7.9. 加固检查

7.9.1. 网络设备

  • 及时检查系统版本号

  • 敏感服务设置访问IP/MAC白名单

  • 开启权限分级控制

  • 关闭不必要的服务

  • 打开操作日志

  • 配置异常告警

  • 关闭ICMP回应

7.9.2. 操作系统

7.9.2.1. Linux

  • 无用用户/用户组检查

  • 空口令帐号检查

  • 用户密码策略
    • /etc/login.defs

    • /etc/pam.d/system-auth

  • 敏感文件权限配置
    • /etc/passwd

    • /etc/shadow

    • ~/.ssh/

    • /var/log/messages

    • /var/log/secure

    • /var/log/maillog

    • /var/log/cron

    • /var/log/spooler

    • /var/log/boot.log

  • 日志是否打开

  • 及时安装补丁

  • 开机自启
    • /etc/init.d

  • 检查系统时钟

7.9.2.2. Windows

  • 异常进程监控

  • 异常启动项监控

  • 异常服务监控

  • 配置系统日志

  • 用户账户
    • 设置口令有效期

    • 设置口令强度限制

    • 设置口令重试次数

  • 安装EMET

  • 启用PowerShell日志

  • 限制以下敏感文件的下载和执行
    • ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif

  • 限制会调起wscript的后缀
    • bat, js, jse, vbe, vbs, wsf, wsh

    • 限制将计算机加入域的权限

    • 域账户使用最小权限原则

    • 减少非必要高权限账户的数量

7.9.3. 应用

7.9.3.1. FTP

  • 禁止匿名登录

  • 修改Banner

7.9.3.2. SSH

  • 是否禁用ROOT登录

  • 是否禁用密码连接

7.9.3.3. MySQL

  • 文件写权限设置

  • 用户授权表管理

  • 日志是否启用

  • 版本是否最新

7.9.4. Web中间件

7.9.4.1. Apache

  • 版本号隐藏

  • 版本是否最新

  • 禁用部分HTTP动词

  • 关闭Trace

  • 禁止 server-status

  • 上传文件大小限制

  • 目录权限设置

  • 是否允许路由重写

  • 是否允许列目录

  • 日志配置

  • 配置超时时间防DoS

  • 非属主用户文件读写限制
    • httpd.conf

    • access.log

    • error.log

7.9.4.2. Nginx

  • 禁用部分HTTP动词

  • 禁用目录遍历

  • 检查重定向配置

  • 配置超时时间防DoS

7.9.4.3. IIS

  • 版本是否最新

  • 日志配置

  • 用户口令配置

  • ASP.NET功能配置

  • 配置超时时间防DoS

7.9.4.4. JBoss

  • jmx console配置

  • web console配置

7.9.4.5. Tomcat

  • 禁用部分HTTP动词

  • 禁止列目录

  • 禁止manager功能

  • 用户密码配置

  • 用户权限配置

  • 配置超时时间防DoS

7.9.5. 密码管理策略

  • 长度不少于8个字符

  • 不存在于已有字典之中

  • 不使用基于知识的认证方式