滲透測(cè)試第七章

安全加固知識(shí)目標(biāo)理解安h全加固的基本概念和涉及范圍；掌握Windows、Linux操作系統(tǒng)的核心安全加固措施；學(xué)習(xí)并了解IIS、Apache、Tomcat、Nginx及Mysql的基礎(chǔ)加固策略；熟悉各類服務(wù)和應(yīng)用程序的常見加固策略和操作方法；能夠根據(jù)實(shí)際業(yè)務(wù)和環(huán)境，有針對(duì)性地進(jìn)行合適的安全加固措施。思政目標(biāo)培養(yǎng)學(xué)生的信息安全意識(shí)，使其在未來的工作和生活中能夠始終保持警惕，防范各種安全風(fēng)險(xiǎn)；通過學(xué)習(xí)安全加固的技能和知識(shí)，培養(yǎng)學(xué)生的責(zé)任心和使命感，認(rèn)識(shí)到自己在信息社會(huì)中的重要角色和責(zé)任；激發(fā)學(xué)生對(duì)于信息安全技術(shù)的興趣，鼓勵(lì)其深入研究和不斷探索，為國(guó)家的信息安全建設(shè)作出貢獻(xiàn)。目錄CONTENTS安全加固概述01Windows安全加固02Linux安全加固03IIS安全加固04apache安全加固05Tomcat安全加固06Nginx安全加固07Mysql安全加固08安全加固概述PART01警惕信息泄露維系網(wǎng)絡(luò)安全什么是安全加固信息系統(tǒng)加固是實(shí)現(xiàn)信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)，通過安全加固將在信息系統(tǒng)的網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，建立符合信息系統(tǒng)安全需求的安全狀態(tài)，并以此作為保障信息系統(tǒng)安全的起點(diǎn)。安全加固涉及范圍安全加固涉及到的系統(tǒng)和業(yè)務(wù)非常廣，最常見的安全加固例如∶操作系統(tǒng)安全加固、中間件安全加固、數(shù)據(jù)庫(kù)安全加固。安全加固流程系統(tǒng)安全評(píng)估制訂安全加固方案安全加固實(shí)施Windows安全加固PART02用戶系統(tǒng)檢查1.檢查Administrator賬號(hào)是否停用檢查Admnistrator賬號(hào)是否重命名檢查Guest帳戶是否停用檢查關(guān)閉系統(tǒng)權(quán)限是否只有Administrators組檢查"取得文件或其他對(duì)象的所有權(quán)限"是否僅Administrator組口令策略檢查檢查是否設(shè)置密碼最小長(zhǎng)度檢查密碼是否符合復(fù)雜性要求檢查是否啟用密碼最短使用期限日志審計(jì)檢查檢查是否設(shè)置系統(tǒng)日志存儲(chǔ)最大大小檢查相應(yīng)安全審計(jì)策略是否開啟安全選項(xiàng)檢查檢查Microsoft網(wǎng)絡(luò)服務(wù)器登錄超時(shí)是否被設(shè)置檢查是否啟用密碼過期之前提示修改密碼策略檢查是否啟用本地帳戶的共享和安全模型檢查是否允許SAM用戶匿名枚舉檢查是否允許空密碼登錄檢查是否設(shè)置提示提升時(shí)切換到安全桌面Linux安全加固PART03用戶系統(tǒng)檢查檢查系統(tǒng)版本內(nèi)核檢查口令為空的賬戶檢查UID與Root相同的賬戶檢查History歷史命令條數(shù)設(shè)置口令策略檢查設(shè)置密碼最小長(zhǎng)度為10設(shè)置密碼過期時(shí)間為90天設(shè)置密碼認(rèn)證失敗次數(shù)為5設(shè)置密碼復(fù)雜度設(shè)置密碼過期告警天數(shù)為3日志審計(jì)檢查開啟日志功能開啟審計(jì)功能記錄登錄日志訪問控制檢查設(shè)置系統(tǒng)登錄和SSH超時(shí)時(shí)間為100秒使用SSH2協(xié)議禁止root賬戶遠(yuǎn)程SSH連接IIS安全加固PART04基本設(shè)置檢查將Web內(nèi)容移至非系統(tǒng)分區(qū)關(guān)閉目錄瀏覽關(guān)閉WebDav功能替換錯(cuò)誤頁面禁止上傳執(zhí)行ASP.Net配置檢查關(guān)閉debug功能關(guān)閉ASP.NET自定義錯(cuò)誤消息關(guān)閉HTTP自定義錯(cuò)誤消息移除X-Powered-By頭部移除Server頭部信息IIS日志記錄檢查更改默認(rèn)日志位置啟用高級(jí)IIS日志記錄Apache安全加固PART05配置模塊檢查啟用日志配置模塊禁用WebDev模塊禁用用戶目錄模塊禁用基本和摘要身份驗(yàn)證系統(tǒng)權(quán)限檢查確保Apache不以root身份運(yùn)行設(shè)置Apache目錄正確權(quán)限拒絕訪問"/"目錄訪問控制檢查限制HTTP請(qǐng)求方法配置請(qǐng)求文件類型限制禁用基于IP地址的請(qǐng)求禁止目錄瀏覽日志目錄檢查啟用錯(cuò)誤日志審計(jì)配置服務(wù)訪問日志其他加固檢查處理錯(cuò)誤頁5.5.2啟用ssl站點(diǎn)Tomcat安全加固PART06信息保護(hù)檢查刪除無關(guān)文件和目錄修改默認(rèn)端口修改S內(nèi)容禁用X-Powered-byHTTP頭部刪除Tomcat服務(wù)器頭部信息處理Tomcat錯(cuò)誤頁面訪問限制檢查禁用Trace請(qǐng)求限制對(duì)web管理應(yīng)用程序的訪問配置連接超時(shí)配置最大請(qǐng)求頭限制禁止Tomcat目錄瀏覽限制最大連接會(huì)話數(shù)日志審計(jì)檢查啟用日志審計(jì)功能配置日志審計(jì)類型安全選項(xiàng)檢查修改關(guān)閉端口值限制Tomcat關(guān)鍵目錄訪問啟用連接器SSL設(shè)置使用證書認(rèn)證連接Nginx安全加固PART07基本配置配置server_tokens指令為off確保默認(rèn)頁面不涉及nginx信息禁用隱藏文件服務(wù)權(quán)限控制文件所有權(quán)控制為root:root限制nginx目錄和文件的訪問核心轉(zhuǎn)儲(chǔ)目錄安全上傳目錄配置禁止執(zhí)行權(quán)限賬號(hào)安全設(shè)置非特權(quán)用戶鎖定nginx服務(wù)賬戶日志文件開啟訪問日志啟用錯(cuò)誤日志并配置為info級(jí)別

Mysql安全加固PART08賬號(hào)安全加固密碼復(fù)雜度策略確保不存在空口令賬號(hào)數(shù)據(jù)庫(kù)日志加固錯(cuò)誤日志開啟回滾日志開啟普通查詢?nèi)罩鹃_啟慢查詢