CIS操作系統(tǒng)安全-v

操作系統(tǒng)安全培訓機構(gòu)名稱講師名稱版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內(nèi)容2操作系統(tǒng)與數(shù)據(jù)庫安全知識體知識域操作系統(tǒng)安全知識子域Windows系統(tǒng)安全機制操作系統(tǒng)安全概述Linux系統(tǒng)安全機制安全操作系統(tǒng)數(shù)據(jù)庫安全知識域：操作系統(tǒng)安全知識子域：操作系統(tǒng)安全概念了解操作系統(tǒng)的作用與功能了解操作系統(tǒng)的主要安全設(shè)計機制理解操作系統(tǒng)的安全配置要點3操作系統(tǒng)的功能用戶與計算機硬件之間的接口操作系統(tǒng)為用戶提供了虛擬計算機，把硬件的復(fù)雜性與用戶隔離計算機系統(tǒng)的資源管理者CPU管理存儲管理設(shè)備管理文件管理網(wǎng)絡(luò)與通信管理用戶接口4硬件：CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)硬件等內(nèi)核系統(tǒng)調(diào)用接口用戶進程操作系統(tǒng)安全目標操作系統(tǒng)安全目標標識系統(tǒng)中的用戶和進行身份鑒別依據(jù)系統(tǒng)安全策略對用戶的操作進行訪問控制，防止用戶和外來入侵者對計算機資源的非法訪問監(jiān)督系統(tǒng)運行的安全性保證系統(tǒng)自身的安全和完整性5操作系統(tǒng)安全機制（一）標識與鑒別用戶身份合法性鑒別操作系統(tǒng)登錄訪問控制防止對資源的非法使用限制訪問主體對訪問客體的訪問權(quán)限D(zhuǎn)AC、MAC、RBAC最小特權(quán)管理限制、分割用戶、進程對系統(tǒng)資源的訪問權(quán)限“必不可少的”權(quán)限6操作系統(tǒng)安全機制（二）信道保護正常信道的保護可信通路（TrustedPath）安全鍵（SAK）7操作系統(tǒng)安全機制（三）安全審計對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查以及審核審計一般是一個獨立的過程內(nèi)存存取保護進程間/系統(tǒng)進程內(nèi)存保護段式保護、頁式保護和段頁式保護文件系統(tǒng)保護分區(qū)文件共享文件備份8知識域：操作系統(tǒng)安全知識子域：Windows系統(tǒng)安全機制理解Windows系統(tǒng)標識與鑒別、訪問控制、用戶賬戶控制、安全審計、文件系統(tǒng)的安全機制和安全策略掌握Windows系統(tǒng)的安全配置方法9Windows系統(tǒng)標識與鑒別-安全主體安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計算機服務(wù)10Windows系統(tǒng)標識識與鑒別別-安全標識識安全標識識符（SecurityIdentifier，SID）安全主體體的代表表（標識用戶戶、組和和計算機機賬戶的的唯一編編碼）范例：S-1-5-21-1736401710-1141508419-1540318053-100011Windows系統(tǒng)標識識與鑒別別-用戶鑒別12賬戶信息息管理機機制登錄驗證證本地登錄錄驗證遠程登錄驗驗證Windows用戶身份份鑒別帳號信息息存儲（SAM:安全賬號號管理））運行期鎖鎖定、存儲格式加加密僅對system帳號有權(quán)權(quán)限，通通過服務(wù)務(wù)進行訪訪問控制Windows用戶身份份鑒別：：本地登登錄GINA（GraphicalIdentificationandAuthentication:圖形化識別別和驗證)LSA（LocalSecurityAuthority：本地安全授授權(quán)）13SAM賬戶信息庫庫GINALSAWindows系統(tǒng)身份份鑒別：：遠程登登錄遠程登錄錄鑒別協(xié)協(xié)議SMB（ServerMessageBlock）:口令明文文傳輸LM（LANManager）：口令令哈希傳傳輸，強強度低NTLM（NTLANManager）：提高高口令散散列加密密強度、、挑戰(zhàn)/響應(yīng)機制制Kerberos：為分布布網(wǎng)絡(luò)提提供單一一身份驗驗證14Windows系統(tǒng)訪問問控制-ACL訪問控制制列表（（AccessControlList，ACL）NTFS文件系統(tǒng)支持權(quán)限存儲流流文件系系統(tǒng)中自主訪問控控制靈活性高高，安全全性不高高15Windows系統(tǒng)訪問控制制-用戶賬戶控制制用戶帳戶控制制（UserAccountControl，UAC）完全訪問令牌牌標準受限訪問問令牌16Windows文件系統(tǒng)安全全NTFS文件系統(tǒng)權(quán)限限控制（ACL）文件、文件夾夾、注冊表鍵鍵值、打印機機等對象安全加密EFS(EFS(EncryptingFileSystem)Windows內(nèi)置，與文件件系統(tǒng)高度集集成對windows用戶透明對稱與非對稱稱算法結(jié)合Bitlocker對整個操作系系統(tǒng)卷加密解決設(shè)備物理理丟失安全問問題17Windows系統(tǒng)審計機制制Windows日志系統(tǒng)應(yīng)用程序安全設(shè)置應(yīng)用程序和服務(wù)務(wù)日志應(yīng)用訪問日志FTP訪問日志IIS訪問日志18Windows系統(tǒng)安全策略略賬戶策略密碼策略賬戶鎖定策略略本地策略審核策略用戶權(quán)限分配配安全選項……19Windows系統(tǒng)安全配置1、安全配置前置工工作2、賬號安全設(shè)設(shè)置3、關(guān)閉自動播播放4、遠程訪問控控制5、本地安全策略略6、服務(wù)運行安全設(shè)設(shè)置7、使用第三方方安全增強軟件20Windows安全設(shè)置1-前置工作安全的安裝分區(qū)設(shè)置：不不要只使用一一個分區(qū)系統(tǒng)補丁：SP+Hotfix補丁更新設(shè)置：：檢查更新自動下載安裝裝或手動21Windows安全配置2-賬號安全設(shè)置置賬號安全設(shè)置置系統(tǒng)賬號策略略設(shè)置賬號安全選項設(shè)置22賬號安全設(shè)置置-保護賬號安全全默認管理賬戶戶administrator更名設(shè)置“好”的口口令自己容易記、、別人不好猜猜不安全口令實實例：ZAQ!@WSXzaq12wsx安全口令實例:WdSrS1Y28r!23一句話“我的生日是1月28日!”Wdsrs1y28rWdSrS1Y28r!稍作變形：單數(shù)字母大寫，，最后加個感感嘆號賬號安全設(shè)置置-系統(tǒng)賬號策略略密碼策略：避避免系統(tǒng)出現(xiàn)現(xiàn)弱口令密碼必須符合合復(fù)雜性要求求密碼長度最小小值密碼最短使用用期限密碼最長使用期期限強制密碼歷史用可還原的加加密來存儲密密碼24賬號安全設(shè)置置-賬號鎖定策略略賬號鎖定策略略：應(yīng)對口令令暴力破解賬號鎖定時間間賬號鎖定閥值值重置賬號鎖定計計數(shù)器25賬號權(quán)限控制制-用戶權(quán)限分配用戶權(quán)限分配配從網(wǎng)絡(luò)訪問這這臺計算機拒絕從網(wǎng)絡(luò)訪問這這臺計算機管理審核和安全日志從遠程系統(tǒng)強制制關(guān)機26賬戶權(quán)限控制制-設(shè)置喚醒密碼設(shè)置喚醒計算算機時的登錄密碼設(shè)置屏幕保護恢復(fù)時的的登錄密碼27Windows安全配置3-自動播放功能的的威脅為方便用戶而而設(shè)計惡意代碼借助助移動存儲介介質(zhì)傳播的方方式28Windows安全配置-關(guān)閉自動播放關(guān)閉自動播放功能可以有效阻斷U盤病毒的傳播路徑徑29Windows全配置4-遠程訪問控制制網(wǎng)絡(luò)訪問控制制共享安全防護30網(wǎng)絡(luò)訪問控制制-防火墻設(shè)置確保啟用Windows自帶防火墻31網(wǎng)絡(luò)訪問控制-防火墻高級配置置出站規(guī)則入站規(guī)則連接安全規(guī)則則監(jiān)視防火墻連接安全規(guī)則則安全關(guān)聯(lián)32共享安全防護護-共享安全風險險IPC$的安全問題（（空會話連接接導(dǎo)致信息泄泄露）管理共享風險險(遠程文件操作作)普通共享的風風險（遠程文文件操作）33系統(tǒng)用戶列表用戶信息共享列表……空會話連接共享安全防護護-關(guān)閉管理共享空會話連接控控制本地安全策略設(shè)設(shè)置中對匿名名訪問的限制制關(guān)閉管理共享享：修改注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters34Windows安全設(shè)置5-本地安全策略略審核策略用戶權(quán)限分配安全選項……35本地安全策略略-安全選項管理工具→本本地安全策略略→安全設(shè)置置→本地策略略→安全選項交互式登錄：無須按按Ctrl+Alt+Del，設(shè)置為已禁禁用交互式登錄：不顯示示最后的用戶名，設(shè)置置為已啟用設(shè)備：將CD-ROM的訪問權(quán)限僅僅限于本地登登錄的用戶，，設(shè)置為已啟啟用36本地安全策略略-安全選項管理工具→本本地安全策略略→安全設(shè)置置→本地策略略→安全選項項網(wǎng)絡(luò)訪問：不允許許SAM賬號的匿名枚舉，設(shè)設(shè)置為已啟用網(wǎng)絡(luò)訪問：可可匿名訪問的的共享，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可可匿名訪問的的命名管道，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可可遠程訪問的的注冊表路徑徑，刪除策略設(shè)置里的值37Windows安全配置6-服務(wù)運行安全全Windows服務(wù)（windowsservice)Windows服務(wù)程序是一一個長時間運運行的可執(zhí)行行程序，不需需要用戶的交交互，也不需需要用戶登錄錄38服務(wù)運行安全全設(shè)置-關(guān)閉不必要的的服務(wù)關(guān)閉不需要的的服務(wù)計劃任務(wù)遠程操作注冊表表……控制服務(wù)權(quán)限限System(本地系統(tǒng))LocalServiceNetworkService39Windows安全配置7-第三方安全軟軟件防病毒軟件安全防護軟件40安裝防病毒軟軟件安裝病毒防護護軟件惡意代碼是終終端安全的最最大威脅確保病毒防護護軟件病毒庫庫更新病毒防護軟件件主要工作機機制：特征碼碼掃描開啟云查殺41系統(tǒng)安全防護護軟件系統(tǒng)安全保護軟軟件影子系統(tǒng)主機入侵檢測測42知識域：操作作系統(tǒng)安全43知識子域：Linux系統(tǒng)安全機制制理解Linux系統(tǒng)標識與鑒鑒別、訪問控控制、安全審審計、文件系系統(tǒng)、特權(quán)管管理的安全機機制掌握Linux系統(tǒng)的安全配配置方法Linux系統(tǒng)標識與鑒鑒別-安全主體安全主體用戶：身份標標識（UserID）組：身份標識識（GroupID）用戶與組基本本概念文件必須有所所有者用戶必須屬于某個個或多個組用戶與組的關(guān)關(guān)系靈活（一一對多、多對對多等都可以以）根用戶擁有所有有權(quán)限44Linux系統(tǒng)標識與鑒鑒別-帳號信息存儲儲信息存儲用戶信息：/etc/passwd/etc/shadow組信息/etc/group/etc/gshadow45用戶信息文件件-passwd用于存放用戶戶信息（早期期包括使用不不可逆DES算法加密形成成用戶密碼散散列）特點文本格式全局可讀存儲條目格式式name:coded-passwd:UID:GID:userinfo:homedirectory:shell條目例子demo:x:523:100:J.demo:/home/demo:/bin/sh46用戶戶名名早期期：：密密碼碼散散列列X:代替密密碼碼散散列列*:賬號號不不可可交交互互登登錄錄用戶戶ID用戶所所屬屬組組ID用戶信信息息用戶戶目目錄錄用戶戶登登錄錄后后使使用用的的shell用戶戶帳帳號號影影子子文文件件-shadow用于于存存放放用用戶戶密密碼碼散散列列、、密密碼碼管管理理信信息息等等特點點文本本格格式式僅對對root可讀讀可可寫寫存儲儲條條目目格格式式name:passwd:lastchg:min:max:warn:inactive:expire:flag條目目例例子子#root:$1$acQMceF9:13402:0:99999:7:::47用戶登登錄錄名名及及加加密密的的用用戶戶口口令令上次次修修改改口口令令日日期期口令令兩兩次次修修改改最最小小天天數(shù)數(shù)及及最最大大天天數(shù)數(shù)口令令失失效效前前多多少少天天向向用用戶戶警警告告被禁禁止止登登錄錄前前還還有有效效天天數(shù)數(shù)帳號號被被禁禁止止登登錄錄時時間間保留留域域Linux系統(tǒng)統(tǒng)身身份份鑒鑒別別口令令鑒鑒別別本地登登錄錄遠程登登錄錄（（telnet、FTP等））主機機信信任任（（基基于于證證書書））PAM（PluggableAuthenticationModules,可插拔拔驗驗證證模模塊））48………PAMAPI………logintelnetSSHLinuxKerberosS/keyPAMSPILinux系統(tǒng)統(tǒng)訪訪問問控控制制-權(quán)限限模模式式文件件/目錄錄權(quán)權(quán)限限基基本本概概念念權(quán)限限類類型型：：讀讀、、寫寫、、執(zhí)執(zhí)行行權(quán)限限表表示示方方式式：：模模式式位位drwxr-xr-x3rootroot1024Sep1311:58test49文件類型：d為文件夾-是文件文件擁有者的權(quán)限（U）文件擁有者所在組其他用戶的權(quán)限（G）系統(tǒng)中其他用戶權(quán)限（O）鏈接數(shù)文件擁有者UID文件擁有者GID文件大小最后修改時間文件名Linux系統(tǒng)統(tǒng)訪訪問問控控制制-權(quán)限限模模式式權(quán)限的的數(shù)數(shù)字字表表示示法法權(quán)限限的的特特殊殊屬屬性性SUID、SGID、Sticky（防防刪刪除除））50-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序序Linux系統(tǒng)統(tǒng)安安全全審審計計-日志志系系統(tǒng)統(tǒng)系統(tǒng)統(tǒng)日日志類類型型連接接時時間間日日志/var/log/wtmp和/var/run/utmp由多多個個程程序序執(zhí)執(zhí)行行，，記記錄錄用用戶戶登登錄錄時時間間進程程統(tǒng)統(tǒng)計由系系統(tǒng)統(tǒng)內(nèi)內(nèi)核核執(zhí)執(zhí)行行，，為為系系統(tǒng)統(tǒng)基基本本服服務(wù)務(wù)提提供供命命令令使使用用統(tǒng)統(tǒng)計計錯誤日日志/var/og/messages由syslogd守護護記記錄錄，，制制定定注注意意的的事事項項應(yīng)用程程序序日日志應(yīng)用程程序序如如（（HTTP、FTP）等等創(chuàng)創(chuàng)建建的的日日志志51Linux文件系系統(tǒng)統(tǒng)文件件系系統(tǒng)統(tǒng)類類型型日志志文文件件系系統(tǒng)：Ext4、Ext3、Ext2、ReiserFS、XFS、JFS等文件件系系統(tǒng)統(tǒng)安安全全訪問權(quán)權(quán)限限文件件系系統(tǒng)統(tǒng)加加密密eCryptfs（EnterpriseCryptographicFilesystem）基于于內(nèi)核核，，安安全全性性高高，，用用戶戶操操作作便便利利加密密元數(shù)據(jù)據(jù)寫在每每個個加加密密文文件件的的頭部，，方方便便遷遷移移，，備備份份52文件件系系統(tǒng)統(tǒng)目目錄錄結(jié)結(jié)構(gòu)構(gòu)53/homebinprocusrbootlibdevetcvarftpljwlinuxbinlibmantmpliblogrunspooltmpLinux系統(tǒng)的的特權(quán)權(quán)管理理特權(quán)劃劃分分割管理理權(quán)限，30多種管管理特特權(quán)根用戶戶（root）擁有所所有特特權(quán)普通用用戶特特權(quán)操操作實實現(xiàn)setuidsetgid特權(quán)保護護：保保護root賬號不直接接使用用root登錄，，普通通用戶戶su成為root控制root權(quán)限使使用54Linux系統(tǒng)安安全設(shè)設(shè)置1、安全全配置置前置置工作作2、賬號號和口口令安安全3、系統(tǒng)服服務(wù)配配置4、遠程登登錄安全5、文件件和目目錄安安全6、系統(tǒng)統(tǒng)日志志配置置7、使用用安全全軟件件55Linux設(shè)置——安全配置前前置工工作系統(tǒng)安安裝使用官官方/正版軟軟件分區(qū)掛掛載重重要目目錄根目錄錄（/）、用用戶目目錄（（/home）、臨臨時目目錄（（/tmp）等應(yīng)應(yīng)分開到到不同同的磁磁盤分分區(qū)自定義義安裝，，選擇擇需要要的軟軟件包包不安裝裝全部部軟件件包，，尤其其是那那些不不需要要的網(wǎng)網(wǎng)絡(luò)服服務(wù)包包系統(tǒng)補補丁及時安裝系系統(tǒng)補丁更新補丁前前，要要求先先在測測試系系統(tǒng)上上對補補丁進進行可用性性和兼容容性驗驗證56Linux設(shè)置——賬號和和口令令安全全賬號通通用配配置保護root賬號口令安安全策策略57賬號和和口令令安全——賬號通通用配置（（1）檢查、清除系統(tǒng)中中多余賬號檢查#cat/etc/passwd#cat/etc/shadow清除多多余賬賬號鎖定賬賬號特殊保留的系統(tǒng)統(tǒng)偽賬戶，可以以設(shè)置置鎖定定登錄錄鎖定命命令：：#passwd-l<用戶名名>解鎖命命令：：#passwd-u<用戶名名>58賬號和和口令令安全全——賬號通通用配配置（2）禁用root之外的的超級級用戶打開系統(tǒng)賬賬號文件/etc/passwd若用戶ID=0，則表示該該用戶擁擁有超超級用用戶的的權(quán)限檢查是是否有多個個ID=0禁用或或刪除除多余余的賬賬號59賬號和和口令令安全全——賬號通通用配配置（3）檢查是是否存存在空空口令令賬號號執(zhí)行命命令#awk-F:'(==""){print$1}'/etc/shadow如果存存在空空口令令賬號號，則則對其其進行行鎖定定，或或要求求增加加密碼要確認空空口令令賬戶戶是否否和已有應(yīng)用關(guān)聯(lián)，，增加加密碼碼是否否會引引起應(yīng)應(yīng)用無無法連連接的的問題題60賬號和和口令令安全全——賬號通通用配配置（（3）設(shè)置賬賬戶鎖鎖定登登錄失失敗鎖鎖定次次數(shù)、、鎖定定時間修改賬賬戶超超時值值，設(shè)設(shè)置自自動注注銷時時間61賬號和和口令令安全全——保護root賬號root賬號權(quán)權(quán)限很很高保護措措施禁止使使用root登錄系系統(tǒng)只允許許普通通用戶戶登陸陸，然然后通通過su命令切切換到到root不要隨意把把rootshell留在終終端上上；不要把當前前目錄錄(“./””)和普通通用戶戶的bin目錄放放在root賬號的的環(huán)境境變量量PATH中永遠不以root運行其其他用用戶的的或不不熟悉悉的程程序62賬號和和口令令安全全——口令安安全策策略口令安安全策策略要求使使用安安全口口令口令長長度、、字符符要求求口令修修改策策略強制口口令使使用有有效期期設(shè)置口口令修修改提提醒設(shè)置賬賬戶鎖鎖定登登錄失失敗鎖鎖定次次數(shù)、、鎖定定時間間63vi/etc/login.defPASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE28Linux設(shè)置——系統(tǒng)服服務(wù)配配置禁止危險的網(wǎng)絡(luò)絡(luò)服務(wù)telnet、FTPecho、chargen、shell、finger、NFS、RPC等關(guān)閉非必需需的網(wǎng)網(wǎng)絡(luò)服務(wù)talk、ntalk等確保最新版版本使用當前最新和和最安安全的的版本的服務(wù)務(wù)軟件件64關(guān)閉郵郵件服務(wù)：：chkconfig--level12345sendmailoff關(guān)閉圖圖形登登錄服服務(wù)：：編輯輯/etc/inittab文件，修改為為id:3:initdefault:關(guān)閉Xfont服務(wù)：：chkconfigxfsoffLinux設(shè)置——遠程登登錄安安全禁用telnet,使用SSH進行管理限制能夠登登錄本本機的的IP地址禁止root用戶遠遠程登登陸限定信任主主機修改banner信息65遠程登登錄安安全——使用SSH/限制登登錄IP禁用telnet,使用SSH進行管管理開啟ssh服務(wù)：：#servicesshdstart限制能夠登錄本本機的的IP地址#vi/etc/ssh/sshd_config添加（或修修改）：AllowUsersxyz@3允許用戶xyz通過地址3來登錄本機AllowUsers*@192.168.*.*僅允許/16網(wǎng)段所有用戶戶通過ssh訪問。66遠程登錄安全全——禁止root/限定信任主機機禁止root用戶遠程登陸陸#cat/etc/ssh/sshd_config確保PermitRootLogin為no限定信任主機#cat/etc/hosts.equiv#cat/$HOME/.rhosts查看上述兩個個文件中的主主機，刪除其其中不必要的的主機，防止止存在多余的的信任主機或直接關(guān)閉所所有R系列遠程服務(wù)務(wù)rloginrshrexec67遠程登錄安全全——修改banner信息系統(tǒng)banner信息一般會給出操作系系統(tǒng)名稱、版本號號、主機名稱稱等修改banner信息查看修改sshd_config#vi/etc/ssh/sshd_config如存在，則將將banner字段設(shè)置為NONE查看修改motd：#vi/etc/motd該處內(nèi)容將作作為banner信息顯示給登登錄用戶。查查看該文件內(nèi)內(nèi)容，刪除其其中的內(nèi)容，，或更新成自自己想要添加加的內(nèi)容68Linux設(shè)置——文件和目錄安安全設(shè)置文件目錄錄權(quán)限設(shè)置默認umask值檢查SUID/SGID文件69文件和目錄安全——設(shè)置文件目錄錄權(quán)限保護重要的文文件目錄，限限制用戶訪問問設(shè)置文件的屬屬主和屬性以以進行保護極其重要的文文件或目錄可可以設(shè)置為不不可改變屬性性chattr

+i/etc/passwd臨時文件不應(yīng)應(yīng)該有執(zhí)行權(quán)限70常見文件權(quán)限限及屬性的操操作命令：chmod、chown、chattr文件和目錄安安全——設(shè)置默認umask值設(shè)置新創(chuàng)建文件的默認權(quán)限掩掩碼可以根據(jù)要求求設(shè)置新文件件的默認訪問問權(quán)限，如僅僅允許文件屬屬主訪問，不不允許其他人人訪問umask設(shè)置的是權(quán)限限“補碼”設(shè)置方法使用umask命令如#umask066編輯/etc/profile文件，設(shè)置umask值71文件和目錄安安全——檢查SUID/SGID文件SUID/SGID的程序在運行時時，將有效用戶ID改變?yōu)樵摮绦虻乃姓?組)ID。因而可能存在一定定的安全隱患找出系統(tǒng)中所有含s“位的程序,把不必要的”s“位去掉,或者把根本不用的的直接刪除,這樣可以防止用戶濫用用及提升權(quán)限限的可能性,其命令如下：查找SUID可執(zhí)行程序#find/

-perm

-4000

-user0–ls查找SGID程序#find/

-perm

-2000

-user0–ls72Linux設(shè)置——系統(tǒng)日志配置（1）73保護日志文件審查日志中不不正常情況非常規(guī)時間登登錄日志殘缺Su的使用服務(wù)的啟動情況況……Linux設(shè)置——系統(tǒng)日志配置置（2）啟用syslog服務(wù)配置日志存儲儲策略打開/etc/logrotate.d/syslog文件，檢查其其對日志存儲儲空間的大小小和時間的設(shè)設(shè)置使用syslog設(shè)備Syslog.conf設(shè)置使用syslog日志服務(wù)器74Linux設(shè)置——使用安全軟件件啟用主機防火火墻使用最新版本本安全軟件75使用安全軟件件——使用主機防火墻（1）76Linux下的防火墻框框架iptables包過濾NAT數(shù)據(jù)包處理Iptables基本規(guī)則Iptables[-ttable]command[match][target]Iptables基本應(yīng)用Iptables–AINPUT–s––jACCEPTIptables–DINPUT–dport80–jDROP使用安全軟件件——使用主機防火墻（2）Iptables已內(nèi)嵌到Linux系統(tǒng)中功能較強大建議設(shè)置Linux開機后自動啟啟動該防火墻墻77使用安全軟件件——使用最新版本安全全軟件使用官方安全全軟件opensshopensslsnort…使用最新版軟軟件及時消除安全全隱患78知識域：操作作系統(tǒng)安全知識子域：安全全操作系統(tǒng)了解安全操作作系統(tǒng)的發(fā)展展了解安全操作作系統(tǒng)的設(shè)計計原則79安全操作系統(tǒng)統(tǒng)概念操作系統(tǒng)安全安全設(shè)置安全增強安全操作系統(tǒng)統(tǒng)可信計算機系系統(tǒng)評價標準準（TruestedComputerSecurityEvaluationCritria，TCSEC）可信操作系統(tǒng)統(tǒng)80安全操作系統(tǒng)統(tǒng)研究概況1965年，Multics1973年，安全模型BLP模型：信息的保密性Biba模型：信息的完整性1969年，Adept-501986年，SeeureXeniX，B21987年，TMach(TrustedMach)，B3近年來TrustedBSDSELinuxAppArmor81SELinux簡介SELinux安全增強Linux（SecurityEnhancedLinux）安全子系統(tǒng)強制訪問控制制（MAC）美國國家安全全局開發(fā)以GNUGPL形式開源發(fā)布布82謝謝，請?zhí)釂枂栴}！9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Tuesday,December20,202210、雨中黃葉樹樹，燈下白頭頭人。。17:30:5217:30:5217:3012/20/20225:30:52PM11、以我獨沈久久，愧君相見見頻。。12月-2217:30:5217:30Dec-2220-Dec-2212、故人江海別別，幾度隔山山川。。17:30:5217:30:5217:30Tuesday,December20,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2217:30:5217:30:52December20,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。20十十二二月月20225:30:52下下午午17:30:5212月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。十二二月月225:30下下午午12月月-2217:30December20,202216、行動出出成果，，工作出出財富。。。2022/12/2017:30:5217:30:5220December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。5:30:52下下午5:30下下午17:30:5212月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Tuesday,December20,202210、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒有。。。17:30:5217:30:5217:3012/20/2022