主机安全与加固&数据安全

2022年01月13日 阅读数:8
这篇文章主要向大家介绍主机安全与加固&数据安全,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

主机安全简介

主机安全:保证主机在数据存储和处理的保密性,完成性,可用性。包括软件,硬件,系统软件的自身安全。java

CVSS-漏洞评估系统

common vulnerability scoring system,用来设计描述漏洞的严重程度,肯定须要应急的紧急度和重要度。node

针对主机的渗透测试

种类

  • 黑盒测试
  • 白盒测试

渗透测试流程

肯定目标,信息收集,漏洞探测,漏洞利用,内网转发,内网渗透,痕迹清除,撰写报告linux

信息收集
  • 操做系统类型:windows、linux
  • 应用服务类型:APP,WEB
  • 编写语言:java,jsp
漏洞探测

nessus,绿盟rsas,vscanweb

漏洞利用

metasploit(MS-17010,MS14-064)数据库

本地提权

CVE-2016-0099(windows提权)
CV-2014-5195(linux脏牛漏洞)macos

内网转发

常见的转发端口22,3389
主要协议:http,icmp,tcp等协议
经常使用工具:windows

  • LCX:windows下面的端口转发软件
  • sockscap:windows平台的端口转发和代理转发
  • proxifier:跨平台的端口转发和代理工具,适用于windows,linux,macos平台
  • proxychains:老牌的socks代理工具,通常的系统都会自带
内网渗透
清理痕迹

防止管理员发现攻击行为,包括:浏览器

  • web日志:删除IIS,APACHE以及其余web日志
  • 操做日志:删除3389登陆列表,最近访问文件,IE浏览器访问日志,文件访问日志
  • 登陆日志:删除系统应用日志,安全日志等
  • sshd登陆日志:删除~/.ssh/known_hosts中记录
  • 修改文件时间戳
  • 删除临时使用文件,尤为是tmp目录

安全加固

linux主机加固

linux帐户安全设置
  • 锁定多余帐号
  • 设置系统口令策略
  • 设置口令过时时间
  • 设置登陆连续认证失败锁定
  • 限制ssh访问本机ip
  • 禁止root用户远程登陆
  • 修改TIMEOUT值,设定自动注销
  • 启动iptable设置相关策略,仅容许开放服务端口
  • 修改ssh监听端口
linux日志安全设置
  • 用户登陆日志:登陆是否成功,登录时间,远程登陆的ip
  • 用户操做日志:帐号建立,删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的身份数据,通讯隐私数据等。
  • 系统安全日志:记录设备的安全事件
linux服务启动管理

在这里插入图片描述

windows加固

在这里插入图片描述

windows安全配置
  • 取消默认共享功能
  • 开启审核策略
  • 修改TTL值
  • 关闭没必要要的服务
windows帐户安全设置

在这里插入图片描述
陷阱帐户:10位强密码,低权限。安全

windows用户组权限设置

在这里插入图片描述

数据安全

数据安全概述

数据从建立,存储,访问,传输,使用到销毁的全生命周期管理过程当中都会遭到威胁。服务器

数据治理流程

数据采集

原始数据,未通过修改。

流量保护

用户到服务器之间链路被嗅探,流量镜像,数据被第三方掠走。
防御方法

  • 使用HTTPS

业务安全属性

  • 帐号安全:密码,权限
  • 爬虫问题:作源认证,验证码登陆

前台业务处理

  • 鉴权漏洞:零信任,数据默认不信任软件行为

数据存储

关系型数据库:表,以行为单位

关系模型指的就是二维表格模型,而一个关系型数据库就是由二维表及其之间的联系所组成的一个数据组织。

非关系型数据库:指非关系型的,分布式的,且通常不保证遵循ACID原则的数据存储系统。

1.用户能够根据须要去添加本身须要的字段,为了获取用户的不一样信息,不像关系型数据库中,要对多表进行关联查询。仅须要根据id取出相应的value就能够完成查询。
2.适用于SNS(Social Networking Services)中,例如facebook,微博。系统的升级,功能的增长,每每意味着数据结构巨大变更,这一点关系型数据库难以应付,须要新的结构化数据存储。因为不可能用一种数据结构化存储应付全部的新的需求,所以,非关系型数据库严格上不是一种数据库,应该是一种数据结构化存储方法的集合。

访问和维护

  • 角色分离
  • 运维审计:堡垒机(人肉运维),自动化
  • 工具链脱敏:监控系统和debug工具/日志脱敏

后台数据分析

数据仓库:长期存储数据
隐私数据须要脱敏。

展现和应用

使用数据脱敏和数据水印

共享和数据再分发

反爬虫,防止数据沉淀

数据销毁

存储分类
封闭系统的存储
开放系统的存储
内置存储
外挂存储
直连式存储DAS
网络存储FAS
存储区域网络SAN
网络接入存储NAS

DAS

在这里插入图片描述

直接存储DAS没法作共享,至关于直接加一块盘

SAN

在这里插入图片描述
SAN存储使用网络存储
FC交换机(fiber channel):光纤交换机

NAS

即插即用
在这里插入图片描述

权限与设备管理

操做系统,交换机,文件系统

数据备份

为防止系统出现操做失误或故障,将数据备份

  • 按期备份
  • 数据库备份
  • 网络数据
  • 正常备份
  • 差别备份
  • 增量备份
  • 远程镜像

数据备份技术

LAN备份

在这里插入图片描述

LAN-free

在这里插入图片描述
LAN-free能够把生产数据和存储数据分开,下降sw的压力,但对主机形成压力大

server-free(server-less)

让备机可以主动请求,增长备机利用率
在这里插入图片描述

数据恢复

文件分配表会有簇(索引)和对应文件。删除时候是删除的索引,文件变为未使用的状态,此时能够经过文件未被从新写入能够底层恢复文件数据。
在这里插入图片描述

  • 逻辑故障
  • 硬件故障
  • 磁盘阵列raid
  • 硬盘数据恢复
  • 优盘数据恢复

数据传输安全技术

加密协议

数据使用安全

  • 静态数据脱敏(SDM),用于非生产,包含敏感数据库列或字段
  • 动态数据脱敏(DDM),生产环境
脱敏原则
  • 保持原有数据特征
  • 保持数据之间的一致性
  • 保持业务规则的关联性
  • 屡次脱敏之间的数据一致性
    脱敏数据先后的数据一致性和有效性

数据销毁

  • 覆写
  • 消磁
  • 捣碎/剪碎
上一篇: 主机加固
下一篇: 主机加固1