• 数字化系统安全加固技术
21年品牌 40万+商家 超1.5亿件商品

数字化系统安全加固技术

42.5 7.1折 59.8 全新

库存26件

安徽合肥
认证卖家担保交易快速发货售后保障

作者白婧婧 等 著

出版社人民邮电出版社

ISBN9787115628671

出版时间2024-10

装帧平装

开本16开

定价59.8元

货号1203425261

上书时间2024-11-28

邺架书屋

已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:全新
商品描述
作者简介
白婧婧
西安电子科技大学硕士研究生,在网络安全测评领域深耕10年,主攻Docker容器逃逸、主机提权技术,精通主流操作系统、数据库、中间件的安全配置检查及加固,爱好洞察业界信息安全技术动态,在网络安全防御、漏洞修复方面有着丰富的经验。
田康
中移系统集成有限公司(雄安产业研究院)智慧城市平台部副总经理、高级工程师,中国移动OneCity系统架构师,中国移动集团科协AI专家组成员,负责甘肃省数字政府、沈阳市数字政府等多个省市数字化建设项目的整体规划编制、技术架构设计等工作,在政企数字化转型领域有深入的研究和丰富的实践经验。
李博
具有13年DevOps领域研发和实践经验,在多个企业主导DevOps体系从0到1的建设工作,包括持续集成、持续发布、研发协同等多个领域,近几年专注于DevSecOps在企业的落地实践。
高尉峰
毕业于西北工业大学软件与微电子学院,主要研究APT攻防对抗技术、RASP技术、ATT&CK知识库实践、样本溯源、安全测试工具开发和DevSecOps落地等,并在上述领域提出多项解决方案。
朱康
从事网络安全测评和渗透测试工作5年,对业界常见的攻击手段有独特的见解。在操作系统安全、数据库安全、中间件安全、容器安全领域有丰富的安全配置加固实战经验。

目录
第1篇 操作系统安全

第1章 Linux 3

1.1 账号安全 3

1.1.1 控制可登录账号 3

1.1.2 禁止root用户登录 3

1.1.3 禁用非活动用户 4

1.1.4 确保root用户的GID为0 4

1.1.5 确保仅root用户的UID为0 4

1.2 密码安全 5

1.2.1 设置密码生存期 5

1.2.2 设置密码复杂度 5

1.2.3 确保加密算法为SHA-512 6

1.2.4 确保/etc/shadow密码字段不为空 6

1.3 登录、认证鉴权 7

1.3.1 配置SSH服务 7

1.3.2 设置登录超时时间 9

1.3.3 设置密码锁定策略 10

1.3.4 禁止匿名用户登录系统 10

1.3.5 禁用不安全服务 10

1.3.6 禁用不安全的客户端 11

1.3.7 配置/etc/crontab文件权限 12

1.3.8 确保登录警告配置正确 12

1.4 日志审计 13

1.4.1 配置auditd服务 13

1.4.2 配置rsyslog服务 15

1.4.3 配置journald服务 15

1.4.4 配置日志文件最小权限 16

1.5 安全配置 16

1.5.1 限制可查看历史命令条数 16

1.5.2 确保日志文件不会被删除 17

1.5.3 iptables配置 17

1.5.4 配置系统时间同步 18

1.5.5 限制umask值 20

1.5.6 限制su命令的访问 20

1.5.7 SELinux配置 20

1.5.8 系统文件权限配置 21

1.6 安全启动 22

1.6.1 设置引导加载程序密码 22

1.6.2 配置引导加载程序权限 23

1.6.3 配置单用户模式需要身份验证 23

1.7 安全编译 23

1.7.1 限制堆芯转储 23

1.7.2 启用XD/NX支持 24

1.7.3 启用地址空间布局随机化 24

1.7.4 禁止安装prelink 25

1.8 主机和路由器系统配置 25

1.8.1 禁止接收源路由数据包 25

1.8.2 禁止数据包转发 26

1.8.3 关闭ICMP重定向 26

1.8.4 关闭安全ICMP重定向 27

1.8.5 记录可疑数据包 27

1.8.6 忽略广播ICMP请求 28

1.8.7 忽略虚假ICMP响应 28

1.8.8 启用反向路径转发 28

1.8.9 启用TCP SYN Cookie 29

1.8.10 禁止接收IPv6路由器广告 29

第2章 Windows 30

2.1 账户安全 30

2.1.1 禁用Guest账户 30

2.1.2 禁用管理员账户 31

2.1.3 删除无用账户 31

2.1.4 不显示上次登录的用户名 32

2.1.5 禁止空密码登录系统 33

2.1.6 重命名来宾和管理员账户 33

2.1.7 确保“账户锁定时间”设置为“15”或更大的值 34

2.1.8 确保“账户锁定阈值”设置为“5”或更小的值 34

2.1.9 确保“计算机账户锁定阈值”设置为“10”或更小的值 35

2.1.10 确保“重置账户锁定计数器”设置为“15”或更大的值 35

2.1.11 密码过期之前提醒用户更改密码 36

2.2 密码策略 36

2.2.1 启用密码复杂度相关策略 36

2.2.2 确保“强制密码历史”设置为“24”或更大的值 37

2.2.3 设置密码使用期限 37

2.2.4 设置最小密码长度 38

2.3 认证授权 38

2.3.1 拒绝Guest、本地账户从网络访问此计算机 38

2.3.2 拒绝Guest、本地账户通过远程桌面服务登录 39

2.3.3 配置远程强制关机权限 39

2.3.4 限制可本地关机的用户 40

2.3.5 授权可登录的账户 40

2.3.6 分配用户权限 41

2.3.7 控制备份文件和目录权限 42

2.3.8 控制还原文件和目录权限 42

2.3.9 控制管理审核和安全日志权限 43

2.3.10 控制身份验证后模拟客户端权限 43

2.3.11 控制拒绝以服务身份登录权限 44

2.4 日志审计 44

2.4.1 设置日志存储文件大小 45

2.4.2 配置审核策略 45

2.5 系统配置 46

2.5.1 设置屏幕保护程序 46

2.5.2 安全登录 46

2.5.3 限制匿名枚举 47

2.5.4 禁止存储网络身份验证的密码和凭据 48

2.5.5 使用DoH 48

2.5.6 设置域成员策略 49

2.5.7 控制从网络访问编辑注册表的权限 50

2.5.8 控制共享文件夹访问权限 51

2.5.9 关闭Windows自动播放功能 52

2.5.10 限制为进程调整内存配额权限用户 52

2.5.11 配置修改固件环境值权限 53

2.5.12 配置加载和卸载设备驱动程序权限 54

2.5.13 配置更改系统时间权限 54

2.5.14 配置更改时区权限 55

2.5.15 配置获取同一会话中另一个用户的模拟令牌权限 55

2.5.16 阻止计算机加入家庭组 56

2.5.17 阻止用户和应用程序访问危险网站 56

2.5.18 扫描所有下载文件和附件 57

2.5.19 开启实时保护 58

2.5.20 开启行为监视 58

2.5.21 扫描可移动驱动器 59

2.5.22 开启自动下载和安装更新 59

2.5.23 防止绕过Windows Defender SmartScreen 59

2.6 网络安全 60

2.6.1 LAN管理器配置 60

2.6.2 设置基于NTML SSP的客户端和服务器的最小会话安全策略 60

2.6.3 设置LDAP客户端签名 61

2.6.4 登录时间到期时强制注销 61

2.6.5 禁止LocalSystem NULL会话回退 61

2.6.6 禁止PKU2U身份验证请求使用联机标识 61

2.6.7 配置Kerberos允许的加密类型 62

2.6.8 允许本地系统将计算机标识用于NTLM 62

2.7 本地安全策略 63

2.7.1 设置提高计划优先级权限 63

2.7.2 设置创建符号链接权限 63

2.7.3 设置调试程序权限 64

2.7.4 设置文件单一进程和系统性能权限 64

2.7.5 设置创建永久共享对象权限 65

2.7.6 设置创建全局对象权限 65

2.7.7 设置创建一个令牌对象权限 66

2.7.8 设置执行卷维护任务权限 67

2.7.9 设置拒绝作为批处理作业登录权限 67

2.7.10 设置替换一个进程级令牌权限 68

2.7.11 Microsoft网络客户端安全配置 68

2.7.12 Microsoft网络服务器安全配置 69

2.7.13 禁止将Everyone权限应用于匿名用户 70

2.7.14 禁止设置匿名用户可以访问的网络共享 71

2.7.15 控制应用程序安装 71

2.7.16 禁用sshd服务 72

2.7.17 禁用FTP服务 72

2.7.18 配置高级审核策略 72

2.7.19 禁止在DNS域网络上安装和配置网桥 74

2.7.20 禁止在DNS域网络上使用Internet连接共享 74

2.8 Windows Defender防火墙 75

2.8.1 开启Windows Defender防病毒功能 75

2.8.2 开启防火墙 76

2.8.3 配置入站和出站连接 77

2.8.4 配置日志文件 77

第2篇 数据库安全

第3章 MySQL 81

3.1 宿主机安全配置 81

3.1.1 数据库工作目录和数据目录存放在专用磁盘分区 81

3.1.2 使用MySQL专用账号启动进程 81

3.1.3 禁用MySQL历史命令记录 82

3.1.4 禁止MYSQL_PWD的使用 82

3.1.5 禁止MySQL运行账号登录系统 83

3.1.6 禁止MySQL使用默认端口 83

3.2 备份与容灾 83

3.2.1 制定数据库备份策略 83

3.2.2 使用专用存储设备存放备份数据 84

3.2.3 部署数据库应多主多从 84

3.3 账号与密码安全 84

3.3.1 设置密码生存周期 84

3.3.2 设置密码复杂度 85

3.3.3 确保不存在空密码账号 86

3.3.4 确保不存在无用账号 86

3.3.5 修改默认管理员账号名为非root用户 86

3.4 身份认证连接与会话超时限制 87

3.4.1 检查数据库是否设置连接尝试次数 87

3.4.2 检查是否限制连接地址与设备 88

3.4.3 限制单个用户的连接数 88

3.4.4 确保have_ssl设置为yes 88

3.4.5 确保使用高强度加密套件 89

3.4.6 确保加解密函数配置高级加密算法 89

3.4.7 确保使用新版本TLS协议 89

3.5 数据库文件目录权限 90

3.5.1 配置文件及目录权限最小化 90

3.5.2 备份数据权限最小化 90

3.5.3 二进制日志权限最小化 90

3.5.4 错误日志权限最小化 91

3.5.5 慢查询日志权限最小化 91

3.5.6 中继日志权限最小化 91

3.5.7 限制日志权限最小化 91

3.5.8 插件目录权限最小化 92

3.5.9 密钥证书文件权限最小化 92

3.6 日志与审计 92

3.6.1 配置错误日志 92

3.6.2 确保log-raw设置为off 93

3.6.3 配置log_error_verbosity 93

3.7 用户权限控制 93

3.7.1 确保仅管理员账号可访问所有数据库 93

3.7.2 确保file不授予非管理员账号 94

3.7.3 确保process不授予非管理员账号 94

3.7.4 确保super不授予非管理员账号 94

3.7.5 确保shutdown不授予非管理员账号 95

3.7.6 确保create user不授予非管理员账号 95

3.7.7 确保grant option不授予非管理员账号 95

3.7.8 确保replication slave不授予非管理员账号 95

3.8 基本安全配置 96

3.8.1 确保安装最新补丁 96

3.8.2 删除默认安装的测试数据库test 96

3.8.3 确保allow-suspicious-udfs配置为false 96

3.8.4 local_infile参数设定 97

3.8.5 skip-grant-tables参数设定 97

3.8.6 daemon_memcached参数设定 97

3.8.7 secure_file_priv参数设定 98

3.8.8 sql_mode参数设定 98

第4章 PostgreSQL 99

4.1 目录文件权限 99

4.1.1 确保配置文件及目录权限合理 99

4.1.2 备份数据权限最小化 99

4.1.3 日志文件权限最小化 100

4.2 日志与审计 100

4.2.1 确保已开启日志记录 100

4.2.2 确保已配置日志生命周期 101

4.2.3 确保已配置日志转储大小 101

4.2.4 确保配置日志记录内容完整 101

4.2.5 确保正确配置log_destinations 102

4.2.6 确保已配置log_truncate_on_rotation 102

4.2.7 正确配置syslog_facility 103

4.2.8 正确配置syslog_sequence_numbers 103

4.2.9 正确配置syslog_split_messages 103

4.2.10 正确配置syslog_ident 103

4.2.11 正确配置log_min_ messages 104

4.2.12 正确配置log_min_error_ statement 104

4.2.13 确保禁用debug_print_parse 104

4.2.14 确保禁用debug_print_rewritten 104

4.2.15 确保禁用debug_print_plan 105

4.2.16 确保启用debug_pretty_print 105

4.2.17 确保启用log_connections 105

4.2.18 确保启用log_disconnections 105

4.2.19 正确配置log_error_verbosity 106

4.2.20 正确配置log_hostname 106

4.2.21 正确配置log_statement 106

4.2.22 正确配置log_timezone 107

4.3 账号与密码安全 107

4.3.1 设置密码复杂度 107

4.3.2 设置密码生存周期 107

4.4 身份认证连接与会话超时限制 108

4.4.1 检查数据库是否设置连接尝试次数 108

4.4.2 检查是否限制连接地址与设备 108

4.4.3 限制单个用户的连接数 108

4.4.4 设置登录校验密码 109

4.5 备份与容灾 109

4.5.1 制定数据库备份策略 109

4.5.2 部署数据库应多主多从 110

4.6 用户权限控制 110

4.7 安装和升级安全配置 110

4.7.1 确保安装包来源可靠 110

4.7.2 确保正确配置服务运行级别 110

4.7.3 配置数据库运行账号文件掩码 111

第5章 Redis 112

5.1 身份认证连接 112

5.1.1 限制客户端认证超时时间 112

5.1.2 检查数据库是否设置连接尝试次数 112

5.1.3 配置账号锁定时间 113

5.2 账号密码认证 113

5.3 目录文件权限 113

5.3.1 确保配置文件及目录权限合理 113

5.3.2 备份数据权限最小化 113

5.3.3 日志文件权限最小化 114

5.4 备份与容灾 114

5.4.1 制定数据库备份策略 114

5.4.2 部署数据库应多主多从 114

5.5 安装与升级 115

5.5.1 确保使用最新安装补丁 115

5.5.2 使用Redis专用账号启动进程 115

5.5.3 禁止Redis运行账号登录系统 116

5.5.4 禁止Redis使用默认端口 116

第6章 MongoDB 117

6.1 安装和补丁 117

6.1.1 确保使用最新版本数据库 117

6.1.2 使用MongoDB专用账号启动进程 117

6.1.3 确保MongoDB未使用默认端口 118

6.1.4 禁止MongoDB运行账号登录系统 118

6.2 身份认证 119

6.2.1 确保启用身份认证 119

6.2.2 确保本机登录进行身份认证 119

6.2.3 检查是否限制连接地址与设备 119

6.2.4 确保在集群环境中启用身份认证 120

6.3 备份与容灾 120

6.3.1 制定数据库备份策略 120

6.3.2 部署数据库应多主多从 121

6.4 日志与审计 121

6.4.1 确保日志记录内容完整 121

6.4.2 确保添加新日志采用追加方式而不是覆盖 121

6.5 目录文件权限 122

6.5.1 确保配置文件及目录权限合理 122

6.5.2 备份数据权限最小化 122

6.5.3 日志文件权限最小化 122

6.5.4 确保密钥证书文件权限最小化 123

6.6 权限控制 123

6.6.1 确保使用基于角色的访问控制 123

6.6.2 确保每个角色都是必要的且权限最小化 123

6.6.3 检查具有root用户角色的用户 124

6.7 传输加密 125

6.7.1 确保禁用旧版本TLS协议 125

6.7.2 确保网络传输使用TLS加密 125

第3篇 中间件安全

第7章 Tomcat 129

7.1 安全配置 129

7.1.1 以普通用户运行Tomcat 129

7.1.2 修改默认端口 129

7.1.3 设置密码长度和复杂度 130

7.1.4 配置日志功能 130

7.1.5 设置支持使用HTTPS等加密协议 130

7.1.6 设置连接超时时间 131

7.1.7 禁用危险的HTTP方法 131

7.2 权限控制 132

7.2.1 禁用manager功能 132

7.2.2 禁止Tomcat显示文件列表 132

第8章 Nginx 133

8.1 协议安全 133

8.1.1 配置SSL协议 133

8.1.2 限制SSL协议和密码 133

8.2 安全配置 134

8.2.1 关闭默认错误页的Nginx版本号 134

8.2.2 设置client_body_timeout超时 134

8.2.3 设置client_header_timeout超时 134

8.2.4 设置keepalive_timeout超时 134

8.2.5 设置send_timeout超时 134

8.2.6 设置只允许GET、HEAD、POST方法 135

8.2.7 控制并发连接 135

第9章 WebLogic 136

9.1 安全配置 136

9.1.1 以非root用户运行WebLogic 136

9.1.2 设置加密协议 136

9.1.3 设置账号锁定策略 137

9.1.4 更改默认端口 137

9.1.5 配置超时退出登录 137

9.1.6 配置日志功能 138

9.1.7 设置密码复杂度符合要求 138

9.2 权限控制 138

9.2.1 禁用发送服务器标头 138

9.2.2 限制应用服务器Socket数量 139

第10章 JBoss 140

10.1 账号安全 140

10.1.1 设置jmx-console登录的用户名、密码及其复杂度 140

10.1.2 设置web service登录的用户名、密码及其复杂度 141

10.2 安全配置 141

10.2.

   相关推荐   

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP