欢迎投稿

今日深度:

> > 正文

Chapter 2 User Authentication, Authorization, and Security(

来源:未知 阅读:14256 评论 139 热度5

标签:dba 安全 security 服务器 sql server 2 暴力破解

Chapter 2 User Authentication, Authorization, and Security(3):保护服务器避免暴力攻击,authentication


原文出处:http://blog.csdn.net/dba_huangzj/article/details/38756693,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

        前一篇:http://blog.csdn.net/dba_huangzj/article/details/38705965

 

前言:

 

暴力攻击(Brute-force attack)是通过几乎所有可能的字符组合尝试破解密码,或者使用一个字典表,包含几乎所有可能的密码来实现密码破解的方法。如果你的密码很简单,那么很快就会被破解。所以,测试密码是非常重要的。

 

实现:

 

1. 首先查找SQL 密码没有使用强制密码策略的:

 

SELECT name, is_disabled 
FROM sys.sql_logins 
WHERE is_policy_checked = 0 
ORDER BY name;


 

2. 然后对这些登录使用强密码策略:

 

ALTER LOGIN Fred WITH CHECK_POLICY = ON,CHECK_EXPIRATION = ON;


 

这个命令不会更改现有密码,直到密码过期前密码依然有效。可以使用下面函数检查密码到期时间:

SELECT LOGINPROPERTY('Fred', 'DaysUntilExpiration');


 

3. 你还可以强制在登录时修改密码,但是需要先提供一个协商好的密码并告知使用者,比如下面的代码,就是把Fred这个登录名强制登陆时修改密码,然后你使用了You need to change me ! 这个作为“初始密码”,你需要告知用户,登陆时使用它,登录成功后会提示你修改密码。

ALTER LOGIN Fred WITH PASSWORD = 'You need to change me !' MUST_CHANGE, CHECK_POLICY = ON, CHECK_EXPIRATION = ON;


原文出处:http://blog.csdn.net/dba_huangzj/article/details/38756693

image

 

4. 可以使用脚本把所有需要修改的登录名全部显式出来:

SELECT  'ALTER LOGIN ' + QUOTENAME(name) + ' WITH PASSWORD = ''You 
need to change me 11'' MUST_CHANGE, CHECK_POLICY = ON, CHECK_ 
EXPIRATION = ON; 
' 
FROM    sys.sql_logins 
WHERE   is_policy_checked = 0 
ORDER BY name;


 

如果需要在应用程序中允许用户修改他们的密码,可以参照这篇文章:http://msdn.microsoft.com/zh-cn/library/ms131024.aspx (以编程方式更改密码)

 

原理:

 

 

最好的保护密码避免暴力攻击的方法是使用WIndows密码策略,因为它仅允许你使用强密码。另外暴力攻击密码会在SQL Server的错误日志和Windows的事件日志中留底。

SQL登录的密码或密钥是不存储在任何系统表中,仅存储密码的hash值,也就是说没有办法解密。hash值会存储在系统表中,以便后续登录时与传输的密码使用hash函数生成的hash值匹配。

 

 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38756693

更多:

 

过期策略的其中一个组成部分是【lockout threshold】,如果要启用对SQL 登录的失败尝试锁定,需要对CHECK_POLICY 选项设为ON,并且把你的帐号锁定策略在Active Directory或者本地配置。

 

image

 

可以使用下面语句查询是否有锁定的帐号:

SELECT name 
FROM sys.sql_logins 
WHERE LOGINPROPERTY(name, N'isLocked') = 1 
ORDER BY name;
原文出处:http://blog.csdn.net/dba_huangzj/article/details/38756693


帮忙翻译一下(3)

类型的问题:
基本概念-选择题;
推理和简单的计算:选择题。这类型的问题会更加清晰当您看到的选择,在试验;您能做什么,现在是熟悉的概念和理论提到,在检讨的问题。
讨论,总结,计算( ? ) :散文的问题
议题将包括:
第一章, 5月1日
1 。 5层:他们是什么和做些什么
2 。比较层(利用一张桌子,我创建)
3 。共同的标准为每五个层次:为HTTP 。的SMTP ,的FTP的IP ,以太网
4 。媒体存取控制:争论与控制:哪一个是更好地在什么情况?
5 。差错控制:来源的错误和他们的补救措施(方法,以防止错误) ,侧重于第1张投影片约事业的控制对
calclation的数据丢失是由于突发性错误(冲动; “穗” ) -简单的计算将提供,你的任务就是要了解他们,并选择正确的一
可能征文:
描述了如何基于Web的电子邮件工程
第一章, 5月2日
1 。标题栏位,在TCP数据包
2 。标题栏位,在IP数据包
3 。类型的地址,互联网上使用;改建或“决议”的地址,特别是申请地址,网络地址
4 。 DHCP的:它是什么,以及它如何工程
5 。局域网组件
6 。以太网:基本功能:如何邮件转发和处理;碰撞和反应,给它们的任务;如何避免更多的碰撞后,发生了一
第一章7
1 。一般安全目标(中央情报局)
2 。基本安全的活动或职能:识别,验证,授权,问责制,保证
3 。脆弱性,利用和攻击
4 。纵深防御
可能征文:
讨论为什么信息安全/网络安全是一个更大的问题相比,今天与20年前,由于提高计算/通信技术。
第8章
1 。社会工程:是什么秒;如何抵御它
2 。 “三原则” -的原则,容易渗透,的原则,及时性,效力原则;关系与密码与加密(我们聘请的密码和加密,因为上述原则)
3 。流密码和博克密码
可能征文问题:
1 。网络安全技术研究内容及相互关系
2 。安全威胁的类型
3 。的可能性和成本的威胁
4 。设计的密码至少为8个字符,与上下游情况下,和数字,并强调不会在开始或结束时的密码,即可以很容易记住,给您自己,但很难猜测,由他人。国家的原因设计(手法如何,您可以很容易记住的密码) 。
5 。了解的机制,数字签名
第9章
所有类型的问题:
的目的是什么主机扫描吗?
的目的是什么端口扫描?
的目的是什么(作业系统)指纹
打破程式:如何;管理“漏洞”后,突破在
拒绝服务攻击-单讯息D oS攻击; s murf水浸D oS攻击;分布式拒绝- -服务( D DoS)攻击
阻止DoS攻击
防火墙的基本功能和局限性
包过滤包过滤防火墙;代理代理防火墙;两种防火墙技术的对比
访问控制列表( ACL ) (幻灯片9-71 〜 9-75 )
在学习中的幻灯片,利用Notes的“隐藏”在幻灯片-如下:
 

怎设置服务器

置RADIUS服务器

找到一篇关于在Linux上搭建RADIUS服务器的文章

请笑纳:

Linux上构建一个RADIUS服务器详解

为一名网络管理员,您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户,具体来说是通过一个LDAP服务器进行验证,可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息,从而既可以减少用户管理上的管理开销,又可以使远程登录过程更加安全。

数据安全作为现代系统中网络安全的一部分,与系统安全一样的重要,所以保护数据--确保提供机密性、完整性和可用性--对管理员来说至关重要。

在本文中,我将谈到数据安全性的机密性方面:确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service 服务器(RADIUS),以执行对用户的验证、授权和记帐(AAA)。

各组成元素介绍

首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作,另外还有LDAP协议。

Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的(请参阅参考资料获得相关链接)。它允许网络访问服务器(NAS)执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点(访问点是网络上专门配置的节点;WAP是无线版本)。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。

RADIUS和AAA

如果NAS收到用户连接请求,它会将它们传递到指定的RADIUS服务器,后者对用户进行验证,并将用户的配置信息返回给NAS。然后,NAS接受或拒绝连接请求。

功能完整的RADIUS服务器可以支持很多不同的用户验证机制,除了LDAP以外,还包括:

PAP(Password Authentication Protocol,密码验证协议,与PPP一起使用,在此机制下,密码以明文形式被发送到客户机进行比较);

CHAP(Challenge Handshake Authentication Protocol,挑战握手验证协议,比PAP更安全,它同时使用用户名和密码);

本地UNIX/Linux系统密码数据库(/etc/passwd);

其他本地数据库。

在RADIUS中,验证和授权是组合在一起的。如果发现了用户名,并且密码正确,那么RADIUS服务器将返回一个Access-Accept响应,其中包括一些参数(属性-值对),以保证对该用户的访问。这些参数是在RADIUS中配置的,包括访问类型、协议类型、用户指定该用户的IP地址以及一个访问控制列表(ACL)或要在NAS上应用的静态路由,另外还有其他一些值。

RADIUS记帐特性(在RFC 2866中定义;请参阅参考资料获得相关链接)允许在连接会话的开始和结束发送数据,表明在会话期间使用的可能用于安全或开单(billing)需要的大量资源--例如时间、包和字节。

轻量级目录访问协议

轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)是一种开放标准,它定义了用于访问和更新类X.500 目录中......余下全文>>
 

www.htsjk.Com true http://www.htsjk.com/shujukunews/2817.html NewsArticle Chapter 2 User Authentication, Authorization, and Security(3):保护服务器避免暴力攻击,authentication 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38756693 ,专题目录: http://blog.csdn.net/dba_huan...
本站文章为和通数据库网友分享或者投稿,欢迎任何形式的转载,但请务必注明出处.
同时文章内容如有侵犯了您的权益,请联系QQ:970679559,我们会在尽快处理。
返回首页
相关文章
评论暂时关闭