MD5全称"message-digest algorithm 5"(信息-摘要算法)。
90年代初由MIT计算机科学实验室和RSA Data Security Inc联合开发。
MD5算法采用128位加密方式,即使一台计算机每秒可尝试10亿条明文,要跑出原始明文也要1022年。在802.1X认证中,一直使用此算法。
加密算法之二---ELGamal
ELGamal算法是一种较为常见的加密算法,他基于1984年提出的公钥密码体制和椭圆曲线加密体系。即能用于数据加密,又能用于数字签名,起安全性依赖于计算有限领域上离散对数这一数学难题。
着名的DSS和Schnorr和美国国家标准X9.30-199X中ELGamal为唯一认可加密方式。并且椭圆曲线密码加密体系增强了ELGamal算法的安全性。
ELGamal在加密过程中,生成的密文长度是明文的两倍。且每次加密后都会在密文中生成一个随即数K。
加密算法之三---BlowFish
BlowFish算法由着名的密码学专家部鲁斯·施耐尔所开发,是一个基于64位分组及可变密钥长度[32-448位]的分组密码算法。
BlowFish算法的核心加密函数名为BF_En,为一种对称算法,加密强度不够。
加密算法之四---SHA
SHA(即Secure Hash Algorithm,安全散列算法)是一种常用的数据加密算法,由美国国家标准与技术局于1993年做为联邦信息处理标准公布,先版本SHA-1,SHA-2。
SHA算法与MD5类似,同样按2bit数据块为单位来处理输入,但它能产生160bit的信息摘要,具有比MD5更强的安全性。
SHA收到一段明文,然后以不可逆方式将它转为一段密文,该算法被广泛运用于数字签名及电子商务交易的身份认证中。(
‘贰’ 如何防止别人修改自己的CONN与数据库
安装过程和xp没过大区别。。。
配置服务器你的说清楚,域服务器还是web服务还是文件服务器。。
网络搜索下有很多介绍,如果你太懒的话就留个信箱我把资料发给你。不然,太长,回答费劲。
WIN 2K服务器的正确安装与安全配置
作者:SharpWinnner 来自:红客大联盟(www.cnredhacker.org)
目前,WIN 2K的服务器占据着国内服务器的大部分市场份额,但是据我们对国内WIN 2K服务器的安全性检测情况来看,WIN 2K服务器的用户以及管理员们并没有很好的掌握WIN 2K的安全配置与防范技术。现我们就尽一份对国内网络安全事业的责任,特为国内WIN 2K管理员们献上本篇文章。
一、WIN 2K操作系统的选择与正确安装
1、对硬盘进行分区
(1).通常情况下,大家安装WIN 2K操作系统的时候,习惯于把系统文件、日志文件和应用程序放置在一个分区内,而hacker的攻击通常就是利用应用程序所存在的漏洞进入系统,然后通过系统文件内的相关程序提升权限,从而来删除日志文件(防止管理员对其进行调查),对系统文件进行破坏。因此,在安装WIN 2K操作系统之前,我们必须考虑到这一点,所以我们至少需要建立两个逻辑分区,系统分区和应用程序分区。为了迷惑hacker,我们还应该更换“我的文档”和“Outlook Express”等应用程序的默认文件夹位置,让其分辨不出系统文件存放在哪个分区内。
(2).对于硬盘分区的文件系统格式,推荐使用NTFS分区。首先,NTFS分区增加了对不同文件夹设置不同访问权限的功能,从而增强了系统的安全性。建议在安装NTFS分区的时候,最好是一次性选择全部安装NTFS格式分区,而先选择安装成FAT分区,然后再进行NTFS分区转化的时候,在安装补丁情况下很容易转化不成功而导致系统崩溃。对于安装NTFS分区有一个方面是值得大家注意的,用软盘启动NTFS分区的时候,目前的大部分杀毒软件是没有对病毒进行查杀的,因此这很容易让恶性病毒的入侵,而导致系统不能正常启动。所以,请大家防患于未然,平时就做好对病毒的防范工作。
2、选择适合自己的WIN 2K版本:
WIN 2K SERVER是微软公司出品的多语言操作系统。对于我们国人来说,可以选择安装简体中文版或者英文版。在选择这两种语言的操作系统上,我们给大家对这两种操作系统的优劣进行分析:对于大家来说安装简体中文版的操作系统在语言上是不存在障碍的,而且安装各种基于中文的应用程序是不会存在乱码问题,比如用QQ进行交流或者安装各种网络游戏都是没有任何问题的,但是众所周知的微软的操作系统是漏洞百出的,而且中文版的操作系统漏洞远高于英文版的,再者,对于中文版的操作系统的安全漏洞补丁,一般是漏洞公布出来两周后才会出的,所以在这段期间,你要用自己的方法来防范hacker对新漏洞的攻击。对于WIN 2K原版的英文操作系统,对于大家来说,首先一个就是语言存在一定的问题,其次就是对于应用程序的乱码问题,虽然有些软件能够提供中英文内码的转换,但是毕竟还是比较麻烦的。而英文操作系统是原版操作系统,微软对于其包括安全、性能、配套应用程序等各个方面都是照顾有佳。所以,根据我们的分析,普通个人用户建议使用中文操作系统,而对于企业用户,管理员们最好是安装WIN 2K英文的操作系统。
3、组件的定制:
通常情况下,默认安装WIN 2K操作系统的组件可以说是把大门向hacker敞开,不光是WIN 2K操作系统,包括linux/UNIX/VMS操作系统的默认安装是都能让hacker轻轻松松进入系统的。所以我们遵循安全原则“最少的服务+最小的权限=最大的安全”,我们选择一些我们能够用到的服务来进行安装。对于WEB服务器的安装,最小组件是:Internet服务管理器、WWW服务器和公用文件。如果你需要安装其它的组件,对于:Frontpage 2000服务扩展、索引服务两个组件要特别谨慎。
4、选择管理应用程序:
基于对安全和应用方面的需求,选择一个好的管理软件是必要的。WIN 2K的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,这个软件在速度、使用的便捷性、操作方面都是非常不错的。但是它也有不足之处,在Terminal Service进行与真实桌面进行交互操作的时候,往往会让系统处于紊乱状态,进行错误的操作。所以,安全起见,我建议大家可以在安装一个远程控制软件来作为辅助,PcAnyWhere就是一个很好的选择。
5.选择安装顺序:
对于WIN 2K系统的安装顺序一定要注意,首先是补丁的安装,如果你安装好WIN 2K系统后,就直接打上所有的安全补丁,然后再来安装系统组件和其他应用程序,那么我可以说你的系统随时准备着遭受hacker的入侵。原因何在呢?由于补丁的安装都是替换/修改某些系统文件,如果先装补丁,后装应用程序,会把修补好的程序又重新恢复到存在漏洞的状态。再一个,就是对于接入网络的时间。我们一定要在所有的安全漏洞都弥补上的情况下再接入网络,不然系统被病毒感染或hacker入侵,并被破坏的话,我们还需要重新来恢复系统,做一些重复性的工作,等于做无用功。所以,我们要按照安装的顺序,一步一步来进行正确的安装,这样才会让系统最小程度的遭受各种破坏。WIN 2K系统正确的安装顺序应该是:
硬盘分区——选择操作系统安装——选择文件系统格式(NTFS)——选择组件及应用程序进行安装——安装各种系统补丁——安装防火墙等做好安全防范措施——接入Internet网络
二、WIN 2K服务器的安全配置
1、账号的安全管理
(1).账号的安全策略:
A.帐号尽可能少,且尽可能少用来登录;说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
B.除过Administrator外,有必要再增加一个属于管理员组的帐号;说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦hacker攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。
C.所有帐号权限需严格控制,轻易不要给帐号以特殊权限;
D.将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循着一原则。说明:这样可以为hacker攻击增加一层障碍,并且能够防范克隆账号的入侵。
E.将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;说明:有的hacker工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。
F.给所有用户帐号一个复杂的口令,长度最少在8位以上,且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词、熟悉的键盘顺序、熟悉的数字等。说明:口令是hacker攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
G.口令必须定期更改(建议至少两周改一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);
H.在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止暴力破解的尝试,同时也使管理员对该帐号提高警惕。
(2).通过注册表的修改来提高WIN 2K账号的安全性
Win2000的账号安全是另一个重点,首先,Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。
禁止139共享空连接:很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:无。依赖于默认许可权限
1:不允许枚举SAM帐号和共享
2:没有显式匿名权限就不允许访问
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。
删除磁盘分区共享:运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
Value: 0
然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。
好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了……慢着,至少还有一个账户是可以跑密码的,这就是系统内建的administrator,怎么办?我改改改,在计算机管理->用户账号中右击administrator然后改名,改成什么随便你,只要能记得就行了。不对不对,我都已经改了用户名了,怎么还是有人跑我管理员的密码?幸好我的密码够长,但是这也不是办法呀?嗯,那肯定是在本地或者Terminal Service的登录界面看到的,好吧,我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don't Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。
2、WIN 2K服务的安全配置
(1).端口:端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
(2).IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:
首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(麻烦之源呀,还记得http://www.HackWeb.com/scripts/..%c1%1c../winnt/system32/cmd.exe吗?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)
(3).应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq,ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,着名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
(4).安全日志:我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查兇手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
应用程序日志文件存放位置:c:\winnt\system32\config\AppEvent.Evt
安全日志文件存放位置:c:\winnt\system32\config\SecEvent.Evt
系统日志文件存放位置:c:\winnt\system32\config\SysEvent.Evt
(5).目录和文件权限:
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
A.限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
B.拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
C.文件权限比文件夹权限高(这个不用解释了吧?)
D.利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
E.仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;
(6).预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说最近又要做防火墙了)在这个工具中,我们可以轻易的定义输入输出包过滤器,例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
(7).ASP程序安全问题:
安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则,会给hacker造成可乘之机。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果写程序的时候注意的话,还是可以避免的。涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限。
说明:用户名与口令,往往是hacker们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接,理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户以修改、插入、删除记录的权限。
需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
说明:现在的需要经过验证的ASP程序多是在页面头部加一个判断语句,但这还不够,有可能被hacker绕过验证直接进入,因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。
防止ASP主页.inc文件泄露问题,当存在asp的主页正在制作并没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象,如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。
解决方案:程序员应该在网页发布前对其进行彻底的调试;安全专家需要固定asp 包含文件以便外部的用户不能看他们。首先对 .inc文件内容进行加密,其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的,尽量使用无规则的英文字母。
注意某些ASP编辑器会自动备份asp文件,会被下载的漏洞在有些编辑asp程序的工具,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个..bak文件,如你创建或者修改了some.asp,编辑器自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击有可以直接下载some.asp.bak文件,这样some.asp的源程序就会给下载。
在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。
说明:输入框是hacker利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;
如果该输入框涉及到数据查询,他们会利用特殊查询输入得到更多的数据库数据,甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过,因此必须在服务器端再做一次检查。
(8).PCANYWHERE的安全:
目前,PCANYWHERE是最流行的基于NT与2000的远程控制工具,同样也需要注意安全问题。建议采用单独的用户名与口令,最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令,也不要使用与NT集成的口令。
说明:PCANYWHERE 口令是远程控制的第一个关口,如果与NT的一样,就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令,即使攻破了PCANYWHERE,NT还有一个口令屏障。及时安装较新的版本。
4、数据库的安全
(1).ACCESS数据库的安全问题:
防止ACCESS mdb 数据库有可能被下载的漏洞,在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文件,这是非常危险的。
解决方法:
A.为你的数据库文件名称起个复杂的非常规的名字,并把他放在几目录下。所谓 "非常规", 打个比方:
比如有个数据库要保存的是有关书籍的信息, 可不要把他起个"book.mdb"的名字,起个怪怪的名称,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/ 的几层目录下,这样hacker要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。
B.不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb")conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath假如万一给人拿到了源程序,你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源,再在程序中这样写:
conn.open "shujiyuan"
C.使用ACCESS来为数据库文件编码及加密。首先在选取"工具->安全->加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接着会出现"数据库加密后另存为"的窗口,存为:employer1.mdb。接着employer.mdb就会被编码,然后存为employer1.mdb..要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密,首先以打开经过编码了的 employer1.mdb,在打开时,选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码", 接着输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他是无法看到 employer1.mdb的。
(2).SQL SERVER的安全
SQL SERVER是NT平台上用的最多的数据库系统,但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息,一旦数据被窃后果不堪设想。
及时更新补丁程序。
说明:与NT一样,SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。
给SA一个复杂的口令。
说明:SA具有对SQL SERVER数据库操作的全部权限。遗憾的是,一部分网管对数据库并不熟悉,建立数据库的工作由编程人员完成,而这部分人员往往只注重编写SQL语句本身,对SQL SERVER数据库的管理不熟悉,这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。
严格控制数据库用户的权限,轻易不要给让用户对表有直接的查询、更改、插入、删除权限,可以通过给用户以访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。制订完整的数据库备份与恢复策略。
‘叁’ ubuntu系统中文件夹怎么加密
GPG(GnuPG)是一个基于命令行的给文件加密的工具,使用起来很方便,但对于刚刚接触Linux的人来说,可能会觉得命令行比较困难。下面介绍GPG的基本用法。
1.生成密钥
在使用GPG之前,必须生成一对密钥。
[linuxeye@ubuntudesk]$ gpg –gen-key
gpg (GnuPG) 1.4.6; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection?
上面的意思是问你选择哪 种加密方式 DAS AND EIGamal, DAS ,EIGAMAL。第一个是默认的,它包括GPG的全部特性。一般我们都选择它,直接Enter。
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
接下来它会问你想要的keysize,我们一般默认就可以了,直接Enter。当然你还可以根据自己的保密需要选择其它的。
Please specify how long the key should be valid.
0 = key does not expire
d = key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
Key is valid for? (0)
接下来要做的是设置密码的时间限制。如果不需要密码期限的话就选 0,直接Enter。而如果需要的话就选其它的,比如 1y 是指一年,还可以指定是天数,周数,月数。
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
“Heinrich Heine (Der Dichter) “
上面是要求输入你的个人信息,用户ID 由三个部分组成:真名(Real Name),注解(Comment),和Email
地址。只有一个一个输入就行了。
最后一步是输入密码(passphrase),这个密码是解密的时候用的,重复输入一次就生成一个Key。我们可以输入gpg –list-keys 查看我们的key 的信息
2 使用 GnuPG
一 加密
在生成密钥之后,我们就可以开始使用GPG来加密文件了。创建一个文本文件test,输入一些字符,然后保存。
[linuxeye@ubuntudesk]$ gpg -ea -r name test
其中name是你在上面用来生成密钥时输入的用户名,用这个用户名加密的文件只能由这个用户名来解密。回车之后就会生成一个test.asc的文件,这个就是加密之后的文件。-e 选项告诉GPG进行加密,-a 选项告诉GPG加密成ASCII,这样适合邮件发送,而且还可以查看。如果不是加密成ASCII形式,可以加密成二进制。-r 指定加密的用户。
二 解密
直接输入以下命令,便可以查看你加密过的文档,但不能还原为原来的文件,只是在命令行下。
[linuxeye@ubuntudesk]$ gpg -d test.asc
敲入回车以后,会要求你输入密码,只要输入上面生成密钥时的那个密码就行了,如果想将文件还原为文本文件,只需如下命令就可以了:
[linuxeye@ubuntudesk]$ gpg -d test.asc >test.file
(声明:本篇文章由LinuxEye.cn保留版权,转载时请保留本声明)
命令行难用?难用更好啊,加密的更彻底,一般人都不知道怎么解啊
‘肆’ 谁知道怎么给文件加密啊
用这个软件,非常简单
文件加密解密系统 V2.2
下载地址
http://www.skycn.com/soft/7060.html