服務(wù)器安全配置實(shí)用技術(shù)

1、服務(wù)器安全配置實(shí)用服務(wù)器安全配置實(shí)用技術(shù)技術(shù)第1節(jié) WINDOWS SERVER 2008安全管理第2節(jié) LINUX安全配置第3節(jié) 綜合管理規(guī)范第1節(jié) WINDOWS SERVER 2008安全管理 本節(jié)主要介紹本節(jié)主要介紹Windows Server 2008Windows Server 2008安全策略配安全策略配置與管理、高級(jí)防火墻控制功能、以及配置系統(tǒng)安全性置與管理、高級(jí)防火墻控制功能、以及配置系統(tǒng)安全性的措施等內(nèi)容的措施等內(nèi)容。包括。包括以下主要以下主要內(nèi)容：內(nèi)容： 系統(tǒng)安全系統(tǒng)安全實(shí)現(xiàn)方法實(shí)現(xiàn)方法 Windows Windows Server 2008Server 2008安全策略

2、安全策略 Windows Server 2008Windows Server 2008高級(jí)防火墻高級(jí)防火墻 Windows Server Windows Server 20082008網(wǎng)絡(luò)網(wǎng)絡(luò)訪問保護(hù)訪問保護(hù)序序Internet的迅猛發(fā)展，在給我們帶來極大方便的同時(shí)，也帶來了的迅猛發(fā)展，在給我們帶來極大方便的同時(shí)，也帶來了安全方面的問題。由于安全方面的問題。由于Internet從建立開始就缺乏安全的總體構(gòu)從建立開始就缺乏安全的總體構(gòu)想和設(shè)計(jì)，而想和設(shè)計(jì)，而TCP/IP協(xié)議也是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè)協(xié)議也是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè)計(jì)的，同樣缺乏安全措施的考慮，加上黑客的攻擊及各類惡意代

3、計(jì)的，同樣缺乏安全措施的考慮，加上黑客的攻擊及各類惡意代碼的干擾，使得網(wǎng)絡(luò)存在很多不安全因素，如口令猜測(cè)、地址欺碼的干擾，使得網(wǎng)絡(luò)存在很多不安全因素，如口令猜測(cè)、地址欺騙、業(yè)務(wù)否決、對(duì)域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用騙、業(yè)務(wù)否決、對(duì)域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用Web破壞數(shù)據(jù)破壞數(shù)據(jù)庫(kù)、郵件炸彈、病毒攜帶等。庫(kù)、郵件炸彈、病毒攜帶等。服務(wù)器是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，服務(wù)器系統(tǒng)的安全自然也就是網(wǎng)絡(luò)安服務(wù)器是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，服務(wù)器系統(tǒng)的安全自然也就是網(wǎng)絡(luò)安全的重點(diǎn)，全的重點(diǎn)，Windows Server 2008操作系統(tǒng)最突出的改進(jìn)就是操作系統(tǒng)最突出的改進(jìn)就是安全性的提升，服務(wù)器系統(tǒng)安全工作涉及范圍寬廣，如系統(tǒng)

4、內(nèi)核安全性的提升，服務(wù)器系統(tǒng)安全工作涉及范圍寬廣，如系統(tǒng)內(nèi)核安全、應(yīng)用程序安全、用戶帳戶安全和端口安全等多個(gè)方面，根安全、應(yīng)用程序安全、用戶帳戶安全和端口安全等多個(gè)方面，根據(jù)服務(wù)器所處環(huán)境的不同，據(jù)服務(wù)器所處環(huán)境的不同，Windows Server 2008系統(tǒng)支持管系統(tǒng)支持管理員啟用不同的安全防護(hù)策略。理員啟用不同的安全防護(hù)策略。 Windows服務(wù)器有多容易服務(wù)器有多容易被被惡意攻擊？惡意攻擊？Windows Server 2008能夠幫助企業(yè)管理和擴(kuò)能夠幫助企業(yè)管理和擴(kuò)大業(yè)務(wù)流程，對(duì)于一個(gè)企業(yè)來說，定義系統(tǒng)保護(hù)大業(yè)務(wù)流程，對(duì)于一個(gè)企業(yè)來說，定義系統(tǒng)保護(hù)策略以確保企業(yè)的關(guān)鍵業(yè)務(wù)信息的安全是

5、至關(guān)重策略以確保企業(yè)的關(guān)鍵業(yè)務(wù)信息的安全是至關(guān)重要的。保證服務(wù)器安全是一個(gè)系統(tǒng)的工程，很難要的。保證服務(wù)器安全是一個(gè)系統(tǒng)的工程，很難通過一種手段或方法保證安全目標(biāo)的實(shí)現(xiàn)，我們通過一種手段或方法保證安全目標(biāo)的實(shí)現(xiàn)，我們需要需要針對(duì)不同的安全需要來選擇不同方法針對(duì)不同的安全需要來選擇不同方法，立體，立體的保護(hù)的保護(hù)Windows Server 2008的系統(tǒng)安全。的系統(tǒng)安全。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（1）1初始化的安全設(shè)置初始化的安全設(shè)置（1）權(quán)限累計(jì)特性權(quán)限累計(jì)特性。如果一個(gè)用戶同時(shí)屬于兩個(gè)組，。如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)

6、限。那么他就有了這兩個(gè)組所允許的所有權(quán)限。 （2）拒絕的權(quán)限比允許的權(quán)限級(jí)別高（拒絕優(yōu)先）拒絕的權(quán)限比允許的權(quán)限級(jí)別高（拒絕優(yōu)先）。如果一個(gè)用戶屬于一個(gè)被拒絕訪問某個(gè)資源的組，那如果一個(gè)用戶屬于一個(gè)被拒絕訪問某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也不么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也不能訪問這個(gè)資源。所以設(shè)置拒絕權(quán)限要非常小心，任能訪問這個(gè)資源。所以設(shè)置拒絕權(quán)限要非常小心，任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行。何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行。 （3）文件權(quán)限比文件夾權(quán)限高文件權(quán)限比文件夾權(quán)限高。（4）僅給用戶真正需要的權(quán)限，權(quán)限的）僅給用戶

7、真正需要的權(quán)限，權(quán)限的最小化原則最小化原則是安全的重要保障。是安全的重要保障。1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（2）2. 配置自動(dòng)更新配置自動(dòng)更新1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（3）圖圖1-1 “Windows Update”窗口窗口 圖圖1-2 “更改設(shè)置更改設(shè)置”窗口窗口 服務(wù)器不建議配置自動(dòng)更新服務(wù)器不建議配置自動(dòng)更新3用戶帳戶安全管理用戶帳戶安全管理 Windows Server 2008的本地安全策略可以限制的本地安全策略可以限制匿名訪問。運(yùn)行匿名訪問。運(yùn)行“本地安全設(shè)置本地安全設(shè)置”管理控制臺(tái)管理控制臺(tái) 1 WINDOWS

8、SERVER 2008系統(tǒng)安全（系統(tǒng)安全（4）圖圖1-3 網(wǎng)絡(luò)訪問設(shè)置網(wǎng)絡(luò)訪問設(shè)置 圖圖1-4 “用戶屬性用戶屬性”窗口窗口 4禁用或刪除不需要的服務(wù)禁用或刪除不需要的服務(wù)增強(qiáng)服務(wù)器安全性的最佳方法是不安裝任何與業(yè)務(wù)不增強(qiáng)服務(wù)器安全性的最佳方法是不安裝任何與業(yè)務(wù)不相關(guān)的應(yīng)用程序，并且關(guān)閉不需要的服務(wù)。相關(guān)的應(yīng)用程序，并且關(guān)閉不需要的服務(wù)。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（5）圖圖1-5 “服務(wù)屬性服務(wù)屬性”窗口窗口 5創(chuàng)建一個(gè)強(qiáng)大和健壯的審計(jì)和日志策略創(chuàng)建一個(gè)強(qiáng)大和健壯的審計(jì)和日志策略 在在Windows Server 2008中，默認(rèn)創(chuàng)建的日志類型有：中，默認(rèn)創(chuàng)

9、建的日志類型有：應(yīng)用日志、安全日志、安裝程序日志、系統(tǒng)日志和轉(zhuǎn)發(fā)應(yīng)用日志、安全日志、安裝程序日志、系統(tǒng)日志和轉(zhuǎn)發(fā)的事件日志。的事件日志。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（6）圖圖1-6 “事件查看器事件查看器”窗口窗口 安全策略安全策略概述概述 安全策略是事先定義的一系列應(yīng)用計(jì)算機(jī)的行為準(zhǔn)則，應(yīng)用這安全策略是事先定義的一系列應(yīng)用計(jì)算機(jī)的行為準(zhǔn)則，應(yīng)用這些安全策略保證用戶具有一致的工作方式，防止用戶破壞計(jì)算些安全策略保證用戶具有一致的工作方式，防止用戶破壞計(jì)算機(jī)上的各種重要配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。機(jī)上的各種重要配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。2 WINDOWS SE

10、RVER 2008安全策安全策略略 圖圖1-7 “本地安全策略本地安全策略”窗口窗口 帳戶策略主要用于限制用戶帳戶的交互方式，其中包括密碼帳戶策略主要用于限制用戶帳戶的交互方式，其中包括密碼策略和帳戶鎖定策略，這些設(shè)置同時(shí)適用于獨(dú)立服務(wù)器與環(huán)策略和帳戶鎖定策略，這些設(shè)置同時(shí)適用于獨(dú)立服務(wù)器與環(huán)境。境。安全策略之帳戶安全策略之帳戶策略（策略（1） 圖圖1-8 本地安全設(shè)置本地安全設(shè)置 1、密碼策略、密碼策略 （1）密碼必須符合復(fù)雜性要求）密碼必須符合復(fù)雜性要求（2）最短密碼長(zhǎng)度）最短密碼長(zhǎng)度 （3）密碼最短使用期限）密碼最短使用期限 （4）密碼最長(zhǎng)使用期限）密碼最長(zhǎng)使用期限 （5）強(qiáng)制密碼歷史）

11、強(qiáng)制密碼歷史 帳戶帳戶鎖定策略鎖定策略 對(duì)于域或本機(jī)的用戶帳戶來說，通過帳戶鎖定策略對(duì)于域或本機(jī)的用戶帳戶來說，通過帳戶鎖定策略可以判定帳戶鎖定的時(shí)機(jī)及對(duì)象。如圖可以判定帳戶鎖定的時(shí)機(jī)及對(duì)象。如圖1-9所示。所示。 安全策略之帳戶策略（安全策略之帳戶策略（2） （1）復(fù)位帳戶鎖定計(jì)數(shù)器）復(fù)位帳戶鎖定計(jì)數(shù)器（2）帳戶鎖定時(shí)間）帳戶鎖定時(shí)間 （3）帳戶鎖定閾值）帳戶鎖定閾值圖圖1-9 “帳戶鎖定策略帳戶鎖定策略”窗口窗口 本地本地策略包括審核策略、用戶權(quán)限分配和安全選策略包括審核策略、用戶權(quán)限分配和安全選項(xiàng)三個(gè)模塊。項(xiàng)三個(gè)模塊。1、審核策略、審核策略Windows Server 2008的默認(rèn)安裝

12、不設(shè)置安全審核。在的默認(rèn)安裝不設(shè)置安全審核。在“管管理工具理工具”“本地安全策略本地安全策略”管理控制臺(tái)中選擇管理控制臺(tái)中選擇“本地策略本地策略” “審核策略審核策略”，設(shè)置相應(yīng)的審核，設(shè)置相應(yīng)的審核 圖圖1-10 設(shè)置審核策略設(shè)置審核策略 圖圖1-11 審核帳戶管理審核帳戶管理 安全策略安全策略之本地策略（之本地策略（1）表表1 常用審核內(nèi)容常用審核內(nèi)容項(xiàng)目項(xiàng)目設(shè)置值設(shè)置值項(xiàng)目項(xiàng)目設(shè)置值設(shè)置值帳戶管理帳戶管理成功成功 失敗失敗特權(quán)使用特權(quán)使用失敗失敗登錄事件登錄事件成功成功 失敗失敗系統(tǒng)事件系統(tǒng)事件成功成功 失敗失敗對(duì)象訪問對(duì)象訪問失敗失敗目錄服務(wù)訪問目錄服務(wù)訪問失敗失敗策略更改策略更改成功

13、成功 失敗失敗帳戶登錄事件帳戶登錄事件成功成功 失敗失敗安全策略之本地安全策略之本地策略（策略（2）用戶用戶權(quán)限分配權(quán)限分配用戶權(quán)限分配是用戶權(quán)限分配是指指：針對(duì)針對(duì)系統(tǒng)的某種操作，可以修系統(tǒng)的某種操作，可以修改用戶或用戶組的權(quán)限范圍改用戶或用戶組的權(quán)限范圍圖圖1-12 “用戶權(quán)限分配用戶權(quán)限分配”窗口窗口 圖圖1-13 “屬性屬性”窗口窗口安全策略之本地策略（安全策略之本地策略（3）安全安全選項(xiàng)選項(xiàng)修改修改Windows Server 2008中默認(rèn)系統(tǒng)安全選項(xiàng)設(shè)置。中默認(rèn)系統(tǒng)安全選項(xiàng)設(shè)置。例如，選擇安全設(shè)置中的例如，選擇安全設(shè)置中的“本地策略本地策略”/“安全選項(xiàng)安全選項(xiàng)”，可以設(shè)置交互登

14、錄方式可以設(shè)置交互登錄方式 安全策略之本地策略（安全策略之本地策略（4）圖圖1-14 安全選項(xiàng)設(shè)置安全選項(xiàng)設(shè)置3 WINDOWS SERVER 2008高級(jí)防火高級(jí)防火墻墻 高級(jí)安全高級(jí)安全Windows防火墻防火墻（WFAS）是）是Windows Server 2008/Windows Vista的新的新增功能，該功能延續(xù)并加強(qiáng)了原來的增功能，該功能延續(xù)并加強(qiáng)了原來的Window防防火墻，是一款主機(jī)型狀態(tài)防火墻?；饓?，是一款主機(jī)型狀態(tài)防火墻。默認(rèn)狀態(tài)下，默認(rèn)狀態(tài)下，windows防火墻已經(jīng)處于開啟狀防火墻已經(jīng)處于開啟狀態(tài)，能夠提供基本的安全防護(hù)功能，保護(hù)內(nèi)部網(wǎng)態(tài)，能夠提供基本的安全防護(hù)功能，

15、保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊者的入侵。除了使用默認(rèn)配置外，絡(luò)免受惡意攻擊者的入侵。除了使用默認(rèn)配置外，用戶還可以根據(jù)需要開啟或關(guān)閉防火墻。在用戶還可以根據(jù)需要開啟或關(guān)閉防火墻。在Windows Server 2008中，中，Windows防火墻防火墻的基本配置變化不大，擁有系統(tǒng)管理權(quán)限用戶帳的基本配置變化不大，擁有系統(tǒng)管理權(quán)限用戶帳戶，就可以在控制面板中，打開并配置防火墻。戶，就可以在控制面板中，打開并配置防火墻。 3.1 防火墻概述防火墻概述 （1）表表2 各版本的各版本的Windows防火墻功能比較防火墻功能比較防火墻防火墻操作系統(tǒng)版本操作系統(tǒng)版本功能功能ICFWindows XPWindow

16、s XP SP1主機(jī)型防火墻主機(jī)型防火墻Windows防火墻防火墻Windows Server 2003Windows XP SP2主機(jī)型防火墻主機(jī)型防火墻可以阻止未經(jīng)授權(quán)的連接請(qǐng)求可以阻止未經(jīng)授權(quán)的連接請(qǐng)求提供完善的操作界面提供完善的操作界面與操作系統(tǒng)結(jié)合更加緊密與操作系統(tǒng)結(jié)合更加緊密高級(jí)安全高級(jí)安全Windows防火防火墻墻（WFAS）Windows Server 2008Windows VistaWindows 7主機(jī)型防火墻主機(jī)型防火墻可以阻止未經(jīng)授權(quán)的連接請(qǐng)求可以阻止未經(jīng)授權(quán)的連接請(qǐng)求提供完善的主機(jī)型防火墻功能提供完善的主機(jī)型防火墻功能整合整合IPsec功能功能默認(rèn)狀態(tài)為啟用默認(rèn)狀態(tài)

17、為啟用“高級(jí)安全Windows防火墻”具有如下新特性：1、全新的控制臺(tái)管理界面2、雙向保護(hù)3、集成IPsec功能4、更詳細(xì)的規(guī)則配置5、支持網(wǎng)絡(luò)位置識(shí)別和配置6、支持IPv6協(xié)議。3.1 防火墻概述防火墻概述 （2）3.2 防火墻的基本配置（防火墻的基本配置（1） Windows Server 2008系統(tǒng)下以管理員帳戶系統(tǒng)下以管理員帳戶登錄，依次選擇登錄，依次選擇“開始開始”“控制面板控制面板” “Windows防火墻防火墻”，打開，打開“Windows防火防火墻墻”窗口。單擊窗口。單擊“更改設(shè)備更改設(shè)備”超級(jí)鏈接，即可打超級(jí)鏈接，即可打開開“Windows防火墻設(shè)置防火墻設(shè)置”對(duì)話框。對(duì)話

18、框。 Windows防火墻有防火墻有3種設(shè)置：種設(shè)置：?jiǎn)⒂谩⒂?。啟用時(shí)阻止所有傳入連接。啟用時(shí)阻止所有傳入連接。關(guān)閉。關(guān)閉。2、“例外例外”選項(xiàng)卡選項(xiàng)卡在如在如圖所圖所示示“例外例外”選項(xiàng)卡中設(shè)置能夠直接訪問網(wǎng)絡(luò)的選項(xiàng)卡中設(shè)置能夠直接訪問網(wǎng)絡(luò)的程序或服務(wù)，可以直接通過單擊程序或服務(wù)，可以直接通過單擊“添加程序添加程序”或者或者“添添加端口加端口”來自行添加需要訪問外部網(wǎng)絡(luò)的程序或服務(wù)，來自行添加需要訪問外部網(wǎng)絡(luò)的程序或服務(wù)，解除系統(tǒng)防火墻程序?qū)W(wǎng)絡(luò)訪問的阻止。解除系統(tǒng)防火墻程序?qū)W(wǎng)絡(luò)訪問的阻止。 3.2 防火墻的基本配置（防火墻的基本配置（2） 允許允許/限制程序訪問限制程序訪問為了提高系統(tǒng)

19、安全性，默認(rèn)情況下為了提高系統(tǒng)安全性，默認(rèn)情況下Windows防火墻阻止所有與計(jì)算機(jī)防火墻阻止所有與計(jì)算機(jī)程序建立的未經(jīng)請(qǐng)求的連接，導(dǎo)致用戶許多正常的網(wǎng)絡(luò)應(yīng)用無法實(shí)現(xiàn)。程序建立的未經(jīng)請(qǐng)求的連接，導(dǎo)致用戶許多正常的網(wǎng)絡(luò)應(yīng)用無法實(shí)現(xiàn)。因此，需要對(duì)這些程序進(jìn)行設(shè)置，在防火墻中為這些程序創(chuàng)建例外，因此，需要對(duì)這些程序進(jìn)行設(shè)置，在防火墻中為這些程序創(chuàng)建例外，應(yīng)用程序即可通過防火墻訪問網(wǎng)絡(luò)。應(yīng)用程序即可通過防火墻訪問網(wǎng)絡(luò)。圖圖1-17 “添加程序添加程序”對(duì)話框?qū)υ捒?圖圖1-18 “更改范圍更改范圍”對(duì)話框?qū)υ捒?.2 防火墻的基本配置（防火墻的基本配置（3） 允許限制端口訪問允許限制端口訪問端口可以認(rèn)

20、為是計(jì)算機(jī)與外界通信交流的出口，開啟的端口在提供端口可以認(rèn)為是計(jì)算機(jī)與外界通信交流的出口，開啟的端口在提供網(wǎng)絡(luò)應(yīng)用的同時(shí)，有可能成為惡意用戶入侵的通道，網(wǎng)絡(luò)應(yīng)用的同時(shí)，有可能成為惡意用戶入侵的通道， 圖圖1-19 “添加端口添加端口”對(duì)話框?qū)υ捒?圖圖1-20 “高級(jí)高級(jí)”選項(xiàng)卡選項(xiàng)卡3.2 防火墻的基本配置（防火墻的基本配置（4） 3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （1）高級(jí)安全高級(jí)安全Windows防火墻使用兩組規(guī)則，配置防火墻使用兩組規(guī)則，配置如何響應(yīng)如何響應(yīng)傳入和傳出傳入和傳出流量，確定允許或阻止流量流量，確定允許或阻止流量類型。連接安全規(guī)則確定如

21、何保護(hù)計(jì)算機(jī)與計(jì)算類型。連接安全規(guī)則確定如何保護(hù)計(jì)算機(jī)與計(jì)算機(jī)間的通訊，通過使用防火墻配置文件，可以應(yīng)機(jī)間的通訊，通過使用防火墻配置文件，可以應(yīng)用這些規(guī)則以及其他設(shè)置，監(jiān)視防火墻活動(dòng)和規(guī)用這些規(guī)則以及其他設(shè)置，監(jiān)視防火墻活動(dòng)和規(guī)則。則。（1）防火墻規(guī)則）防火墻規(guī)則（2）連接安全規(guī)則）連接安全規(guī)則（3）防火墻配置文件）防火墻配置文件（4）監(jiān)視）監(jiān)視以管理員帳戶登錄以管理員帳戶登錄Windows Server 2008系統(tǒng)后，依次單擊系統(tǒng)后，依次單擊“開開始始”/“管理工具管理工具”/“高級(jí)安全高級(jí)安全Windows防火墻防火墻”，打開，打開如如下下圖所圖所示的示的“高高級(jí)安全級(jí)安全Windows

22、防火墻防火墻”窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī)窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī)則則3種。種。 圖圖1-21 “高級(jí)安全高級(jí)安全Windows防火墻防火墻”窗口窗口 3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （2）1、禁用或啟用規(guī)則、禁用或啟用規(guī)則管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：Windows防火墻控防火墻控制臺(tái)和制臺(tái)和netsh命令。在高級(jí)安全命令。在高級(jí)安全Windows防火墻控制臺(tái)中，首先選擇防火墻控制臺(tái)中，首先選擇“入站規(guī)則入站規(guī)則”或或“出站規(guī)則出站規(guī)則”，然后右擊相應(yīng)規(guī)則，然后右

23、擊相應(yīng)規(guī)則，如下圖所如下圖所示，選示，選擇擇“禁用規(guī)則禁用規(guī)則”或者或者“啟用規(guī)則啟用規(guī)則”選項(xiàng)，即可更改其運(yùn)行狀態(tài)。使用選項(xiàng)，即可更改其運(yùn)行狀態(tài)。使用“netsh”命令啟用或禁用單一規(guī)則以及規(guī)則組。命令啟用或禁用單一規(guī)則以及規(guī)則組。 圖圖1-22 “規(guī)則啟用規(guī)則啟用/禁用禁用”對(duì)話框?qū)υ捒?.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （3）2、創(chuàng)建防火墻規(guī)則、創(chuàng)建防火墻規(guī)則Windows 2008的高級(jí)安全的高級(jí)安全Windows防火墻使用出站防火墻使用出站和入站兩種規(guī)則，配置其如何響應(yīng)傳入和傳出的請(qǐng)求。默和入站兩種規(guī)則，配置其如何響應(yīng)傳入和傳出的請(qǐng)求。默認(rèn)情況下，

24、管理員在該服務(wù)器上安裝微軟公司提供的網(wǎng)絡(luò)認(rèn)情況下，管理員在該服務(wù)器上安裝微軟公司提供的網(wǎng)絡(luò)服務(wù)后，將自動(dòng)添加在高級(jí)防火墻的出站規(guī)則列表中，并服務(wù)后，將自動(dòng)添加在高級(jí)防火墻的出站規(guī)則列表中，并允許通過防火墻。但是，如果安裝的是第三方網(wǎng)絡(luò)服務(wù)，允許通過防火墻。但是，如果安裝的是第三方網(wǎng)絡(luò)服務(wù)，則必須通過手動(dòng)創(chuàng)建相關(guān)規(guī)則，才可以將服務(wù)發(fā)布到網(wǎng)絡(luò)。則必須通過手動(dòng)創(chuàng)建相關(guān)規(guī)則，才可以將服務(wù)發(fā)布到網(wǎng)絡(luò)。例如，如果在當(dāng)前服務(wù)器上例如，如果在當(dāng)前服務(wù)器上配置基于配置基于Serv-U的的FTP服務(wù)服務(wù)器器，則必須同時(shí)創(chuàng)建提供上傳和下載的入站規(guī)則（兩個(gè)不，則必須同時(shí)創(chuàng)建提供上傳和下載的入站規(guī)則（兩個(gè)不同的端口分別

25、是同的端口分別是2121和和2020）。）。3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （4）步驟一，在高級(jí)安全步驟一，在高級(jí)安全Windows防火墻控制臺(tái)中，右擊防火墻控制臺(tái)中，右擊“入站規(guī)則入站規(guī)則”，選擇快捷菜單中的，選擇快捷菜單中的“新規(guī)則新規(guī)則”選項(xiàng)選項(xiàng) 圖圖1-23 “規(guī)則類型規(guī)則類型”對(duì)話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （5）步驟二，單擊步驟二，單擊“下一下一步步”按鈕，顯示如圖按鈕，顯示如圖所示的所示的“協(xié)議和端口協(xié)議和端口”對(duì)話框。根據(jù)服務(wù)使對(duì)話框。根據(jù)服務(wù)使用的協(xié)議類型選擇用的協(xié)議類型選擇“TCP

26、”或者或者“UDP”單選按鈕，本例中單選按鈕，本例中FTP服務(wù)使用的是服務(wù)使用的是TCP端口，選擇端口，選擇“TCP”單選按鈕即可。單選按鈕即可。選擇選擇“特定本地端口特定本地端口”單選按鈕，輸入服務(wù)單選按鈕，輸入服務(wù)使用的端口號(hào)，如果使用的端口號(hào)，如果在配置服務(wù)器時(shí)指定在配置服務(wù)器時(shí)指定了非默認(rèn)端口，則在了非默認(rèn)端口，則在這里也應(yīng)指定相應(yīng)端這里也應(yīng)指定相應(yīng)端口，例如口，例如2121。 圖圖1-24 “協(xié)議和端口協(xié)議和端口”對(duì)話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （6）步驟三，單擊步驟三，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的

27、“操作操作”對(duì)話框，選擇對(duì)話框，選擇“允許連接允許連接”單選按鈕。如果選擇單選按鈕。如果選擇“只允許安全連接只允許安全連接”單選按鈕，則高級(jí)單選按鈕，則高級(jí)防火墻只允許特定的安全用戶訪問服務(wù)器，即使用防火墻只允許特定的安全用戶訪問服務(wù)器，即使用IPSec身份驗(yàn)證的用戶。身份驗(yàn)證的用戶。如果選擇如果選擇“阻止連接阻止連接”單選按鈕，則將阻止所有用戶到服務(wù)器的連接。單選按鈕，則將阻止所有用戶到服務(wù)器的連接。 圖圖1-25 “協(xié)議協(xié)議和端口和端口”對(duì)話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （7）步驟四，單擊步驟四，單擊“下一步下一步”按鈕，顯示如按鈕，顯示

28、如圖所圖所示的示的“配置文件配置文件”對(duì)話框，對(duì)話框，設(shè)置該規(guī)則的應(yīng)用范圍。例如，設(shè)置該規(guī)則的應(yīng)用范圍。例如，F(xiàn)TP服務(wù)器僅對(duì)服務(wù)器僅對(duì)Internet用戶提供服務(wù)，用戶提供服務(wù)，則選擇則選擇“公用公用”復(fù)選框即可，內(nèi)網(wǎng)用戶對(duì)服務(wù)器的訪問將不受防火墻保復(fù)選框即可，內(nèi)網(wǎng)用戶對(duì)服務(wù)器的訪問將不受防火墻保護(hù)。護(hù)。 圖圖1-26 “配置文件配置文件”對(duì)話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （8）步驟五，單擊步驟五，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的“名稱名稱”對(duì)話框。在對(duì)話框。在“名稱名稱”文本框中輸入該入站規(guī)則的顯示名文本框中輸

29、入該入站規(guī)則的顯示名稱，便于識(shí)別。在稱，便于識(shí)別。在“描述描述”文本框中，可以輸入相關(guān)的文本框中，可以輸入相關(guān)的描述信息。描述信息。 圖圖1-27 “名稱名稱”對(duì)話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （9）步驟六，單擊步驟六，單擊“完成完成”按鈕，即可保存已創(chuàng)建的入站規(guī)則按鈕，即可保存已創(chuàng)建的入站規(guī)則. FTP服務(wù)服務(wù)器提供下載和上傳服務(wù)時(shí)，需要使用不同的端口，因此還需要對(duì)用于器提供下載和上傳服務(wù)時(shí)，需要使用不同的端口，因此還需要對(duì)用于發(fā)布上傳服務(wù)的端口創(chuàng)建入站規(guī)則，如發(fā)布上傳服務(wù)的端口創(chuàng)建入站規(guī)則，如圖所圖所示。示。 圖圖1-28 “名稱名稱”對(duì)

30、話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （10）步驟七，默認(rèn)情況下，成功創(chuàng)建的入站規(guī)則將自動(dòng)啟步驟七，默認(rèn)情況下，成功創(chuàng)建的入站規(guī)則將自動(dòng)啟用，并顯示在用，并顯示在“入站規(guī)則入站規(guī)則”窗口中如窗口中如圖所圖所示。示。 圖圖1-29 “高級(jí)安全高級(jí)安全Windows防火墻防火墻”窗口窗口 3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （11）3、編輯防火墻規(guī)、編輯防火墻規(guī)則則在在Windows Server 2008系系統(tǒng)防火墻中，管理統(tǒng)防火墻中，管理員可以通過配置員可以通過配置ICMP協(xié)議響應(yīng)機(jī)協(xié)議響應(yīng)機(jī)制，使本地計(jì)算機(jī)制，

31、使本地計(jì)算機(jī)響應(yīng)或拒絕其他計(jì)響應(yīng)或拒絕其他計(jì)算機(jī)的算機(jī)的“ping”命命令測(cè)試，以確保服令測(cè)試，以確保服務(wù)器安全。務(wù)器安全。 圖圖1-30 “網(wǎng)絡(luò)一路由器播發(fā)屬性網(wǎng)絡(luò)一路由器播發(fā)屬性”對(duì)話框?qū)υ捒?3.3 高級(jí)安全高級(jí)安全WINDOWS防火墻的基本配置防火墻的基本配置 （12）4 WINDOWS網(wǎng)絡(luò)訪問保護(hù)網(wǎng)絡(luò)訪問保護(hù) 遠(yuǎn)程訪問是大多數(shù)局域網(wǎng)中比較常用的功能之一，遠(yuǎn)程訪問是大多數(shù)局域網(wǎng)中比較常用的功能之一，由于不安全客戶端遠(yuǎn)程撥入導(dǎo)致的網(wǎng)絡(luò)癱瘓故障由于不安全客戶端遠(yuǎn)程撥入導(dǎo)致的網(wǎng)絡(luò)癱瘓故障也時(shí)有發(fā)生。也時(shí)有發(fā)生。Windows Server 2008系統(tǒng)的系統(tǒng)的網(wǎng)絡(luò)訪問保護(hù)功能網(wǎng)絡(luò)訪問保護(hù)功能

32、（Network Access Protection，簡(jiǎn)稱，簡(jiǎn)稱NAP），可以通過網(wǎng)絡(luò)策略），可以通過網(wǎng)絡(luò)策略服務(wù)器對(duì)客戶端撥入請(qǐng)求進(jìn)行身份驗(yàn)證和健康服務(wù)器對(duì)客戶端撥入請(qǐng)求進(jìn)行身份驗(yàn)證和健康 狀態(tài)評(píng)估，只有達(dá)到網(wǎng)絡(luò)健康標(biāo)準(zhǔn)的客戶端，才狀態(tài)評(píng)估，只有達(dá)到網(wǎng)絡(luò)健康標(biāo)準(zhǔn)的客戶端，才允許接入內(nèi)部網(wǎng)絡(luò)，未達(dá)到網(wǎng)絡(luò)標(biāo)準(zhǔn)的客戶端，允許接入內(nèi)部網(wǎng)絡(luò)，未達(dá)到網(wǎng)絡(luò)標(biāo)準(zhǔn)的客戶端，可以通過指定的修正服務(wù)器修復(fù)計(jì)算機(jī)的狀態(tài)后可以通過指定的修正服務(wù)器修復(fù)計(jì)算機(jī)的狀態(tài)后才允許接入內(nèi)部網(wǎng)絡(luò)。才允許接入內(nèi)部網(wǎng)絡(luò)。4.1 NAP概述概述 對(duì)于網(wǎng)絡(luò)管理人員來說，必須確認(rèn)接入企業(yè)網(wǎng)絡(luò)的對(duì)于網(wǎng)絡(luò)管理人員來說，必須確認(rèn)接入企業(yè)網(wǎng)絡(luò)的所有

33、計(jì)算機(jī)都更新為最新的系統(tǒng)狀態(tài)，以及符合企所有計(jì)算機(jī)都更新為最新的系統(tǒng)狀態(tài)，以及符合企業(yè)的業(yè)的“健康策略（健康策略（Health Policy）”需求需求 。Windows Server 2008與與Windows Vista的的NAP提供程序與提供程序與“應(yīng)用程序編程界面應(yīng)用程序編程界面(API)”以協(xié)助以協(xié)助管理人員設(shè)置，當(dāng)用戶執(zhí)行網(wǎng)絡(luò)訪問或通信時(shí)，可管理人員設(shè)置，當(dāng)用戶執(zhí)行網(wǎng)絡(luò)訪問或通信時(shí)，可強(qiáng)制其遵守企業(yè)網(wǎng)絡(luò)計(jì)算機(jī)健康管理策略。強(qiáng)制其遵守企業(yè)網(wǎng)絡(luò)計(jì)算機(jī)健康管理策略。 網(wǎng)絡(luò)訪問保護(hù)主要分為網(wǎng)絡(luò)訪問保護(hù)主要分為4個(gè)部分：個(gè)部分：策略驗(yàn)證、隔離、策略驗(yàn)證、隔離、補(bǔ)救和持續(xù)監(jiān)控補(bǔ)救和持續(xù)監(jiān)控。網(wǎng)

34、絡(luò)內(nèi)部安全已經(jīng)成為網(wǎng)絡(luò)安全的重點(diǎn)，用戶水平參差網(wǎng)絡(luò)內(nèi)部安全已經(jīng)成為網(wǎng)絡(luò)安全的重點(diǎn)，用戶水平參差不齊，使用習(xí)慣各不相同。例如，如果網(wǎng)絡(luò)中沒有安裝不齊，使用習(xí)慣各不相同。例如，如果網(wǎng)絡(luò)中沒有安裝軟件更新或者防病毒軟件的客戶端，很可能導(dǎo)致整個(gè)網(wǎng)軟件更新或者防病毒軟件的客戶端，很可能導(dǎo)致整個(gè)網(wǎng)絡(luò)遭受攻擊。絡(luò)遭受攻擊。NAP可以很好地解決這一難題，通常情況可以很好地解決這一難題，通常情況下，它可以應(yīng)用于如下保護(hù)環(huán)境。下，它可以應(yīng)用于如下保護(hù)環(huán)境。1、保護(hù)漫游計(jì)算機(jī)的健康、保護(hù)漫游計(jì)算機(jī)的健康2、保護(hù)桌面計(jì)算機(jī)的健康、保護(hù)桌面計(jì)算機(jī)的健康3、保護(hù)來訪用戶計(jì)算機(jī)的健康、保護(hù)來訪用戶計(jì)算機(jī)的健康4、保護(hù)家庭計(jì)

35、算機(jī)的健康、保護(hù)家庭計(jì)算機(jī)的健康4.2 NAP的環(huán)境的環(huán)境 NAP是一個(gè)用于幫助管理員保護(hù)網(wǎng)絡(luò)安全的管是一個(gè)用于幫助管理員保護(hù)網(wǎng)絡(luò)安全的管理平臺(tái)，它由多個(gè)組件構(gòu)成，其中必需的組件包理平臺(tái)，它由多個(gè)組件構(gòu)成，其中必需的組件包括網(wǎng)絡(luò)策略服務(wù)器、強(qiáng)制點(diǎn)和強(qiáng)制客戶端。括網(wǎng)絡(luò)策略服務(wù)器、強(qiáng)制點(diǎn)和強(qiáng)制客戶端。 圖圖1-31 啟用啟用NAP的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的組建的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的組建 4.3 NAP的系統(tǒng)架構(gòu)及功能的系統(tǒng)架構(gòu)及功能 默認(rèn)安裝完默認(rèn)安裝完Windows Server 2008后，沒有安裝網(wǎng)絡(luò)策略和后，沒有安裝網(wǎng)絡(luò)策略和遠(yuǎn)程訪問服務(wù)，需要用戶手動(dòng)安裝該服務(wù)。遠(yuǎn)程訪問服務(wù)，需要用戶手動(dòng)安裝該服務(wù)。運(yùn)行

36、運(yùn)行“添加角色向?qū)砑咏巧驅(qū)А?，在，在“選擇服務(wù)器角色選擇服務(wù)器角色”界面中，選中界面中，選中“網(wǎng)絡(luò)策略和訪問服務(wù)網(wǎng)絡(luò)策略和訪問服務(wù)”復(fù)選框復(fù)選框 。圖圖1-32 “選擇服務(wù)器角色選擇服務(wù)器角色”界面界面 圖圖1-33 “選擇角色服務(wù)選擇角色服務(wù)”界面界面 4.4 安裝安裝NAP（1）安裝完畢，通過安裝完畢，通過“管理工具管理工具”/“網(wǎng)絡(luò)策略服務(wù)器網(wǎng)絡(luò)策略服務(wù)器”，可以啟動(dòng)可以啟動(dòng)NPS。nNPS策略包含四部分的內(nèi)容，分別為：網(wǎng)絡(luò)健康驗(yàn)策略包含四部分的內(nèi)容，分別為：網(wǎng)絡(luò)健康驗(yàn)證器、更新服務(wù)器組、健康策略、網(wǎng)絡(luò)策略，將對(duì)證器、更新服務(wù)器組、健康策略、網(wǎng)絡(luò)策略，將對(duì)加入到公司網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行驗(yàn)

37、證、隔離、補(bǔ)救以加入到公司網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行驗(yàn)證、隔離、補(bǔ)救以及健康策略審核。及健康策略審核。 圖圖1-34 “網(wǎng)絡(luò)策略服務(wù)器網(wǎng)絡(luò)策略服務(wù)器”界面界面 4.4 安裝安裝NAP（2）圖圖1-35 “系統(tǒng)健康驗(yàn)證器系統(tǒng)健康驗(yàn)證器”界面界面 圖圖1-36 “新建健康策略新建健康策略”界面界面 4.4 安裝安裝NAP（3）5 其他安全特性其他安全特性 1、Bitlocker驅(qū)動(dòng)加密驅(qū)動(dòng)加密使用使用BitLocker 驅(qū)動(dòng)器加密可以保護(hù)存儲(chǔ)在安裝驅(qū)動(dòng)器加密可以保護(hù)存儲(chǔ)在安裝Windows的驅(qū)的驅(qū)動(dòng)器上的所有文件。前代的加密文件系統(tǒng)動(dòng)器上的所有文件。前代的加密文件系統(tǒng) (EFS) 可以加密單獨(dú)文可以加密單獨(dú)

38、文件，與其不同的是，件，與其不同的是，BitLocker 將加密整個(gè)系統(tǒng)驅(qū)動(dòng)器，包括啟將加密整個(gè)系統(tǒng)驅(qū)動(dòng)器，包括啟動(dòng)和登錄所需的動(dòng)和登錄所需的Windows系統(tǒng)文件。系統(tǒng)文件。2、Windows Service HardeningWindows Service Hardening能夠防止關(guān)鍵能夠防止關(guān)鍵Windows服務(wù)被文服務(wù)被文檔系統(tǒng)、注冊(cè)表或網(wǎng)絡(luò)中的異?；顒?dòng)使用，從而確保系統(tǒng)具有更檔系統(tǒng)、注冊(cè)表或網(wǎng)絡(luò)中的異?；顒?dòng)使用，從而確保系統(tǒng)具有更高的安全性。由于高的安全性。由于Windows Service Hardening默認(rèn)運(yùn)行的服默認(rèn)運(yùn)行的服務(wù)很少，而且服務(wù)帳戶擁有的特權(quán)極小，因而限制了網(wǎng)

39、絡(luò)訪問。務(wù)很少，而且服務(wù)帳戶擁有的特權(quán)極小，因而限制了網(wǎng)絡(luò)訪問。3、限制可移動(dòng)設(shè)備安裝、限制可移動(dòng)設(shè)備安裝Windows Server 2008為企業(yè)提供一種保護(hù)數(shù)據(jù)的方法，這種為企業(yè)提供一種保護(hù)數(shù)據(jù)的方法，這種方法可以防止數(shù)據(jù)被拷貝到方法可以防止數(shù)據(jù)被拷貝到U盤等可移動(dòng)設(shè)備上。通過配置組策盤等可移動(dòng)設(shè)備上。通過配置組策略略(Group Policy)可實(shí)現(xiàn)對(duì)鍵盤、鼠標(biāo)或者可實(shí)現(xiàn)對(duì)鍵盤、鼠標(biāo)或者U盤的控制。管理者盤的控制。管理者在決定移動(dòng)設(shè)備如何使用方面有著充分的在決定移動(dòng)設(shè)備如何使用方面有著充分的靈活性。靈活性。本節(jié)小結(jié)本節(jié)小結(jié) 保證保證Windows Server 2008服務(wù)器安全，是提

40、服務(wù)器安全，是提供可靠服務(wù)的基礎(chǔ)。供可靠服務(wù)的基礎(chǔ)。本節(jié)介紹本節(jié)介紹Windows Server 2008安全策略配置安全策略配置與管理，以及配置系統(tǒng)安全性的措施。與管理，以及配置系統(tǒng)安全性的措施。Windows Server 2008內(nèi)置了基本安全策略模內(nèi)置了基本安全策略模板，能夠滿足常規(guī)安全配置需要，用戶也可以根板，能夠滿足常規(guī)安全配置需要，用戶也可以根據(jù)具體網(wǎng)絡(luò)應(yīng)用，合理配置據(jù)具體網(wǎng)絡(luò)應(yīng)用，合理配置Windows Server 2008的安全策略。的安全策略。本節(jié)以本節(jié)以安全安裝操作系統(tǒng)、正確配置網(wǎng)絡(luò)服務(wù)與安全安裝操作系統(tǒng)、正確配置網(wǎng)絡(luò)服務(wù)與端口、設(shè)置帳號(hào)及安全日志策略為例，介紹了配端口

41、、設(shè)置帳號(hào)及安全日志策略為例，介紹了配置置Windows Server 2008安全策略的作用與方安全策略的作用與方法。法。 第1節(jié) WINDOWS SERVER 2008安全管理第2節(jié) LINUX安全配置第3節(jié) 綜合管理規(guī)范 本節(jié)主要介紹本節(jié)主要介紹LinuxLinux基礎(chǔ)、安全概述以及安全策略基礎(chǔ)、安全概述以及安全策略配配置置與安全管理等與安全管理等內(nèi)容內(nèi)容。包括。包括以下主要以下主要內(nèi)容：內(nèi)容： 為什么要用為什么要用LinuxLinux？ Linux Linux安全概述安全概述 Linux Linux安全安全配置配置第2節(jié) LINXU安全配置與管理1. LINUX基礎(chǔ)1.1 為什么要用L

42、inux?Linux操作系統(tǒng)具有穩(wěn)定、安全、網(wǎng)絡(luò)負(fù)載能力強(qiáng)、占用資源少等優(yōu)點(diǎn)，現(xiàn)成為當(dāng)今世界主流操作系統(tǒng)之一。Linux操作系統(tǒng)是開源的，任何人或企業(yè)都可以免費(fèi)得到，降低了企業(yè)成本，提升利潤(rùn)空間。Linux操作系統(tǒng)是不容易受到病毒和木馬攻擊，運(yùn)行安全穩(wěn)定，不需要經(jīng)常裝機(jī)，降低了運(yùn)維成本。Linux操作系統(tǒng)網(wǎng)絡(luò)服務(wù)功能非常強(qiáng)大，支持豐富的網(wǎng)絡(luò)協(xié)議和應(yīng)用；在服務(wù)器領(lǐng)域非常成熟，占據(jù)大部分市場(chǎng)。2.1 Linux安全概述相對(duì)Windows而言，Linux是一個(gè)安全而穩(wěn)定的操作系統(tǒng)。Linux系統(tǒng)安全與系統(tǒng)管理員有很大關(guān)系。服務(wù)安裝的越多越容易導(dǎo)致系統(tǒng)的安全漏洞。安裝Linux時(shí)，最好先最小化安裝，然

43、后再加上必要的軟件。這樣可以減小某個(gè)程序出現(xiàn)安全隱患的可能。如果管理得好，Linux將是最安全的系統(tǒng)。應(yīng)該盡量少讓外人知道有關(guān)系統(tǒng)的信息。有時(shí)候簡(jiǎn)單地用finger程序就能知道不少系統(tǒng)信息，比如：有多少用戶、管理員什么時(shí)候登錄、什么時(shí)候工作、是誰現(xiàn)在正在使用這個(gè)系統(tǒng)以及其他有利于黑客猜出用戶口令的信息。2. LINUX安全配置2.1 Linux安全概述日志是了解Linux系統(tǒng)運(yùn)行情況的唯一方法。把所有的連接都記錄在日志中，可以發(fā)現(xiàn)攻擊者和他們?cè)噲D進(jìn)行的攻擊。限制系統(tǒng)中SUID的程序。 SUID的程序是以root（Linux世界中的上帝）權(quán)限運(yùn)行的程序。有時(shí)候這是必須的，但是在多數(shù)情況下則沒有必

44、要。SUID程序可以做任何root做的事，有更多的機(jī)會(huì)出現(xiàn)安全隱患。黑客可以利用SUID的程序來破壞系統(tǒng)的安全。2. LINUX安全配置2.2 Linux安全配置（1）root賬號(hào)root賬號(hào)是Linux系統(tǒng)中享有特權(quán)的賬號(hào)。 它是不受任何限制和制約的。因此，可能會(huì)因?yàn)榍缅e(cuò)了一個(gè)命令，導(dǎo)致重要的系統(tǒng)文件被刪除。用root賬號(hào)的時(shí)候，要非常小心。因?yàn)榘踩?，在不是絕對(duì)必要的情況下，不要用root賬號(hào)登錄。需要的時(shí)候可以使用su命令切換到root賬號(hào)。特別要注意的是：千萬不要在別的計(jì)算機(jī)上用root登錄自己的服務(wù)器。2. LINUX安全配置2.2 Linux安全配置（2）賬號(hào)管控禁止操作系統(tǒng)中不

45、必要的預(yù)置賬號(hào)（每次升級(jí)或安裝完都要檢查一下）。Linux系統(tǒng)中提供了這樣一些可能不需要的預(yù)置賬號(hào)。如果確實(shí)不需要這些賬號(hào)，就把它們刪掉。系統(tǒng)中賬號(hào)越多就越容易受到攻擊。命令：rootAid# useradd admin 系統(tǒng)中加入必要的用戶命令：rootAid# chattr +i /etc/passwd （ /etc/shadow 、/etc/group、/etc/gshadow） 給口令文件和組文件設(shè)置不可改變位2. LINUX安全配置2.2 Linux安全配置（2）賬號(hào)管控刪除不必要帳戶1、應(yīng)該刪除所有不用的缺省用戶和組賬戶（比如：lp，sync，shutdown，halt，mail）

46、；2、不用sendmail服務(wù)器可刪除帳號(hào)news，uucp，operator，games；3、不用X windows服務(wù)器可刪掉帳號(hào)gopher命令： rootAid#userdel lp 刪除一些不必要用戶命令：rootAid# groupdel adm 刪除一些不必要的組2. LINUX安全配置2.2 Linux安全配置（3）防止任何人su成為root建議盡量限制用戶通過su命令成為root。方法如下：第一步 編輯su文件（vi /etc/pam.d/su），在文件的頭部加入下面兩行： auth sufficient /lib/security/pam_rootok.so debug a

47、uth required /lib/security/pam_wheel.so group=wheel 這兩行的意義是只有 wheel組的成員才能用su命令成為root。注意， w h e e l組是系統(tǒng)中用于這個(gè)目的的特殊賬號(hào)。不能用別的組名。第二步，讓授權(quán)賬號(hào)加入wheel組。 rootAid# usermod -G10 admin2. LINUX安全配置2.2 Linux安全配置（4）禁止任意訪問本機(jī)（啟用TCP_WRAPPERS）第一步 vi /etc/hosts.deny，加入下面這些行： # Deny access to everyone. ALL: ALLALL, PARANOID第二步 vi /etc/hosts.allow。例如，可以加入下面這些行（被授權(quán)訪問的計(jì)算機(jī)要明確地列出來）： sshd: 被授權(quán)訪問的計(jì)算機(jī)的IP地址是：208.164. 186.