服务器安全基线配置脚本 服务器安全基线检查

华三交换机基线配置

H3C交换机安全配置基线H3C交换机安全配置基线(Version 1.0)2012年12月1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全(可选) (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)

目前创新互联已为上1000家的企业提供了网站建设、域名、虚拟主机、网站托管维护、企业网站设计、策勒网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。本文档旨在对信息系统的安全配置审计、加固操作起到指导性作用。本文档主要起草人:靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。2 适用范围本文档适用于中国石油使用的H3C系列交换机,明确了H3C系列交换机在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。3 缩略语TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议SNMP Simple Network Management Protocol 简单网络管理协议ARP Address Resolution Protocol 地址解析协议VLAN Virtual LAN 虚拟局域网STP Spanning Tree Protocol 生成树协议RSTP Rapid Spanning Tree Protocol 快速生成树协议MSTP Multiple Spanning Tree Protocol 多生成树协议BPDU Bridge Protocol Data Unit 桥接协议数据单元VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议NTP Network Time Protocol 网络时间协议AAA Authentication,Authorization,Accounting 认证,授权,记账GCC General Computer Controls 信息系统总体控制SBL Security Base Line 安全基线4 安全基线要求项命名规则安全基线要求项是安全基线的最小单位,每一个安全基线要求项对应一个基本的可执行

的安全规范明细,安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”,如SBL-Switch-H3C-01-01,代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。5 文档使用说明1 随着信息技术发展,路由器与交换机在功能上逐渐融合,具有共同点,部分路由器上配有交换板卡,可以实现服务器与终端计算机接入;部分交换机配有路由引擎,可以实现路由功能。虽然两者具有一定共同点,但从路由器与交换机在生产环境中的应用定位出发,本系列文档分为路由器安全基线(侧重于路由协议等)和交换机安全基线(侧重于局域网交换与端口安全等)。2 H3C交换机可以通过命令行、Web、NMS等多种方式管理,本文档中涉及的操作,均在命令行下完成。3 命令行中需要用户定义的名称与数值,文档中均以标出,用户根据需要自行定义。例如local-user ,表示创建账号名称为name1的本地用户,password cipher password1,表示本地用户name1的密码为passowrd1。4 由于各信息系统对于H3C系列交换机的要求不尽相同,因此对于第7章安全配置要求中的安全基线要求项,各信息系统根据实际情况选择性进行配置,并填写附录A《安全基线配置项应用统计表》。5 在第7章安全配置要求中,部分安全基线要求项提供了阈值,如“交换机带内管理设置登录超时,超时时间不宜设置过长,参考值为5分钟。”,此阈值为参考值,通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。各信息系统如因业务需求无法应用此阈值,在附录A《安全基线配置项应用统计表》的备注项进行说明。6 注意事项由于H3C系列交换机普遍应用于重要生产环境,对于本文档中安全基线要求项,实施前需要在测试环境进行验证后应用。在应用安全基线配置项的过程中,如遇到技术性问题,填写附录B《安全基线配置项应用问题记录表》。在应用安全基线配置前需要备份交换机的配置文件,以便出现故障时进行

回退。7 安全配置要求7.1 账号管理7.1.1 运维账号共享管理安全基线编号SBL-Switch- H3C-01-01安全基线名称运维账号共享安全基线要求项安全基线要求按照用户分配账号,避免不同用户间共享运维账号检测操作参考[Switch]dis current | i local-user安全判定依据1)网络管理员列出交换机运维人员名单;2)查看dis current | i local-user结果:local-userlocal-userlocal-user3)对比命令显示结果与运维人员账号名单,如果运维人员之间不存在共享运维账号,表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.1.2 删除与工作无关账号安全基线编号SBL- Switch- H3C-01-02安全基线名称账号整改安全基线要求项安全基线要求删除与工作无关的账号,提高系统账号安全检测操作参考[Switch]dis current | i local-user安全判定依据1)网络管理员列出交换机运维人员的账号名单;2)查看dis current | i local-user结果:local-userlocal-userlocal-user3)对比显示结果与账号名单,如果发现与运维无关的账号,表明不符合安全要求。备注无关账号主要指测试账号、共享账号、长期不用账号(半年以上)等。基线配置项重要度高中低操作风险评估高中低7.2 口令管理7.2.1 静态口令加密安全基线编号SBL- Switch- H3C-02-01安全基线名称静态口令加密安全基线要求项安全基线要求1)配置本地用户口令使用“cipher”关键字2)配置super口令使用“cipher”关键字检测操作参考1)[Switch]dis current | b local-user2)[Switch]dis current | i super password

安全判定依据如果显示“cipher”关键字,如:1)local-userpassword cipher 密文password2)super password level cipher 密文password 表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.2.2 静态口令运维管理安全基线编号SBL- Switch- H3C-02-02安全基线名称静态口令运维管理安全基线要求项安全基线要求1)采用静态口令认证技术的设备,口令最小长度不少于8个字符2)采用静态口令认证技术的设备,口令生存期最长为90天基线配置项重要度高中低7.3 认证管理7.3.1 RADIUS认证(可选)安全基线编号SBL- Switch- H3C-03-01安全基线名称RADIUS认证安全基线要求项安全基线要求配置RADIUS认证,确认远程用户身份,判断访问者是否为合法的网络用户检测操作参考1)[Switch]dis current | b radius scheme 2)[Switch]dis current | b domain3)[Switch]dis current | b user-interface vty安全判定依据如果显示类似:1)配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2)配置域domainauthentication login radius-scheme local 3)配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.4 日志审计7.4.1 RADIUS记账(可选)

安全基线编号SBL- Switch- H3C-04-01安全基线名称RADIUS记账安全基线要求项安全基线要求与记账服务器配合,设备配置日志功能:1)对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址;2)对用户设备操作进行记录,如账号创建、删除和权限修改,口令修改等,记录需要包含用户账号,操作时间,操作内容以及操作结果。检测操作参考1)[Switch]dis current | b radius scheme2)[Switch]dis current | b domain安全判定依据如果显示类似:1)配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2)配置域domainaccounting login radius-scheme local 表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.4.2 启用信息中心安全基线编号SBL- Switch- H3C-04-02安全基线名称信息中心启用安全基线要求项安全基线要求启用信息中心,记录与设备相关的事件检测操作参考[Switch]dis info-center安全判定依据如果显示类似:Information Center: enabled 表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.4.3 远程日志功能安全基线编号SBL- Switch- H3C-04-03安全基线名称远程日志功能安全基线要求项安全基线要求配置远程日志功能,使设备日志能通过远程日志功能传输到日志服务器检测操作参考[Switch]dis current | i info-center loghost安全判定依据如果显示类似:info-center loghost 表明符合安全要求。

5

百度文库VIP限时优惠现在开通,立享6亿+VIP内容

立即获取

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线(Version 1.0)

2012年12月

1 引言 (1)

2 适用范围 (1)

3 缩略语 (1)

4 安全基线要求项命名规则 (2)

5 文档使用说明 (2)

6 注意事项 (3)

7 安全配置要求 (3)

centos7 服务器基本的安全设置步骤

关闭ping扫描,虽然没什么卵用

先切换到root

echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all

1代表关闭

0代表开启

用iptables

iptables -I INPUT -p icmp -j DROP

简单介绍下基本的 dedecms _aq/' target='_blank'安全设置

一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root

这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限

以下是具体做法(需要在root下)

添加普通用户

useradd xxx

设置密码

passwd xxx

这样就创建好了一个普通用户

禁止root登录

vi /etc/ssh/sshd_config

PermitRootLogin no

Systemctl restart sshd

这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换

二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度

以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口

step1 修改/etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#Port 22 //这行去掉#号

Port 51866 //下面添加这一行

为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器

step2 修改SELinux

安装semanage

$ yum provides semanage

$ yum -y install policycoreutils-python

使用以下命令查看当前SElinux 允许的ssh端口:

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注:操作不成功,可以参考:

失败了话应该是selinux没有打开

然后确认一下是否添加进去

semanage port -l | grep ssh

如果成功会输出

ssh_port_t tcp 51866, 22

step3 重启ssh

systemctl restart sshd.service

查看下ssh是否监听51866端口

netstat -tuln

Step4 防火墙开放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口

vi /etc/ssh/sshd_config

删除22端口 wq

systemctl restart sshd.service

同时防火墙也关闭22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)

三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)

其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。

四、使用云锁(不详细介绍)

参考自

总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。

第三第四其中都有稍微提到一点,感兴趣可以看看

Windows 服务器安全设置的方法教程

阿江的Windows 2000服务器安全设置教程

前言

其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。

本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。

基本的服务器安全设置

安装补丁

安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。

不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享

都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。

权限设置

阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。

权限设置的原理

WINDOWS用户,在WINNT系统中大多数时候把权限按用户(组)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户所具有的权限。

权限设置的思路

要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。

这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。

我的设置方法

我是先创建一个用户组,以后所有的站点的用户都建在这个组里,然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和组,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。

改名或卸载不安全组件

不安全组件不惊人

我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。

其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的`那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码(两个文件我合到一起了):

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。

防止列出用户组和系统进程

我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:

【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。

防止Serv-U权限提升

其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。

作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。


当前文章:服务器安全基线配置脚本 服务器安全基线检查
转载来源:http://myzitong.com/article/ddooeci.html