更新时间:2024-12-12 17:31:00
封面
版权信息
版权
内容提要
前言
资源与支持
配套资源
提交勘误
与我们联系
关于异步社区和异步图书
第1篇 操作系统安全
第1章 Linux
1.1 账号安全
1.1.1 控制可登录账号
1.1.2 禁止root用户登录
1.1.3 禁用非活动用户
1.1.4 确保root用户的GID为0
1.1.5 确保仅root用户的UID为0
1.2 密码安全
1.2.1 设置密码生存期
1.2.2 设置密码复杂度
1.2.3 确保加密算法为SHA-512
1.2.4 确保/etc/shadow密码字段不为空
1.3 登录、认证鉴权
1.3.1 配置SSH服务
1.3.2 设置登录超时时间
1.3.3 设置密码锁定策略
1.3.4 禁止匿名用户登录系统
1.3.5 禁用不安全服务
1.3.6 禁用不安全的客户端
1.3.7 配置/etc/crontab文件权限
1.3.8 确保登录警告配置正确
1.4 日志审计
1.4.1 配置auditd服务
1.4.2 配置rsyslog服务
1.4.3 配置journald服务
1.4.4 配置日志文件最小权限
1.5 安全配置
1.5.1 限制可查看历史命令条数
1.5.2 确保日志文件不会被删除
1.5.3 iptables配置
1.5.4 配置系统时间同步
1.5.5 限制umask值
1.5.6 限制su命令的访问
1.5.7 SELinux配置
1.5.8 系统文件权限配置
1.6 安全启动
1.6.1 设置引导加载程序密码
1.6.2 配置引导加载程序权限
1.6.3 配置单用户模式需要身份验证
1.7 安全编译
1.7.1 限制堆芯转储
1.7.2 启用XD/NX支持
1.7.3 启用地址空间布局随机化
1.7.4 禁止安装prelink
1.8 主机和路由器系统配置
1.8.1 禁止接收源路由数据包
1.8.2 禁止数据包转发
1.8.3 关闭ICMP重定向
1.8.4 关闭安全ICMP重定向
1.8.5 记录可疑数据包
1.8.6 忽略广播ICMP请求
1.8.7 忽略虚假ICMP响应
1.8.8 启用反向路径转发
1.8.9 启用TCP SYN Cookie
1.8.10 禁止接收IPv6路由器广告
第2章 Windows
2.1 账户安全
2.1.1 禁用Guest账户
2.1.2 禁用管理员账户
2.1.3 删除无用账户
2.1.4 不显示上次登录的用户名
2.1.5 禁止空密码登录系统
2.1.6 重命名来宾和管理员账户
2.1.7 确保“账户锁定时间”设置为“15”或更大的值
2.1.8 确保“账户锁定阈值”设置为“5”或更小的值
2.1.9 确保“计算机账户锁定阈值”设置为“10”或更小的值
2.1.10 确保“重置账户锁定计数器”设置为“15”或更大的值
2.1.11 密码过期之前提醒用户更改密码
2.2 密码策略
2.2.1 启用密码复杂度相关策略
2.2.2 确保“强制密码历史”设置为“24”或更大的值
2.2.3 设置密码使用期限
2.2.4 设置最小密码长度
2.3 认证授权
2.3.1 拒绝Guest、本地账户从网络访问此计算机
2.3.2 拒绝Guest、本地账户通过远程桌面服务登录
2.3.3 配置远程强制关机权限
2.3.4 限制可本地关机的用户
2.3.5 授权可登录的账户
2.3.6 分配用户权限
2.3.7 控制备份文件和目录权限
2.3.8 控制还原文件和目录权限
2.3.9 控制管理审核和安全日志权限
2.3.10 控制身份验证后模拟客户端权限
2.3.11 控制拒绝以服务身份登录权限
2.4 日志审计
2.4.1 设置日志存储文件大小
2.4.2 配置审核策略
2.5 系统配置
