操作系統的安全問題主要表現在以下幾方面：

• 設計問題：在操作系統軟件的設計過程中，不可避免地出現這樣或那樣的缺陷（稱之為漏洞），例如，系統模塊功能的局限性，限制條件的不完整性，以及某些模塊運行的不穩定性等。通常，為了設計和調試軟件的方便，程序員們往往使用一些特殊操作或專用口令進入系統進行修改和調試，或者使用特殊的程序或工具對操作系統進行檢測，這些特殊操作、專用口令和特殊工具程序等被稱為“后門”，從后門進入系統就可以完全控制操作系統。當操作系統調試成功并發布后，未檢測出的“漏洞”和忘記關閉的“后門”便成了操作系統中最大的安全隱患。有些惡意者，想盡辦法滲透到操作系統內部尋找這些漏洞和后門，更有甚者還將自己設計的后門安裝到操作系統內部伺機進行破壞。

• 管理問題：一個正式發布的操作系統，通常都提供多種管理模式，并隨系統一起提供一本使用手冊，根據使用者的實際需要，進行適當設置即可滿足一定的應用要求和安全要求。但是，由于種種原因，用戶很少考慮太多安全問題。通常，只要將系統安裝到機器上或再安裝一些補丁程序就認為沒事了，平時也很少維護系統。簡單的管理和維護很容易使系統受到攻擊，特別是具有較低權限的用戶很容易利用管理上的弱點獲取高級權限，進而控制操作系統，并設置陷阱和有害程序等，為以后提供方便，例如，通過網絡激活有害程序或按動陷阱機關竊取重要信息等。

• 硬件設備問題：硬件資源是操作系統管理的一個重要方面，包括處理器、存儲器、設備接口等，與設備接口相連的是硬件設備。當某個硬件資源發生故障時，操作系統會及時采取應急措施，啟動故障處理程序，并記錄系統狀態信息、保護現場，以便故障排除后恢復正常工作，若是某些關鍵部件發生故障，則會導致系統停止工作。當出現爭用硬件資源現象時，也可能導致操作系統出現“死鎖”。從安全角度看，應急措施容易被有惡意的人員利用，例如，通過修改指向故障處理程序的地址指針，或修改故障處理程序的內容等，使系統在轉向應急措施時，不是執行應急措施，而是執行被修改過的惡意程序。另一方面，硬件設備是物理存在的，直接面臨著偷竊和硬性破壞的威脅。特別是一些記錄著重要信息的存儲設備，一旦丟失，信息必然泄露。

• 使用問題：使用中的問題十分復雜，因為，使用操作系統的對象涉及廣泛，有直接的、間接的，有通過網絡的，還有利用無線網絡的，其使用的目的也不盡相同。

堡壘機和容器沒有關系，堡壘機是在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的硬件設備，而容器是一種虛擬化技術，有效的將單個操作系統的資源劃分到孤立的組中，以便更好的在孤立的組之間平衡有沖突的資源使用需求。

容器主要解決以下問題：

• 在單臺服務器當中為所有虛擬機實例使用相同的操作系統對于大部分數據中心來說都不算是真正的限制。流程管理（Orchestration）可以輕松處理這種變化；

• 許多應用程序堆棧都是相同的（如LAMP）；

• 對于大規模集群來說，在本地硬盤當中存儲操作系統副本將會使得更新過程變得更為復雜；

堡壘機解決了以下問題：

• 堡壘機能解決共享賬號與密碼管理隱患問題；

• 堡壘機能解決資源授權不清晰問題；

• 堡壘機能解決訪問控制不嚴格問題；

• 堡壘機能解決運維操作不透明問題；

• 堡壘機能解決運維操作無法審計問題。

我嘗試了burp套件，但是我看不到安裝證書后的任何應用流量。可能是由于wifi代理僅適用于瀏覽器
因此，我嘗試使用proxydroid重定向流量，但未成功。在HTTP上它只是通過https模式而無法連接。我認為是由于不受信任的證書。到目前為止是正確的嗎？
現在，我只需要找到一種在我的sm-g900f上安裝xposed的方法，就可以在不擦除任何數據的情況下對存儲ROM進行脫機處理？

堡壘機連接不上虛擬機的原因有以下這些：

• 虛擬機系統自動更新后重啟失敗；

• 虛擬機沒有允許遠程桌面訪問；

• 虛擬機內部防火墻攔截了相應端口；

• 堡壘機對應的虛擬機組件沒有更新或者出錯。

解決辦法如下：

• 先檢查一下堡壘機如果沒有任何問題則先重啟虛擬機系統；

• 如果是內部的防火墻攔截的話，可以通過服務器管理來解決這一問題。

• 更新堡壘機內部關于虛擬機的組件；

• 將虛擬機內部遠程桌面訪問開啟；

• 如果是堡壘機所在服務器問題可以聯系信息化建設與管理處服務器管理員處理。

• 個人移動辦公終端從注冊、使用到刪除的設備全生命周期難掌控，移動辦公終端中的運行環境監控、惡意應用安裝和數據保護難管理；

• 使用移動辦公終端的人員身份冒用和越權訪問難預防；

• 現有的移動終端一次性認證通過后即取得了安全系統的默認信任，而移動終端的運行環境是隨時可能發生變化的，第三方惡意應用系統的安裝和病毒感染隨時可能造成正在訪問的敏感數據被竊取；

• 業務系統采用云化部署，以容器化和API化提供服務，但對API接口和服務的訪問防護仍停留在訪問認證層面，尚無對API和服務調用進行權限控制；

• 業務系統中存儲的敏感數據訪問尚未有明確的分級分類訪問機制，對于訪問敏感數據的應用和用戶無從控制和審計。

實施DLP數據泄露防護方案包括以下六個階段：

• 數據分類階段：將數據分類，確定“敏感數據”的范疇，明確需要受到保護的數據內容。

• 確定硬件存放位置階段：確定數據的硬件存放位置，明確機密數據和一般數據的存放位置，是服務器還是客戶端存放。

• 確定軟件存放位置階段：清楚掌握數據的軟件位置，并在存放數據的機器上合理定制權限管理機制，使無關程序沒有權限訪問、修改重要數據。

• 數據防泄露階段：防止人為導致數據泄露的發生，對人事加強管理，設立人與人之間的權限機制，使機密數據不易被人接觸。

• 監控階段：監控數據流向，采用身份認證確保數據傳輸對象的合法性和真實性。

• 加密階段：確保數據傳輸通道的安全，采用正確加密方式，防止中間人竊聽等攻擊的實施。

網絡安全中常用的安全機制有以下這些：

• 加密機制：加密就是把可懂的明文信息通過加密算法的變換變成不可懂的密文的過程。加密機制提供數據存儲、傳輸的保密以及數據流量的保密。

• 訪問控制機制：訪問控制的目標是防止對信息系統資源的非授權訪問和防止非授權使用信息系統資源。訪問控制策略決定了訪問控制的判決控制，決定判決結果，是判決的主要依據，表示在一種安全區域中的安全要求，一個系統中可以有多個組合的訪問控制策略。訪問控制機制分為以下幾類：基于訪問控制表的訪問控制機制、基于能力的訪問控制機制、基于標簽的訪問控制機制、基于上下文的訪問控制機制。

• 數據完整性機制：數據完整性指的是數據沒有遭受以未授權方式所做的篡改，或未經授權的使用，即數據完整性服務可以保證接收者收到的信息與發送者發送的信息完全一致。數據完整性是針對數據的值和數據的存在可能被改變的威脅的。數據完整性可分為單個數據單元或字段的完整性和數據單元流或字段流的完整性，第一類完整性服務雖然是第二類完整性服務的前提，但兩種完整性服務通常由不同機構提供。

• 鑒別交換機制：鑒別是以交換信息的方式來確認實體身份的一種安全機制。鑒別的目的就是防止假冒（指某一實體偽稱另一實體），但并不是所有鑒別方式都與假冒方式相對應。鑒別方式分為對稱和不對稱鑒別法以及一般鑒別法。

• 數字簽名機制：數字簽名是附加在數據單元上的一個數據，或對數據單元進行的密碼變換。通過這一數據或密碼變換，使數據單元的接受者能夠證實數據單元的來源及其完整性，同時對數據進行保護。它提供了用戶身份鑒別、數據源鑒別、對等實體鑒別、數據完整性和抗否認等安全服務。

• 抗否認機制：抗否認機制利用了不同種類的可信第三方（TTP），不同形式的證據以及各種不同的保證方法。提供證據的方法主要有兩種：需要可信第三方（TTP）對每份文電都記錄一些信息；聯機的TTP，不需要任何TTP記錄文電的信息。抗否認分為通信類和非通信類兩種。

系統恢復技術的方法主要有下面幾種：

• 系統緊急啟動：當計算機系統因口令遺忘、系統文件丟失等導致系統無法正常使用的時候，利用系統緊急啟動盤可以恢復受損的系統，重新獲取受損的系統訪問權限。系統緊急啟動盤主要的作用是實現計算設備的操作系統引導恢復，主要類型有光盤、U盤。系統緊急啟動盤保存操作系統最小化啟動相關文件，能夠獨立完成對相關設備的啟動。

• 惡意代碼清除：系統遭受惡意代碼攻擊后無法正常使用，通過使用安全專用工具，對受害系統的惡意代碼進行清除。

• 系統漏洞修補：針對受害系統，通過安全工具檢查相應的安全漏洞，然后安裝補丁軟件。

• 文件刪除恢復：操作系統刪除文件時，只是在該文件的文件目錄項上做一個刪除標記，把 FAT 表中所占用的簇標記為空簇，而DATA 區域中的簇仍舊保存著原文件的內容。因此，計算機普通文件刪除只是邏輯做標記，而不是物理上清除，此時通過安全恢復工具，可以把已刪除的文件找回來。

• 系統備份容災：常見的備份容災技術主要有磁盤陣列、雙機熱備系統、容災中心等。當運行系統受到攻擊癱瘓后，啟用備份容災系統，以保持業務連續運行和數據安全。

PKI的組成：

一個PKI體系由終端實體、證書認證機構、證書注冊機構和證書/CRL存儲庫四部分共同組成。

• 證書頒發機構（CA）
• 證書注冊機構（RA)
• 證書庫
• 密鑰備份及恢復系統
• 證書廢除處理系統
• 應用系統接口
• 數字證書

PKI框架的三個重要角色：

1. 終端實體（EE, End Entity）: 證書的最終使用者，例如總部和分支的網關。
2. 證書頒發機構（CA， Certificate Authority）：是一個權威的、可信的第三方機構，負載證書頒發、查詢以及更新等工作。
3. 證書注冊機構（RA）

附材料：

PKI基礎架構

密鑰管理面臨的挑戰：

在使用任何基于RSA服務之前 ，一個實體需要真實可靠的獲取其他實體的公鑰。

1. 通過非信任的通道，公鑰交換必須是安全的。
2. 在密鑰交換過程中，公鑰必須不能夠被截獲和更改。
3. 交換呈現Full Mesh的復雜度。
4. 由最終用戶來確認密鑰有效性，非常不靠譜。

PIK介紹：

公鑰基礎設施PKI（Public Key Infrastructure），是通過使用公鑰技術和數字證書來提供系統信息安全服務，并負責驗證數字證書持有者身份的一種體系。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

PIK保證了通信數據的私密性、完整性、不可否認性和 源認證性 。

為什么要用PKI：

IPSec身份認證（預共享密鑰方式）：

• 配置簡單。只需要在總部和二分部的網關上配相同的密鑰即可。
• 維護復雜。隨著分部數量越倆越多，總部和每個分部之間形成的對等體都要配置預共享秘鑰。
• 安全風險高。如果所有對等體都使用同一個密鑰，存在安全風險。

IPSec身份認證（PIK中的證書認證方式）：

• 維護簡單。隨著分部數量越來越多，只需要向CA申請證書即可。
• 安全風險低。不同的分部使用不同的證書，對應的密鑰也不同。

數字證書介紹

數字證書：

數字證書簡稱證書，它是一個經證書授權中心CA數字簽名的文件，包含擁有者的公鑰及相關身份信息。

數字證書技術解決了數字簽名技術中無法確定公鑰是指定擁有者的問題。

注意：數字證書僅僅是解決了“這個公鑰的持有者到底是誰“的問題。

證書結構：

最簡單的證書包含一個公鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效期，頒發者（證書授權中心）的名稱，該證書的序列號等信息，證書的結構遵循X.509 v3版本的規范。

圖：證書組成結構

證書的各字段解釋：

• 版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。
• 序列號：頒發者分配給證書的一個正整數，同一頒發者頒發的證書序列號各不相同，可用與頒發者名稱一起作為證書唯一標識。
• 簽名算法：頒發者頒發證書使用的簽名算法。
• 頒發者：頒發該證書的設備名稱，必須與頒發者證書中的主體名一致。通常為CA服務器的名稱。
• 有效期：包含有效的起、止日期，不在有效期范圍的證書為無效證書。
• 主體名：證書擁有者的名稱，如果與頒發者相同則說明該證書是一個自簽名證書。
• 公鑰信息：用戶對外公開的公鑰以及公鑰算法信息。
• 擴展信息：通常包含了證書的用法、CRL的發布地址等可選字段。
• 簽名：頒發者用私鑰對證書信息的簽名。

證書類型：

• 自簽名證書：自簽名證書又稱為根證書，是自己頒發給自己的證書，即證書中的頒發者和主體名相同。
• CA證書：CA自身的證書。如果PKI系統中沒有多層級CA，CA證書就是自簽名證書；如果有多層級CA，則會形成一個CA層次結構，最上層的CA是根CA，它擁有一個CA“自簽名”的證書。
• 本地證書：CA頒發給申請者的證書。
• 設備本地證書：設備根據CA證書給自己頒發的證書，證書中的頒發者名稱是CA服務器的名稱。

證書格式：

1. PKCS#12：以二進制格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.P12和.PFX。
2. DER：以二進制格式保存證書，不包含私鑰。常用的后綴有：.DER、.CER和.CRT。
3. PEM：以ASCII碼格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.PEM、.CER和.CRT。

對于證書后綴為.CER或.CRT，可以用記事本打開證書，查看證書內容來區分證書格式。

• 如果有類似＂—–BEGIN CERTIFICATE—–＂和＂—–END CERTIFICATE—–＂的頭尾標記，則證書格式為PEM。
• 如果是亂碼，則證書格式為DER

PKI的核心部分CA

CA介紹：

證書認證機構CA（Certificate Authority）。CA是PKI的信任基礎，是一個用于頒發并管理數字證書的可信實體。它是一種權威性、可信任性和公正性的第三方機構，通常由服務器充當，例如Windows Server 2008。

CA通常采用多層次的分級結構，根據證書頒發機構的層次，可以劃分為根CA和從屬CA。

CA的核心功能就是發放和管理數字證書，包括：證書的頒發、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、證書廢除列表CRL（Certificate Revocation List）的發布等。

有關CA的特性：

• 僅僅只有一個受信任的介紹者(證書頒發機構)
• CA簽署每一個人的公鑰
• 每個人都有CA的公鑰

CA頒發證書流程：

• 每個實體都要獲取CA的公鑰（認證CA的過程）
• 每個實體都要提交自己的公鑰給CA（注冊到PKI）
• 這個初始步驟，必須手動認證或者通過一個可信任的傳輸網絡來執行。
• CA使用自己的私鑰為提交的公鑰做數字簽名。
• 被數字簽了名的公鑰（身份證書）再返回給實體。
• 實體現在虧可以通過非信任的網絡來彼此交換被CA簽了名的公鑰了。
• 收到的公鑰都是被CA的公鑰所確認的，CA的公鑰在每個實體本地必須是有效的。

PKI的組成：

一個PKI體系由終端實體、證書認證機構、證書注冊機構和證書/CRL存儲庫四部分共同組成。

• 證書頒發機構（CA）
• 證書注冊機構（RA)
• 證書庫
• 密鑰備份及恢復系統
• 證書廢除處理系統
• 應用系統接口
• 數字證書

PKI框架的三個重要角色：

1. 終端實體（EE, End Entity）: 證書的最終使用者，例如總部和分支的網關。
2. 證書頒發機構（CA， Certificate Authority）：是一個權威的、可信的第三方機構，負載證書頒發、查詢以及更新等工作。
3. 證書注冊機構（RA）

數字證書的驗證過程：

第一步：驗證前的主備：

• 實體A：需要有A的公鑰、A的私鑰、A證書、CA證書

• 實體B：需要有B的公鑰、B的私鑰、B證書、CA證書

A證書內容：【A公鑰 + CA私鑰簽名[Hash（A的公鑰 + 個人信息）]】

B證書內容：【B公鑰 + CA私鑰簽名[Hash（B的公鑰 + 個人信息）]】

CA證書內容：【CA公鑰 + CA私鑰簽名[Hash（CA的公鑰 + 個人信息）]】

交換證書：

? 實體A有了B證書，實體B有了A證書。

第二步：驗證證書是否合法

舉例：A驗證B證書是否合法：

B證書：B公【CA私HASH（B公】
CA證書：CA公【CA私HASH(CA公】

1. 用CA公解密B證書——得到HASH值12345。

2. 使用B證書提供的個人信息，公鑰，簽名算法也做HASH值得到12345 。

3. 如果兩次hash值相同，即驗證了B證書的合法。

第三步：驗證證書的持有者

A舉例：用A的私鑰加密HASH值得到簽名。用B的公鑰解密，得到HASH值。

第四步：使用公鑰加密實現私密性

證書申請步驟

證書申請過程：

前提條件：正確部署CA服務器

1. 同步時間：時間是PIK系統的重中之重，必須先確保參加PKI系統的設備和主機的時間同步。才能開始PKI的部署。

   當設備的時間慢與證書有效期的開始時間或者設備時間大于證書有效期的結束時間那么證書都是無效的。

   忌諱：設備時間比證書服務器的時間慢。

2. 部署證書服務器。證書服務器是整個PKI系統的核心。可以選擇微軟的證書服務器。

3. 客戶端產生密鑰對。每一個實體在申請證書之前，需要預先產生RSA的秘鑰對。

4. 驗證證書服務器的合法性。每一個實體需要獲取證書服務器的根證書，里面包含證書服務器的公鑰。獲取了根證書后，可以通過fingerprint離先驗證證書服務器。

5. 申請個人證書。每一個實體發送自己的個人信息和公鑰到證書服務器。（在線和離線方式）

6. CA審核并簽名證書。管理員對每一個證書請求進行審核，并對個人信息和公鑰內容進行數字簽名，簽名后的文件即為數字證書。

7. CA頒發數字證書給設備。證書服務器把簽名的證書頒發給實體。

8. 設備相互交換證書。

證書申請方式

證書主要有以下申請方式：

• SCEP（Simple Certificate Enrollment Protocol）for VPN devices。
• File-based（PKCS#10）
• Web-based(browser-to-CA)

SECP介紹：

1. 主要用于在線申請。
2. 主要由Cisco設計的技術。
3. VPN設備PKI證書申請的工業標準。
4. HTTP傳輸協議。
5. 被絕大多數VPN和CA廠商支持。
6. 為VPN設備（VPN最終用戶）提供了簡單而功能強大的證書申請方式。

RKCS#10介紹：

1. 主要用于離線證書申請。
2. 定義了證書請求的數據格式。
3. 證書請求包括：
   • DN（Distinguished name）個人信息
   • Public key公鑰
   • Opentional set of attributes其他屬性。

Web-based證書申請：

• 主要用于MS證書服務器的申請。

證書吊銷方式：

1. CRL（證書吊銷列表）：周期性查詢，有CRL吊銷

   類似于通緝布告

   time-stamped（有效期）

   CA-signed（服務器簽名）

   客戶周期性輪詢CRL存儲位（http、ldap、ftp）獲取當前CRL。

   管理員一旦吊銷證書，新的CRL就會被頒布，但是新的CRL并不會立即被客戶獲取，必須等老的CRL超期，才能獲取新的CRL

2. OCSP（Online Cerificate Status Protocol）：在線吊銷

   在線式證書吊銷狀態查詢協議，IOS CA暫不支持。

證書的應用：

• 通過HTTPS登錄web界面的應用

  管理員可以通過HTTPS方式安全地登錄HTTPS服務器的Web界面，并通過Web界面對設備進行管理。為了提高雙方建立SSL連接時的安全性，在設備上為HTTPS客戶端指定由Web瀏覽器信任的CA頒發的本地證書。這樣，Web瀏覽器可以驗證本地證書的合法性，避免了可能存在的主動攻擊，保證了管理員的安全登錄。

  在SSL連接建立的過程中，HTTPS客戶端和HTTPS服務器之間的主要交互流程如下：

  1. HTTPS服務器向PKI認證中心申請本地證書。
  2. PKI認證中心向HTTPS服務器頒發本地證書。
  3. HTTPS服務器將攜帶自己公鑰信息的數字證書發送給HTTPS客戶端。
  4. HTTPS客戶端驗證HTTPS服務器的本地證書合法后，利用證書中的公鑰加密HTTPS客戶端隨機生成的密鑰，并發送給HTTPS服務器。
  5. HTTPS客戶端和HTTPS服務器通過協商，最終確定所使用的密鑰和加密套件。后續傳輸的數據，雙方都會使用該密鑰和加密套件進行加密處理。

• 在IPSec VPN中應用

  采用基于PKI的證書進行身份認證后，IPSec在進行IKE協商過程中交換密鑰時，會對通信雙方進行身份認證，保證了密鑰交換的安全。而且，證書可以為IPSec提供集中的密鑰管理機制，并增強整個IPSec網絡的可擴展性。同時，在采用證書認證的IPSec網絡中，每臺設備都擁有PKI認證中心頒發的本地證書。有新設備加入時，只需要為新增加的設備申請一個證書，新設備就可以與其它設備進行安全通訊，而不需要對其他設備的配置進行修改，這大大減少了配置工作量。

• 在SSL VPN中應用

  在SSL VPN應用中，SSL VPN客戶端可以通過證書驗證SSL VPN網關的身份；SSL VPN網關也可以通過證書來驗證客戶端的身份。

• 在IPv6 Send中應用：在IPv6 Send場景中，為了防止設備被攻擊者冒充，可以在設備上配置SEND（Secure Neighbor Discovery）路由器授權功能，路由器授權功能可以用于對設備的身份進行認證。

常見靶場如下：

1. The BodgeIt Store (Java);

2. The ButterFly Security Project (PHP);

3. bWAPP - an extremely buggy web application! (PHP);

4. Damn Vulnerable Web Application - DVWA (PHP);

5. Damn Vulnerable Web Services - DVWS (PHP);

6. OWASP Hackademic Challenges Project (PHP);

7. Google Gruyere (Python);

8. Hacme Bank (.NET);

9. Hacme Books (Java);

10. Hacme Casino (Ruby on Rails);

11. Hacme Shipping (ColdFusion);

12. Hacme Travel (C++);

13. OWASP Insecure Web App Project (Java);

14. Mutillidae (PHP);

15. OWASP .NET Goat (C#);

16. Peruggia (PHP);

17. Puzzlemall (Java);

18. Stanford Securibench (Java) & Micro;

19. SQLI-labs (PHP);

20. SQLol (PHP);

21. OWASP Vicnum Project (Perl & PHP);

22. VulnApp (.NET);

23. WackoPicko (PHP);

24. OWASP WebGoat (Java);

25. OWASP ZAP WAVE - Web Application Vulnerability Examples (Java);

26. Wavsep - Web Application Vulnerability Scanner Evaluation Project (Java);

27. WIVET - Web Input Vector Extractor Teaser。

這里以Nessus漏洞掃描工具為例介紹如何使用web漏洞掃描工具方法步驟：

1. 下載Nessus軟件包

   Nessus的官方下載地址是http://www.tenable.com/products/ nessus/select-your-operating-system。在瀏覽器中輸入該地址，選擇合適自己linux版本的軟件并下載；

2. 安裝軟件包

   執行dpkg -i Nessus-5.2.6-debian6_i386.deb命令安裝該工具；

3. 啟動Nessus

   執行/etc/init.d/nessusd start命令啟動該軟件，安裝位置不同所進入的路徑也是不同的；

4. 激活Nessus

   使用Nessus之前，必須有一個注冊碼，如果已經有激活碼可以執行/opt/nessus/bin/nessus-fetch --register 激活碼命令來進行激活；

5. 創建賬號

   執行/opt/nessus/sbin/nessus-adduser命令為Nessus創建一個賬號，為接下來登錄創建一個用戶；

6. 登錄Nessus

   在瀏覽器中輸入地址https://主機IP:8834或https://主機名:8834，在登錄界面輸入剛才創建的賬號，然后單擊Sign In按鈕登錄nessus；

7. 添加策略

   在主界面切換到Policies選項卡上，單擊New Policy按鈕選擇創建策略類型，設置好策略名、可見性和描述信息，然后單擊左側的Plugins標簽后策略新建完成；

8. 新建掃描任務

   在界面切換到Scans選項卡上，該界面可以看到當前沒有任何掃描任務，所以需要添加掃描任務后才能掃描。在該界面單擊New Scan按鈕，設置掃描任務名稱、使用策略、文件夾和掃描的目標，然后單擊Launch按鈕后可以看到掃描任務的狀態為Running（正在運行），表示Sample Scan掃描任務添加成功。如果想要停止掃描，可以單擊（停止一下）按鈕，到此即完成在linux下進行漏洞掃描。

加強NFVI安全的措施有以下這些：

• 系統安全加固和防護：在安全配置方面，要求在虛擬機模板系統上線前，對其進行全面的安全評估，并進行安全加固。應遵循安全最小化原則，關閉未使用的服務組件和端口；系統補丁控制方面，應采用專業安全工具對虛擬機系統（包括虛擬機模板、當前運行的虛擬機等）定期評估。在補丁更新前，應對補丁與現有系統的兼容性進行測試。另外，VM應安裝查殺病毒、惡意代碼的軟件產品，并及時更新。

• 采用系統訪問控制：應對用戶賬號和權限進行安全管理；采用嚴格的身份鑒別技術用于主機系統用戶的身份鑒別，并且限制匿名用戶的訪問權限；支持設置單一用戶并發連接次數、連接超時限制等，應采用最小授權原則，分別授予不同用戶各自所需的最小權限。應保證在虛擬機動態創建和遷移時，安全措施的自動創建和自動遷移。

• 啟用內存安全強化策略：使虛擬化內核、用戶模式應用程序及可執行組件（如驅動程序和庫）位于無法預測的隨機內存地址中。在將該功能與微處理器提供的不可執行的內存保護結合使用時，可以提供保護，使惡意代碼很難通過內存漏洞來利用系統漏洞。

• 開啟內核模塊完整性檢查功能：利用數字簽名確保虛擬化層加載的模塊、驅動程序及應用程序的完整性和真實性。

• 在安全管理上采取服務最小化原則：虛擬化軟件接口應嚴格限定為管理虛擬機所需的API，并關閉無關的協議端口。

• 規范Hypervisor補丁管理要求：在進行補丁更新前，應對補丁與現有Hypervisor的兼容性進行測試，同時應對漏洞發展情況進行跟蹤，形成詳細的安全更新狀態報表。

可信計算的關鍵技術有以下這些：

• 簽注密鑰技術：簽注密鑰是一個RSA公共和私有密鑰對，存入芯片在出廠時隨機生成且不可改變。公共密鑰用于認證及加密發送到該芯片的敏感數據。

• 安全輸入輸出技術：指用戶認為與之交互的軟件間受保護的路徑。系統上的惡意軟件有多種方式攔截用戶和軟件進程間傳送的數據，如鍵盤監聽和截屏。

• 儲存器屏蔽技術：可拓展存儲保護技術，提供完全獨立的存儲區域，包含密鑰位置。即使操作系統也沒有被屏蔽存儲的完全訪問權限，所以，網絡攻擊者即便控制了操作系統信息也是安全的。

• 密封儲存技術：將機密信息和所用軟硬件平臺配置信息捆綁保護機密信息，使該數據只能在相同的軟硬件組合環境下讀取。如某用戶不能讀取無許可證的文件。

• 遠程認證技術：準許用戶改變被授權方的感知。通過讓硬件生成當前軟件的證明書，利用計算機可將此證明書傳送給遠程被授權方，顯示該軟件公司的軟件尚未被破解。

搭建防護步驟如下：

1. 將防火墻上架開機；

2. 配置接口IP地址并劃分zone；

3. 配置防火墻控制策略并開啟策略；

4. 配置防火墻NAT，如果不鏈接外網可不配置；

5. 配置端口映射，如果沒有也可以不配置；

6. 配置默認路由；

7. 開啟包過濾，如果沒有則放棄；

8. 配置登錄用戶和密碼權限；

9. 保存配置。

Web 服務器安全防護措施有：

• 修改服務器遠程端口

  更改默認端口，默認端口相對來說是不安全的，建議修改默認遠程端口為隨機5位數的端口。

• 禁止不必要的軟件

  關閉一些不必要的軟件有助于電腦安全性。

• 設置防火墻并關閉不需要的服務和端口

  防火墻是網絡安全的一個重要組成部分，通過過濾不安全的服務而降低風險。安裝服務器時，要選擇綠色安全版的防護軟件，以防有被入侵的可能性。對網站提供服務的服務器，軟件防火墻的安全設置最高，防火墻只要開放服務器端口，其他的一律都關閉，你要訪問網站時防火墻會提示您是否允許訪問，在根據實際情況添加允許訪問列表。這樣至少給系統多一份安全。

• 定時為數據進行備份

  定時為數據做好備份，即使服務器被破解，數據被破壞，或者系統出現故障崩潰，你只需要進行重裝系統，還原數據即可，不用擔心數據徹底丟失或損壞。

• 把密碼設置的復雜一點

  一但服務器IP被掃描出來默認端口，非法分子就會對服務器進行暴力破解，利用第三方字典生成的密碼來嘗試破解服務器密碼，如果您的密碼足夠復雜，非法分子就需要大量的時間來進行密碼嘗試，也許在密碼未破解完成，服務器就已經進入保護模式，不允許登陸。

• 修補已知的漏洞

  如果網站出現漏洞時不及時處理，網站就會出現一系列的安全隱患，這使得服務器很容易受到病毒入侵，導致網絡癱瘓，所以，平時要養成良好的習慣，時刻關注是否有新的需修補的漏洞。