7.7. 加固检查

文章目录

  • 7.7. 加固检查
    • 7.7.1. 网络设备
    • 7.7.2. 操作系统
      • 7.7.2.1. Linux
      • 7.7.2.2. Windows
    • 7.7.3. 应用
      • 7.7.3.1. FTP
      • 7.7.3.2. SSH
      • 7.7.3.3. MySQL
    • 7.7.4. Web中间件
      • 7.7.4.1. Apache
      • 7.7.4.2. Nginx
      • 7.7.4.3. IIS
      • 7.7.4.4. JBoss
      • 7.7.4.5. Tomcat
    • 7.7.5. 密码管理策略
    • 7.7.6. 参考链接

7.7. 加固检查

7.7.1. 网络设备

  • 及时检查系统版本号
  • 敏感服务设置访问IP/MAC白名单
  • 开启权限分级控制
  • 关闭不必要的服务
  • 打开操作日志
  • 配置异常告警
  • 关闭ICMP回应

7.7.2. 操作系统

7.7.2.1. Linux

  • 无用用户/用户组检查

  • 空口令帐号检查

  • 用户密码策略

    • /etc/login.defs
    • /etc/pam.d/system-auth
  • 敏感文件权限配置

    • /etc/passwd
    • /etc/shadow
    • ~/.ssh/
    • /var/log/messages
    • /var/log/secure
    • /var/log/maillog
    • /var/log/cron
    • /var/log/spooler
    • /var/log/boot.log
  • 日志是否打开

  • 及时安装补丁

  • 开机自启

    • /etc/init.d
  • 检查系统时钟

7.7.2.2. Windows

  • 异常进程监控

  • 异常启动项监控

  • 异常服务监控

  • 配置系统日志

  • 用户账户

    • 设置口令有效期
    • 设置口令强度限制
    • 设置口令重试次数
  • 安装EMET

  • 启用PowerShell日志

  • 限制以下敏感文件的下载和执行

    • ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
  • 限制会调起wscript的后缀

    • bat, js, jse, vbe, vbs, wsf, wsh
    • 限制将计算机加入域的权限
    • 域账户使用最小权限原则
    • 减少非必要高权限账户的数量

7.7.3. 应用

7.7.3.1. FTP

  • 禁止匿名登录
  • 修改Banner

7.7.3.2. SSH

  • 是否禁用ROOT登录
  • 是否禁用密码连接

7.7.3.3. MySQL

  • 文件写权限设置
  • 用户授权表管理
  • 日志是否启用
  • 版本是否最新

7.7.4. Web中间件

7.7.4.1. Apache

  • 版本号隐藏
  • 版本是否最新
  • 禁用部分HTTP动词
  • 关闭Trace
  • 禁止 server-status
  • 上传文件大小限制
  • 目录权限设置
  • 是否允许路由重写
  • 是否允许列目录
  • 日志配置
  • 配置超时时间防DoS

7.7.4.2. Nginx

  • 禁用部分HTTP动词
  • 禁用目录遍历
  • 检查重定向配置
  • 配置超时时间防DoS

7.7.4.3. IIS

  • 版本是否最新
  • 日志配置
  • 用户口令配置
  • ASP.NET功能配置
  • 配置超时时间防DoS

7.7.4.4. JBoss

  • jmx console配置
  • web console配置

7.7.4.5. Tomcat

  • 禁用部分HTTP动词
  • 禁止列目录
  • 禁止manager功能
  • 用户密码配置
  • 用户权限配置
  • 配置超时时间防DoS

7.7.5. 密码管理策略

  • 长度不少于8个字符
  • 不存在于已有字典之中
  • 不使用基于知识的认证方式

7.7.6. 参考链接

  • awesome windows domain hardening
  • customize attack surface reduction

上一篇:7.6. 防御框架 下一篇:7.8. 入侵检测

你可能感兴趣的:(Web安全学习笔记,加固检查,网络设备,操作系统,应用,web中间件)