8.9. 加固检查¶
8.9.1. 网络设备¶
及时检查系统版本号
敏感服务设置访问IP/MAC白名单
开启权限分级控制
关闭不必要的服务
打开操作日志
配置异常告警
关闭ICMP回应
8.9.2. 操作系统¶
8.9.2.1. Linux¶
无用用户/用户组检查
空口令帐号检查
- 用户密码策略
/etc/login.defs
/etc/pam.d/system-auth
- 敏感文件权限配置
/etc/passwd
/etc/shadow
~/.ssh/
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/cron
/var/log/spooler
/var/log/boot.log
日志是否打开
及时安装补丁
- 开机自启
/etc/init.d
检查系统时钟
8.9.2.2. Windows¶
异常进程监控
异常启动项监控
异常服务监控
配置系统日志
- 用户账户
设置口令有效期
设置口令强度限制
设置口令重试次数
安装EMET
启用PowerShell日志
- 限制以下敏感文件的下载和执行
ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
- 限制会调起wscript的后缀
bat, js, jse, vbe, vbs, wsf, wsh
- 域
限制将计算机加入域的权限
域账户使用最小权限原则
减少非必要高权限账户的数量
8.9.3. 应用¶
8.9.3.1. FTP¶
禁止匿名登录
修改Banner
8.9.3.2. SSH¶
是否禁用ROOT登录
是否禁用密码连接
8.9.3.3. MySQL¶
文件写权限设置
用户授权表管理
日志是否启用
版本是否最新
8.9.4. Web中间件¶
8.9.4.1. Apache¶
版本号隐藏
版本是否最新
禁用部分HTTP动词
关闭Trace
禁止
server-status上传文件大小限制
目录权限设置
是否允许路由重写
是否允许列目录
日志配置
配置超时时间防DoS
- 非属主用户文件读写限制
httpd.conf
access.log
error.log
8.9.4.2. Nginx¶
禁用部分HTTP动词
禁用目录遍历
检查重定向配置
配置超时时间防DoS
8.9.4.3. IIS¶
版本是否最新
日志配置
用户口令配置
ASP.NET功能配置
配置超时时间防DoS
8.9.4.4. JBoss¶
jmx console配置
web console配置
8.9.4.5. Tomcat¶
禁用部分HTTP动词
禁止列目录
禁止manager功能
用户密码配置
用户权限配置
配置超时时间防DoS
8.9.5. 密码管理策略¶
长度不少于8个字符
不存在于已有字典之中
不使用基于知识的认证方式