Linux操作系统安全配置配套练习题答案中职工信版

【Linux操作系统安全配置】教材任务练习答案

学习单元1 Linux主机基本安全管理

项目1 用户账户安全管理

任务1 创建用户账户

一、选择题

1、C 2、B 3、B 4、B 5、C

二、简答题

1．简述在Linux系统中实现用户锁定的方法。

答：有两种锁定方法。一是锁定用户账户（usermod –L 用户名）；二是锁定用户账户密码（passwd –l 用户名）。

2．列出和Linux用户及用户组有关的配置文件，并解释文件的作用。

答：/etc/passwd和/etc/shadow。

三、操作题

以王帆用户为例：

#mkdir /tmp/data

#useradd –d /tmp/data wf

#echo wf |passwd –stdin wf

#chage –d 0 wf

任务2 实施健壮密码策略

一、选择题

1、 B 2、 A 3、D 4、 C

二、操作题

1、编辑/etc/文件，修改内容如下：

PASS_MAX_DAYS 180

PASS_MIN_DAYS 0

PASS_MIN_LEN 10

PASS_WARN_AGE 15

2、命令如下

#useradd ydwzl

#echo 123456 |passwd --stdin ydwzl

#chage –l ydwzl

#chage –d 2019-07-03 ydwzl

#chage –m 0 ydwzl

#chage –M 60 ydwzl

#chage –W 7 –I 3 ydwzl

#chage –E 2029-07-03 ydwzl

任务3 配置PAM认证模块

一、选择题

1、D 2、 C 3、 D 4、C 5、B

二、操作题

为禁止普通用户su至root，需要分别修改/etc/pam.d/su和/etc/两个配置文件。配置过程

1）去除/etc/pam.d/su文件中如下行的注释：

auth required pam_ use_uid

2）在／etc/文件中加入如下配置项：

SU_WHEEL_ONLY yes

经过上述配置后，普通用户将被禁止su至root，如果希望指定普通用户su至root，可以执行如下命令将该用户添加至wheel组中：

usermod -G wheel username

任务4 配置用户权限

一、选择题

1、D 2、A 3、 C 4、D 5、B

二、操作题

1、find / -perm /4000

2、编辑/etc/sudoers文件，添加如下内容：

user01 ALL=(ALL)

/usr/sbin/useradd,/usr/sbin/usermod,/usr/sbin/userdel

项目2 Linux主机网络配置及远程登录

任务1 配置Linux主机的网络

一、选择题

1．B 2.C 3.D

二、简答题

1．Linux主机中网络地址的分配方式有哪两种？分别适用什么场景？

(1)按照网络管理员的地址规划进行手工设置的静态分配方案。适用于小型网络。

(2)基于DHCP的动态分配方案，适用于中大型网络和移动办公应用。

2．请写出CentOS Linux系统下查看网卡地址及自动获得IP地址的命令。

查看网卡地址方法：ifconfig 网卡接口名

自动获得IP地址的命令：dhclient 网卡接口名

释放当前获得的Ip地址：dhclient –r网卡接口名

任务2 配置Linux主机的远程登录

一、选择题

1．C 2.C 3.C

二、简答题

1．Windows下常见的ssh客户端有哪些？

答： 常见Windows系统下支持SSH协议的工具有putty、Xshell、Secure CRT等。

2．简述scp的作用及主要用法。

答：scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。

1）从本地复制到远程

命令格式：

scp local_file remote_username@remote_ip:remote_folder

2）从远程复制到本地

从远程复制到本地，只要将从本地复制到远程的命令的后2个参数调换顺序即可

学习单元2 Linux主机常用服务安全管理

项目1 Samba服务的安全管理

任务1 构建公司Samba文件服务器

一、选择题

1、 B 2、 D 3、 B 4、 D 5、B

二、简答题

1、简述Samba服务器的主要功能。

答：samba是一种基于linux/unix平台中利用于smb（服务信息块）协议，实现以下功能的软件包：Linux/ UNIX与Windows系统主机之间的文件及打印共享。

2、Windows客户机在访问Samba服务器时会自动记住上次访问的用户凭证，那么如何切换用户访问呢？

答：控制面板-凭据管理器-选择需要删除的保管凭据。或者使用net user

name “密码” /user:用户名，手动指定账户名及密码

任务2 设置用户账号映射

一、选择题

1、B 2、 D 3、C

二、 操作题

在Linux中的用户“root”与Windows中的用户“administrator”和“teacher”之间建立映射。

答案：先在文件中添加“username map = /etc/samba/smbusers”开启用户账户映射后写入并退出。对smbuser文件进行编辑，创建用户账户映射“root =

administrator teacher”，写入并退出。

任务3 设置主机访问控制

一、选择题

1、 B 2、 C 3、D

二、简答题

1．不允许IP地址为192.168.0.20的客户端访问Samba服务器上的smbtest目录。

hosts deny = 192.168.0.20

2．只允许IP地址为192.168.0.25的客户端访问Samba服务器上的smbtest目录。

hosts deny = ALL

hosts allow = 192.168.0.25

3．不允许192.168.0.0/24网段，但不包括192.168.0.99的客户端访问Samba服务器上的smbtest目录。

hosts deny = 192.168.0. EXCEPT 192.168.0.99

4．只允许192.168.0.0/24网段，但不包括192.168.0.99的客户端访问Samba服务器上的smbtest目录。

hosts allow = 192.168.0. EXCEPT 192.168.0.99

5．在本例中，IP地址为192.168.0.99的客户端可以访问Samba服务器上的smbtest目录吗？

[smbtest]

path = /test

hosts allow = 192.168.0.99

hosts deny = 192.168.0.99

答：可以访问, 在hosts deny和hosts allow字段同时设置的情况下，如有冲突，此时应以hosts allow优先。

任务4 用PAM实现用户和主机访问控制

一、选择题

1、B 2、 AC

二、操作题

某Samba服务器上存在/var/myshare目录，用户需要访问该目录。请将其设置为共享，并配置目录共享权限进行访问验证。具体要求如下：用户st02可以在网段192.168.1.0/24中的任何一台主机上访问该共享目录，权限位读写；用户update则不能在网段192.168.1.0/24中的任何一台主机上访问该共享目录。

答：

1)编辑配置文件，在共享目录位置添加如下内容。

[myshare]

path=/var/myshare

public=no

valid users=st02,update

write list = st02

2)在Samba认证文件/etc/pam.d/samba中添加“Account required pam_

accessfile=/etc/mysmblogin”命令行，保存文件并退出编辑.

3)编辑SMB用户登录文件，输入“vim /etc/mysmblogin”命令行，用户st02可以在网段192.168.1.0/24中的任何一台主机上访问该共享目录，权限位读写；用户update则不能在网段192.168.1.0/24中的任何一台主机上访问该共享目录

+:st02:192.168.1.

-:update:192.168.1.

任务5 为Samba用户建立独立配置文件

一、选择题

1、 B 2、 C

二、 操作题

配置Samba服务器，在Samba服务器上创建一个共享目录rules，只有rgb用户可以浏览并访问该目录，其他用户都不可以浏览和访问该目录（通过为rgb用户单独建立一个配置文件，并且让rgb访问的时候能够读取这个单独的配置文件即可）。

答：

1）修改主配置文件

在主配置文件的[global]区域中添加下面这条语句：

config file = /etc/samba/%

设置之后，Samba服务器将读取独立配置文件“/etc/samba/%”的内容，其中“%U”代表当前登录的用户。

2）为mary用户建立独立配置文件

将samba配置文件复制一份，复制的文件命名为。

cp /etc/samba/ /etc/samba/

3）修改独立配置文件

编辑用户rgb的独立配置文件，在rules共享目录中添加语句“browseable

= no”。

项目2 Vsftpd服务的安全管理

任务1 构建公司FTP文件服务器

一、选择题

1、 C 2、C 3、C 4、D 5、C

二、简答题

1．FTP文件服务器和文件共享服务器有什么异同？

答：协议不同，FTP文件服务器使用应用层的FTP协议，端口为TCP21。而文件共享服务器使用的是应用层的CIFS（原来叫SMB）协议，端口为TCP 445。

2．FTP服务器的主、被动模式有什么区别？各适用于什么场景？

答：主动模式，即Port模式，是由FTP服务器主动连接至客户机建立数据链路。FTP客户机首先和FTP服务器的TCP 21端口建立连接，通过这个通道发送命令。当客户机需要传输数据时，首先在这个通道上发送PORT命令。PORT命令包含了客户机将使用什么端口进行传输数据的信息。之后FTP服务器通过自己的TCP 20端口主动连接至客户机的这个指定端口来传输数据。

被动模式，即PASV模式，是FTP服务器告诉给客户端自己使用的数据连接端口，然后等待客户机来连接从而建立数据链路。被动模式建立控制连接的过程与主动模式类似，但连接建立后发送的不是PORT命令，而是PASV命令，如图2-71右侧所示。FTP服务器收到PASV命令后，随机打开一个空闲的高端端口（数字大于1024）作为数据传输端口，之后服务器被

动地等待客户端连接至指定端口进行数据的传输。

被动模式下要求服务器开放一个随机端口传输数据，而主动模式只需要服务器开放20号端口。在企业生产环境中，FTP服务器一般被设置为被动模式（FTP服务器事先定义好客户机需要连接的数据端口号，并为这些数据端口在FTP服务器的防火墙策略中添加白名单）。

任务2 FTP虚拟用户配置

一、选择题

1、 B 2、C 3、 A

二、简答题

简述FTP虚拟用户的作用并说出它的应用场景。

答：FTP虚拟用户的特点是只能访问服务器为其提供的FTP服务，而不能访问系统的其他资源。所以，如果想让用户对FTP服务器站内具有写权限，但又不允许访问系统其他资源，这时可以使用虚拟用户来提高系统的安全性。

任务3 主机访问控制

一、选择题

1、 BD

二、操作题

实现通过修改TCP_Wrappers配置文件，允许192.168.136.0/24网段所有主机（除192.168.136.100之外）访问FTP服务器。

答：在/etc/文件中添加以下内容

vsftpd:192.168.136.100

任务4 用户访问控制

一、选择题

2、D 3、 C

1、B

二、简答题

2、 AC 3、 B

实现FTP用户访问控制的配置文件有哪些？这些配置文件使用时有什么差异？

答：Vsftpd服务器的用户访问控制分为两类：

一类是传统用户列表文件“/etc/vsftpd/ftpusers”，默认存放黑名单，就是说其中的用户都没有登录FTP服务器的权限。系统默认建立ftpusers文件，用来禁止高权限的本地用户（如root）登录FTP服务器，以提高系统安全性。

另一类是改进的用户列表文件“/etc/vsftpd/user_list”，要想让该文件生效，必须将主配置文件中的userlist_enable选项设置为YES。该文件具有对Vsftpd服务器更灵活的用户访问控制。其中列出的用户能否登录FTP服务器，由主配置文件的userlist_deny选项的值来决定。默认userlist_deny=YES，即此文件默认用来存放黑名单。

如果要设置该文件为白名单，则需要在主配置文件中做出如下更改。

userlist_enable=YES

userlist_deny=NO

出于安全考虑，黑名单的优先级更高。这意味着用户只要出现在任何一个黑名单中，就会被拒绝登录Vsftpd服务器，即使该用户也出现在白名单中。

任务5 配置FTP服务器的资源限制

一、选择题

1、 A

二、操作题

设置客户端对FTP服务器中的资源使用限制，要求如下：

1．FTP服务器允许的最大客户端连接数为1000。

2．针对同一IP允许的最大客户端连接数为50。

3．本地用户的最大传输速率为5Mb/s。

4．匿名用户的最大传输速率为1Mb/s。

答：编辑vsftp主配置文件/etc/vsftpd/，添加如下内容

max_clients=1000

max_per_ip=50

local_max_rate=5000000

anon_max_rate=1000000

2、 B

项目3 DNS的安全配置

任务1 为公司新域名配置DNS的查询方式

一、选择题

1、B 2、D 3、C

二、简答题

1．如何配置DNS服务器的迭代查询？

答：当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的

提示中包含所需要查询的主机地址为止。一般情况下，每次指引都会更靠近根域名服务器（向上），查寻到根域名服务器后，则会再次根据提示向下查找。

2．除了基本DNS查询外，DNS服务还应具备什么功能？

答：还具有解析域名功能、恶意网站拦截和广告过滤功能，实现安全浏览和节省流量加快网页加载的速度。

任务2 限制区域传输

一、选择题

1、B 2、A 3、BC

二、简答题

1．如何理解完全区域传输和增量区域传输？

答：完全区域传输（axfr）：当一个新的DNS服务器添加到区域中并配置为从DNS服务器时，它会执行完全区域传输，在主DNS服务器上获取完整的资源记录副本。

增量区域传输（ixfr）：为了保证数据同步，主域名服务器有更新时也会及时通知从DNS服务器从而进行更新，即增量区域传输。

2．为了提高DNS服务的安全性，除了使用配置查询方式、限制区域传输外，还能想到哪些方法？

答：使用DNS转发器：DNS转发器是为其他DNS服务器，完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器， 从DNS转发器潜在地更大DNS高速缓存中受益。

使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话， 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器，而是让它使用转发器来处理未授权的请求。

任务3 限制查询者

一、选择题

1、D 2、B 3、A

二、简答题

1．除了限制指定网段主机可查询外，限制查询者还有哪些方法？

答：还可以限定指定用户或查询主机。

2．除了限制查询者外，提高DNS服务安全性还有什么方法？

答：使用唯缓冲DNS服务器：唯缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当唯缓冲DNS服务器收到一个反馈，它把结果保存在高速缓存中，然后把结果发送给向它提出DNS查询请求的系统。随着时间推移，唯缓冲DNS服务器可以收集大量的DNS反馈，这能极大地缩短它提供DNS响应的时间。把唯缓冲DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部DNS服务器可以把唯缓冲DNS服务器当作自己的转发器，唯缓冲DNS服务器代替内部DNS服务器完成递归查询。

任务4 分离DNS

一、选择题

1、D 2、B 3、C

二、简答题

1．实现DNS内外网分离有什么好处？

答：DNS分离解析即将内外网的相同域名解析为不同的IP地址，好处是互联网中其他用户只能看到外部DNS系统中的服务器，而且只有内、外DNS服务器之间才交换DNS查询信息，从而保证了系统的安全性，而且这种技术可以有效地预防信息的泄露，现实网络中一些电商网站为了解析速度更快让用户有更好的体验效果，就会把来自不同运营商的用户解析到相对应的服务器，这样就大大提升了访问速度。

2．提高DNS服务的安全性，除了配置DNS的查询方式、限制区域传输、限制查询者的任务、DNS内外网分离外，还有哪些方法？

答：在DNS文件系统入口设置访问控制:在基于Windows的DNS服务器中，你应该在DNS服务器相关的文件系统入口设置访问控制，这样只有需要访问的帐户才能够阅读或修改这些文件。

任务5 配置域名转发

一、选择题

1、D 2、D 3、A

二、简答题

1．域名跳转过程中，域名与IP地址是一对一的关系还是多对一的关系？

答：域名跳转过程中，域名与IP地址是多对一的关系。

2．提高DNS服务效率及安全性，除了域名转发外，还有什么方法？

答：可采用包过滤防护：限制访问DNS服务器的数据包的类型，实施包过滤的主要依据是端口、IP和流量。

项目4 Apache的安全策略

任务1 设置特定的用户运行Apache服务器

一、选择题

1．C 2.D 3.C

二、简答题

1．如何通过改变端口的方式使用普通用户的权限来启动服务器？

答：为了安全的考虑，可以通过改变端口，进而使用普通用户的权限来启动服务器，服务器本身以root权限打开80端口后，再改变为普通用户身份进行运行，这样就减少了危险性。

2．除了使用特定的用户运行Apache服务器外，还有哪些Apache的安全策略？

答： 及时更新系统和应用程序补丁，安装WAF，隐藏和伪装Apache的版本，使用ssl加固Apache等

任务2 Apache的安全策略—设置主机访问控制

一、选择题

1．B 2.A 3.D

二、简答题

1．一般情况下，Apache是由Root用户来安装和运行的，如果Apache Server进程具有Root用户权限，会存在什么问题？

答：如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。

2．除了对主机访问进行控制外，Apache安全策略还有哪些？

答：让apache运行在“监牢”中 :“监牢”的意思是指通过chroot机制来更改某个软件运行时所能看到的根目录，简单说，就是被限制在指定目录中，保证软件只能对该目录与子目录文件有所动作，从而保证整个服务器的安全，即使被破坏或侵入，损伤也不大。

及时更新系统和应用程序补丁，安装WAF，隐藏和伪装Apache的版本，使用ssl加固Apache等

任务3 使用HTTP用户认证

一、选择题

1．A 2.B 3.C

二、简答题

1．使用htpasswd创建用户和以文本形式管理组相对简单，但用户增多时，服务器负载增加，应如何解决这个问题？

答：使用htpasswd创建用户和以文本的形式管理组相对来说比较简单，但是如果用户增多，服务器要做许多的处理来找响应的组和密码信息，这种处理必须在每个请求中都要做（受保护的区域，尽管用户仅仅输入一次密码，但是在每次请求中，都必须重新认证），如果伴随着很多用户，那是相当慢的，增加服务器负载。比较块的访问是使用DBM格式文件，它允许服务做比较块的搜索，但是管理DBM文件也是比较复杂的。

2．同时使用用户和主机限制时可提高Apache服务的安全性，除此以外，还有哪些安全策略？

答：可以使用具有SSL功能的服务器，可以提高网站敏感页的安全性能，SSL工作与TCP/IP协议和HTTP协议之间 ,SSL可以加密互联网上传递的数据流，提供身份验证，在线购物而不必担心别人窃取信用卡信息，在基于电子商务和基于web邮件的地方非常重要。

任务4 设置虚拟目录和目录权限

一、选择题

1．C 2.C 3.C

二、简答题

1．虚拟目录能否和真实的磁盘目录相同？

答：虚拟目录可以和真实磁盘目录相同，也可以在不影响现有网站的情况下，实现服

务器磁盘空间的扩展。此外，虚拟目录可以与原有网站不在同一个文件夹、不在同一个磁盘驱动器，甚至不在同一台计算机上，但用户在访问网站时，却感觉不到任何区别，方便了对网站资源进行灵活管理。

2．简述虚拟主机和虚拟目录的区别。

答：虚拟主机是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组件等，提供必要的站点功能与数据存放、传输功能等。

每个Internet服务可以从多个目录中发布。通过以通用命名约定（UNC）名、用户名及用于访问权限的密码指定目录，可将每个目录定位在本地驱动器或网络上。虚拟服务器可拥有一个宿主目录和任意数量的其他发布目录，其他发布目录称为虚拟目录。指定客户 URL地址，服务将整个发布目录集提交给客户作为一个目录树。宿主目录是“虚拟”目录树的根。虚拟目录的实际子目录对于客户也是可用的。

项目5 防火墙安全配置

任务1 架设Linux单机防火墙

一、选择题

1、 C 2、 C 3、D

二、简答题

1．网络层防火墙能否检查应用层数据，如病毒？

答：网络层防火墙工作在第三层，无法识别应用层数据内容。网络层防火墙默认是根据IP

数据包头部及TCP/UDP报头内容进行安全过滤。

2．有些特洛伊木马会扫描端口31337到31340（黑客语言中的elite端口）的服务。因此阻塞这些端口能有效地减少感染的概率，如何使用命令实现减少不安全端口的连接？

答：使用iptables命令过滤不安全的端口

#iptables –A INPUT –p tcp –m multiport --dport 31337:31340 –j DROP

#iptables –A OUTPUT –p tcp –m multiport --sport 31337:31340 –j DROP

任务2 使用iptables防火墙加固Web服务器

一、选择题

1、 C 2、C 3、 A

二、简答题

1．iptables有几张表，每张表的作用是什么？以及每张表有几个规则链？

答：iptables具有四张表：filter表——过滤数据包，Nat表——用于网络地址转换（IP、端口），Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS，Raw表——决定数据包是否被状态跟踪机制处理。

每张表的规则链情况如下图

2．写出实现以下功能的iptables命令：禁止来自10.0.0.188 IP地址访问80端口的请求。

答：iptables命令如下

#iptables –A INPUT –p tcp –s 10.0.0.188 –dport 80 –j DROP

学习单元3 Linux主机安全综合实训

项目1 基于等保标准实现Linux主机安全防护

任务1 认识《信息安全技术 网络安全等级保护基本要求》

一、选择题

1、 A

二、简答题

2、 C 3、B

1．信息安全等级保护的定义是什么？信息安全等级保护的五个标准步骤是什么？信息安全等级保护五个等级是怎样定义的？

答：

1）等保，即信息安全等级保护，它是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

2）信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

3）信息系统的安全保护等级分为以下五级，一至五级等级逐级增高。第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

2．《GB/T 22239—2019》中安全通用要求细分为技术要求和管理要求，列出技术要求和管理要求的具体内容。

答：《GB/T 22239—2019》中安全通用要求细分为技术要求和管理要求，两者合计10大类，如图所示。其中技术要求包括“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”；管理要求包括“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”和“安全运维管理”。

具体内容见书上描述。

任务2 基于等保思想实现Linux系统安全防护

一、选择题

1、 A

二、简答题

1．《信息完全技术 网络安全等级保护基本要求》中主机安全有哪六项要求？

答：针对重要信息系统在设备和计算安全防护层面的各种需求，《信息安全技术 网络安全等级保护基本要求》从六个方面予以考虑。

（1）身份鉴别：通过身份鉴别模块，对系统用户进行有效性验证，通过鉴别才能进入系统。

（2）访问控制：通过对系统用户进行权限划分，按照最小化授权原则访问系统资源，实现用户对重要文件和目录的读/写控制。

（3）安全审计：通过监控系统运行情况、跟踪系统用户行为，提供事后追溯分析依据。

（4）入侵防范：通过主机层入侵检测和防御机制，抵御内部非法访问与攻击。

（5）恶意代码防范：通过主机层恶意代码检测处理，避免文件、数据被恶意修改或资源被非法利用。

（6）资源控制：根据服务优先级分配系统资源，限制单个用户的多重会话，设置系统的超时退出，防止资源被滥用或非法使用。

2．采取哪些措施可以有效地控制攻击事件和恶意代码？

答：

1） 提升业务人员和管理人员的风险意识；

2） 定期对业务系统进行安全巡检，合理制定安全策略；

3） 定期更新系统和应用程序补丁；

4） 安装系统防病毒软件及防火墙软件

2、 D 3、B

5） 划分VLAN及部署入侵检测系统；

6） 部署WAF应用防火墙；

7） 养成良好的上网行为习惯……