数字化系统安全加固技术9787115628671
正版图书,可开发票,请放心购买。
¥ 46.97 7.9折 ¥ 59.8 全新
库存9件
广东广州
认证卖家担保交易快速发货售后保障
作者白婧婧、田康、李博、高尉峰、朱康
出版社人民邮电
ISBN9787115628671
出版时间2024-10
装帧其他
开本其他
定价59.8元
货号32224449
上书时间2024-11-04
- 店主推荐
- 最新上架
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
白婧婧西安电子科技大学硕士研究生,在网络安全测评领域深耕10年,主攻Docker容器逃逸、主机提权技术,精通主流操作系统、数据库、中间件的安全配置检查及加固,爱好洞察业界信息安全技术动态,在网络安全防御、漏洞修复方面有着丰富的经验。
田康中移系统集成有限公司(雄安产业研究院)智慧城市平台部副总经理、高级工程师,中国移动OneCity系统架构师,中国移动集团科协AI专家组成员,负责甘肃省数字政府、沈阳市数字政府等多个省市数字化建设项目的整体规划编制、技术架构设计等工作,在政企数字化转型领域有深入的研究和丰富的实践经验。
李博具有13年DevOps领域研发和实践经验,在多个企业主导DevOps体系从0到1的建设工作,包括持续集成、持续发布、研发协同等多个领域,近几年专注于DevSecOps在企业的落地实践。
高尉峰毕业于西北工业大学软件与微电子学院,主要研究APT攻防对抗技术、RASP技术、ATT&CK知识库实践、样本溯源、安全测试工具开发和DevSecOps落地等,并在上述领域提出多项解决方案。
朱康从事网络安全测评和渗透测试工作5年,对业界常见的攻击手段有独特的见解。在操作系统安全、数据库安全、中间件安全、容器安全领域有丰富的安全配置加固实战经验。
目录
第 1篇 操作系统安全
第 1章 Linux3
1.1 账号安全3
1.1.1 控制可登录账号3
1.1.2 禁止root用户登录3
1.1.3 禁用非活动用户4
1.1.4 确保root用户的GID为04
1.1.5 确保仅root用户的UID为0 4
1.2 密码安全5
1.2.1 设置密码生存期5
1.2.2 设置密码复杂度5
1.2.3 确保加密算法为SHA-5126
1.2.4 确保/etc/shadow密码字段不为空6
1.3 登录、认证鉴权7
1.3.1 配置SSH服务7
1.3.2 设置登录超时时间9
1.3.3 设置密码锁定策略10
1.3.4 禁止匿名用户登录系统10
1.3.5 禁用不安全服务10
1.3.6 禁用不安全的客户端11
1.3.7 配置/etc/crontab文件权限12
1.3.8 确保登录警告配置正确12
1.4 日志审计13
1.4.1 配置auditd服务13
1.4.2 配置rsyslog服务15
1.4.3 配置journald服务15
1.4.4 配置日志文件最小权限16
1.5 安全配置16
1.5.1 限制可查看历史命令条数16
1.5.2 确保日志文件不会被删除17
1.5.3 iptables配置17
1.5.4 配置系统时间同步18
1.5.5 限制umask值20
1.5.6 限制su命令的访问20
1.5.7 SELinux配置20
1.5.8 系统文件权限配置21
1.6 安全启动22
1.6.1 设置引导加载程序密码22
1.6.2 配置引导加载程序权限23
1.6.3 配置单用户模式需要身份验证23
1.7 安全编译23
1.7.1 限制堆芯转储23
1.7.2 启用XD/NX支持24
1.7.3 启用地址空间布局随机化24
1.7.4 禁止安装prelink25
1.8 主机和路由器系统配置25
1.8.1 禁止接收源路由数据包25
1.8.2 禁止数据包转发26
1.8.3 关闭ICMP重定向26
1.8.4 关闭安全ICMP重定向27
1.8.5 记录可疑数据包27
1.8.6 忽略广播ICMP请求28
1.8.7 忽略虚假ICMP响应28
1.8.8 启用反向路径转发28
1.8.9 启用TCP SYN Cookie29
1.8.10 禁止接收IPv6路由器广告29
第 2章 Windows30
2.1 账户安全30
2.1.1 禁用Guest账户30
2.1.2 禁用管理员账户31
2.1.3 删除无用账户31
2.1.4 不显示上次登录的用户名32
2.1.5 禁止空密码登录系统33
2.1.6 重命名来宾和管理员账户33
2.1.7 确保“账户锁定时间”设置为“15”或更大的值34
2.1.8 确保“账户锁定阈值”设置为“5”或更小的值34
2.1.9 确保“计算机账户锁定阈值”设置为“10”或更小的值35
2.1.10 确保“重置账户锁定计数器”设置为“15”或更大的值35
2.1.11 密码过期之前提醒用户更改密码36
2.2 密码策略36
2.2.1 启用密码复杂度相关策略36
2.2.2 确保“强制密码历史”设置为“24”或更大的值37
2.2.3 设置密码使用期限37
2.2.4 设置最小密码长度38
2.3 认证授权38
2.3.1 拒绝Guest、本地账户从网络访问此计算机38
2.3.2 拒绝Guest、本地账户通过远程桌面服务登录39
2.3.3 配置远程强制关机权限39
2.3.4 限制可本地关机的用户40
2.3.5 授权可登录的账户40
2.3.6 分配用户权限41
2.3.7 控制备份文件和目录权限42
2.3.8 控制还原文件和目录权限42
2.3.9 控制管理审核和安全日志权限43
2.3.10 控制身份验证后模拟客户端权限43
2.3.11 控制拒绝以服务身份登录权限44
2.4 日志审计44
2.4.1 设置日志存储文件大小45
2.4.2 配置审核策略45
2.5 系统配置46
2.5.1 设置屏幕保护程序46
2.5.2 安全登录46
2.5.3 限制匿名枚举47
2.5.4 禁止存储网络身份验证的密码和凭据48
2.5.5 使用DoH48
2.5.6 设置域成员策略49
2.5.7 控制从网络访问编辑注册表的权限50
2.5.8 控制共享文件夹访问权限51
2.5.9 关闭Windows自动播放功能52
2.5.10 限制为进程调整内存配额权限用户52
2.5.11 配置修改固件环境值权限53
2.5.12 配置加载和卸载设备驱动程序权限54
2.5.13 配置更改系统时间权限54
2.5.14 配置更改时区权限55
2.5.15 配置获取同一会话中另一个用户的模拟令牌权限55
2.5.16 阻止计算机加入家庭组56
2.5.17 阻止用户和应用程序访问危险网站56
2.5.18 扫描所有下载文件和附件57
2.5.19 开启实时保护58
2.5.20 开启行为监视58
2.5.21 扫描可移动驱动器59
2.5.22 开启自动下载和安装更新59
2.5.23 防止绕过Windows Defender SmartScreen59
2.6 网络安全60
2.6.1 LAN管理器配置60
2.6.2 设置基于NTML SSP的客户端和服务器的最小会话安全策略60
2.6.3 设置LDAP客户端签名61
2.6.4 登录时间到期时强制注销61
2.6.5 禁止LocalSystem NULL会话回退61
2.6.6 禁止PKU2U身份验证请求使用联机标识61
2.6.7 配置Kerberos允许的加密类型62
2.6.8 允许本地系统将计算机标识用于NTLM62
2.7 本地安全策略63
2.7.1 设置提高计划优先级权限63
2.7.2 设置创建符号链接权限63
2.7.3 设置调试程序权限64
2.7.4 设置文件单一进程和系统性能权限64
2.7.5 设置创建永久共享对象权限65
2.7.6 设置创建全局对象权限65
2.7.7 设置创建一个令牌对象权限66
2.7.8 设置执行卷维护任务权限67
2.7.9 设置拒绝作为批处理作业登录权限67
2.7.10 设置替换一个进程级令牌权限68
2.7.11 Microsoft网络客户端安全配置68
2.7.12 Microsoft网络服务器安全配置69
2.7.13 禁止将Everyone权限应用于匿名用户70
2.7.14 禁止设置匿名用户可以访问的网络共享71
2.7.15 控制应用程序安装71
2.7.16 禁用sshd服务72
2.7.17 禁用FTP服务72
2.7.18 配置高级审核策略72
2.7.19 禁止在DNS域网络上安装和配置网桥74
2.7.20 禁止在DNS域网络上使用Internet连接共享74
2.8 Windows Defender防火墙75
2.8.1 开启Windows Defender防病毒功能75
2.8.2 开启防火墙76
2.8.3 配置入站和出站连接77
2.8.4 配置日志文件77
第 2篇 数据库安全
第3章 MySQL81
3.1 宿主机安全配置81
3.1.1 数据库工作目录和数据目录存放在专用磁盘分区81
3.1.2 使用MySQL专用账号启动进程81
3.1.3 禁用MySQL历史命令记录82
3.1.4 禁止MYSQL_PWD的使用82
3.1.5 禁止MySQL运行账号登录系统83
3.1.6 禁止MySQL使用默认端口83
3.2 备份与容灾83
3.2.1 制定数据库备份策略83
3.2.2 使用专用存储设备存放备份数据84
3.2.3 部署数据库应多主多从84
3.3 账号与密码安全84
3.3.1 设置密码生存周期84
3.3.2 设置密码复杂度85
3.3.3 确保不存在空密码账号86
3.3.4 确保不存在无用账号86
3.3.5 修改默认管理员账号名为非root用户86
3.4 身份认证连接与会话超时限制87
3.4.1 检查数据库是否设置连接尝试次数87
3.4.2 检查是否限制连接地址与设备88
3.4.3 限制单个用户的连接数88
3.4.4 确保have_ssl设置为yes88
3.4.5 确保使用高强度加密套件89
3.4.6 确保加解密函数配置高级加密算法89
3.4.7 确保使用新版本TLS协议89
3.5 数据库文件目录权限90
3.5.1 配置文件及目录权限最小化90
3.5.2 备份数据权限最小化90
3.5.3 二进制日志权限最小化90
3.5.4 错误日志权限最小化91
3.5.5 慢查询日志权限最小化91
3.5.6 中继日志权限最小化91
3.5.7 限制日志权限最小化91
3.5.8 插件目录权限最小化92
3.5.9 密钥证书文件权限最小化92
3.6 日志与审计92
3.6.1 配置错误日志92
3.6.2 确保log-raw设置为off93
3.6.3 配置log_error_verbosity93
3.7 用户权限控制93
3.7.1 确保仅管理员账号可访问所有数据库93
3.7.2 确保file不授予非管理员账号94
3.7.3 确保process不授予非管理员账号94
3.7.4 确保super不授予非管理员账号94
3.7.5 确保shutdown不授予非管理员账号95
3.7.6 确保create user不授予非管理员账号95
3.7.7 确保grant option不授予非管理员账号95
3.7.8 确保replication slave不授予非管理员账号95
3.8 基本安全配置96
3.8.1 确保安装最新补丁96
3.8.2 删除默认安装的测试数据库test96
3.8.3 确保allow-suspicious-udfs配置为false96
3.8.4 local_infile参数设定97
3.8.5 skip-grant-tables参数设定97
3.8.6 daemon_memcached参数设定97
3.8.7 secure_file_priv参数设定98
3.8.8 sql_mode参数设定98
第4章 PostgreSQL99
4.1 目录文件权限99
4.1.1 确保配置文件及目录权限合理99
4.1.2 备份数据权限最小化99
4.1.3 日志文件权限最小化100
4.2 日志与审计100
4.2.1 确保已开启日志记录100
4.2.2 确保已配置日志生命周期101
4.2.3 确保已配置日志转储大小101
4.2.4 确保配置日志记录内容完整101
4.2.5 确保正确配置log_destinations102
4.2.6 确保已配置log_truncate_on_rotation102
4.2.7 正确配置syslog_facility103
4.2.8 正确配置syslog_sequence_numbers103
4.2.9 正确配置syslog_split_messages103
4.2.10 正确配置syslog_ident103
4.2.11 正确配置log_min_ messages104
4.2.12 正确配置log_min_error_ statement104
4.2.13 确保禁用debug_print_parse104
4.2.14 确保禁用debug_print_rewritten104
4.2.15 确保禁用debug_print_plan105
4.2.16 确保启用debug_pretty_print105
4.2.17 确保启用log_connections105
4.2.18 确保启用log_disconnections105
4.2.19 正确配置log_error_verbosity106
4.2.20 正确配置log_hostname106
4.2.21 正确配置log_statement106
4.2.22 正确配置log_timezone107
4.3 账号与密码安全107
4.3.1 设置密码复杂度107
4.3.2 设置密码生存周期107
4.4 身份认证连接与会话超时限制108
4.4.1 检查数据库是否设置连接尝试次数108
4.4.2 检查是否限制连接地址与设备108
4.4.3 限制单个用户的连接数108
4.4.4 设置登录校验密码109
4.5 备份与容灾109
4.5.1 制定数据库备份策略109
4.5.2 部署数据库应多主多从110
4.6 用户权限控制110
4.7 安装和升级安全配置110
4.7.1 确保安装包来源可靠110
4.7.2 确保正确配置服务运行级别110
4.7.3 配置数据库运行账号文件掩码111
第5章 Redis112
5.1 身份认证连接112
5.1.1 限制客户端认证超时时间112
5.1.2 检查数据库是否设置连接尝试次数112
5.1.3 配置账号锁定时间113
5.2 账号密码认证113
5.3 目录文件权限113
5.3.1 确保配置文件及目录权限合理113
5.3.2 备份数据权限最小化113
5.3.3 日志文件权限最小化114
5.4 备份与容灾114
5.4.1 制定数据库备份策略114
5.4.2 部署数据库应多主多从114
5.5 安装与升级115
5.5.1 确保使用最新安装补丁115
5.5.2 使用Redis专用账号启动进程115
5.5.3 禁止Redis运行账号登录系统116
5.5.4 禁止Redis使用默认端口116
第6章 MongoDB117
6.1 安装和补丁117
6.1.1 确保使用最新版本数据库117
6.1.2 使用MongoDB专用账号启动进程117
6.1.3 确保MongoDB未使用默认端口118
6.1.4 禁止MongoDB运行账号登录系统118
6.2 身份认证119
6.2.1 确保启用身份认证119
6.2.2 确保本机登录进行身份认证119
6.2.3 检查是否限制连接地址与设备119
6.2.4 确保在集群环境中启用身份认证120
6.3 备份与容灾120
6.3.1 制定数据库备份策略120
6.3.2 部署数据库应多主多从121
6.4 日志与审计121
6.4.1 确保日志记录内容完整121
6.4.2 确保添加新日志采用追加方式而不是覆盖121
6.5 目录文件权限122
6.5.1 确保配置文件及目录权限合理122
6.5.2 备份数据权限最小化122
6.5.3 日志文件权限最小化122
6.5.4 确保密钥证书文件权限最小化123
6.6 权限控制123
6.6.1 确保使用基于角色的访问控制123
6.6.2 确保每个角色都是必要的且权限最小化123
6.6.3 检查具有root用户角色的用户124
6.7 传输加密125
6.7.1 确保禁用旧版本TLS协议125
6.7.2 确保网络传输使用TLS加密125
第3篇 中间件安全
第7章 Tomcat129
7.1 安全配置129
7.1.1 以普通用户运行Tomcat129
7.1.2 修改默认端口129
7.1.3 设置密码长度和复杂度130
7.1.4 配置日志功能130
7.1.5 设置支持使用HTTPS等加密协议130
7.1.6 设置连接超时时间131
7.1.7 禁用危险的HTTP方法131
7.2 权限控制132
7.2.1 禁用manager功能132
7.2.2 禁止Tomcat显示文件列表132
第8章 Nginx133
8.1 协议安全133
8.1.1 配置SSL协议133
8.1.2 限制SSL协议和密码133
8.2 安全配置134
8.2.1 关闭默认错误页的Nginx版本号134
8.2.2 设置client_body_timeout超时134
8.2.3 设置client_header_timeout超时134
8.2.4 设置keepalive_timeout超时134
8.2.5 设置send_timeout超时134
8.2.6 设置只允许GET、HEAD、POST方法135
8.2.7 控制并发连接135
第9章 WebLogic136
9.1 安全配置136
9.1.1 以非root用户运行WebLogic136
9.1.2 设置加密协议136
9.1.3 设置账号锁定策略137
9.1.4 更改默认端口137
9.1.5 配置超时退出登录137
9.1.6 配置日志功能138
9.1.7 设置密码复杂度符合要求138
9.2 权限控制138
9.2.1 禁用发送服务器标头138
9.2.2 限制应用服务器Socket数量139
第 10章 JBoss140
10.1 账号安全140
10.1.1 设置jmx-console登录的用户名、密码及其复杂度140
10.1.2 设置web service登录的用户名、密码及其复杂度141
10.2 安全配置141
10.2.1 设置支持加密协议141
10.2.2 修改默认端口142
10.2.3 设置会话超时时间142
10.2.4 限制目录列表访问142
10.2.5 记录用户登录行为143
第 11章 Apache144
11.1 账号安全144
11.1.1 设置Apache用户账号Shell生效144
11.1.2 锁定Apache用户账号144
11.2 安全配置145
11.2.1 禁用SSL/TL
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价