操作系统安全加固ppt课件.ppt

操作系统安全加固,张敏,四川讯修信息技术服务有限公司,培训简介,培训目的：该课程主要介绍系统通用的安全加固方案和方法培训对象：面向安全管理人员、安全技术人员、系统维护人员、共3类人员培训时间：60分钟培训重点：本教材侧重点为安全技术人员和系统维护人员,安全守则,著名信息安全的十大守则守则1：如果一个人能说服你同意他在你的电脑上运行他的程序, 那么, 这台电脑就不再属于你了;守则2: 如果一个人能够改变你电脑上的操作系统, 那么, 这台电脑就不再属于你了;守则3: 如果一个人能够不受限制的从物理上接触到你的电脑, 那么, 这台电脑就不再属于你了;守则4: 如果你允许一个人能够上传他的程序到你的网站, 那么, 这个网站就不再属于你了;守则5: 脆弱的口令能够轻而易举地击败非常牢固的安全系统;守则6: 一台机器只有在它的管理员可信赖的时候才是安全的;守则7: 加密过的数据只有在解密密钥安全的时候才是安全的;守则8: 一个过期的病毒扫描器仅仅比根本没有病毒扫描器就好上那么一丁点;守则9: 绝对的匿名是不可能实现的, 无论是在真实的生活中还是在WEB上;守则10: 技术不是万能的。,加固环节,培训目录,理解安全加固Windows安全加固UNIX/Linux安全加固,一、安全加固的概念,为什么要安全加固修补系统存在的漏洞弱点预防系统面临的威胁如何理解 “安全”？可用性保密性完整性如何实现“安全”？管理 + 技术 = 预期的结果管理 + 技术 预期的结,二、安全加固的目标,目标我们的目标是降低风险到可以接受,三、安全加固对象,对象所有可能产生脆弱性的应用,四、安全加固的原则,加固原则业务影响最小化安全风险难以被彻底消除，因为它是动态的，我们在加固过程中坚持的最基本原则是业务系统的可用性，对业务系统影响最小化。风险发现最大化详细审查评估报告和漏洞扫描中的任何一个细节，将任何潜在的安全隐患以最大展现，列表，进行确认处理。,五、安全加固的流程,加固流程确认加固目标（加固需求和要求）实施安全检查（手工检查和漏洞扫描检查）加固前的交流（和业务负责人系统管理员交流）加固实施过程（测试环境-备用机非核心-核心主机）加固过程文件与成果输出（加固效果与过程记录文件）,目 录,理解安全加固Windows安全加固UNIX类安全加固,Windows通用安全加固方案,补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强,补丁,检查系统补丁安装情况命令行执行systeminfo,查看系统已经安装的补丁列表 补丁更新手动安装：使用IE访问http:/，按提示安装必要的activeX控件后，按提示安装补丁 开始 控制面板 自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间内网与安全域环境，可以建立独立的WSUS服务器,防护软件,安装杀毒软件并保持病毒库更新 守则8: 一个过期的病毒扫描器仅仅比根本没有病毒扫描器就好上那么一丁点;防火墙对于防火墙，建议建立严格的访问控制策略。,Windows通用安全加固方案,补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强,系统服务,查看系统服务执行services.msc,检查启动类型为自动的服务 最小化服务原则，建议关闭一下服务：Task Scheduler/Remote Registry /SNMP Service/Print Spooler /Telnet /Computer Browser/Messenger/Alerter/ DHCP Client 关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停止按钮以停止当前正在运行的服务,SNMP服务,修改SNMP的字符串为什么要修改SNMP的字符串？它会泄露什么？通过 SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改；SNMP配置可以有效防止远程恶意用户的这类行为。攻击工具: snmputil walk 1.1.1.10 public .1.3.6. .,服务与进程,SNMP Service服务加固方法：为修改 SNMP 团体名限制远程主机对 SNMP 的访问,关闭自动播放功能,关闭所有驱动器的自动播放功能 点击开始运行输入 gpedit.msc，打开组策略编辑器， 浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。,Windows通用安全加固方案,补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强,密码策略,密码策略长度7 Windows 2003 1277 windows2008 127期限定期修改密码复杂性ChinaMobile_NO.1,大小写,数字,特殊字符,密码策略,加固要点密码策略: 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 帐户策略 帐户锁定策略-密码策略”： 帐户锁定策略,用户权利指派,检查用户权限策略是否设置： 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 用户权利指派,本地安全策略配置,检查本地安全策略配置： 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 安全选项,Windows通用安全加固方案,补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强,日志和审核策略,审核了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在 NTFS 磁盘上才能开启对象访问审核,日志量较大(考虑性能)步骤打开审核策略编辑审核对象的审核项,日志和审核策略,审核打开审核策略要做什么审核？要审核什么？位置：gpedit.msc 计算机配置 Windows设置 安全设置 审核设置,1,2,日志和审核策略,审核查看审核日志eventvwr（事件查看器）,Windows通用安全加固方案,补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强,文件系统,Windows文件系统FATFAT 16FAT 32NTFS将 FAT 卷转换成 NTFSconvert C: /FS:NTFS,用户,用户和组特殊的组Administrators、Guests、Power Users 可通过net localgroup命令打印特殊的用户Administrator、Guest可通过net user命令打印隐藏帐号net user hide$ password /add,用户,加固要点检查用户克隆隐藏清除用户未使用的未知的锁定用户GuestSUPPORT_XXXXX,设置重要文件权限,权限前提（关键字）NTFSAdministrators,设置重要文件权限,权限ACL （访问控制列表）包含了用户帐户和访问对象之间许可关系,由四个权限项组成的权限项集（即，ACL）,设置重要文件权限,权限ACE （访问控制项）ACL中包含ACE访问控制条目,设置重要文件权限,加密和压缩,设置重要文件权限,审核编辑审核对象的审核项,1,2,3,设置重要文件权限,加固要点目录及文件的权限查找具有everyone的权限项重要对象的审核策略,echo offdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find Everyone,Windows通用安全加固方案,补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强,安全增强,删除匿名用户空连接注册表如下键值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 将 restrictanonymous 的值设置为 1，若该值不存在，可以自己创建，类型为 REG_DWORD，修改完成后重新启动系统生效删除默认共享注册表如下键值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 将 Autoshareserver 设置为 0，若不存在，可创建，类型为 REG_DWORD修改完成后重新启动系统生效,目 录,理解安全加固Windows安全加固UNIX/Linux安全加固,UNIX/Linux通用安全加固方案,帐号文件权限服务日志审计系统状态,帐号安全,帐号/etc/login.defs，检查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE检查是否存在除root外UID = 0的用户检查是否存在弱口令锁定不使用的帐户(passwd l username)检查root用户环境变量设置帐号超时注销(vi /etc/profile增加TMOUT=180),帐号安全,限制root远程登录/etc/ssh/sshd_config : PermitRootLogin no/etc/securetty文件中配置： CONSOLE = /dev/tty01,UNIX/Linux通用安全加固方案,帐号文件权限服务日志审计系统状态,umask,检查是否包含 umask 值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc,umask,umaskrootRHEL5 home# umask0022rootRHEL5 home# touch file1rootRHEL5 home# ls -l file1-rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644)rootRHEL5 home# umask 0066rootRHEL5 home# touch file2rootRHEL5 home# ls -l file2-rw- 1 root root 0 Jul 26 07:18 file2 (600)rootRHEL5 home# umask 0rootRHEL5 home# umask0000rootRHEL5 home# touch file3rootRHEL5 home# ls -l file3-rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666),文件权限,文件权限ls lrootRHEL5 home# ls -ltotal 44drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue-rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gzchmodchmod u+x filechmod 744 file,4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行_0744结果,文件权限,检查重要目录和文件的权限设置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系统中所有的 SUID和 SGID 程序,UNIX/Linux通用安全加固方案,帐号文件权限服务日志审计系统状态,系统服务,守护进程与服务的区别守护进程进程的一种特殊状态不绑定至任何Terminal父进程是init服务相对守护进程，“服务”的概念更为抽象为用户提供一种功能的应用可能包含一个或多个守护进程例服务名：SSH Server进程名：sshd,系统服务,inetd一些轻量级的服务，由inetd集中处理已不能满足现状# inetd.confecho stream tcp6 nowait root internalecho dgram udp6 wait root internaldaytime stream tcp6 nowait root internaldaytime dgram udp6 wait root internal ,系统服务,加固要点服务 进程 端口 ipfwTCPWrapperlibwrap ; configure -with-libwrap=libwrap_pathhosts.allow ; hosts.deny停止不必要的inetd服务停止不必要的服务/etc/rc3.d/S88xxx stopmv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx,Snmp配置,Snmp安全配置如果打开了SNMP协议，snmp团体字设置不能使用默认的团体字。查看配置文件/etc/snmp/snmpd.conf，应禁止使用public、private默认团体字，使用用户自定义的团体字。例如将以下设置中的public替换为用户自定义的团体字： com2sec notConfigUser default public如无必要，管理员应禁止使用snmp服务,Openssh配置,检查系统openssh安全配置，禁止使用协议1和使用root直接登录编辑sshd_config文件，设置： Protocol 2 StrictModes yes PermitRootLogin no PrintLastLog yes PermitEmptyPasswords no,UNIX/Linux通用安全加固方案,帐号文件权限服务日志审计系统状态,启用syslog记录所有日志配置文件：/etc/syslog.conf #vi /etc/syslog.conf authpriv.* /var/log/secure,UNIX/Linux通用安全加固方案,帐号文件权限服务日志审计系统状态,系统状态,内核版本执行命令uname -a 发行版cat /proc/version系统 core dump 状态 执行：more /etc/security/limits.conf磁盘分区剩余空间# df kGrub密码cat /etc/grub.conf|grep password,谢谢！,