安全評估技術(shù)PPT課件

1、（一） 信息系統(tǒng)安全漏洞現(xiàn)狀分析1.1 “漏洞” 定義 漏洞是存在于系統(tǒng)安全措施，設(shè)計，實現(xiàn)，內(nèi)部管理等方面的缺點或弱點。這種缺點或弱點能夠被使用（偶然觸發(fā)或有意利用）并危害系統(tǒng)安全策略。1.2 “漏洞” 分類 技術(shù)性漏洞 主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等方面存在的設(shè)計和實現(xiàn)缺陷。 非技術(shù)性漏洞 主要是指系統(tǒng)的安全策略、訪問控制、權(quán)限設(shè)置、系統(tǒng)開發(fā)和維護(hù)等方面存在的不足或者缺陷。第1頁/共55頁1.3 信息系統(tǒng)安全漏洞現(xiàn)狀（一） 信息系統(tǒng)安全漏洞現(xiàn)狀分析SEBUG漏洞信息庫漏洞攻擊類型分布圖對SEBUG漏洞信息數(shù)據(jù)庫中最近24個月數(shù)據(jù)的統(tǒng)計圖表。遠(yuǎn)程溢出12.75%、本地溢出9.29%、拒絕服

2、務(wù)6.58%等第2頁/共55頁1.4 安全漏洞入侵顯著特點：遠(yuǎn)程漏洞溢出自動溢出案例增多 從最早的1433端口、53端口、445端口等，這個端口都是MS SQL SERVER、DNS、SERVER的服務(wù)端口，隨著這些服務(wù)的遠(yuǎn)程溢出漏洞被發(fā)現(xiàn)，攻擊代碼的發(fā)布，自動化的漏洞攻擊程序也就隨之而來。（一） 信息系統(tǒng)安全漏洞現(xiàn)狀分析攻擊者掃描直接溢出獲取shell上傳木馬控制主機(jī)添加賬號放置后門數(shù)據(jù)外泄自動溢出攻擊常見圖例第3頁/共55頁1.5 信息系統(tǒng)安全漏洞分析信息系統(tǒng)支撐系統(tǒng)操作系統(tǒng)漏洞數(shù)據(jù)庫漏洞應(yīng)用系統(tǒng)漏洞Microsoft Windows SMB客戶端遠(yuǎn)程代碼執(zhí)行漏洞(MS11-019)win

3、dowsLinux Kernel “sound/oss/opl3.c”本地權(quán)限提升漏洞linuxApple Mac OS X i386_set_ldt()權(quán)限提升漏洞 MaXCREATE_CHANGE_SET過程SQL注入漏洞 Oracle SQL Server 2000 sp_replwritetovarbin() Heap Overflow Exploit (0day)SQL SERVEROracle MySQL for Microsoft Windows Payload ExecutionMySQLxx.php.xxx格式的文件解析漏洞ApacheApache Tomcat 計算機(jī)管理）

4、打開殺毒軟件殺毒歷史記錄，不存在沒被清除的病毒第14頁/共55頁（三） Linux系統(tǒng)安全評估技術(shù)第15頁/共55頁（三） Linux系統(tǒng)安全評估技術(shù)1. 版本補(bǔ)丁及檢查1、檢查內(nèi)核版本輸入 uname -a2、檢查系統(tǒng)版本輸入“more /etc/redhat-release”第16頁/共55頁（三） Linux系統(tǒng)安全評估技術(shù)2. 賬號及賬號策略檢查1、檢查root賬號是否唯一(more /etc/passwd 檢查UID是否都唯一 UID為0的賬號應(yīng)該為root賬號，或直接輸入“grep :x:0: /etc/passwd”）2、檢查/etc/passwd 文件的是否有不必要用戶第17頁

5、/共55頁（三） Linux系統(tǒng)安全評估技術(shù)2. 賬號及賬號策略檢查3、密碼策略檢查(輸入” more /etc/login.defs ”) 密碼的生命期最大為90天 PASS_MAX_DAYS 90密碼可以被立即修改 PASS_MIN_DAYS 0密碼的最小長度是8位 PASS_MIN_LEN 8密碼到期提醒，一般建議7天 PASS_WARN_AGE 7第18頁/共55頁（三） Linux系統(tǒng)安全評估技術(shù)3. 訪問控制類檢查1、訪問控制類檢查 訪問控制系統(tǒng)已設(shè)定了正確UMASK值0022 輸入umask鎖定系統(tǒng)中不必要的系統(tǒng)用戶 查看/etc/passwd中存在uucp、nuucp、lp、n

6、ews等帳號 如：lp:!*:13943:0:99999:7: lp帳戶后面有！號為已鎖定。系統(tǒng)中已經(jīng)刪除了不必要的系統(tǒng)用戶組禁止root用戶遠(yuǎn)程登錄 查看 /etc/ssh/sshd_config文件將其中的PermitRootLogin改成no，然后重新啟動ssh服務(wù)系統(tǒng)重要文件訪問權(quán)限是否為644或600 ls /etc/passwd /etc/shadow系統(tǒng)與其它主機(jī)不存在信任關(guān)系- 檢查系統(tǒng)中是否存在.rhosts，.netrc，hosts.equiv文件，以及內(nèi)容是否為空。ls / .rhostsls / .netrcls / .hosts.equiv分類檢查選項第19頁/共55

7、頁（三） Linux系統(tǒng)安全評估技術(shù)4. 不必要服務(wù)檢查1、訪問控制類檢查 xinetd啟動的不必要服務(wù)chargen/chargen-udp、daytime/daytime-udp、echo/echo-udp、time/time-udp等小服務(wù)已被禁用chkconfig - list 列出需要禁止的服務(wù)下列服務(wù)已被禁用：cups-lpd服務(wù)已被禁用finger服務(wù)已被禁用員 rexec服務(wù)已被禁用 rlogin服務(wù)已被禁用 rsh服務(wù)已被禁用 rsync服務(wù)已被禁用ntalk服務(wù)已被禁用 talk服務(wù)已被禁用 wu-ftpd服務(wù)已被禁用 tftp服務(wù)已被禁用 ipop2服務(wù)已被禁用ipop3

8、服務(wù)已被禁用 telnet服務(wù)已被禁用 xinetd服務(wù)已被禁用其它不必要的服務(wù)其它不必要的服務(wù):sendmail服務(wù)已被禁用xfs服務(wù)已被禁用 apmd服務(wù)已被禁用 canna服務(wù)已被禁用 FreeWnn服務(wù)已被禁用 gpm服務(wù)已被禁用innd服務(wù)已被禁用 irda服務(wù)已被禁用 isdn服務(wù)已被禁用 kdcrotate服務(wù)已被禁用 lvs服務(wù)已被禁用 mars-nwe服務(wù)已被禁用 oki4daemon服務(wù)已被禁用 rstatd服務(wù)已被禁用 rusersd服務(wù)已被禁用 rwalld服務(wù)已被禁 rwhod服務(wù)已被禁用 wine服務(wù)已被禁用 smb服務(wù)已被禁用nfs服務(wù)已被禁用 autofs/nf

9、slock服務(wù)已被禁用 ypbind服務(wù)已被禁用ypserv/yppasswdd服務(wù)已被禁用portmap服務(wù)已被禁用 netfs服務(wù)已被禁用cups服務(wù)已被禁用 lpd服務(wù)已被禁用 snmpd服務(wù)已被禁用 named服務(wù)已被禁用 postgresql服務(wù)已被禁用 mysql服務(wù)已被禁用webmin服務(wù)已被禁用 squid服務(wù)已被禁用 kudzu服務(wù)已被禁用chkconfig - list 列出需要禁止的服務(wù)分類檢查選項評估操作示例第20頁/共55頁（三） Linux系統(tǒng)安全評估技術(shù)5. 其它安全檢查分類檢查選項其它安全配置系統(tǒng)的命令行數(shù)是否保存為30條 vi /etc/profile HIS

10、TFILESIZE=30 HISTSIZE=30 （如果沒有請自行添加） 修改保存值為30 系統(tǒng)禁用X-Window系統(tǒng) 用命令（more /etc/inittab）id:5:initdefault:如數(shù)值為5表示，以X-Window登錄，將其數(shù)值改為3，表示系統(tǒng)啟動時不啟動X-WINDOWS.文件/目錄控制/tmp和/var/tmp目錄具有粘滯位止非授權(quán)用戶去刪除這些文件里的內(nèi)容。給 /tmp 和/var/tmp設(shè)置了粘滯位（用chmod +t），唯一能夠刪除或重命名 /tmp和/var/tmp 中文件的是該目錄的所有者（通常是 root 用戶）、文件的所有者或 root 用戶第21頁/共5

11、5頁（四 ） AIX 系統(tǒng)安全評估技術(shù)第22頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)1. 版本補(bǔ)丁及檢查1、檢查系統(tǒng)版本輸入 “uname a”第23頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)2. 賬號及賬號策略檢查1、檢查root賬號是否唯一(more /etc/passwd 檢查UID是否都唯一 UID為0的賬號應(yīng)該為root賬號，或直接輸入“grep :x:0: /etc/passwd”）2、檢查/etc/passwd 文件的是否有不必要用戶第24頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)2. 賬號及賬號策略檢查3、密碼策略檢查(輸入” more /etc/security

12、/passwd”) 密碼控制histexpire定義用戶不能重新使用密碼的時間周期（以周為單位）。應(yīng)該等于26或者大于26 more /etc/security/passwd”) histsize定義用戶不能重新使用的先前密碼次數(shù),建議設(shè)置20 即20次的密碼不得相同maxage設(shè)置口令最長有效期,應(yīng)小于等于13 以周為單位,13即為90天maxexpired定義用戶可以更改到期密碼的超出 maxage 值的最長時間(以周為單位),應(yīng)小于等于2，即為該用戶密碼過期后二周內(nèi)未修改密碼，將只有ROOT用戶才能進(jìn)行修改，對ROOT除外minalpha設(shè)置口令中最少包含字母字符的數(shù)量,應(yīng)大于等于，即為

13、密碼必須包含2個字母做為密碼mindiff定義在新密碼中（而非在舊密碼中）要求的字符的最小數(shù),值應(yīng)大于等于 即為新密碼與舊密碼中不同字符的最小數(shù)目為4minlen設(shè)置密碼最短長度,應(yīng)大于等于8 即為密碼最小位數(shù)為8位字符分類檢查選項評估操作示例第25頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)3. 訪問控制類檢查1、訪問控制類檢查 訪問控制設(shè)置了登錄失敗，鎖定帳戶的次數(shù) logindisable的值已設(shè)置，推薦值為more /etc/security/login.cfg失敗登錄后延遲5秒顯示提示符 logindelay=5 失敗登錄后延遲5秒顯示提示符被禁止登錄的終端，在15分鐘后從新被激活

14、loginreenable15設(shè)置了無效登錄的終端鎖定時間 logininterval的值已設(shè)置，推薦值為重新設(shè)置了登錄歡迎信息 herald值不為空系統(tǒng)與其它主機(jī)不存在信任關(guān)系more /etc/hosts.equivmore $HOME/.rhostsmore $HOME/.netrc系統(tǒng)已設(shè)定了正確UMASK值0022umask鎖定系統(tǒng)中不必要的系統(tǒng)用戶/usr/sbin/lsuser -a account_locked ALL | more系統(tǒng)中已經(jīng)刪除了不必要的系統(tǒng)用戶組more /etc/grouproot daemon bin sys adm lp uucp nuucp nobo

15、dy useradm guest 等賬戶不能訪問ftp服務(wù)器cd /etc/ftpdmore ftpusers終端登錄超時退出 啟用 TMOUT120 #for Korn ShellTIMEOUT120 #for Bourne Shellmore /etc/profile禁止root用戶遠(yuǎn)程登錄 性(默認(rèn)為true,允許遠(yuǎn)程登錄,false為禁止，只對telnet或rlogin生效)lsuser -a rlogin root 系統(tǒng)重要文件訪問權(quán)限是否為744或700ls -al /etc/passwd /etc/security/passwd分類檢查選項評估操作示例第26頁/共55頁（四 ）

16、AIX 系統(tǒng)安全評估技術(shù)4. 不必要服務(wù)檢查inetd啟動的不必要服務(wù)inetd啟動的不必要服務(wù):bootps已被禁用系統(tǒng)的小服務(wù)已被禁用cmsd服務(wù)已被禁用comsat服務(wù)已被禁用dtspc服務(wù)已被禁用 exec服務(wù)已被禁用finger服務(wù)已被禁用 ftp服務(wù)已被禁用imap2服務(wù)已被禁用 klogin服務(wù)已被禁用kshell服務(wù)已被禁用 login服務(wù)已被禁用netstat服務(wù)已被禁用 ntalk和talk服務(wù)已被禁用pcnfsd服務(wù)已被禁用 pop3服務(wù)已被禁用rexd服務(wù)已被禁用 quotad服務(wù)已被禁用rstatd服務(wù)已被禁用 rusersd服務(wù)已被禁用rwalld服務(wù)已被禁用 sh

17、ell服務(wù)已被禁用spayd服務(wù)已被禁用 systat服務(wù)已被禁用tftp服務(wù)已被禁用 time服務(wù)已被禁用ttdbserver服務(wù)已被禁用操作：#more /etc/inetd.conf 或#grep -v # /etc/inetd.conf檢查相關(guān)服務(wù)的條目是否被注釋，或者文件中沒有相關(guān)條目其它不必要服務(wù)其它不必要服務(wù)CDE桌面環(huán)境已被禁用lpd服務(wù)已被禁用nfs服務(wù)已被禁用portmap服務(wù)已被禁用sendmail服務(wù)已被禁用#grep /etc/rc.dt /etc/inittab#grep lpd /etc/inittab#grep nfs /etc/inittab#grep por

18、tmap /etc/rc.tcpip#grep sendmail /etc/rc.tcpip分類檢查選項評估操作示例第27頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)4. 不必要服務(wù)檢查默認(rèn)開放的服務(wù)shell rsh服務(wù)，盡可能禁用該服務(wù)。使用“安全shell“作為替代login rlogin服務(wù)，易于遭受IP欺騙與DNS欺騙，數(shù)據(jù)明文傳輸，建議使用安全shell代替該服務(wù)exec 遠(yuǎn)程執(zhí)行服務(wù),以root用戶身份運行,要求輸入一個用戶標(biāo)識和密碼,它們將不受保護(hù)進(jìn)行傳遞,該服務(wù)是非常容易遭到監(jiān)聽 的,建議禁用。ntalk 允許用戶相互交談，以root用戶身份運行，除非絕對需要，否則禁用。d

19、aytime 廢棄時間服務(wù)(僅測試),以root用戶身份運行,可用作TCP與UDP服務(wù),僅對測試使用,并為”拒絕服務(wù)PING”攻擊提供機(jī)會,建議禁用time 廢棄時間服務(wù)，由rdate命令使用的inetd的內(nèi)部功能 ，該服務(wù)是過時的，使用ntpdate替代。第28頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)5. 其它安全檢查分類檢查選項其它安全配置系統(tǒng)的命令行數(shù)是否保存為30條 vi /etc/profile HISTFILESIZE=30 HISTSIZE=30 （如果沒有請自行添加） 修改保存值為30 系統(tǒng)中已經(jīng)安裝了OpenSSH代替telnet#netstat -an |grep 2

20、2檢查系統(tǒng)是否開放22端口文件/目錄控制/tmp和/var/tmp目錄具有粘滯位止非授權(quán)用戶去刪除這些文件里的內(nèi)容。給 /tmp 和/var/tmp設(shè)置了粘滯位（用chmod +t），唯一能夠刪除或重命名 /tmp和/var/tmp 中文件的是該目錄的所有者（通常是 root 用戶）、文件的所有者或 root 用戶第29頁/共55頁（四 ） AIX 系統(tǒng)安全評估技術(shù)5. 其它安全檢查分類檢查選項FTP服務(wù)檢查/etc/ftpusers文件是否把 root等不必要賬號禁用FTP權(quán)限Cat /etc/ftpusersLs al /etc/fftpusers 權(quán)限為644檢查syslog服務(wù)是否把f

21、tp服務(wù)的操作日志記錄到log文件中。More /etc/syslog.conf 包含 /tmp/ftplog.logMore /etc/inetd.conf文件包含ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l第30頁/共55頁（五 ） Tomcat中間件全評估技術(shù)第31頁/共55頁（五） Tomcat中間件安全評估技術(shù)1. 版本檢查1、檢查系統(tǒng)版本查看方法：1、WINDOWS系統(tǒng)請檢查X:Tomcat Xlogscatalina*.log文件中的版本信息,如信息:“ Starting Servlet Engine:

22、 Apache Tomcat/6.0.14” 2、unix(linux)系統(tǒng)請檢查/usr/local/tomcat/logs/catalina.out文件中的版本信息,如信息:“ Starting Servlet Engine: Apache Tomcat/6.0.14” ；如不在此路徑請使用命令“find / -nmae catalina.out”查找。第32頁/共55頁（五） Tomcat中間件安全評估技術(shù)2. 管理口令檢查1、檢查管理口令查看方法：檢查$CATALINA_HOME/conf/tomcat-users.xml文件內(nèi)容，例： 注：部分版本默認(rèn)沒設(shè)密碼或設(shè)置為弱口令。第33頁

23、/共55頁（五） Tomcat中間件安全評估技術(shù)3. 訪問控制1、 TOMCAT Manager 設(shè)置了管理IP地址查看方法：檢查$CATALINA_HOME/conf/server.xml文件中示例： 或 第34頁/共55頁（五） Tomcat中間件安全評估技術(shù)3. 訪問控制2、應(yīng)用服務(wù)器的遠(yuǎn)程關(guān)閉功能的端口及口令檢查查看方法：檢查server.xml文件中上面值需修改為其他如：第35頁/共55頁（五） Tomcat中間件安全評估技術(shù)3. 訪問控制3、 tomcat是否禁用瀏覽目錄功能查看方法：查看WEB.XML文件把listings參數(shù)設(shè)置成false，如 listingsfalse. 第

24、36頁/共55頁（五） Tomcat中間件安全評估技術(shù)4. 日志審計1、是否啟用日志功能查看方法：查看檢查$CATALINA_HOME/conf/server.xml一般默認(rèn)設(shè)置如： !- -日志啟用時應(yīng)無 此兩個標(biāo)志符。如： 第37頁/共55頁（五） Tomcat中間件安全評估技術(shù)4. 日志審計2、日志是否啟用詳細(xì)記錄選項查看方法：查看檢查$CATALINA_HOME/conf/server.xml示例： pattern=combined 記錄的日志內(nèi)容更詳細(xì)，fileDateFormat=yyyy-MM-dd.HH，會讓日志文件按小時進(jìn)行滾卷，比默認(rèn)的按天滾卷要好些，尤其是訪問量大的網(wǎng)站，

25、可以考慮寫成fileDateFormat=yyyy-MM-dd.HH.mm，就會是每分鐘一個日志文件了。第38頁/共55頁（五） Tomcat中間件安全評估技術(shù)5. 其它安全檢查1、是否使用高權(quán)限帳戶啟動TOMCAT查看方法：檢查：1、windows環(huán)境下打開程序-管理工具-服務(wù)-打開名稱為APACHE TOMCAT 的服務(wù)選擇-登錄選項卡查看此帳戶項為普通用戶（非ADMINISTRATORS組用戶和SYSTEM用戶，通過檢查管理員組確定該啟動帳戶非管理員帳戶）。2、（）使用ps ef | grep tomcat 命令檢查TOMCAT的系統(tǒng)進(jìn)程是否由非ROOT用戶啟動第39頁/共55頁（五）

26、Tomcat中間件安全評估技術(shù)5. 其它安全檢查2、是否刪除不需要的管理應(yīng)用和幫助應(yīng)用查看方法：檢查/TOMCAT/webapps/*和/TOMCAT/server/wenapps/*下的所有文件是否被刪除。第40頁/共55頁（六 ） Oracle數(shù)據(jù)庫全評估技術(shù)第41頁/共55頁（六） Oracle數(shù)據(jù)庫安全評估技術(shù)1. 系統(tǒng)版本及補(bǔ)丁檢查檢查方法:1. 以sqlplus /as sysdba登陸到sqlplus環(huán)境中2. Select * from v$version;3. 檢查輸出結(jié)果：參考建議值:Oracle 10g以上第4

27、2頁/共55頁（六） Oracle數(shù)據(jù)庫安全評估技術(shù)2. 賬號管理和授權(quán)1、鎖定或刪除不需要的帳號檢查方法：1.以sqlplus /as sysdba登陸到sqlplus環(huán)境中2.執(zhí)行查詢：SELECT username, password, account_status FROM dba_users;3.分析返回結(jié)果第43頁/共55頁（六） Oracle數(shù)據(jù)庫安全評估技術(shù)2. 賬號管理和授權(quán)2、禁用 SYSDBA 角色的自動登錄檢查方法：檢查$ORACLE_HOME/network/admin/sqlnet.ora 中關(guān)于SQLNET.AUTHENTICATION_SERVICES的設(shè)置為：

28、NTS或NONE如果使用了SQLNET.AUTHENTICATION_SERVICES=(NTS)則說明可以使用OS認(rèn)證就，只要conn / as sysdba 就可以登陸但如果注釋掉或SQLNET.AUTHENTICATION_SERVICES=(none)必須要使用conn sys/passwordoracle as sysdba才能登陸1、在windows下，SQLNET.AUTHENTICATION_SERVICES必須設(shè)置為NTS或者ALL才能使用OS認(rèn)證；不設(shè)置或者設(shè)置為其他任何值都不能使用OS認(rèn)證。2、在linux下，在SQLNET.AUTHENTICATION_SERVICES

29、的值設(shè)置為ALL，或者不設(shè)置的情況下，OS驗證才能成功；設(shè)置為其他任何值都不能使用OS認(rèn)證。第44頁/共55頁（六） Oracle數(shù)據(jù)庫安全評估技術(shù)3. 用戶密碼策略檢查檢查項目檢查方法備注 密碼復(fù)雜度使用oracle enterprise manager console 登陸后查看概要文件default，檢查是否啟用口令復(fù)雜性函數(shù)。密碼最小位數(shù)建議為8位，應(yīng)該包含數(shù)字或字母，不能與賬號相同?？诹钍褂胦racle enterprise manager console 登陸后查看概要文件default，檢查口令失效：有效期：（多少）天鎖：（多少）天后鎖定有效期建議為：90天；1天后鎖定；保留

30、口令歷史記錄使用oracle enterprise manager console 登陸后查看概要文件default，檢查保留口令歷史記錄的保留：（多少）次。保留時間（多少）天。保留10次記錄；保留120天登陸失敗后鎖定賬號使用oracle enterprise manager console 登陸后查看概要文件default，檢查登陸失敗后鎖定賬號的：登錄失?。海ǘ嗌伲┐魏箧i定鎖定：（多少）天建議:12次鎖定鎖定1天第45頁/共55頁（六） Oracle數(shù)據(jù)庫安全評估技術(shù)3. 用戶密碼策略檢查默認(rèn)情況如下：第46頁/共55頁（六） Oracle數(shù)據(jù)庫安全評估技術(shù)3. 用戶密碼策略檢查2、檢查默認(rèn)賬號密碼情況SQL select username User(s) with Default Password! 2 from dba_users 3 where password in 4 (E066D214D5421