安全基线加固
[*] 安全基线加固
[*] 定义:为了实现基本防护需求而订定的一系列基准;
[*] Windows && Linux 安全基线加固
操作系统具体操作 Windows
账户认证
基本要求对应操作对登录操作系统的用户进行身份标识和辨别
[*]操作内容:检测开机登录时是否需要密码
[*]操作结果:杜绝空密码登录的情况
管理缺省用户
[*]操作内容:重命名administrator,禁用guest账户
[*]操作步调:net localgroup administrators 确认除 administrator 之外还存在哪些管理员账户
口令要求具有复杂度而且会定期更换
[*]操作内容:提升口令复杂度,定期更换口令
[*]操作步调:
[*]Win+R 中实行 gpedit.msc
[*]盘算机设置 - Windows设置 - 安全设置 - 账户计谋 - 密码计谋 - 密码必须符合复杂性要求 - 启用
[*]同一页面下:密码最长使用期限,设置 < 90 天
启用登录失败处理功能,限制非法登录次数
[*]操作内容:检测用户连续认证失败后是否有限制
[*]操作步调:
[*]Win+R 中实行 gpedit.msc
[*]盘算机设置 - Windows设置 - 安全设置 - 账户计谋 - 账户锁定计谋
[*]账户锁定阈值 ≤ 5,锁定时间 ≥ 5 分钟
限制非管理员账户关闭盘算机
[*]操作内容:检测用户连续认证失败后是否有限制
[*]操作步调:
[*]Win+R 中实行 gpedit.msc
[*]盘算机设置 - Windows设置 - 安全设置 - 本地计谋 - 用户权限分配 - 从长途系统逼迫关机 中只保留 administrator 组
[*]操作结果:除 administrator 组外用户均为关机权限
日志
基本要求对应操作 设置日志功能对用户的登录情况进行记录
(账户,登录状态,时间以及IP 地点)
[*]操作内容:审核登录
[*]操作步调:
[*]Win+R 中实行 gpedit.msc
[*]盘算机设置 - Windows设置 - 安全设置 - 本地计谋 - 审核计谋 - 审核登录变乱 - 勾选乐成和失败
[*]操作结果:审核计谋 登录和失败都勾选
[*]其他审核项 基本要求测试内容预期要求审核对象访问启用Windows系统的审核对象访问"审核对象访问"设置为"乐成" 和"失败"都要审核审核进程追踪启用Windows系统的审核进程追踪"审核进程追踪"设置为"失败"要审核审核目次服务器访问启用组Windows系统的审核目次服务访问"审核目次服务器访问"设置为"乐成" 和"失败"都要审核审核特权使用启用Windows系统的审核特权使用"审核系统变乱"设置为"乐成" 和"失败"都要审核审核系统变乱启用Windows系统的审核系统变乱"审核特权使用"设置为"乐成" 和"失败"都要审核
设置日志文件巨细
[*]目次:C:\Windows\System32\winevt\Logs
[*]操作内容:设置日志文件 ≥ 8192 KB
[*] 操作步调:
[*]Win+R 中 实行 control 或 eventvwr (直接打开)
[*]控制面板 - 检察方式:小图标 - 管理工具 - 变乱检察器 - Windows 日志 - 选择相应的日志 -属性 - 日志最大巨细 ≥ 8192 KB
[*]操作结果:应用日志,系统日志,安整日志 (日志巨细 ≥ 8192 KB)
[*]特殊变乱ID 变乱ID登录 变乱ID登陆乐成4624登录失败4625账户操作 变乱ID下令创建账户4720net user 新用户名 密码 /add启用账户4722net user 用户名 /active:yes重置账号密码4724net user 用户名 新密码删除账户4726net user 用户名 /delete成员到用户组操作 全局 变乱ID下令添加用户成员到全局用户组4728net group "全局组名" 用户名 /add删除用户成员从全局用户组4729net group "全局组名" 用户名 /delete本地 变乱ID下令添加用户成员到本地用户组4732net localgroup "本地组名" 用户名 /add删除用户成员从本地用户组4733net localgroup "本地组名" 用户名 /delete
入侵防范与访问控制
基本要求对应操作对共享文件进行权限限制
[*]操作内容:对共享文件夹的权限进行限制
[*]操作步调:
[*]Win+R 中 实行 compmgmt.msc
[*]盘算机管理 -系统工具 - 共享文件夹 - 共享 - 选中检察 - 右击属性 - 共享权限 - 若包含Everyone 则将其删除
[*]操作结果:共享权限中不包含 Everyone
修改长途桌面服务的默认端口
[*]操作内容:对长途桌面服务端口进行更改
[*]操作步调:
[*]Win+R 中 实行 regedit
[*]盘算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 中修改 PortNumber 为3389以外的 16 进制;
[*]盘算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 中修改 PortNumber 为3389以外的 16 进制;
[*]生存新值后,重启系统见效
[*]操作结果:RDP服务不再是3389端口
克制长途访问操作系统注册表路径和子路径
[*]操作内容:将 长途访问操作系统注册表路径和子路径 设置为空
[*]操作步调:Win+R 中 实行 gpedit.msc
[*]本地盘算机计谋 - 盘算 机设置 - Windows 设置 - 安全设置 - 本地计谋 - 安全选项 - 可 长途访 问的注册表路径和子路径 - 双击设置为空
[*]操作结果:克制长途毗连注册表
安装终端防护软件
[*]操作内容:防范恶意代码
[*]操作步调:使用正版授权的盘算机病毒防护软件,及时更新病毒库;
系统服务
基本要求对应操作关闭非必要的系统服务
[*]操作内容:管理系统服务
[*]操作步调:
[*]Win+R 中 实行 control
[*]控制面板 - 检察方式:小图标 - 管理工具 - 盘算机管理 - 服务和应用程序 - 检察并关闭服务
[*]发起关闭的服务 Error Reporting Service错误陈诉服务Computer browser浏览局域网盘算机列表Print Spooler打印队列服务Remote Registry长途注册表操作Routing and Remote Access路由与长途访问shell hardware Detection为自动播放硬件变乱提供通知telnet长途管理TCP/IP NetBIOS Helper答应客户端共享文件,打印机和登录到网络
[*]操作结果:关闭非必要的系统服务
系统更新
基本要求对应操作系统自动更新安全补丁
[*]操作内容:系统自动更新安全补丁
[*]操作步调:开启系统自动更新功能,检查Windows 更新
[*]操作结果:安装关键和告急的系统补丁
基线排查脚本
以管理员权限运行 bulid_security_Strategy.bat 脚本
Linux
用户账号口令设置
基本要求对应操作检查是否存在空密码账户
[*]操作步调:awk -F: '($2==""){print$1}' /etc/shadow
[*]操作结果:不存在空口令账户(有输出则存在,无输出则不存在)
检查密码计谋
[*]操作步调:vim /etc/login.defs
[*]检查参数 参数说明参考值PASS_MAX_DAYS密码最长过期天数90PASS_MIN_DAYS密码最小过期天数80PASS_MIN_LEN密码最小长度8PASS_WARN_AGE密码过期告诫天数7
[*]操作结果:密码设置符合计谋安全
限制 root 用户长途登录
[*]操作内容:关闭 root 用户长途登录
[*]操作步调:
[*]新建长途登录 ssh 用户 ,例:useradd user1
[*]设置密码: passwd user1
[*]密码:userpasswd
[*]设置 sudo 权限: chmod u+w /etc/sudoers && vim /etc/sudoers
[*]添加:user1 ALL=(ALL:ALL) ALL
[*]规复权限:chmod u-w /etc/sudoers
[*]测试:su user1 实行:id
[*]实行sudo vim /etc/ssh/sshd_config
[*]找到 PermitRootLogin 删除前面的 #号,并改为 no
[*]重启sshd 服务,实行 system restart sshd 或 systemctl restart ssh
[*]操作结果:root 用户 无法直接登录ssh,但可以以新用户身份登录ssh
检查是否存在除root以外 UID 为0的用户
[*]操作步调:awk -F: '($3==0){print$1}' /etc/passwd
[*]操作结果:保证 UID为0的只有 root 用户
启用密钥登录,关闭密码登录
[*]操作内容:
[*]操作步调:
[*]天生密钥:sudo ssh-keygen 会提示文件路径,需更改下面的文件路径
[*]设置 id_rsa.pub : cat /home/kali/.ssh/id_rsa.pub >> /home/kali/.ssh/authorized_keys
[*]赋予天生文件读写权限:chmod 600 id_rsa
[*]使用天生的文件登录:ssh 用户名@IP -i 天生文件 ,例:ssh user1@192.168.16.1 -i id_rsa
[*]关闭密码登录: vim /etc/ssh/sshd_config 添加: PasswordAuthentication no
[*]重启 SSH 服务:systemctl restart sshd , systemctl restart ssh
[*]操作结果:无法使用密码登录,必须使用 天生的文件进行登录(id_rsa)
系统文件与访问控制
基本要求对应操作用户毗连安全性设置
[*]操作步调:
[*]检查.netrc文件 find / -name .netrc 2>/dev/null
[*]检查.rhosts文件 find / -name .rhosts 2>/dev/null
[*]操作结果:系统中 无 .netrc 和 .rhosts 文件
用户 umask 安全设置
[*]操作步调:检查是否包含umask值 cat /etc/profile /etc/csh.login /etc/csh.cshrc /etc/bashrc 2>/dev/null |grep umask
[*]操作结果:无 umask 值
告急目次和文件的权限设置
[*]操作步调: 查找未授权的 SUID/SGID 文件
[*]find / -perm -04000 2>/dev/null
[*]find / -perm -02000 2>/dev/null
查找任何人都有写权限的目次
[*]find / -type d -perm -o+w 2>/dev/null
检查隐藏的文件或目次
[*]find / -xdev -name ". *" -print
[*]find / -xdev -name ".. *" -print
[*]操作结果:
[*]无未授权的suid /sgid 权限
[*]无未授权的可写目次
[*]无未授权的隐藏文件或目次
系统 core dump 状态
[*]操作步调:
[*]vim /etc/security/limits.conf
[*]添加 * soft core 0 ,* hard core 0
[*]操作结果:关闭core dump
linux日志审计
基本要求对应操作检察 syslog 登录变乱记录
[*]操作步调:检察authpriv的值:more /etc/rsyslog.conf
[*]操作结果:对所有登录变乱都有记录
告急日志
说明日志文件下令登录乐成日志/var/log/wtmplast登录失败日志/varlog/btmplastb末了一次登录/var/log/lastloglastlog登录日志 Centos:/var/log/secure
Debian:/var/log/auth.log
当前登录用户(时间,IP)/var/log/utmpw,who,users汗青下令记录用户家目次下的 .bash_history 文件history 中间件
Apache 日志
# 查看日志中最近访问主机的IP
cat access.log | awk '{print $1}'
# 显示访问次数前10的IP
cat access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -10
# 显示指定时间后的日志(修改时间)
cat access.log |awk '$4>="[1/Jan/2020:00:00:00"'
# 查看某一时间内的 IP 连接情况(修改时间)
grep "2016:09" access.log |awk '{print $4}'|sort|uniq -c |sort -nr
# 查看指定的 IP 做了什么
cat access.log.1 |grep 127.0.0.1| awk '{print $1"\t"$8}'| sort|uniq -c |sort -nr|less
# 查看最近访问量次数最多的文件
cat access.log |tail -10000| awk '{print $7}'| sort|uniq -c |sort -nr|less IIS 日志
IIS7.5:%SystemDrive%\inetpub\logs\LogFiles
IIS6.0:%systemroot%\system32\logfiles\w3svc1\
[*] 结语
酷爱的网络安全同行和爱好者们,
在我分享的网络安全自学条记中,我深感本身的知识和经验有限。为了更好地服务于这个领域,我朴拙地希望各位可以或许指出我的错误和不敷,以便我们共同进步,提升网络安全防护本领。
我深知,网络安满是一个不断发展的领域,需要我们持续学习和实践。我的条记可能存在理解偏差、技术更新不及时或实践应用上的疏漏。因此,我非常接待各位专家和同好们提出名贵意见,帮助我美满内容,确保信息的准确性和实用性。
请您在阅读过程中,如果发现任何问题,无论是小的笔误还是大的概念性错误,都能及时反馈给我。您的每一次指正都是我进步的阶梯,也是我们共同守护网络安全的责任所在。
感谢您的理解和支持,让我们一起积极,为网络安全领域的发展贡献力量!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]