操作系統(tǒng)安全加固

1、操作系統(tǒng)安全加固操作系統(tǒng)安全加固張敏張敏 四川訊修信息技術服務有限公司四川訊修信息技術服務有限公司 培訓簡介培訓簡介培訓目的：該課程主要介紹系統(tǒng)通用的安全加固方案和方法培訓對象：面向安全管理人員、安全技術人員、系統(tǒng)維護人員、共3類人員培訓時間：60分鐘培訓重點：本教材側重點為安全技術人員和系統(tǒng)維護人員安全守則安全守則著名信息安全的十大守則著名信息安全的十大守則守則守則1：如果一個人能說服你同意他在你的電腦上運行他的程序：如果一個人能說服你同意他在你的電腦上運行他的程序, 那么那么, 這臺電腦就這臺電腦就不再屬于你了不再屬于你了;守則守則2: 如果一個人能夠改變你電腦上的操作系統(tǒng)如果一個人能夠改

2、變你電腦上的操作系統(tǒng), 那么那么, 這臺電腦就不再屬于你了這臺電腦就不再屬于你了;守則守則3: 如果一個人能夠不受限制的從物理上接觸到你的電腦如果一個人能夠不受限制的從物理上接觸到你的電腦, 那么那么, 這臺電腦就不這臺電腦就不再屬于你了再屬于你了;守則守則4: 如果你允許一個人能夠上傳他的程序到你的網(wǎng)站如果你允許一個人能夠上傳他的程序到你的網(wǎng)站, 那么那么, 這個網(wǎng)站就不再屬這個網(wǎng)站就不再屬于你了于你了;守則守則5: 脆弱的口令能夠輕而易舉地擊敗非常牢固的安全系統(tǒng)脆弱的口令能夠輕而易舉地擊敗非常牢固的安全系統(tǒng);守則守則6: 一臺機器只有在它的管理員可信賴的時候才是安全的一臺機器只有在它的管理

3、員可信賴的時候才是安全的;守則守則7: 加密過的數(shù)據(jù)只有在解密密鑰安全的時候才是安全的加密過的數(shù)據(jù)只有在解密密鑰安全的時候才是安全的;守則守則8: 一個過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點一個過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點;守則守則9: 絕對的匿名是不可能實現(xiàn)的絕對的匿名是不可能實現(xiàn)的, 無論是在真實的生活中還是在無論是在真實的生活中還是在WEB上上;守則守則10: 技術不是萬能的。技術不是萬能的。 加固環(huán)節(jié)加固環(huán)節(jié)培訓目錄培訓目錄 理解安全加固理解安全加固Windows安全加固安全加固UNIX/Linux安全加固安全加固一、安全加固的概念一、安全

4、加固的概念為什么要安全加固為什么要安全加固l修補系統(tǒng)存在的漏洞弱點l預防系統(tǒng)面臨的威脅如何理解 “安全”？l可用性l保密性l完整性如何實現(xiàn)“安全”？l管理 + 技術 = 預期的結果l管理 + 技術 預期的結二、安全加固的目標二、安全加固的目標n目標目標我們的目標是降低風險到可以接受我們的目標是降低風險到可以接受三、安全加固對象三、安全加固對象n對象對象所有可能產(chǎn)生脆弱性的應用所有可能產(chǎn)生脆弱性的應用四、安全加固的原則四、安全加固的原則n加固原則加固原則 業(yè)務影響最小化業(yè)務影響最小化安全風險難以被徹底消除，因為它是動態(tài)的，我們在加安全風險難以被徹底消除，因為它是動態(tài)的，我們在加固過程中堅持的最基

5、本原則是業(yè)務系統(tǒng)的可用性，對固過程中堅持的最基本原則是業(yè)務系統(tǒng)的可用性，對業(yè)務系統(tǒng)影響最小化。業(yè)務系統(tǒng)影響最小化。 風險發(fā)現(xiàn)最大化風險發(fā)現(xiàn)最大化詳細審查評估報告和漏洞掃描中的任何一個細節(jié)，將任詳細審查評估報告和漏洞掃描中的任何一個細節(jié)，將任何潛在的安全隱患以最大展現(xiàn)，列表，進行確認處理何潛在的安全隱患以最大展現(xiàn)，列表，進行確認處理。五、安全加固的流程五、安全加固的流程n加固流程加固流程 確認加固目標（加固需求和要求） 實施安全檢查（手工檢查和漏洞掃描檢查） 加固前的交流（和業(yè)務負責人系統(tǒng)管理員交流） 加固實施過程（測試環(huán)境-備用機非核心-核心主機） 加固過程文件與成果輸出（加固效果與過程記錄文

6、件）目目 錄錄理解安全加固理解安全加固 Windows安全加固安全加固UNIX類安全加固類安全加固Windows通用安全加固方案通用安全加固方案補丁及防護軟件補丁及防護軟件系統(tǒng)服務系統(tǒng)服務安全策略安全策略 日志與審核策略日志與審核策略用戶與文件系統(tǒng)用戶與文件系統(tǒng)安全增強安全增強補丁補丁檢查系統(tǒng)補丁安裝情況檢查系統(tǒng)補丁安裝情況 命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補丁列表 補丁更新補丁更新 手動安裝：使用IE訪問http:/，按提示安裝必要的activeX控件后，按提示安裝補丁 開始 控制面板 自動更新，在自動更新面板中選中自動（建議）(U)，然后根據(jù)個人需求設置升級時間 內(nèi)網(wǎng)與安

7、全域環(huán)境，可以建立獨立的WSUS服務器防護軟件防護軟件安裝殺毒軟件并保持病毒庫更新 守則8: 一個過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點;防火墻對于防火墻，建議建立嚴格的訪問控制策略。Windows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件系統(tǒng)服務系統(tǒng)服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強安全增強系統(tǒng)服務系統(tǒng)服務查看系統(tǒng)服務查看系統(tǒng)服務 執(zhí)行services.msc,檢查啟動類型為自動的服務 最小化服務原則，建議關閉一下服務： Task Scheduler/Remote Registry /SNMP

8、Service/ Print Spooler /Telnet /Computer Browser/Messenger/ Alerter/ DHCP Client 關閉方法：雙擊需要關閉的服務，將啟動類型設置為禁用，點擊停止按鈕以停止當前正在運行的服務 SNMP服務服務修改修改SNMP的字符串的字符串 為什么要修改SNMP的字符串？它會泄露什么？ 通過 SNMP服務，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改；SNMP配置可以有效防止遠程惡意用戶的這類行為。 攻擊工具: snmputil walk 0 public .1.3.6. .

9、服務與進程服務與進程SNMP Service服務加固方法：服務加固方法： 為修改 SNMP 團體名 限制遠程主機對 SNMP 的訪問 關閉自動播放功能關閉自動播放功能關閉所有驅(qū)動器的自動播放功能關閉所有驅(qū)動器的自動播放功能 點擊開始點擊開始運行運行輸入輸入 gpedit.msc，打開組策略編輯器，打開組策略編輯器， 瀏覽到計算機配置瀏覽到計算機配置管理模板管理模板系統(tǒng)，在右邊窗格中雙擊系統(tǒng)，在右邊窗格中雙擊“關閉自關閉自動播放動播放”，對話框中選擇所有驅(qū)動器，確定即可。，對話框中選擇所有驅(qū)動器，確定即可。 Windows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統(tǒng)服務系

10、統(tǒng)服務安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強安全增強密碼策略密碼策略密碼策略密碼策略 長度 7 Windows 2003 127 7 windows2008 127 期限 定期修改密碼 復雜性 ChinaMobile_NO.1大小寫大小寫數(shù)字數(shù)字特殊字符特殊字符密碼策略密碼策略加固要點加固要點 密碼策略: 開始 運行 gpedit.msc 計算機配置 Windows 設置 安全設置 帳戶策略 帳戶鎖定策略-密碼策略”： 帳戶鎖定策略用戶權利指派用戶權利指派檢查用戶權限策略是否設置：檢查用戶權限策略是否設置： 開始開始 運行運行 gpedit.m

11、sc 計算機配置計算機配置 Windows 設置設置 安全設置安全設置 本地策略本地策略 用戶權利用戶權利指派指派本地安全策略配置本地安全策略配置檢查本地安全策略配置：檢查本地安全策略配置： 開始開始 運行運行 gpedit.msc 計算機配置計算機配置 Windows 設置設置 安全設置安全設置 本地策略本地策略 安全選項安全選項Windows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統(tǒng)服務系統(tǒng)服務n安全策略安全策略 日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強安全增強日志和審核策略日志和審核策略審核審核n 了解Windows審核策略 審核策略

12、并不完整 很多審核內(nèi)容默認未開啟 只有在 NTFS 磁盤上才能開啟對象訪問審核,日志量較大(考慮性能)n 步驟 打開審核策略 編輯審核對象的審核項日志和審核策略日志和審核策略審核審核 打開審核策略 要做什么審核？要審核什么？ 位置：gpedit.msc 計算機配置 Windows設置 安全設置 審核設置12日志和審核策略日志和審核策略審核審核n 查看審核日志 eventvwr（事件查看器）Windows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統(tǒng)服務系統(tǒng)服務n安全策略安全策略 n日志與審核策略日志與審核策略用戶與文件系統(tǒng)用戶與文件系統(tǒng)n安全增強安全增強文件系統(tǒng)文件系統(tǒng)W

13、indows文件系統(tǒng)文件系統(tǒng) FAT FAT 16 FAT 32 NTFS將將 FAT 卷轉(zhuǎn)換成卷轉(zhuǎn)換成 NTFS convert C: /FS:NTFS 用戶用戶用戶和組用戶和組 特殊的組 Administrators、Guests、Power Users 可通過net localgroup命令打印 特殊的用戶 Administrator、Guest 可通過net user命令打印 隱藏帳號 net user hide$ password /add用戶用戶加固要點加固要點 檢查用戶 克隆 隱藏 清除用戶 未使用的 未知的 鎖定用戶 Guest SUPPORT_XXXXX設置重要文件權限設置重

14、要文件權限權限權限 前提（關鍵字） NTFS Administrators設置重要文件權限設置重要文件權限權限權限 ACL （訪問控制列表） 包含了用戶帳戶和訪問對象之間許可關系由四個權限項組成的權限項集（即，由四個權限項組成的權限項集（即，ACL）設置重要文件權限設置重要文件權限權限權限 ACE （訪問控制項） ACL中包含ACE 訪問控制條目設置重要文件權限設置重要文件權限加密和壓縮加密和壓縮設置重要文件權限設置重要文件權限審核審核 編輯審核對象的審核項123設置重要文件權限設置重要文件權限加固要點加固要點 目錄及文件的權限 查找具有everyone的權限項 重要對象的審核策略echo o

15、ffdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find EveryoneWindows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統(tǒng)服務系統(tǒng)服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統(tǒng)用戶與文件系統(tǒng)安全增強安全增強安全增強安全增強刪除匿名用戶空連接刪除匿名用戶空連接 注冊表如下鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 將 restrictanonymous 的值設置為 1，若該值不存在，可以自己創(chuàng)建，類型為 REG_D

16、WORD，修改完成后重新啟動系統(tǒng)生效刪除默認共享刪除默認共享 注冊表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 將 Autoshareserver 設置為 0，若不存在，可創(chuàng)建，類型為 REG_DWORD修改完成后重新啟動系統(tǒng)生效 目目 錄錄理解安全加固理解安全加固Windows安全加固安全加固UNIX/Linux安全加固安全加固UNIX/Linux通用安全加固方案通用安全加固方案帳號帳號n文件權限文件權限n服務服務n日志審計日志審計n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)帳號安全帳號安全n帳號帳號 /e

17、tc/login.defs，檢查，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE 檢查是否存在除檢查是否存在除root外外UID = 0的用戶的用戶 檢查是否存在弱口令檢查是否存在弱口令 鎖定不使用的帳戶鎖定不使用的帳戶(passwd l username) 檢查檢查root用戶環(huán)境變量用戶環(huán)境變量 設置設置帳號超時注銷帳號超時注銷(vivi /etc/profile/etc/profile增加增加TMOUT=180)TMOUT=180) 帳號安全帳號安全限制限制root遠程登錄遠程登錄 /etc/ssh/sshd_conf

18、ig : PermitRootLogin no /etc/securetty文件中配置： CONSOLE = /dev/tty01 UNIX/Linux通用安全加固方案通用安全加固方案n帳號帳號文件權限文件權限n服務服務n日志審計日志審計n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)umask檢查是否包含檢查是否包含 umask 值值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc umaskumask rootRHEL5 home# umask 0022 rootRHEL5 home# touch file1 root

19、RHEL5 home# ls -l file1 -rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644) rootRHEL5 home# umask 0066 rootRHEL5 home# touch file2 rootRHEL5 home# ls -l file2 -rw- 1 root root 0 Jul 26 07:18 file2 (600) rootRHEL5 home# umask 0 rootRHEL5 home# umask 0000 rootRHEL5 home# touch file3 rootRHEL5 home# ls -l

20、file3 -rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666)文件權限文件權限文件權限文件權限 ls l rootRHEL5 home# ls -l total 44 drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue -rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmod u+x file chmod 744 file4000SUID2000SGID1000粘住位粘住位0400所有者可讀所有者可讀0200所有者可寫所有者可寫0100所

21、有者可執(zhí)行所有者可執(zhí)行0040所在組可讀所在組可讀0020所在組可寫所在組可寫0010所在組可執(zhí)行所在組可執(zhí)行0004其他用戶可讀其他用戶可讀0002其他用戶可寫其他用戶可寫0001其他用戶可執(zhí)行其他用戶可執(zhí)行_0744結果結果文件權限文件權限檢查重要目錄和文件的權限設置檢查重要目錄和文件的權限設置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系統(tǒng)中所有的查找系統(tǒng)中所有的 SUID和和 SGID 程序程序UNIX/Linux通用安全加固方案通用安全加固方案n帳號帳號n文件權限文件權限服務服務n日志審計日志審計n系統(tǒng)狀態(tài)系統(tǒng)狀

22、態(tài)系統(tǒng)服務系統(tǒng)服務守護進程與服務的區(qū)別守護進程與服務的區(qū)別 守護進程 進程的一種特殊狀態(tài) 不綁定至任何Terminal 父進程是init 服務 相對守護進程，“服務”的概念更為抽象 為用戶提供一種功能的應用 可能包含一個或多個守護進程 例 服務名：SSH Server 進程名：sshd系統(tǒng)服務系統(tǒng)服務inetd 一些輕量級的服務，由inetd集中處理 已不能滿足現(xiàn)狀 # inetd.conf echo stream tcp6 nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal 系統(tǒng)服務系統(tǒng)服務加固要點加固要點 服務 進程 端口 ipfw TCPWrapper libwrap ; configure -with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的inetd服務 停止不必要的服務 /etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx Snmp配置配置Snmp安全配置安全配置