中国移动安全安全加固培训材料

1、系统安全加固系统安全加固 -2-培训要求：培训要求：该课程主要介绍系统通用的安全加固方案和方法该课程主要介绍系统通用的安全加固方案和方法培训对象：培训对象：面向安全管理人员、安全技术人员、系统维护人员、面向安全管理人员、安全技术人员、系统维护人员、共共3 3类人员类人员培训时间培训时间：1 1小时左右小时左右培训侧重点：培训侧重点：本教材侧重点为安全技术人员和系统维护人员本教材侧重点为安全技术人员和系统维护人员-3-目目 录录 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-4-一、安全加固的概念一、安全加固的概念 风险、脆弱性风险、脆弱性 如何

2、定义如何定义 “安全安全”？ 硬件硬件 + 软件软件 = 预期的结果预期的结果 硬件硬件 + 软件软件 预期的结果预期的结果 如何定义更全面的如何定义更全面的“安全安全”？ 人人 + 硬件硬件 + 软件软件 = 预期的结果预期的结果 人人 + 硬件硬件 + 软件软件 预期的结果预期的结果-5-二、安全加固的目标二、安全加固的目标n目标目标 我们的目标是降低风险-6-三、安全加固对象三、安全加固对象n对象对象 所有可能产生脆弱性的东西-7-四、安全加固的原则四、安全加固的原则n加固原则加固原则 风险最大化 不要忽视扫描报告和检查结果中的任何一个细节，将任何潜在隐患以最大化的方式展现 威胁最小化

3、威胁难以被彻底消除，因为它是动态的，我们只能将其降低至可接受的程度-8-五、安全加固的流程五、安全加固的流程n一般流程一般流程 确认加固的要求（安全基线） 安全检查（手工检查或者基线设备检查） 加固前的交流（和业务负责人交流） 加固实施过程（重要系统需要先在备机上测试） 加固完成及成果输出（方便发生问题时回退）-9-目目 录录 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-10-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文

4、件系统用户与文件系统n安全增强安全增强-11-补丁补丁 检查系统补丁安装情况检查系统补丁安装情况命令行执行命令行执行systeminfosysteminfo, ,查看系统已经安装的补丁列表查看系统已经安装的补丁列表 补丁更新补丁更新 手动安装：使用手动安装：使用IE访问，按提示安装必要的访问，按提示安装必要的activeX控件后，按提示控件后，按提示安装补丁安装补丁 开始开始 控制面板控制面板 自动更新，在自动更新面板中选中自动（建议）自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间，然后根据个人需求设置升级时间-12-防护软件防护软件 安装杀毒软件并保持病毒库更

5、新安装杀毒软件并保持病毒库更新 防火墙防火墙 对于防火墙软件，建议屏蔽以下端口：对于防火墙软件，建议屏蔽以下端口： TCP 135 TCP 139 TCP 445 -13-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-14-系统服务系统服务 查看系统服务查看系统服务 执行执行services.msc,检查启动类型为自动的服务检查启动类型为自动的服务 关闭非必需的服务关闭非必需的服务 建议关闭一下服务：建议关闭一下服务：Task Sch

6、eduler/Remote Registry /SNMP Service/Print Spooler /Telnet /Computer Browser/Messenger/Alerter/ DHCP Client 关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停止按钮以停止当前正在运行的服务止按钮以停止当前正在运行的服务 -15-SNMPSNMP服务服务 修改修改SNMP的字符串的字符串 为什么要修改为什么要修改SNMP的字符串？它会泄露什么？的字符串？它会泄露什么？ 通过通过 SNMP服务，远程恶意用户可以列举本地的帐号、

7、帐号组、服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改运行的进程、安装的补丁和软件等敏感信息，禁用或修改 SNMP配置可以有效防止远程恶意用户的这类行为。配置可以有效防止远程恶意用户的这类行为。 攻击工具攻击工具: snmputil walk 1.1.1.10 public .1.3.6. .-16-服务与进程服务与进程 SNMP ServiceSNMP Service服务加固方法：服务加固方法：为修改为修改 SNMP SNMP 团体名团体名限制远程主机对限制远程主机对 SNMP SNMP 的访问的访问 -17-关闭自动播放功能关闭自动播放功能

8、 关闭所有驱动器的自动播放功能关闭所有驱动器的自动播放功能 点击开始运行输入 gpedit.msc，打开组策略编辑器， 浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。 -18-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-19-密码策略密码策略 密码策略密码策略 长度长度 7 Windows 2000 127 14 Windows 9X 0 期限期限 定期修改密码定期修改密码 复杂性

9、复杂性 Pyth0n&!大小写大小写数字数字特殊字符特殊字符-20-密码策略密码策略 加固要点加固要点 密码策略密码策略: 开始开始 运行运行 gpedit.msc 计算机配置计算机配置 Windows 设置设置 安全设置安全设置 帐户策略帐户策略 帐户锁定帐户锁定策略策略-密码策略密码策略”： 帐户锁定策略帐户锁定策略-21-用户权利指派用户权利指派 检查用户权限策略是否设置：检查用户权限策略是否设置： 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 用户权利指派-22-本地安全策略配置本地安全策略配置 检查本地安全策略配置：检查本地安全策略配

10、置： 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 安全选项-23-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-24-日志和审核策略日志和审核策略 审核审核 了解了解Windows审核策略审核策略 审核策略并不完整审核策略并不完整 很多审核内容默认未开启很多审核内容默认未开启 只有只有在在 NTFS 磁盘上才能开启对象访问审核磁盘上才能开启对象访问审核,日志量较日志量较大大 步骤步骤 打开审

11、核策略打开审核策略 编辑审核对象的审核项编辑审核对象的审核项-25-日志和审核策略日志和审核策略 审核审核 打开审核策略打开审核策略 要做什么审核？要审核什么？要做什么审核？要审核什么？ 位置：位置：gpedit.msc 计算机配置计算机配置 Windows设置设置 安全设置安全设置 审核设置审核设置-26-日志和审核策略日志和审核策略 审核审核 查看审核日志查看审核日志 eventvwr（事件查看器）（事件查看器）-27-WindowsWindows通用安全加固方案通用安全加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系

12、统用户与文件系统n安全增强安全增强-28-文件系统文件系统 Windows文件系统文件系统 FAT FAT 16 FAT 32 NTFS 将将 FAT 卷转换成卷转换成 NTFS convert C: /FS:NTFS -29-用户用户 用户和组用户和组 特殊的组特殊的组 Administrators、Guests、Power Users 可通过可通过net localgroup命令打印命令打印 特殊的用户特殊的用户 Administrator、Guest 可通过可通过net user命令打印命令打印 隐藏帐号隐藏帐号 net user hide$ password /add-30-用户用户

13、加固要点加固要点 检查用户检查用户 克隆克隆 隐藏隐藏 清除用户清除用户 未使用的未使用的 未知的未知的 锁定用户锁定用户 Guest SUPPORT_XXXXX-31-设置重要文件权限设置重要文件权限 权限权限 前提（关键字）前提（关键字） NTFS Administrators-32-设置重要文件权限设置重要文件权限 权限权限 ACL （访问控制列表）（访问控制列表） 包含了用户帐户和访问对象之间许可关系包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集（即，由四个权限项组成的权限项集（即，ACL）-33-设置重要文件权限设置重要文件权限 权限权限 ACE （访问控制项）（访问

14、控制项） ACL中包含中包含ACE 访问控制条目访问控制条目-34-设置重要文件权限设置重要文件权限 加密和压缩加密和压缩-35-设置重要文件权限设置重要文件权限 审核审核 编辑审核对象的审核项编辑审核对象的审核项-36-设置重要文件权限设置重要文件权限 加固要点加固要点 目录及文件的权限目录及文件的权限 查找具有查找具有everyone的权限项的权限项 重要对象的审核策略重要对象的审核策略echo offdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find Everyone-37-WindowsWindows通用安全加固方案通用安全

15、加固方案n补丁及防护软件补丁及防护软件n系统服务系统服务n安全策略安全策略 n日志与审核策略日志与审核策略n用户与文件系统用户与文件系统n安全增强安全增强-38-安全增强安全增强 删除匿名用户空连接删除匿名用户空连接 注册表如下键值：注册表如下键值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 将将 restrictanonymous 的值设置为的值设置为 1，若该值不存在，可以自己创，若该值不存在，可以自己创建，类型为建，类型为 REG_DWORD，修改完成后重新启动系统生效，修改完成后重新启动系统生效 删除默认共享删除默认共享 注册

16、表如下键值：注册表如下键值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 将将 Autoshareserver 设置为设置为 0，若不存在，若不存在，可创建，类型为可创建，类型为 REG_DWORD修改完成后重新启动系统生效修改完成后重新启动系统生效 -39-目目 录录 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-40-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审

17、计n系统状态系统状态-41-帐号安全帐号安全n帐号帐号/etc/login.defs，检查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE检查是否存在除root外UID = 0的用户检查是否存在弱口令锁定不使用的帐户(passwd l username)检查root用户环境变量设置帐号超时注销(vi /etc/profile增加TMOUT=600) -42-帐号安全帐号安全 限制限制root远程登录远程登录 /etc/ssh/sshd_config : PermitRootLogin no /etc/securetty文件中配置：

18、文件中配置： CONSOLE = /dev/tty01 -43-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-44-umaskumask 检查是否包含检查是否包含 umask 值值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc -45-umaskumask umaskrootRHEL5 home# umask0022rootRHEL5 home# touch file1rootRHEL5 h

19、ome# ls -l file1-rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644)rootRHEL5 home# umask 0066rootRHEL5 home# touch file2rootRHEL5 home# ls -l file2-rw- 1 root root 0 Jul 26 07:18 file2 (600)rootRHEL5 home# umask 0rootRHEL5 home# umask0000rootRHEL5 home# touch file3rootRHEL5 home# ls -l file3-rw-rw-rw- 1

20、 root root 0 Jul 26 07:25 file3 (666)-46-文件权限文件权限 文件权限文件权限 ls lrootRHEL5 home# ls -l total 44 drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue -rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmod u+x file chmod 744 file4000SUID2000SGID1000粘住位0400所有者可读所有者可读0200所有者可写所有者可写0100所有者可执行所有者可执行0040所在

21、组可读所在组可读0020所在组可写0010所在组可执行0004其他用户可读其他用户可读0002其他用户可写0001其他用户可执行_0744结果结果-47-文件权限文件权限 检查重要目录和文件的权限设置检查重要目录和文件的权限设置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系统中所有的查找系统中所有的 SUID和和 SGID 程序程序-48-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帐号帐号n文件权限文件权限n服务服务n日志审计日志审计n系统状态系统状态-49-系统服务系统服务 守护进程与服务

22、的区别守护进程与服务的区别 守护进程守护进程 进程的一种特殊状态进程的一种特殊状态 不绑定至任何不绑定至任何Terminal 父进程是父进程是init 服务服务 相对守护进程，相对守护进程，“服务服务”的概念更为抽象的概念更为抽象 为用户提供一种功能的应用为用户提供一种功能的应用 可能包含一个或多个守护进程可能包含一个或多个守护进程 例例 服务名：服务名：SSH Server 进程名：进程名：sshd-50-系统服务系统服务 inetd 一些轻量级的服务，由一些轻量级的服务，由inetd集中处理集中处理 已不能满足现状已不能满足现状 # inetd.conf echo stream tcp6

23、nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal -51-系统服务系统服务 加固要点加固要点 服务服务 进程进程 端口端口 ipfw TCPWrapper libwrap ; configure -with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的停止不必要的inetd服务服务 停止不必要的服务停止不必要的服务 /

24、etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx -52-SnmpSnmp配置配置 Snmp安全配置如果打开了如果打开了SNMPSNMP协议，协议，snmpsnmp团体字设置不能使用默认的团体字团体字设置不能使用默认的团体字。查看配置文件查看配置文件/etc/snmp/snmpd.conf/etc/snmp/snmpd.conf，应禁止使用应禁止使用publicpublic、privateprivate默认团体字，使用用户自定义的团体字默认团体字，使用用户自定义的团体字。例如将以下设置中的例如将以下设置中的publicpublic替换为用户自定义的团体字：替换为用