没有合适的资源?快使用搜索试试~ 我知道了~
首页基线检查及部分中间件部署规范.pdf
资源详情
资源评论
资源推荐
(一) Centos7安全基线
0x01 初始设置
1. 文件系统配置:
2. 安全启动设置:
3. 强制访问控制:
0x02 服务配置
1. 时间同步设置:
0x03 网络配置
1. hosts设置:
2. 防火墙配置
0x04 审计设置
1. 审计配置文件的设置
2. 审计规则文件的设置
0x05 日志设置
0x06 认证授权
1. 配置cron:
2. 配置SSH:
3. 配置PAM:
4. 用户账户和环境设置:
0x07 系统维护
1. 重要文件权限:
2. 用户和组设置:
(二) Windows2012安全基线
0x01 账户策略
0x02 审计策略
0x03 用户权限分配
0x04 安全选项
0x05 端口安全
0x06 系统安全
(三) MSSQL2016部署规范
0x01 安装更新和补丁
0x02 减少受攻击面
0x03 认证和授权
0x04 密码策略
0x05 审计和日志
0x06 加密
0x07 扩展存储
(四) MySQL5.6部署规范
0x01 操作系统级别配置
0x02 安装和计划任务
0x03 权限设置
0x04 常规设置
0x05 MySQL权限
0x06 审计和日志
0x07 身份认证
(五) 中间件部署规范
0x01 Nginx安全部署规范
1. 隐藏版本号
2. 开启HTTPS
3. 限制请求方法
4. 拒绝某些User-Agent
5. 利用referer图片防盗链
6. 控制并发连接数
7. 设置缓冲区大小防止缓冲区溢出攻击
8. 添加Header头防止XSS攻击
9. 添加其他Header头
0x02 Tomcat安全部署规范
1. 更改Server Header
2. 保护telnet管理端口
3. 保护A JP连接端口
4. 删除默认文档和示例程序
5. 隐藏版本信息(需要解jar包)
6. 专职低权限用户启动tomcat
7. 文件列表访问控制
8. 脚本权限回收
0x03 Apache安全部署规范
1. 专职低权限用户运行Apache服务
2. 目录访问权限设置
3. 日志设置
4. 只允许访问web目录下的文件
5. 禁止列出目录
6. 防范拒绝服务
7. 隐藏版本号
8. 关闭TRACE功能
9. 绑定监听地址
10. 删除默认安装的无用文件
11. 限定可以使用的HTTP方法
0x04 IIS安全部署规范
1. 限制目录的执行权限
2. 开启日志记录功能
3. 自定义错误页面
4. 关闭目录浏览功能
5. 停用或删除默认站点
6. 删除不必要的脚本映射
7. 专职低权限用户运行网站
8. 在独立的应用程序池中运行网站
0x05 Redis安全部署规范
1. 专职低权限用户启动redis
2. 限制redis配置文件的访问权限
3. 更改默认端口
4. 开启redis密码认证
5. 禁用或者重命名危险命令
6. 禁止监听在公网IP
7. 开启保护模式
0x06 RabbitMQ规范
1. 专职低权限用户启动RabbitMQ
2.配置SSL证书
3. 开启HTTP后台认证
4. 删除或修改默认的guest用户和密码
5. RabbitMQ的web ui插件存在一些安全漏洞
@author: jerrybird,JC0o0l
@wechat: JC_SecNotes
@wechat: JC0o0l
@GitHub: github.com/chroblert/assetmanage
(一) Centos7安全基线
0x01 初始设置
1. 文件系统配置:
1.1 将/tmp挂载至一个单独的分区
1.2 /tmp挂载时指定 noexec :不允许运行可执行文件
该选项使得/tmp目录下的二进制文件不可被执行
1.3 /tmp挂载时指定 nosuid
该选项使得/tmp目录下的文件或目录不可设置Set-UID和Set-GID标志位,能够防止提权。
2. 安全启动设置:
2.1 设置bootloader的配置文件的权限为 600
该配置文件包含了系统启动时的引导信息,该选项可防止该文件被随意读写。
2.2 设置bootloader的密码 【建议】
进入boot loader设置界面需要输入密码
2.3 为单用户启动认证机制
可防止在不知密码的情况下更改root密码
3. 强制访问控制:
3.1 安装SELinux 【建议】
3.2 设置SELinux的状态为 enforcing 【建议】
3.3 设置SELinux的 policy 为 targeted 【建议】
0x02 服务配置
1. 时间同步设置:
1.1 开启时间同步服务
时间的统一可便于入侵日志的检测分析
1.2 不安装 X-windows 系统:即不使用可视化界面
X window用于提供用户登录的图形化界面
0x03 网络配置
1. hosts设置:
1.1 配置 /etc/hosts.allow 文件
指定哪些IP可以连接到本主机
1.2 配置 /etc/hosts.deny 文件
1.3 配置 /etc/hosts.allow 文件权限为 0644
1.4 配置 /etc/hosts.deny 文件的权限为 0644
2. 防火墙配置
2.1 安装 iptables
2.2 设置各个 Chain 的默认策略为 drop
0x04 审计设置
1. 审计配置文件的设置
1.1 安装并使用 auditd
1.2 配置记录审计日志的文件大小:8M 【建议】
1.3 配置记录审计日志的文件个数:5 【建议】
1.4 单个审计日志文件大小达到设定的值时触发的动作为: keep_logs/rotate 【建议】
1.5 磁盘空间满后触发的动作为: rotate 【建议】
2. 审计规则文件的设置
2.1 审计更改日期和时间的操作
2.2 审计更改用户/组信息的操作
2.3 审计更改系统网络环境的操作
2.4 审计更改系统强制访问控制的操作
2.5 审计登入登出系统的事件
2.6 审计未授权情况下企图访问文件未成功的事件
2.7 审计使用提权命令的操作
2.8 审计sudoers文件的变更
2.9 确保审计日志文件audit.log的规则,在系统 重启前不能改变
0x05 日志设置
1. 安装并启用 rsyslog
0x06 认证授权
1. 配置cron:
1.1 开启 cron 服务
1.2 配置
/etc/crontab,/etc/cron.hourly,/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly,//
etc/cron.d 文件的权限为 0700
1.3 设置 cron.allow :只允许特定的用户可以使用 cron
2. 配置SSH:
2.1 配置 /etc/ssh/sshd_config 文件的权限为 0600
2.2 关闭 X11Forwarding
X11Forwarding用于图形转发
2.3 设置最大认证尝试次数:4
2.4 开启 IgnoreRhosts :不启用基于主机的认证
该选项决定通过RhostsRSAAuthentication或HostbasedAuthentication验证的时候是否使
用.rhosts和.shosts文件
2.5 关闭 HostbasedAuthentication : 关闭基于主机的认证
2.6 禁止使用root直接登录: PermitRootLogin no
2.7 禁止使用空密码登录: PermitEmptyPasswords no
2.8 禁止用户环境: PermitUserEnvironment no
该选项决定SSH是否可以使用环境变量,若启用,则可能通过LD_PRELOAD绕过安全限制
2.9 设置使用的MAC算法:
2.10 设置空闲超时时间:180秒 ClientAliveInterval 180
2.11 设置一次登录花费时间:120秒 LoginGraceTime 120
2.12 SSH LogLevel设置为 INFO , LogLevel INFO
2.13 SSH使用v2安全协议 : Protocol 2
2.14 设置能够同时连接到服务器的Client数量:3, ClientAliveCountMax 3
2.15 更改SSHD端口:10086, Port 10086
3. 配置PAM:
3.1 密码长度最少位数:12
3.2 密码中最少字符类型数:3
3.3 配置密码锁定
3.4 配置密码重用限制:不使用最近5次的密码
3.5 配置密码hash算法:SHA512
4. 用户账户和环境设置:
4.1 密码有效时间:90天
4.2 密码更改最短间隔:7天
4.3 密码过期警告:7天
4.4 自动禁用特定时间内没有活动的账号:365天
4.5 配置系统账号的无法登录
4.6 配置root账号默认群组的GID为0
hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-
128etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-
128@openssh.com,curve25519sha256@libssh.org,diffie-hellman-group-exchange-
sha256
1
剩余33页未读,继续阅读
JC0o0l
- 粉丝: 16
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0