L i n u系统主机安全加
固
SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固
V1.0
hk有限公司
二零一五年二月
一、修改密码策略
1、cp/etc/login.defs/etc/
2、vi/etc/login.defs
PASS_MAX_DAYS90(用户的密码不过期最多的天数)
PASS_MIN_DAYS0(密码修改之间最小的天数)
PASS_MIN_LEN8(密码最小长度)
PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码)
按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。
二、查看系统是否已设定了正确UMASK值(022)
1、用命令umask查看umask值是否是022,
如果不是用下面命令进行修改:
/etc/profile/etc/profile.bak
vi/etc/profile
找到umask022,修改这个数值即可。
三、锁定系统中不必要的系统用户和组
1、cp/etc/passwd/etc/passwd.bak
cp/etc/shadow/etc/shadow.bak
锁定下列用户
2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod-
L$idone
3、检查是否锁定成功
more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。
4、禁用无关的组:
备份:
cp/etc/group/etc/group.bak
5、编辑:vi/etc/group
在组前面加#进行注释参考下面
#lp:x:7:daemon,lp
#uucp:x:14:uucp
#games:x:20:
#ftp:x:50:
#rpc:x:32:
#rpcuser:x:29:
#nfsnobody:x:65534:
#mailnull:x:47:
#gdm:x:42:
6、禁止root用户远程登录
cp/etc/ssh/sshd_config/etc/ssh/sshd_config.bak
vi/etc/ssh/sshd_config文件,将其中的PermitRootLogin改成no,然后重新启动ssh服务/etc/init.d/sshdrestart
四、linux中预防SYNflood
1、备份cp/etc/sysctl.conf/etc/
2、编辑vi/etc/sysctl.conf
3、添加=1
4、保存退出
5、/sbin/sysctl-p命令使变更生效
五、ARP捆绑IP
1、确认网关IP和mac地址是正确的
2.查看arp-a
3.echo'2b8:88:e3:fa:b9:8f'>/etc/ethers
4.捆绑arp-f
5、对比例子:(请参考系统运行的实
际情况)捆绑前root@web1etc]#arp-a
(2)atb8:88:e3:fa:b9:8f[ether]onem1
捆绑后
(2)atb8:88:e3:fa:b9:8f[ether]PERM onem1
6、设置开机捆绑MAC
备份开机自启动服务文件cp/etc/rc.d/rc.local/etc/rc.d/
编辑vi/etc/rc.d/rc.local添加arp–f
六、停止无用服务
注意:需要根据系统的实际情况和询问管理员哪些服务跟业务无关方可停用。foriinautofschargenchargen-udpgpmip6tablesisdnkudzuxinetdnfsnfslockpcmciarhnsd
do
chkconfig--
level2345$ioffservice$istop
done
启动审计服务
foriinauditdo
chkconfig--
level2345$ionservice$istart
done
七、系统禁用X-Window系统
1、编辑:
cp/etc/inittab/etc/inittab.bakvi
/etc/inittab
id:5:initdefault:将数值5改为3即可。
八、残留信息保护(使.bash_history值保存30个命令,用户退出是自动删除.bash_history文件)
1、备份:cp/etc/profile/etc/profile.bak
2、编辑vi/etc/profile
HISTFILESIZE=30(如果没有请自行添加)修改保存值为30
HISTSIZE=30修改保存值为30
3、退出后自动删除个用户的“.bash_history”文件
备份:cp/etc/skel/.bash_logout/etc/skel/.bash_logout.bak编
辑:vi/etc/skel/.bash_logout
在后面添加rm-f$HOME/.bash_history
more/etc/sysctl.conf
九、查看/tmp和/var/tmp目录具有粘滞位
1、查看,例如:ls-
al/|greptmpdrwxrwxrwt7root
2、修改:
c hmod+t/tmpchmod+
t/var/tmp
十、加固TCP/IP协议栈
1、系统当前状
态
more/etc/sysct
l.conf
检查/etc/sysctl.conf是否存在以下
内容:=4096=1=0=0=0=1=0=0=0
2、Vi/etc/sysctl.conf文件添加或修改
下列值。=4096=1=0=0=0=1=0=0=0
chownroot:root/etc/sysctl.confch
mod0600/etc/sysctl.confsysctl–
p/etc/sysctl.conf
注意:修改前请备份/etc/sysctl.conf文件,如果对上面参数不清楚的请找相关资料了解。这些参数应依据实际业务的需要来微调,具体请咨询厂商与业务开发商。
十一、系统重要文件访问权限是否为644或600一般检查/etc/passwd、/etc/shadow文
件默认配置如下(可参照此):
#ls-al/etc/passwd/etc/shadow
修改方法:
chmod644/etc/shadowChmod600/e
tc/passwd
十二、系统是否启用安全审计
用命令查看chkconfig--list|grepauditd
例如:
[root@linux~]#chkconfig--
list|grepauditd
auditd 0:o
ff
1:o
ff
2:o
n
3:o
ff
4:o
n
5:
of
f
6
:
o
f
f
root@linux~]#serviceauditdstatus auditdisstop
ped
[root@linux~]#serviceauditdresta rt
Startingaudi
td:[OK]
[root@linux~]#serviceauditdstatu s
auditd(pid32217)isrunning
...
chkconfig--
list|grepauditd
auditd 0:o
ff
1:o
ff
2:o
n
3:o
n
4:o
n
5:
on
6:o
ff
十三、安全审计
启用计策略,一般对系统的登陆、退出、创建/删除目录、修改密码、添加组、计划任务,添加完策略后需重启这个服务:serviceauditdrestart
范例:
more/etc/audit/audit.rules
#Enableauditing-
e1
##loginconfigurationandinformation
-w/etc/login.defs-pwa-kCFG_login.defs-
w/etc/securetty-pwa-kCFG_securetty-
w/var/log/faillog-pwa-kLOG_faillog-
w/var/log/lastlog-pwa-kLOG_lastlog-
w/var/log/tallylog-pwa-kLOG_tallylog
##directoryoperations
#-aentry,always-Smkdir-Smkdirat-Srmdir
##cronconfiguration&scheduledjobs
w/etc/cron.deny-pwa-kCFG_cron.deny-w/etc/cron.d/-pwa-kCFG_cron.d
w/etc/cron.hourly/-pwa-kCFG_cron.hourly
-w/etc/cron.monthly/-pwa-kCFG_cron.monthly-
w/etc/cron.weekly/-pwa-kCFG_cron.weekly-
w/etc/crontab-pwa-kCFG_crontab
-w/var/spool/cron/root-kCFG_crontab_root
##user,group,passworddatabases-
w/etc/group-pwa-kCFG_group-
w/etc/passwd-pwa-kCFG_passwd-
w/etc/gshadow-kCFG_gshadow
-w/etc/shadow-kCFG_shadow
-w/etc/security/opasswd-kCFG_opasswd
#-----FileSystemauditrules-----
#Addawatchon"passwd"withthearbitraryfilterkey"fk_passwd"that
#generatesrecordsfor"reads,writes,executes,andappends"on"passwd"-
w/etc/passwd-kfk_passwd-prwxa
#Addawatch"shadow"withaNULLfilterkeythathaspermissions
#filteringturnedoff
-w/etc/shadow
警告:如果在运行守护进程时添加规则/etc/audit/audit.rules,则一定要以根用户身份用
serviceauditdrestart命令启用修改。
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)
文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
1 端口设置 1.1 避免使用默认的监听端口 配置项 名称 避免使用默认的监听端口 检查方法 1检查$ORACLE_HOME/network/admin/listener.ora中是否有port=1521一项。 操作步骤 1 备份$ORACLE_HOME/network/admin/目录下的tnsnames.ora, listener.ora 文件 2 备份$ORACLE_HOME/dbs目录下的spfileSid.ora和initSid.ora 3执行$ lsnrctl stop 关闭Listener 4用vi修改listener.ora中的端口号1521为其他端口 5用SQL>startup immediate 关闭数据库 6 修改initSid.ora添加一项LOCAL_LISTENER=listener1 7 在tnsnames.ora中添加一项 listener1 = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = hostname)(PORT = 1522)) ) ) 8 SQL>create spfile from pfile 9 $ lsnrctl start 10 SQL>startup 启动数据库 回退操作 关闭Listener和数据库,恢复备份的文件到原来的目录,重启Listener和数据库。 风险 1.修改默认端口会影响到目前使用该数据库的应用,需要这些应用同步修改为新的端口 2.需要关闭重启数据库以及关闭重启Listener来完成端口的修改 2 用户与权限 2.1 设置LISTENER的启动关闭密码 配置项 名称 设置LISTENER的启动关闭密码 检查方法 检查$ORACLE_HOME/network/admin/listener.ora文件中是否有PASSWORDS_LISTENER一项,若有说明密码已设定。 操作步骤1 备份$ORACLE_HOME/network/admin/listener.ora文件2设置步骤 $ lsnrctl
服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成
“成功”、“失败”(默认为“无审核”)。 2)设置日志系统得安全加固,打开“控制面板-管理工具-事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共 享文件夹-共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置 桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)
《网络安全防护技术》课程标准一、课程基本信息 课程名称网络安全防护技术先修课计算机组网技术、网络操作系统、网络管理 学分 4 学时建议68学时 授课对象网络专业三年级学生后续课攻防对抗、网络安全检 测与评估 课程性质专业核心课 二、课程定位 计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程,《网络安全防护技术》则是其中承上启下,为这三个专业方向提供支撑,是计算机网络技术专业的核心课程。 《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习,帮助学生学会正确使用各娄安全技术:加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等,能实施包括防水墙、入侵检测等安全产品配置,更能根据不同应用网络环境规划安全方案及应急响应策略。从内容上看,它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术,也是网络安全工程师NCSE一、二级职业资格考试的重要内容,在整个课程体系中具有重要的作用。 学生学习了这门课程,既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程,又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解,提高学生的网络安全管理能力,培养更适应计算机网络相关岗位的合格从业人员。 三、课程设计(参照信息产业部NCSE一、二级证书的考试大纲) 1、课程目标设计 (1)能力目标 能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的安全应用型人才。能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法,并能规划不同应用网络环境中的安全方案及应急响应策略。 (2)知识目标 掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类防护技术原理有正确的认识。 (3)态度目标 遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动;正确认识攻击事件,有应急处理维护和恢复信息系统的意识。 (4)终极目标 培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
网络安全主机安全加固 网络安全主机安全加固 、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ?正确的安装; ?安装最新和全部OS和应用软件的安全补丁; ?操作系统和应用软件的安全配置; ?系统安全风险防范; ?提供系统使用和维护建议; ?系统功能测试; ?系统安全风险测试; ?系统完整性备份;
?必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,贝U可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2 )明确系统运行状况的内容包括: ?系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ?系统上运行的应用系统及其正常所必需的服务。 ?我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4 )系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二?加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ?系统安全需求分析 ?系统安全策略制订
为安装Windows server操作系统的服务器进行系统安全加固 操作系统基本安全加固 补丁安装 使用Windows update安装最新补丁 或者使用第三方软件安装补丁,如360安全卫士 系统帐户、密码策略 1.帐户密码策略修改 “本地计算机”策→计算机配置→windows设置→安全设置→密码策略 密码长度最小值7 字符 密码最长存留期90 天 密码最短存留期30 天 密码必须符合复杂性要求启用 保障帐号以及口令的安全,但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录,需修改不符合帐号策略的密码(注:管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险) 2.帐户锁定策略 账户锁定时间30 分钟 账户锁定阈值5 次无效登录 复位账户锁定计数器30 分钟 有效的防止攻击者猜出您账户的密码 3.更改默认管理员用户名 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项 帐户: 重命名管理员帐户 默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名 4.系统默认账户安全 Guest 帐户必须禁用;如有特殊需要保留也一定要重命名 TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的,故帐户必须禁用,不会对于正常的Terminal Services的功能有影响 SUPPORT_388945a0 此帐户是为了IT帮助和支持服务,此帐户必须禁用 IUSR_{system} 必须只能是Guest组的成员,此帐户为IIS(Internet Information Server)服务建立 IWAM_{system} 必须只能是Guest组的成员,此帐户为IIS(Internet Information Server)服务建立 日志审核策略 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略 审核策略更改成功 审核登录事件无审核 审核对象访问成功, 失败 审核过程追踪无审核 审核目录服务访问无审核
数据库安全加固系统 内部资料 1、该系统是什么? 数据库安全加固系统,对存储在数据库中的(机密、关键)数据提供细粒度的安全防护,能够对数据库中的条目有选择的安全处理。 该系统采取积木模型对数据库项目进行安全处理,终端用户根据其请求,仅能对数据库中具体条目操作,而不能获知其他条目的任何信息。 该系统部署简单,仅需调用该系统提供的数据接口即可完成系统部署;同时,对部署该系统之后,终端用户在操作上没有任何不同。该系统的部署,不但能够有效地防止恶意访问企业网的攻击者获取存储在数据库的企业核心数据,而且还能够有效地防止企业内部管理人员的误操作或者不当管理所造成的信息泄露!2、为什么需要该系统? 信息化的快速发展,使得企业诸多数据都存储在数据库系统之中。然而,某些具有恶意目的的攻击者或者企业内部人员,获取对存储企业核心数据的管理权限之后,散播或者恶意使用这些数据,对企业的核心竞争力以及信誉造成了严重的影响!甚至影响企业的生存与发展!近期比较严重的数据库数据泄露事件主要有: 1、国内知名IT社区CSDN论坛约6,428,632个用户信息包含帐号、明文密 码、电子邮件遭受入侵被泄露; 2、国内某知名连锁酒店开房记录遭受恶意攻击者泄露,泄露信息包括用户姓 名,家庭住址,身份证号码,手机号码等隐私信息; 3、小米800万注册用户信息被泄露,泄露信息包括用户的用户名、密码、注 册IP、邮箱等多种信息; 4、Gmail用户大量信息被泄露; 5、中国网易公司自主研发病运营的“梦幻西游”游戏,约1.4G(木马盗取) 信息被泄露,泄露信息包括帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP等; 。。。。。。。。。。
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
【原创】Windows 2008 R2服务器的安全加固 最近托管了一台2U服务器到机房,安装的是Windows 2008系统,打算 用IIS做web server,因此需要把没用的端口、服务关闭,减小风险。 我发现现在网络上有价值的东西实在是太少了,很多人都是转载来转载 去,学而不思,没有一点营养。还是自己总结总结吧,大概有以下几 步: 1. 如何关掉IPv6? 这一点国内国外网站上基本上都有了共识,都是按照下面两步来进行。 据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口 还是同时监听ipv4和ipv6的端口,尤其是135端口,已经把ipv4关闭了, ipv6竟然还开着。匪夷所思啊…… 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位 的8个f) 重启服务器即可关闭ipv6 2. 如何关闭135端口? 这个破端口是RPC服务的端口,以前出过很多问题,现在貌似没啥漏洞 了,不过还是心有余悸啊,想关的这样关: 开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属 性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的 TCP/IP” 但是感觉做了以上的操作还能看到135在Listen状态,还可以试试这 样。 在cmd中执行:netsh rpc add 127.0.0.0,这样135端口只监听 127.0.0.1了。 3. 如何关闭445端口? 445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
数据库信息系统必备 数据库安全管理加密系统
《数据库安全管理加密系统》以软硬件结合方式彻底解决数据泄密问题,即使数据库非法侵入或拷贝,得到的也是一堆无法可解的乱码,而目前银行、电信部门客户数据外泄案频发,公安部门对保密要求更高,数据库裸放在服务器中,随时有泄密危险。 目录 1.产品背景 (3) 2.产品简介 (5) 3.产品架构 (6) 3.1 DBLOCK安全平台 (6) 3.2 服务器端代理(Server Agent) (7) 3.3 WEB管理控制台(Console) (8) 3.4 安全策略和安全审计中心 (9) 4.产品功能及特点 (10) 4.1 数据库数据透明加密 (10) 4.2 数据库透明访问,不需对应用作任何修改 (10) 4.3 数据传输加密 (11) 4.4 透明安全代理 (11) 4.5 三权分立管理 (13) 4.6 完善的系统审计功能 (14) 4.7 支持多数据库系统 (14) 4.8 DBLOCK系统特点 (14)
数据库安全管理加密系统 最近几年,个人信息大规模泄露、造成巨大损失的事件时有发生: 1、招商银行、工商银行员工兜售客户信息,造成损失达3000多万元。 2、京东商城客户账号泄密案件。 3、CSDN几百万用户注册信息库被黑客盗取。 4、天涯社区论坛4000万用户数据泄露。 5、taobao泄密事件. 6、开心网账号泄密事件 1.产品背景 随着计算机技术的飞速发展,各类信息系统的应用已深入到各个领域。但随之而来应用系统和数据库的安全问题尤为凸显。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。 在涉密单位或者大型企事业单位中,广泛的实施了安全防护措施,包括机房安全、物理隔离、防火墙、入侵检测、加密传输等等。但就应用系统本身和数据库的安全问题却一直得不到应有的重视。同时,之前的市场上也缺乏有效的应用系统和数据库安全的统一解决方案。这就致使数据库及其应用系统在安全方面普遍存在一些安全隐患。其中比较严峻的几个方面表现在: (1)应用系统身份验证强度问题。 目前许多应用系统本身缺乏有效的强身份认证安全机制,应用服务提供者如何验证用户的有效身份,用户如何验证服务提供者的身份,如何保证在网络上传输的数据不被篡改。 (2)数据库安全问题。 由于国内只能购买到C2安全级别的数据库安全系统,该类系统采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
Oracle数据库系统加固规范1 账号管理、认证授权 (1) 1.1 账号............................................................... 1.… 1.1.1 SHG-Oracle-01-01-01 ............................................... 1.… 1.1.2 SHG-Oracle-01-01-02 ............................................................................ 2… 1.1.3 SHG-Oracle-01-01-03 ............................................................................ 3… 1.1.4 SHG-Oracle-01-01-04 ............................................................................ 4.… 1.1.5 SHG-Oracle-01-01-05 ............................................................................ 5.…
1.1.6 SHG-Oracle-01-01-06 7.... 1.1.7 SHG-Oracle-01-01-07 8.... 1.1.8 SHG-Oracle-01-01-08 .......................................................................... .10.. 1.2 口令........................................................... .1.1.... 1.2.1 SHG-Oracle-01-02-01 1.1.. 1.2.2 SHG-Oracle-01-02-02 12.. 1.2.3 SHG-Oracle-01-02-03 14.. 1.2.4 SHG-Oracle-01-02-04 .......................................................................... .15.. 1.2.5 SHG-Oracle-01-02-05 .......................................................................... .16.. 2 日志配置 (18) 2.1.1 SHG-Oracle-02-01-01 18.. 2.1.2 SHG-Oracle-02-01-02 2.1.. 2.1.3 SHG-Oracle-02-01-03 22.. 2.1.4 SHG-Oracle-02-01-04 .......................................................................... 24.. 3 通信协议 (25) 3.1.1 SHG-Oracle-03-01-01............................................. 25.. 3.1.2 SHG-Oracle-03-01-02 .......................................................................... 26.. 4 设备其他安全要求 (28) 4.1.1 SHG-Oracle-04-01-01 28..
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
不一样的安全思路 服务器加固就是为操作系统安全引入“第三方”机制,对黑客常用的入侵通道增加监控手段,黑客一般针对操作系统的漏洞,绕过操作系统自身的安全机制,但黑客们并不知晓该服务器上的“第三方”机制,入侵就不那么容易得手了。 举个例子:缓冲区溢出是常见的提权攻击手段,成功后通常立即建立后门,为自己提供以后的便利,此时常见的动作有:打开远程控制窗口,提升自己为管理员,上传木马替代系统驱动文件。因为溢出后使用的是管理员的权限,绕过了操作系统的权限管理机制,所以黑客可以随意操作你的服务器;但此时第三方的加固可以阻止这些“非正常”的操作,即使你是管理员的权限。若入侵者不能完成上述动作,溢出攻击成功,但也不能进行后续的攻击手段,也只能为系统带来一次进程的异常退出罢了。 “第三方”机制还可以通过发现这些异常的退出,推断系统内的漏位置,从而确定这些漏洞已经被入侵者关注,可以被直接利用,产生不良后果。 安全加固的几种思路 服务器的安全加固(也称为服务器防入侵加固)思路是在对抗黑客入侵的过程中逐步建立起来的,到目前为止,应该说经历了三个发展阶段:配置加固阶段、合规性加固阶段、反控制加固阶段。 1.配置加固阶段 所谓配置加固就是对操作系统的安全配置进行安全加固升级,提升服务器的安全保护等级。常见的做法有下面几个方面: (1)限制连续密码错误的登录次数,是对抗密码暴力破解的重要手段; (2)拆分系统管理员的权限,取消超级管理员,从而限制入侵者获取管理员账户时的权限;(3)删除不需要的各种账户,避免被攻击者利用; (4)关闭不需要的服务端口,一是减少攻击者的入侵点,二是避免被入侵者当作后门利用;(5)限制远程登录者的权限,尤其是系统管理权限。 配置加固主要是静态安全策略的提升,入侵者入侵后可以再打开或修改这些配置。这种加固方式一般是人工的定期检查与加固,留给入侵者的“窗口”比较大,或者入侵者完成自己的潜伏后,还可以恢复你的配置,把管理者蒙在鼓里。 主机ids可以动态监控上面的安全配置,发现异常进行报警,也可以主动检查“用户”的行为,发现异常及时报警,还可以根据自己的攻击特征库,发现恶意代码进入立即报警…这在一定程度上为入侵者带来了麻烦。 但是主机ids的误报率很高,让管理者不胜其烦,虱子多了不痒,报警多了不理,目前用户选择的越来越少了。另外,很多正常的操作,也产生大量的入侵报警,就像我们安装了防病毒软件,进行其他安装软件时,提示多得让人不知道该怎么做。 2.合规性加固阶段 做信息安全的人都熟悉一个词汇:强制性访问控制。也就是在用户访问数据时,不仅查看访问者的身份,确认他的访问权限,同时还要查看被访问的数据的安全等级,是否与访问者的安全等级相匹配,若不符合安全策略规定,同样拒绝访问。举一个例子:每个用户都可以修改自己账户的密码,所以他应该可以读写系统存储用户口令的文件,但是系统中这个文件里还有其他用户的密码,所以你只能读取这个文件的一个记录而已,而不是文件的全部。此时就需要对查看密码文件用户的安全等级进行比对,区别对待。 合规性加固不只是强制性访问控制,还有很多安全策略的贯彻,比如:三权分立。
MY SQL数据库安全加固■文档编号■密级 ■版本编号■日期
1.如果客户端和服务器端的连接需要跨越并通过不可信任的网络,那么就需要使用ssh隧道来加密该连接的通信。 2.用set password语句来修改用户的密码,三个步骤,先“mysql -u root”登陆数据库系统,然后“mysql> update https://www.doczj.com/doc/196749330.html,er set password=password('newpwd')”,最后执行“flush privileges”就可以了。 3.需要提防的攻击有,防偷听、篡改、回放、拒绝服务等,不涉及可用性和容错方面。对所有的连接、查询、其他操作使用基于acl即访问控制列表的安全措施来完成。也有一些对ssl连接的支持。 4.除了root用户外的其他任何用户不允许访问mysql主数据库中的user 表。加密后存放在user表中的加密后的用户密码一旦泄露,其他人可以随意用该用户名/密码相应的数据库。 5.用grant和revoke语句来进行用户访问控制的工作。 6.不使用明文密码,而是使用md5()和sha1()等单向的哈系函数来设置密码。 7.不选用字典中的字来做密码。 8.采用防火墙来去掉50%的外部危险,让数据库系统躲在防火墙后面工作,或放置在dmz区域中。 9.从因特网上用nmap来扫描3306端口,也可用telnet server_host 3306的方法测试,不能允许从非信任网络中访问数据库服务器的3306号tcp端口,因此需要在防火墙或路由器上做设定。 10.为了防止被恶意传入非法参数,例如where id=234,别人却输入where id=234 or 1=1导致全部显示,所以在web的表单中使用''或""来用字符串,在动态url中加入%22代表双引号、%23代表井号、%27代表单引号;传递未检查过的值给mysql数据库是非常危险的。
目 录 1.安装最新安全补丁 地址: RedHat Linux: Caldera OpenLinux: Conectiva Linux: Debian GNU/Linux: Mandrake Linux: LinuxPPC: Yellow Dog Linux : 2.网络和系统服务 先把所有通过ineted/xineted 运行的网络服务关闭,再打开确实需要的服务 服务都可以被禁止,比如echo, exec, login, shell,who,finger 等.对于telnet, r 系列服务, ftp 等, 强烈建议使用SSH 来代替. 2 设置xinetd 访问控制 在 /etc/xinetd.conf 文件的”default {}”块中加入如下行: only_from=
3 关闭NIS客户端进程: chkconfig ypbind off NIS系统在设计时就存在安全隐患 4 关闭NIS服务器进程: 运行 chkconfig ypserv off chkconfig yppasswd off 5 关闭其它基于RPC的服务: 运行 chkconfig portmap off 基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁 chkconfig netfs off 8 关闭打印机守护进程 chkconfig lpd off 如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录. 9 关闭启动时运行的 X Server sed 's/id:5:initdefault:/id:3:initdefault:/' \ < /etc/inittab > /etc/inittab.new mv /etc/inittab.new /etc/inittab chown root:root /etc/inittab chmod 0600 /etc/inittab 对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器 10 关闭Mail Server chkconfig postfix off 多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务 11 关闭Web Server chkconfig httpd off 可能的话,禁止该服务. 12 关闭SNMP chkconfig snmpd off 如果必需运行SNMP的话,应该更改缺省的community string 13 关闭DNS Server chkconfig named off 可能的话,禁止该服务 14 关闭 Database Server chkconfig postgresql off Linux下常见的数据库服务器有Mysql, Postgre, Oracle等, 没有必要的话,应该禁止这些服务 15 关闭路由守护进程 chkconfig routed off chkconfig gated off 组织里仅有极少数的机器才需要作为路由器来运行.大多数机器都使用简单的”静态路由”, 并且它不需要运行特殊的守护进程 16 关闭Webmin远程管理工具 chkconfig webmin off Webmin是一个远程管理工具,它有糟糕的认证和会话管理历史, 所以应该谨慎使用 17 关闭Squid Web Cache chkconfig squid off 如果必需使用, 应该谨慎配置 18 可能的话禁止inetd/xinetd chkconfig inetd off 或如果没有网络服务通过inetd/xinetd运行则可以禁止它们