服務(wù)器安全配置實(shí)用技術(shù)

1、服務(wù)器安全配置實(shí)用服務(wù)器安全配置實(shí)用技術(shù)技術(shù) 第1節(jié) WINDOWS SERVER 2008安 全管理 第2節(jié) LINUX安全配置 第3節(jié) 綜合管理規(guī)范 第1節(jié) WINDOWS SERVER 2008安全 管理 本節(jié)主要介紹本節(jié)主要介紹Windows Server 2008Windows Server 2008安全策略配安全策略配 置與管理、高級防火墻控制功能、以及配置系統(tǒng)安全性置與管理、高級防火墻控制功能、以及配置系統(tǒng)安全性 的措施等內(nèi)容的措施等內(nèi)容。包括。包括以下主要以下主要內(nèi)容：內(nèi)容： 系統(tǒng)安全系統(tǒng)安全實(shí)現(xiàn)方法實(shí)現(xiàn)方法 Windows Windows Server 2008Server

2、2008安全策略安全策略 Windows Server 2008Windows Server 2008高級防火墻高級防火墻 Windows Server Windows Server 20082008網(wǎng)絡(luò)網(wǎng)絡(luò)訪問保護(hù)訪問保護(hù) 序序 Internet的迅猛發(fā)展，在給我們帶來極大方便的同時，也帶來了的迅猛發(fā)展，在給我們帶來極大方便的同時，也帶來了 安全方面的問題。由于安全方面的問題。由于Internet從建立開始就缺乏安全的總體構(gòu)從建立開始就缺乏安全的總體構(gòu) 想和設(shè)計，而想和設(shè)計，而TCP/IP協(xié)議也是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè)協(xié)議也是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè) 計的，同樣缺乏安全措施的考慮，

3、加上黑客的攻擊及各類惡意代計的，同樣缺乏安全措施的考慮，加上黑客的攻擊及各類惡意代 碼的干擾，使得網(wǎng)絡(luò)存在很多不安全因素，如口令猜測、地址欺碼的干擾，使得網(wǎng)絡(luò)存在很多不安全因素，如口令猜測、地址欺 騙、業(yè)務(wù)否決、對域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用騙、業(yè)務(wù)否決、對域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用Web破壞數(shù)據(jù)破壞數(shù)據(jù) 庫、郵件炸彈、病毒攜帶等。庫、郵件炸彈、病毒攜帶等。 服務(wù)器是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，服務(wù)器系統(tǒng)的安全自然也就是網(wǎng)絡(luò)安服務(wù)器是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，服務(wù)器系統(tǒng)的安全自然也就是網(wǎng)絡(luò)安 全的重點(diǎn)，全的重點(diǎn)，Windows Server 2008操作系統(tǒng)最突出的改進(jìn)就是操作系統(tǒng)最突出的改進(jìn)就是 安全性的提升，

4、服務(wù)器系統(tǒng)安全工作涉及范圍寬廣，如系統(tǒng)內(nèi)核安全性的提升，服務(wù)器系統(tǒng)安全工作涉及范圍寬廣，如系統(tǒng)內(nèi)核 安全、應(yīng)用程序安全、用戶帳戶安全和端口安全等多個方面，根安全、應(yīng)用程序安全、用戶帳戶安全和端口安全等多個方面，根 據(jù)服務(wù)器所處環(huán)境的不同，據(jù)服務(wù)器所處環(huán)境的不同，Windows Server 2008系統(tǒng)支持管系統(tǒng)支持管 理員啟用不同的安全防護(hù)策略。理員啟用不同的安全防護(hù)策略。 Windows服務(wù)器有多容易服務(wù)器有多容易被被惡意攻擊？惡意攻擊？ Windows Server 2008能夠幫助企業(yè)管理和擴(kuò)能夠幫助企業(yè)管理和擴(kuò) 大業(yè)務(wù)流程，對于一個企業(yè)來說，定義系統(tǒng)保護(hù)大業(yè)務(wù)流程，對于一個企業(yè)來說，

5、定義系統(tǒng)保護(hù) 策略以確保企業(yè)的關(guān)鍵業(yè)務(wù)信息的安全是至關(guān)重策略以確保企業(yè)的關(guān)鍵業(yè)務(wù)信息的安全是至關(guān)重 要的。保證服務(wù)器安全是一個系統(tǒng)的工程，很難要的。保證服務(wù)器安全是一個系統(tǒng)的工程，很難 通過一種手段或方法保證安全目標(biāo)的實(shí)現(xiàn)，我們通過一種手段或方法保證安全目標(biāo)的實(shí)現(xiàn)，我們 需要需要針對不同的安全需要來選擇不同方法針對不同的安全需要來選擇不同方法，立體，立體 的保護(hù)的保護(hù)Windows Server 2008的系統(tǒng)安全。的系統(tǒng)安全。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（1） 1初始化的安全設(shè)置初始化的安全設(shè)置 （1）權(quán)限累計特性權(quán)限累計特性。如果一個用戶同時屬于兩個組，。

6、如果一個用戶同時屬于兩個組， 那么他就有了這兩個組所允許的所有權(quán)限。那么他就有了這兩個組所允許的所有權(quán)限。 （2）拒絕的權(quán)限比允許的權(quán)限級別高（拒絕優(yōu)先）拒絕的權(quán)限比允許的權(quán)限級別高（拒絕優(yōu)先）。 如果一個用戶屬于一個被拒絕訪問某個資源的組，那如果一個用戶屬于一個被拒絕訪問某個資源的組，那 么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也不么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也不 能訪問這個資源。所以設(shè)置拒絕權(quán)限要非常小心，任能訪問這個資源。所以設(shè)置拒絕權(quán)限要非常小心，任 何一個不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行。何一個不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行。 （3）文件權(quán)限比文件夾權(quán)限

7、高文件權(quán)限比文件夾權(quán)限高。 （4）僅給用戶真正需要的權(quán)限，權(quán)限的）僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則最小化原則 是安全的重要保障。是安全的重要保障。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（2） 2. 配置自動更新配置自動更新 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（3） 圖圖1-1 “Windows Update”窗口窗口 圖圖1-2 “更改設(shè)置更改設(shè)置”窗口窗口 服務(wù)器不建議配置自動更新服務(wù)器不建議配置自動更新 3用戶帳戶安全管理用戶帳戶安全管理 Windows Server 2008的本地安全策略可以限制的本地安全策略可以限制 匿名訪問。

8、運(yùn)行匿名訪問。運(yùn)行“本地安全設(shè)置本地安全設(shè)置”管理控制臺管理控制臺 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（4） 圖圖1-3 網(wǎng)絡(luò)訪問設(shè)置網(wǎng)絡(luò)訪問設(shè)置 圖圖1-4 “用戶屬性用戶屬性”窗口窗口 4禁用或刪除不需要的服務(wù)禁用或刪除不需要的服務(wù) 增強(qiáng)服務(wù)器安全性的最佳方法是不安裝任何與業(yè)務(wù)不增強(qiáng)服務(wù)器安全性的最佳方法是不安裝任何與業(yè)務(wù)不 相關(guān)的應(yīng)用程序，并且關(guān)閉不需要的服務(wù)。相關(guān)的應(yīng)用程序，并且關(guān)閉不需要的服務(wù)。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（5） 圖圖1-5 “服務(wù)屬性服務(wù)屬性”窗口窗口 5創(chuàng)建一個強(qiáng)大和健壯的審計和日志策略創(chuàng)建一個強(qiáng)大和健壯

9、的審計和日志策略 在在Windows Server 2008中，默認(rèn)創(chuàng)建的日志類型有：中，默認(rèn)創(chuàng)建的日志類型有： 應(yīng)用日志、安全日志、安裝程序日志、系統(tǒng)日志和轉(zhuǎn)發(fā)應(yīng)用日志、安全日志、安裝程序日志、系統(tǒng)日志和轉(zhuǎn)發(fā) 的事件日志。的事件日志。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（6） 圖圖1-6 “事件查看器事件查看器”窗口窗口 安全策略安全策略概述概述 安全策略是事先定義的一系列應(yīng)用計算機(jī)的行為準(zhǔn)則，應(yīng)用這安全策略是事先定義的一系列應(yīng)用計算機(jī)的行為準(zhǔn)則，應(yīng)用這 些安全策略保證用戶具有一致的工作方式，防止用戶破壞計算些安全策略保證用戶具有一致的工作方式，防止用戶破壞計算 機(jī)

10、上的各種重要配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。機(jī)上的各種重要配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。 2 WINDOWS SERVER 2008安全策安全策 略略 圖圖1-7 “本地安全策略本地安全策略”窗口窗口 帳戶策略主要用于限制用戶帳戶的交互方式，其中包括密碼帳戶策略主要用于限制用戶帳戶的交互方式，其中包括密碼 策略和帳戶鎖定策略，這些設(shè)置同時適用于獨(dú)立服務(wù)器與環(huán)策略和帳戶鎖定策略，這些設(shè)置同時適用于獨(dú)立服務(wù)器與環(huán) 境。境。 安全策略之帳戶安全策略之帳戶策略（策略（1） 圖圖1-8 本地安全設(shè)置本地安全設(shè)置 1、密碼策略、密碼策略 （1）密碼必須符合復(fù)雜性要求）密碼必須符合復(fù)雜性要求 （2）最短密碼長度）

11、最短密碼長度 （3）密碼最短使用期限）密碼最短使用期限 （4）密碼最長使用期限）密碼最長使用期限 （5）強(qiáng)制密碼歷史）強(qiáng)制密碼歷史 帳戶帳戶鎖定策略鎖定策略 對于域或本機(jī)的用戶帳戶來說，通過帳戶鎖定策略對于域或本機(jī)的用戶帳戶來說，通過帳戶鎖定策略 可以判定帳戶鎖定的時機(jī)及對象。如圖可以判定帳戶鎖定的時機(jī)及對象。如圖1-9所示。所示。 安全策略之帳戶策略（安全策略之帳戶策略（2） （1）復(fù)位帳戶鎖定計數(shù)器）復(fù)位帳戶鎖定計數(shù)器 （2）帳戶鎖定時間）帳戶鎖定時間 （3）帳戶鎖定閾值）帳戶鎖定閾值 圖圖1-9 “帳戶鎖定策略帳戶鎖定策略”窗口窗口 本地本地策略包括審核策略、用戶權(quán)限分配和安全選策略包括

12、審核策略、用戶權(quán)限分配和安全選 項三個模塊。項三個模塊。 1、審核策略、審核策略 Windows Server 2008的默認(rèn)安裝不設(shè)置安全審核。在的默認(rèn)安裝不設(shè)置安全審核。在“管管 理工具理工具”“本地安全策略本地安全策略”管理控制臺中選擇管理控制臺中選擇“本地策略本地策略” “審核策略審核策略”，設(shè)置相應(yīng)的審核，設(shè)置相應(yīng)的審核 圖圖1-10 設(shè)置審核策略設(shè)置審核策略 圖圖1-11 審核帳戶管理審核帳戶管理 安全策略安全策略之本地策略（之本地策略（1） 表表1 常用審核內(nèi)容常用審核內(nèi)容 項目項目設(shè)置值設(shè)置值項目項目設(shè)置值設(shè)置值 帳戶管理帳戶管理成功成功 失敗失敗特權(quán)使用特權(quán)使用失敗失敗 登錄

13、事件登錄事件成功成功 失敗失敗系統(tǒng)事件系統(tǒng)事件成功成功 失敗失敗 對象訪問對象訪問失敗失敗目錄服務(wù)訪問目錄服務(wù)訪問失敗失敗 策略更改策略更改成功成功 失敗失敗帳戶登錄事件帳戶登錄事件成功成功 失敗失敗 安全策略之本地安全策略之本地策略（策略（2） 用戶用戶權(quán)限分配權(quán)限分配 用戶權(quán)限分配是用戶權(quán)限分配是指指：針對針對系統(tǒng)的某種操作，可以修系統(tǒng)的某種操作，可以修 改用戶或用戶組的權(quán)限范圍改用戶或用戶組的權(quán)限范圍 圖圖1-12 “用戶權(quán)限分配用戶權(quán)限分配”窗口窗口 圖圖1-13 “屬性屬性”窗口窗口 安全策略之本地策略（安全策略之本地策略（3） 安全安全選項選項 修改修改Windows Server

14、 2008中默認(rèn)系統(tǒng)安全選項設(shè)置。中默認(rèn)系統(tǒng)安全選項設(shè)置。 例如，選擇安全設(shè)置中的例如，選擇安全設(shè)置中的“本地策略本地策略”/“安全選項安全選項”， 可以設(shè)置交互登錄方式可以設(shè)置交互登錄方式 安全策略之本地策略（安全策略之本地策略（4） 圖圖1-14 安全選項設(shè)置安全選項設(shè)置 3 WINDOWS SERVER 2008高級防火高級防火 墻墻 高級安全高級安全Windows防火墻防火墻（WFAS）是）是 Windows Server 2008/Windows Vista的新的新 增功能，該功能延續(xù)并加強(qiáng)了原來的增功能，該功能延續(xù)并加強(qiáng)了原來的Window防防 火墻，是一款主機(jī)型狀態(tài)防火墻?；饓?，

15、是一款主機(jī)型狀態(tài)防火墻。 默認(rèn)狀態(tài)下，默認(rèn)狀態(tài)下，windows防火墻已經(jīng)處于開啟狀防火墻已經(jīng)處于開啟狀 態(tài)，能夠提供基本的安全防護(hù)功能，保護(hù)內(nèi)部網(wǎng)態(tài)，能夠提供基本的安全防護(hù)功能，保護(hù)內(nèi)部網(wǎng) 絡(luò)免受惡意攻擊者的入侵。除了使用默認(rèn)配置外，絡(luò)免受惡意攻擊者的入侵。除了使用默認(rèn)配置外， 用戶還可以根據(jù)需要開啟或關(guān)閉防火墻。在用戶還可以根據(jù)需要開啟或關(guān)閉防火墻。在 Windows Server 2008中，中，Windows防火墻防火墻 的基本配置變化不大，擁有系統(tǒng)管理權(quán)限用戶帳的基本配置變化不大，擁有系統(tǒng)管理權(quán)限用戶帳 戶，就可以在控制面板中，打開并配置防火墻。戶，就可以在控制面板中，打開并配置防火

16、墻。 3.1 防火墻概述防火墻概述 （1） 表表2 各版本的各版本的Windows防火墻功能比較防火墻功能比較 防火墻防火墻 操作系統(tǒng)版本操作系統(tǒng)版本功能功能 ICFWindows XP Windows XP SP1 主機(jī)型防火墻主機(jī)型防火墻 Windows防火墻防火墻Windows Server 2003 Windows XP SP2 主機(jī)型防火墻主機(jī)型防火墻 可以阻止未經(jīng)授權(quán)的連接請求可以阻止未經(jīng)授權(quán)的連接請求 提供完善的操作界面提供完善的操作界面 與操作系統(tǒng)結(jié)合更加緊密與操作系統(tǒng)結(jié)合更加緊密 高級安全高級安全Windows防火防火 墻墻 （WFAS） Windows Server 200

17、8 Windows Vista Windows 7 主機(jī)型防火墻主機(jī)型防火墻 可以阻止未經(jīng)授權(quán)的連接請求可以阻止未經(jīng)授權(quán)的連接請求 提供完善的主機(jī)型防火墻功能提供完善的主機(jī)型防火墻功能 整合整合IPsec功能功能 默認(rèn)狀態(tài)為啟用默認(rèn)狀態(tài)為啟用 “高級安全Windows防火墻”具有如下新特性： 1、全新的控制臺管理界面 2、雙向保護(hù) 3、集成IPsec功能 4、更詳細(xì)的規(guī)則配置 5、支持網(wǎng)絡(luò)位置識別和配置 6、支持IPv6協(xié)議。 3.1 防火墻概述防火墻概述 （2） 3.2 防火墻的基本配置（防火墻的基本配置（1） Windows Server 2008系統(tǒng)下以管理員帳戶系統(tǒng)下以管理員帳戶 登錄

18、，依次選擇登錄，依次選擇“開始開始”“控制面板控制面板” “Windows防火墻防火墻”，打開，打開“Windows防火防火 墻墻”窗口。單擊窗口。單擊“更改設(shè)備更改設(shè)備”超級鏈接，即可打超級鏈接，即可打 開開“Windows防火墻設(shè)置防火墻設(shè)置”對話框。對話框。 Windows防火墻有防火墻有3種設(shè)置：種設(shè)置： 啟用。啟用。 啟用時阻止所有傳入連接。啟用時阻止所有傳入連接。 關(guān)閉。關(guān)閉。 2、“例外例外”選項卡選項卡 在如在如圖所圖所示示“例外例外”選項卡中設(shè)置能夠直接訪問網(wǎng)絡(luò)的選項卡中設(shè)置能夠直接訪問網(wǎng)絡(luò)的 程序或服務(wù)，可以直接通過單擊程序或服務(wù)，可以直接通過單擊“添加程序添加程序”或者或

19、者“添添 加端口加端口”來自行添加需要訪問外部網(wǎng)絡(luò)的程序或服務(wù)，來自行添加需要訪問外部網(wǎng)絡(luò)的程序或服務(wù)， 解除系統(tǒng)防火墻程序?qū)W(wǎng)絡(luò)訪問的阻止。解除系統(tǒng)防火墻程序?qū)W(wǎng)絡(luò)訪問的阻止。 3.2 防火墻的基本配置（防火墻的基本配置（2） 允許允許/限制程序訪問限制程序訪問 為了提高系統(tǒng)安全性，默認(rèn)情況下為了提高系統(tǒng)安全性，默認(rèn)情況下Windows防火墻阻止所有與計算機(jī)防火墻阻止所有與計算機(jī) 程序建立的未經(jīng)請求的連接，導(dǎo)致用戶許多正常的網(wǎng)絡(luò)應(yīng)用無法實(shí)現(xiàn)。程序建立的未經(jīng)請求的連接，導(dǎo)致用戶許多正常的網(wǎng)絡(luò)應(yīng)用無法實(shí)現(xiàn)。 因此，需要對這些程序進(jìn)行設(shè)置，在防火墻中為這些程序創(chuàng)建例外，因此，需要對這些程序進(jìn)行設(shè)置

20、，在防火墻中為這些程序創(chuàng)建例外， 應(yīng)用程序即可通過防火墻訪問網(wǎng)絡(luò)。應(yīng)用程序即可通過防火墻訪問網(wǎng)絡(luò)。 圖圖1-17 “添加程序添加程序”對話框?qū)υ捒?圖圖1-18 “更改范圍更改范圍”對話框?qū)υ捒?5.2 防火墻的基本配置（防火墻的基本配置（3） 允許限制端口訪問允許限制端口訪問 端口可以認(rèn)為是計算機(jī)與外界通信交流的出口，開啟的端口在提供端口可以認(rèn)為是計算機(jī)與外界通信交流的出口，開啟的端口在提供 網(wǎng)絡(luò)應(yīng)用的同時，有可能成為惡意用戶入侵的通道，網(wǎng)絡(luò)應(yīng)用的同時，有可能成為惡意用戶入侵的通道， 圖圖1-19 “添加端口添加端口”對話框?qū)υ捒?圖圖1-20 “高級高級”選項卡選項卡 3.2 防火墻的基本

21、配置（防火墻的基本配置（4） 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （1） 高級安全高級安全Windows防火墻使用兩組規(guī)則，配置防火墻使用兩組規(guī)則，配置 如何響應(yīng)如何響應(yīng)傳入和傳出傳入和傳出流量，確定允許或阻止流量流量，確定允許或阻止流量 類型。連接安全規(guī)則確定如何保護(hù)計算機(jī)與計算類型。連接安全規(guī)則確定如何保護(hù)計算機(jī)與計算 機(jī)間的通訊，通過使用防火墻配置文件，可以應(yīng)機(jī)間的通訊，通過使用防火墻配置文件，可以應(yīng) 用這些規(guī)則以及其他設(shè)置，監(jiān)視防火墻活動和規(guī)用這些規(guī)則以及其他設(shè)置，監(jiān)視防火墻活動和規(guī) 則。則。 （1）防火墻規(guī)則）防火墻規(guī)則 （2）連接安全規(guī)則）連接安

22、全規(guī)則 （3）防火墻配置文件）防火墻配置文件 （4）監(jiān)視）監(jiān)視 以管理員帳戶登錄以管理員帳戶登錄Windows Server 2008系統(tǒng)后，依次單擊系統(tǒng)后，依次單擊“開開 始始”/“管理工具管理工具”/“高級安全高級安全Windows防火墻防火墻”，打開，打開如如下下圖所圖所示的示的“高高 級安全級安全Windows防火墻防火墻”窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī)窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī) 則則3種。種。 圖圖1-21 “高級安全高級安全Windows防火墻防火墻”窗口窗口 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （2） 1、禁用或啟用

23、規(guī)則、禁用或啟用規(guī)則 管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：Windows防火墻控防火墻控 制臺和制臺和netsh命令。在高級安全命令。在高級安全Windows防火墻控制臺中，首先選擇防火墻控制臺中，首先選擇 “入站規(guī)則入站規(guī)則”或或“出站規(guī)則出站規(guī)則”，然后右擊相應(yīng)規(guī)則，然后右擊相應(yīng)規(guī)則，如下圖所如下圖所示，選示，選 擇擇“禁用規(guī)則禁用規(guī)則”或者或者“啟用規(guī)則啟用規(guī)則”選項，即可更改其運(yùn)行狀態(tài)。使用選項，即可更改其運(yùn)行狀態(tài)。使用 “netsh”命令啟用或禁用單一規(guī)則以及規(guī)則組。命令啟用或禁用單一規(guī)則以及規(guī)則組。 圖圖1-22 “規(guī)則啟用規(guī)則啟

24、用/禁用禁用”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （3） 2、創(chuàng)建防火墻規(guī)則、創(chuàng)建防火墻規(guī)則 Windows 2008的高級安全的高級安全Windows防火墻使用出站防火墻使用出站 和入站兩種規(guī)則，配置其如何響應(yīng)傳入和傳出的請求。默和入站兩種規(guī)則，配置其如何響應(yīng)傳入和傳出的請求。默 認(rèn)情況下，管理員在該服務(wù)器上安裝微軟公司提供的網(wǎng)絡(luò)認(rèn)情況下，管理員在該服務(wù)器上安裝微軟公司提供的網(wǎng)絡(luò) 服務(wù)后，將自動添加在高級防火墻的出站規(guī)則列表中，并服務(wù)后，將自動添加在高級防火墻的出站規(guī)則列表中，并 允許通過防火墻。但是，如果安裝的是第三方網(wǎng)絡(luò)服務(wù)，允許通過防火

25、墻。但是，如果安裝的是第三方網(wǎng)絡(luò)服務(wù)， 則必須通過手動創(chuàng)建相關(guān)規(guī)則，才可以將服務(wù)發(fā)布到網(wǎng)絡(luò)。則必須通過手動創(chuàng)建相關(guān)規(guī)則，才可以將服務(wù)發(fā)布到網(wǎng)絡(luò)。 例如，如果在當(dāng)前服務(wù)器上例如，如果在當(dāng)前服務(wù)器上配置基于配置基于Serv-U的的FTP服務(wù)服務(wù) 器器，則必須同時創(chuàng)建提供上傳和下載的入站規(guī)則（兩個不，則必須同時創(chuàng)建提供上傳和下載的入站規(guī)則（兩個不 同的端口分別是同的端口分別是2121和和2020）。）。 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （4） 步驟一，在高級安全步驟一，在高級安全Windows防火墻控制臺中，右擊防火墻控制臺中，右擊 “入站規(guī)則入站規(guī)則”，選擇

26、快捷菜單中的，選擇快捷菜單中的“新規(guī)則新規(guī)則”選項選項 圖圖1-23 “規(guī)則類型規(guī)則類型”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （5） 步驟二，單擊步驟二，單擊“下一下一 步步”按鈕，顯示如圖按鈕，顯示如圖 所示的所示的“協(xié)議和端口協(xié)議和端口” 對話框。根據(jù)服務(wù)使對話框。根據(jù)服務(wù)使 用的協(xié)議類型選擇用的協(xié)議類型選擇 “TCP”或者或者“UDP” 單選按鈕，本例中單選按鈕，本例中 FTP服務(wù)使用的是服務(wù)使用的是 TCP端口，選擇端口，選擇 “TCP”單選按鈕即可。單選按鈕即可。 選擇選擇“特定本地端口特定本地端口” 單選按鈕，輸入服務(wù)單選按鈕，輸入

27、服務(wù) 使用的端口號，如果使用的端口號，如果 在配置服務(wù)器時指定在配置服務(wù)器時指定 了非默認(rèn)端口，則在了非默認(rèn)端口，則在 這里也應(yīng)指定相應(yīng)端這里也應(yīng)指定相應(yīng)端 口，例如口，例如2121。 圖圖1-24 “協(xié)議和端口協(xié)議和端口”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （6） 步驟三，單擊步驟三，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的“操作操作”對話框，選擇對話框，選擇 “允許連接允許連接”單選按鈕。如果選擇單選按鈕。如果選擇“只允許安全連接只允許安全連接”單選按鈕，則高級單選按鈕，則高級 防火墻只允許特定的安全用戶訪問服務(wù)器，即使

28、用防火墻只允許特定的安全用戶訪問服務(wù)器，即使用IPSec身份驗(yàn)證的用戶。身份驗(yàn)證的用戶。 如果選擇如果選擇“阻止連接阻止連接”單選按鈕，則將阻止所有用戶到服務(wù)器的連接。單選按鈕，則將阻止所有用戶到服務(wù)器的連接。 圖圖1-25 “協(xié)議協(xié)議 和端口和端口”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （7） 步驟四，單擊步驟四，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的“配置文件配置文件”對話框，對話框， 設(shè)置該規(guī)則的應(yīng)用范圍。例如，設(shè)置該規(guī)則的應(yīng)用范圍。例如，F(xiàn)TP服務(wù)器僅對服務(wù)器僅對Internet用戶提供服務(wù)，用戶提供服務(wù)， 則選擇則

29、選擇“公用公用”復(fù)選框即可，內(nèi)網(wǎng)用戶對服務(wù)器的訪問將不受防火墻保復(fù)選框即可，內(nèi)網(wǎng)用戶對服務(wù)器的訪問將不受防火墻保 護(hù)。護(hù)。 圖圖1-26 “配置文件配置文件”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （8） 步驟五，單擊步驟五，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的“名稱名稱” 對話框。在對話框。在“名稱名稱”文本框中輸入該入站規(guī)則的顯示名文本框中輸入該入站規(guī)則的顯示名 稱，便于識別。在稱，便于識別。在“描述描述”文本框中，可以輸入相關(guān)的文本框中，可以輸入相關(guān)的 描述信息。描述信息。 圖圖1-27 “名稱名稱”對話框?qū)υ捒?3.

30、3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （9） 步驟六，單擊步驟六，單擊“完成完成”按鈕，即可保存已創(chuàng)建的入站規(guī)則按鈕，即可保存已創(chuàng)建的入站規(guī)則. FTP服務(wù)服務(wù) 器提供下載和上傳服務(wù)時，需要使用不同的端口，因此還需要對用于器提供下載和上傳服務(wù)時，需要使用不同的端口，因此還需要對用于 發(fā)布上傳服務(wù)的端口創(chuàng)建入站規(guī)則，如發(fā)布上傳服務(wù)的端口創(chuàng)建入站規(guī)則，如圖所圖所示。示。 圖圖1-28 “名稱名稱”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （10） 步驟七，默認(rèn)情況下，成功創(chuàng)建的入站規(guī)則將自動啟步驟七，默認(rèn)情況下，成功創(chuàng)建的入

31、站規(guī)則將自動啟 用，并顯示在用，并顯示在“入站規(guī)則入站規(guī)則”窗口中如窗口中如圖所圖所示。示。 圖圖1-29 “高級安全高級安全Windows防火墻防火墻”窗口窗口 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （11） 3、編輯防火墻規(guī)、編輯防火墻規(guī) 則則 在在Windows Server 2008系系 統(tǒng)防火墻中，管理統(tǒng)防火墻中，管理 員可以通過配置員可以通過配置 ICMP協(xié)議響應(yīng)機(jī)協(xié)議響應(yīng)機(jī) 制，使本地計算機(jī)制，使本地計算機(jī) 響應(yīng)或拒絕其他計響應(yīng)或拒絕其他計 算機(jī)的算機(jī)的“ping”命命 令測試，以確保服令測試，以確保服 務(wù)器安全。務(wù)器安全。 圖圖1-30 “網(wǎng)絡(luò)

32、一路由器播發(fā)屬性網(wǎng)絡(luò)一路由器播發(fā)屬性”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （12） 4 WINDOWS網(wǎng)絡(luò)訪問保護(hù)網(wǎng)絡(luò)訪問保護(hù) 遠(yuǎn)程訪問是大多數(shù)局域網(wǎng)中比較常用的功能之一，遠(yuǎn)程訪問是大多數(shù)局域網(wǎng)中比較常用的功能之一， 由于不安全客戶端遠(yuǎn)程撥入導(dǎo)致的網(wǎng)絡(luò)癱瘓故障由于不安全客戶端遠(yuǎn)程撥入導(dǎo)致的網(wǎng)絡(luò)癱瘓故障 也時有發(fā)生。也時有發(fā)生。Windows Server 2008系統(tǒng)的系統(tǒng)的 網(wǎng)絡(luò)訪問保護(hù)功能網(wǎng)絡(luò)訪問保護(hù)功能（Network Access Protection，簡稱，簡稱NAP），可以通過網(wǎng)絡(luò)策略），可以通過網(wǎng)絡(luò)策略 服務(wù)器對客戶端撥入請求進(jìn)行

33、身份驗(yàn)證和健康服務(wù)器對客戶端撥入請求進(jìn)行身份驗(yàn)證和健康 狀態(tài)評估，只有達(dá)到網(wǎng)絡(luò)健康標(biāo)準(zhǔn)的客戶端，才狀態(tài)評估，只有達(dá)到網(wǎng)絡(luò)健康標(biāo)準(zhǔn)的客戶端，才 允許接入內(nèi)部網(wǎng)絡(luò)，未達(dá)到網(wǎng)絡(luò)標(biāo)準(zhǔn)的客戶端，允許接入內(nèi)部網(wǎng)絡(luò)，未達(dá)到網(wǎng)絡(luò)標(biāo)準(zhǔn)的客戶端， 可以通過指定的修正服務(wù)器修復(fù)計算機(jī)的狀態(tài)后可以通過指定的修正服務(wù)器修復(fù)計算機(jī)的狀態(tài)后 才允許接入內(nèi)部網(wǎng)絡(luò)。才允許接入內(nèi)部網(wǎng)絡(luò)。 4.1 NAP概述概述 對于網(wǎng)絡(luò)管理人員來說，必須確認(rèn)接入企業(yè)網(wǎng)絡(luò)的對于網(wǎng)絡(luò)管理人員來說，必須確認(rèn)接入企業(yè)網(wǎng)絡(luò)的 所有計算機(jī)都更新為最新的系統(tǒng)狀態(tài)，以及符合企所有計算機(jī)都更新為最新的系統(tǒng)狀態(tài)，以及符合企 業(yè)的業(yè)的“健康策略（健康策略（Healt

34、h Policy）”需求需求 。 Windows Server 2008與與Windows Vista的的 NAP提供程序與提供程序與“應(yīng)用程序編程界面應(yīng)用程序編程界面(API)”以協(xié)助以協(xié)助 管理人員設(shè)置，當(dāng)用戶執(zhí)行網(wǎng)絡(luò)訪問或通信時，可管理人員設(shè)置，當(dāng)用戶執(zhí)行網(wǎng)絡(luò)訪問或通信時，可 強(qiáng)制其遵守企業(yè)網(wǎng)絡(luò)計算機(jī)健康管理策略。強(qiáng)制其遵守企業(yè)網(wǎng)絡(luò)計算機(jī)健康管理策略。 網(wǎng)絡(luò)訪問保護(hù)主要分為網(wǎng)絡(luò)訪問保護(hù)主要分為4個部分：個部分：策略驗(yàn)證、隔離、策略驗(yàn)證、隔離、 補(bǔ)救和持續(xù)監(jiān)控補(bǔ)救和持續(xù)監(jiān)控。 網(wǎng)絡(luò)內(nèi)部安全已經(jīng)成為網(wǎng)絡(luò)安全的重點(diǎn)，用戶水平參差網(wǎng)絡(luò)內(nèi)部安全已經(jīng)成為網(wǎng)絡(luò)安全的重點(diǎn)，用戶水平參差 不齊，使用習(xí)慣各

35、不相同。例如，如果網(wǎng)絡(luò)中沒有安裝不齊，使用習(xí)慣各不相同。例如，如果網(wǎng)絡(luò)中沒有安裝 軟件更新或者防病毒軟件的客戶端，很可能導(dǎo)致整個網(wǎng)軟件更新或者防病毒軟件的客戶端，很可能導(dǎo)致整個網(wǎng) 絡(luò)遭受攻擊。絡(luò)遭受攻擊。NAP可以很好地解決這一難題，通常情況可以很好地解決這一難題，通常情況 下，它可以應(yīng)用于如下保護(hù)環(huán)境。下，它可以應(yīng)用于如下保護(hù)環(huán)境。 1、保護(hù)漫游計算機(jī)的健康、保護(hù)漫游計算機(jī)的健康 2、保護(hù)桌面計算機(jī)的健康、保護(hù)桌面計算機(jī)的健康 3、保護(hù)來訪用戶計算機(jī)的健康、保護(hù)來訪用戶計算機(jī)的健康 4、保護(hù)家庭計算機(jī)的健康、保護(hù)家庭計算機(jī)的健康 4.2 NAP的環(huán)境的環(huán)境 NAP是一個用于幫助管理員保護(hù)網(wǎng)絡(luò)

36、安全的管是一個用于幫助管理員保護(hù)網(wǎng)絡(luò)安全的管 理平臺，它由多個組件構(gòu)成，其中必需的組件包理平臺，它由多個組件構(gòu)成，其中必需的組件包 括網(wǎng)絡(luò)策略服務(wù)器、強(qiáng)制點(diǎn)和強(qiáng)制客戶端。括網(wǎng)絡(luò)策略服務(wù)器、強(qiáng)制點(diǎn)和強(qiáng)制客戶端。 圖圖1-31 啟用啟用NAP的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的組建的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的組建 4.3 NAP的系統(tǒng)架構(gòu)及功能的系統(tǒng)架構(gòu)及功能 默認(rèn)安裝完默認(rèn)安裝完Windows Server 2008后，沒有安裝網(wǎng)絡(luò)策略和后，沒有安裝網(wǎng)絡(luò)策略和 遠(yuǎn)程訪問服務(wù)，需要用戶手動安裝該服務(wù)。遠(yuǎn)程訪問服務(wù)，需要用戶手動安裝該服務(wù)。 運(yùn)行運(yùn)行“添加角色向?qū)砑咏巧驅(qū)А?，在，在“選擇服務(wù)器角色選擇服務(wù)器角色”界面中，選中界

37、面中，選中 “網(wǎng)絡(luò)策略和訪問服務(wù)網(wǎng)絡(luò)策略和訪問服務(wù)”復(fù)選框復(fù)選框 。 圖圖1-32 “選擇服務(wù)器角色選擇服務(wù)器角色”界面界面 圖圖1-33 “選擇角色服務(wù)選擇角色服務(wù)”界面界面 4.4 安裝安裝NAP（1） 安裝完畢，通過安裝完畢，通過“管理工具管理工具”/“網(wǎng)絡(luò)策略服務(wù)器網(wǎng)絡(luò)策略服務(wù)器”， 可以啟動可以啟動NPS。 nNPS策略包含四部分的內(nèi)容，分別為：網(wǎng)絡(luò)健康驗(yàn)策略包含四部分的內(nèi)容，分別為：網(wǎng)絡(luò)健康驗(yàn) 證器、更新服務(wù)器組、健康策略、網(wǎng)絡(luò)策略，將對證器、更新服務(wù)器組、健康策略、網(wǎng)絡(luò)策略，將對 加入到公司網(wǎng)絡(luò)的計算機(jī)進(jìn)行驗(yàn)證、隔離、補(bǔ)救以加入到公司網(wǎng)絡(luò)的計算機(jī)進(jìn)行驗(yàn)證、隔離、補(bǔ)救以 及健康策略

38、審核。及健康策略審核。 圖圖1-34 “網(wǎng)絡(luò)策略服務(wù)器網(wǎng)絡(luò)策略服務(wù)器”界面界面 4.4 安裝安裝NAP（2） 圖圖1-35 “系統(tǒng)健康驗(yàn)證器系統(tǒng)健康驗(yàn)證器”界面界面 圖圖1-36 “新建健康策略新建健康策略”界面界面 4.4 安裝安裝NAP（3） 5 其他安全特性其他安全特性 1、Bitlocker驅(qū)動加密驅(qū)動加密 使用使用BitLocker 驅(qū)動器加密可以保護(hù)存儲在安裝驅(qū)動器加密可以保護(hù)存儲在安裝Windows的驅(qū)的驅(qū) 動器上的所有文件。前代的加密文件系統(tǒng)動器上的所有文件。前代的加密文件系統(tǒng) (EFS) 可以加密單獨(dú)文可以加密單獨(dú)文 件，與其不同的是，件，與其不同的是，BitLocker 將

39、加密整個系統(tǒng)驅(qū)動器，包括啟將加密整個系統(tǒng)驅(qū)動器，包括啟 動和登錄所需的動和登錄所需的Windows系統(tǒng)文件。系統(tǒng)文件。 2、Windows Service Hardening Windows Service Hardening能夠防止關(guān)鍵能夠防止關(guān)鍵Windows服務(wù)被文服務(wù)被文 檔系統(tǒng)、注冊表或網(wǎng)絡(luò)中的異?；顒邮褂?，從而確保系統(tǒng)具有更檔系統(tǒng)、注冊表或網(wǎng)絡(luò)中的異?；顒邮褂?，從而確保系統(tǒng)具有更 高的安全性。由于高的安全性。由于Windows Service Hardening默認(rèn)運(yùn)行的服默認(rèn)運(yùn)行的服 務(wù)很少，而且服務(wù)帳戶擁有的特權(quán)極小，因而限制了網(wǎng)絡(luò)訪問。務(wù)很少，而且服務(wù)帳戶擁有的特權(quán)極小，因而

40、限制了網(wǎng)絡(luò)訪問。 3、限制可移動設(shè)備安裝、限制可移動設(shè)備安裝 Windows Server 2008為企業(yè)提供一種保護(hù)數(shù)據(jù)的方法，這種為企業(yè)提供一種保護(hù)數(shù)據(jù)的方法，這種 方法可以防止數(shù)據(jù)被拷貝到方法可以防止數(shù)據(jù)被拷貝到U盤等可移動設(shè)備上。通過配置組策盤等可移動設(shè)備上。通過配置組策 略略(Group Policy)可實(shí)現(xiàn)對鍵盤、鼠標(biāo)或者可實(shí)現(xiàn)對鍵盤、鼠標(biāo)或者U盤的控制。管理者盤的控制。管理者 在決定移動設(shè)備如何使用方面有著充分的在決定移動設(shè)備如何使用方面有著充分的靈活性。靈活性。 本節(jié)小結(jié)本節(jié)小結(jié) 保證保證Windows Server 2008服務(wù)器安全，是提服務(wù)器安全，是提 供可靠服務(wù)的基礎(chǔ)。

41、供可靠服務(wù)的基礎(chǔ)。 本節(jié)介紹本節(jié)介紹Windows Server 2008安全策略配置安全策略配置 與管理，以及配置系統(tǒng)安全性的措施。與管理，以及配置系統(tǒng)安全性的措施。 Windows Server 2008內(nèi)置了基本安全策略模內(nèi)置了基本安全策略模 板，能夠滿足常規(guī)安全配置需要，用戶也可以根板，能夠滿足常規(guī)安全配置需要，用戶也可以根 據(jù)具體網(wǎng)絡(luò)應(yīng)用，合理配置據(jù)具體網(wǎng)絡(luò)應(yīng)用，合理配置Windows Server 2008的安全策略。的安全策略。 本節(jié)以本節(jié)以安全安裝操作系統(tǒng)、正確配置網(wǎng)絡(luò)服務(wù)與安全安裝操作系統(tǒng)、正確配置網(wǎng)絡(luò)服務(wù)與 端口、設(shè)置帳號及安全日志策略為例，介紹了配端口、設(shè)置帳號及安全日志

42、策略為例，介紹了配 置置Windows Server 2008安全策略的作用與方安全策略的作用與方 法。法。 第1節(jié) WINDOWS SERVER 2008安 全管理 第2節(jié) LINUX安全配置 第3節(jié) 綜合管理規(guī)范 本節(jié)主要介紹本節(jié)主要介紹LinuxLinux基礎(chǔ)、安全概述以及安全策略基礎(chǔ)、安全概述以及安全策略配配 置置與安全管理等與安全管理等內(nèi)容內(nèi)容。包括。包括以下主要以下主要內(nèi)容：內(nèi)容： 為什么要用為什么要用LinuxLinux？ Linux Linux安全概述安全概述 Linux Linux安全安全配置配置 第2節(jié) LINXU安全配置與管理 1. LINUX基礎(chǔ) 1.1 為什么要用Li

43、nux? Linux操作系統(tǒng)具有穩(wěn)定、安全、網(wǎng)絡(luò)負(fù)載能力強(qiáng)、占用資源少等優(yōu) 點(diǎn)，現(xiàn)成為當(dāng)今世界主流操作系統(tǒng)之一。 Linux操作系統(tǒng)是開源的，任何人或企業(yè)都可以免費(fèi)得到，降低了企 業(yè)成本，提升利潤空間。 Linux操作系統(tǒng)是不容易受到病毒和木馬攻擊，運(yùn)行安全穩(wěn)定，不需 要經(jīng)常裝機(jī)，降低了運(yùn)維成本。 Linux操作系統(tǒng)網(wǎng)絡(luò)服務(wù)功能非常強(qiáng)大，支持豐富的網(wǎng)絡(luò)協(xié)議和應(yīng)用； 在服務(wù)器領(lǐng)域非常成熟，占據(jù)大部分市場。 2.1 Linux安全概述 相對Windows而言，Linux是一個安全而穩(wěn)定的操作系統(tǒng)。 Linux系統(tǒng)安全與系統(tǒng)管理員有很大關(guān)系。服務(wù)安裝的越多越容易導(dǎo)致系 統(tǒng)的安全漏洞。 安裝Linux

44、時，最好先最小化安裝，然后再加上必要的軟件。這樣可以減 小某個程序出現(xiàn)安全隱患的可能。如果管理得好，Linux將是最安全的系 統(tǒng)。 應(yīng)該盡量少讓外人知道有關(guān)系統(tǒng)的信息。有時候簡單地用finger程序就能 知道不少系統(tǒng)信息，比如：有多少用戶、管理員什么時候登錄、什么時候 工作、是誰現(xiàn)在正在使用這個系統(tǒng)以及其他有利于黑客猜出用戶口令的信 息。 2. LINUX安全配置 2.1 Linux安全概述 日志是了解Linux系統(tǒng)運(yùn)行情況的唯一方法。把所有的連接都記錄在 日志中，可以發(fā)現(xiàn)攻擊者和他們試圖進(jìn)行的攻擊。 限制系統(tǒng)中SUID的程序。 SUID的程序是以root（Linux世界中的上 帝）權(quán)限運(yùn)行的

45、程序。有時候這是必須的，但是在多數(shù)情況下則沒 有必要。 SUID程序可以做任何root做的事，有更多的機(jī)會出現(xiàn)安全隱患。黑客可以利用 SUID的程序來破壞系統(tǒng)的安全。 2. LINUX安全配置 2.2 Linux安全配置 （1）root賬號 root賬號是Linux系統(tǒng)中享有特權(quán)的賬號。 它是不受任何限制和制 約的。因此，可能會因?yàn)榍缅e了一個命令，導(dǎo)致重要的系統(tǒng)文件被 刪除。用root賬號的時候，要非常小心。 因?yàn)榘踩?，在不是絕對必要的情況下，不要用root賬號登錄。 需要的時候可以使用su命令切換到root賬號。 特別要注意的是：千萬不要在別的計算機(jī)上用root登錄自己的服務(wù) 器。 2.

46、 LINUX安全配置 2.2 Linux安全配置 （2）賬號管控 禁止操作系統(tǒng)中不必要的預(yù)置賬號（每次升級或安裝完都要檢查一 下）。 Linux系統(tǒng)中提供了這樣一些可能不需要的預(yù)置賬號。如果確實(shí)不需 要這些賬號，就把它們刪掉。系統(tǒng)中賬號越多就越容易受到攻擊。 命令：rootAid# useradd admin 系統(tǒng)中加入必要的用戶 命令：rootAid# chattr +i /etc/passwd （ /etc/shadow 、/etc/group、/etc/gshadow） 給口令文件和組文件設(shè)置不可改變位 2. LINUX安全配置 2.2 Linux安全配置 （2）賬號管控 刪除不必要帳戶

47、 1、應(yīng)該刪除所有不用的缺省用戶和組賬戶（比如：lp，sync，shutdown，halt， mail）； 2、不用sendmail服務(wù)器可刪除帳號news，uucp，operator，games； 3、不用X windows服務(wù)器可刪掉帳號gopher 命令： rootAid#userdel lp 刪除一些不必要用戶 命令：rootAid# groupdel adm 刪除一些不必要的組 2. LINUX安全配置 2.2 Linux安全配置 （3）防止任何人su成為root 建議盡量限制用戶通過su命令成為root。方法如下： 第一步 編輯su文件（vi /etc/pam.d/su），在文件的

48、頭部加入下面兩行： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel 這兩行的意義是只有 wheel組的成員才能用su命令成為root。注意， w h e e l組是系 統(tǒng)中用于這個目的的特殊賬號。不能用別的組名。 第二步，讓授權(quán)賬號加入wheel組。 rootAid# usermod -G10 admin 2. LINUX安全配置 2.2 Linux安全配置 （4）禁止任意訪問本機(jī)（啟用TCP_WRAPPERS） 第一步 vi /etc/hosts.deny，加入下面這些行： # Deny access to everyone. ALL: ALLALL, PARANOID 第二步 vi /etc/hosts.allow。例如，可以加入下面這些行（被授權(quán)訪問的計算機(jī)要明 確地列出來）： sshd: 被授權(quán)訪問的計算機(jī)的IP地址是：208.164. 186.1，主機(jī)名是：，允 許使用的服