Linux基线规范
账号管理和授权
1
2
3
4
5
| 检查特殊账号,是否存在空密码的账户和 root 权限账户
禁用或删除无用账号
添加口令策略:/etc/login.defs修改配置文件,设置过期时间、连续认证失败次数
禁止 root 远程登录,限制root用户直接登录。
检查 su 权限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test
|
服务
1
2
3
4
5
| 关闭不必要的服务
SSH 服务安全
不允许 root 账号直接登录系统,PermitRootLogin=no
修改 SSH 使用的协议版本为 2
修改允许密码错误次数(默认 6 次),MaxAuthTries=3
|
文件系统
1
2
3
4
5
6
7
| 设置 umask 值 vi /etc/profile 添加行 umask 027
设置登录超时 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为 TMOUT=180
日志
启用 syslogd 日志,配置日志目录权限,或者设置日志服务器
记录所有用户的登录和操作日志,通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查
|
IP 协议安全要求
1
2
3
4
5
| 远程登录取消 telnet 采用 ssh
设置 /etc/hosts.allow 和 deny
禁止 ICMP 重定向
禁止源路由转发
防 ssh 破解,iptables (对已经建立的所有链接都放行,限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问)
|
Windows 安全基线检查
主要包括五个方面:身份鉴别、访问控制、安全审计、资源控制、剩余信息保护
身份鉴别
1
2
3
4
5
6
7
| 更改缺省账户
检查Guest用户是否禁用
密码复杂性要求
密码长度最小不能小于8位
|
访问控制
1
2
3
4
5
6
7
| 共享账户检查
远程关机授权
本地关机
授权帐户登陆
|
安全审计
1
2
3
4
5
6
| 用户登录日志记录
系统日志完备性检查
登录超时管理
|
资源控制
剩余信息保护
1
2
3
4
5
| 不显示上次的用户名
关机前清除虚拟内存页面
不启用可还原的加密来存储密码
|
中间件基线规范(APACHE)
配置
1
2
3
4
5
| 账号
授权
日志
session 过期时间(防ddos)
绑定监听地址
|
禁止
1
2
3
4
| 目录权限
访问外部文件
CGI
非法HTTP方法(PUT DELETE)
|
隐藏
删除
Linux、Windows安全加固 IIS 服务器应该做哪些方面的保护措施?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| 保持 Windows 升级
使用 IIS 防范工具
移除缺省的 Web 站点
如果你并不需要 FTP 和 SMTP 服务,请卸载它们
有规则地检查你的管理员组和服务:
严格控制服务器的写访问权限
设置复杂的密码
减少/排除 Web 服务器上的共享
禁用 TCP/IP 协议中的 NetBIOS
使用 TCP 端口阻塞
仔细检查 .bat 和 .exe 文件:每周搜索一次 .bat
管理 IIS 目录安全
使用 NTFS 安全
管理用户账户
审计你的 Web 服务器
|
评论系统未开启,无法评论!