操作系统检查与加固ppt课件.pptx

操作系统检查与加固,1,3Linux操作系统,2Windows操作系统,1安全加固流程,提纲,2,安全加固流程,3,概念,加固目的从技术层面上，最大限度的做到风险可控加强记录和备份，以做到故障后可恢复和定位加固步骤先确认有什么问题，才能修复问题即，“安全加固”不是一个独立的工作,安全加固流程,5,6,Windows操作系统,7,漏洞发现与修复,我有最新的补丁程序吗?我的所有机器已经达到安全基准吗?如何修复存在漏洞的计算机？,8,发现漏洞,微软MBSA是一个“只读”工具-对被检查的机器没有任何配置或更新操作用户在每台被检查的机器上必须有本地管理员权限图形界面和命令行界面漏洞扫描工具,9,Windows主机补丁管理,补丁管理注意事项漏洞管理工具结合MBSA补丁的分类：IE补丁、WM补丁、ODBC补丁、DivX补丁、.NET补丁扩展的补丁：Flashplayer、JavaVM自动化的安装措施：SMS2003管理WSUS3.0（WSUS_Sp1）Microsoft(Office、Windows)Update手工安装按严重程度推荐安装按照KB编号搜索、下载并安装,微软基准安全分析器MBSA,MBSA：明确了主机至少要达到的安全标准哪些安全更新没有被应用检查常见安全误设置和漏装补丁,服务包WindowsInternetInformationServerMSSQLServer桌面应用程序InternetExplorerOffice生成安全报表系统总得分每一项安全检查通过或失败得分针对发现的安全性漏洞,提出详细解释和修补动作,修复漏洞WSUS,WSUS服务器,WindowsUpdate,WSUS服务器,Internet,服务器,客户端计算机,12,下载SecurityUpdateInventory服务端派送Scan元件,用户端返回结果,生成报表管理者下载补丁,更新用户端,SMS,防火牆,SMS派送点,SMS用戶端,SMS用戶端,SMS派送点,SMS用戶端,Microsoftupdate,SMS服务器,13,14,Windows主机默认设置,常见默认设置安装目录：Windows2000的%system%winntIIS的默认目录Log的默认目录(%WinDir%System32LogFiles和%WinDir%system32config)C$、D$Ipc$：远程会话管理Admin$：指向%WinDir%目录，用于远程管理改动默认TTL值,认证,加固要点密码策略密码长度密码复杂性密码使用期限慎用锁定阀值如AD中前台错误一次=后台错误2次（一次kerberos+一次NTLM）,用户,用户和组特殊的组Administrators、Guests、PowerUsers可通过netlocalgroup命令打印特殊的用户Administrator、Guest可通过netuser命令打印隐藏帐号netuserhide$password/add,用户,SID唯一标识符基于SID而非用户名AdministratorS-1-5-1719705743-500GuestS-1-5-21-1719705743-501SID和权限权限附着在对象之上，通过SID判断权限（单系统上狭隘的理解）,用户,SID,用户,加固要点检查用户克隆隐藏清除用户未使用的未知的锁定用户GuestSUPPORT_XXXXX,帐号管理,帐号管理密码策略账户锁定策略SAM保护以LC5审核账户口令健壮度Syskey保护SAM检查克隆账户（CCA）记录信息：Recent、IE收藏夹、Cookie、用户配置文件获知新用户存在控制运行权限（UAC）,文件系统,Windows文件系统FATFAT16FAT32NTFS,文件系统,权限前提NTFSAdministrators,文件系统,权限ACL（访问控制列表）包含了用户帐户和访问对象之间许可关系,由四个权限项组成的权限项集（即，ACL）,文件系统,权限ACE（访问控制项）ACL中包含ACE访问控制条目,文件系统,加密和压缩,文件系统,查找加密文件，备份证书命令：cipher,文件系统,审核了解Windows审核策略审核策略并不完整很多审核内容默认未开启需要NTFS步骤打开审核策略编辑审核对象的审核项,文件系统,审核打开审核策略要做什么审核？要审核什么？位置：gpedit.msc计算机配置Windows设置安全设置审核设置,1,2,文件系统,审核编辑审核对象的审核项,1,2,3,文件系统,审核查看审核日志eventvwr（事件查看器）,文件系统,加固要点目录及文件的权限查找具有everyone的权限项重要对象的审核策略证书备份,echooffdir/s/ball.txtfor/f%iin(all.txt)docacls%i|findEveryone,文件系统管理,文件系统管理部分可执行文件管理数字签名校验Sigverif.exeFC（MD5）比较文件隐藏文件文件时间戳二进制文件中可打印字符查找（strings）,服务与进程,服务Services.mscHKLMSYSTEMCurrentControlSetServices进程,常见进程,通过tasklist/svc查看进程列表,35,服务与进程,进程与端口,服务与进程,特殊的服务需要修改配置的服务，如：SNMP修改SNMP的字符串为什么要修改SNMP的字符串？它会泄露什么？snmputilwalk0public.1.3.6.,服务与进程,修改SNMP字符串限制访问2003上默认策略只允许localhost默认团体名-NULL,服务与进程,加固要点检查服务、进程、端口是否正常关闭不必要的服务修改相关服务的配置,其他,注册表regeditregedt32XP以后，2合1编辑功能编辑和权限修改功能权限与审核,VS,1,2,3,其他,一些可能有用的策略登录脚本/关机脚本限制远程用户访问,其他,一些可能有用的策略限制部分移动设备的使用LANManager身份验证级别2k以后的系统之间共享或访问AD，可调整为NTLMv2SAM帐号匿名枚举共享的枚举可匿名访问的共享/命名管道远程访问注册表的路径,Unix操作系统,43,启动安全,BIOS安全BIOS启动密码Grub安全grub命令行启动单用户模式,认证,认证用户名长度：18位（老）唯一性认证长度（版本问题）复杂性一次性密码证书PAMSun开发，linux实现较广泛,认证,密码/etc/passwdnobody:x:99:99:Nobody:/:/sbin/nologin用户名:密码:UID:GID:全名:主目录:shell/etc/shadowroot:$1$ldYmgH8A$UWj6aj4a3Gn4KsrxWo0:13661:0:99999:7:Salt（4096种）,认证,PAM/etc/pam.d/etc/pam.d/sshd:authincludesystem-authaccountrequiredpam_nologin.soaccountincludesystem-authpasswordincludesystem-authsessionoptionalpam_keyinit.soforcerevokesessionincludesystem-authsessionrequiredpam_loginuid.so,认证,加固要点密码长度及强度（注意版本）修改用户shell，禁用不登录的shell使用证书（如：ssh）密码策略/etc/default/passwd(linux)/etc/login.defs(sun),用户,用户/home/usernameUID/etc/groupUID=0任何帐号均可成为root,用户,suvi/etc/sudoers)Log:/var/log/secure,用户,加固要点检查用户UIDchattr+i/etc/passwd;chattr+i/etc/shadowchflagesschg/etc/passwd;chflagesschg/etc/master.passwd确保su及sudo日志启用检查sudoers，确认可使用的命令,文件系统,文件权限lslrootRHEL5home#ls-ltotal44drwxr-xr-x2rootroot4096Jul2605:24apue-rw-r-r-1rootroot16069Jun3009:17cpro.tar.gzchmodchmodu+xfilechmod744file,文件系统,ACL比rwx方式更为细致的访问限制P1003.1eSolaris,FreeBSDmountasaclssetfaclmu:username:rwx/home/filegetfacl/home/file,文件系统,umaskrootRHEL5home#umask0022rootRHEL5home#touchfile1rootRHEL5home#ls-lfile1-rw-r-r-1rootroot0Jul2607:17file1(644)rootRHEL5home#umask0066rootRHEL5home#touchfile2rootRHEL5home#ls-lfile2-rw-1rootroot0Jul2607:18file2(600)rootRHEL5home#umask0rootRHEL5home#umask0000rootRHEL5home#touchfile3rootRHEL5home#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666),文件系统,SUID/usr/bin/passwd以所有者执行程序不要随意为程序设置SUID位,文件系统,加固要点配置或启动文件是否存在666甚至更高的权限find/-perm-006注：find/-perm-006不同于find/-perm006检查设置了SUID的文件find/bin-perm-4000,系统服务,守护进程与服务的区别守护进程进程的一种特殊状态不绑定至任何Terminal父进程是init服务相对守护进程，“服务”的概念更为抽象为用户提供一种功能的应用可能包含一个或多个守护进程例服务名：SSHServer进程名：sshd,系统服务,inetd一些轻量级的服务，由inetd集中处理已不能满足现状#inetd.confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal,系统服务,加固要点服务进程端口ipfwTCPWrapperlibwrap;configure-with-libwrap=libwrap_pathhosts.allow;hosts.deny停止不必要的inetd服务停止不必要的服务/etc/rc3.d/S88xxxstopmv/etc/rc3.d/S88xxx/etc/rc3.d/K88xxx,其他,补丁检查authpriv.inf变量，启动项$PATH/profile;/.bash_profile/etc/init.d/;rc.xxx为必要的文件添加属性（flag）chattr(or,chflags),其他,限制rootsshd_config:PermitRootLogin备份（定位、修复）md5sum值/etc/passwd;/etc/shadow;重要的配置文件,Solaris安全性分析,商用操作系统支持多种系统架构（SPARC、x86、x64）开源+闭源Solaris=SunOS+图形化的桌面计算环境,+网络增强部分截至今天，的漏洞库中共记录Solaris漏洞617条大部分均为本地溢出和本地拒绝服务（387条）很多都与setuid设置有关例：2007-06-29SunSolarisdtsession本地缓冲区溢出漏洞,Solaris主机信息收集,系统信息网络设置：ifconfiga路由表：netstatnr开放端口：netstatna|grepLISTEN进程列表（分层打开）：psef（/usr/proc/bin/ptree）（有效）进程身份：/usr/proc/bin/pcredPID进程打开文件：/usr/proc/bin/pfilesPID链接至进程的动态链接库：/usr/proc/bin/plddPID地址空间映射表：/usr/proc/bin/pmapPIDCPU占用时间：/usr/proc/bin/ptime进程工作目录：/usr/proc/bin/pwdxPID系统信息：unamea,Solaris主机信息收集（Cont）,补丁安装信息帐号信息登录权限检查：Cat/etc/passwdPassword设置参数检查：Cat/etc/default/passwdRoot远程登录检查：Cat/etc/default/login|grepCONSOLERoot登录请求检查：Cat/etc/default/login|grepSYSLOG登录会话时间：Cat/etc/default/login|grepTIMEOUT,Solaris主机信息收集（Cont）,文件系统SUID（SGID）find/-typef(-perm4000（2000）)|xargslsacorecat/etc/system|grepcoredumpsize堆栈错误设置cat/etc/system|grepnoexec_user_stackUmaskcat/etc/default/login|grepUMASK.rhostcat/.rhosts,Solaris主机加固流程,Solaris补丁管理显示系统补丁：Showrevp管理补丁：Patchadd、PatchrmPoint补丁和Cluster补丁Patchfinder(patchID)Patchreport,竞争条件：当由于事件次序异常而造成对同一资源的竞争，从而导致程序无法正常运行时，就会出现“竞争条件”。（资源共享导致）,典型目录：/tmp和/var/tmp,Solaris主机加固流程（Cont）,口令策略修改相关文件/etc/passwd/etc/shadow/etc/default/passwd/etc/default/login/usr/sadm/defadduser超级用户的PATH（在/.profile中定义的）设置为：PATH=/usr/bin:/sbin:/usr/sbin,Solaris主机加固流程（Cont）,服务加固/etc/inetd.conf所有的R服务所有的TCP/UDP小服务所有的调试服务几乎所有的RPC服务FTP/etc/default/ftpd：banner、umask/etc/ftpusers：被禁用的账户Telnet/etc/default/telnetd：banner建议使用ssh替代,Solaris主机加固流程（Cont）,suid文件典型文件：passwd，su利用find/-typef(-perm4000)|xargslsla查找（chmods修改）core文件修改/etc/system中setsys:coredumpsize=0/tmp粘滞位设置查找含”.”Path防止trojanecho$PATH|grep:.,功能：Solaris内核提供的临时性的针对TCP/IP栈的控制参数格式ndd/dev/Driver选项：ARP,IP,TCP,UDP帮助ndd/dev/?设置ndd-set/dev/,Ndd使用,启动网络参数,/etc/init.d/inetinitndd-set/dev/tcptcp_conn_req_max_q010240ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_ire_flush_interval60000ndd-set/dev/arparp_cleanup_interval60ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_forwarding0(或/etc/notrouter)ndd-set/dev/ipip_strict_dst_multihoming1,减少过期时间#nddset/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000静态ARParpffilename禁止ARPifconfiginterfacearp,ARP攻击防止,关闭ip转发nddset/dev/ipip_forwarding0转发直接广播包由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性。(参见cert-98.01)#nddset/dev/ipip-forward_directed_broadcasts0源路由转发，所以我们必须手动关闭它nddset/dev/ipip_forward_src_routed0,IP优化,关闭对echo广播的响应nddset/dev/ipip_respond_to_echo_boadcast0关闭对时间戳广播的响应#nddset/dev/ipip_respond_to_timestamp_broadcast0关闭对地址掩码广播的响应#nddset/dev/ipip_respind_to_address_mask_broadcast0,ICMP优化,SynfloodSynflood检测netstat-an-finet|grepSYN_RCVD|wclnetstat-s-Ptcp中的tcpTimRetransDrop和tcpListenDrop参数ndd-set/dev/tcptcp_ip_abort_cinterval60000默认值是180000（ms）nddset/dev/tcptcp_conn_req_max_q04096默认值是1024连接耗尽攻击nddset/dev/tcptcp_conn_req_max_q1024默认值是128,TCP优化,AIX安全性分析,商用操作系统拥有UNIX家族里最好的可管理性伴随着高可用性而来的就是较低的安全性截至今天，的漏洞库中共记录AIX漏洞292条大部分均为本地溢出很多都与setuid设置有关可尝试“IBMAIXInventoryScout本地任意文件覆盖漏洞”,AIX安全性文件介绍,/etc/passwd（/etc/group）包含合法用户（组）（不含口令）/etc/security/passwd/etc/security/group包含用户口令（组属性）/etc/security/user包含用户属性、口令约束等/etc/security/limits包含用户使用资源限制/etc/security/environ包含用户环境设置/etc/security/llogin.cfg包含登录设置,AIX加固流程,AIX补丁管理smittyupdate_all口令策略修改/etc/passwd/etc/security/user网络与服务加固注释/etc/inetd.conf里面的不需要服务（RPC，telnet，ftpd，CDEdtspcd）AIX不建议安装CDE软件包（/etc/rd.dt）必要的文件清空及权限修改,AIX文件系统加固,suid文件典型文件：passwd，su利用find/-typef(-perm4000)|xargslsla查找（chmods修改）IBMAIX下有多个已确认利用setuid本地溢出的漏洞/usr/bin/se