操作系統(tǒng)安全加固.

1、操作系統(tǒng)安全加固操作系統(tǒng)安全加固 張敏張敏 四川訊修信息技術(shù)服務有限公司四川訊修信息技術(shù)服務有限公司 培訓簡介培訓簡介 培訓目的： 該課程主要介紹系統(tǒng)通用的安全加固方案和方法 培訓對象： 面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護人員、 共3類人員 培訓時間： 60分鐘 培訓重點： 本教材側(cè)重點為安全技術(shù)人員和系統(tǒng)維護人員 安全守則安全守則 著名信息安全的十大守則著名信息安全的十大守則 守則守則1：如果一個人能說服你同意他在你的電腦上運行他的程序：如果一個人能說服你同意他在你的電腦上運行他的程序, 那么那么, 這臺電腦就這臺電腦就 不再屬于你了不再屬于你了; 守則守則2: 如果一個人能夠改變你電

2、腦上的操作系統(tǒng)如果一個人能夠改變你電腦上的操作系統(tǒng), 那么那么, 這臺電腦就不再屬于你了這臺電腦就不再屬于你了; 守則守則3: 如果一個人能夠不受限制的從物理上接觸到你的電腦如果一個人能夠不受限制的從物理上接觸到你的電腦, 那么那么, 這臺電腦就不這臺電腦就不 再屬于你了再屬于你了; 守則守則4: 如果你允許一個人能夠上傳他的程序到你的網(wǎng)站如果你允許一個人能夠上傳他的程序到你的網(wǎng)站, 那么那么, 這個網(wǎng)站就不再屬這個網(wǎng)站就不再屬 于你了于你了; 守則守則5: 脆弱的口令能夠輕而易舉地擊敗非常牢固的安全系統(tǒng)脆弱的口令能夠輕而易舉地擊敗非常牢固的安全系統(tǒng); 守則守則6: 一臺機器只有在它的管理員可

3、信賴的時候才是安全的一臺機器只有在它的管理員可信賴的時候才是安全的; 守則守則7: 加密過的數(shù)據(jù)只有在解密密鑰安全的時候才是安全的加密過的數(shù)據(jù)只有在解密密鑰安全的時候才是安全的; 守則守則8: 一個過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點一個過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點; 守則守則9: 絕對的匿名是不可能實現(xiàn)的絕對的匿名是不可能實現(xiàn)的, 無論是在真實的生活中還是在無論是在真實的生活中還是在WEB上上; 守則守則10: 技術(shù)不是萬能的。技術(shù)不是萬能的。 加固環(huán)節(jié)加固環(huán)節(jié) 培訓目錄培訓目錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNI

4、X/Linux安全加固安全加固 一、安全加固的概念一、安全加固的概念 為什么要安全加固為什么要安全加固 l修補系統(tǒng)存在的漏洞弱點 l預防系統(tǒng)面臨的威脅 如何理解 “安全”？ l可用性 l保密性 l完整性 如何實現(xiàn)“安全”？ l管理 + 技術(shù) = 預期的結(jié)果 l管理 + 技術(shù) 預期的結(jié) 二、安全加固的目標二、安全加固的目標 n目標目標 我們的目標是降低風險到可以接受我們的目標是降低風險到可以接受 三、安全加固對象三、安全加固對象 n對象對象 所有可能產(chǎn)生脆弱性的應用所有可能產(chǎn)生脆弱性的應用 四、安全加固的原則四、安全加固的原則 n加固原則加固原則 業(yè)務影響最小化業(yè)務影響最小化 安全風險難以被徹底

5、消除，因為它是動態(tài)的，我們在加安全風險難以被徹底消除，因為它是動態(tài)的，我們在加 固過程中堅持的最基本原則是業(yè)務系統(tǒng)的可用性，對固過程中堅持的最基本原則是業(yè)務系統(tǒng)的可用性，對 業(yè)務系統(tǒng)影響最小化。業(yè)務系統(tǒng)影響最小化。 風險發(fā)現(xiàn)最大化風險發(fā)現(xiàn)最大化 詳細審查評估報告和漏洞掃描中的任何一個細節(jié)，將任詳細審查評估報告和漏洞掃描中的任何一個細節(jié)，將任 何潛在的安全隱患以最大展現(xiàn)，列表，進行確認處理何潛在的安全隱患以最大展現(xiàn)，列表，進行確認處理 。 五、安全加固的流程五、安全加固的流程 n加固流程加固流程 確認加固目標（加固需求和要求） 實施安全檢查（手工檢查和漏洞掃描檢查） 加固前的交流（和業(yè)務負責人系

6、統(tǒng)管理員交流） 加固實施過程（測試環(huán)境-備用機非核心-核心主 機） 加固過程文件與成果輸出（加固效果與過程記錄文件） 目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX類安全加固類安全加固 Windows通用安全加固方案通用安全加固方案 補丁及防護軟件補丁及防護軟件 系統(tǒng)服務系統(tǒng)服務 安全策略安全策略 日志與審核策略日志與審核策略 用戶與文件系統(tǒng)用戶與文件系統(tǒng) 安全增強安全增強 補丁補丁 檢查系統(tǒng)補丁安裝情況檢查系統(tǒng)補丁安裝情況 命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補丁列表 補丁更新補丁更新 手動安裝：使用IE訪問http:/，按提示安裝 必要的act

7、iveX控件后，按提示安裝補丁 開始 控制面板 自動更新，在自動更新面板中選中自動（建 議）(U)，然后根據(jù)個人需求設置升級時間 內(nèi)網(wǎng)與安全域環(huán)境，可以建立獨立的WSUS服務器 防護軟件防護軟件 安裝殺毒軟件并保持病毒庫更新 守則8: 一個過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點; 防火墻 對于防火墻，建議建立嚴格的訪問控制策略。 Windows通用安全加固方案通用安全加固方案 n補丁及防護軟件補丁及防護軟件 系統(tǒng)服務系統(tǒng)服務 n安全策略安全策略 n日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強安全增強 系統(tǒng)服務系統(tǒng)服務 查看系統(tǒng)服務查看系統(tǒng)服務 執(zhí)行

8、services.msc,檢查啟動類型為自動的服務 最小化服務原則，建議關(guān)閉一下服務： Task Scheduler/Remote Registry /SNMP Service/ Print Spooler /Telnet /Computer Browser/Messenger/ Alerter/ DHCP Client 關(guān)閉方法：雙擊需要關(guān)閉的服務，將啟動類型設置為禁用，點擊 停止按鈕以停止當前正在運行的服務 SNMP服務服務 修改修改SNMP的字符串的字符串 為什么要修改SNMP的字符串？它會泄露什么？ 通過 SNMP服務，遠程惡意用戶可以列舉本地的帳號、帳號組、 運行的進程、安裝的補丁和

9、軟件等敏感信息，禁用或修改；SNMP 配置可以有效防止遠程惡意用戶的這類行為。 攻擊工具: snmputil walk 0 public .1.3.6. . 服務與進程服務與進程 SNMP Service服務加固方法：服務加固方法： 為修改 SNMP 團體名 限制遠程主機對 SNMP 的訪問 關(guān)閉自動播放功能關(guān)閉自動播放功能 關(guān)閉所有驅(qū)動器的自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能 點擊開始點擊開始運行運行輸入輸入 gpedit.msc，打開組策略編輯器，打開組策略編輯器， 瀏覽到計算機配置瀏覽到計算機配置管理模板管理模板系統(tǒng)，在右邊窗格中雙擊系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自關(guān)閉自

10、 動播放動播放”，對話框中選擇所有驅(qū)動器，確定即可。，對話框中選擇所有驅(qū)動器，確定即可。 Windows通用安全加固方案通用安全加固方案 n補丁及防護軟件補丁及防護軟件 n系統(tǒng)服務系統(tǒng)服務 安全策略安全策略 n日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強安全增強 密碼策略密碼策略 密碼策略密碼策略 長度 7 Windows 2003 127 7 windows2008 127 期限 定期修改密碼 復雜性 ChinaMobile_NO.1 大小寫大小寫數(shù)字數(shù)字特殊字符特殊字符 密碼策略密碼策略 加固要點加固要點 密碼策略: 開始 運行 gpedit.msc 計算機配置

11、 Windows 設置 安全設置 帳戶策略 帳 戶鎖定策略-密碼策略”： 帳戶鎖定策略 用戶權(quán)利指派用戶權(quán)利指派 檢查用戶權(quán)限策略是否設置：檢查用戶權(quán)限策略是否設置： 開始開始 運行運行 gpedit.msc 計算機配置計算機配置 Windows 設置設置 安全設置安全設置 本地策略本地策略 用戶權(quán)利用戶權(quán)利 指派指派 本地安全策略配置本地安全策略配置 檢查本地安全策略配置：檢查本地安全策略配置： 開始開始 運行運行 gpedit.msc 計算機配置計算機配置 Windows 設置設置 安全設置安全設置 本地策略本地策略 安全選項安全選項 Windows通用安全加固方案通用安全加固方案 n補丁

12、及防護軟件補丁及防護軟件 n系統(tǒng)服務系統(tǒng)服務 n安全策略安全策略 日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強安全增強 日志和審核策略日志和審核策略 審核審核 n 了解Windows審核策略 審核策略并不完整 很多審核內(nèi)容默認未開啟 只有在 NTFS 磁盤上才能開啟對象訪問審核,日志量較大(考慮性能) n 步驟 打開審核策略 編輯審核對象的審核項 日志和審核策略日志和審核策略 審核審核 打開審核策略 要做什么審核？要審核什么？ 位置：gpedit.msc 計算機配置 Windows設置 安全設置 審核設置 日志和審核策略日志和審核策略 審核審核 n 查看審核日志 e

13、ventvwr（事件查看器） Windows通用安全加固方案通用安全加固方案 n補丁及防護軟件補丁及防護軟件 n系統(tǒng)服務系統(tǒng)服務 n安全策略安全策略 n日志與審核策略日志與審核策略 用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強安全增強 文件系統(tǒng)文件系統(tǒng) Windows文件系統(tǒng)文件系統(tǒng) FAT FAT 16 FAT 32 NTFS 將將 FAT 卷轉(zhuǎn)換成卷轉(zhuǎn)換成 NTFS convert C: /FS:NTFS 用戶用戶 用戶和組用戶和組 特殊的組 Administrators、Guests、Power Users 可通過net localgroup命令打印 特殊的用戶 Administrator、

14、Guest 可通過net user命令打印 隱藏帳號 net user hide$ password /add 用戶用戶 加固要點加固要點 檢查用戶 克隆 隱藏 清除用戶 未使用的 未知的 鎖定用戶 Guest SUPPORT_XXXXX 設置重要文件權(quán)限設置重要文件權(quán)限 權(quán)限權(quán)限 前提（關(guān)鍵字） NTFS Administrators 設置重要文件權(quán)限設置重要文件權(quán)限 權(quán)限權(quán)限 ACL （訪問控制列表） 包含了用戶帳戶和訪問對象之間許可關(guān)系 由四個權(quán)限項組成的權(quán)限項集（即，由四個權(quán)限項組成的權(quán)限項集（即，ACL） 設置重要文件權(quán)限設置重要文件權(quán)限 權(quán)限權(quán)限 ACE （訪問控制項） ACL中包

15、含ACE 訪問控制條目 設置重要文件權(quán)限設置重要文件權(quán)限 加密和壓縮加密和壓縮 設置重要文件權(quán)限設置重要文件權(quán)限 審核審核 編輯審核對象的審核項 設置重要文件權(quán)限設置重要文件權(quán)限 加固要點加固要點 目錄及文件的權(quán)限 查找具有everyone的權(quán)限項 重要對象的審核策略 echo off dir/s/b all.txt for /f %i in (all.txt) do cacls %i | find Everyone Windows通用安全加固方案通用安全加固方案 n補丁及防護軟件補丁及防護軟件 n系統(tǒng)服務系統(tǒng)服務 n安全策略安全策略 n日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件

16、系統(tǒng) 安全增強安全增強 安全增強安全增強 刪除匿名用戶空連接刪除匿名用戶空連接 注冊表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 將 restrictanonymous 的值設置為 1，若該值不存在，可以自己創(chuàng)建，類 型為 REG_DWORD，修改完成后重新啟動系統(tǒng)生效 刪除默認共享刪除默認共享 注冊表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanm anserverparameters 將 Autoshareserver 設置為 0，若不存在，可創(chuàng) 建

17、，類型為 REG_DWORD修改完成后重新啟動系統(tǒng)生效 目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固 UNIX/Linux通用安全加固方案通用安全加固方案 帳號帳號 n文件權(quán)限文件權(quán)限 n服務服務 n日志審計日志審計 n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 帳號安全帳號安全 n帳號帳號 /etc/login.defs，檢查，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE 檢查是否存在除檢查是否存在除root外外UID = 0的用戶的用戶 檢查是否存在弱口令檢查是否存在弱口令 鎖定不使

18、用的帳戶鎖定不使用的帳戶(passwd l username) 檢查檢查root用戶環(huán)境變量用戶環(huán)境變量 設置設置帳號超時注銷帳號超時注銷(vivi /etc/profile/etc/profile增加增加TMOUT=180)TMOUT=180) 帳號安全帳號安全 限制限制root遠程登錄遠程登錄 /etc/ssh/sshd_config : PermitRootLogin no /etc/securetty文件中配置： CONSOLE = /dev/tty01 UNIX/Linux通用安全加固方案通用安全加固方案 n帳號帳號 文件權(quán)限文件權(quán)限 n服務服務 n日志審計日志審計 n系統(tǒng)狀態(tài)系統(tǒng)狀

19、態(tài) umask 檢查是否包含檢查是否包含 umask 值值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc umask umask rootRHEL5 home# umask 0022 rootRHEL5 home# touch file1 rootRHEL5 home# ls -l file1 -rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644) rootRHEL5 home# umask 0066 rootRHEL5 home# touch fil

20、e2 rootRHEL5 home# ls -l file2 -rw- 1 root root 0 Jul 26 07:18 file2 (600) rootRHEL5 home# umask 0 rootRHEL5 home# umask 0000 rootRHEL5 home# touch file3 rootRHEL5 home# ls -l file3 -rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666) 文件權(quán)限文件權(quán)限 文件權(quán)限文件權(quán)限 ls l rootRHEL5 home# ls -l total 44 drwxr-xr-x 2 r

21、oot root 4096 Jul 26 05:24 apue -rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmod u+x file chmod 744 file 4000SUID 2000SGID 1000粘住位粘住位 0400所有者可讀所有者可讀 0200所有者可寫所有者可寫 0100所有者可執(zhí)行所有者可執(zhí)行 0040所在組可讀所在組可讀 0020所在組可寫所在組可寫 0010所在組可執(zhí)行所在組可執(zhí)行 0004其他用戶可讀其他用戶可讀 0002其他用戶可寫其他用戶可寫 0001其他用戶可執(zhí)行其他用戶可執(zhí)行 _ 07

22、44結(jié)果結(jié)果 文件權(quán)限文件權(quán)限 檢查重要目錄和文件的權(quán)限設置檢查重要目錄和文件的權(quán)限設置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系統(tǒng)中所有的查找系統(tǒng)中所有的 SUID和和 SGID 程序程序 UNIX/Linux通用安全加固方案通用安全加固方案 n帳號帳號 n文件權(quán)限文件權(quán)限 服務服務 n日志審計日志審計 n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 系統(tǒng)服務系統(tǒng)服務 守護進程與服務的區(qū)別守護進程與服務的區(qū)別 守護進程 進程的一種特殊狀態(tài) 不綁定至任何Terminal 父進程是init 服務 相對守護進程，“服務”的概念更為抽象 為用戶提供一種

23、功能的應用 可能包含一個或多個守護進程 例 服務名：SSH Server 進程名：sshd 系統(tǒng)服務系統(tǒng)服務 inetd 一些輕量級的服務，由inetd集中處理 已不能滿足現(xiàn)狀 # inetd.conf echo stream tcp6 nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal 系統(tǒng)服務系統(tǒng)服務 加固要點加固要點 服務 進程 端口 ipfw TCPWrapper libwrap ; configure -with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的inetd服務 停止不必要的服務 /etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx Snmp配置配置 Snmp安全配置安全配置 如果打