没有合适的资源？快使用搜索试试~ 我知道了~

首页基线检查及部分中间件部署规范.pdf

基线检查及部分中间件部署规范.pdf

基线检查

中间件部署

安全加固

需积分: 44 28 下载量 3 浏览量更新于2023-05-13 评论收藏 1.26MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

试读

34页

基线检查及部分中间件部署规范：大致内容如下： Centos7安全基线 Windows2012安全基线 MSSQL2016部署规范 MYSQL5.6部署规范部分中间件部署规范： - Nginx - Tomcat - Apache - IIS - Redis - Rabbit

资源详情

资源评论

资源推荐

(一) Centos7安全基线
0x01 初始设置
1. 文件系统配置：
2. 安全启动设置：
3. 强制访问控制：
0x02 服务配置
1. 时间同步设置：
0x03 网络配置
1. hosts设置：
2. 防火墙配置
0x04 审计设置
1. 审计配置文件的设置
2. 审计规则文件的设置
0x05 日志设置
0x06 认证授权
1. 配置cron:
2. 配置SSH：
3. 配置PAM：
4. 用户账户和环境设置：
0x07 系统维护
1. 重要文件权限：
2. 用户和组设置：
(二) Windows2012安全基线
0x01 账户策略
0x02 审计策略
0x03 用户权限分配
0x04  安全选项
0x05 端口安全
0x06 系统安全
(三) MSSQL2016部署规范
0x01 安装更新和补丁
0x02 减少受攻击面
0x03 认证和授权
0x04 密码策略
0x05 审计和日志
0x06 加密
0x07 扩展存储
(四) MySQL5.6部署规范
0x01 操作系统级别配置
0x02 安装和计划任务
0x03 权限设置
0x04 常规设置
0x05 MySQL权限
0x06 审计和日志
0x07 身份认证
(五) 中间件部署规范
0x01 Nginx安全部署规范
1. 隐藏版本号
2. 开启HTTPS
3. 限制请求方法
4. 拒绝某些User-Agent
5. 利用referer图片防盗链
6. 控制并发连接数
7. 设置缓冲区大小防止缓冲区溢出攻击
8. 添加Header头防止XSS攻击

添加其他Header头
0x02 Tomcat安全部署规范
更改Server Header
保护telnet管理端口
保护A JP连接端口
删除默认文档和示例程序
隐藏版本信息（需要解jar包）
专职低权限用户启动tomcat
文件列表访问控制
脚本权限回收
0x03 Apache安全部署规范
专职低权限用户运行Apache服务
目录访问权限设置
日志设置
只允许访问web目录下的文件
禁止列出目录
防范拒绝服务
隐藏版本号 
关闭TRACE功能
绑定监听地址
删除默认安装的无用文件
限定可以使用的HTTP方法
0x04 IIS安全部署规范
限制目录的执行权限
开启日志记录功能
自定义错误页面
关闭目录浏览功能
停用或删除默认站点
删除不必要的脚本映射
专职低权限用户运行网站
在独立的应用程序池中运行网站 
0x05 Redis安全部署规范
专职低权限用户启动redis
限制redis配置文件的访问权限
更改默认端口
开启redis密码认证
禁用或者重命名危险命令
禁止监听在公网IP
开启保护模式
0x06 RabbitMQ规范
专职低权限用户启动RabbitMQ
配置SSL证书
开启HTTP后台认证
删除或修改默认的guest用户和密码
RabbitMQ的web ui插件存在一些安全漏洞
@author: jerrybird,JC0o0l
@wechat: JC_SecNotes
@wechat: JC0o0l
@GitHub: github.com/chroblert/assetmanage
(一) Centos7安全基线  

0x01 初始设置

1. 文件系统配置：

1.1 将/tmp挂载至一个单独的分区

1.2 /tmp挂载时指定 noexec ：不允许运行可执行文件

该选项使得/tmp目录下的二进制文件不可被执行

1.3 /tmp挂载时指定 nosuid

该选项使得/tmp目录下的文件或目录不可设置Set-UID和Set-GID标志位，能够防止提权。

2. 安全启动设置：

2.1 设置bootloader的配置文件的权限为 600

该配置文件包含了系统启动时的引导信息，该选项可防止该文件被随意读写。

2.2 设置bootloader的密码【建议】

进入boot loader设置界面需要输入密码

2.3 为单用户启动认证机制

可防止在不知密码的情况下更改root密码

3. 强制访问控制：

3.1 安装SELinux 【建议】

3.2 设置SELinux的状态为 enforcing 【建议】

3.3 设置SELinux的 policy 为 targeted 【建议】

0x02 服务配置

1. 时间同步设置：

1.1 开启时间同步服务

时间的统一可便于入侵日志的检测分析

1.2 不安装 X-windows 系统：即不使用可视化界面

X window用于提供用户登录的图形化界面

0x03 网络配置

1. hosts设置：

1.1 配置 /etc/hosts.allow 文件

指定哪些IP可以连接到本主机

1.2 配置 /etc/hosts.deny 文件

1.3 配置 /etc/hosts.allow 文件权限为 0644

1.4 配置 /etc/hosts.deny 文件的权限为 0644

2. 防火墙配置

2.1 安装 iptables

2.2 设置各个 Chain 的默认策略为 drop

0x04 审计设置

1. 审计配置文件的设置

1.1 安装并使用 auditd

1.2 配置记录审计日志的文件大小：8M 【建议】

1.3 配置记录审计日志的文件个数：5 【建议】

1.4 单个审计日志文件大小达到设定的值时触发的动作为： keep_logs/rotate 【建议】

1.5 磁盘空间满后触发的动作为： rotate 【建议】

2. 审计规则文件的设置

2.1 审计更改日期和时间的操作

2.2 审计更改用户/组信息的操作

2.3 审计更改系统网络环境的操作

2.4 审计更改系统强制访问控制的操作

2.5 审计登入登出系统的事件

2.6 审计未授权情况下企图访问文件未成功的事件

2.7 审计使用提权命令的操作

2.8 审计sudoers文件的变更

2.9 确保审计日志文件audit.log的规则，在系统重启前不能改变

0x05 日志设置

1. 安装并启用 rsyslog

0x06 认证授权

1. 配置cron:

1.1 开启 cron 服务

1.2 配置

/etc/crontab,/etc/cron.hourly,/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly,//

etc/cron.d 文件的权限为 0700

1.3 设置 cron.allow ：只允许特定的用户可以使用 cron

2. 配置SSH：

2.1 配置 /etc/ssh/sshd_config 文件的权限为 0600

2.2 关闭 X11Forwarding

X11Forwarding用于图形转发

2.3 设置最大认证尝试次数：4

2.4 开启 IgnoreRhosts ：不启用基于主机的认证

该选项决定通过RhostsRSAAuthentication或HostbasedAuthentication验证的时候是否使

用.rhosts和.shosts文件

2.5 关闭 HostbasedAuthentication : 关闭基于主机的认证

2.6 禁止使用root直接登录： PermitRootLogin no

2.7 禁止使用空密码登录： PermitEmptyPasswords no

2.8 禁止用户环境： PermitUserEnvironment no

该选项决定SSH是否可以使用环境变量，若启用，则可能通过LD_PRELOAD绕过安全限制

2.9 设置使用的MAC算法:

2.10 设置空闲超时时间:180秒 ClientAliveInterval 180

2.11 设置一次登录花费时间：120秒 LoginGraceTime 120

2.12 SSH LogLevel设置为 INFO ， LogLevel INFO

2.13 SSH使用v2安全协议 : Protocol 2

2.14 设置能够同时连接到服务器的Client数量：3, ClientAliveCountMax 3

2.15 更改SSHD端口：10086， Port 10086

3. 配置PAM：

3.1 密码长度最少位数：12

3.2 密码中最少字符类型数：3

3.3 配置密码锁定

3.4 配置密码重用限制：不使用最近5次的密码

3.5 配置密码hash算法：SHA512

4. 用户账户和环境设置：

4.1 密码有效时间：90天

4.2 密码更改最短间隔：7天

4.3 密码过期警告：7天

4.4 自动禁用特定时间内没有活动的账号：365天

4.5 配置系统账号的无法登录

4.6 配置root账号默认群组的GID为0

hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-

128etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-

128@openssh.com,curve25519sha256@libssh.org,diffie-hellman-group-exchange-

sha256

剩余33页未读，继续阅读

H3C交换机安全配置基线

华为交换机配置脚本

常用的中间件标准

JC0o0l

粉丝: 16
资源: 1

上传资源快速赚钱

我的内容管理收起

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

会员权益专享

基线检查及部分中间件部署规范.pdf

评论0

会员权益专享

最新资源

基线检查及部分中间件部署规范.pdf

评论0

H3C交换机安全配置基线

华为交换机配置脚本

常用的中间件标准

网络设备安全基线技术规范.pdf

APACHE中间件基线规范

创建一个中间件、数据库安全基线检查的VUE可视化看板项目

中间件mysql安全基线自动检查脚本

windows安全基线检查

linux 中间件基线核查

lgpo.exe 基线检查

离线工具检测(安全基线检查工具).rar

oracle数据库基线检查.xlsx

windows基线检查表

windows基线检查脚本

有哪些比较好的安全基线检查工具

windows基线检查都有哪些

基线检查脚本的作用是什么

处理基线漂移有什么方法

网络安全基线核查流程

h3c路由器基线检查加固

会员权益专享

最新资源