《網(wǎng)絡(luò)空間安全導(dǎo)論》 課件 21-系統(tǒng)安全01-操作系統(tǒng)安全 01-Windows安全配置、02-linux安全配置

Windows安全配置理解windows安全配置維度掌握Windows安全配置的方法教學(xué)目標(biāo)Windows安全配置簡(jiǎn)介Windows賬戶(hù)配置Windows本地配置Windows防火墻配置Windows高級(jí)審核策略配置目錄通常在Windows安全配置中有兩類(lèi)對(duì)象一類(lèi)是WindowsServer，如winserver2012、winserver2016、winserver2019等一類(lèi)是WindowsClient，如win7、win8、win10等在Windows安全配置中，如果組織有條件，對(duì)WindowsClient的安全配置

我們可以借助微軟的活動(dòng)目錄來(lái)實(shí)現(xiàn)自動(dòng)化。而對(duì)WindowsServer通常為保障服務(wù)器穩(wěn)定運(yùn)行，我們傾向于的是手動(dòng)配置。本文我們以WindowsServer2012

R2為例，進(jìn)行加固講解Windows安全配置簡(jiǎn)介Windows安全配置方法通常我們使用組策略對(duì)windows進(jìn)行安全配置組策略中的安全配置與注冊(cè)表也可以對(duì)應(yīng)，但注冊(cè)表可讀性較差。組策略有詳細(xì)的說(shuō)明，所以我們通常使用組策略在windows客戶(hù)端系統(tǒng)中，HOME版本是沒(méi)有組策略的的功能。打開(kāi)組策略的方法是右鍵開(kāi)始-->運(yùn)行-->gpedit.mscWIN+R-->gpedit.mscWindows安全配置簡(jiǎn)介Windows不論什么版本，進(jìn)行安全配置均包含以下兩個(gè)常用維度賬戶(hù)策略密碼策略賬戶(hù)鎖定策略本地策略審計(jì)策略用戶(hù)權(quán)限策略安全選項(xiàng)Windows安全配置簡(jiǎn)介除了上述常用的配置，還會(huì)包含以下兩個(gè)維度防火墻策略域配置文件私有網(wǎng)絡(luò)配置文件高級(jí)審計(jì)策略賬戶(hù)登錄賬戶(hù)管理詳細(xì)跟蹤登錄/注銷(xiāo)對(duì)象訪問(wèn)策略更改Windows安全配置簡(jiǎn)介密碼策略強(qiáng)制密碼歷史，建議設(shè)置為24個(gè)密碼最長(zhǎng)使用期限，建議設(shè)置60天密碼最短使用期限，建議設(shè)置為1天或更多密碼長(zhǎng)度最小值，建議設(shè)置為14密碼必需符合復(fù)雜性要求，建議設(shè)置為啟用用可還原的加密碼來(lái)存儲(chǔ)密碼，建議設(shè)置為禁用Windows安全配置-賬戶(hù)策略密碼策略配置Windows安全配置-賬戶(hù)策略密碼策略配置重點(diǎn)理解選項(xiàng)--密碼最短使用期限密碼最短使用期限，表示用戶(hù)更改密碼后，多少天內(nèi)能再次更改密碼。此項(xiàng)設(shè)置主要是配合強(qiáng)制密碼歷史使用。如果沒(méi)有設(shè)置密碼最短使用期限，用戶(hù)則可以循環(huán)選擇密碼，直到獲得期望的舊密碼。Windows安全配置-賬戶(hù)策略賬戶(hù)鎖定策略賬戶(hù)鎖定閾值，建議設(shè)置為10次或更少賬戶(hù)鎖定時(shí)間，建議設(shè)置為15分鐘或更多重置賬戶(hù)鎖定計(jì)數(shù)器，建議設(shè)置為15分鐘或更多Windows安全配置-賬戶(hù)策略用戶(hù)權(quán)限分配作為受信任的呼叫方訪問(wèn)憑據(jù)管理器，建議設(shè)置為空。默認(rèn)為空從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)，建議設(shè)置為Administrator,AuthenticatedUsers,ENTERPRISEDOMAINCONTROLLERS（域控設(shè)置）以操作系統(tǒng)方式執(zhí)行，建議設(shè)置為空，默認(rèn)為空將工作站添加到域，建議設(shè)置為Administrators為進(jìn)程調(diào)整內(nèi)存配額，建議設(shè)置為Administrators,LOCALSERVICE,NETWORKSERVICE允許本地登錄，建議設(shè)置為Administrators允許通過(guò)遠(yuǎn)程桌面服務(wù)登錄，建議設(shè)置為Administrators,RemoteDesktopUsers(客戶(hù)端設(shè)置)Windows安全配置-本地策略用戶(hù)權(quán)限分配備份文件和目錄，建議設(shè)置為Administrators更改系統(tǒng)時(shí)間，建議設(shè)置為Administrators,LOCALSERVICE更改時(shí)區(qū)，建議設(shè)置為Administrators,LOCALSERVICE創(chuàng)建頁(yè)面文件，建議設(shè)置為Administrators創(chuàng)建一個(gè)信息對(duì)象，建議設(shè)置為空創(chuàng)建全局對(duì)象，建議設(shè)置為Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE創(chuàng)建永久共享對(duì)象，建議設(shè)置為空創(chuàng)建符號(hào)鏈接，建議設(shè)置為AdministratorsWindows安全配置-本地策略用戶(hù)權(quán)限分配調(diào)試程序，建議設(shè)置為Administrators拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)，建議設(shè)置為Guests,本地的administrators中的其它用戶(hù)或組。拒絕作為批處理作業(yè)登錄，建議設(shè)置為Guest拒絕以服務(wù)身份登錄，建議設(shè)置為Guest拒絕本地登錄，建議設(shè)置為Guest拒絕通過(guò)遠(yuǎn)程桌面服務(wù)登錄，建議設(shè)置為Guest和需要的本地用戶(hù)信任計(jì)算機(jī)和用戶(hù)賬戶(hù)可以執(zhí)行委派，建議設(shè)置為空，域控設(shè)置為Administrators從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)，建議設(shè)置為AdministratorsWindows安全配置-本地策略用戶(hù)權(quán)限分配生成安全審核，建議設(shè)置為L(zhǎng)OCALSERVICE,NETWORKSERVICE身份驗(yàn)證后模擬客戶(hù)端，建議設(shè)置為Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE提高計(jì)劃優(yōu)先級(jí)，建議設(shè)置為Administrators加載和卸載設(shè)備驅(qū)動(dòng)程序，建議設(shè)置為Administrators鎖定內(nèi)存頁(yè)，建議設(shè)置為空管理審核和安全日志，建議設(shè)置為Administrators，默認(rèn)符合修改固件環(huán)境值，建議設(shè)置為Administrators，默認(rèn)符合執(zhí)行卷維護(hù)任務(wù)，建議設(shè)置為Administrators，默認(rèn)符合配置文件單一進(jìn)程，建議設(shè)置為Administrators，默認(rèn)符合Windows安全配置-本地策略用戶(hù)權(quán)限分配還原文件和目錄，建議設(shè)置為Administrators關(guān)閉系統(tǒng)，建議設(shè)置為Administrators取得文件或其他對(duì)象所有權(quán)，建議設(shè)置為Administrators，默認(rèn)設(shè)置Windows安全配置-本地策略賬戶(hù)：賬戶(hù)：管理員賬戶(hù)狀態(tài)，建議設(shè)置為禁用賬戶(hù)：阻止Microsoft賬戶(hù)，建議設(shè)置為用戶(hù)不能添加Microsoft賬戶(hù)或使用該賬戶(hù)登錄賬戶(hù)：來(lái)賓賬戶(hù)狀態(tài)，建議設(shè)置為已禁用，默認(rèn)設(shè)置賬戶(hù)：使用空密碼的本地賬戶(hù)只通話(huà)進(jìn)行控制臺(tái)登錄，建議設(shè)置為啟用，默認(rèn)設(shè)置賬戶(hù)：重命令系統(tǒng)管理員賬戶(hù)，建議重命名為非administrator賬戶(hù)：重命名來(lái)賓賬戶(hù)，建議重命名為非GuestWindows安全配置-安全設(shè)置Windows安全配置-安全設(shè)置審核：審核：如果無(wú)法記錄安全審計(jì)則立即關(guān)閉系統(tǒng)，建議設(shè)置為禁用，默認(rèn)設(shè)置審核：強(qiáng)制審核策略子類(lèi)別設(shè)置，建議設(shè)置為啟用Windows安全配置-安全設(shè)置設(shè)備：設(shè)備：允許對(duì)可移動(dòng)媒體進(jìn)行格式化并彈出，建議設(shè)置為Administrators設(shè)備：防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序，建議設(shè)置為已啟用，默認(rèn)設(shè)置Windows安全配置-安全設(shè)置交互式登錄交互式登錄：不顯示最后的用戶(hù)名，建議設(shè)置已啟用交互式登錄：無(wú)須按Ctrl+Alt+Del，建議設(shè)置已禁用，默認(rèn)設(shè)置交互式登錄：計(jì)算機(jī)不活動(dòng)限制，建議設(shè)置為900，不要設(shè)成0。可以理解為鎖屏。交互式登錄：試圖登錄的用戶(hù)的消息文本，不要表現(xiàn)出任何信息，可以為空交互式登錄：試圖登錄的用戶(hù)的消息標(biāo)題，不要表現(xiàn)出任何信息，可以為空交互式登錄：之前登錄到緩存的次數(shù)，建議設(shè)為4或更少交互式登錄：提示用戶(hù)在過(guò)期之前更改密碼，建議5到14天交互式登錄：需要域控制器身份驗(yàn)證以對(duì)工作站進(jìn)行解鎖，建議設(shè)置為啟用Windows安全配置-安全設(shè)置Windows安全配置-安全設(shè)置交互式登錄Microsoft網(wǎng)絡(luò)客戶(hù)端Microsoft網(wǎng)絡(luò)客戶(hù)端:對(duì)通信進(jìn)行數(shù)字簽名（始終），建議設(shè)置為已啟用Microsoft網(wǎng)絡(luò)客戶(hù)端:對(duì)通信進(jìn)行數(shù)字簽名（如果服務(wù)器允許），建議設(shè)置為已啟用，默認(rèn)設(shè)置Microsoft網(wǎng)絡(luò)客戶(hù)端:將未加密的密碼發(fā)送到第三方SMB服務(wù)器，建議設(shè)置為已禁用，默認(rèn)設(shè)置Windows安全配置-安全設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器Microsoft網(wǎng)絡(luò)服務(wù)器：暫停會(huì)話(huà)前所需空間的時(shí)間數(shù)量，建議設(shè)置15或更少M(fèi)icrosoft網(wǎng)絡(luò)服務(wù)器：對(duì)通信進(jìn)行數(shù)字簽名（始終），建議設(shè)置為已啟用Microsoft網(wǎng)絡(luò)服務(wù)器：對(duì)通信進(jìn)行數(shù)字簽名（如果客戶(hù)端允許），建議設(shè)置為已啟用Microsoft網(wǎng)絡(luò)服務(wù)器：登錄時(shí)間過(guò)期后斷開(kāi)與客戶(hù)端的連接，建議設(shè)置為已啟用，默認(rèn)設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器：服務(wù)器SPN目標(biāo)名稱(chēng)驗(yàn)證級(jí)別，建議設(shè)置為由客戶(hù)端提供時(shí)接受或更高Windows安全配置-安全設(shè)置網(wǎng)絡(luò)訪問(wèn)：網(wǎng)絡(luò)訪問(wèn)：不允許SAM和共享的匿名枚舉，建議設(shè)置為已啟用網(wǎng)絡(luò)訪問(wèn)：不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)，建議設(shè)置為已啟用網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享，建議根據(jù)實(shí)際情況設(shè)置網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑，建議設(shè)置為System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全設(shè)置網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑，建議設(shè)置為System\CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\Services\EventlogSoftware\Microsoft\OLAPServerSoftware\Microsoft\WindowsNT\CurrentVersion\PrintSoftware\Microsoft\WindowsNT\CurrentVersion\WindowsSystem\CurrentControlSet\Control\ContentIndexSystem\CurrentControlSet\Control\TerminalServerSystem\CurrentControlSet\Control\TerminalServer\UserConfigSystem\CurrentControlSet\Control\TerminalServer\DefaultUserConfigurationSoftware\Microsoft\WindowsNT\CurrentVersion\PerflibSystem\CurrentControlSet\Services\SysmonLogWindows安全配置-安全設(shè)置網(wǎng)絡(luò)訪問(wèn)：網(wǎng)絡(luò)訪問(wèn)：網(wǎng)絡(luò)訪問(wèn)：不允許SAM和共享的匿名枚舉，建議設(shè)置為已啟用網(wǎng)絡(luò)訪問(wèn)：不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)，建議設(shè)置為已啟用網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享，建議根據(jù)實(shí)際情況設(shè)置網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑，建議設(shè)置為System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全設(shè)置網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：允許本地系統(tǒng)將計(jì)算機(jī)標(biāo)識(shí)用于NTLM，建議設(shè)置為已啟用網(wǎng)絡(luò)安全：允許LocalSystemNULL會(huì)話(huà)回退，建議設(shè)置為已禁用網(wǎng)絡(luò)安全：允許對(duì)此計(jì)算機(jī)的PKU2U身份驗(yàn)證請(qǐng)求使用聯(lián)機(jī)標(biāo)識(shí)，建議設(shè)置為已禁用網(wǎng)絡(luò)安全：配置Kerberos允許的加密類(lèi)型，建議設(shè)置AES128_HMAC_SHA1,AES256_HMAC_SHA1,將來(lái)的加密類(lèi)型網(wǎng)絡(luò)安全：在超過(guò)登錄時(shí)間后強(qiáng)制注銷(xiāo)，建議設(shè)置為已啟用網(wǎng)絡(luò)安全：LNA管理器身份驗(yàn)證級(jí)別，建議設(shè)置為僅發(fā)送NTLMv2響應(yīng)，拒絕LM和NTLMWindows安全配置-安全設(shè)置用戶(hù)賬戶(hù)控制用戶(hù)賬戶(hù)控制：用于內(nèi)置管理員賬戶(hù)的管理員批準(zhǔn)模式，建議設(shè)置已啟用用戶(hù)賬戶(hù)控制：管理員批準(zhǔn)模式中管理員的提升權(quán)限提示的行為，建議設(shè)置為在安全桌面上提示憑據(jù)用戶(hù)賬戶(hù)控制：標(biāo)準(zhǔn)用戶(hù)的提升提示行為，建議設(shè)置為，自動(dòng)拒絕提升請(qǐng)求用戶(hù)賬戶(hù)控制：允許UIAccess應(yīng)用程序在不使用安全桌面的情況下提升權(quán)限，建議設(shè)置為已啟用Windows安全配置-安全設(shè)置用戶(hù)賬戶(hù)控制Windows安全配置-安全設(shè)置高級(jí)防火墻配置Windows安全配置-安全設(shè)置高級(jí)防火墻配置Windows安全配置-安全設(shè)置Windows安全配置-安全設(shè)置高級(jí)防火墻配置高級(jí)審核策略配置--賬戶(hù)登錄審核憑據(jù)驗(yàn)證，建議設(shè)置成功和失敗Windows安全配置-安全設(shè)置高級(jí)審核策略配置--賬戶(hù)管理審核應(yīng)用程序組管理，建議審核成功和失敗審核安全組管理，建議審核成功審核用戶(hù)賬戶(hù)管理，建議審核成功和失敗Windows安全配置-安全設(shè)置高級(jí)審核策略配置--詳細(xì)跟蹤審核進(jìn)程創(chuàng)建，建議審核成功高級(jí)審核策略配置--登錄/注銷(xiāo)審核賬戶(hù)鎖定，建議設(shè)置失敗審核注銷(xiāo)，建議設(shè)置成功審核登錄，建議成功和失敗審核其他登錄/注銷(xiāo)失敗，建議成功和失敗審核特殊登錄，建議成功Windows安全配置-安全設(shè)置高級(jí)審核策略配置--對(duì)象訪問(wèn)審核詳細(xì)的文件共享，建議失敗審核文件共享，建議成功和失敗審核其他對(duì)象訪問(wèn)事件，建議成功和失敗審核可移動(dòng)存儲(chǔ)，建議成功和失敗Windows安全配置-安全設(shè)置高級(jí)審核策略配置--策略更改Windows安全配置-安全設(shè)置高級(jí)審核策略配置--特權(quán)使用Windows安全配置-安全設(shè)置高級(jí)審核策略配置--系統(tǒng)Windows安全配置-安全設(shè)置學(xué)習(xí)Windows的安全基線配置，理解Windows安全設(shè)置。總結(jié)Linux安全配置理解Linux安全配置維度掌握Linux安全配置的方法教學(xué)目標(biāo)Linux安全配置簡(jiǎn)介L(zhǎng)inux的網(wǎng)絡(luò)配置Linux的日志和審計(jì)配置Linux的訪問(wèn)認(rèn)證和授權(quán)配置Linux的系統(tǒng)運(yùn)維配置目錄Linux種類(lèi)較多，常見(jiàn)的有Redhat、Ubuntu、Centos、SUSE等根據(jù)不同版本，其安全配置都不太相同，主要體現(xiàn)在以下三點(diǎn)配置文件所存放的路徑操作系統(tǒng)的命令操作系統(tǒng)自身的安全特性或工具本小節(jié)，我們以Centos7為例，進(jìn)行安全配置講解，其它版本Linux可能存在安全配置方式不同，但整體配置的維度和原則是一致的。Linux安全配置簡(jiǎn)介Centos安全配置維度安裝配置（默認(rèn)配置即可）服務(wù)配置（默認(rèn)配置即可）網(wǎng)絡(luò)配置日志和審計(jì)訪問(wèn)、授權(quán)和認(rèn)證系統(tǒng)運(yùn)維Linux安全配置簡(jiǎn)介Centos安全配置原則最小安全（最小安裝、最小權(quán)限）不影響業(yè)務(wù)可用（安全與業(yè)務(wù)的矛盾）職責(zé)分離審計(jì)記錄因?yàn)镃entos安全配置較多，本文僅列舉部分典型代表，更多具體配置，可以參照相關(guān)國(guó)內(nèi)或國(guó)際標(biāo)準(zhǔn)，如等保、CIS等。Linux安全配置簡(jiǎn)介禁用不使用的網(wǎng)絡(luò)協(xié)議禁用IPv6,，執(zhí)行以下命令sysctl-wnet.ipv6.conf.all.disable_ipv6=1sysctl-wnet.ipv6.conf.default.disable_ipv6=1sysctl-wnet.ipv6.route.flush=1

查看配置是否生效sysctlnet.ipv6.conf.all.disable_ipv6Linux安全配置--網(wǎng)絡(luò)配置禁用不使用的無(wú)線設(shè)備，因?yàn)長(zhǎng)inux作為服務(wù)器工作時(shí)，無(wú)需使用無(wú)線查看無(wú)線設(shè)備iwlist查看當(dāng)前連接iplinkshowupLinux安全配置--網(wǎng)絡(luò)配置關(guān)閉網(wǎng)絡(luò)連接iplinkset<interface>down

這里以本地環(huán)回口lo為例，進(jìn)行關(guān)閉Linux安全配置--網(wǎng)絡(luò)配置當(dāng)Linux作為獨(dú)立主機(jī)使用時(shí)，配置網(wǎng)絡(luò)關(guān)閉IP轉(zhuǎn)發(fā)，默認(rèn)即關(guān)閉查看IP轉(zhuǎn)發(fā)配置sysctlnet.ipv4.ip_forward關(guān)閉IP轉(zhuǎn)發(fā)sysctl-wnet.ipv4.ip_forware=0Linux安全配置--網(wǎng)絡(luò)配置關(guān)閉數(shù)據(jù)包重定向查看重定向設(shè)置sysctlnet.ipv4.conf.all.send_redirects關(guān)閉重定向設(shè)置sysctl-wnet.ipv4.conf.all.send_redirects=0Linux安全配置--網(wǎng)絡(luò)配置開(kāi)啟TCPSYN

Cookies功能TCPSYN功能某種程度上可以防止TCP的SYNDDOS攻擊。查看TCPSYNCookies功能sysctlnet.ipv4.tcp_syncookies開(kāi)啟TCPSYNCookies功能sysctl-wnet.ipv4.tcp_syncookies=1Linux安全配置--網(wǎng)絡(luò)配置防火墻配置在Centos較新的版本中，引入了nftables內(nèi)核取代傳統(tǒng)netfilter內(nèi)核通常nftables和netfilter只用安裝一種即可?；趎etfilter，又有兩種前端操作工具，即firewalld和iptables本節(jié)我們以netfilter+firewalld進(jìn)行操作講解Linux安全配置--網(wǎng)絡(luò)配置防火墻配置確定安裝了firewalld和iptables管理工具rpm-qfirewalldiptables安裝firewalld和iptablesyuminstallfirewalldiptablesLinux安全配置--網(wǎng)絡(luò)配置防火墻配置關(guān)閉iptables的服務(wù)管理（因?yàn)橥瑫r(shí)開(kāi)啟iptables與firewalld會(huì)沖突）查看iptables服務(wù)rpm-qiptables-services如果已安裝，可以使用以下命令停止systemctlstopiptablesyumremoveiptables-servicesLinux安全配置--網(wǎng)絡(luò)配置確保沒(méi)有安裝nftables查看安裝nftables的狀態(tài)rpm-qnftables如果安裝，可以刪除yumremovenftablesLinux安全配置--網(wǎng)絡(luò)配置確保防火墻服務(wù)自動(dòng)啟動(dòng)，并正在運(yùn)行查看firewalld狀態(tài)systemctlis-enabledfirewalld查看firewalld狀態(tài)（第二種方式）firewall-cmd--stateLinux安全配置--網(wǎng)絡(luò)配置開(kāi)啟firewalldsystemctlunmaskfirewalldsystemctlenablefirewalld開(kāi)啟防火墻，可能會(huì)導(dǎo)致網(wǎng)絡(luò)中斷，所以一定要分析清楚，當(dāng)前網(wǎng)絡(luò)連接與網(wǎng)絡(luò)配置，再來(lái)開(kāi)啟防火墻Linux安全配置--網(wǎng)絡(luò)配置確定防火墻區(qū)域配置默認(rèn)firewalld會(huì)創(chuàng)建一個(gè)名為public的區(qū)域區(qū)域代表防火墻中的信任等級(jí)，每一個(gè)接口都應(yīng)該屬于區(qū)域查看當(dāng)前區(qū)域，默認(rèn)是publicfirewall-cmd--get-default-zoneLinux安全配置--網(wǎng)絡(luò)配置防火墻默認(rèn)區(qū)域配置設(shè)置默認(rèn)區(qū)域?yàn)閜ublicfirewall-cmd--set-default-zone=public查看當(dāng)前活動(dòng)的區(qū)域和接口firewall-cmd--get-active-zones設(shè)置接口到區(qū)域firewall-cmd--zone=public--change-interface=ens33Linux安全配置--網(wǎng)絡(luò)配置查看當(dāng)前允許的端口和服務(wù)firewall-cmd--list-all--zone=publicLinux安全配置--網(wǎng)絡(luò)配置關(guān)閉不需要的端口和服務(wù)關(guān)閉端口firewall-cmd--remove-port=<port-number>/<port-type>如：firewall-cmd--remove-port=25/tcp關(guān)閉服務(wù)firewall-cmd--remove-service=<service>如：firewall-cmd--remove-service=smtpLinux安全配置--網(wǎng)絡(luò)配置系統(tǒng)審核查看系統(tǒng)是否安裝審核服務(wù)rpm-qauditaudit-libs如果沒(méi)有安裝，而進(jìn)行安裝yuminstallauditaudit-libsLinux安全配置--日志和審核系統(tǒng)審核查看審核服務(wù)是否開(kāi)啟systemctlis-enabledauditd查看服務(wù)狀態(tài)systemctlstatusauditdLinux安全配置--日志和審計(jì)配置審計(jì)數(shù)據(jù)大小查看audit日志最大空間，默認(rèn)單位為M如圖，顯示為8MLinux安全配置--日志和審計(jì)審計(jì)用戶(hù)和用戶(hù)組的操作查看當(dāng)前用戶(hù)和用戶(hù)組相關(guān)的操作記錄grepidentity/etc/audit/rules.d/*.rules當(dāng)前沒(méi)有任何相關(guān)配置配置記錄如下：vi/etc/audit/rules.d/identity.rules加入右圖內(nèi)容同樣，也可以輸入其他命令路徑Linux安全配置--日志和審計(jì)配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些優(yōu)秀的特性，比如使用tcp連接，可以將日志存儲(chǔ)到數(shù)據(jù)庫(kù)，可以加密傳輸日志等。確保系統(tǒng)安裝了rsyslogrpm-qrsyslog查看rsyslog服務(wù)狀態(tài)systemctlis-enabledrsyslogLinux安全配置--日志和審計(jì)確保日志正常輸入查看當(dāng)前日志目錄及日志權(quán)限，日志權(quán)限應(yīng)該為600（僅root可讀寫(xiě)）ls-l/var/logLinux安全配置--日志和審計(jì)查看日志歸檔處理Linux系統(tǒng)使用logrotate按定期或指定大小進(jìn)行歸檔處理確保logrotate正常的處理syslog日志查看是否存在文件ls/etc/logrotate.d/syslogLinux安全配置--日志和審計(jì)查看計(jì)劃任務(wù)的訪問(wèn)授權(quán)stat/etc/crontab如圖展示了，僅root可以訪問(wèn)計(jì)劃任務(wù)，且相關(guān)訪問(wèn)時(shí)間。同理還應(yīng)檢查文件dailyhourlymonthlyweeklyLinux安全配置--訪問(wèn)、認(rèn)證和授權(quán)查看SSH配置文件權(quán)限因?yàn)镾SH可以使用密鑰直接登錄，如果SSH配置文件權(quán)限限制不嚴(yán)格，則造成SSH提權(quán)檢查/etc/ssh/sshd_config的權(quán)限Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)配置允許通過(guò)SSH訪問(wèn)的用戶(hù)使用以下命令查看當(dāng)前允許SSH訪問(wèn)的用sshd-T|grep-E'^\s*(allow|deny)(users|groups)\s+\S+'如果輸出為空，說(shuō)明沒(méi)有配置編輯文件/etc/ssh/sshd_config，配置僅允許sangfor用戶(hù)訪問(wèn)在文件中加入以下行allowuserssangfor保存，退出，并重啟SSH服務(wù)。驗(yàn)證生效。Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)配置SSH驗(yàn)證失敗次數(shù)查看SSH驗(yàn)證失敗次數(shù)sshd-T|grepmaxauthtries默認(rèn)為6次，建議改為4次或更低編輯SSH配置文件修改即可vi/etc/ssh/sshd_configLinux安全配置--訪問(wèn)、認(rèn)證和授權(quán)禁止空密碼登錄