsh
rexec
远程登录安全——修改banner信息
系统banner信息
一般会给出操作系统名称、版本号、主机名称等
修改banner信息
查看修改sshd_config
#vi /etc/ssh/sshd_config
如存在,则将banner字段设置为NONE
查看修改motd:
#vi /etc/motd
该处内容将作为banner信息显示给登录用户。查看该文件内容,删除其中的内容,或更新成自己想要添加的内容
文件和目录安全——设置默认umask值
设置新创建文件的默认权限掩码
可以根据要求设置新文件的默认访问权限,如仅允许文件属主访问,不允许其他人访问
umask设置的是权限“补码”
设置方法
使用umask命令
如 #umask 066
编辑/etc/profile文件,设置umask值
Linux设置——系统日志配置
启用syslog服务
配置日志存储策略
打开/etc/logrotate.d/syslog文件,检查其对日志存储空间的大小和时间的设置
使用安全软件——使用主机防火墙
Linux下的防火墙框架iptables
包过滤
NAT
数据包处理
Iptables基本规则
Iptables [-t table] command [match][target]
Iptables基本应用
Iptables –A INPUT –s 202.2.2.2 –j ACCEPT
Iptables –D INPUT – dport 80 –j DROP
标签:
原文地址:http://www.cnblogs.com/yaochc/p/5592422.html