Question

8.9. 加固检查

8.9.1. 网络设备

• 及时检查系统版本号
• 敏感服务设置访问IP/MAC白名单
• 开启权限分级控制
• 关闭不必要的服务
• 打开操作日志
• 配置异常告警
• 关闭ICMP回应

8.9.2. 操作系统

8.9.2.1. Linux

• 无用用户/用户组检查
• 空口令帐号检查

• 用户密码策略

  • /etc/login.defs
  • /etc/pam.d/system-auth

• 敏感文件权限配置

  • /etc/passwd
  • /etc/shadow
  • ~/.ssh/
  • /var/log/messages
  • /var/log/secure
  • /var/log/maillog
  • /var/log/cron
  • /var/log/spooler
  • /var/log/boot.log

• 日志是否打开
• 及时安装补丁

• 开机自启

  • /etc/init.d

• 检查系统时钟

8.9.2.2. Windows

• 异常进程监控
• 异常启动项监控
• 异常服务监控
• 配置系统日志

• 用户账户

  • 设置口令有效期
  • 设置口令强度限制
  • 设置口令重试次数

• 安装EMET
• 启用PowerShell日志

• 限制以下敏感文件的下载和执行

  • ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif

• 限制会调起wscript的后缀

  • bat, js, jse, vbe, vbs, wsf, wsh

• 域

  • 限制将计算机加入域的权限
  • 域账户使用最小权限原则
  • 减少非必要高权限账户的数量

8.9.3. 应用

8.9.3.1. FTP

• 禁止匿名登录
• 修改Banner

8.9.3.2. SSH

• 是否禁用ROOT登录
• 是否禁用密码连接

8.9.3.3. MySQL

• 文件写权限设置
• 用户授权表管理
• 日志是否启用
• 版本是否最新

8.9.4. Web中间件

8.9.4.1. Apache

• 版本号隐藏
• 版本是否最新
• 禁用部分HTTP动词
• 关闭Trace
• 禁止 server-status
• 上传文件大小限制
• 目录权限设置
• 是否允许路由重写
• 是否允许列目录
• 日志配置
• 配置超时时间防DoS

• 非属主用户文件读写限制

  • httpd.conf
  • access.log
  • error.log

8.9.4.2. Nginx

• 禁用部分HTTP动词
• 禁用目录遍历
• 检查重定向配置
• 配置超时时间防DoS

8.9.4.3. IIS

• 版本是否最新
• 日志配置
• 用户口令配置
• ASP.NET功能配置
• 配置超时时间防DoS

8.9.4.4. JBoss

• jmx console配置
• web console配置

8.9.4.5. Tomcat

• 禁用部分HTTP动词
• 禁止列目录
• 禁止manager功能
• 用户密码配置
• 用户权限配置
• 配置超时时间防DoS

8.9.5. 密码管理策略

• 长度不少于8个字符
• 不存在于已有字典之中
• 不使用基于知识的认证方式

8.9.6. 参考链接

• awesome windows domain hardening
• customize attack surface reduction