学习啦 > 学习电脑 > 电脑安全 > 系统安全 >

电脑系统安全基础知识大全

时间: 怀健20 分享

电脑系统,又称电脑操作系统,是用于管理和控制计算机系统中的硬件及软件资源的系统软件,也是计算机系统的内核与基石。下面就让小编带你去看看电脑系统安全基础知识大全吧,希望能帮助到大家!

系统安全及应用

简介

作为一种开放源代码的操作系统,Linu__服务器以其安全.高效和稳定的显著优势而得以广泛应用。

本章主要从账号安全控制、系统引导和登录控制的角度,学习Linu__系统安全优化的点点滴滴;还将学习基于Linu__环境的弱口令检测、网络扫描等安全工具的构建和使用,帮助管理员查找安全隐患,及时采取有针对性的防护措施。

本章重点

su、sudo的使用

为GRUB引导菜单设置密码

NMAP端口扫描器

理论讲解

用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用户账号才能进入计算机。在Linu__系统中,提供了多种机制来确保用户账号的正当、安全使用。

一,基本安全措施

1.系统账号清理

在Linu__系统中.除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其他大量账号。除了超级用户root之外,其他大量账号只是用来维护系统运作,启动或保持服务进程,一般是不允许登录的,因此也称为非登录用户账号。

常见的非登录用户账号包括bin,daemon.adm、lp、mail等。为了确保系统安全,这些用户账号的登录Shell 通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动,如下所示:

各种非登录用户账号中,还有相当一部分是很少用到的,如games。这些用户账号可以视为冗余账号,直接删除即可。除此之外,还有一些随应用程序安装的用户账号,若卸载程序以后未能自动删除,则需要管理员手动进行清理。

对于Linu__服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定。例如,若要锁定、解锁名为bob的用户账号,可以执行以下操作(passwd.usermod命令都可用来锁定、解锁账号)。

如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。使用chattr命令,分别结合“+i” “-i“选项来锁定、解锁文件,使用lsattr命令可以查看文件锁定情况。

在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更改用户的密码、登录Shell、宿主目录等属性信息。

例如在锁定文件之后创建张三用户,就会显示创建失败。如下图:

2.密码安全控制

在不安全的网络环境中,为了降低密码被猜出或被暴力解开的风险,用户应养成定期更改密码的习惯,避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数,对于密码已过期的用户,登录时将被要求重新设置密码,否则将拒绝登录。

执行以下操作可将密码的有效期设为30天(chage命令用于设置密码时限)。

在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码。例如执行以下操作可强制要求用户Bob下次登录时重设密码。

3.命令历史、自动注销

Shell 环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在的风险。

只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。

Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认为1000条。通过修改

/etc/profile 文件中的HISTSIZE变量值,可以影响系统中的所有用户。例如,可以设置最多只记录200条历史命令。

需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置TMOUT变量。必要时可以执行“unset TMOUT”命令取消TMOUT变量设置。

除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。

这样,当用户退出已登录Bash环境以后,所记录的历史命令将自动清空。

二,用户切换与提权

大多数Linu__服务器并不建议用户直接以root用户进行登录。一方面可以大大减少因误操作而导致的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或权限提升机制,以便在必要的时候执行管理任务。

Linu__系统为我们提供了su、sudo两种命令,其中su命令主要用来切换用户,而sudo命令用来提升执行权限,下面分别进行介绍。

1.su命令——切换用户

使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限。当然,切换时需要对目标用户的密码进行验证(从root用户切换为其他用户时除外)。例如,当前登录的用户为bob

若要切换为root用户,可以执行以下操作:

上述命令操作中,选项“-”等同于“--login”或“-l”,表示切换用户后进入目标用户的登录Shell环境,若缺少此选项则仅切换身份、不切换用户环境。对于切换为root用户的情况,“root”可 以省略。

默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登录密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到wheel组,修改

/etc/pam.d/su 认证配置以启用pam_wheel认证。

修改配置文件支持允许wheel组使用su

将bob用户加入到wheel组中

查看wheel组中是否拥有bob用户

启用pam_wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。

如图所示:

上图切换失败,拒绝权限的原因就是我们没有把用户张三加入到wheel组中,所以拒绝张三用户使用su命令。

使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看。

2.sudo命令——提升执行权限

通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码。

例如,若要从Bob用户切换为root用户,必须知道root用户的密码。对于生产环境中的Linu__服务器,每多一个人知道特权密码,其安全风险也就增加一分。

那么,有没有一种折中的办法,既可以让普通用户拥有一部分管理权限,又不需要将root用户的密码告诉他呢?答案是肯定的,使用sudo命令就可以提升执行权限。不过,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。

1)在配置文件/etc/sudoers中添加授权

sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,保存时必须执行:wq!”命令来强制操作,否则系统将提示为只读文件而拒绝保存。

配置文件/etc/sudoers中,授权记录的基本配置格式如下所示:

user MACHINE=COMMANDS

授权配置主要包括用户、主机、命令三个部分,即授权哪些人在哪些主机上执行哪些命令。

各部分的具体含义如下。

用户(user):直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。

主机(MACHINE):使用此配置文件的主机名称。此部分主要是方便在多个主机间共用同一份sudoers文件,一般设为localhost或者实际的主机名即可。

命令(COMMANDS):允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号”,”进行分隔。

典型的sudo配置记录中,每行对应一个用户或组的sudo授权配置。例如,若要授权用户bob能够执行reboot来重启虚拟机,而wheel组的用户无需验证密码即可执行任何命令,可以执行以下操作:

因为是只读文件,所以必须wq! 强制保存退出

sudo配置记录的命令部分允许使用通配符“__”、取反符号“!”,当需要授权某个目录下的所有命令或取消其中个别命令时特别有用。例如,若要授权用户syrianer 可以执行/sbin/目录下除ifconfig以外的其他所有命令程序,可以执行以下操作

默认情况下,通过sudo方式执行的操作并不记录。若要启用sudo日志记录以备管理员查看,应在/etc/sudoers 文件中增加“Defaults logfile”设置。

2)通过sudo执行特权命令

对于已获得授权的用户,通过sudo方式执行特权命令时,只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin、/usr/sbin等目录下,普通用户执行时应使用绝对路径。以下操作验证了使用sudo方式执行命令的过程。

若要查看用户自己获得哪些sudo授权,可以执行“sudo-l”命令。未授权的用户将会得到“may not run sudo”的提示,已授权的用户则可以看到自己的sudo配置。

如果已经启用sudo日志,则可以从/var/log/sudo文件中看到用户的sudo操作记录。

三,系统引导和登录控制

在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录过程往往容易被忽视,从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时,如何防止其他用户的非授权介入就成为必须重视的问题。

开关机安全控制

对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安全控制方面,除了要做好物理安全防护以外,还要做好系统本身的一些安全措施。

1.调整BIOS引导设置

(1)将第一优先引导设备(First Boot Device)设为当前系统所在磁盘。

(2)禁止从其他设备(如光盘、U盘、网络等)引导系统,对应的项设为“Disabled"。

(3)将BlOS的安全级别改为“setup”,并设置好管理密码,以防止未授权的修改。

2.禁止Ctrl+Alt+Del快捷键重启

快捷键重启功能为服务器的本地维护提供了方便,但对于多终端登录的Linu__服务器,禁用此功能是比较安全的选择。在CentOS7中,执行cat/etc/inittab命令可以得知Ctrl+Alt+Del快捷键功能由/usr/lib/systemd/system/ctrl-alt-del.target 文件进行设置。查看/usr/lib/systemd/system/ctrl-alt-del.target 文件发现,ctrl-alt-del.target是reboot.target文件的软链接文件。

在不影响reboot.target文件的前提下执行以下命令即可禁用Ctrl+Alt+Del快捷键功能。

systemctl mask命令是用于注销指定服务的,例如systemctl mask cpu.service 命令用于注销cpu服务,取消注销则使用systemctl umask命令。因此若想重新开启Ctrl+AIt+Del快捷键功能,只需执行systemctl unmask ctrl-alt-del.targct命令,然后刷新配置即可。

3.限制更改GRUB引导参数

在之前的课程中介绍过通过修改GRUB引导参数,对一些系统问题进行修复。从系统安全的角度来看,如果任何人都能够修改GRUB引导参数,对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制,可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。

为GRUB菜单设置的密码建议采用grub2-mlkpasswd-pbkdf2命令生成,表现为经过PBKDF2算法加密的字符串,安全性更好。生成密码后在/etc/grub.d/00_header配置文件中,添加对应的用户密码等配置,具体添加内容如下所示。

通过上述配置,重新开机进入GRUB菜单时,按E键将无法修改引导参数。若要获得编辑权限,必须根据提示输入正确的GRUB密码,如图所示:

为GRUB设置密码时,“grub.pbkdf2.sha512…”部分可替换为明文的密码字符串,如“123456”,但安全性稍差。不建议使用明文的密码字符串。

四,终端及登录控制

在Linu__服务器中,默认开启了六个tty终端,允许任何用户进行本地登录。关于本地登录的安全控制,可以从以下几个方面着手。

1.禁止root用户登录

在Linu__系统中,login 程序会读取/etc/securety文件,以决定允许root用户从哪些终端(安全终端)登录系统。若要禁止root用户从指定的终端登录,只需从该文件中删除或者注释掉对应的行即可。例如,若要禁止root用户从ty5.tty6登录,可以修改/etc/securetty文件,将tty5.ty6行注释掉。

2.禁止普通用户登录

当服务器正在进行备份或调试等维护工作时。可能不希望再有新的用户登录系统。这时候,只需要简单地建立/etc/nologin文件即可。login 程序会检查/etc/nologin文件是否存在,如果存在,则拒绝普通用户登录系统(root用户不受限制)。

此方法实际上是利用了shutdown延迟关机的限制机制,只建议在服务器维护期间临时使用。当手动删除/etc/nologin文件或者重新启动主机以后,即可恢复正常。

五,弱口令检测、端口扫描

本节将学习使用两个安全工具—ohn the Ripper和NMAP,前者用来检测系统账号的密码强度。后者用来执行端口扫描任务。

弱口令检测

John the Ripper在nternet环境中,过于简单的口令是服务器面临的最大风险。尽管大家都知道设置一个更长,更复杂的口令会更加安全,但总是会有一些用户因贪图方便而采用简单、易记的口令字串。对于任何一个承担着安全责任的管理员,及时找出这些弱口令账号是非常必要的,这样便于采取进一步的安全措施(如提醒用户重设更安全的口令)。

John the Ripper是一款开源的密码解开工具,能够在已知密文的情况下快速分析出明文的密码字串,支持DES.MD5等多种加密算法,而且允许使用密码字典(包含各种密码组合的列表文件)来进行暴力解开。通过使用John the Ripper,可以检测Linu__/UNI__系统用户账号的密码强度。

1.下载并安装John the Ripper

John the Ripper 的官方网站是http://www.openwall.com/john/,通过该网站可以获取稳定版源码包,如john-1.8.0.tar.gz。

以源码包john-18.0,tar.gz为例,解压后可看到三个子目录——doc、run.src,分别表示手册文档、运行程序、源码文件,除此之外还有一个链接的说明文件READE。其中,doc目录下包括READVME、INSTALL.E__AMPLES等多个文档,提供了较全面的使用指导。

切换到src子目录并执行“make clean linu__-__86-64”命令,即可执行编译过程。若单独执行make命令,将列出可用的编译操作、支持的系统类型。编译完成以后,run子目录下会生成一个名为john的可执行程序。

2.检测弱口令账号

在安装有John the Ripper的服务器中,可以直接对/etc/shadow文件进行检测。对于其他Linu__服务器,可以对shadow文件进行复制,并传递给john程序进行检测。只需执行run目录下的john程序,将待检测的shadow文件作为命令行参数,就可以开始弱口令分析了。

在执行过程中,分析出来的弱口令账号将即时输出,第一列为密码字串,第二列的括号内为相应的用户名(如用户bob的密码为“pwd@123”)。默认情况下,john将针对常见的弱口令设置特点。

尝试解开已识别的所有密文字串,如果检测的时间太长,可以按Ctrl+C组合键强行终止。解开出的密码信息自动保存到john.pot文件中,可以结合--show”选项进行查看。

3.使用密码字典文件

对于密码的暴力解开,字典文件的选择很关键。只要字典文件足够完整,密码解开只是时间上的问题。因此,“什么样的密码才足够强壮”取决于用户的承受能力,有人认为超过72小时仍无法解开的密码才算安全,也可能有人认为至少暴力分析一个月仍无法解开的密码才足够安全。

John the Ripper 默认提供的字典文件为password.lst,其列出了3000多个常见的弱口令。如果有必要,用户可以在字典文件中添加更多的密码组合,也可以直接使用更加完整的其他字典文件。执行john程序时,可以结合“--wordlist=”选项来指定字典文件的位置,以便对指定的密码文件进行暴力分析。

从上述结果可以看出,由于字典文件中的密码组合较少,因此仅解开出其中四个账号的口令。

也不难看出,像“123456iloveyou”之类的密码有多脆弱了。

六,网络扫描——NMAP

NMAP是一个强大的端口扫描类安全评测工具,官方站点是http://nmap.org/。NMAP被设计为检测众多主机数量的巨大网络,支持ping 扫描、多端口检测、OS识别等多种技术。使用NMAP定期扫描内部网络,可以找出网络中不可控的应用服务,及时关闭不安全的服务,减小安全风险。

1.安装NMAP软件包

在CentOS7系统中,既可以使用光盘自带的nmap.__86_64 2:6.40-7.el7安装包,也可以使用从NMAP官方网站下载的最新版源码包,这里以YUM方式安装的nmap软件包为例。

2.扫描语法及类型

NMAP的扫描程序位于/usr/bin/namp目录下,使用时基本命令格式如下所示。

nmap [扫描类型] [选项] <扫描目标..>

其中,扫描目标可以是主机名、IP地址或网络地址等,多个目标以空格分隔;常用的选项有“-p”“-n",分别用来指定扫描的端口、禁用反向DNS解析(以加快扫描速度);扫描类型决定着检测的方式,也直接影响扫描的结果。比较常用的几种扫描类型如下:

-sS,TCP SYN扫描(半开扫描):只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。

-sT,TCP连接扫描:这是完整的TCP扫描方式,用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。

-sF,TCPFN扫描:开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包.这种类型的扫描可间接检测防火墙的健壮性。

-sU,UDP扫描:探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。

-sP,ICVMP扫描:类似于ping检测,快速判断目标主机是否存活,不做其他扫描。

-P0,跳过ping检测:这种方式认为所有的目标主机是存活的,当对方不响应ICVMP请求时,使用这种方式可以避免因无法ping通而放弃扫描。

3.扫描操作示例

为了更好地说明nmap命令的用法,下面介绍几个扫描操作的实际用例。

针对本机进行扫描,检查开放了哪些常用的TCP端口、UDP端口。

上图中的命令都一样。都是查看本机开发的端口

在扫描结果中,STATE列若为open则表示端口为开放状态,为filtered表示可能被防火墙过滤,为closed表示端口为关闭状态。

检查192.168.100.0/24网段中有哪些主机提供FTP服务。

快速检测192.168.100.0/24网段中有哪些存活主机(能ping通)

检测IP地址位于192.168.4.100~200的主机是否开启文件共享服务。

实际上,NMAP提供的扫描类型、选项还有很多,适用于不同的扫描需求,本章仅介绍了其中一小部分常用的操作,更多用法还需要大家进一步通过实践去掌握。

七,实验案例

允许用户radmin使用su命令进行切换,其他用户一律禁止切换身份。

1. 创建radmin,设置密码为pwd@123

2.配置pam验证,支持wheel组使用su命令

3.配置主配置文件,支持wheel组使用su

授权用户zhangsan管理所有员工的账号,但禁止其修改root用户的信息。

1.打开sudo主配置文件,编辑支持管理所有员工账号

测试张三是否拥有管理所有员工账号的权限

授权用户lisi能够执行/sbin、/usr/sbin目录下的所有特权命令,不需要密码验证。

1.打开sudo主配置文件,配置不需要密码验证

测试lisi是否需要密码验证:

所有的su,sudo操作,必须在系统日志文件中进行记录。

1.使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,所以不需要配置

2.打开sudo主配置文件

禁止使用Ctrl+Alt+Del快捷键,禁止root 用户从tty5.tty6登录,为GRUB引导菜单设置密码。

1.禁止使用快捷键

测试是否禁用成功:

2.禁止用户从tty5,tty6终端登录

3.为grub引导菜单设置密码

测试grub菜单密码:

系统安全知识

结论:安全是个系统行为,不是某个点或某个面。

概述:SIL中文为安全完整性等级,实际分为四个等级,SIL1-SIL4演艺行业针对机械设备提出的需要满足SIL3标准的需求,基本上都是基于多数情况下的风险分析得出的经验结论。实际对于某些悬挂类系统,并不一定需要严格满足SIL3,比如吊挂音响、道具等的固定卷扬设备,按风险分析的方法可确定此类设备并不一定需要达到SIL3。可对应参照ISO13849和IEC62061等标准。

安全功能:安全功能是SIL安全标准中最基础的一环,安全功能是否完整,影响整个系统的安全性。演艺设备中的安全功能一般需要包含如下几种:急停处理功能、安全使能开关(或操作用的激活开关)断开、位置偏差、速度偏差、安全同步丢失、超速、超载、欠载(可选)、负载监控(可选)、松绳、超程等,针对台下类设备还有安全门和剪切开关等。一般在系统设计中,都需要对上述安全功能实现进行处理和描述。比如在超程的情况下为了保证系统的安全性能足够,通常就需要增加超程开关,并经过已验证的安全型可编程控制器(或经安全验证的轴控制器)对输入信号采集分析,并输出对应的安全信号。

典型急停安全功能处理:急停链路的处理可采用的方式有多种。1. 采用带有延时功能的安全继电器,该实现方式相对常见。将急停信号输入到安全继电器,安全继电器输出两种信号,一种输出指向变频器的紧急停车端子,实现1类急停,另一路信号输出到设备的上端接触器或者变频器的STO端子,实现0类急停,两路信号输出带有延时功能。2. 采用安全型控制器,比如安全型PLC或者经验证的轴控制器,将急停信号输入到控制器的安全输入点,并将安全型输出点输出到每个变频器的STO端子或者急停端子。相比方式1,方式2的实现更加灵活,该种方式不光可处理急停类信号,还可以处理其他安全输入信号,比如超程、松绳等。

能否用PLC搭建出足够安全的系统?

用安全型PLC可以实现多数基本的安全功能,特别是针对单机设备,一般都能满足,比如各种安全信号的采集和处理,如超程、松绳、乱绳、急停、热保、维修等开关量信号,都可以针对该类信号进行安全的处理。但是对于有些安全功能,如速度比较、位置比较等安全功能,有些安全型PLC能满足,有些则无法满足,原因主要还是和当前市面常见的安全型PLC所认证的安全功能相对有限有关。

现象和结论:对于安全系统的搭建,经过认证的轴控制器要明显占优,轴控制器可根据需要配置对应的安全输入和安全输出功能,并能在系统中完成对于双编码器信号的采集,从而完成某些安全型PLC不易完成的针对速度、位置偏差等安全功能。

电脑系统安全设置具体方法

平时在使用电脑的时候,我们都都害怕电脑被木马病毒光临。那么,电脑如何设置系统安装呢?其实操作方法并不复杂,不信就随笔者一起往下看,看看我整理的这个系统安全设置教程吧,希望对你能有所帮助哦。

电脑系统安全设置具体方法:

1,首先,右键点击“此电脑”,菜单栏选择“属性”。

2,进入属性界面后,我们点击界面上方的“控制面板”进入下一步。

3,选择“系统和安全”进入下一步。

4,如果需要设置某些应用可以通过防火墙的话,我们可以在应用通过防火墙中进行设置。

5,当然也可以对“Wndours Dfender防火墙”其他属性进行设置。

关于电脑系统安全设置的操作方法介绍到此就介绍了。


电脑系统安全基础知识大全相关文章:

电脑知识大全菜鸟必备

【网络安全】:网络安全基础知识点汇总

学习电脑知识

信息安全技术基础知识及考试题

电脑入门操作大全

计算机常识及技巧大全

【网络安全】:学习网络安全需要哪些基础知识?

学习啦在线学习网

局域网安全知识大全

电脑技术大全

733808