2019年光网烈火云服务器安全设置建议(重要)

回复
头像
雷雨
荣誉元老
荣誉元老
帖子: 528
注册时间: 2017-02-13 11:34

2019年光网烈火云服务器安全设置建议(重要)

帖子 雷雨 »

以下是Linux Centos 7.x平台系列重要设置建议,属系统安全的基线检查项目。
linux服务器安全
linux服务器安全
1.确保root是唯一的UID为0的帐户 | 身份鉴别
描述
除root以外其他UID为0的用户都应该删除,或者为其分配新的UID

加固建议

除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都应该删除,或者为其分配新的UID

2.开启地址空间布局随机化 | 入侵防范

描述
它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险

加固建议

在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数: kernel.randomize_va_space = 2 执行命令:
sysctl -w kernel.randomize_va_space=2

3.访问控制配置文件的权限设置 | 文件权限

描述
访问控制配置文件的权限设置

加固建议

运行以下4条命令:

代码: 全选

chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

代码: 全选

4.确保SSH LogLevel设置为INFO | 服务配置
描述
确保SSH LogLevel设置为INFO,记录登录和注销活动

加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO

5.确保rsyslog服务已启用 | 安全审计

描述
确保rsyslog服务已启用,记录日志用于审计

加固建议

运行以下命令启用rsyslog服务:
systemctl enable rsyslog
systemctl start rsyslog.

6.确保SSH MaxAuthTries设置为3到6之间 | SSH服务配置

描述
设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。

加固建议

在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:
MaxAuthTries 4

7.确保密码到期警告天数为7或更多 | 身份鉴别

描述
确保密码到期警告天数为7或更多

加固建议

在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:

PASS_WARN_AGE 7
同时执行命令使root用户设置生效:

chage --warndays 7 root

8.设置密码修改最小间隔时间 | 身份鉴别

描述
设置密码修改最小间隔时间,限制密码更改过于频繁

加固建议

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:

PASS_MIN_DAYS 7
需同时执行命令为root用户设置:

chage --mindays 7 root

9.设置密码失效时间 | 身份鉴别

描述
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。

加固建议
使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:

PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间:

chage --maxdays 90 root

10.禁止SSH空密码用户登录 | SSH服务配置

描述
禁止SSH空密码用户登录

加固建议
编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:

PermitEmptyPasswords no
以下内容在2019.12.12更新
11.安全等级[中] 修改默认3306端口 | 服务配置
描述

避免使用熟知的端口,降低被初级扫描的风险

加固建议

编辑/etc/my.cnf文件,mysqld 段落中配置新的端口参数,并重启mysql服务:

port=3506

12.禁用symbolic-links选项 | 服务配置
描述

禁用符号链接以防止各种安全风险

加固建议

编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置symbolic-links=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。

13.安全等级[高] 确保没有用户配置了通配符主机名 | 身份鉴别

避免在主机名中只使用通配符,有助于限定可以连接数据库的客户端,否则服务就开放到了公网

加固建议

执行SQL更新语句,为每个用户指定允许连接的host范围。 1. 登录数据库,执行use mysql; ; 2. 执行语句select user,Host from user where Host='%';查看HOST为通配符的用户; 3. 删除用户或者修改用户host字段,删除语句:DROP USER 'user_name'@'%'; 。更新语句:update user set host = <new_host> where host = '%';。 4. 执行SQL语句:

OPTIMIZE TABLE user;
flush privileges;

14.安全等级 高 确保配置了log-error选项 | 安全审计
描述

启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,例如,如果错误日志未启用,则连接错误可能会被忽略。

加固建议

编辑Mysql配置文件/etc/my.cnf,在mysqld_safe 段落中配置log-error参数,<log_path>代表存放日志文件路径,如:/var/log/mysqld.log,并重启mysql服务:

log-error=<log_path>

15.安全等级 高 禁用local-infile选项 | 访问控制
描述

禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力

加固建议

编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:

local-infile=0
头像
雷雨
荣誉元老
荣誉元老
帖子: 528
注册时间: 2017-02-13 11:34

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 雷雨 »

11.检查系统空密码账户 | 身份鉴别

描述
检查系统空密码账户

加固建议
为用户设置一个非空密码,或者执行passwd -l <username>锁定用户

12.设置用户权限配置文件的权限 | 文件权限

描述
设置用户权限配置文件的权限

加固建议
执行以下5条命令

代码: 全选

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
13.检查密码重用是否受限制 | 身份鉴别

描述
强制用户不重用最近使用的密码,降低密码猜测攻击风险

加固建议

在/etc/pam.d/password-auth

/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

14.密码复杂度检查 | 身份鉴别

描述
检查密码长度和密码是否使用多种字符类型

加固建议

编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:

minlen=10
minclass=3

15.设置SSH空闲超时退出时间 | 服务配置

描述
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险

加固建议
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。

ClientAliveInterval 600
ClientAliveCountMax 2

操作时建议做好记录或备份
头像
雷雨
荣誉元老
荣誉元老
帖子: 528
注册时间: 2017-02-13 11:34

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 雷雨 »

以下是Linux Centos 7.x平台设置建议,属软件安全的基线检查项目。

1.禁止memcached访问UDP端口11211,以防止放大性DDOS攻击。

2.修改memcached默认TCP端口11211。有以上操作时建议做好记录或备份。
头像
雷雨
荣誉元老
荣誉元老
帖子: 528
注册时间: 2017-02-13 11:34

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 雷雨 »

以下是Windows Server 2008 R2平台系列设置建议,属系统安全的基线检查项目。
windows server安全设置
windows server安全设置
1.设置密码使用期限策略 | 身份鉴别

描述
设置密码使用期限策略,减少密码被泄漏和猜测风险

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码最长使用期限设置为30-180之间,建议值为90,将密码最短使用期限设置为1-14之间,建议值为7.

2.密码复杂性配置 | 身份鉴别

描述
设置强密码,减少密码被泄漏和猜测风险

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码必须符合复杂性要求设置为已启用,将密码最小长度设置为8以上。

3.'强制密码历史'设置为5-24之间 | 身份鉴别

描述
设置强制密码历史,防止重复使用最近使用过的密码

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将强制密码历史设置为5-24之间

4.配置账户锁定策略 | 身份鉴别

描述
配置账户锁定策略,降低被爆破和猜测风险

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟。

5.禁止未登录强制关机 | 访问控制

描述
禁止未登录强制关机

加固建议
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将"关机:允许在未登录时关闭系统"设置为:已禁用

6.匿名账户访问控制 | 访问控制

描述
匿名账户访问控制

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为:已禁用,将“不允许SAM帐户的匿名枚举“设置为:已启用,将“不允许SAM帐户和共享的匿名枚举”设置为:已启用,将”允许匿名SID/名称转换“设置为:已禁用。

7.应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 安全审计

描述
开启审核策略,对重要的用户行为和重要安全事件进行审计

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。

8.配置安全选项账户策略 | 身份鉴别

描述
配置安全选项账户策略,限制空密码账户和禁用guest账户

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将"账户:来宾账户状态"设置为:已禁用;将"账户:使用空密码的本地账户只允许控制台登陆"设置为:启用。

9.设置空闲会话断开时间 | 访问控制

描述
设置空闲会话断开时间和启用登陆时间过期后断开与客户端的连接设置

加固建议

在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将Microsoft网络服务器中的"暂停会话之前所需的空闲时间数量"设置为:5-30之间,建议值为15;将"登陆时间过期后断开与客户端的连接"设置为:已启用。

10.密码使用到期修改提醒 | 身份鉴别

描述
'交互式登录:提示用户在过期前修改密码',提示时间设置为5到14天之间

加固建议

在GP(组策略)中将以下路径中设置为5~14:本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\安全选项\交互式登录:提示用户在过期前修改密码
头像
雷雨
荣誉元老
荣誉元老
帖子: 528
注册时间: 2017-02-13 11:34

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 雷雨 »

11.风险账户检查 | 身份鉴别

描述
检查Windows系统可疑的隐藏账号

加固建议
存在可疑隐藏账号,建议确认后删除

12.注册表自启动项 | 服务配置

描述
检查项注册表路径HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon的Userinit中可疑启动项

加固建议
检查注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon的Userinit中的危险启动项并删除,注意不要删除系统默认启动项C:\\Windows\\system32\\Userinit.exe

安全技术专家提示:有以上操作时建议做好记录或备份!
头像
丫蛋蛋
闻弦雅士
闻弦雅士
帖子: 87
注册时间: 2017-01-16 19:55

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 丫蛋蛋 »

老大

设置用户权限配置文件的权限 | 文件权限的更改,会不会导致web程序的部分用户组,无法请求到正常系统组件中包含的文件
头像
雷雨
荣誉元老
荣誉元老
帖子: 528
注册时间: 2017-02-13 11:34

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 雷雨 »

丫蛋蛋 写了:
2019-09-24 9:49
老大

设置用户权限配置文件的权限 | 文件权限的更改,会不会导致web程序的部分用户组,无法请求到正常系统组件中包含的文件
一般来说属于linux文件系统的不会出现你说的问题,已经测试过的才发上来
头像
轩轩弟弟
惊鸿侠影
惊鸿侠影
帖子: 148
注册时间: 2017-03-06 21:26

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 轩轩弟弟 »

ssh的空闲时间有些短
头像
歌源
惊鸿侠影
惊鸿侠影
帖子: 133
注册时间: 2017-01-22 11:02

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 歌源 »

重量级深度好文
头像
王旨祎
闻弦雅士
闻弦雅士
帖子: 117
注册时间: 2017-02-13 11:30

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 王旨祎 »

收藏起来,以后维护服务器的时候用得到
头像
风继续吹
逍遥游侠
逍遥游侠
帖子: 61
注册时间: 2017-01-31 14:25

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 风继续吹 »

ssh时间有点短
烈焰男孩
闻弦雅士
闻弦雅士
帖子: 67
注册时间: 2017-02-27 14:04

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 烈焰男孩 »

谢谢分享知识
头像
轩轩弟弟
惊鸿侠影
惊鸿侠影
帖子: 148
注册时间: 2017-03-06 21:26

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 轩轩弟弟 »

风继续吹 写了:
2020-03-06 18:42
ssh时间有点短
赞同,而且规则还适用于centos8吗
头像
霖儿
逍遥游侠
逍遥游侠
帖子: 45
注册时间: 2017-03-26 17:15

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 霖儿 »

感谢大佬分享
头像
粉嘟嘟
VIP贵宾
VIP贵宾
帖子: 74
注册时间: 2017-03-09 21:32

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 粉嘟嘟 »

其实就怕修改之后影响了系统的正常功能
头像
李志尧
VIP贵宾
VIP贵宾
帖子: 30
注册时间: 2019-03-28 14:41

Re: 2019年光网烈火云服务器安全设置建议(重要)

帖子 李志尧 »

什么时候更新server 2016的安全策略
回复