操作系統(tǒng)檢查與加固13Linux操作系統(tǒng)2Windows操作系統(tǒng)1安全加固流程提綱2安全加固流程3概念加固目的從技術(shù)層面上，最大限度的做到風(fēng)險可控加強(qiáng)記錄和備份，以做到故障后可恢復(fù)和定位加固步驟先確認(rèn)有什么問題，才能修復(fù)問題即，“安全加固”不是一個獨(dú)立的工作安全加固流程安全檢查加固方案加固實(shí)施加固確認(rèn)5安全檢查帳號、口令是否有多余帳號，空、弱口令，帳號、密碼策略文件系統(tǒng)是否采用NTFS，敏感文件的權(quán)限服務(wù)是否開啟了不需要的服務(wù)，例如Printerspooler，RemoteRegistry等審核策略審核策略，日志大小和覆蓋策略網(wǎng)絡(luò)訪問控制默認(rèn)共享，匿名連接補(bǔ)丁安裝操作系統(tǒng)，數(shù)據(jù)庫等應(yīng)用程序惡意代碼防范防病毒軟件安裝，升級情況數(shù)據(jù)庫，Web應(yīng)用等用戶口令，權(quán)限，審核策略6Windows操作系統(tǒng)7漏洞發(fā)現(xiàn)與修復(fù)我有最新的補(bǔ)丁程序嗎?我的所有機(jī)器已經(jīng)達(dá)到安全基準(zhǔn)嗎?如何修復(fù)存在漏洞的計(jì)算機(jī)？8發(fā)現(xiàn)漏洞微軟MBSA是一個“只讀”工具-對被檢查的機(jī)器沒有任何配置或更新操作用戶在每臺被檢查的機(jī)器上必須有本地管理員權(quán)限圖形界面和命令行界面漏洞掃描工具9Windows主機(jī)補(bǔ)丁管理補(bǔ)丁管理注意事項(xiàng)漏洞管理工具結(jié)合MBSA補(bǔ)丁的分類：IE補(bǔ)丁、WM補(bǔ)丁、ODBC補(bǔ)丁、DivX補(bǔ)丁、.NET補(bǔ)丁擴(kuò)展的補(bǔ)丁：Flashplayer、JavaVM自動化的安裝措施：SMS2003管理WSUS3.0（WSUS_Sp1）Microsoft(Office、Windows)Update手工安裝按嚴(yán)重程度推薦安裝按照KB編號搜索、下載并安裝微軟基準(zhǔn)安全分析器MBSAMBSA：明確了主機(jī)至少要達(dá)到的安全標(biāo)準(zhǔn)哪些安全更新沒有被應(yīng)用檢查常見安全誤設(shè)置和漏裝補(bǔ)丁,服務(wù)包WindowsInternetInformationServerMSSQLServer桌面應(yīng)用程序InternetExplorerOffice生成安全報(bào)表系統(tǒng)總得分每一項(xiàng)安全檢查通過或失敗得分針對發(fā)現(xiàn)的安全性漏洞,提出詳細(xì)解釋和修補(bǔ)動作修復(fù)漏洞——WSUSWSUS

服務(wù)器Windows

UpdateWSUS

服務(wù)器Internet服務(wù)器客戶端計(jì)算機(jī)12下載SecurityUpdateInventory服務(wù)端派送Scan元件,用戶端返回結(jié)果,生成報(bào)表管理者下載補(bǔ)丁,更新用戶端SMS防火牆SMS派送點(diǎn)SMS用戶端SMS用戶端SMS派送點(diǎn)SMS用戶端Microsoft

updateSMS

服務(wù)器13安裝方法WSUS3.0

SMS2003支持的操作系統(tǒng)中等。Windows2000SP3WindowsXPSP1Windows2003最佳。Windows

NT4.0Windows

XP/2000/2003支持補(bǔ)丁集中式管理程度良好。由系統(tǒng)管理員核準(zhǔn)更新。最佳。由系統(tǒng)管理員核準(zhǔn)更新，并指定明確的目標(biāo)。支持的補(bǔ)丁類型中等。安全性補(bǔ)丁、重大更新、更新及積存更新?！鶅H限Windows平臺最佳。將所有軟件更新發(fā)送到

SMS用戶端。安裝補(bǔ)丁所需要的權(quán)限僅有管理員帳號一般使用者14Windows主機(jī)默認(rèn)設(shè)置常見默認(rèn)設(shè)置安裝目錄：Windows2000的%system%\winnt\IIS的默認(rèn)目錄Log的默認(rèn)目錄(%WinDir%\System32\LogFiles和%WinDir%\system32\config)C$、D$…

…Ipc$：遠(yuǎn)程會話管理Admin$：指向%WinDir%目錄，用于遠(yuǎn)程管理改動默認(rèn)TTL值認(rèn)證加固要點(diǎn)密碼策略密碼長度密碼復(fù)雜性密碼使用期限慎用鎖定閥值如AD中前臺錯誤一次=后臺錯誤2次（一次kerberos+一次NTLM）用戶用戶和組特殊的組Administrators、Guests、PowerUsers……

可通過netlocalgroup命令打印特殊的用戶Administrator、Guest可通過netuser命令打印隱藏帳號netuserhide$password/add用戶SID唯一標(biāo)識符基于SID而非用戶名AdministratorS-1-5-……-1719705743-500GuestS-1-5-21-……-1719705743-501SID和權(quán)限權(quán)限附著在對象之上，通過SID判斷權(quán)限（單系統(tǒng)上狹隘的理解）用戶SID用戶加固要點(diǎn)檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX帳號管理帳號管理密碼策略賬戶鎖定策略SAM保護(hù)以LC5審核賬戶口令健壯度Syskey保護(hù)SAM檢查克隆賬戶（CCA）記錄信息：Recent、IE收藏夾、Cookie、用戶配置文件獲知新用戶存在控制運(yùn)行權(quán)限（UAC）文件系統(tǒng)Windows文件系統(tǒng)FATFAT16FAT32NTFS文件系統(tǒng)權(quán)限前提NTFSAdministrators文件系統(tǒng)權(quán)限ACL（訪問控制列表）包含了用戶帳戶和訪問對象之間許可關(guān)系由四個權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集（即，ACL）文件系統(tǒng)權(quán)限ACE（訪問控制項(xiàng)）ACL中包含ACE訪問控制條目文件系統(tǒng)加密和壓縮文件系統(tǒng)查找加密文件，備份證書命令：cipher文件系統(tǒng)審核了解Windows審核策略審核策略并不完整很多審核內(nèi)容默認(rèn)未開啟需要NTFS步驟打開審核策略編輯審核對象的審核項(xiàng)文件系統(tǒng)審核打開審核策略要做什么審核？要審核什么？位置：gpedit.msc–

計(jì)算機(jī)配置–Windows設(shè)置–

安全設(shè)置–審核設(shè)置12文件系統(tǒng)審核編輯審核對象的審核項(xiàng)123文件系統(tǒng)審核查看審核日志eventvwr（事件查看器）文件系統(tǒng)加固要點(diǎn)目錄及文件的權(quán)限查找具有everyone的權(quán)限項(xiàng)重要對象的審核策略證書備份@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"文件系統(tǒng)管理文件系統(tǒng)管理部分可執(zhí)行文件管理數(shù)字簽名校驗(yàn)Sigverif.exeFC（MD5）比較文件隱藏文件文件時間戳二進(jìn)制文件中可打印字符查找（strings）服務(wù)與進(jìn)程服務(wù)Services.mscHKLM\SYSTEM\CurrentControlSet\Services進(jìn)程………………………常見進(jìn)程通過tasklist/svc查看進(jìn)程列表35服務(wù)與進(jìn)程進(jìn)程與端口服務(wù)與進(jìn)程特殊的服務(wù)需要修改配置的服務(wù)，如：SNMP修改SNMP的字符串為什么要修改SNMP的字符串？它會泄露什么？snmputilwalk0public.1.3.6......服務(wù)與進(jìn)程修改SNMP字符串限制訪問2003上默認(rèn)策略只允許localhost默認(rèn)團(tuán)體名-NULL服務(wù)與進(jìn)程加固要點(diǎn)檢查服務(wù)、進(jìn)程、端口是否正常關(guān)閉不必要的服務(wù)修改相關(guān)服務(wù)的配置其他注冊表regeditregedt32XP以后，2合1編輯功能編輯和權(quán)限修改功能權(quán)限與審核VS123其他一些可能有用的策略登錄腳本/關(guān)機(jī)腳本限制遠(yuǎn)程用戶訪問其他一些可能有用的策略限制部分移動設(shè)備的使用LANManager身份驗(yàn)證級別2k以后的系統(tǒng)之間共享或訪問AD，可調(diào)整為NTLMv2SAM帳號匿名枚舉共享的枚舉可匿名訪問的共享/命名管道遠(yuǎn)程訪問注冊表的路徑………………………Unix操作系統(tǒng)43啟動安全BIOS安全BIOS啟動密碼Grub安全grub命令行啟動單用戶模式認(rèn)證認(rèn)證用戶名長度：1～8位（老）唯一性認(rèn)證長度（版本問題）復(fù)雜性一次性密碼證書PAMSun開發(fā)，linux實(shí)現(xiàn)較廣泛認(rèn)證密碼/etc/passwdnobody:x:99:99:Nobody:/:/sbin/nologin用戶名:密碼:UID:GID:全名:主目錄:shell/etc/shadowroot:$1$ldYmgH8A$UWj6aj4a3Gn4KsrxWo0:13661:0:99999:7:::Salt（4096種）認(rèn)證PAM/etc/pam.d/etc/pam.d/sshd:authincludesystem-authaccountrequiredpam_nologin.soaccountincludesystem-authpasswordincludesystem-authsessionoptionalpam_keyinit.soforcerevokesessionincludesystem-authsessionrequiredpam_loginuid.so認(rèn)證加固要點(diǎn)密碼長度及強(qiáng)度（注意版本）修改用戶shell，禁用不登錄的shell使用證書（如：ssh）密碼策略/etc/default/passwd(linux)/etc/login.defs(sun)用戶用戶/home/usernameUID&GIDRootuid=0;/etc/passwdGID?=0;/etc/groupUID=0任何帳號均可成為root用戶su&sudosu好習(xí)慣：/bin/su(or:/bin/su-)Log:/var/adm/sulog(solaris);/var/log/secure(Linus);/var/log/message(Berkeley,eg.BSD)wheel用戶組sudosudoers(visudo;vi/etc/sudoers)Log:/var/log/secure用戶加固要點(diǎn)檢查用戶UIDchattr+i/etc/passwd;chattr+i/etc/shadowchflagesschg/etc/passwd;chflagesschg/etc/master.passwd確保su及sudo日志啟用檢查sudoers，確認(rèn)可使用的命令文件系統(tǒng)文件權(quán)限ls–l[root@RHEL5home]#ls-ltotal44drwxr-xr-x2rootroot4096Jul2605:24apue-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gzchmodchmodu+xfilechmod744file文件系統(tǒng)ACL比rwx方式更為細(xì)致的訪問限制P1003.1eSolaris,FreeBSDmountasaclssetfacl–mu:username:rwx/home/filegetfacl/home/file文件系統(tǒng)umask[root@RHEL5home]#umask0022[root@RHEL5home]#touchfile1[root@RHEL5home]#ls-lfile1-rw-r--r--1rootroot0Jul2607:17file1(644)[root@RHEL5home]#umask0066[root@RHEL5home]#touchfile2[root@RHEL5home]#ls-lfile2-rw1rootroot0Jul2607:18file2(600)[root@RHEL5home]#umask0[root@RHEL5home]#umask0000[root@RHEL5home]#touchfile3[root@RHEL5home]#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666)文件系統(tǒng)SUID/usr/bin/passwd以所有者執(zhí)行程序不要隨意為程序設(shè)置SUID位文件系統(tǒng)加固要點(diǎn)配置或啟動文件是否存在666甚至更高的權(quán)限find/-perm-006注：find/-perm-006不同于find/-perm006檢查設(shè)置了SUID的文件find/bin-perm-4000系統(tǒng)服務(wù)守護(hù)進(jìn)程與服務(wù)的區(qū)別守護(hù)進(jìn)程進(jìn)程的一種特殊狀態(tài)不綁定至任何Terminal父進(jìn)程是init服務(wù)相對守護(hù)進(jìn)程，“服務(wù)”的概念更為抽象為用戶提供一種功能的應(yīng)用可能包含一個或多個守護(hù)進(jìn)程例服務(wù)名：SSHServer進(jìn)程名：sshd系統(tǒng)服務(wù)inetd一些輕量級的服務(wù)，由inetd集中處理已不能滿足現(xiàn)狀#inetd.confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal

…………

…………系統(tǒng)服務(wù)加固要點(diǎn)服務(wù)→進(jìn)程→端口 ipfwTCPWrapperlibwrap;configure--with-libwrap=libwrap_pathhosts.allow;hosts.deny停止不必要的inetd服務(wù)停止不必要的服務(wù)/etc/rc3.d/S88xxxstopmv/etc/rc3.d/S88xxx/etc/rc3.d/K88xxx其他補(bǔ)丁檢查syslogauthpriv.inf變量，啟動項(xiàng)$PATH~/profile;~/.bash_profile…

…

/etc/init.d/…;rc.xxx為必要的文件添加屬性（flag）chattr(or,chflags)其他限制rootsshd_config:PermitRootLogin備份（定位、修復(fù)）md5sum值/etc/passwd;/etc/shadow;重要的配置文件Solaris安全性分析商用操作系統(tǒng)支持多種系統(tǒng)架構(gòu)（SPARC、x86、x64）開源+閉源Solaris=SunOS+圖形化的桌面計(jì)算環(huán)境,+網(wǎng)絡(luò)增強(qiáng)部分截至今天，的漏洞庫中共記錄Solaris漏洞617條大部分均為本地溢出和本地拒絕服務(wù)（387條）很多都與setuid設(shè)置有關(guān)例：2007-06-29SunSolarisdtsession本地緩沖區(qū)溢出漏洞Solaris主機(jī)信息收集系統(tǒng)信息網(wǎng)絡(luò)設(shè)置：ifconfig–a路由表：netstat–nr開放端口：netstat–na|grepLISTEN進(jìn)程列表（分層打開）：ps–ef（/usr/proc/bin/ptree）（有效）進(jìn)程身份：/usr/proc/bin/pcredPID進(jìn)程打開文件：/usr/proc/bin/pfilesPID鏈接至進(jìn)程的動態(tài)鏈接庫：/usr/proc/bin/plddPID地址空間映射表：/usr/proc/bin/pmapPIDCPU占用時間：/usr/proc/bin/ptime進(jìn)程工作目錄：/usr/proc/bin/pwdxPID系統(tǒng)信息：uname–a……Solaris主機(jī)信息收集（Cont）補(bǔ)丁安裝信息帳號信息登錄權(quán)限檢查：Cat/etc/passwdPassword設(shè)置參數(shù)檢查：Cat/etc/default/passwdRoot遠(yuǎn)程登錄檢查：Cat/etc/default/login|grepCONSOLERoot登錄請求檢查：Cat/etc/default/login|grepSYSLOG登錄會話時間：Cat/etc/default/login|grepTIMEOUT……Solaris主機(jī)信息收集（Cont）文件系統(tǒng)SUID（SGID）find/-typef\(-perm–4000（2000）\)|xargsls–acorecat/etc/system|grepcoredumpsize堆棧錯誤設(shè)置cat/etc/system|grepnoexec_user_stackUmaskcat/etc/default/login|grepUMASK.rhostcat/.rhostsSolaris主機(jī)加固流程Solaris補(bǔ)丁管理顯示系統(tǒng)補(bǔ)?。篠howrev–p管理補(bǔ)丁：Patchadd、PatchrmPoint補(bǔ)丁和Cluster補(bǔ)丁Patchfinder(patchID)Patchreport

/show.do?target=patches/patch-access&nav=patchpagePatchadd(Ksh腳本）曾出現(xiàn)過利用符號鏈接產(chǎn)生的競爭條件漏洞競爭條件：當(dāng)由于事件次序異常而造成對同一資源的競爭，從而導(dǎo)致程序無法正常運(yùn)行時，就會出現(xiàn)“競爭條件”。（資源共享導(dǎo)致）典型目錄：/tmp和/var/tmpSolaris主機(jī)加固流程（Cont）口令策略修改相關(guān)文件/etc/passwd/etc/shadow/etc/default/passwd/etc/default/login/usr/sadm/defadduser超級用戶的PATH（在/.profile中定義的）設(shè)置為：

PATH=/usr/bin:/sbin:/usr/sbinSolaris主機(jī)加固流程（Cont）服務(wù)加固/etc/inetd.conf所有的R服務(wù)所有的TCP/UDP小服務(wù)所有的調(diào)試服務(wù)幾乎所有的RPC服務(wù)FTP/etc/default/ftpd：banner、umask/etc/ftpusers：被禁用的賬戶Telnet/etc/default/telnetd：banner建議使用ssh替代Solaris主機(jī)加固流程（Cont）suid文件典型文件：passwd，su利用find/-typef\(-perm–4000\)|xargsls–la查找（chmod–s修改）core文件修改/etc/system中setsys:coredumpsize=0/tmp粘滯位設(shè)置查找含”.”Path防止trojanecho$PATH|grep":."功能：Solaris內(nèi)核提供的臨時性的針對TCP/IP棧的控制參數(shù)格式ndd/dev/<driver><parameter>Driver選項(xiàng)：ARP,IP,TCP,UDP幫助ndd/dev/<driver>\?設(shè)置ndd-set/dev/<driver><parameter><value>Ndd使用啟動網(wǎng)絡(luò)參數(shù)/etc/init.d/inetinitndd-set/dev/tcptcp_conn_req_max_q010240ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_ire_flush_interval60000ndd-set/dev/arparp_cleanup_interval60ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_forwarding0(或/etc/notrouter)ndd-set/dev/ipip_strict_dst_multihoming1減少過期時間#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000靜態(tài)ARParp–ffilename禁止ARPifconfiginterface–arpARP攻擊防止關(guān)閉ip轉(zhuǎn)發(fā)＃ndd–set/dev/ipip_forwarding0

轉(zhuǎn)發(fā)直接廣播包由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的，為了防止被用來實(shí)施

smurf攻擊，關(guān)閉這一特性。(參見cert-98.01)#ndd–set/dev/ipip-forward_directed_broadcasts0源路由轉(zhuǎn)發(fā)，所以我們必須手動關(guān)閉它＃ndd–set/dev/ipip_forward_src_routed0IP優(yōu)化關(guān)閉對echo廣播的響應(yīng)＃ndd–set/dev/ipip_respond_to_echo_boadcast0關(guān)閉對時間戳廣播的響應(yīng)#ndd–set/dev/ipip_respond_to_timestamp_broadcast0關(guān)閉對地址掩碼廣播的響應(yīng)#ndd–set/dev/ipip_respind_to_address_mask_broadcast0ICMP優(yōu)化SynfloodSynflood檢測netstat-an-finet|grepSYN_RCVD|wc–lnetstat-s-Ptcp中的tcpTimRetransDrop和tcpListenDrop參數(shù)ndd-set/dev/tcptcp_ip_abort_cinterval60000默認(rèn)值是180000（ms）ndd–set/dev/tcptcp_conn_req_max_q04096

默認(rèn)值是1024連接耗盡攻擊ndd–set/dev/tcptcp_conn_req_max_q1024

默認(rèn)值是128TCP優(yōu)化AIX安全性分析商用操作系統(tǒng)擁有UNIX家族里最好的可管理性伴隨著高可用性而來的就是較低的安全性截至今天，的漏洞庫中共記錄AIX漏洞292條大部分均為本地溢出很多都與setuid設(shè)置有關(guān)可嘗試“IBMAIXInventoryScout本地任意文件覆蓋漏洞”AIX安全性文件介紹/etc/passwd（/etc/group）包含合法用戶（組）（不含口令）/etc/security/passwd/etc/security/group包含用戶口令（組屬性）/etc/security/user包含用戶屬性、口令約束等/etc/security/limits包含用戶使用資源限制/etc/security/environ包含用戶環(huán)境設(shè)置/etc/security/llogin.cfg包含登錄設(shè)置AIX加固流程AIX補(bǔ)丁管理smittyupdate_all口令策略修改/etc/passwd/etc/security/user網(wǎng)絡(luò)與服務(wù)加固注釋/etc/inetd.conf里面的不需要服務(wù)（RPC，telnet，ftpd，CDEdtspcd）AIX不建議安裝CDE軟件包（/etc/rd.dt）必要的