-
服务器和网站安全加固技术规范
1.1
安全加固原理
服务器安全加固是针对
服务器系统(包含运行在主机上的各种软件系统)的脆弱
性进行分析并修补。另外,安全
加固同时包括了对主机系统的身份鉴别与认证、访问控
制和审计跟踪策略的增强。
1.2
安全加固的目标
安全加固的主要目标包括以下两点:
?
对系统性能进行优化配置,杜绝系统配置不当而出现的弱点;
?
解决目标系统在安全评估中发现的技术性安全问题。
在修补加固完全成后,所有被加固的目标系统不应存在高风险
漏洞和中风险漏洞
(高风险漏洞和中风险漏洞,根据
CVE
:
Common Vulnerabilities & Expo
sures
公共漏洞
和暴露标准定义)。如果对相关的漏洞修补
加固与现有应用冲突或会导致不良后果应另
行处理。
1.3
安全加固的原则
安全加固的基本原则如下:
?
安全加固内容不能影响目标系统所承载的业务运行;
?
安全加固不能严重影响目标系统的自身性能;
?
加固操作不能影响与目标系统以及
与之相连的其它系统的安全性,
也不能造
成性能的明显下降。<
/p>
1.4
操作系统安全加固
1.4.1
Windows
(
2003
Server
)系统安全加固
项目
分项
服
务
器
配
置
基
本
要
求
基
本
安
装
服
务
< br>器
软
和设置
< br>件
安
装
要
求
加固目的
保
证
系
统
基
本
安
全
性<
/p>
和
易于维护
加固内容和方法
1
< br>、正确划分文件系统格式,确保所有磁盘分区为
NTFS
分区。
2
、
C
盘安装操作系统,
D
盘安装常用软件
及存放用户网站
目录文件。
安装必备
的防护软件,防病毒软件应安装学校统一购买的
提
供
最
小
化
网络版瑞星。
的功能,减少
与服务运行和管理维护无关
的服务软件、工具软件、应用
可能的漏洞。
软件都不能安装。
使
系
统
升
级
到最新版本
将
Windows<
/p>
自动更新更改为使用校内
WSUS
服务器
:
服务器地址:
< br>192.168.32.180
:
8530
更新命令:
wuauclt /detectnow
在“管理工具”
—
“本地安全设置”
—
“帐户策略”中按
如下要求进行设置:
密码长度最小值
7
字符
密码最长存留期
90
天
密码最短存留期
30
天
帐号锁定计数器
30
分钟
帐户锁定时间
30
分钟
帐户锁定阀值
3
次
补丁安装
帐
号
密
码
策略修改
帐号设置
保
障
帐
号
以
及
密
码
的
安<
/p>
全
限制
Gue
st
用户权限
避免
< br>Guest
帐
号
被
黑
客
激
活作为后门
禁用
Guest
用户
。
在
“管理工具”
< br>—
“本地安全设置”
—
“本地策
略”
—
“用
户权利指派”
,
“拒绝从网络访问这台计算机”
中加入
Guest
用户,禁止
Guest
帐号本地登录和网络登录的权限。
“服务管理”中将
下述服务停止,并将启动类型设置为手
动:
?
Computer
Browser
服务
?
Alerter
服务
?
Messenger
服务
?
Computer
Browser
:维护网络上计算机的最新列表以
及
提供这个列表
?
Routing and Remote Access
:
在局域网以及广域网环境
中为企业提供路由服务
?
Remote
Registry Service
:允许远程注册表操作
?
Print
Spooler
:将文件加载到内存中以便以后打印
?
DHCP Client
:
DHCP
客户端
?
Distributed
Link
Tracking
Client
:当
文件在网络域的
服务
停
止
不
需
要服务
避
免
未
< br>知
漏
洞
给
主
机
带
来的风险
NTFS
卷中移动时发送通知
?
Error Reporting
Service
:
收集、
存储和向
Microsoft
报
告异常应用程序
?
Messenger
:传输客户端和服务器之间的
NET
SEND
和警报器服务消息
?
Telnet
:允许远程用户登录到此计算机并运行程序
?
Help and Suppor
t
:启用在此计算机上运行帮助和支持
中心。如果停止服务,帮
助和支持中心将不可用。如
果禁用服务,任何直接依赖于此服务的服务将无法启
动。
Wireless
Configuration
:
启用
IEEE 802.11
适配器的自动配
置。如果此服务停止,自动配置将不可用。如果此服务被
禁用,所有明确依赖它的服
务都将不能启动。
禁止用户组访问以下文件,仅限
administrators
、
system<
/p>
用
户组访问这些文件:
对
特
定
文
件
,
,<
/p>
,
,
,
权
限
< br>进
行
限
,
,
,
,
,
,
制,防止被黑
,
,
,
,
,
客使用
,
,
,
,
,
,
,
,
,
< br>,
,
,
,
在
“管理工具”
—
“本地安全设置”
—
“本地策略”
—
“审<
/p>
核策略”中按如下要求进行设置:
审核策略更改
成功
审核登录事件
成功
审核对象访问
成功
,
失败
审核过程追踪
成功
审核特权使用
成功
审核系统事件
成功
,
失败
审核帐户登录事件
成功
,
失败
审核帐户管理
成功
,
失败
系统文件
限
制
特
定
执
行<
/p>
文
件
的权限
<
/p>
设
置
审
核
策略
对
系
统
事
件
进行审核,在<
/p>
日
后
出
现
故
障
时
用
于
排
查故障。
日志
调
整<
/p>
事
件
日
志
的
大
小
、
覆
盖
策略
增
大
日
志
< br>大
小,避免由于
日
志
文
件
容
量
过
小
导
致
日
志
记
录
不
全
可
以<
/p>
禁
止
匿
名
用
户
列
举
主
机
上
所
有
用户、组、共
享资源
在“计算机管理”
—
“事件查看器”
—
“属性”中修改下
述值:
< br>
大小
覆盖方式
16382K
应用日志
覆盖早于
< br>90
天的事件
16384K
安全日志
覆盖早于
< br>90
天的事件
16384K
系统日志
覆盖早于
< br>90
天的事件
16382K<
/p>
为参考值如果不够存储
90
天的事件日志
可根据具
体情况增加。
将
:
HKEY_LOCAL_MACHINE
SYSTEMCurrentControlSetControlLsa
“restrictanonymous”
的值由“
0
”改为“
1
”
注册表
禁
止
匿
名
用户连接
< br>
禁止
C$$
、
< br>D$$
等默认
共享
修
改
数
据
< br>包
的
生
存
时
间
(ttl)
值
< br>
关
闭
默
认
的
盘符共享
可
以
通
过
修
改
此
值
来<
/p>
实
现
对
外
隐
藏
主
机
的
类
型
和信息
可
以
通
过
修
改
此
值
来
实
现对
syn
的防
止
可
以
通
过
修
改
此
值
来<
/p>
实
现
防
止
tcmp
攻击
将<
/p>
该
值
修
改
为
“
0
”
HKEY_LOCAL_MACHINESYSTEMCurrentC
ontrolSet
Serviceslanmanserverparameters
< br>AutoShareServer
,
REG_DWORD
值为
0
将该值修改为
(0-255
十进制
)
HKEY_LOCAL_MACHINE
systemcur
rentcontrolsetservicestcpipparameters
D
efaultttl
,
REG_DWORD
值改为
0-0xff
,默认值
128
各
< br>类
系
统
的
TTL
值
:
LINUX
64
、
WIN2K/NT
128
、
WINDOWS
系列
32
、
UNIX
系列
255
HKEY_LOCAL_MACHINE
systemcur
rentcontrolsetservicestcpipparameters
,
synattackprotect
,
REG_DWORD
值改为
0x2
,默
认值为
0x0
将子键
“PerformRouterDiscovery”
REG_DWORD
型的值修
改为
0(0
为禁止响应
ICMP
路由通告报文,
2
为允许响应
ICMP
路
由
通
告
报
文
)
HKEY_LOCAL_MACHINE
systemcurrentcontrolsetservicestcpip
parametersinterfacesinterface
,
performrouterdiscovery
REG_D
WORD
值改为
0x0(
默认值为
0x2)
将子键
“EnableICMP
Redirects”(REG_DWORD
型
)
的值修改
为
0(0
为禁止<
/p>
ICMP
的重定向报文
)
即可
HKEY_LOCAL_MACHINE
systemcurrentcontrolsetservicestcpipparam
eters
,
enableicmpredirects
,
REG_DWORD
值改为
0x0(
默认值
为
0x1)
HKEY_LOCAL_MACHINESYSTEMCu
rrentControlSet
ControlTerminal ServerW
dsrdpwdTdstcp
,
将
Po
rtNumber
改为
1024
(十进
制)
。
HKEY_LOCAL_MA
CHINESYSTEMCurrentControlSet
ControlTerminal ServerWinStationsRDP-Tc
p
,方法同上,
修改的端口号和上面修改的一样。
HKEY_LOCAL_MACHINE
systemcurrentcontrolsetservices:tcpippara
meters
,
arpcachelife
< br>,
REG_DWORD
值改为
0
-0xffffffff(
秒数
,
默<
/p>
认值为
120
秒
)
arpcacheminreferencedlife
,
REG_DWORD
值
改
为
0-0xffffffff(
秒数
,
默认值为
600)
防
止
syn
洪水攻击
禁
止
响
应
icmp
路由
通告报文
防止
icmp
重
定
向
报
文的攻击
可
以
通
< br>过
修
改
此
值
来
实
现
防
止
tcmp
攻击
修
改
远
程
桌面
3389
默认端口
可
以
通
过
修
改
此
值
来
提
升
服<
/p>
务
器
的
安全性<
/p>
设
置
arp<
/p>
缓
存
老
化
时间设置
可
以
通
过
修
改
此
值
来
提
升
服
务
器
< br>的
安全性
网络协议
解
除
NetBios
与
TCP/IP
协
议
的
绑
定
,
并
禁
用
NetBios
协议
<
/p>
禁用
NetBios
协议,提升安
全性
控制面版
——
网络
——
属性
——
TCP/IP
——
属性
——
高
级
——
WINS
——
禁用
TCP
/IP
上的
NETBIOS
启
用
系
统
防
火
墙
设
自
带
防
火
置
墙
提升网络、主
机安全性
启用系统自带防火墙,根据服务类型打开必要的端口和服
务范围:
?
网站(
web
)服务器:
80
端
口
?
SQ
LServer
服务器:
1433
端口
,只限定服务器
IP
段,
只为本机专用
的
SQLServer
不开此端口
?
FTP
服
务:
21
端口,只限定校内
IP
远程桌面:
将默认端口改为
1024
,
只限定网络中心办公用
IP
段
1.4.2
Linux
(
RedHat
AS
)操作系统安全加固
项目
分项
服
务
器
配
置
基
本
要
求
服
务
器
软
基
本
< br>安
装
件
安
装
要
和设置
求
系
统
补
丁
安装
加固目的
保
证
系
统
基
本<
/p>
安
全
性
和
易于维护
加固内容和方法
磁盘
/boot
目录不少于
100M
使用
ext3
分区格式
安装使用最小化安装
提
供
最
小
化
< br>与服务运行和管理维护无关的服务软件、工具软件、应用
的功能,减少
软件都不能安装。
可能的漏洞。
选择性升级,
使用
yum list
updates
察看可用升级
保
证
升
级
的
使用
yum update page
升级
page
包
可用的性
删除不使用的帐号
密码长度最小值
7
字符
密码最长存留期
90
天
密码最短存留期
30
天
帐号自动注销
15
分钟
打开
/etc/
文件
< br>
帐
号
密
码
策略修改
帐号策略
保
障
帐
号
以
及<
/p>
口
令
的
安
全
PASS_MAX_DAYS 90
注:
用户的密码不过期最多的天
数;<
/p>
PASS_MIN_DAYS 30
注:密码修改之间最小的
天数;
PASS_MIN_LEN 7
注:密码最小长度;
帐号自动注销
打开
etc/profile
在文件最后添加如下语句:
TMOUT=900
export TOMOUT
指
定
特
定
用
户
使
用
< br>su
限
制
用
< br>户
使
用
root
权限
编辑
/etc/pam
.d/su
文件,增加如下两行:
auth sufficient /lib/security/pam_
debug
auth required /lib/security/pam_
group=wheel
关
闭
不
需
服
务
加
固
要
的
系
统
优化
服务
避
免<
/p>
未
知
漏
洞
给
主
机
带
来的风险
执行
ntsysv
禁用除
syslog
、
sshd
、
network
、
crond
、
iptables
、
xinetd
和
应用所需服务之外的所有服务。
使用
root
权限执行下列命令
chattr +i /etc/passwd
chattr +i
/etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chmod -R 700
/etc/rc.d/init.d/*
chmod 600 /etc/
文
件
系
统
限
制<
/p>
特
定
加固
文
件
的
权
限
限制非
root
权
限
用
户
读
取
文件内容
日志备份
备份日志
对
系
统
事
件
进行
审核,在
日
后
出
现
故
障
时
用
于
排
查故障。
定期备份日志
包含
< br>/var/log
内的所有日志
远
程
访
问
S
sh
访
问
限制
限制
限制
r
oot
用户
直接登录、限
制
ip
地址
限制
root
直接远程
ssh
登录或限制登录
IP
地址:
限制
root
直接远程
ssh
登录
修改
/etc/ssh/sshd_config
PermitRootLogin
no
,
限制登录
IP
地址
修改
< br>/etc/
文件,添加维护
IP
地址,如:
Sshd
:
202.200.255.0/255.255.255.0
同时修改
/etc/
文件,添加:
sshd:any@any
启用系统自带防火墙,根据服务类
型打开必要的端口和服
务范围:
Ssh:22
开启需要对外提供服务的端口
原则:在不影响正常使用的情况下端口开启最少化。
禁止
Ctrl+Alt+Delete
重新启动
系统
修改
/etc/inittab
文件,将
“ca::ctrlaltdel:/sbin/sh
utdown
-t3
-r
now”
一行加#号注释掉。
注销时删除命令缓冲区
编辑
/etc/skel/.bas
h_logout
文件,增加如下行:
rm -f
$$HOME/.bash_history
如果只需要针对某个特定用户,<
/p>
如
root
用户进行设置,
则可只在该用户的主目录下修改
/$$HOME/.bash_history
文
件,增加相同的一行即可。
启
用
系
统
防
火
墙
设
提升网络、主
自
带
防
火
置
机安全性
墙
iptables
其
他
方
面
加固:
Ctrl+Alt+
Delete
其它
历<
/p>
史
纪
录
删除
增
加
优
化
系
统的安全性
-
-
-
-
-
-
-
-
-
上一篇:广交会翻译实习总结
下一篇:奥普拉哈佛毕业典礼演讲稿中文翻译