CH08 - 教学指导

教学模块和知识点

  1. 可以作为教师教学和考试出题的依据。
  2. 可以作为学生学习的依据。

模块300 - 安全管理概览

编号 知识点 掌握程度 上机操作
300-01 安全的定义和元素 了解
300-02 安全措施和生命周期 熟悉
300-03 安全攻击 了解
300-04 安全服务 (X.800) 理解
300-05 安全机制 理解
300-06 安全协议 理解
300-07 Linux 服务器安全的一般性原则 理解

模块301 - 物理安全与登录安全

编号 知识点 掌握程度 上机操作
301-01 禁止 BIOS 的附加存储介质启动系统 熟悉
301-02 设置 BIOS 修改口令 熟悉
301-03 配置 GRUB 的修改口令 掌握
301-04 禁用 <Ctrl>+<Alt>+<Delete> 重启 掌握
301-05 禁用非必要的登录设备(/etc/securetty 掌握
301-06 为 BASH 设置超时自动注销 掌握
301-07 限制 bash 命令历史的记录条目数量 掌握
301-08 禁止 root 用户登录(配置 sudo) 掌握
301-09 使用 PAM 模块增强口令安全 掌握
301-10 使用基于 PAM 模块的访问控制 掌握
301-11 启用 SSH 服务,禁用 Telnet 服务 理解
301-12 禁止 root 用户使用口令登录 SSH 服务 掌握
301-13 禁止所有用户使用口令登录 SSH 服务 掌握
301-14 配置所有用户使用基于用户密钥登录 SSH 服务 掌握
301-15 禁用非必要的 FTP 服务而使用 sftp 理解

模块302 - 系统安全与安全工具

编号 知识点 掌握程度 上机操作
302-01 使用合理的磁盘布局将系统数据与用户数据分离 理解
302-02 使用挂装选项提高文件系统的安全性 掌握
302-03 查找并取消文件/目录的非必要的特殊权限 掌握
302-04 使用 AIDE 工具实现重要文件的完整性检查 了解 是*
302-05 使用 rkhunter/chkrootkit 工具实现 rootkit 检查 了解 是*
302-06 制定灾难恢复计划并检测备份的有效性 理解
302-07 安装和运行最少的软件,以尽量减少漏洞 理解
302-08 保持软件更新 掌握
302-09 关闭不必要的服务 掌握
302-10 尽量在不同的系统上运行不同的网络服务 理解
302-11 为用户和软件执行任务赋予所必需的最低权限 理解
302-12 让每一项服务以各自的用户身份执行,并尽量不使用 root 身份运行服务 理解
302-13 启用远程系统日志服务器防止入侵者篡改本地日志 理解
302-14 使用 fail2ban 工具保护 SSH 服务及其他服务 掌握
302-15 使用 Lynis 安全审计工具检测系统漏洞 掌握
302-16 使用 OpenScap 进行安全检查 掌握
302-17 使用 TCP Wrappers 实现网络访问控制 掌握
302-18 使用 Netfilter/iptables 实现网络访问控制 掌握
302-19 使用 SELinux 实现强制访问控制(MAC) 了解
302-20 使用 Snort/PSAD 等工具实现入侵检测 了解

模块303 - 数据加密与信息安全

编号 知识点 掌握程度 上机操作
303-01 openssl 及其特性 理解
303-02 对称加密和非对称加密 理解
303-03 使用 openssl 命令实现文件的对称加解密 掌握
303-04 使用 gnupg 命令实现文件的非对称加解密 了解
303-05 使用 gnupg 命令验证文件的数字签名 掌握
303-06 使用 openssl 命令创建文件的信息摘要 掌握
303-07 使用 md5sum、sha1sum、sha256sum 命令创建信息摘要 掌握
303-08 数字签名 和 数字证书(X509v.3) 理解
303-09 CA 及其层次信任关系 理解
303-10 由 CA 签署证书的过程 理解
303-11 SSL/TLS 协议 理解
303-12 使用 openssl 命令创建私钥和自签名证书 掌握
303-13 使用 openssl 命令创建私钥和自签名 SAN 证书 掌握
303-14 基于 SSL/TLS 协议的网络协议及服务 了解 是*
  • 基于 SSL/TLS 协议的网络服务配置分散于网络服务部分的各章中

本章学习材料

results matching ""

    No results matching ""