HW基线检查
windows,Linux的敏感文件
Windows系统:
C:\boot.ini //查看系统版本
C:\windows\system32\SAM //账号密码文件
C:\windows\php.ini //php配置信息
C:\windows\my.ini //数据库配置文件
Linux:
/etc/passwd //账户信息
/etc/shadow //账户密码文件
/etc/my.conf //mysql 配置文件
Linux系统日志存放目录;相关日志
/var/log
/var/log/message:系统启动后的信息和错误日志
/var/log/secure:登录安全相关日志
/var/log/maillog:邮件相关的日志
/var/log/cron:定时任务相关的日志信息
/var/log/boot.log:守护进程启动和停止相关的日志消息
Linux
账户用户管理:
口令设置(空口令账户)
强度(至少8位,包括数字,大小写字母,特殊符号)
锁定策略(认证错误达10次,账户锁定)
超级用户(检查是否存在除 root 之外 UID 为 0 的用户)
awk -F: ‘($3 == 0){print $1}’ /etc/passwd
权限认证管理:
umask值为027(more /etc/profile)
登录超时设置(cat /etc/profile | grep TMOUT)
文件目录管理
系统日志权限为640(messages、secure、maillog、cron、spooler、boot.log)
协议安全要求
远程登录取消telnet采用ssh
设定远程登录的IP地址范围(/etc/hosts.allow)
禁止ICMP重定向
Windows
身份鉴别
口令复杂度设置
口令生存期设置
禁止来宾账号
共享账户检查
管理员账户改名
用户锁定策略
远程登录超时
访问控制
远程关机
用户权限指派
授权账户登录
授权帐户从网络访问
本机远程端口访问控制
默认共享检查
共享权限检查
安全审计
审查登录事件
审查系统日志完整性
系统日志大小配置
安全防护
防病毒管理
操作系统补丁管理
WINDOWS 服务安全
SNMP 服务管理
关闭不必要的服务
启动项管理
IIS 服务管理
自动播放关闭
linux安全基线检查
身份鉴别:
检查是否除root以外,UID号为零的用户
密码复杂程度 /etc/login.defs
用户锁定策略
权限认证管理:
Umask 值:一般默认022,我们配置的话027
相对应的文件目录权限:750
文件权限:640
系统日志权限
审计系统日志:
系统启动信息,错误日志:message
用户登录信息日志:secure
邮件日志:maillog
定时任务日志:cron日志
系统启动项,守护进程:boot.log
服务安全方面:
关闭不必要的协议:采用ssh(22),禁用:Telnet(23)
设置远程登录IP地址范围
禁止ICMP重定向
Windows基线检查
身份鉴别:
管理员修改用户名,将admin,adminstrator,用户进行修改
密码复杂程度
口令生存周期
用户锁定策略
禁止来宾用户
禁止远程登录
禁止共享账号
访问控制:
授权关机
授权用户登录
授权用户从网络访问
权限指派
默认共享检查
安全审计
审查日志完整性
审查登录事件
审查日志大小
服务安全
关闭不必要的安全服务
安全防护:
防病毒管理
操作系统补丁管理
IIS基线检查:
卸载无必要的组件,(这种会使IIS小型化,更方便安全检查,对不必要的组件使用有可
能引起安全漏洞问题)
iis6.0存在文件解析漏洞
所文件上传目录,改成不可执行,上传文件,进行重新命名
日志设置
Ssl加密
网站权限:只允许网站站内目录,禁止访问站外目录
Apache基线加固:
Apache服务配置文件:httpd.conf
我们要做的是隐藏Apache版本信息(因为有些Apache版本存在文件解析漏洞:Apache流量解析漏洞一般从右到左解析文件名)
禁止Apache访问外部文件
拒绝服务攻击
删除无用文件
Tomact:基线加固:
账号设置强口令,防止爆破
删除docs,examples多余文件
日志审核
禁止非法HTTP请求方法:delete,put方法
Nginx:基线加固
隐藏版本信息
开启Nginx的web访问记录日志
检查是否配置Nginx账号锁定策略
确定Nginx配置文件权限为644| 文件权限
mysql数据基线加固:
最小权限运行数据库(打开任务管理器,查看运行)
数据库存放位置检查
Windows系统,数据库不可以放在C盘
日志文件权限:660
数据库密码加强
数据库定时备份
日志文件了解多少?
日志文件是用于记录系统操作事件的记录文件或文件集合,可分为事件日志和消息日志。具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。
在Linux系统中,有三个主要的日志子系统:?
连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和
/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能
够跟踪谁在何时登录到系统。
进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文
件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统
计。
错误日志: 由rsyslog守护程序执行,各种系统守护进程、用户程序和内核通
过rsyslog守护程序向文件/var/log/messages报告值得注意的事件。另外
有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保
持详细的日志。