6.5. 加固检查¶

6.5.1. 网络设备¶

及时检查系统版本号敏感服务设置访问IP/MAC白名单开启权限分级控制关闭不必要的服务打开操作日志配置异常告警关闭ICMP回应

6.5.2. 操作系统¶

6.5.2.1. Linux¶

无用用户/用户组检查空口令帐号检查 用户密码策略 /etc/login.defs/etc/pam.d/system-auth 敏感文件权限配置 /etc/passwd/etc/shadow~/.ssh//var/log/messages/var/log/secure/var/log/maillog/var/log/cron/var/log/spooler/var/log/boot.log 日志是否打开及时安装补丁 开机自启 /etc/init.d 检查系统时钟

6.5.2.2. Windows¶

异常进程监控异常启动项监控异常服务监控配置系统日志 用户账户 设置口令有效期设置口令强度限制设置口令重试次数 安装EMET启用PowerShell日志 限制以下敏感文件的下载和执行 ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif 限制会调起wscript的后缀 bat, js, jse, vbe, vbs, wsf, wsh

6.5.3. 应用¶

6.5.3.1. FTP¶

禁止匿名登录修改Banner

6.5.3.2. SSH¶

是否禁用ROOT登录是否禁用密码连接

6.5.3.3. MySQL¶

文件写权限设置用户授权表管理日志是否启用版本是否最新

6.5.4. Web中间件¶

6.5.4.1. Apache¶

版本号隐藏版本是否最新禁用部分HTTP动词关闭Trace禁止 server-status上传文件大小限制目录权限设置是否允许路由重写是否允许列目录日志配置配置超时时间防DoS

6.5.4.2. Nginx¶

禁用部分HTTP动词禁用目录遍历检查重定向配置配置超时时间防DoS

6.5.4.3. IIS¶

版本是否最新日志配置用户口令配置ASP.NET功能配置配置超时时间防DoS

6.5.4.4. JBoss¶

jmx console配置web console配置

6.5.4.5. Tomcat¶

禁用部分HTTP动词禁止列目录禁止manager功能用户密码配置用户权限配置配置超时时间防DoS

6.5.5. 参考链接¶

awesome windows domain hardening