Longjilongjilongjilongjilongjilongji机恐惧感开
通过Linux系统伪装方法加固系统安全
网络上的计算机很容易被黑客利用工具或其它手段进行扫描,以寻找系统中的漏洞,然后再针对漏洞进行攻击。
通过伪装Linux系统,给黑客设置系统假象,可以加大黑客对系统的分析难度,引诱他们步入歧途,从而进一步提高计算机系统的安全性。下面以Red Hat Linux为例,针对几种黑客常用的途径介绍一些常用的Linux系统伪装的方法。
针对HTTP服务
通过分析Web服务器的类型,大致可以推测出操作系统的类型,比如,Windows使用IIS来提供HTTP服务,而Linux中最常见的是Apache。
默认的Apache配置里没有任何信息保护机制,并且允许目录浏览。通过目录浏览,通常可以获得类似“Apache/1.3.27 Server at https://www.doczj.com/doc/ab1244996.html, Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”的信息。
通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以实现替换里面的提示内容。
以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define
AP_SERVER_BASEPRODUCT \"Apache\"”为“#define AP_SERVER_BASEPRODUCT \"Microsoft-IIS/5.0\"”。编辑os/unix/os.h文件,修改“#defi ne PLATFORM \"Unix\"”为“#define PLATFORM \"Win32\"”。修改完毕后,重新编译、安装Apache。
Apache安装完成后,修改httpd.conf配置文件,将“ServerTokens Full”改为“ServerTokens Prod”;将“ServerSignature On”改为“ServerSignature Off”,然后存盘退出。重新启动Apache后,用工具进行扫描,发现提示信息中已经显示操作系统为Windows。
针对FTP服务
通过FTP服务,也可以推测操作系统的类型,比如,Windows下的FTP服务多是Serv-U,而Linux下常用vsftpd、proftpd和pureftpd等软件。
以proftpd为例,修改配置文件proftpd.conf,添加如下内容:
ServerIdent on \"Serv-U FTP Server v5.0 for WinSock ready...\"
存盘退出后,重新启动proftpd服务,登录到修改了提示信息的FTP服务器进行测试:
C:\\>ftp 192.168.0.1
Connected to 192.168.0.1.
220 Serv-U FTP Server v5.0 for WinSock ready...
User (192.168.0.1:(none)):
331 Password required for (none).
Password:
530 Login incorrect.
Login failed.
ftp > quit
221 Goodbye.
这样从表面上看,服务器就是一个运行着Serv-U的Windows了。
针对TTL返回值
可以用ping命令去探测一个主机,根据TTL基数可以推测操作系统的类型。对于一个没有经过任何网关和路由的网络,直接ping对方系统得到的TTL值,被叫做“TTL基数”。网络中,数据包每经过一个路由器,TTL就会减1,当TTL为0时,这个数据包就会被丢弃。
通常情况下,Windows的TTL的基数是128,而早期的Red Hat Linux和Solaris的TTL基数是255,FreeBSD和新版本的Red Hat Linux的TTL基数是64。比如,ping一个Red Hat系统,显示如下:
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time <10ms TTL=64
Reply from 192.168.0.1: bytes=32 time <10ms TTL=64
Reply from 192.168.0.1: bytes=32 time <10ms TTL=64
Reply from 192.168.0.1: bytes=32 time <10ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
用以下命令修改Red Hat Linux的TTL基数为128(本来为64):
# echo 128 > /proc/sys/net/ipv4/ip_default_ttl
若想使设置永久生效,可以修改/etc/sysctl.conf配置文件,添加如下一行:
net.ipv4.ip_default_ttl = 128
保存退出后,再ping 192.168.0.1,TTL基数就变为128了。
针对3389端口和22端口
有时通过扫描3389端口和22端口,也可以推测操作系统的类型。Windows下一般利用TCP协议的3389端口进行远程控制,而Linux可能会用TCP协议的22端口,提供带有加密传输的SSH服务。
为了安全,可以利用iptables来限制22端口的SSH登录,让非授权的IP扫描不到TCP 22端口的存在:
#iptables -I INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP
利用iptables,将本机的TCP 3389端口转移到其它开有3389端口的计算机上,给Linux系统伪装出一个提供服务的TCP 3389端口。命令如下:
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to
xx.xx.xx.xx
#iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE
第一条命令表示允许数据包转发;第二条命令表示转发TCP 3389到
xx.xx.xx.xx;第三条命令表示使转发数据包实现“双向通路”,给数据包设置一个正确的返回通道。若想使转发永久生效,可以把以上命令添加到/etc/rc.local文件中。
这样,当黑客扫描服务器所开端口的时候,就找不到22号端口,而是看到一个伪装的3389端口,从而不能正确判断出操作系统的类型。
针对netcraft
netcraft是一个很厉害的扫描引擎,它通过简单的TCP 80,就可以知道所测服务器的操作系统、Web服务程序和服务器开机时间(Uptime)等信息。
上面介绍的几种方法对netcraft来说,均不奏效。针对netcraft,可利用iptables进行系统伪装,使netcraft错误判断操作系统:
#iptables -t nat -I PREROUTING -s 195.92.95.0/24 -p
tcp --dport 80 -j DNAT --to xx.xx.xx.xx
#iptables -t nat -I POSTROUTING -s 195.92.95.0/24 -p
tcp --dport 80 -j MASQUERADE
由于通过抓包发现,netcraft的服务器不止一台,所以需要对它所在网段进行转发欺骗处理。
小结
以上方法只能从某种角度上防止和阻挠黑客对系统漏洞的分析,在一定程度上可减少计算机被攻击的可能性,但仍然是“防君子,不防小人”,仅是给大家提供一个活学活用的新思路。
深入分析Linux 系统深度安全加固
Linux 的系统安全不容忽视.然而系统加固又不是一件很容易的事.本文作者简单介绍了一下 Linux 系统深度安全加固.
★ Linux 系统深度安全加固
author : ayazero drdos@https://www.doczj.com/doc/ab1244996.html,
Personal web -- https://www.doczj.com/doc/ab1244996.html,
Team's site -- https://www.doczj.com/doc/ab1244996.html,
注:以下内容可能不适用于某些场合,请对号入座
1. 安装和升级
尽量选用最新的 Linux 发行版本,安装前拔掉网线,断开物理连接,安装时建议用 custom 自定义方式安装软件包,数量以少为好,一般来说服务器没有必要安装 X-windows,在 lilo/grub 引导器中加入口令限制,防止能够物理接触的恶意用户因为 Linux 安装光盘的 rescue 模式可以跳过这个限制,所以还要给bios加上密码或服务器机箱上锁/var, /home, /usr, /root 等目录用独立的物理分区,防止垃圾数据和日志填满硬盘而导致 D.o.S 攻击.
root 账号给予强壮的口令.
安装完毕立即用 up2date 或 apt 升级系统软件,有时升级内核也是必要的,因为内核出现问题同样会给攻击者提供机会Apt 是 Debian GNU Linux 下的一个强大的包管理工具,也可用于其他版本的 Linux.
2. 账号
如果系统中的用户比较多,可以编辑 /etc/login.defs,更改密码策略
删除系统中不必要帐户和组,
[root@ayazero /]# userdel -r username
如果不开匿名 ftp 则可以把 ftp 账号也删了
最安全的方式是本地维护,可惜不太现实,但还是需要限制 root 的远程访问,管理员可以用普通账户远程登录,然后 su 到 root,我们可以把使用 su 的用户加到 wheel 组来提高安全性
在 /etc/pam.d/su 文件的头部加入下面两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
然后把可以执行 su 的用户放入 wheel 组
[root@ayazero /]# usermod -G10 admin
编辑 /etc/securetty,注释掉所有允许 root 远程登录的控制台,然后禁止使用所有的控制台程序,[root@ayazero /]# rm -f /etc/security/console.apps/servicename
登录采用加密的 ssh,如果管理员只从固定的终端登陆,还应限制合法 ssh 客户端的范围防止嗅探及中间人攻击
将命令历史纪录归为零,尽可能的隐藏你做过的事情
[root@ayazero /]# unset HISTFILESIZE
3. 服务
最少服务原则,凡是不需要的服务一律注释掉
在 /etc/inetd.conf 中不需要的服务前加 "#",较高版本中已经没有 inetd 而换成
了 Xinetd;取消开机自动运行服务,把 /etc/rc.d/rc3.d 下不需要运行的服务第一个字母大写改称小写,或者由 setup 命令启动的 GUI 界面中的 service 更改
如果你希望简单一点,可以使用 /etc/host.allow,/etc/host.deny 这两个文件,
但是本文计划用 iptables 防火墙,所以不在此详述.
4. 文件系统权限
找出系统中所有含 "s" 位的程序,把不必要得 "s" 位去掉,或者把根本不用的直
接删除
[root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} [root@ayazero /]# chmod a-s filename
防止用户滥用及提升权限的可能性
把重要文件加上不可改变属性
[root@ayazero /]# chattr +i /etc/passwd
[root@ayazero /]# chattr +i /etc/shadow
[root@ayazero /]# chattr +i /etc/gshadow
[root@ayazero /]# chattr +i /etc/group
[root@ayazero /]# chattr +i /etc/inetd.conf
[root@ayazero /]# chattr +i /etc/httpd.conf
...............................
具体视需要而定,我怀疑现在的入侵者都知道这个命令,有些 exploit 溢出后往inetd.conf 写一条语句绑定 shell 在一个端口监听,此时这条命令就起了作用,浅薄的入侵者会以为溢出不成功.
找出系统中没有属主的文件:
[root@ayazero /]# find / -nouser -o -nogroup
找出任何人都有写权限的文件和目录:
[root@ayazero /]# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {}
[root@ayazero /]# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {}
防止入侵者向其中写入木马语句(诸如一个shell的拷贝)或继承属主权限而非法访问
找出并加固那些历来被入侵者利用的文件,比如 .rhosts
编辑 /etc/security/limits.conf,加入或改变如下行:
* hard core 0
* hard rss 5000
* hard nproc 20
5. Banner 伪装
入侵者通常通过操作系统,服务及应用程序版本来攻击,漏洞列表和攻击程序也是按此来分类,所以我们有必要作点手脚来加大入侵的难度
更改 /etc/issue,因为 reboot 后重新加载,所以编辑 /ect/rc.d/rc.local
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/https://www.doczj.com/doc/ab1244996.html,
#echo >> /etc/issue
把以上行前的 "#" 去掉
Apache 不回显版本:
apache 的配置文件,找到 ServerTokens 和 ServerSignature 两个 directive,修改默认属性:
#ServerTokens Full
ServerTokens Prod <----------
#ServerSignature On
ServerSignature Off <----------
修改 uname
拿出 uname.c 的源码,找到如下行
print_element (PRINT_SYSNAME, name.sysname);//操作系统名如 linux
print_element (PRINT_NODENAME, name.nodename);//主机名
print_element (PRINT_RELEASE, name.release);//发行版本,如:2.4.20-18
print_element (PRINT_VERSION, name.version);//
print_element (PRINT_MACHINE, name.machine);//机器类型,如i686
print_element (PRINT_PROCESSOR, processor);//处理器类型
可以修改为
print_element (PRINT_SYSNAME,"HP-UX");
.......
编译后替换 /bin/uname
其他服务及程序的修改可以查看其配置文件或者源码不要改太多,否则会给系统管理带来大麻烦。
6. Iptales 防火墙规则
假设我们的服务器 server1 运行 apache,sshd (sshd 可以不运行在标准端口,配置文件中能修改)eth0 网卡接 Internet,eth1 连接 LAN,管理员在家中拨号登陆到 server2
(其私用网络 IP 为 192.168.0.12),再登陆 server1[roor@ayazero root]# iptables -A INPUT -i eth1 -s 192.168.0.12 -p tcp --dport 22 -j ACCEPT为防止 IP spoofing 的可能,还可以绑定 server2 的网卡地址:sh-2.05b# iptables -A INPUT -i eth1 -s 192.168.0.12 --mac-source 01:68:4B:91:CC:B7 -p tcp --dport 22 -j ACCEPT不过好像也很少有入侵者能够做到这种地步,而且没什么利用的价值
[root@ayazero root]# iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
[root@ayazero root]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@ayazero root]# iptables -A INPUT -j DROP
对攻击有所了解的人都知道“端口重定向+反向管道”的美妙结合来穿越防火墙的例子吧这种技巧已经运用太广,而危害很大为了对抗这种难以防御的攻击,我们必须以牺牲一定的易用性为代价 [root@ayazero root]# iptables -A OUTPUT -o eth0 -p tcp --syn -j DROP以上规则将阻止由内而外的 TCP 主动连接另外,用 tftp 或其他客户端反向攫取文件的攻击行为也很普遍,由于 tftp 以及其他一些工具依赖 UDP,所以现在要把它彻底抹煞掉[root@ayazero root]# iptables -A OUTPUT -o eth0 -p udp -j DROPPS: 在更新系统和调试网络时需要把这两条规则临时去掉因为入侵的本质就是通过文本或图形界面在标准或非标准端口得到目标操作系统的 shell,所以,这不仅能阻止反向管道本身,还能免疫很多入侵技巧不过对一般的系统管理员而言,这太苛刻了!
iptables 的一些攻击对策
Syn-flood protection:
[root@ayazero foo]# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Furtive port scanner:
[root@ayazero foo]# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping of death:
[root@ayazero foo]# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
此外,iptables 还能配置出让一些扫描行为比如 nmap 失效的规则,应当注意:防火墙不是万能的,当一个攻击者足够疯狂时,不要指望你的防火墙能抵挡得住 DDoS 的洪水。
关于 iptables 得更多细节,请参阅 Rusty Russell 的 Packet Filtering HOWTO
7. 完整性校验
tripwire 是一个比较有名的工具,它能帮你判断
关于加固
要让加固行动更为成功,您应该:
?在系统连接到网络之前进行加固,以避免攻击。
?基于最小权限原则(least-privilege model)进行配置:系统应该为特定的功能只赋予其所需要的权限。类似地,用户应该只拥有他们所需
要的最小限度的权限。
在完成初步计划并准备和执行了最小化安装后(见第 2 部分),您需要进行一些配置步骤。这些步骤通常被称作是加固 Linux。
?保护引导过程
?保护服务和后台进程
?保护本地文件
?强制实行配额和限制
?启用强制访问控制
?更新和添加安全补丁
?/etc/inittab
?/etc/init.d 中的引导脚本
?inetd/xinetd 后台进程
?TCP 封装器(wrappers)
?防火墙
/etc/inittab
在引导过程中,init 进程会去读取 /etc/inittab 文件中的条目。每一个条目——每一行——都定义了在特定的条件下运行哪个程序。这些程序或者本身是服务,或者是用于启动和停止服务。
init 进程能识别若干个称为运行级(run levels)(由一个字母标识)的状态。当输入了运行级或者发生特定的事件(比如电源故障)时,就会考察那些条目,并执行适当的命令。
/etc/inittab 中条目的格式是,前面是条目的标签,随后是在哪些运行级下此条目要执行,然后是动作关键字以及包括命令行参数的需要执行的命令。所有这些域都由冒号隔开,典型的条目应该类似这样:
my_service:35:once:/usr/local/bin/my_service someparameter
(在 inittab 手册中可以找到动作关键字的完全列表。)
在这个示例中,条目的标签是 my_service。当输入的运行级为 3 或 5 时,它将使用参数 someparameter 来运行程序 /usr/local/bin/my_service。一旦这个程序被终止,它将不会再重新启动(动作关键字“once”)。
为了保护 Linux 系统,您应该理解 /etc/inittab 中所有条目的功能,并禁用潜在不必要的服务,方法是删除那个条目,或者在那一行的开头使用井号注释掉它。
在所有 Linux 系统中,都会有以下两类条目。第一类用来启动名为
/sbin/getty (或者类似的)的程序,这些通常是用来允许通过 Linux 虚拟控制台或者串行线登录。第二类会运行 /etc/rc.d 目录中通常名为 rc 的脚本,并将当前运行级作为参数给出。这个脚本控制服务的启动和停止(接下来会介绍)。
/etc/init.d 中的引导脚本
/etc/init.d 中的引导脚本用来启动或者停止系统服务。对于每一个运行级,都有一个 /etc/rcN.d 目录(“N”是运行级的标识),其中包含了指向那些在运行级改变时需要调用的脚本的软链接。
如果链接名以“S”开头,则脚本在进入那个运行级时执行,启动相应的服务;如果以“K”开头,则脚本在退出那个运行级时执行,停止那个服务。
大部分情况下,引导脚本的名称会暗示它所控制的服务。要防止在特定的运行级中会启动某个服务,则删除运行级目录中指向相应引导脚本的链接,或者使用一个不做任何事情的虚脚本取代 /etc/init.d 中原来的引导脚本。
inetd/xinetd 后台进程
也可以在客户机请求时根据需要调用服务。这些请求被转交给超级后台进程inetd 或者 xinetd。然后超级后台进程确定要启动哪个服务,并将请求传递到相应的后台进程。通常,telnet、ftp、rlogin 等服务使用 inetd 或者xinetd 启动。
inetd 后台进程在 /etc/inetd.conf 配置,那个文件中包含了关于每一个超级后台进程需要提供的服务的条目。配置 FTP 服务器的条目应该类似这样——ftp stream tcp nowait root /usr/bin/ftpd in.ftpd -el ——使用井号注释掉它,就可以禁用它。
为了安全起见,建议使用 xinetd。与 inetd 相比, xinetd 能够启动基于rpc 的服务,并支持访问控制。xinetd 可以限制进入连接的速度、来自特定主机的进入连接的数目,或者某个服务的总连接数。
通过用于每个从属后台进程的独立配置文件来配置 xinetd 。这些文件位于
/etc/xinetd.d/ 目录中。前面 FTP 服务器的示例配置文件应该称为 called /etc/xinetd.d/ftp,类似这样:
清单 1. 配置文件,/etc/xinetd.d/ftp
service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/bin/ftpd
server_args = -el
disable = yes
}
为了禁用这个服务,参数 disable 被设置为 yes,如上面示例所示。
为了更详细的访问控制,xinetd 支持以下三个另外的参数:
?only_from
?no_access
?access_time
为了限制访问,但不完全禁用 ftp 后台进程,您可以如下修改配置文件
/etc/xinetd.d/ftp:
清单 2. 为限制访问而修改过的配置文件,/etc/xinetd.d/ftp
service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/bin/ftpd
server_args = -el
disable = no
only-from = 192.168.200.3 192.168.200.7
192.168.200.9
only-from += 192.168.200.10 192.168.200.12 172.16.0.0
no_access = 172.16.{1,2,3,10}
access_times = 07:00-21:00
}
only-from 和 no_access 可以接受数字 IP 地址(最右边的零作为任意数值处理)、IP 地址/网络掩码范围、主机名以及 /etc/networks 中的网络名。如果组合使用 only-from 和 no_access, xinetd 会为每个主机连接寻找最接近的匹配。
在前面的代码示例中,表示 IP 地址为 172.16.x.x 的主机可以连接到此主机,但地址属于 172.16.1.x、 172.16.2.x、172.16.3.x 和 172.16.10.x 的则不能连接。可见,当使用 no_access 所用的因数符号时,不需要指定地址的所有四个部分。因数部分必须是地址最右边的部分。参阅下面的参考资料部分,以获得关于 xinetd 及其配置的文章。
TCP 封装器
如果您决定不使用 xinetd,而是使用 inted,那么您可以使用 TCP 封装器来记录请求和具体的对特定网络的允许/拒绝。TCP 封装器会为了认证和记录日志而去检查 /etc/hosts.allow 和 /etc/hosts.deny,并将客户机请求封装起来,不直接回应它们。一旦认证成功,请求就会被转发到原来请求的服务。
相对于使用普通的 inetd,使用 TCP 封装器有两个主要的好处:
?发出请求的客户机不会察觉到 TCP 封装器;因此,没有异心的人不会发现任何区别,而心怀不轨的人也得不到关于他们的请求失败的任何信
息。
?TCP 封装器的工作不会理会任何已经被封装的服务,让应用程序能够共享它们的配置文件,从而简化管理。
要获得关于 TCP 封装器配置文件的详细文档,请参阅参考资料中列出的Red Hat Linux Reference Guide。
如何找到所有人都可写的(world-writable)文件要找出所有人都可写的文件,使用此命令:
find / -perm -002 \( -type f -o -type d \) -ls
其中:
?/ 是搜索的起始位置。
?-perm 检查权限。
?002 表示(八进制符号)“other”设置了写位。
?模式 002 之前的 - 表示设置了所有权限位(没有考虑模式中的 zero-bits)。
?-type f 或者 -type d 搜索常规的文件和目录。
?-ls 以 ls 格式列出找到的文件。
当某个分区上的所有文件确实都不需要 setuid/setgid 位时, /etc/fstab 中的 nosuid 选项可以为相应文件系统中的每个文件都禁用它(下面的示例中的/dev/hdc1):
#device mountpoint filesystemtype options dump fsckorder
/dev/hda1 / ext2 defaults 1 1
...
/dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1
?core - 限制内核文件的大小(KB)。
?data - 最大数据大小(KB)。
?fsize - 最大文件大小(KB)。
?memlock - 最大锁定内存地址空间(KB)。
?nofile - 打开文件的最大数目。
?rss - 最大持久设置大小(KB)。
?stack - 最大栈大小(KB)。
?cpu - 以分钟为单位的最多 CPU 时间。
?nproc - 进程的最大数目。
?as - 地址空间限制。
?maxlogins - 此用户允许登录的最大数目。
在下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话(对匿名 ftp 帐号尤其实用);managers 组的成员的进程数目限制为 40 个。developers 有 64 MB 的 memlock 限制,wwwusers 的成员不能创建大于 50 MB 的文件。
清单 3. 设置配额和限制
* hard rss 10000
* hard maxlogins 4
* hard core 0
bin -
ftp hard maxlogins 10
@managers hard nproc 40
@developers hard memlock 64000
@wwwusers hard fsize 50000
最佳的配额经验
您应该为允许用户写入的每一个分区启用配额。也要考虑到您的系统中有一些属于应用程序的用户 ID,而不是个人用户。那些 ID 可能会拥有对某些目录的写权限,而人没有这种权限。
向 cronjobs 添加 /sbin/quotacheck -avug,以自动更新内核当前所使用的配额文件和表。
要激活这些限制,您需要在 /etc/pam.d/login 底部添加下面一行: session required /lib/security/pam_limits.so。
配额让您能够限制用户和组的 inode 数目和可用空间。注意,配额是在每个加载点上定义的,所以,如果用户在若干个分区上有写权限,那么要确保为它们每个都定义配额。
配额是管理员最小化 DoS 攻击的一种方式,这类攻击以填满硬盘驱动器上所有可用空间为手段(这会使其他进程不能创建临时文件而使它们失败)。根据您正在使用的发行版本,您可以安装自带的配额工具,也可以自己下载、编译并安装它们(参见参考资料)。
必须在内核中启用配额。当前大部分发行版本都支持配额。如果您的发行版本没有启用配额,那么参考参考资料中的 mini-howto 来获得启用它们的说明。
要为文件系统启用配额,您必须在 /etc/fstab 中为相应的那行添加一个选项。使用 usrquota 和 grpquota 来启用用户配额和组配额,如清单 4 所示:
清单 4. 启用用户配额和组配额
/dev/hda1 / ext3 defaults 1 1
/dev/hda2 /home ext3 defaults,usrquota 1 1
/dev/hda3 /tmp ext3 defaults,usrquota,grpquota 1 1
/dev/hda4 /shared ext3 defaults,grpquota 1 1
/dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1 2
然后,使用 mount -a -o remount 重新挂载相应的文件系统,来激活刚才添加的选项;然后使用 quotacheck -cugvm 创建一个二进制配额文件,其中包含了机器可读格式的配额配置。这是配额子系统要操作的文件。
使用工具 edquota 完成配额的指派。要为用户 alice 定义限制,则使用edquota -u alice 来调用它。环境变量 EDITOR 中定义的编辑器(默认是
vi)会打开,其中有类似如下的内容:
Quotas for user alice:
/dev/hda2: blocks in use: 3567, limits (soft = 5500, hard = 6500)
inodes in use: 412, limits (soft = 1000, hard = 1500)
“in use”值只是为您提供信息,不能被修改——您能修改的只是软限制和硬限制。保存并退出编辑器后, edquota 会读取您刚才编辑的临时文件,并将那些值传递到二进制配额文件,以使您的修改生效。对组配额的编辑与此相同,只是必须使用 -g 选项而不是 -u。
软限制是警告级别,可以被超出,而硬限制是严格强制的。软限制有一个宽限期(grace period)(有时也称为软性时间限制(soft time limits));这是允许用户超出软限制直到被系统强制执行之前的时间间隔。
Linux主机操作系统加固规范 目录 第1章概述 (2) 1、1目得..................................... 错误!未定义书签。 1、2适用范围................................. 错误!未定义书签。 1、3适用版本................................. 错误!未定义书签。 1、4实施..................................... 错误!未定义书签。 1、5例外条款................................. 错误!未定义书签。 第2章账号管理、认证授权 (2) 2、1账号 (2) 2、1、1用户口令设置 (2) 2、1、2.......................................................... root用户远程登录限制 3 2、1、3检查就是否存在除root之外UID为0得用户 (3) 2、1、4...................................................... root用户环境变量得安全性 3 2、2认证..................................... 错误!未定义书签。 2、2、1远程连接得安全性配置 (4) 2、2、2用户得umask安全配置 (4) 2、2、3重要目录与文件得权限设置 (5) 2、2、4查找未授权得SUID/SGID文件 (5) 2、2、5检查任何人都有写权限得目录 (6) 2、2、6查找任何人都有写权限得文件 (6) 2、2、7检查没有属主得文件 (7) 2、2、8检查异常隐含文件 (8) 第3章日志审计 (9) 3、1日志 (9) 3、1、1............................................................ syslog登录事件记录 9 3、2审计 (9) 3、2、1........................................................ Syslog、conf得配置审核 9 第4章系统文件 (11) 4、1系统状态 (11) 4、1、1系统core dump状态 (11)
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT系统已经成为XXX整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多,因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要,更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见、WEB应用安全事件层出不穷、,黑客攻击行为几乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着XXX运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。
二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统,(因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患: 1.随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经 无法满足信息安全防护的需要,部署了×XX的安全保障体系仍需要进一步完善, 防火墙系统的不足主要有以下几个方面(略) 2.当前网络不具备针对X攻击专项的检测及防护能力。(略) 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用
Solaris系统安全文档(for solaris 10) 1.禁用不需要的用户 备份:备份/etc/passwd cp /etc/passwd /etc/passwd.080903 cp /etc/shadow /etc/shadow.080903 修改: 编辑/etc/shadow,将需要禁止帐户的**用NP代替 Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell 恢复: 编辑/etc/shadow,将需要恢复帐户的NP用**代替 Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell 或使用备份还原 cp /etc/passwd.080903 /etc/passwd cp /etc/shadow.080903 /etc/shadow 恢复:用原始备份还原 cp /etc/group.bak.2008 /etc/group 2.设置用户密码安全策略(根据具体要求修改) 修改全局密码策略 备份:备份/etc/default/passwd cp /etc/default/passwd /etc/default/passwd.080903 #MINDIFF=3 #最小的差异数,新密码和旧密码的差异数。 #MINALPHA=2 #最少字母要多少 #MINNONALPHA=1 #最少的非字母,包括了数字和特殊字符。 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写 #MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字 #WHITESPACE=YES #能使用空格吗? 修改:(以下只针对除root用户外的其他用户) 编辑/etc/default/passwd,设置: MINWEEKS= 最短改变时间 MAXWEEKS=8 密码最长有效时间 WARNWEEKS=5 密码失效前几天通知用户 PASSLENGTH=8 最短密码长度
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●? 系统上运行的应用系统及其正常所必需的服务。
●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的 内容、步骤和时间表。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●? 对系统进行加固 ●? 对系统进行测试
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次,锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -
风管加固规范 加固,指对可靠性不足或业主要求提高可靠度的承重结构、构件及其相关部分采取增强、局部更换或调整其内力等措施,使其具有现行设计规范及业主所要求的安全性、耐久性和适用性。工业上主要进行的加固有粘钢加固、碳纤维加固、压力注浆加固、植筋加固、锚栓加固、钢管桩加固、等。 规范标准 《建筑结构加固工程施工质量验收规范》 《混凝土结构加固设计规范》 《工程结构加固材料安全性鉴定技术规范》 《砌体结构补强加固技术规范》 《建筑抗震设计规范》 《建筑抗震鉴定标准》 《建筑抗震加固技术规程》 《双曲拱桥加固改造技术规程》 粘钢加固 基本概念 混凝土粘钢加固技术,是采用优质JGN建筑结构胶,把钢板与混凝土牢固地粘在一起,形成复合的整体结构,有效地传递应力形成
整体联合协调工作,从而恢复或提高结构的承载能力与结构的强度和钢度。 特点 1、对构件进行有针对性地补强 2、与砼构件具备较广泛的类似力学性能指标 3、抗老化、抗疲劳性能好 ⒋建筑结构胶要通过抗冲击剥离韧性检测 碳纤维 基本概念 碳纤维布加固修复混凝土结构技术是采用配套胶粘剂将碳纤维布粘贴于混凝土表面,起到结构补强和抗震加固的作用。广泛适用于建筑物梁、板、柱、墙的加固,并可用于桥梁、隧道等其它土木工程的加固补强。粘贴纤维织物(布)复合材加固法即用改性环氧树脂粘贴各种符合国标GB50367-2013规定的碳纤维单向织物布复合材,S玻璃布,(玄武岩布),E玻璃纤维单向织物布及GB/T221491-2008规定的芳纶布,芳玻韧布复合材料。 优点
具有粘贴钢板相似的优点外,还具有耐腐蚀、耐潮湿、几乎不增加结构自重、耐用、维护费用较低等优点,但需要专门的防火处理,适用于各种受力性质的混凝土结构构件和一般构筑物。 压力注浆 压力注浆主要解决基础不均匀沉降的问题。 裂缝修补 混凝土结构裂缝修补加固 植筋技术 "植筋"技术又称钢筋生根技术,在原有混凝土结构上钻孔,注结构胶,把新的钢筋旋转插入孔洞中。此技术广泛用于设计变更,增加梁、柱、悬挑梁、板等加固和变更工程。 1、各种设备基础的锚固。 2、加大基础承台。 3、各种建筑结构的钢筋埋植与锚栓锚固。 4、悬挑梁、板等结构功能改变。 5、铁路、铁轨的锚固。 6、幕强安装锚固及化工设备、管道、广告牌等的安装锚固。 7、水利设施,码头,公路,护坡,桥梁等工程的各种锚固。
HP-Unix主机操作系统加固规范 1 账号管理、认证授权 1.1 账号 1.1.1 SHG-HP-UX-01-01-01 编号 SHG-HP-UX-01-01-01 名称为不同的管理员分配不同的账号 实施目的根据不同类型用途设置不同的帐户账号,提高系统安全。 问题影响账号混淆,权限不明确,存在用户越权使用的可能。 系统当前状态 cat /etc/passwd 记录当前用户列表 实施步骤 1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 回退方案删除新增加的帐户 判断依据标记用户用途,定期建立用户列表,比较是否有非法用户 实施风险高 重要等级★★★ 备注 1.1.2 SHG-HP-UX-01-01-02 编号 SHG-HP-UX-01-01-02 名称删除或锁定无效账号 实施目的删除或锁定无效的账号,减少系统安全隐患。 问题影响允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表,cat /etc/shadow 记录当前密码配置实施步骤参考配置操作 删除用户:#userdel username; 锁定用户: 1) 修改/etc/shadow文件,用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。 回退方案新建删除用户 判断依据如上述用户不需要,则锁定。 实施风险高 重要等级★★★ 备注
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.doczj.com/doc/ab1244996.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
L i n u x系统主机安全加 固 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进 行修改: /etc/profile/etc/profile .bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo
usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
Oracle数据库系统加固规范1 账号管理、认证授权 (1) 1.1 账号............................................................... 1.… 1.1.1 SHG-Oracle-01-01-01 ............................................... 1.… 1.1.2 SHG-Oracle-01-01-02 ............................................................................ 2… 1.1.3 SHG-Oracle-01-01-03 ............................................................................ 3… 1.1.4 SHG-Oracle-01-01-04 ............................................................................ 4.… 1.1.5 SHG-Oracle-01-01-05 ............................................................................ 5.…
1.1.6 SHG-Oracle-01-01-06 7.... 1.1.7 SHG-Oracle-01-01-07 8.... 1.1.8 SHG-Oracle-01-01-08 .......................................................................... .10.. 1.2 口令........................................................... .1.1.... 1.2.1 SHG-Oracle-01-02-01 1.1.. 1.2.2 SHG-Oracle-01-02-02 12.. 1.2.3 SHG-Oracle-01-02-03 14.. 1.2.4 SHG-Oracle-01-02-04 .......................................................................... .15.. 1.2.5 SHG-Oracle-01-02-05 .......................................................................... .16.. 2 日志配置 (18) 2.1.1 SHG-Oracle-02-01-01 18.. 2.1.2 SHG-Oracle-02-01-02 2.1.. 2.1.3 SHG-Oracle-02-01-03 22.. 2.1.4 SHG-Oracle-02-01-04 .......................................................................... 24.. 3 通信协议 (25) 3.1.1 SHG-Oracle-03-01-01............................................. 25.. 3.1.2 SHG-Oracle-03-01-02 .......................................................................... 26.. 4 设备其他安全要求 (28) 4.1.1 SHG-Oracle-04-01-01 28..
1概述- 1 - 1.1适用范围- 1 - 2用户账户安全加固- 1 - 2.1修改用户密码策略- 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 - 3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 - 3.3设置当用户连续登录失败三次,锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 - 4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略 (1)修改前备份配置文件:/etc/login.defs (2)修改编辑配置文件:vi /etc/login.defs,修改如下配置: (3)回退操作 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:
或删除不使用的账户: (3)回退操作 用户锁定后当使用时可解除锁定,解除锁定命令为: 2.3锁定或删除系统中不使用的组 (1)操作前备份组配置文件/etc/group (2)查看系统中的组并确定不使用的组 (3)删除或锁定不使用的组 锁定不使用的组: 修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可删除不使用的组: (4)回退操作 2.4限制密码的最小长度
《系统渗透与加固》课程标准 所属系部: 制定人: 合作人: 制定时间: 审定组(人): 审定日期: **职业技术学院
《系统渗透与加固》课程标准 一、课程基本信息 二、课程定位 《系统渗透与加固》是计算机学生的专业课,是一门涉及计算机系统、网络安全技术、通信技术、密码技术、信息安全技术等多种学科的综合性学科。学生需了解甚至掌握网络渗透入侵与加固的技术,这样才能有针对性地进行防御,真正保障网络的安全。 三、课程设计思路 本课程是依据我校计算机网络技术专业人才培养方案中,对计算机网络安全的职业能力要求而设置的。其总体设计思路是,打破以知识传授为主要特征的传统学科课程模式,转变为以案例、任务、项目形式组织课程教学内容,让学生在完成具体案例、任务、项目的过程中,学习相关理论知识,掌握系统渗透与加固的相关技能。 (1)内容设计 依据课程目标,本课程面向网络安全工程师工作岗位的安全规划和安全防护技术实施的职业能力培养为目标建构课程。以校园网为背景,按照“攻击、防范、系统、管理”的顺序设计四个学习情境,将网络安全所需的安全理论和安全技术根据情境需要融入到学习项目中,构建“网络安全渗透基础、安全攻防综合实践、系统安全加固”三个学习项目。 (2)教学设计 课程教学全程安排在计算机综合实训室,按“项目导向,任务驱动”的教学模式,大力开发课程资源,提供丰富的学习资源,将课堂授课与网络教学相结合,促进自主学习,实现学生职业能力的培养和职业素养的养成,最终达到课程教学目标。
四、课程目标 (一)能力目标 1. 掌握系统渗透技术,包括辨识各种木马与漏洞;熟练运用网络监听sniffer;熟练运用扫描器+口令探测superscan x-scan SSS 流光;掌握拒绝服务攻击(DDOS)等。 2. 掌握系统加固技术,包括能够审核系统安全性;配置用户访问权限及访问控制;配置账号安全策略及审核策略等组策略;配置注册表安全策略;网络服务(IIS和NETBIOS的安全设置);配置文件系统安全等。 3. 掌握各种攻防实践,包括Windows缓冲区溢出漏洞利用;数据库漏洞利用;SQL注入攻击;木马植入、木马利用与防护;Linux主动防御及漏洞利用;口令破解;数据库主动防御(MySQL)毒邮件;首页篡改(Apache)。 (二)知识目标 1.具有网络安全方面的基本理论和知识; 2.熟悉注入攻击原理及木马植入概念; 3.了解各种木马、漏洞、挂马及网站钓鱼的概念; 4.理解操作系统安全的基本理论; 5.理解用户账户及访问权限的基本概念; 6.掌握账户策略在系统安全中的作用; 7.掌握注册表的功能在系统安全中的作用; 8.理解IE安全设置的基本概念。 (三)素质目标 1.培养学生创新意识、创新能力以及自主学习的能力。 2.培养学生发现问题、思考问题、寻找解决问题的能力。 3.培养学生沟通、交流与团队合作能力。 4.培养学生守时、诚信、规范、责任等方面的意识以及严谨的工作作风和工作态度。 (四)其他目标 五、课程内容及要求
1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:
WebLogic系统加固规范 https://www.doczj.com/doc/ab1244996.html, 2010年9月
目录 1账号管理、认证授权 (1) 1.1.1SHG-W ebLogic-01-01-01 (1) 1.1.2SHG-W ebLogic-01-01-02 (3) 1.1.3SHG-W ebLogic-01-01-03 (4) 1.1.4SHG-W ebLogic-01-01-04 (6) 2日志配置 (7) 2.1.1SHG-W ebLogic-02-01-01 (7) 2.1.2SHG-W ebLogic-02-01-02 (10) 3通信协议 (15) 3.1.1SHG-W ebLogic-03-01-01 (15) 3.1.2SHG-W ebLogic-03-01-02 (20) 4设备其他安全要求 (22) 4.1安装部署 (22) 4.1.1SHG-W ebLogic-04-01-01 (22) 4.1.2SHG-W ebLogic-04-01-02 (23) 4.1.3SHG-W ebLogic-04-01-03 (25) 4.1.4SHG-W ebLogic-04-01-04 (26) 4.1.5SHG-W ebLogic-04-01-05 (28) 4.1.6SHG-W ebLogic-04-01-06 (30) 4.1.7SHG-W ebLogic-04-01-07 (31) 4.1.8SHG-W ebLogic-04-01-08 (31) 4.2运行维护 (32) 4.2.1SHG-W ebLogic-04-02-01 (32) 4.2.2SHG-W ebLogic-04-02-02 (33) 4.2.3SHG-W ebLogic-04-02-03 (34) 4.3备份容错 (35) 4.3.1SHG-W ebLogic-04-03-01 (35)