中国移动安全安全加固培训材料

系统安全加固-2-培训要求：该课程主要介绍系统通用的安全加固方案和方法培训对象：面向安全管理人员、安全技术人员、系统维护人员、共3类人员培训时间：1小时左右培训侧重点：本教材侧重点为安全技术人员和系统维护人员-3-目录理解安全加固Windows安全加固UNIX/Linux安全加固-4-一、安全加固的概念风险、脆弱性如何定义“安全”？–硬件+软件=预期的结果–硬件+软件≠预期的结果如何定义更全面的“安全”？–人+硬件+软件=预期的结果–人+硬件+软件≠预期的结果-5-二、安全加固的目标目标–我们的目标是降低风险-6-三、安全加固对象对象–所有可能产生脆弱性的东西-7-四、安全加固的原则加固原则–风险最大化‐不要忽视扫描报告和检查结果中的任何一个细节，将任何潜在隐患以最大化的方式展现–威胁最小化‐威胁难以被彻底消除，因为它是动态的，我们只能将其降低至可接受的程度-8-五、安全加固的流程一般流程–确认加固的要求（安全基线）–安全检查（手工检查或者基线设备检查）–加固前的交流（和业务负责人交流）–加固实施过程（重要系统需要先在备机上测试）–加固完成及成果输出（方便发生问题时回退）-9-目录理解安全加固Windows安全加固UNIX/Linux安全加固-10-Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强-11-补丁检查系统补丁安装情况–命令行执行systeminfo,查看系统已经安装的补丁列表补丁更新–手动安装：使用IE访问，按提示安装必要的activeX控件后，按提示安装补丁–开始–控制面板–自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间-12-防护软件安装杀毒软件并保持病毒库更新防火墙–对于防火墙软件，建议屏蔽以下端口：TCP135TCP139TCP445-13-Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强-14-系统服务查看系统服务–执行services.msc,检查启动类型为自动的服务关闭非必需的服务–建议关闭一下服务：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient–关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停止按钮以停止当前正在运行的服务-15-SNMP服务修改SNMP的字符串–为什么要修改SNMP的字符串？它会泄露什么？通过SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为。攻击工具:snmputilwalk1.1.1.10public.1.3.6......-16-服务与进程SNMPService服务加固方法：–为修改SNMP团体名–限制远程主机对SNMP的访问-17-关闭自动播放功能关闭所有驱动器的自动播放功能点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。-18-Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强-19-密码策略密码策略–长度•7≤Windows2000≤127•14≥Windows9X≈0–期限•定期修改密码–复杂性•Pyth0n&^!@大小写数字特殊字符-20-密码策略加固要点–密码策略:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略-密码策略”：–帐户锁定策略-21-用户权利指派检查用户权限策略是否设置：开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派-22-本地安全策略配置检查本地安全策略配置：开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→安全选项-23-Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强-24-日志和审核策略审核–了解Windows审核策略•审核策略并不完整•很多审核内容默认未开启•只有在NTFS磁盘上才能开启对象访问审核,日志量较大–步骤•打开审核策略•编辑审核对象的审核项-25-日志和审核策略审核–打开审核策略•要做什么审核？要审核什么？•位置：gpedit.msc–计算机配置–Windows设置–安全设置–审核设置12-26-日志和审核策略审核–查看审核日志•eventvwr（事件查看器）-27-Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强-28-文件系统Windows文件系统–FAT•FAT16•FAT32–NTFS将FAT卷转换成NTFS–convertC:/FS:NTFS-29-用户用户和组–特殊的组•Administrators、Guests、PowerUsers……•可通过netlocalgroup命令打印–特殊的用户•Administrator、Guest•可通过netuser命令打印–隐藏帐号•netuserhide$password/add-30-用户加固要点–检查用户•克隆•隐藏–清除用户•未使用的•未知的–锁定用户•Guest•SUPPORT_XXXXX-31-设置重要文件权限权限–前提（关键字）•NTFS•Administrators-32-设置重要文件权限权限–ACL（访问控制列表）•包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集（即，ACL）-33-设置重要文件权限权限–ACE（访问控制项）•ACL中包含ACE•访问控制条目-34-设置重要文件权限加密和压缩-35-设置重要文件权限审核–编辑审核对象的审核项123-36-设置重要文件权限加固要点–目录及文件的权限•查找具有everyone的权限项–重要对象的审核策略@echooffdir/s/ball.txtfor/f%%iin(all.txt)docacls%%i|findEveryone-37-Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强-38-安全增强删除匿名用户空连接–注册表如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa将restrictanonymous的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD，修改完成后重新启动系统生效删除默认共享–注册表如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters将Autoshareserver设置为0，若不存在，可创建，类型为REG_DWORD修改完成后重新启动系统生效-39-目录理解安全加固Windows安全加固UNIX/Linux安全加固-40-UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态-41-帐号安全帐号–/etc/login.defs，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE–检查是否存在除root外UID=0的用户–检查是否存在弱口令–锁定不使用的帐户(passwd–lusername)–检查root用户环境变量–设置帐号超时注销(vi/etc/profile增加TMOUT=600)-42-帐号安全限制root远程登录–/etc/ssh/sshd_config:PermitRootLoginno–/etc/securetty文件中配置：CONSOLE=/dev/tty01-43-UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态-44-umask检查是否包含umask值more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc-45-umaskumask[root@RHEL5home]#umask0022[root@RHEL5home]#touchfile1[root@RHEL5home]#ls-lfile1-rw-r--r--1rootroot0Jul2607:17file1(644)[root@RHEL5home]#umask0066[root@RHEL5home]#touchfile2[root@RHEL5home]#ls-lfile2-rw-------1rootroot0Jul2607:18file2(600)[root@RHEL5home]#umask0[root@RHEL5home]#umask0000[root@RHEL5home]#touchfile3[root@RHEL5home]#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666)-46-文件权限文件权限–ls–l[root@RHEL5home]#ls-l•total44•drwxr-xr-x2rootroot4096Jul2605:24apue•-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gz–chmod•chmodu+xfile•chmod744file4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行______________________0744结果-47-文件权限检查重要目录和文件的权限设置ls–l/etc/rc.d/init.d/chmod-R750/etc/rc.d/init.d/*查找系统中所有的SUID和SGID程序-48-UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态-49-系统服务守护进程与服务的区别–守护进程•进程的一种特殊状态•不绑定至任何Terminal•父进程是init–服务•相对守护进程，“服务”的概念更为抽象•为用户提供一种功能的应用•可能包含一个或多个守护进程–例•服务名：SSHServer•进程名：sshd-50-系统服务inetd–一些轻量级的服务，由inetd集中处理–已不能满足现状•#inetd.conf•echostreamtcp6nowaitrootinternal•echodgramudp6waitrootinternal•daytimestreamtcp6nowaitrootinternal•daytimedgramudp6waitrootinternal•…………•…………-51-系统服务加固要点–服务→进程→端口ipfw–TCPWrapper•libwrap;configure--with-libwrap=libwrap_path•hosts.allow;hosts.deny–停止不必要的inetd服务–停止不必要的服务•/etc/rc3.d/S88xxxstop•mv/etc/rc3.d/S88xxx/etc/rc3.d/K88xxx-52-Snmp配置Snmp安全配置–如果打开了SNMP协议，snmp团体字设置不能使用默认的团体字。–查看配置文件/etc/snmp/snmpd.conf，应禁止使用