安全策略

我们在多机使用时候，连机使用共享文件是最常用到的，如何设置共享文件呢？下面我们就来一一介绍。首先我们要看看共享文件时需要的基本条件。 windows网上邻居互访的基本条件： 1) 双方计算机打开，且设置了网络共享资源，安装 NWLINK IPX/SPX/NetBIOS Compatible Transport Protocol 协议； 2) 双方的计算机添加了 "Microsoft 网络文件和打印共享" 服务，在“管理”里启用Guest用户； 3) 双方都正确设置了网内IP地址，且必须在一个网段中，运行“系统属性”－“网络标识”－“网络ID”，设置在同一个没有域的工作组中，计算机名唯一； 4) 双方的计算机中都关闭了防火墙，或者防火墙策略中没有阻止网上邻居访问的策略。 5) 共享文件夹 用路由等硬件设置小型局域网文件共享： 家里有两台或两台以上的电脑，很多人都想把它们联到一起组建一个小型局域网，这样就可以一起用ADSL和共享文件了。但是在我们认为设置妥当后文件的共享总是三天两头出问题，下面就从我们设置开始说起。 在"设置家庭或小型办公网络"过程中，我们"选择最能恰当描述这台计算机的说明"根据实际情况选择的是其它，再选"这台计算机直接或通过网络集线器连接到Internet。我的网络上的其他计算机也通过这个方式连接到Internet。"没错，继续，系统却提示"不推荐这个网络配置"

1. 新建IP安全策略 （远程端口没有修改情况下的设置) WIN+R打开运行对话框，输入“gpedit.msc”进入组策略编辑器。 依次打开：本地计算机策略--计算机配置--Windows设置--安全设置--IP安全策略，在 本地计算机上" 在右面的空白处右击，选择第一个菜单：“创建IP安全策略”，弹出的IP安全策略向导对话框。点击下一步。 在名称里输入“3389过虑”，下一步。 取消激活默认响应规则，下一步。 选中编辑属性，下一步。 2. 新建IP筛选器 在弹出的“新 IP 安全策略 属性”对话框里取消使用“添加向导”，点击“添加”。 在弹出的“新规则 属性”对话框里点击添加。 起个名称“放行指定IP的3389连接”，点击添加。 在弹出的对话框里选择“地址”选项卡，“源地址”选择“一个特定的IP地址”，目标地址选择“我的IP地址”，取消镜像。 再选择“协议”选项卡，“协议类型”选择“TCP”，设置IP协议端口为“从任意端口”“到此端口3389”。 单击“确定”关闭“IP 筛选器 属性”，再“确定”关闭“IP筛选器列表”。 在“新规则属性”对话框里再点击“添加”，依照上面的再添加一个IP筛选器，名称为：阻止3389连;源地址为任意IP，目标地址为我的IP。协议：TCP，端口3389。 3. 给新建的IP筛选器加上筛选器操作 在“新规则属性”对话框上选择“筛选器操作”选项卡。点击添加

权限设计=功能权限+数据权限 权限管理 Authority Management 目前主要是通过用户、角色、资源三方面来进行权限的分配。 具体来说，就是赋予用户某个角色，角色能访问及操作不同范围的资源。 通过建立角色系统，将用户和资源进行分离，来保证权限分配的实施。 一般指根据系统设置的安全规则或者安全策略， 用户可以访问而且只能访问自己被授权的资源。 场景举例 企业IT管理员一般都能为系统定义角色，给用户分配角色。 这就是最常见的基于角色访问控制。 场景举例： 给张三赋予“人力资源经理”角色，“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入系统，则可以进行这些操作； 去掉李四的“人力资源经理”角色，此时李四就不能够进入系统进行这些操作了。 以上举例，局限于功能访问权限。还有一些更加丰富、更加细腻的权限管理。 比如： 因为张三是北京分公司的“人力资源经理”，所以他能够也只能够管理北京分公司员工和北京分公司下属的子公司（海淀子公司、朝阳子公司、西城子公司、东城子公司等）的员工； 因为王五是海淀子公司的“人力资源经理”，所以他能够也只能够管理海淀子公司的员工； 普通审查员审查财务数据的权限是：在零售行业审核最高限额是￥50万，在钢铁行业最高限额是￥1000万；高级审查员不受该限额限制； ATM取款每次取款额不能超过￥5000元

Linux中是有自己的权限系统的，比如常用的755,655这样的权限。如果需要满足更高级的权限，比如我们需要让/root/test.file这个文件可以被一个普通账号test有所有权限的话，可以单独设置具体的权限，这里需要应用到ACL的权限策略。在Linux的2.6内核版本中已经自带了ACL的安全策略如果想要启用的话非常简单。 vi /etc/fstab 可以看到基本的磁盘分区表，如： LABEL=/ / ext3 defaults,acl 1 1 我们可以将/目录加入ACL策略如图所示，修改完成后重启服务器。 这样的/目录就启用了ACL的安全策略 下面是设置/root/test.file文件，赋予test用户rwx权限 setfacl -m u:test:rwx test.file 这里的u代表用户，g代表组 test代表用户 rwx代表赋予的权限 test.file是文件名 getfacl test.file 可以看到如下： # file: test.file # owner: root 所属用户 # group: root 所属组 user::rw- 所属用户权限 user:test:rwx 所属特定用户test的权限 group::r-- 所属特定组的权限 mask::rwx mask权限计算掩码，如果mask为r 表示无论权限设置为多少，最大只能是r other::r-

1、服务器上建的本地用户，不要设置简单的密码 2、匿名账户访问控制 | 身份鉴别：在管理工具打开本地安全策略，打开路径:安全设置\本地策略\安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为：已禁用，将“不允许SAM帐户的匿名枚举“设置为：已启用，将“不允许SAM帐户和共享的匿名枚举”设置为：已启用，将”允许匿名SID/名称转换“设置为：已禁用。 3、配置账户锁定策略 | 身份鉴别：在管理工具打开本地安全策略，打开路径: 安全设置\帐户策略\账户锁定策略 。将账户锁定阈值设置为3-8之间，建议值为5，输错5次密码锁定账户；然后将账户锁定时间和重置账户锁定计数器设置为10-30之间，建议值为15，账户锁定时间为15分钟。 4、设置密码使用期限策略 | 身份鉴别：在管理工具打开本地安全策略，打开路径: 安全设置\帐户策略\密码策略 ，将密码最长使用期限设置为30-180之间，建议值为 90 ，将密码最短使用期限设置为1-14之间，建议值为 7 . 5、'强制密码历史'设置为5-24之间 | 身份鉴别：在管理工具打开本地安全策略，打开路径: 安全设置\帐户策略\密码策略 ，将强制密码历史设置为5-24之间 6、应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计 | 安全审计：在管理工具打开本地安全策略，打开路径:安全设置\本地策略\审核策略

最近做前端开发总是遇到一个很奇怪的现象，同一个AJAX请求，在Chrome里调试的时候就会提示跨域，但是在手机模拟器或者真机上调试的时候就不会，于是百度了一下，发现是Chrome的安全策略导致的，需要在后台设置一下 在网上找了半天，发现很多大家通用的方法在我这儿都不行，今天终于找到一个可行，在这里分享给大家 首先要说的是，我的版本是59的，也就是说是49以后的版本，所以49以后版本的朋友可以用我的这个方法，如果还是之前的老版本，网上其他的通用方法应该就是OK的 Google Chrome 版本号 首先给大家看看我的跨域报错信息，可能每个人的报错信息都不一样，总之确实是AJAX请求跨域导致的 AJAX请求跨域 我们要做的第一步，就是创建一个文件夹，这个文件夹是用来保存关闭安全策略后的用户信息的，名字可以随意取，位置也可以随意放 创建一个文件夹 然后打开控制台，输入下面这段代码 open -n /Applications/Google\ Chrome.app/ --args --disable-web-security --user-data-dir=/Users/LeoLee/Documents/MyChromeDevUserData 关闭安全策略代码 大家需要根据自己存放刚刚创建的文件夹的地址来更改上面的代码，也就是下面图中的红框区域

1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。 这些位置通常是：  服务器区域的交换机上；  Internet接入路由器之后的第一台交换机上；  重点保护网段的局域网交换机上。 2. 入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术

一。NAT分类 NAT No-pat：类似于Cisco的动态转换，只转化源IP地址，网络地址，不转化端口，属于多对多转换，不能节约公网IP地址，使用较少 NAPT：（网络地址和端口转换）类似与Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口， 出接口地址：（Easy-IP）转换方式简单，和NAPT一样，即转换源地址又转换源端口，属于多对一转换 Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换 三元组NAT：与源IP地址，源du端口和协议类型有关的一种转换 二，黑洞路由 源地址转换场景下的环路和无效ARP问题 三，Server-map表 通过Server-map表解决FTP数据传输问题 会话表记录的是连接信息，包括连接状态 Server-map在NAT中的应用 正向条目携带端口信息，用来使外部用户访问202.96.1.10时直接通过Server-map表进行目标地址转换 反向条目不携带端口信息，且目标地址时任意的，用来使服务器可以访问互联网前提是必须是TCP协议， 四，NAT对报文的处理流程 NAT配置（三种方法） (1)NAT No-pat 走一条默认路由 配置安全策略 配置NAT地址组，地址组中，地址对应的是公网IP 配置NAT策略 针对转换后的全局地址（NAT地址组中的地址）配置黑洞路由 验证NAT配置，用PC1可以ping外网的PC2

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/lf12345678910/article/details/72915535 android\system\sepolicy\ 一 SELinux背景知识 1. DAC和MAC SELinux出现之前，Linux上的安全模型叫DAC，全称是Discretionary Access Control，翻译为自主访问控制。DAC的核心思想很简单，就是： 进程理论上所拥有的权限与执行它的用户的权限相同。比如，以root用户启动Browser，那么Browser就有root用户的权限，在Linux系统上能干任何事情。 显然，DAC太过宽松了，所以各路高手想方设法都要在Android系统上搞到root权限。那么SELinux如何解决这个问题呢？原来，它在DAC之外，设计了一个新的安全模型，叫MAC（Mandatory Access Control），翻译为强制访问控制。MAC的处世哲学非常简单：即任何进程想在SELinux系统中干任何事情，都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限，进程就没有该权限 /* from external/sepolicy/netd.te 下面这条SELinux语句表示 允许（allow ）netd域（domain）中的进程 ”写

权限管理 Authority Management 目前主要是通过用户、角色、资源三方面来进行权限的分配。 具体来说，就是赋予用户某个角色，角色能访问及操作不同范围的资源。 通过建立角色系统，将用户和资源进行分离，来保证权限分配的实施。 一般指根据系统设置的安全规则或者安全策略， 用户可以访问而且只能访问自己被授权的资源。 场景举例 企业IT管理员一般都能为系统定义角色，给用户分配角色。 这就是最常见的基于角色访问控制。 场景举例： 给张三赋予“人力资源经理”角色，“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入系统，则可以进行这些操作； 去掉李四的“人力资源经理”角色，此时李四就不能够进入系统进行这些操作了。 以上举例，局限于功能访问权限。还有一些更加丰富、更加细腻的权限管理。 比如： 因为张三是北京分公司的“人力资源经理”，所以他能够也只能够管理北京分公司员工和北京分公司下属的子公司（海淀子公司、朝阳子公司、西城子公司、东城子公司等）的员工； 因为王五是海淀子公司的“人力资源经理”，所以他能够也只能够管理海淀子公司的员工； 普通审查员审查财务数据的权限是：在零售行业审核最高限额是￥50万，在钢铁行业最高限额是￥1000万；高级审查员不受该限额限制； ATM取款每次取款额不能超过￥5000元，每天取款总额不能超过￥20000元。