中國(guó)移動(dòng)安全安全加固培訓(xùn)材料

1、系統(tǒng)安全加固系統(tǒng)安全加固 -2-培訓(xùn)要求：培訓(xùn)要求：該課程主要介紹系統(tǒng)通用的安全加固方案和方法該課程主要介紹系統(tǒng)通用的安全加固方案和方法培訓(xùn)對(duì)象：培訓(xùn)對(duì)象：面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護(hù)人員、面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護(hù)人員、共共3 3類人員類人員培訓(xùn)時(shí)間培訓(xùn)時(shí)間：1 1小時(shí)左右小時(shí)左右培訓(xùn)側(cè)重點(diǎn)：培訓(xùn)側(cè)重點(diǎn)：本教材側(cè)重點(diǎn)為安全技術(shù)人員和系統(tǒng)維護(hù)人員本教材側(cè)重點(diǎn)為安全技術(shù)人員和系統(tǒng)維護(hù)人員-3-目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-4-一、安全加固的概念一、安全加固的概念 風(fēng)險(xiǎn)、脆弱性風(fēng)險(xiǎn)、脆弱性 如何

2、定義如何定義 “安全安全”？ 硬件硬件 + 軟件軟件 = 預(yù)期的結(jié)果預(yù)期的結(jié)果 硬件硬件 + 軟件軟件 預(yù)期的結(jié)果預(yù)期的結(jié)果 如何定義更全面的如何定義更全面的“安全安全”？ 人人 + 硬件硬件 + 軟件軟件 = 預(yù)期的結(jié)果預(yù)期的結(jié)果 人人 + 硬件硬件 + 軟件軟件 預(yù)期的結(jié)果預(yù)期的結(jié)果-5-二、安全加固的目標(biāo)二、安全加固的目標(biāo)n目標(biāo)目標(biāo) 我們的目標(biāo)是降低風(fēng)險(xiǎn)-6-三、安全加固對(duì)象三、安全加固對(duì)象n對(duì)象對(duì)象 所有可能產(chǎn)生脆弱性的東西-7-四、安全加固的原則四、安全加固的原則n加固原則加固原則 風(fēng)險(xiǎn)最大化 不要忽視掃描報(bào)告和檢查結(jié)果中的任何一個(gè)細(xì)節(jié)，將任何潛在隱患以最大化的方式展現(xiàn) 威脅最小化

3、威脅難以被徹底消除，因?yàn)樗莿?dòng)態(tài)的，我們只能將其降低至可接受的程度-8-五、安全加固的流程五、安全加固的流程n一般流程一般流程 確認(rèn)加固的要求（安全基線） 安全檢查（手工檢查或者基線設(shè)備檢查） 加固前的交流（和業(yè)務(wù)負(fù)責(zé)人交流） 加固實(shí)施過程（重要系統(tǒng)需要先在備機(jī)上測(cè)試） 加固完成及成果輸出（方便發(fā)生問題時(shí)回退）-9-目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-10-WindowsWindows通用安全加固方案通用安全加固方案n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件n系統(tǒng)服務(wù)系統(tǒng)服務(wù)n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文

4、件系統(tǒng)用戶與文件系統(tǒng)n安全增強(qiáng)安全增強(qiáng)-11-補(bǔ)丁補(bǔ)丁 檢查系統(tǒng)補(bǔ)丁安裝情況檢查系統(tǒng)補(bǔ)丁安裝情況命令行執(zhí)行命令行執(zhí)行systeminfosysteminfo, ,查看系統(tǒng)已經(jīng)安裝的補(bǔ)丁列表查看系統(tǒng)已經(jīng)安裝的補(bǔ)丁列表 補(bǔ)丁更新補(bǔ)丁更新 手動(dòng)安裝：使用手動(dòng)安裝：使用IE訪問，按提示安裝必要的訪問，按提示安裝必要的activeX控件后，按提示控件后，按提示安裝補(bǔ)丁安裝補(bǔ)丁 開始開始 控制面板控制面板 自動(dòng)更新，在自動(dòng)更新面板中選中自動(dòng)（建議）自動(dòng)更新，在自動(dòng)更新面板中選中自動(dòng)（建議）(U)，然后根據(jù)個(gè)人需求設(shè)置升級(jí)時(shí)間，然后根據(jù)個(gè)人需求設(shè)置升級(jí)時(shí)間-12-防護(hù)軟件防護(hù)軟件 安裝殺毒軟件并保持病毒庫(kù)更

5、新安裝殺毒軟件并保持病毒庫(kù)更新 防火墻防火墻 對(duì)于防火墻軟件，建議屏蔽以下端口：對(duì)于防火墻軟件，建議屏蔽以下端口： TCP 135 TCP 139 TCP 445 -13-WindowsWindows通用安全加固方案通用安全加固方案n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件n系統(tǒng)服務(wù)系統(tǒng)服務(wù)n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強(qiáng)安全增強(qiáng)-14-系統(tǒng)服務(wù)系統(tǒng)服務(wù) 查看系統(tǒng)服務(wù)查看系統(tǒng)服務(wù) 執(zhí)行執(zhí)行services.msc,檢查啟動(dòng)類型為自動(dòng)的服務(wù)檢查啟動(dòng)類型為自動(dòng)的服務(wù) 關(guān)閉非必需的服務(wù)關(guān)閉非必需的服務(wù) 建議關(guān)閉一下服務(wù)：建議關(guān)閉一下服務(wù)：Task Sch

6、eduler/Remote Registry /SNMP Service/Print Spooler /Telnet /Computer Browser/Messenger/Alerter/ DHCP Client 關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動(dòng)類型設(shè)置為禁用，點(diǎn)擊停關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動(dòng)類型設(shè)置為禁用，點(diǎn)擊停止按鈕以停止當(dāng)前正在運(yùn)行的服務(wù)止按鈕以停止當(dāng)前正在運(yùn)行的服務(wù) -15-SNMPSNMP服務(wù)服務(wù) 修改修改SNMP的字符串的字符串 為什么要修改為什么要修改SNMP的字符串？它會(huì)泄露什么？的字符串？它會(huì)泄露什么？ 通過通過 SNMP服務(wù)，遠(yuǎn)程惡意用戶可以列舉本地的帳號(hào)、

7、帳號(hào)組、服務(wù)，遠(yuǎn)程惡意用戶可以列舉本地的帳號(hào)、帳號(hào)組、運(yùn)行的進(jìn)程、安裝的補(bǔ)丁和軟件等敏感信息，禁用或修改運(yùn)行的進(jìn)程、安裝的補(bǔ)丁和軟件等敏感信息，禁用或修改 SNMP配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。 攻擊工具攻擊工具: snmputil walk 1.1.1.10 public .1.3.6. .-16-服務(wù)與進(jìn)程服務(wù)與進(jìn)程 SNMP ServiceSNMP Service服務(wù)加固方法：服務(wù)加固方法：為修改為修改 SNMP SNMP 團(tuán)體名團(tuán)體名限制遠(yuǎn)程主機(jī)對(duì)限制遠(yuǎn)程主機(jī)對(duì) SNMP SNMP 的訪問的訪問 -17-關(guān)閉自動(dòng)播放功能關(guān)閉自動(dòng)播放功能

8、 關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能 點(diǎn)擊開始運(yùn)行輸入 gpedit.msc，打開組策略編輯器， 瀏覽到計(jì)算機(jī)配置管理模板系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。 -18-WindowsWindows通用安全加固方案通用安全加固方案n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件n系統(tǒng)服務(wù)系統(tǒng)服務(wù)n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強(qiáng)安全增強(qiáng)-19-密碼策略密碼策略 密碼策略密碼策略 長(zhǎng)度長(zhǎng)度 7 Windows 2000 127 14 Windows 9X 0 期限期限 定期修改密碼定期修改密碼 復(fù)雜性

9、復(fù)雜性 Pyth0n&!大小寫大小寫數(shù)字?jǐn)?shù)字特殊字符特殊字符-20-密碼策略密碼策略 加固要點(diǎn)加固要點(diǎn) 密碼策略密碼策略: 開始開始 運(yùn)行運(yùn)行 gpedit.msc 計(jì)算機(jī)配置計(jì)算機(jī)配置 Windows 設(shè)置設(shè)置 安全設(shè)置安全設(shè)置 帳戶策略帳戶策略 帳戶鎖定帳戶鎖定策略策略-密碼策略密碼策略”： 帳戶鎖定策略帳戶鎖定策略-21-用戶權(quán)利指派用戶權(quán)利指派 檢查用戶權(quán)限策略是否設(shè)置：檢查用戶權(quán)限策略是否設(shè)置： 開始 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置 Windows 設(shè)置 安全設(shè)置 本地策略 用戶權(quán)利指派-22-本地安全策略配置本地安全策略配置 檢查本地安全策略配置：檢查本地安全策略配

10、置： 開始 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置 Windows 設(shè)置 安全設(shè)置 本地策略 安全選項(xiàng)-23-WindowsWindows通用安全加固方案通用安全加固方案n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件n系統(tǒng)服務(wù)系統(tǒng)服務(wù)n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強(qiáng)安全增強(qiáng)-24-日志和審核策略日志和審核策略 審核審核 了解了解Windows審核策略審核策略 審核策略并不完整審核策略并不完整 很多審核內(nèi)容默認(rèn)未開啟很多審核內(nèi)容默認(rèn)未開啟 只有只有在在 NTFS 磁盤上才能開啟對(duì)象訪問審核磁盤上才能開啟對(duì)象訪問審核,日志量較日志量較大大 步驟步驟 打開審

11、核策略打開審核策略 編輯審核對(duì)象的審核項(xiàng)編輯審核對(duì)象的審核項(xiàng)-25-日志和審核策略日志和審核策略 審核審核 打開審核策略打開審核策略 要做什么審核？要審核什么？要做什么審核？要審核什么？ 位置：位置：gpedit.msc 計(jì)算機(jī)配置計(jì)算機(jī)配置 Windows設(shè)置設(shè)置 安全設(shè)置安全設(shè)置 審核設(shè)置審核設(shè)置-26-日志和審核策略日志和審核策略 審核審核 查看審核日志查看審核日志 eventvwr（事件查看器）（事件查看器）-27-WindowsWindows通用安全加固方案通用安全加固方案n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件n系統(tǒng)服務(wù)系統(tǒng)服務(wù)n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系

12、統(tǒng)用戶與文件系統(tǒng)n安全增強(qiáng)安全增強(qiáng)-28-文件系統(tǒng)文件系統(tǒng) Windows文件系統(tǒng)文件系統(tǒng) FAT FAT 16 FAT 32 NTFS 將將 FAT 卷轉(zhuǎn)換成卷轉(zhuǎn)換成 NTFS convert C: /FS:NTFS -29-用戶用戶 用戶和組用戶和組 特殊的組特殊的組 Administrators、Guests、Power Users 可通過可通過net localgroup命令打印命令打印 特殊的用戶特殊的用戶 Administrator、Guest 可通過可通過net user命令打印命令打印 隱藏帳號(hào)隱藏帳號(hào) net user hide$ password /add-30-用戶用戶

13、加固要點(diǎn)加固要點(diǎn) 檢查用戶檢查用戶 克隆克隆 隱藏隱藏 清除用戶清除用戶 未使用的未使用的 未知的未知的 鎖定用戶鎖定用戶 Guest SUPPORT_XXXXX-31-設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 權(quán)限權(quán)限 前提（關(guān)鍵字）前提（關(guān)鍵字） NTFS Administrators-32-設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 權(quán)限權(quán)限 ACL （訪問控制列表）（訪問控制列表） 包含了用戶帳戶和訪問對(duì)象之間許可關(guān)系包含了用戶帳戶和訪問對(duì)象之間許可關(guān)系由四個(gè)權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集（即，由四個(gè)權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集（即，ACL）-33-設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 權(quán)限權(quán)限 ACE （訪問控制項(xiàng)）（訪問

14、控制項(xiàng)） ACL中包含中包含ACE 訪問控制條目訪問控制條目-34-設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 加密和壓縮加密和壓縮-35-設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 審核審核 編輯審核對(duì)象的審核項(xiàng)編輯審核對(duì)象的審核項(xiàng)-36-設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 加固要點(diǎn)加固要點(diǎn) 目錄及文件的權(quán)限目錄及文件的權(quán)限 查找具有查找具有everyone的權(quán)限項(xiàng)的權(quán)限項(xiàng) 重要對(duì)象的審核策略重要對(duì)象的審核策略echo offdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find Everyone-37-WindowsWindows通用安全加固方案通用安全

15、加固方案n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件n系統(tǒng)服務(wù)系統(tǒng)服務(wù)n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強(qiáng)安全增強(qiáng)-38-安全增強(qiáng)安全增強(qiáng) 刪除匿名用戶空連接刪除匿名用戶空連接 注冊(cè)表如下鍵值：注冊(cè)表如下鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 將將 restrictanonymous 的值設(shè)置為的值設(shè)置為 1，若該值不存在，可以自己創(chuàng)，若該值不存在，可以自己創(chuàng)建，類型為建，類型為 REG_DWORD，修改完成后重新啟動(dòng)系統(tǒng)生效，修改完成后重新啟動(dòng)系統(tǒng)生效 刪除默認(rèn)共享刪除默認(rèn)共享 注冊(cè)

16、表如下鍵值：注冊(cè)表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 將將 Autoshareserver 設(shè)置為設(shè)置為 0，若不存在，若不存在，可創(chuàng)建，類型為可創(chuàng)建，類型為 REG_DWORD修改完成后重新啟動(dòng)系統(tǒng)生效修改完成后重新啟動(dòng)系統(tǒng)生效 -39-目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-40-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帳號(hào)帳號(hào)n文件權(quán)限文件權(quán)限n服務(wù)服務(wù)n日志審計(jì)日志審

17、計(jì)n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)-41-帳號(hào)安全帳號(hào)安全n帳號(hào)帳號(hào)/etc/login.defs，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE檢查是否存在除root外UID = 0的用戶檢查是否存在弱口令鎖定不使用的帳戶(passwd l username)檢查root用戶環(huán)境變量設(shè)置帳號(hào)超時(shí)注銷(vi /etc/profile增加TMOUT=600) -42-帳號(hào)安全帳號(hào)安全 限制限制root遠(yuǎn)程登錄遠(yuǎn)程登錄 /etc/ssh/sshd_config : PermitRootLogin no /etc/securetty文件中配置：

18、文件中配置： CONSOLE = /dev/tty01 -43-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帳號(hào)帳號(hào)n文件權(quán)限文件權(quán)限n服務(wù)服務(wù)n日志審計(jì)日志審計(jì)n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)-44-umaskumask 檢查是否包含檢查是否包含 umask 值值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc -45-umaskumask umaskrootRHEL5 home# umask0022rootRHEL5 home# touch file1rootRHEL5 h

19、ome# ls -l file1-rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644)rootRHEL5 home# umask 0066rootRHEL5 home# touch file2rootRHEL5 home# ls -l file2-rw- 1 root root 0 Jul 26 07:18 file2 (600)rootRHEL5 home# umask 0rootRHEL5 home# umask0000rootRHEL5 home# touch file3rootRHEL5 home# ls -l file3-rw-rw-rw- 1

20、 root root 0 Jul 26 07:25 file3 (666)-46-文件權(quán)限文件權(quán)限 文件權(quán)限文件權(quán)限 ls lrootRHEL5 home# ls -l total 44 drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue -rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmod u+x file chmod 744 file4000SUID2000SGID1000粘住位0400所有者可讀所有者可讀0200所有者可寫所有者可寫0100所有者可執(zhí)行所有者可執(zhí)行0040所在

21、組可讀所在組可讀0020所在組可寫0010所在組可執(zhí)行0004其他用戶可讀其他用戶可讀0002其他用戶可寫0001其他用戶可執(zhí)行_0744結(jié)果結(jié)果-47-文件權(quán)限文件權(quán)限 檢查重要目錄和文件的權(quán)限設(shè)置檢查重要目錄和文件的權(quán)限設(shè)置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系統(tǒng)中所有的查找系統(tǒng)中所有的 SUID和和 SGID 程序程序-48-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帳號(hào)帳號(hào)n文件權(quán)限文件權(quán)限n服務(wù)服務(wù)n日志審計(jì)日志審計(jì)n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)-49-系統(tǒng)服務(wù)系統(tǒng)服務(wù) 守護(hù)進(jìn)程與服務(wù)

22、的區(qū)別守護(hù)進(jìn)程與服務(wù)的區(qū)別 守護(hù)進(jìn)程守護(hù)進(jìn)程 進(jìn)程的一種特殊狀態(tài)進(jìn)程的一種特殊狀態(tài) 不綁定至任何不綁定至任何Terminal 父進(jìn)程是父進(jìn)程是init 服務(wù)服務(wù) 相對(duì)守護(hù)進(jìn)程，相對(duì)守護(hù)進(jìn)程，“服務(wù)服務(wù)”的概念更為抽象的概念更為抽象 為用戶提供一種功能的應(yīng)用為用戶提供一種功能的應(yīng)用 可能包含一個(gè)或多個(gè)守護(hù)進(jìn)程可能包含一個(gè)或多個(gè)守護(hù)進(jìn)程 例例 服務(wù)名：服務(wù)名：SSH Server 進(jìn)程名：進(jìn)程名：sshd-50-系統(tǒng)服務(wù)系統(tǒng)服務(wù) inetd 一些輕量級(jí)的服務(wù)，由一些輕量級(jí)的服務(wù)，由inetd集中處理集中處理 已不能滿足現(xiàn)狀已不能滿足現(xiàn)狀 # inetd.conf echo stream tcp6

23、nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal -51-系統(tǒng)服務(wù)系統(tǒng)服務(wù) 加固要點(diǎn)加固要點(diǎn) 服務(wù)服務(wù) 進(jìn)程進(jìn)程 端口端口 ipfw TCPWrapper libwrap ; configure -with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的停止不必要的inetd服務(wù)服務(wù) 停止不必要的服務(wù)停止不必要的服務(wù) /

24、etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx -52-SnmpSnmp配置配置 Snmp安全配置如果打開了如果打開了SNMPSNMP協(xié)議，協(xié)議，snmpsnmp團(tuán)體字設(shè)置不能使用默認(rèn)的團(tuán)體字團(tuán)體字設(shè)置不能使用默認(rèn)的團(tuán)體字。查看配置文件查看配置文件/etc/snmp/snmpd.conf/etc/snmp/snmpd.conf，應(yīng)禁止使用應(yīng)禁止使用publicpublic、privateprivate默認(rèn)團(tuán)體字，使用用戶自定義的團(tuán)體字默認(rèn)團(tuán)體字，使用用戶自定義的團(tuán)體字。例如將以下設(shè)置中的例如將以下設(shè)置中的publicpublic替換為用戶自定義的團(tuán)體字：替換為用