1、系统安全加固系统安全加固 -2-培训要求:培训要求:该课程主要介绍系统通用的安全加固方案和方法该课程主要介绍系统通用的安全加固方案和方法培训对象:培训对象:面向安全管理人员、安全技术人员、系统维护人员、面向安全管理人员、安全技术人员、系统维护人员、共共3 3类人员类人员培训时间培训时间:1 1小时左右小时左右培训侧重点:培训侧重点:本教材侧重点为安全技术人员和系统维护人员本教材侧重点为安全技术人员和系统维护人员-3-目目 录录理解安全加固理解安全加固Windows安全加固安全加固UNIX/Linux安全加固安全加固-4-一、安全加固的概念一、安全加固的概念风险、脆弱性风险、脆弱性如何定义如何定
2、义“安全安全”?硬件硬件+软件软件=预期的结果预期的结果硬件硬件+软件软件 预期的结果预期的结果如何定义更全面的如何定义更全面的“安全安全”?人人+硬件硬件+软件软件=预期的结果预期的结果人人+硬件硬件+软件软件 预期的结果预期的结果-5-二、安全加固的目标二、安全加固的目标n目标目标我们的目标是降低风险-6-三、安全加固对象三、安全加固对象n对象对象所有可能产生脆弱性的东西-7-四、安全加固的原则四、安全加固的原则n加固原则加固原则风险最大化不要忽视扫描报告和检查结果中的任何一个细节,将任何潜在隐患以最大化的方式展现威胁最小化威胁难以被彻底消除,因为它是动态的,我们只能将其降低至可接受的程度
3、-8-五、安全加固的流程五、安全加固的流程n一般流程一般流程确认加固的要求(安全基线)安全检查(手工检查或者基线设备检查)加固前的交流(和业务负责人交流)加固实施过程(重要系统需要先在备机上测试)加固完成及成果输出(方便发生问题时回退)-9-目目 录录理解安全加固理解安全加固Windows安全加固安全加固UNIX/Linux安全加固安全加固-10-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-11-补丁补丁检查系统补丁安装情况检查系统
4、补丁安装情况命令行执行命令行执行systeminfosysteminfo,查看系统已经安装的补丁列表查看系统已经安装的补丁列表 补丁更新补丁更新手动安装:使用手动安装:使用IE访问访问http:/,按提示安装必,按提示安装必要的要的activeX控件后,按提示安装补丁控件后,按提示安装补丁 开始开始 控制面板控制面板 自动更新,在自动更新面板中选中自动(建议)自动更新,在自动更新面板中选中自动(建议)(U),然后根据个人需求设置升级时间,然后根据个人需求设置升级时间-12-防护软件防护软件安装杀毒软件并保持病毒库更新安装杀毒软件并保持病毒库更新 防火墙防火墙对于防火墙软件,建议屏蔽以下端口:对
5、于防火墙软件,建议屏蔽以下端口:TCP 135 TCP 139 TCP 445-13-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-14-系统服务系统服务查看系统服务查看系统服务执行执行services.msc,检查启动类型为自动的服务检查启动类型为自动的服务 关闭非必需的服务关闭非必需的服务建议关闭一下服务:建议关闭一下服务:Task Scheduler/Remote Registry/SNMP Service/Print Spoo
6、ler/Telnet/Computer Browser/Messenger/Alerter/DHCP Client 关闭方法:双击需要关闭的服务,将启动类型设置为禁用,点击停关闭方法:双击需要关闭的服务,将启动类型设置为禁用,点击停止按钮以停止当前正在运行的服务止按钮以停止当前正在运行的服务-15-SNMPSNMP服务服务修改修改SNMP的字符串的字符串为什么要修改为什么要修改SNMP的字符串?它会泄露什么?的字符串?它会泄露什么?通过通过 SNMP服务,远程恶意用户可以列举本地的帐号、帐号组、服务,远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息,禁用或修改运行
7、的进程、安装的补丁和软件等敏感信息,禁用或修改 SNMP配置可以有效防止远程恶意用户的这类行为。配置可以有效防止远程恶意用户的这类行为。攻击工具攻击工具:snmputil walk 1.1.1.10 public.1.3.6.-16-服务与进程服务与进程SNMP ServiceSNMP Service服务加固方法:服务加固方法:为修改为修改 SNMP SNMP 团体名团体名限制远程主机对限制远程主机对 SNMP SNMP 的访问的访问 -17-关闭自动播放功能关闭自动播放功能关闭所有驱动器的自动播放功能关闭所有驱动器的自动播放功能 点击开始运行输入 gpedit.msc,打开组策略编辑器,浏览
8、到计算机配置管理模板系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。-18-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-19-密码策略密码策略密码策略密码策略长度长度7 Windows 2000 12714 Windows 9X 0期限期限定期修改密码定期修改密码复杂性复杂性Pyth0n&!大小写大小写数字数字特殊字符特殊字符-20-密码策略密码策略加固要点加固要点密码策略密码策略:开始开始 运行运行 gp
9、edit.msc 计算机配置计算机配置 Windows 设置设置 安全设置安全设置 帐户策略帐户策略 帐户锁定帐户锁定策略策略-密码策略密码策略”:帐户锁定策略帐户锁定策略-21-用户权利指派用户权利指派检查用户权限策略是否设置:检查用户权限策略是否设置:开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 用户权利指派-22-本地安全策略配置本地安全策略配置检查本地安全策略配置:检查本地安全策略配置:开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 安全选项-23-WindowsWindows通用安全加固方案通用安全加固
10、方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-24-日志和审核策略日志和审核策略审核审核了解了解Windows审核策略审核策略审核策略并不完整审核策略并不完整很多审核内容默认未开启很多审核内容默认未开启只有只有在在 NTFS 磁盘上才能开启对象访问审核磁盘上才能开启对象访问审核,日志量较日志量较大大步骤步骤打开审核策略打开审核策略编辑审核对象的审核项编辑审核对象的审核项-25-日志和审核策略日志和审核策略审核审核打开审核策略打开审核策略要做什么审核?要审核什么?要做什么审核?要审核什么?位
11、置:位置:gpedit.msc 计算机配置计算机配置 Windows设置设置 安全设置安全设置 审核设置审核设置12-26-日志和审核策略日志和审核策略审核审核查看审核日志查看审核日志eventvwr(事件查看器)(事件查看器)-27-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-28-文件系统文件系统Windows文件系统文件系统FATFAT 16FAT 32NTFS将将 FAT 卷转换成卷转换成 NTFSconvert C:/FS
12、:NTFS-29-用户用户用户和组用户和组特殊的组特殊的组Administrators、Guests、Power Users 可通过可通过net localgroup命令打印命令打印特殊的用户特殊的用户Administrator、Guest可通过可通过net user命令打印命令打印隐藏帐号隐藏帐号net user hide$password/add-30-用户用户加固要点加固要点检查用户检查用户克隆克隆隐藏隐藏清除用户清除用户未使用的未使用的未知的未知的锁定用户锁定用户GuestSUPPORT_XXXXX-31-设置重要文件权限设置重要文件权限权限权限前提(关键字)前提(关键字)NTFSAd
13、ministrators-32-设置重要文件权限设置重要文件权限权限权限ACL(访问控制列表)(访问控制列表)包含了用户帐户和访问对象之间许可关系包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集(即,由四个权限项组成的权限项集(即,ACL)-33-设置重要文件权限设置重要文件权限权限权限ACE(访问控制项)(访问控制项)ACL中包含中包含ACE访问控制条目访问控制条目-34-设置重要文件权限设置重要文件权限加密和压缩加密和压缩-35-设置重要文件权限设置重要文件权限审核审核编辑审核对象的审核项编辑审核对象的审核项123-36-设置重要文件权限设置重要文件权限加固要点加固要点目录及
14、文件的权限目录及文件的权限查找具有查找具有everyone的权限项的权限项重要对象的审核策略重要对象的审核策略echo offdir/s/b all.txtfor/f%i in(all.txt)do cacls%i|find Everyone-37-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-38-安全增强安全增强删除匿名用户空连接删除匿名用户空连接注册表如下键值:注册表如下键值:HKEY_LOCAL_MACHINESYSTEMCu
15、rrentControlSetControlLsa 将将 restrictanonymous 的值设置为的值设置为 1,若该值不存在,可以自己创,若该值不存在,可以自己创建,类型为建,类型为 REG_DWORD,修改完成后重新启动系统生效,修改完成后重新启动系统生效删除默认共享删除默认共享注册表如下键值:注册表如下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 将将 Autoshareserver 设置为设置为 0,若不存在,若不存在,可创建,类型为可创建,类型为 REG_DWORD修改完成后
16、重新启动系统生效修改完成后重新启动系统生效-39-目目 录录理解安全加固理解安全加固Windows安全加固安全加固UNIX/Linux安全加固安全加固-40-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-41-帐号安全帐号安全n帐号帐号/etc/login.defs,检查 PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE检查是否存在除root外UID=0的用户检查是否存在弱口令锁定不使用的帐户(passwd l username)检查
17、root用户环境变量设置帐号超时注销(vi/etc/profile增加TMOUT=600)-42-帐号安全帐号安全限制限制root远程登录远程登录/etc/ssh/sshd_config:PermitRootLogin no/etc/securetty文件中配置:文件中配置:CONSOLE=/dev/tty01-43-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-44-umaskumask检查是否包含检查是否包含 umask 值值 more/etc/profile more/etc/csh.l
18、ogin more/etc/csh.cshrc more/etc/bashrc-45-umaskumaskumaskrootRHEL5 home#umask0022rootRHEL5 home#touch file1rootRHEL5 home#ls-l file1-rw-r-r-1 root root 0 Jul 26 07:17 file1(644)rootRHEL5 home#umask 0066rootRHEL5 home#touch file2rootRHEL5 home#ls-l file2-rw-1 root root 0 Jul 26 07:18 file2(600)rootR
19、HEL5 home#umask 0rootRHEL5 home#umask0000rootRHEL5 home#touch file3rootRHEL5 home#ls-l file3-rw-rw-rw-1 root root 0 Jul 26 07:25 file3(666)-46-文件权限文件权限文件权限文件权限ls lrootRHEL5 home#ls-ltotal 44drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue-rw-r-r-1 root root 16069 Jun 30 09:17 cpro.tar.gzchmodchmod u+x
20、filechmod 744 file4000SUID2000SGID1000粘住位0400所有者可读所有者可读0200所有者可写所有者可写0100所有者可执行所有者可执行0040所在组可读所在组可读0020所在组可写0010所在组可执行0004其他用户可读其他用户可读0002其他用户可写0001其他用户可执行_0744结果结果-47-文件权限文件权限检查重要目录和文件的权限设置检查重要目录和文件的权限设置 ls l/etc/rc.d/init.d/chmod-R 750/etc/rc.d/init.d/*查找系统中所有的查找系统中所有的 SUID和和 SGID 程序程序-48-UNIX/Lin
21、uxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-49-系统服务系统服务守护进程与服务的区别守护进程与服务的区别守护进程守护进程进程的一种特殊状态进程的一种特殊状态不绑定至任何不绑定至任何Terminal父进程是父进程是init服务服务相对守护进程,相对守护进程,“服务服务”的概念更为抽象的概念更为抽象为用户提供一种功能的应用为用户提供一种功能的应用可能包含一个或多个守护进程可能包含一个或多个守护进程例例服务名:服务名:SSH Server进程名:进程名:sshd-50-系统服务系统服务inetd一些轻量级的服务
22、,由一些轻量级的服务,由inetd集中处理集中处理已不能满足现状已不能满足现状#inetd.confecho stream tcp6 nowait root internalecho dgram udp6 wait root internaldaytime stream tcp6 nowait root internaldaytime dgram udp6 wait root internal -51-系统服务系统服务加固要点加固要点服务服务 进程进程 端口端口 ipfwTCPWrapperlibwrap;configure-with-libwrap=libwrap_pathhosts.all
23、ow;hosts.deny停止不必要的停止不必要的inetd服务服务停止不必要的服务停止不必要的服务/etc/rc3.d/S88xxx stopmv/etc/rc3.d/S88xxx/etc/rc3.d/K88xxx-52-SnmpSnmp配置配置Snmp安全配置如果打开了如果打开了SNMPSNMP协议,协议,snmpsnmp团体字设置不能使用默认的团体字团体字设置不能使用默认的团体字。查看配置文件查看配置文件/etc/snmp/snmpd.conf/etc/snmp/snmpd.conf,应禁止使用应禁止使用publicpublic、privateprivate默认团体字,使用用户自定义的团
24、体字默认团体字,使用用户自定义的团体字。例如将以下设置中的例如将以下设置中的publicpublic替换为用户自定义的团体字:替换为用户自定义的团体字:com2sec notConfigUser default public如无必要,管理员应禁止使用snmp服务-53-OpensshOpenssh配置配置检查系统检查系统openssh安全配置,禁止使用协议安全配置,禁止使用协议1和使用和使用root直接直接登录登录编辑编辑sshd_configsshd_config文件,设置:文件,设置:Protocol 2Protocol 2 StrictModes yesStrictModes yes P
25、ermitRootLogin noPermitRootLogin no PrintLastLog yesPrintLastLog yes PermitEmptyPasswords noPermitEmptyPasswords no-54-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-55-启用启用syslog记录所有日志记录所有日志配置文件:配置文件:/etc/syslog.conf#vi/etc/syslog.conf authpriv.*/var/log/secure-56-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-57-系统状态系统状态内核版本内核版本执行命令执行命令uname-a 发行版发行版cat/proc/version系统系统 core dump 状态状态 执行:执行:more/etc/security/limits.conf磁盘分区剩余空间磁盘分区剩余空间#df kGrub密码密码cat/etc/grub.conf|grep password-58-谢 谢!