资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,-,58,-,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,-,*,-,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,-,*,-,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,系统安全加固,培训要求:,该课程主要介绍系统通用的安全加固方案和方法,培训对象:,面向安全管理人员、安全技术人员、系统维护人员、共,3,类人员,培训时间,:,1,小时左右,培训侧重点:,本教材侧重点为安全技术人员和系统维护人员,目 录,理解安全加固,Windows,安全加固,UNIX/Linux,安全加固,一、安全加固的概念,风险、脆弱性,如何定义 “安全”?,硬件,+,软件,=,预期的结果,硬件,+,软件 预期的结果,如何定义更全面的“安全”?,人,+,硬件,+,软件,=,预期的结果,人,+,硬件,+,软件,预期的结果,二、安全加固的目标,目标,我们的目标是降低风险,三、安全加固对象,对象,所有可能产生脆弱性的东西,四、安全加固的原则,加固原则,风险最大化,不要忽视扫描报告和检查结果中的任何一个细节,将任何潜在隐患以最大化的方式展现,威胁最小化,威胁难以被彻底消除,因为它是动态的,我们只能将其降低至可接受的程度,五、安全加固的流程,一般流程,确认加固的要求(安全基线),安全检查(手工检查或者基线设备检查),加固前的交流(和业务负责人交流),加固实施过程(重要系统需要先在备机上测试),加固完成及成果输出(方便发生问题时回退),目 录,理解安全加固,Windows,安全加固,UNIX/Linux,安全加固,Windows,通用安全加固方案,补丁及防护软件,系统服务,安全策略,日志与审核策略,用户与文件系统,安全增强,补丁,检查系统补丁安装情况,命令行执行,systeminfo,查看系统已经安装的补丁列表,补丁更新,手动安装:使用,IE,访问,按提示安装必要的,activeX,控件后,按提示安装补丁,开始,控制面板,自动更新,在自动更新面板中选中自动(建议),(U),,然后根据个人需求设置升级时间,防护软件,安装杀毒软件并保持病毒库更新,防火墙,对于防火墙软件,建议屏蔽以下端口:,TCP 135,TCP 139,TCP 445,Windows,通用安全加固方案,补丁及防护软件,系统服务,安全策略,日志与审核策略,用户与文件系统,安全增强,系统服务,查看系统服务,执行,services.msc,检查启动类型为自动的服务,关闭非必需的服务,建议关闭一下服务:,Task Scheduler/Remote Registry /SNMP Service/,Print Spooler /Telnet /Computer Browser/Messenger/,Alerter/ DHCP Client,关闭方法:双击需要关闭的服务,将启动类型设置为禁用,点击停止按钮以停止当前正在运行的服务,SNMP,服务,修改,SNMP,的字符串,为什么要修改,SNMP,的字符串?它会泄露什么?,通过,SNMP,服务,远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息,禁用或修改,SNMP,配置可以有效防止远程恶意用户的这类行为。,攻击工具,:,snmputil walk 1.1.1.10 public .1.3.6. .,服务与进程,SNMP Service,服务加固方法:,为修改,SNMP,团体名,限制远程主机对,SNMP,的访问,关闭自动播放功能,关闭所有驱动器的自动播放功能,点击开始运行输入,gpedit.msc,,打开组策略编辑器,,浏览到计算机配置管理模板系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。,Windows,通用安全加固方案,补丁及防护软件,系统服务,安全策略,日志与审核策略,用户与文件系统,安全增强,密码策略,密码策略,长度,7 Windows 2000 127,14 Windows 9X 0,期限,定期修改密码,复杂性,Pyth0n&!,大小写,数字,特殊字符,密码策略,加固要点,密码策略,:,开始 运行 ,gpedit.msc,计算机配置 ,Windows,设置 安全设置 帐户策略 帐户锁定策略,-,密码策略”:,帐户锁定策略,用户权利指派,检查用户权限策略是否设置:,开始 运行 ,gpedit.msc,计算机配置 ,Windows,设置 安全设置 本地策略 用户权利指派,本地安全策略配置,检查本地安全策略配置:,开始 运行 ,gpedit.msc,计算机配置 ,Windows,设置 安全设置 本地策略 安全选项,Windows,通用安全加固方案,补丁及防护软件,系统服务,安全策略,日志与审核策略,用户与文件系统,安全增强,日志和审核策略,审核,了解,Windows,审核策略,审核策略并不完整,很多审核内容默认未开启,只有,在,NTFS,磁盘上才能开启对象访问审核,日志量较大,步骤,打开审核策略,编辑审核对象的审核项,日志和审核策略,审核,打开审核策略,要做什么审核?要审核什么?,位置:,gpedit.msc,计算机配置,Windows,设置,安全设置,审核设置,1,2,日志和审核策略,审核,查看审核日志,eventvwr,(事件查看器),Windows,通用安全加固方案,补丁及防护软件,系统服务,安全策略,日志与审核策略,用户与文件系统,安全增强,文件系统,Windows,文件系统,FAT,FAT 16,FAT 32,NTFS,将,FAT,卷转换成,NTFS,convert C: /FS:NTFS,用户,用户和组,特殊的组,Administrators,、,Guests,、,Power Users,可通过,net localgroup,命令打印,特殊的用户,Administrator,、,Guest,可通过,net user,命令打印,隐藏帐号,net user hide$ password /add,用户,加固要点,检查用户,克隆,隐藏,清除用户,未使用的,未知的,锁定用户,Guest,SUPPORT_XXXXX,设置重要文件权限,权限,前提(关键字),NTFS,Administrators,设置重要文件权限,权限,ACL,(访问控制列表),包含了用户帐户和访问对象之间许可关系,由四个权限项组成的权限项集(即,,ACL,),设置重要文件权限,权限,ACE,(访问控制项),ACL,中包含,ACE,访问控制条目,设置重要文件权限,加密和压缩,设置重要文件权限,审核,编辑审核对象的审核项,1,2,3,设置重要文件权限,加固要点,目录及文件的权限,查找具有,everyone,的权限项,重要对象的审核策略,echo off,dir/s/b all.txt,for /f %i in (all.txt) do cacls %i | find Everyone,Windows,通用安全加固方案,补丁及防护软件,系统服务,安全策略,日志与审核策略,用户与文件系统,安全增强,安全增强,删除匿名用户空连接,注册表如下键值:,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa,将,restrictanonymous,的值设置为,1,,若该值不存在,可以自己创建,类型为,REG_DWORD,,修改完成后重新启动系统生效,删除默认共享,注册表如下键值:,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,将,Autoshareserver,设置为,0,,若不存在,可创建,类型为,REG_DWORD,修改完成后重新启动系统生效,目 录,理解安全加固,Windows,安全加固,UNIX/Linux,安全加固,UNIX/Linux,通用安全加固方案,帐号,文件权限,服务,日志审计,系统状态,帐号安全,帐号,/etc/login.defs,,检查,PASS_MAX_DAYS/PASS_MIN_LEN/,PASS_MIN_DAYS/PASS_WARN_AGE,检查是否存在除,root,外,UID = 0,的用户,检查是否存在弱口令,锁定不使用的帐户,(passwd l username),检查,root,用户环境变量,设置,帐号超时注销,(,vi,/etc/profile,增加,TMOUT=600),帐号安全,限制,root,远程登录,/etc/ssh/sshd_config :,PermitRootLogin no,/etc/securetty,文件中配置:,CONSOLE = /dev/tty01,UNIX/Linux,通用安全加固方案,帐号,文件权限,服务,日志审计,系统状态,umask,检查是否包含,umask,值,more /etc/profile,more /etc/csh.login,more /etc/csh.cshrc,more /etc/bashrc,umask,umask,rootRHEL5 home# umask,0022,rootRHEL5 home# touch file1,rootRHEL5 home# ls -l file1,-rw-r-r- 1 root root 0 Jul 26 07:17 file1,(644),rootRHEL5 home# umask 0066,rootRHEL5 home# touch file2,rootRHEL5 home# ls -l file2,-rw- 1 root root 0 Jul 26 07:18 file2,(600),rootRHEL5 home# umask 0,rootRHEL5 home# umask,0000,rootRHEL5 home# touch file3,rootRHEL5 home# ls -l file3,-rw-rw-rw- 1 root root 0 Jul 26 07:25 file3,(666),文件权限,文件权限,ls,l,rootRHEL5 home# ls -l,total 44,drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue,-rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz,chmod,chmod u+x file,chmod 744 file,4000SUID,2000SGID,1000,粘住位,0400,所有者可读,0200,所有者可写,0100,所有者可执行,0040,所在组可读,0020,所在组可写,0010,所在组可执行,0004,其他用户可读,0002,其他用户可写,0001,其他用户可执行,_,0744,结果,文件权限,检查重要目录和文件的权限设置,ls l /etc/rc.d/init.d/,chmod -R 750 /etc/rc.d/init.d/*,查找系统中所有的,SUID,和,SGID,程序,UNIX/Linux,通用安全加固方案,帐号,文件权限,服务,日志审计,系统状态,系统服务,守护进程与服务的区别,守护进程,进程的一种特殊状态,不绑定至任何,Terminal,父进程是,init,服务,相对守护进程,,“,服务,”,的概念更为抽象,为用户提供一种功能的应用,可能包含一个或多个守护进程,例,服务名:,SSH Server,进程名:,sshd,系统服务,inetd,一些轻量级的服务,由,inetd,集中处理,已不能满足现状,# inetd.conf,echo stream tcp6 nowait root internal,echo dgram udp6 wait root internal,daytime stream tcp6 nowait root internal,daytime dgram udp6 wait root internal,系统服务,加固要点,服务 进程 端口,ipfw,TCPWrapper,libwrap ; configure -with-libwrap=libwrap_path,hosts.allow ; hosts.deny,停止不必要的,inetd,服务,停止不必要的服务,/etc/rc3.d/S88xxx stop,mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx,Snmp配置,Snmp,安全配置,如果打开了,SNMP,协议,,snmp,团体字设置不能使用默认的团体字,。,查看配置文件,/etc/snmp/snmpd.conf,,,应禁止使用,public,、,private,默认团体字,使用用户自定义的团体字,。,例如将以下设置中的,public,替换为用户自定义的团体字:,com2sec notConfigUser default public,如无必要,管理员应禁止使用,snmp,服务,Openssh配置,检查系统,openssh,安全配置,禁止使用协议,1,和使用,root,直接登录,编辑,sshd_config,文件,设置:,Protocol 2,StrictModes yes,PermitRootLogin no,PrintLastLog yes,PermitEmptyPasswords no,UNIX/Linux,通用安全加固方案,帐号,文件权限,服务,日志审计,系统状态,启用,syslog,记录所有日志,配置文件:,/etc/syslog.conf,#vi /etc/syslog.conf,authpriv.* /var/log/secure,UNIX/Linux,通用安全加固方案,帐号,文件权限,服务,日志审计,系统状态,系统状态,内核版本,执行命令,uname -a,发行版,cat /proc/version,系统,core dump,状态,执行:,more /etc/security/limits.conf,磁盘分区剩余空间,# df k,Grub,密码,cat /etc/grub.conf|grep password,谢 谢!,
展开阅读全文