1、2022-8-13中国移动安全安全加固培训材料中国移动安全安全加固中国移动安全安全加固培训材料培训材料中国移动安全安全加固培训材料培训要求:培训要求:该课程主要介绍系统通用的安全加固方案和方法该课程主要介绍系统通用的安全加固方案和方法培训对象:培训对象:面向安全管理人员、安全技术人员、系统维护人员、面向安全管理人员、安全技术人员、系统维护人员、共共3 3类人员类人员培训时间培训时间:1 1小时左右小时左右培训侧重点:培训侧重点:本教材侧重点为安全技术人员和系统维护人员本教材侧重点为安全技术人员和系统维护人员中国移动安全安全加固培训材料目目 录录 理解安全加固理解安全加固 Windows安全加固
2、安全加固 UNIX/Linux安全加固安全加固中国移动安全安全加固培训材料一、安全加固的概念一、安全加固的概念 风险、脆弱性风险、脆弱性 如何定义如何定义“安全安全”?硬件硬件+软件软件=预期的结果预期的结果 硬件硬件+软件软件 预期的结果预期的结果 如何定义更全面的如何定义更全面的“安全安全”?人人+硬件硬件+软件软件=预期的结果预期的结果 人人+硬件硬件+软件软件 预期的结果预期的结果中国移动安全安全加固培训材料二、安全加固的目标二、安全加固的目标n目标目标 我们的目标是降低风险中国移动安全安全加固培训材料三、安全加固对象三、安全加固对象n对象对象 所有可能产生脆弱性的东西中国移动安全安全
3、加固培训材料四、安全加固的原则四、安全加固的原则n加固原则加固原则 风险最大化 不要忽视扫描报告和检查结果中的任何一个细节,将任何潜在隐患以最大化的方式展现 威胁最小化 威胁难以被彻底消除,因为它是动态的,我们只能将其降低至可接受的程度中国移动安全安全加固培训材料五、安全加固的流程五、安全加固的流程n一般流程一般流程 确认加固的要求(安全基线)安全检查(手工检查或者基线设备检查)加固前的交流(和业务负责人交流)加固实施过程(重要系统需要先在备机上测试)加固完成及成果输出(方便发生问题时回退)中国移动安全安全加固培训材料目目 录录 理解安全加固理解安全加固 Windows安全加固安全加固 UNI
4、X/Linux安全加固安全加固中国移动安全安全加固培训材料WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强中国移动安全安全加固培训材料补丁补丁 检查系统补丁安装情况检查系统补丁安装情况命令行执行命令行执行systeminfosysteminfo,查看系统已经安装的补丁列表查看系统已经安装的补丁列表 补丁更新补丁更新 手动安装:使用手动安装:使用IE访问访问http:/,按提示安装必,按提示安装必要的要的activeX控件后,按提示安装补丁
5、控件后,按提示安装补丁 开始开始 控制面板控制面板 自动更新,在自动更新面板中选中自动(建议)自动更新,在自动更新面板中选中自动(建议)(U),然后根据个人需求设置升级时间,然后根据个人需求设置升级时间中国移动安全安全加固培训材料防护软件防护软件 安装杀毒软件并保持病毒库更新安装杀毒软件并保持病毒库更新 防火墙防火墙 对于防火墙软件,建议屏蔽以下端口:对于防火墙软件,建议屏蔽以下端口:TCP 135 TCP 139 TCP 445 中国移动安全安全加固培训材料WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与
6、审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强中国移动安全安全加固培训材料系统服务系统服务 查看系统服务查看系统服务 执行执行services.msc,检查启动类型为自动的服务检查启动类型为自动的服务 关闭非必需的服务关闭非必需的服务 建议关闭一下服务:建议关闭一下服务:Task Scheduler/Remote Registry/SNMP Service/Print Spooler/Telnet/Computer Browser/Messenger/Alerter/DHCP Client 关闭方法:双击需要关闭的服务,将启动类型设置为禁用,点击停关闭方法:双击需要关闭
7、的服务,将启动类型设置为禁用,点击停止按钮以停止当前正在运行的服务止按钮以停止当前正在运行的服务 中国移动安全安全加固培训材料SNMPSNMP服务服务 修改修改SNMP的字符串的字符串 为什么要修改为什么要修改SNMP的字符串?它会泄露什么?的字符串?它会泄露什么?通过通过 SNMP服务,远程恶意用户可以列举本地的帐号、帐号组、服务,远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息,禁用或修改运行的进程、安装的补丁和软件等敏感信息,禁用或修改 SNMP配置可以有效防止远程恶意用户的这类行为。配置可以有效防止远程恶意用户的这类行为。攻击工具攻击工具:snmputil
8、 walk 1.1.1.10 public.1.3.6.中国移动安全安全加固培训材料服务与进程服务与进程SNMP ServiceSNMP Service服务加固方法:服务加固方法:为修改为修改 SNMP SNMP 团体名团体名限制远程主机对限制远程主机对 SNMP SNMP 的访问的访问 中国移动安全安全加固培训材料关闭自动播放功能关闭自动播放功能 关闭所有驱动器的自动播放功能关闭所有驱动器的自动播放功能 点击开始运行输入 gpedit.msc,打开组策略编辑器,浏览到计算机配置管理模板系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。中国移动安全安全加固培训材料Win
9、dowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强中国移动安全安全加固培训材料密码策略密码策略 密码策略密码策略 长度长度 7 Windows 2000 127 14 Windows 9X 0 期限期限 定期修改密码定期修改密码 复杂性复杂性 Pyth0n&!大小写大小写数字数字特殊字符特殊字符中国移动安全安全加固培训材料密码策略密码策略 加固要点加固要点 密码策略密码策略:开始开始 运行运行 gpedit.msc 计算机配置计算机配置 Wind
10、ows 设置设置 安全设置安全设置 帐户策略帐户策略 帐户锁定帐户锁定策略策略-密码策略密码策略”:帐户锁定策略帐户锁定策略中国移动安全安全加固培训材料用户权利指派用户权利指派 检查用户权限策略是否设置:检查用户权限策略是否设置:开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 用户权利指派中国移动安全安全加固培训材料本地安全策略配置本地安全策略配置 检查本地安全策略配置:检查本地安全策略配置:开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 安全选项中国移动安全安全加固培训材料WindowsWindows通用安全加固
11、方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强中国移动安全安全加固培训材料日志和审核策略日志和审核策略 审核审核 了解了解Windows审核策略审核策略 审核策略并不完整审核策略并不完整 很多审核内容默认未开启很多审核内容默认未开启 只有只有在在 NTFS 磁盘上才能开启对象访问审核磁盘上才能开启对象访问审核,日志量较日志量较大大 步骤步骤 打开审核策略打开审核策略 编辑审核对象的审核项编辑审核对象的审核项中国移动安全安全加固培训材料日志和审核策略日志和审核策略 审核审核 打
12、开审核策略打开审核策略 要做什么审核?要审核什么?要做什么审核?要审核什么?位置:位置:gpedit.msc 计算机配置计算机配置 Windows设置设置 安全设置安全设置 审核设置审核设置中国移动安全安全加固培训材料日志和审核策略日志和审核策略 审核审核 查看审核日志查看审核日志 eventvwr(事件查看器)(事件查看器)中国移动安全安全加固培训材料WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强中国移动安全安全加固培训材料文件系统文
13、件系统 Windows文件系统文件系统 FAT FAT 16 FAT 32 NTFS 将将 FAT 卷转换成卷转换成 NTFS convert C:/FS:NTFS 中国移动安全安全加固培训材料用户用户 用户和组用户和组 特殊的组特殊的组 Administrators、Guests、Power Users 可通过可通过net localgroup命令打印命令打印 特殊的用户特殊的用户 Administrator、Guest 可通过可通过net user命令打印命令打印 隐藏帐号隐藏帐号 net user hide$password/add中国移动安全安全加固培训材料用户用户 加固要点加固要点
14、检查用户检查用户 克隆克隆 隐藏隐藏 清除用户清除用户 未使用的未使用的 未知的未知的 锁定用户锁定用户 Guest SUPPORT_XXXXX中国移动安全安全加固培训材料设置重要文件权限设置重要文件权限 权限权限 前提(关键字)前提(关键字)NTFS Administrators中国移动安全安全加固培训材料设置重要文件权限设置重要文件权限 权限权限 ACL(访问控制列表)(访问控制列表)包含了用户帐户和访问对象之间许可关系包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集(即,由四个权限项组成的权限项集(即,ACL)中国移动安全安全加固培训材料设置重要文件权限设置重要文件权限 权
15、限权限 ACE(访问控制项)(访问控制项)ACL中包含中包含ACE 访问控制条目访问控制条目中国移动安全安全加固培训材料设置重要文件权限设置重要文件权限 加密和压缩加密和压缩中国移动安全安全加固培训材料设置重要文件权限设置重要文件权限 审核审核 编辑审核对象的审核项编辑审核对象的审核项中国移动安全安全加固培训材料设置重要文件权限设置重要文件权限 加固要点加固要点 目录及文件的权限目录及文件的权限 查找具有查找具有everyone的权限项的权限项 重要对象的审核策略重要对象的审核策略echo offdir/s/b all.txtfor/f%i in(all.txt)do cacls%i|find
16、 Everyone中国移动安全安全加固培训材料WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强中国移动安全安全加固培训材料安全增强安全增强 删除匿名用户空连接删除匿名用户空连接 注册表如下键值:注册表如下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 将将 restrictanonymous 的值设置为的值设置为 1,若该值不存在,可以自己创,若该值不存在,可以自己创建,类型为
17、建,类型为 REG_DWORD,修改完成后重新启动系统生效,修改完成后重新启动系统生效 删除默认共享删除默认共享 注册表如下键值:注册表如下键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 将将 Autoshareserver 设置为设置为 0,若不存在,若不存在,可创建,类型为可创建,类型为 REG_DWORD修改完成后重新启动系统生效修改完成后重新启动系统生效 中国移动安全安全加固培训材料目目 录录 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加
18、固中国移动安全安全加固培训材料UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态中国移动安全安全加固培训材料帐号安全帐号安全n帐号帐号/etc/login.defs,检查 PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE检查是否存在除root外UID=0的用户检查是否存在弱口令锁定不使用的帐户(passwd l username)检查root用户环境变量设置帐号超时注销(vi/etc/profile增加TMOUT=600)中国移动安全安全加
19、固培训材料帐号安全帐号安全 限制限制root远程登录远程登录/etc/ssh/sshd_config:PermitRootLogin no/etc/securetty文件中配置:文件中配置:CONSOLE=/dev/tty01 中国移动安全安全加固培训材料UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态中国移动安全安全加固培训材料umaskumask 检查是否包含检查是否包含 umask 值值 more/etc/profile more/etc/csh.login more/etc/csh.csh
20、rc more/etc/bashrc 中国移动安全安全加固培训材料umaskumask umaskrootRHEL5 home#umask0022rootRHEL5 home#touch file1rootRHEL5 home#ls-l file1-rw-r-r-1 root root 0 Jul 26 07:17 file1(644)rootRHEL5 home#umask 0066rootRHEL5 home#touch file2rootRHEL5 home#ls-l file2-rw-1 root root 0 Jul 26 07:18 file2(600)rootRHEL5 home
21、#umask 0rootRHEL5 home#umask0000rootRHEL5 home#touch file3rootRHEL5 home#ls-l file3-rw-rw-rw-1 root root 0 Jul 26 07:25 file3(666)中国移动安全安全加固培训材料文件权限文件权限文件权限文件权限 ls lrootRHEL5 home#ls-l total 44 drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue-rw-r-r-1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmo
22、d u+x file chmod 744 file4000SUID2000SGID1000粘住位0400所有者可读所有者可读0200所有者可写所有者可写0100所有者可执行所有者可执行0040所在组可读所在组可读0020所在组可写0010所在组可执行0004其他用户可读其他用户可读0002其他用户可写0001其他用户可执行_0744结果结果中国移动安全安全加固培训材料文件权限文件权限 检查重要目录和文件的权限设置检查重要目录和文件的权限设置 ls l/etc/rc.d/init.d/chmod-R 750/etc/rc.d/init.d/*查找系统中所有的查找系统中所有的 SUID和和 SGI
23、D 程序程序中国移动安全安全加固培训材料UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态中国移动安全安全加固培训材料系统服务系统服务守护进程与服务的区别守护进程与服务的区别 守护进程守护进程 进程的一种特殊状态进程的一种特殊状态 不绑定至任何不绑定至任何Terminal 父进程是父进程是init 服务服务 相对守护进程,相对守护进程,“服务服务”的概念更为抽象的概念更为抽象 为用户提供一种功能的应用为用户提供一种功能的应用 可能包含一个或多个守护进程可能包含一个或多个守护进程 例例 服务名:服务名
24、:SSH Server 进程名:进程名:sshd中国移动安全安全加固培训材料系统服务系统服务 inetd 一些轻量级的服务,由一些轻量级的服务,由inetd集中处理集中处理 已不能满足现状已不能满足现状#inetd.conf echo stream tcp6 nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal 中国移动安全安全加固培训材料系统服务系统服务 加固要点加固要点 服务服
25、务 进程进程 端口端口 ipfw TCPWrapper libwrap;configure-with-libwrap=libwrap_path hosts.allow;hosts.deny 停止不必要的停止不必要的inetd服务服务 停止不必要的服务停止不必要的服务/etc/rc3.d/S88xxx stop mv/etc/rc3.d/S88xxx/etc/rc3.d/K88xxx 中国移动安全安全加固培训材料SnmpSnmp配置配置 Snmp安全配置如果打开了如果打开了SNMPSNMP协议,协议,snmpsnmp团体字设置不能使用默认的团体字。团体字设置不能使用默认的团体字。查看配置文件查看
26、配置文件/etc/snmp/snmpd.conf/etc/snmp/snmpd.conf,应禁止使用,应禁止使用publicpublic、privateprivate默认团体字,使用用户自定义的团体字。例如将以下设置中的默认团体字,使用用户自定义的团体字。例如将以下设置中的publicpublic替换为用户自定义的团体字:替换为用户自定义的团体字:com2sec notConfigUser default public 如无必要,管理员应禁止使用snmp服务中国移动安全安全加固培训材料OpensshOpenssh配置配置 检查系统检查系统openssh安全配置,禁止使用协议安全配置,禁止使用协
27、议1和使用和使用root直接直接登录登录编辑编辑sshd_configsshd_config文件,设置:文件,设置:Protocol 2Protocol 2 StrictModes yes StrictModes yes PermitRootLogin no PermitRootLogin no PrintLastLog yes PrintLastLog yes PermitEmptyPasswords no PermitEmptyPasswords no中国移动安全安全加固培训材料UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n
28、日志审计日志审计n系统状态系统状态中国移动安全安全加固培训材料 启用启用syslog记录所有日志记录所有日志 配置文件:配置文件:/etc/syslog.conf#vi/etc/syslog.conf authpriv.*/var/log/secure中国移动安全安全加固培训材料UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态中国移动安全安全加固培训材料系统状态系统状态 内核版本内核版本 执行命令执行命令uname-a 发行版发行版 cat/proc/version 系统系统 core dump 状态状态 执行:执行:more/etc/security/limits.conf 磁盘分区剩余空间磁盘分区剩余空间#df k Grub密码密码 cat/etc/grub.conf|grep password2022-8-13中国移动安全安全加固培训材料