第一篇：linux系統(tǒng)安全設(shè)置總結(jié)

linux系統(tǒng)安全設(shè)置總結(jié)

眾所周知，網(wǎng)絡(luò)安全是一個(gè)非常重要的課題，而服務(wù)器是網(wǎng)絡(luò)安全中最關(guān)鍵的環(huán)節(jié)。Linux被認(rèn)為是一個(gè)比較安全的Internet服務(wù)器，作為一種開(kāi)放源代碼操作系統(tǒng)，一旦Linux系統(tǒng)中發(fā)現(xiàn)有安全漏洞，Internet上來(lái)自世界各地的志愿者會(huì)踴躍修補(bǔ)它。然而，系統(tǒng)管理員往往不能及時(shí)地得到信息并進(jìn)行更正，這就給黑客以可乘之機(jī)。相對(duì)于這些系統(tǒng)本身的安全漏洞，更多的安全問(wèn)題是由不當(dāng)?shù)呐渲迷斐傻?，可以通過(guò)適當(dāng)?shù)呐渲脕?lái)防止。服務(wù)器上運(yùn)行的服務(wù)越多，不當(dāng)?shù)呐渲贸霈F(xiàn)的機(jī)會(huì)也就越多，出現(xiàn)安全問(wèn)題的可能性就越大。對(duì)此，下面將介紹一些增強(qiáng)Linux/Unix服務(wù)器系統(tǒng)安全性的知識(shí)。

一、系統(tǒng)安全記錄文件

操作系統(tǒng)內(nèi)部的記錄文件是檢測(cè)是否有網(wǎng)絡(luò)入侵的重要線索。如果您的系統(tǒng)是直接連到Internet，您發(fā)現(xiàn)有很多人對(duì)您的系統(tǒng)做Telnet/FTP登錄嘗試，可以運(yùn)行“#more /var/log/secure | grep refused”來(lái)檢查系統(tǒng)所受到的攻擊，以便采取相應(yīng)的對(duì)策，如使用SSH來(lái)替換Telnet/rlogin等。

二、啟動(dòng)和登錄安全性

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn 1．BIOS安全

設(shè)置BIOS密碼且修改引導(dǎo)次序禁止從軟盤(pán)啟動(dòng)系統(tǒng)。

2．用戶(hù)口令

用戶(hù)口令是Linux安全的一個(gè)基本起點(diǎn)，很多人使用的用戶(hù)口令過(guò)于簡(jiǎn)單，這等于給侵入者敞開(kāi)了大門(mén)，雖然從理論上說(shuō)，只要有足夠的時(shí)間和資源可以利用，就沒(méi)有不能破解的用戶(hù)口令，但選取得當(dāng)?shù)目诹钍请y于破解的。較好的用戶(hù)口令是那些只有他自己容易記得并理解的一串字符，并且絕對(duì)不要在任何地方寫(xiě)出來(lái)。

3．默認(rèn)賬號(hào)

應(yīng)該禁止所有默認(rèn)的被操作系統(tǒng)本身啟動(dòng)的并且不必要的賬號(hào)，當(dāng)您第一次安裝系統(tǒng)時(shí)就應(yīng)該這么做，Linux提供了很多默認(rèn)賬號(hào)，而賬號(hào)越多，系統(tǒng)就越容易受到攻擊。

可以用下面的命令刪除賬號(hào)。

# userdel用戶(hù)名

或者用以下的命令刪除組用戶(hù)賬號(hào)。

# groupdel username

4．口令文件

chattr命令給下面的文件加上不可更改屬性，從而防止非授權(quán)用戶(hù)獲得權(quán)限。

# chattr +i /etc/passwd

# chattr +i /etc/shadow

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn

# chattr +i /etc/group

# chattr +i /etc/gshadow

5．禁止Ctrl+Alt+Delete重新啟動(dòng)機(jī)器命令

修改/etc/inittab文件，將“ca::ctrlaltdel:/sbin/shutdown-t3-r now”一行注釋掉。然后重新設(shè)置/etc/rc.d/init.d/目錄下所有文件的許可權(quán)限，運(yùn)行如下命令：

# chmod-R 700 /etc/rc.d/init.d/*

這樣便僅有root可以讀、寫(xiě)或執(zhí)行上述所有腳本文件。

6．限制su命令

如果您不想任何人能夠su作為root，可以編輯/etc/pam.d/su文件，增加如下兩行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

這時(shí)，僅isd組的用戶(hù)可以su作為root。此后，如果您希望用戶(hù)admin能夠su作為root，可以運(yùn)行如下命令：

# usermod-G10 admin

7．刪減登錄信息

默認(rèn)情況下，登錄提示信息包括Linux發(fā)行版、內(nèi)核版本名和服務(wù)器主機(jī)名等。對(duì)于一臺(tái)安全性要求較高的機(jī)器來(lái)說(shuō)這樣泄漏了過(guò)多的信息?？梢跃庉?etc/rc.d/rc.local將輸出系統(tǒng)信息的如下行注釋掉。

# This will overwrite /etc/issue at every boot.So，make

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn any changes you

# want to make to /etc/issue here or you will lose them when you reboot.# echo “" > /etc/issue

# echo ”$R“ >> /etc/issue

# echo ”Kernel $(uname-r)on $a $(uname-m)“ >> /etc/issue

# cp-f /etc/issue /etc/issue.net

# echo >> /etc/issue

然后，進(jìn)行如下操作：

# rm-f /etc/issue

# rm-f /etc/issue.net

# touch /etc/issue

# touch /etc/issue.net

三、限制網(wǎng)絡(luò)訪問(wèn)

1．NFS訪問(wèn)

如果你使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù)，應(yīng)該確保您的/etc/exports具有最嚴(yán)格的訪問(wèn)權(quán)限設(shè)置，也就是意味著不要使用任何通配符、不允許root寫(xiě)權(quán)限并且只能安裝為只讀文件系統(tǒng)。編輯文件/etc/exports并加入如下兩行。

/dir/to/export host1.mydomain.com(ro，root_squash)

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn

/dir/to/export host2.mydomain.com(ro，root_squash)

/dir/to/export 是您想輸出的目錄，host.mydomain.com是登錄這個(gè)目錄的機(jī)器名，ro意味著mount成只讀系統(tǒng)，root_squash禁止root寫(xiě)入該目錄。為了使改動(dòng)生效，運(yùn)行如下命令。

# /usr/sbin/exportfs-a

2．Inetd設(shè)置

首先要確認(rèn)/etc/inetd.conf的所有者是root，且文件權(quán)限設(shè)置為600。設(shè)置完成后，可以使用”stat“命令進(jìn)行檢查。

# chmod 600 /etc/inetd.conf

然后，編輯/etc/inetd.conf禁止以下服務(wù)。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果您安裝了ssh/scp，也可以禁止掉Telnet/FTP。為了使改變生效，運(yùn)行如下命令：

#killall-HUP inetd

默認(rèn)情況下，多數(shù)Linux系統(tǒng)允許所有的請(qǐng)求，而用TCP_WRAPPERS增強(qiáng)系統(tǒng)安全性是舉手之勞，您可以修改/etc/hosts.deny和/etc/hosts.allow來(lái)增加訪問(wèn)限制。例如，將/etc/hosts.deny設(shè)為”ALL: ALL“可以默認(rèn)拒絕所有訪問(wèn)。然后在/etc/hosts.allow文件中添加允許的訪問(wèn)。例如，”sshd: 192.168.1.10/255.255.255.0 gate.openarch.com“表示允許

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn IP地址192.168.1.10和主機(jī)名gate.openarch.com允許通過(guò)SSH連接。

配置完成后，可以用tcpdchk檢查:

# tcpdchk

tcpchk是TCP_Wrapper配置檢查工具，它檢查您的tcp wrapper配置并報(bào)告所有發(fā)現(xiàn)的潛在/存在的問(wèn)題。

3．登錄終端設(shè)置

/etc/securetty文件指定了允許root登錄的tty設(shè)備，由/bin/login程序讀取，其格式是一個(gè)被允許的名字列表，您可以編輯/etc/securetty且注釋掉如下的行。

#tty1

# tty2

# tty3

# tty4

# tty5

# tty6

這時(shí)，root僅可在tty1終端登錄。

4．避免顯示系統(tǒng)和版本信息。

如果您希望遠(yuǎn)程登錄用戶(hù)看不到系統(tǒng)和版本信息，可以通過(guò)一下操作改變/etc/inetd.conf文件：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd-h

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn

加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示”login:"

四、防止攻擊

1．阻止ping 如果沒(méi)人能ping通您的系統(tǒng)，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加如下一行：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2．防止IP欺騙

編輯host.conf文件并增加如下幾行來(lái)防止IP欺騙攻擊。

order bind，hosts

multi off

nospoof on

3．防止DoS攻擊

對(duì)系統(tǒng)所有的用戶(hù)設(shè)置資源限制可以防止DoS類(lèi)型攻擊。如最大進(jìn)程數(shù)和內(nèi)存使用數(shù)量等。例如，可以在/etc/security/limits.conf中添加如下幾行：

* hard core 0

* hard rss 5000

* hard nproc 20

然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn

session required /lib/security/pam_limits.so

上面的命令禁止調(diào)試文件，限制進(jìn)程數(shù)為50并且限制內(nèi)存使用為5MB。

經(jīng)過(guò)以上的設(shè)置，你的Linux服務(wù)器已經(jīng)可以對(duì)絕大多數(shù)已知的安全問(wèn)題和網(wǎng)絡(luò)攻擊具有免疫能力，但一名優(yōu)秀的系統(tǒng)管理員仍然要時(shí)刻注意網(wǎng)絡(luò)安全動(dòng)態(tài)，隨時(shí)對(duì)已經(jīng)暴露出的和潛在安全漏洞進(jìn)行修補(bǔ)。

靜夜書(shū)學(xué)習(xí)論壇http://004km.cn

第二篇：2003系統(tǒng)安全設(shè)置

Windows Server 2003(企業(yè)版32位)系統(tǒng)安全設(shè)置

系統(tǒng)中最多裝一個(gè)殺毒軟件和RAR解壓縮工具和很小的一個(gè)流量監(jiān)控軟件。其他的無(wú)關(guān)軟件也一律不要安裝，甚至不用裝office。多一個(gè)就會(huì)多一份漏洞和不安全隱患。開(kāi)啟系統(tǒng)自帶防火墻是正確有效的防護(hù)，請(qǐng)相信微軟的智商。通過(guò)以下基本安全設(shè)置后，加上服務(wù)器管理員規(guī)范的操作，服務(wù)器一般不會(huì)出現(xiàn)什么意外了，畢竟我們的服務(wù)器不是用來(lái)架設(shè)多個(gè)WEB網(wǎng)站的，造成漏洞的可能性大大降低。當(dāng)然，沒(méi)有絕對(duì)的事，做好服務(wù)器系統(tǒng)和OA數(shù)據(jù)備份是必須的。

如果對(duì)以下操作不太熟悉，建議先在本地機(jī)器練練，不要拿用戶(hù)服務(wù)器測(cè)試，以免造成其他問(wèn)題。

另贈(zèng)送32位和64位的系統(tǒng)解釋?zhuān)簑indows server 200332位和64位操作系統(tǒng)的區(qū)別 問(wèn)：

1、windows server 2003 32位和64位操作系統(tǒng)的區(qū)別2、32位windows server 2003是否可以用在兩路四核 E5410 2.33GHz處理器和4x2GB內(nèi)存上

答：

1、32位和64位的差別在于如果你的CPU是64位的，64位的OS能夠完全發(fā)揮CPU的性能，而不需要使CPU運(yùn)行在32位兼容模式下。

2、32位windows server 2003可以用在兩路四核 E5410 2.33GHz處理器和4x2GB內(nèi)存上，通過(guò)PAE模式也可以支持4G以上內(nèi)存。

另外補(bǔ)充一下，Windows Server 2003的硬件支持特性并不是由32位或64位來(lái)決定的，而是由OS本身的版本來(lái)決定的。

以Windows Server 2003為例，標(biāo)準(zhǔn)版可以支持的最大CPU數(shù)為4路，最大內(nèi)存數(shù)為4G，而企業(yè)版則可以支持最大CPU數(shù)8路，最大內(nèi)存數(shù)32G。

回正題：

(一)禁用不需要的服務(wù)

Alerter通知選定的用戶(hù)和計(jì)算機(jī)管理警報(bào)。

Computer Browser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的更新列表，并將列表提供給計(jì)算機(jī)指定瀏覽。

Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序崩潰。

Help and Support啟用在此計(jì)算機(jī)上運(yùn)行幫助和支持中心。

Print Spooler管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作。

Remote Registry使遠(yuǎn)程用戶(hù)能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置。

Remote Desktop Help Session Manager 管理并控制遠(yuǎn)程協(xié)助。

Server支持此計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)的文件、打印、和命名管道共享。

Task Scheduler使用戶(hù)能在此計(jì)算機(jī)上配置和計(jì)劃自動(dòng)任務(wù)。(如果不需要可以禁用)可能需要

TCP/IP NetBIOS Helper 提供 TCP/IP(NetBT)服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶(hù)端的 NetBIOS 名稱(chēng)解析的支持，從而使用戶(hù)能夠共享文件、打印和登錄到網(wǎng)絡(luò)。

Workstation創(chuàng)建和維護(hù)到遠(yuǎn)程服務(wù)的客戶(hù)端網(wǎng)絡(luò)連接。

禁用以上列出的服務(wù)，系統(tǒng)默認(rèn)已經(jīng)禁用的服務(wù)如果特殊需要請(qǐng)不要開(kāi)啟。

(二)本地安全策略設(shè)置

打開(kāi)【控制面版】，找到【管理工具】，打開(kāi)【本地安全策略】

帳戶(hù)策略—>帳戶(hù)鎖定策略 1)

2)

3)

4)將帳戶(hù)鎖定閾值，由默認(rèn)值0改為5，即5次無(wú)效登錄，帳戶(hù)將被鎖定30分鐘?？筛鶕?jù)實(shí)際情況進(jìn)行修改。帳戶(hù)鎖定時(shí)間默認(rèn)為30分鐘，可以根據(jù)需要改成更長(zhǎng)或更短的時(shí)間。本地策略—>審核策略 審核策略更改成功 失敗 審核登錄事件成功 失敗 審核對(duì)象訪問(wèn)失敗 審核過(guò)程跟蹤無(wú)審核 審核目錄服務(wù)訪問(wèn)失敗 審核特權(quán)使用失敗 審核系統(tǒng)事件成功 失敗 審核賬戶(hù)登錄事件 成功 失敗 審核賬戶(hù)管理成功 失敗 本地策略—>用戶(hù)權(quán)限分配 關(guān)閉系統(tǒng)只留Administrators組、其它全部刪除。允許通過(guò)終端服務(wù)登錄 只留Administrators，Remote Desktop Users組，其他全部刪除。本地策略—>安全選項(xiàng)

交互式登陸: 不顯示上次的用戶(hù)名啟用

(Interactive logon: Do not display last user name啟用)

網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶(hù)和共享的匿名枚舉啟用

(Network access: Do not allow anonymous enumeration of SAM accounts and shares 啟用)

網(wǎng)絡(luò)訪問(wèn): 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或.NET Passports啟用

(Network access: Do not allow storage of credentials or.NET Passports for network authentication 啟

用)

網(wǎng)絡(luò)訪問(wèn): 可匿名訪問(wèn)的共享全部刪除

(Network access: Shares that can be accessed anonymously 全部刪除)

網(wǎng)絡(luò)訪問(wèn): 可匿名訪問(wèn)的命名管道全部刪除

(Network access: Named Pipes that can be accessed anonymously 全部刪除)

網(wǎng)絡(luò)訪問(wèn): 可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除

(Network access: Remotely accessible registry paths 全部刪除)

網(wǎng)絡(luò)訪問(wèn): 可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除

(Network access: Remotely accessible registry paths and sub-paths 全部刪除)

帳戶(hù)：重命名來(lái)賓帳戶(hù)輸入一個(gè)新的帳戶(hù)

帳戶(hù)：重命名系統(tǒng)管理員帳戶(hù)輸入一個(gè)新的帳戶(hù)

(三)改名或卸載最不安全的組件，防止ASP網(wǎng)馬運(yùn)行，（沒(méi)有架設(shè)ASP運(yùn)行環(huán)境，這一步可以不做）

1)卸載最不安全的組件

最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).bat文件，然后運(yùn)行一下，WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了?？赡軙?huì)提示無(wú)法刪除文件，不用管它，重啟一下服務(wù)器就可以了。

regsvr32/u C:WINDOWSSystem32wshom.ocx

del C:WINDOWSSystem32wshom.ocx

regsvr32/u C:WINDOWSsystem32shell32.dll

del C:WINDOWSsystem32shell32.dll

2)改名不安全組件(這一步可以不做)

a)Scripting.FileSystemObject可以對(duì)文件和文件夾進(jìn)行常規(guī)操作

禁用該組件并不是最理想的安全措施，禁用后會(huì)導(dǎo)致大部ASP網(wǎng)站無(wú)法運(yùn)行

定位到HKEY_CLASSES_ROOTScripting.FileSystemObject將其重命名

定位到HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID刪除其右側(cè)的默認(rèn)值

禁止Guests組用戶(hù)調(diào)用此組件，運(yùn)行中輸入“cacls C:WINDOWSsystem32scrrun.dll /e /d guests” b)WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令，非常危險(xiǎn)

定位到HKEY_CLASSES_ROOTWScript.Shell將其重命名

定位到HKEY_CLASSES_ROOTWScript.ShellCLSID刪除其右側(cè)的默認(rèn)值

定位到HKEY_CLASSES_ROOTWScript.Shell.1將其重命名

定位到HKEY_CLASSES_ROOTWScript.Shell.1CLSID刪除其右側(cè)的默認(rèn)值

c)Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令，非常危險(xiǎn)

定位到HKEY_CLASSES_ROOTShell.Application將其重命名

定位到HKEY_CLASSES_ROOTShell.ApplicationCLSID刪除其右側(cè)的默認(rèn)值

定位到HKEY_CLASSES_ROOTShell.Application.1將其重命名

定位到HKEY_CLASSES_ROOTShell.Application.1CLSID刪除其右側(cè)的默認(rèn)值

禁止Guests組用戶(hù)調(diào)用此組件，運(yùn)行中輸入“cacls C:WINDOWSsystem32shell32.dll /e /d guests”

d)WScript.Network為ASP程序羅列和創(chuàng)建系統(tǒng)用戶(hù)(組)提供了可能

定位到HKEY_CLASSES_ROOTWScript.Network將其重命名

定位到HKEY_CLASSES_ROOTWScript.NetworkCLSID刪除其右側(cè)的默認(rèn)值

定位到HKEY_CLASSES_ROOTWScript.Network.1將其重命名

定位到HKEY_CLASSES_ROOTWScript.Network.1CLSID刪除其右側(cè)的默認(rèn)值0

注：以上操作需要重新啟動(dòng)服務(wù)后才會(huì)生效。

(四)組策略設(shè)置（運(yùn)行中輸入“gpedit.msc”打開(kāi)）

1)關(guān)閉自動(dòng)播放

有兩處需要修改分別是：

1、計(jì)算機(jī)配置—>管理模板—>系統(tǒng)(System)

2、用戶(hù)配置—>管理模板—>系統(tǒng)(System)

將兩處的“關(guān)閉自動(dòng)播放(Turn off Autoplay)”設(shè)置成“已啟用”同時(shí)選擇“所有驅(qū)動(dòng)器(All drives)”

(五)禁止dump file的產(chǎn)生

dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料。然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。

1)右擊【我的電腦】選擇【屬性】打開(kāi)【系統(tǒng)屬性】，點(diǎn)擊【啟動(dòng)和故障恢復(fù)】的【設(shè)置】，將【寫(xiě)入調(diào)試信息】由“完全內(nèi)存轉(zhuǎn)儲(chǔ)”改為“(無(wú))”，并刪除C:WINDOWS下的MEMORY.DMP（如果存在這個(gè)文件）

2)關(guān)閉華醫(yī)生Dr.Watson，在運(yùn)行中輸入“drwtsn32”調(diào)出系統(tǒng)里的華醫(yī)生Dr.Watson，只保留“轉(zhuǎn)儲(chǔ)全部線程上下文”選項(xiàng)，否則一旦程序出錯(cuò)，硬盤(pán)會(huì)讀很久，并占用大量空間。同時(shí)刪除C:Documents and SettingsAdministratorLocal SettingsApplication DataMicrosoftDr Watson下的user.dmp（如果存在這個(gè)文件）

(六)網(wǎng)絡(luò)連接設(shè)置

1)打開(kāi)網(wǎng)絡(luò)連接的屬性，去掉“Microsoft網(wǎng)絡(luò)客戶(hù)端(Client for Microsoft Networkd)”和“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享(File and Printer Sharing for Microsoft Netwoks)”前的勾

2)打開(kāi)“Internet 協(xié)議(TCP/IP)(Internet Protocol(TCP/IP))”的屬性，點(diǎn)擊【高級(jí)】再點(diǎn)擊【W(wǎng)INS】選項(xiàng)卡，選擇“禁用TCP/IP上的NetBIOS”，這樣可以關(guān)閉139端口。

3)開(kāi)啟Windwos自帶的防火墻

打開(kāi)本地連接屬性，點(diǎn)擊【高級(jí)】再點(diǎn)擊【設(shè)置】，會(huì)提示你防火墻沒(méi)有運(yùn)行，點(diǎn)擊【是】開(kāi)啟防火墻，在防火墻設(shè)置對(duì)話框【常規(guī)】選項(xiàng)卡中點(diǎn)擊“啟用”（不要勾選“不允許例外”），然后在【例外】選項(xiàng)卡中點(diǎn)擊【添加端口】，添加需要的端口如21，25，80，110，1433，3306，3389

等，在【高級(jí)】選項(xiàng)卡中點(diǎn)擊ICMP的【設(shè)置】勾選“允許傳入回顯請(qǐng)求”

OA系統(tǒng)一般開(kāi)啟的端口是80，精靈1188和視頻會(huì)議1935，現(xiàn)在的高百特不知是什么端口了（UDP協(xié)議），遠(yuǎn)程桌面3389，其他不要開(kāi)。

(七)本地用戶(hù)和組設(shè)置

1)禁用Guest（如果之前已經(jīng)重命名了來(lái)賓帳戶(hù)，則禁用重命名后的帳戶(hù)），SUPPORT_388945a0，SQLDebugger（安裝了SQL Server 2000后會(huì)出現(xiàn)這個(gè)帳戶(hù)）

2)創(chuàng)建Administrator陷阱帳戶(hù)（前題需要已經(jīng)重命名了系統(tǒng)管理員帳戶(hù)）并設(shè)置一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼

3)重命名Administrators組，在組里面右擊Administrators選擇重命名(Rename)，然后輸入一個(gè)新的名字。這樣即使系統(tǒng)出現(xiàn)了溢出漏洞，想通過(guò)“net localgroup administraots xxx /add”來(lái)提權(quán)是根本不可能的了，除非知道重命名后的管理員組的名字。

(八)防止Serv-U權(quán)限提升，（一般OA服務(wù)器中不會(huì)架設(shè)這個(gè)FTP，可不用設(shè)置）

1)用Ultraedit打開(kāi)ServUDaemon.exe查找“Ascii:LocalAdministrator”和“#l@$ak#.lk;0@P”修改成等長(zhǎng)度的其它字符就可以了，ServUAdmin.exe也一樣處理。

2)另外注意設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶(hù)有讀取的權(quán)限，否則人家下走你修改過(guò)的文件，照樣可以分析出你的管理員名和密碼。

3)

(九)IIS設(shè)置（一般OA服務(wù)器中不會(huì)架設(shè)這個(gè)IIS，可不用設(shè)置）

1)

2)

3)修改默認(rèn)FTP站點(diǎn)的主目錄路徑為C:ftproot 刪除或停用網(wǎng)站目錄下的默認(rèn)網(wǎng)站 在Web服務(wù)擴(kuò)展里面將Active Server Pages設(shè)置為允許

（十）windows2003修改遠(yuǎn)程登陸端口號(hào)

現(xiàn)在利用終端服務(wù)(3389漏洞)結(jié)合輸入法漏洞攻擊Win 2003 Server的案例越來(lái)越多，作為一條安全措施，可以修改一下終端服務(wù)所提供的端口，使常規(guī)的掃描器掃描不到。但這個(gè)方法說(shuō)到底仍然是一個(gè)治標(biāo)不治本的辦法，如果攻擊者知道修改了的端口所提供的服務(wù)后，仍然會(huì)連接上你的終端服務(wù)器的(不過(guò)幾率微小)。

具體操作如下：

在服務(wù)器上做如下修改： 開(kāi)始/運(yùn)行/Regedt32.exe，找到：

KEY＿LOCAL＿M(jìn)ACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpHKEY＿LOCAL＿M(jìn)ACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下都有一個(gè)PortNumber值，通常為3389，將其修改為自己的值，如9833(可自己指定端口，但最好不要設(shè)為低端端口，以免沖突).0xd3d，是16進(jìn)制，也就是10進(jìn)制的3389，也就是RDP協(xié)議的端口，改成你欲設(shè)的端口。

完成這兩步操作后，我們就可以使用遠(yuǎn)程桌面通過(guò)ip地址加端口號(hào)的方式連接。

注：如果您更改了遠(yuǎn)程登陸的端口請(qǐng)記得在系統(tǒng)或者您自己安裝的防火墻上打開(kāi)這個(gè)例外端口。

（十一）檢查2003系統(tǒng)是否被建立了隱藏的管理員賬號(hào)：

超級(jí)用戶(hù)建立以后，就不能再改密碼了，如果用net user命令來(lái)改密碼的話，那么在帳戶(hù)管理器中將又會(huì)看這個(gè)隱藏的超級(jí)用戶(hù)了，而且不能刪除。

經(jīng)過(guò)實(shí)踐，這個(gè)隱藏帳號(hào)是可以刪除的，“開(kāi)始”→“運(yùn)行”并輸入“regedit.exe” 回車(chē),啟動(dòng)注冊(cè)表編輯器regedit.exe。打開(kāi)鍵：HKEY_LOCAL_MAICHINESAMSAMDomainsaccountusernames這里刪除你想要?jiǎng)h除的用戶(hù)，前提是你需要有這個(gè)注冊(cè)項(xiàng)的權(quán)限！

通達(dá)OA——馬利民

第三篇：操作系統(tǒng)安全設(shè)置文檔

操作系統(tǒng)安全設(shè)置

作者

班級(jí)

摘要：本文主要從***幾個(gè)方面闡述了個(gè)人計(jì)算機(jī)的安全設(shè)置，通過(guò)這些設(shè)置，可以提高個(gè)人操作系統(tǒng)的安全性。

關(guān)鍵詞：

Abstract:

Keywords:

正文：

1.我的操作系統(tǒng)簡(jiǎn)介

操作系統(tǒng)版本：

存在的用戶(hù)：

2． 設(shè)置了哪些安全防護(hù)措施

例如：密碼安全、防火墻的設(shè)置、注冊(cè)表的設(shè)置等

3． 應(yīng)該如何改進(jìn)安全防護(hù)措施

參考文獻(xiàn)：

[1]網(wǎng)址

[2]

第四篇：嵌入式linu學(xué)習(xí)心得

嵌入式Linux學(xué)習(xí)心得

1、Linux命令

ls:查看目錄-l以列表方式查看;ls –l 與ll的功能一樣 pwd: 查看當(dāng)前的目錄

cd:改變當(dāng)前操作目錄cd /直接跳到根目錄 cd..回到上一級(jí)目錄 cat: 打印顯示當(dāng)前文件的內(nèi)容信息

mkdir:創(chuàng)建目錄

fdisk: 查看硬盤(pán)分區(qū)信息，-l以列表方式查看

->代表是鏈接文件，類(lèi)似window下的快捷方式。

cp: 復(fù)制命令,例子cp 文件名 /home/dir/

mv: 移動(dòng)或改名，如mv sonf.confsonf.txt(改名)移動(dòng)：mv sonf.conf / rm:刪除命令，如rm –f test.c;如刪除目錄rm –fr d

man:查看某個(gè)命令的幫助，man 命令

2、各系統(tǒng)目錄的功能

drw—r—w--:d代表是目錄，drw代表當(dāng)前用戶(hù)的權(quán)限，r代表組用戶(hù)的權(quán)限，w代表其它用戶(hù)的權(quán)限。x代表有執(zhí)行權(quán)限。

/boot/gruff.conf: 啟動(dòng)引導(dǎo)程序

/dev:brw—rw--:b代表是塊設(shè)備。Linux設(shè)備有三種，塊設(shè)備（b開(kāi)頭）、字符設(shè)備(c開(kāi)頭)、網(wǎng)絡(luò)設(shè)備。had代表第一個(gè)硬盤(pán)，hdb代表第二個(gè)硬盤(pán)。Hdb2代表第二塊硬盤(pán)的第二個(gè)分區(qū)。3，67代表主設(shè)備為3，從設(shè)備為67./etc:存放的是系統(tǒng)的配置文件。Inittab文件存放不同啟動(dòng)方式下必須啟動(dòng)的進(jìn)程。Inittab文件中有6個(gè)啟動(dòng)level，wait中對(duì)應(yīng)著6個(gè)level的目錄，respawn代表當(dāng)一個(gè)進(jìn)程被意外終止了，但會(huì)自動(dòng)啟動(dòng)的進(jìn)程，如守護(hù)進(jìn)程。rc.d目錄中存放了一個(gè)rc.sysinit文件，里面存放系統(tǒng)初始化配置信息。/etc還有一個(gè)vsftpd里面存放tcp、ftp的配置。

/home : 用戶(hù)目錄，存放用戶(hù)的文件，/lib：存放庫(kù)文件，后綴為so的文件代表動(dòng)態(tài)鏈接庫(kù)。

/lost+found：系統(tǒng)意外終止，存放一些可以找回的文件。

/mnt：掛載外部設(shè)備，如掛載光驅(qū)：mount –t /dev/cdrom/mnt/cdrom，如

果在雙系統(tǒng)中，要查看windows中D盤(pán)的文件，首先應(yīng)該將D盤(pán)的文件映射過(guò)來(lái)，mount –t /dev/hda2/mnt/windows/d

/opt:用戶(hù)安裝的應(yīng)用程序

/proc:是系統(tǒng)運(yùn)行的映射，比較重要。里面的文件數(shù)字代表進(jìn)程號(hào)。每個(gè)進(jìn)程號(hào)目錄下包含進(jìn)程的基本信息。還有其他信息，如cpuinfo等，內(nèi)核支持的文件系統(tǒng)filesystem等。系統(tǒng)支持的中斷interrupts，iomen代表內(nèi)存分配情況。ioport存放IO端口號(hào)。還有分區(qū)信息，modole信息，狀態(tài)信息，版本信息

對(duì)于Linux的設(shè)備驅(qū)動(dòng)程序，有兩種加載模式，一種是直接加載進(jìn)linux內(nèi)核，一種是以模塊的方式加載到內(nèi)核。

/sbin： 系統(tǒng)管理的一些工具。如poweroff關(guān)機(jī)工具。

/usr: 安裝系統(tǒng)時(shí)很多文件放在此目錄下面，包含一些更新等，include包含的頭文件，lib 是Linux的庫(kù)文件，src包含Linux2.4的內(nèi)核源碼

/var：存放是臨時(shí)變量

3、

第五篇：地鐵系統(tǒng)安全月活動(dòng)總結(jié)

6月為全國(guó)安全生產(chǎn)活動(dòng)月，此次全國(guó)安全生產(chǎn)月活動(dòng)的主題是：“關(guān)愛(ài)生命，安全發(fā)展”，北京市安全生產(chǎn)月活動(dòng)的主題是：“弘揚(yáng)安全文化、服務(wù)科學(xué)發(fā)展——喜迎新中國(guó)成立60周年”。為更好地宣傳貫徹黨中央、國(guó)務(wù)院、北京市關(guān)于安全生產(chǎn)的一系列方針政策,全面貫徹安全生產(chǎn)法,增強(qiáng)職工的安全意識(shí)和提高安全文化水平,推動(dòng)項(xiàng)目部安全生產(chǎn)形勢(shì)穩(wěn)定好轉(zhuǎn),實(shí)現(xiàn)今年的安全生產(chǎn)目標(biāo),結(jié)合總公司下發(fā)的《關(guān)于開(kāi)展2010年全國(guó)安全生產(chǎn)月活動(dòng)的通知》，昌平地鐵項(xiàng)目部積極響應(yīng)，在整個(gè)工程開(kāi)展“安全生產(chǎn)月”活動(dòng)，通過(guò)開(kāi)展具有特色的宣傳教育活動(dòng)，促進(jìn)企業(yè)安全文化建設(shè)，進(jìn)一步強(qiáng)化全體員工的安全意識(shí)和提高安全文化水平。根據(jù)工程的實(shí)際情況，現(xiàn)將昌平地鐵工程項(xiàng)目部關(guān)于開(kāi)展2010年全國(guó)生產(chǎn)月活動(dòng)的具體情況總結(jié)如下：

一、6月6日昌平地鐵工程項(xiàng)目部首先成立了以項(xiàng)目部一把手為首的安全生產(chǎn)月領(lǐng)導(dǎo)機(jī)構(gòu)，在全工地范圍內(nèi)開(kāi)展“安全生產(chǎn)月”活動(dòng)，在現(xiàn)場(chǎng)投入安全標(biāo)語(yǔ)22余幅，布置安全警示卡100多塊，安全警示語(yǔ)90余塊，并通過(guò)開(kāi)展具有特色的宣傳教育活動(dòng)，促進(jìn)企業(yè)安全文化建設(shè)，進(jìn)一步強(qiáng)化全體員工的安全意識(shí)和提高安全文化水平。

二、認(rèn)真組織廣泛宣傳貫徹《安全生產(chǎn)法》，大力開(kāi)展安全生產(chǎn)宣傳教育活動(dòng)，宣傳黨和國(guó)家安全生產(chǎn)方針、政策、法律法規(guī)、安全知識(shí)、安全技能等，同時(shí)還深入宣傳落實(shí)各級(jí)人員的安全生產(chǎn)責(zé)任制，增強(qiáng)員工的法制觀念，強(qiáng)化安全生產(chǎn)基礎(chǔ)管理，消除事故隱患，讓安全扎根于每一個(gè)人心中。

三、組織青年團(tuán)員配合安?？圃陧?xiàng)目部開(kāi)展“查隱患，糾違章”活動(dòng)，查處事故安全隱患16處，違章行為10起。大大提高了職工的安全意識(shí)和責(zé)任心。

四、6月中旬由安質(zhì)部組織安全人員，有經(jīng)驗(yàn)的工人及年輕工人20余名利用業(yè)余時(shí)間，暢談安全理念及事故案例教訓(xùn)和個(gè)人經(jīng)歷。項(xiàng)目部經(jīng)理陳順勇、總工王波親自參加安全座談會(huì)，在座談會(huì)上經(jīng)理講解了安全文化、安全氛圍和樹(shù)立安全理念、安全科學(xué)。安全事故可以毀掉一個(gè)企業(yè)，毀掉一個(gè)家庭，所以項(xiàng)目部各單位必須把安全放在首位并配合安質(zhì)部門(mén)做好各單位的安全工作，把安全工作扎實(shí)的落實(shí)下去。違章加隱患就是事故。安質(zhì)部長(zhǎng)趙高亮講解了現(xiàn)場(chǎng)安全狀況、存在的問(wèn)題和國(guó)家安全方面的法律法規(guī)及公司長(zhǎng)周期安全局面來(lái)之不易。汽機(jī)安全員楊波談到汽機(jī)多年的安全經(jīng)驗(yàn)，個(gè)人安全主要來(lái)自個(gè)人安全意識(shí)，項(xiàng)目一隊(duì)蔣強(qiáng)談了安全監(jiān)督必不可少。項(xiàng)目二隊(duì)趙志談了個(gè)人多年安全工作經(jīng)驗(yàn)，安全人員必須做到腿勤、嘴勤、腦勤、眼勤，做好過(guò)程監(jiān)督和安全控制。青年工人郭闖和姚維談了自身受的教育和感受。這次座談會(huì)收到良好的效果。

五、現(xiàn)場(chǎng)進(jìn)行了區(qū)間豎井井下作業(yè)應(yīng)急避險(xiǎn)逃生及地面消防演練并布置了20個(gè)消防桶和10個(gè)消防沙箱。又補(bǔ)充了60個(gè)干粉滅火器，分布在汽機(jī)、生活區(qū)及配電房和變電所，開(kāi)展“提一項(xiàng)安全建議，找一次安全隱患，查一次安全違章，做一次安全宣傳”活動(dòng)。6月22日，項(xiàng)目部黨員15人做一次義務(wù)勞動(dòng)，去清掃現(xiàn)場(chǎng)道路。對(duì)現(xiàn)場(chǎng)文明施工起到了促進(jìn)作用，全面貫徹落實(shí)5個(gè)百分百綠色文明要求。

六、在安全月活動(dòng)中，現(xiàn)場(chǎng)用拖拉機(jī)收集雜物50車(chē)，安全文明施工投入20人力，馬路清掃投入，豎井作業(yè)平臺(tái)裝設(shè)了危險(xiǎn)點(diǎn)源警示卡8塊，不銹鋼警戒拉桿12根，定位化標(biāo)示牌2塊，基坑欄桿標(biāo)準(zhǔn)化220m，并對(duì)大型機(jī)械項(xiàng)目部組織了5次檢查，查處隱患12起，查處違章 10起。下達(dá)了安全文明施工整改單5份，處罰單5份，通報(bào)3份，并編制了安全簡(jiǎn)報(bào)1份。組織安全培訓(xùn)學(xué)習(xí)300多人?，F(xiàn)場(chǎng)鋼管投入了60t，鋼板 50t，七、6月下旬各單位對(duì)安全生產(chǎn)月活動(dòng)工作，根據(jù)工程的實(shí)際情況及公司要求進(jìn)行了嚴(yán)格的自查自改工作，并檢查、評(píng)估、總結(jié)、評(píng)比，對(duì)先進(jìn)典型進(jìn)行表?yè)P(yáng)，對(duì)工作不認(rèn)真、措施不落實(shí)和隱患整改不利的單位進(jìn)行批評(píng)和教育。

通過(guò)此次“安全生產(chǎn)月”活動(dòng)進(jìn)一步明確了責(zé)任制，充分調(diào)動(dòng)了每個(gè)員工的積極性，從根本上消除了職工對(duì)安全工作的模糊認(rèn)識(shí)，增強(qiáng)了職工的安全意識(shí)和遵章守紀(jì)觀念，提高全體員工及家屬安全生產(chǎn)的法制意識(shí)。確保施工生產(chǎn)安全順利進(jìn)行。推進(jìn)了“關(guān)愛(ài)生命，關(guān)注安全”的企業(yè)文化建設(shè)。使現(xiàn)場(chǎng)的安全文明施工工作處于在控、可控、能控狀態(tài)。安全月活動(dòng)雖然過(guò)去了，但這種精神將在工地繼續(xù)保持下去。