CH08 - 教学指导
教学模块和知识点
- 可以作为教师教学和考试出题的依据。
- 可以作为学生学习的依据。
模块300 - 安全管理概览
| 编号 | 知识点 | 掌握程度 | 上机操作 |
|---|---|---|---|
| 300-01 | 安全的定义和元素 | 了解 | |
| 300-02 | 安全措施和生命周期 | 熟悉 | |
| 300-03 | 安全攻击 | 了解 | |
| 300-04 | 安全服务 (X.800) | 理解 | |
| 300-05 | 安全机制 | 理解 | |
| 300-06 | 安全协议 | 理解 | |
| 300-07 | Linux 服务器安全的一般性原则 | 理解 |
模块301 - 物理安全与登录安全
| 编号 | 知识点 | 掌握程度 | 上机操作 |
|---|---|---|---|
| 301-01 | 禁止 BIOS 的附加存储介质启动系统 | 熟悉 | |
| 301-02 | 设置 BIOS 修改口令 | 熟悉 | |
| 301-03 | 配置 GRUB 的修改口令 | 掌握 | 是 |
| 301-04 | 禁用 <Ctrl>+<Alt>+<Delete> 重启 |
掌握 | 是 |
| 301-05 | 禁用非必要的登录设备(/etc/securetty) |
掌握 | 是 |
| 301-06 | 为 BASH 设置超时自动注销 | 掌握 | 是 |
| 301-07 | 限制 bash 命令历史的记录条目数量 | 掌握 | 是 |
| 301-08 | 禁止 root 用户登录(配置 sudo) | 掌握 | 是 |
| 301-09 | 使用 PAM 模块增强口令安全 | 掌握 | 是 |
| 301-10 | 使用基于 PAM 模块的访问控制 | 掌握 | 是 |
| 301-11 | 启用 SSH 服务,禁用 Telnet 服务 | 理解 | |
| 301-12 | 禁止 root 用户使用口令登录 SSH 服务 | 掌握 | 是 |
| 301-13 | 禁止所有用户使用口令登录 SSH 服务 | 掌握 | 是 |
| 301-14 | 配置所有用户使用基于用户密钥登录 SSH 服务 | 掌握 | 是 |
| 301-15 | 禁用非必要的 FTP 服务而使用 sftp | 理解 |
模块302 - 系统安全与安全工具
| 编号 | 知识点 | 掌握程度 | 上机操作 |
|---|---|---|---|
| 302-01 | 使用合理的磁盘布局将系统数据与用户数据分离 | 理解 | |
| 302-02 | 使用挂装选项提高文件系统的安全性 | 掌握 | 是 |
| 302-03 | 查找并取消文件/目录的非必要的特殊权限 | 掌握 | 是 |
| 302-04 | 使用 AIDE 工具实现重要文件的完整性检查 | 了解 | 是* |
| 302-05 | 使用 rkhunter/chkrootkit 工具实现 rootkit 检查 |
了解 | 是* |
| 302-06 | 制定灾难恢复计划并检测备份的有效性 | 理解 | |
| 302-07 | 安装和运行最少的软件,以尽量减少漏洞 | 理解 | |
| 302-08 | 保持软件更新 | 掌握 | 是 |
| 302-09 | 关闭不必要的服务 | 掌握 | 是 |
| 302-10 | 尽量在不同的系统上运行不同的网络服务 | 理解 | |
| 302-11 | 为用户和软件执行任务赋予所必需的最低权限 | 理解 | |
| 302-12 | 让每一项服务以各自的用户身份执行,并尽量不使用 root 身份运行服务 | 理解 | |
| 302-13 | 启用远程系统日志服务器防止入侵者篡改本地日志 | 理解 | |
| 302-14 | 使用 fail2ban 工具保护 SSH 服务及其他服务 | 掌握 | 是 |
| 302-15 | 使用 Lynis 安全审计工具检测系统漏洞 | 掌握 | 是 |
| 302-16 | 使用 OpenScap 进行安全检查 | 掌握 | 是 |
| 302-17 | 使用 TCP Wrappers 实现网络访问控制 | 掌握 | 是 |
| 302-18 | 使用 Netfilter/iptables 实现网络访问控制 | 掌握 | |
| 302-19 | 使用 SELinux 实现强制访问控制(MAC) | 了解 | |
| 302-20 | 使用 Snort/PSAD 等工具实现入侵检测 | 了解 |
模块303 - 数据加密与信息安全
| 编号 | 知识点 | 掌握程度 | 上机操作 |
|---|---|---|---|
| 303-01 | openssl 及其特性 | 理解 | |
| 303-02 | 对称加密和非对称加密 | 理解 | |
| 303-03 | 使用 openssl 命令实现文件的对称加解密 | 掌握 | 是 |
| 303-04 | 使用 gnupg 命令实现文件的非对称加解密 | 了解 | |
| 303-05 | 使用 gnupg 命令验证文件的数字签名 | 掌握 | 是 |
| 303-06 | 使用 openssl 命令创建文件的信息摘要 | 掌握 | 是 |
| 303-07 | 使用 md5sum、sha1sum、sha256sum 命令创建信息摘要 | 掌握 | 是 |
| 303-08 | 数字签名 和 数字证书(X509v.3) | 理解 | |
| 303-09 | CA 及其层次信任关系 | 理解 | |
| 303-10 | 由 CA 签署证书的过程 | 理解 | |
| 303-11 | SSL/TLS 协议 | 理解 | |
| 303-12 | 使用 openssl 命令创建私钥和自签名证书 | 掌握 | 是 |
| 303-13 | 使用 openssl 命令创建私钥和自签名 SAN 证书 | 掌握 | 是 |
| 303-14 | 基于 SSL/TLS 协议的网络协议及服务 | 了解 | 是* |
- 基于 SSL/TLS 协议的网络服务配置分散于网络服务部分的各章中
本章学习材料
- 教材和课件 第8章
- linux.vbird.org
- 马哥教育 视频