安全评估技术PPT课件

1、（一） 信息系统安全漏洞现状分析1.1 “漏洞” 定义 漏洞是存在于系统安全措施，设计，实现，内部管理等方面的缺点或弱点。这种缺点或弱点能够被使用（偶然触发或有意利用）并危害系统安全策略。1.2 “漏洞” 分类 技术性漏洞 主要是指操作系统和业务应用系统等方面存在的设计和实现缺陷。 非技术性漏洞 主要是指系统的安全策略、访问控制、权限设置、系统开发和维护等方面存在的不足或者缺陷。第1页/共55页1.3 信息系统安全漏洞现状（一） 信息系统安全漏洞现状分析SEBUG漏洞信息库漏洞攻击类型分布图对SEBUG漏洞信息数据库中最近24个月数据的统计图表。远程溢出12.75%、本地溢出9.29%、拒绝服

2、务6.58%等第2页/共55页1.4 安全漏洞入侵显著特点：远程漏洞溢出自动溢出案例增多 从最早的1433端口、53端口、445端口等，这个端口都是MS SQL SERVER、DNS、SERVER的服务端口，随着这些服务的远程溢出漏洞被发现，攻击代码的发布，自动化的漏洞攻击程序也就随之而来。（一） 信息系统安全漏洞现状分析攻击者扫描直接溢出获取shell上传木马控制主机添加账号放置后门数据外泄自动溢出攻击常见图例第3页/共55页1.5 信息系统安全漏洞分析信息系统支撑系统操作系统漏洞数据库漏洞应用系统漏洞Microsoft Windows SMB客户端远程代码执行漏洞(MS11-019)win

3、dowsLinux Kernel “sound/oss/opl3.c”本地权限提升漏洞linuxApple Mac OS X i386_set_ldt()权限提升漏洞 MaXCREATE_CHANGE_SET过程SQL注入漏洞 Oracle SQL Server 2000 sp_replwritetovarbin() Heap Overflow Exploit (0day)SQL SERVEROracle MySQL for Microsoft Windows Payload ExecutionMySQLxx.php.xxx格式的文件解析漏洞ApacheApache Tomcat 计算机管理）

4、打开杀毒软件杀毒历史记录，不存在没被清除的病毒第14页/共55页（三） Linux系统安全评估技术第15页/共55页（三） Linux系统安全评估技术1. 版本补丁及检查1、检查内核版本输入 uname -a2、检查系统版本输入“more /etc/redhat-release”第16页/共55页（三） Linux系统安全评估技术2. 账号及账号策略检查1、检查root账号是否唯一(more /etc/passwd 检查UID是否都唯一 UID为0的账号应该为root账号，或直接输入“grep :x:0: /etc/passwd”）2、检查/etc/passwd 文件的是否有不必要用户第17页

5、/共55页（三） Linux系统安全评估技术2. 账号及账号策略检查3、密码策略检查(输入” more /etc/login.defs ”) 密码的生命期最大为90天 PASS_MAX_DAYS 90密码可以被立即修改 PASS_MIN_DAYS 0密码的最小长度是8位 PASS_MIN_LEN 8密码到期提醒，一般建议7天 PASS_WARN_AGE 7第18页/共55页（三） Linux系统安全评估技术3. 访问控制类检查1、访问控制类检查 访问控制系统已设定了正确UMASK值0022 输入umask锁定系统中不必要的系统用户 查看/etc/passwd中存在uucp、nuucp、lp、n

6、ews等帐号 如：lp:!*:13943:0:99999:7: lp帐户后面有！号为已锁定。系统中已经删除了不必要的系统用户组禁止root用户远程登录 查看 /etc/ssh/sshd_config文件将其中的PermitRootLogin改成no，然后重新启动ssh服务系统重要文件访问权限是否为644或600 ls /etc/passwd /etc/shadow系统与其它主机不存在信任关系- 检查系统中是否存在.rhosts，.netrc，hosts.equiv文件，以及内容是否为空。ls / .rhostsls / .netrcls / .hosts.equiv分类检查选项第19页/共55

7、页（三） Linux系统安全评估技术4. 不必要服务检查1、访问控制类检查 xinetd启动的不必要服务chargen/chargen-udp、daytime/daytime-udp、echo/echo-udp、time/time-udp等小服务已被禁用chkconfig - list 列出需要禁止的服务下列服务已被禁用：cups-lpd服务已被禁用finger服务已被禁用员 rexec服务已被禁用 rlogin服务已被禁用 rsh服务已被禁用 rsync服务已被禁用ntalk服务已被禁用 talk服务已被禁用 wu-ftpd服务已被禁用 tftp服务已被禁用 ipop2服务已被禁用ipop3

8、服务已被禁用 telnet服务已被禁用 xinetd服务已被禁用其它不必要的服务其它不必要的服务:sendmail服务已被禁用xfs服务已被禁用 apmd服务已被禁用 canna服务已被禁用 FreeWnn服务已被禁用 gpm服务已被禁用innd服务已被禁用 irda服务已被禁用 isdn服务已被禁用 kdcrotate服务已被禁用 lvs服务已被禁用 mars-nwe服务已被禁用 oki4daemon服务已被禁用 rstatd服务已被禁用 rusersd服务已被禁用 rwalld服务已被禁 rwhod服务已被禁用 wine服务已被禁用 smb服务已被禁用nfs服务已被禁用 autofs/nf

9、slock服务已被禁用 ypbind服务已被禁用ypserv/yppasswdd服务已被禁用portmap服务已被禁用 netfs服务已被禁用cups服务已被禁用 lpd服务已被禁用 snmpd服务已被禁用 named服务已被禁用 postgresql服务已被禁用 mysql服务已被禁用webmin服务已被禁用 squid服务已被禁用 kudzu服务已被禁用chkconfig - list 列出需要禁止的服务分类检查选项评估操作示例第20页/共55页（三） Linux系统安全评估技术5. 其它安全检查分类检查选项其它安全配置系统的命令行数是否保存为30条 vi /etc/profile HIS

10、TFILESIZE=30 HISTSIZE=30 （如果没有请自行添加） 修改保存值为30 系统禁用X-Window系统 用命令（more /etc/inittab）id:5:initdefault:如数值为5表示，以X-Window登录，将其数值改为3，表示系统启动时不启动X-WINDOWS.文件/目录控制/tmp和/var/tmp目录具有粘滞位止非授权用户去删除这些文件里的内容。给 /tmp 和/var/tmp设置了粘滞位（用chmod +t），唯一能够删除或重命名 /tmp和/var/tmp 中文件的是该目录的所有者（通常是 root 用户）、文件的所有者或 root 用户第21页/共5

11、5页（四 ） AIX 系统安全评估技术第22页/共55页（四 ） AIX 系统安全评估技术1. 版本补丁及检查1、检查系统版本输入 “uname a”第23页/共55页（四 ） AIX 系统安全评估技术2. 账号及账号策略检查1、检查root账号是否唯一(more /etc/passwd 检查UID是否都唯一 UID为0的账号应该为root账号，或直接输入“grep :x:0: /etc/passwd”）2、检查/etc/passwd 文件的是否有不必要用户第24页/共55页（四 ） AIX 系统安全评估技术2. 账号及账号策略检查3、密码策略检查(输入” more /etc/security

12、/passwd”) 密码控制histexpire定义用户不能重新使用密码的时间周期（以周为单位）。应该等于26或者大于26 more /etc/security/passwd”) histsize定义用户不能重新使用的先前密码次数,建议设置20 即20次的密码不得相同maxage设置口令最长有效期,应小于等于13 以周为单位,13即为90天maxexpired定义用户可以更改到期密码的超出 maxage 值的最长时间(以周为单位),应小于等于2，即为该用户密码过期后二周内未修改密码，将只有ROOT用户才能进行修改，对ROOT除外minalpha设置口令中最少包含字母字符的数量,应大于等于，即为

13、密码必须包含2个字母做为密码mindiff定义在新密码中（而非在旧密码中）要求的字符的最小数,值应大于等于 即为新密码与旧密码中不同字符的最小数目为4minlen设置密码最短长度,应大于等于8 即为密码最小位数为8位字符分类检查选项评估操作示例第25页/共55页（四 ） AIX 系统安全评估技术3. 访问控制类检查1、访问控制类检查 访问控制设置了登录失败，锁定帐户的次数 logindisable的值已设置，推荐值为more /etc/security/login.cfg失败登录后延迟5秒显示提示符 logindelay=5 失败登录后延迟5秒显示提示符被禁止登录的终端，在15分钟后从新被激活

14、loginreenable15设置了无效登录的终端锁定时间 logininterval的值已设置，推荐值为重新设置了登录欢迎信息 herald值不为空系统与其它主机不存在信任关系more /etc/hosts.equivmore $HOME/.rhostsmore $HOME/.netrc系统已设定了正确UMASK值0022umask锁定系统中不必要的系统用户/usr/sbin/lsuser -a account_locked ALL | more系统中已经删除了不必要的系统用户组more /etc/grouproot daemon bin sys adm lp uucp nuucp nobo

15、dy useradm guest 等账户不能访问ftp服务器cd /etc/ftpdmore ftpusers终端登录超时退出 启用 TMOUT120 #for Korn ShellTIMEOUT120 #for Bourne Shellmore /etc/profile禁止root用户远程登录 性(默认为true,允许远程登录,false为禁止，只对telnet或rlogin生效)lsuser -a rlogin root 系统重要文件访问权限是否为744或700ls -al /etc/passwd /etc/security/passwd分类检查选项评估操作示例第26页/共55页（四 ）

16、AIX 系统安全评估技术4. 不必要服务检查inetd启动的不必要服务inetd启动的不必要服务:bootps已被禁用系统的小服务已被禁用cmsd服务已被禁用comsat服务已被禁用dtspc服务已被禁用 exec服务已被禁用finger服务已被禁用 ftp服务已被禁用imap2服务已被禁用 klogin服务已被禁用kshell服务已被禁用 login服务已被禁用netstat服务已被禁用 ntalk和talk服务已被禁用pcnfsd服务已被禁用 pop3服务已被禁用rexd服务已被禁用 quotad服务已被禁用rstatd服务已被禁用 rusersd服务已被禁用rwalld服务已被禁用 sh

17、ell服务已被禁用spayd服务已被禁用 systat服务已被禁用tftp服务已被禁用 time服务已被禁用ttdbserver服务已被禁用操作：#more /etc/inetd.conf 或#grep -v # /etc/inetd.conf检查相关服务的条目是否被注释，或者文件中没有相关条目其它不必要服务其它不必要服务CDE桌面环境已被禁用lpd服务已被禁用nfs服务已被禁用portmap服务已被禁用sendmail服务已被禁用#grep /etc/rc.dt /etc/inittab#grep lpd /etc/inittab#grep nfs /etc/inittab#grep por

18、tmap /etc/rc.tcpip#grep sendmail /etc/rc.tcpip分类检查选项评估操作示例第27页/共55页（四 ） AIX 系统安全评估技术4. 不必要服务检查默认开放的服务shell rsh服务，尽可能禁用该服务。使用“安全shell“作为替代login rlogin服务，易于遭受IP欺骗与DNS欺骗，数据明文传输，建议使用安全shell代替该服务exec 远程执行服务,以root用户身份运行,要求输入一个用户标识和密码,它们将不受保护进行传递,该服务是非常容易遭到监听 的,建议禁用。ntalk 允许用户相互交谈，以root用户身份运行，除非绝对需要，否则禁用。d

19、aytime 废弃时间服务(仅测试),以root用户身份运行,可用作TCP与UDP服务,仅对测试使用,并为”拒绝服务PING”攻击提供机会,建议禁用time 废弃时间服务，由rdate命令使用的inetd的内部功能 ，该服务是过时的，使用ntpdate替代。第28页/共55页（四 ） AIX 系统安全评估技术5. 其它安全检查分类检查选项其它安全配置系统的命令行数是否保存为30条 vi /etc/profile HISTFILESIZE=30 HISTSIZE=30 （如果没有请自行添加） 修改保存值为30 系统中已经安装了OpenSSH代替telnet#netstat -an |grep 2

20、2检查系统是否开放22端口文件/目录控制/tmp和/var/tmp目录具有粘滞位止非授权用户去删除这些文件里的内容。给 /tmp 和/var/tmp设置了粘滞位（用chmod +t），唯一能够删除或重命名 /tmp和/var/tmp 中文件的是该目录的所有者（通常是 root 用户）、文件的所有者或 root 用户第29页/共55页（四 ） AIX 系统安全评估技术5. 其它安全检查分类检查选项FTP服务检查/etc/ftpusers文件是否把 root等不必要账号禁用FTP权限Cat /etc/ftpusersLs al /etc/fftpusers 权限为644检查syslog服务是否把f

21、tp服务的操作日志记录到log文件中。More /etc/syslog.conf 包含 /tmp/ftplog.logMore /etc/inetd.conf文件包含ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l第30页/共55页（五 ） Tomcat中间件全评估技术第31页/共55页（五） Tomcat中间件安全评估技术1. 版本检查1、检查系统版本查看方法：1、WINDOWS系统请检查X:Tomcat Xlogscatalina*.log文件中的版本信息,如信息:“ Starting Servlet Engine:

22、 Apache Tomcat/6.0.14” 2、unix(linux)系统请检查/usr/local/tomcat/logs/catalina.out文件中的版本信息,如信息:“ Starting Servlet Engine: Apache Tomcat/6.0.14” ；如不在此路径请使用命令“find / -nmae catalina.out”查找。第32页/共55页（五） Tomcat中间件安全评估技术2. 管理口令检查1、检查管理口令查看方法：检查$CATALINA_HOME/conf/tomcat-users.xml文件内容，例： 注：部分版本默认没设密码或设置为弱口令。第33页

23、/共55页（五） Tomcat中间件安全评估技术3. 访问控制1、 TOMCAT Manager 设置了管理IP地址查看方法：检查$CATALINA_HOME/conf/server.xml文件中示例： 或 第34页/共55页（五） Tomcat中间件安全评估技术3. 访问控制2、应用服务器的远程关闭功能的端口及口令检查查看方法：检查server.xml文件中上面值需修改为其他如：第35页/共55页（五） Tomcat中间件安全评估技术3. 访问控制3、 tomcat是否禁用浏览目录功能查看方法：查看WEB.XML文件把listings参数设置成false，如 listingsfalse. 第

24、36页/共55页（五） Tomcat中间件安全评估技术4. 日志审计1、是否启用日志功能查看方法：查看检查$CATALINA_HOME/conf/server.xml一般默认设置如： !- -日志启用时应无 此两个标志符。如： 第37页/共55页（五） Tomcat中间件安全评估技术4. 日志审计2、日志是否启用详细记录选项查看方法：查看检查$CATALINA_HOME/conf/server.xml示例： pattern=combined 记录的日志内容更详细，fileDateFormat=yyyy-MM-dd.HH，会让日志文件按小时进行滚卷，比默认的按天滚卷要好些，尤其是访问量大的网站，

25、可以考虑写成fileDateFormat=yyyy-MM-dd.HH.mm，就会是每分钟一个日志文件了。第38页/共55页（五） Tomcat中间件安全评估技术5. 其它安全检查1、是否使用高权限帐户启动TOMCAT查看方法：检查：1、windows环境下打开程序-管理工具-服务-打开名称为APACHE TOMCAT 的服务选择-登录选项卡查看此帐户项为普通用户（非ADMINISTRATORS组用户和SYSTEM用户，通过检查管理员组确定该启动帐户非管理员帐户）。2、（）使用ps ef | grep tomcat 命令检查TOMCAT的系统进程是否由非ROOT用户启动第39页/共55页（五）

26、Tomcat中间件安全评估技术5. 其它安全检查2、是否删除不需要的管理应用和帮助应用查看方法：检查/TOMCAT/webapps/*和/TOMCAT/server/wenapps/*下的所有文件是否被删除。第40页/共55页（六 ） Oracle数据库全评估技术第41页/共55页（六） Oracle数据库安全评估技术1. 系统版本及补丁检查检查方法:1. 以sqlplus /as sysdba登陆到sqlplus环境中2. Select * from v$version;3. 检查输出结果：参考建议值:Oracle 10g以上第4

27、2页/共55页（六） Oracle数据库安全评估技术2. 账号管理和授权1、锁定或删除不需要的帐号检查方法：1.以sqlplus /as sysdba登陆到sqlplus环境中2.执行查询：SELECT username, password, account_status FROM dba_users;3.分析返回结果第43页/共55页（六） Oracle数据库安全评估技术2. 账号管理和授权2、禁用 SYSDBA 角色的自动登录检查方法：检查$ORACLE_HOME/network/admin/sqlnet.ora 中关于SQLNET.AUTHENTICATION_SERVICES的设置为：

28、NTS或NONE如果使用了SQLNET.AUTHENTICATION_SERVICES=(NTS)则说明可以使用OS认证就，只要conn / as sysdba 就可以登陆但如果注释掉或SQLNET.AUTHENTICATION_SERVICES=(none)必须要使用conn sys/passwordoracle as sysdba才能登陆1、在windows下，SQLNET.AUTHENTICATION_SERVICES必须设置为NTS或者ALL才能使用OS认证；不设置或者设置为其他任何值都不能使用OS认证。2、在linux下，在SQLNET.AUTHENTICATION_SERVICES

29、的值设置为ALL，或者不设置的情况下，OS验证才能成功；设置为其他任何值都不能使用OS认证。第44页/共55页（六） Oracle数据库安全评估技术3. 用户密码策略检查检查项目检查方法备注 密码复杂度使用oracle enterprise manager console 登陆后查看概要文件default，检查是否启用口令复杂性函数。密码最小位数建议为8位，应该包含数字或字母，不能与账号相同。口令失效使用oracle enterprise manager console 登陆后查看概要文件default，检查口令失效：有效期：（多少）天锁：（多少）天后锁定有效期建议为：90天；1天后锁定；保留

30、口令历史记录使用oracle enterprise manager console 登陆后查看概要文件default，检查保留口令历史记录的保留：（多少）次。保留时间（多少）天。保留10次记录；保留120天登陆失败后锁定账号使用oracle enterprise manager console 登陆后查看概要文件default，检查登陆失败后锁定账号的：登录失败：（多少）次后锁定锁定：（多少）天建议:12次锁定锁定1天第45页/共55页（六） Oracle数据库安全评估技术3. 用户密码策略检查默认情况如下：第46页/共55页（六） Oracle数据库安全评估技术3. 用户密码策略检查2、检查默认账号密码情况SQL select username User(s) with Default Password! 2 from dba_users 3 where password in 4 (E066D214D5421