请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 588|回复: 4

【和巨廉一起漫谈企业信息安全运维】 -- 从OWASP Top 10的安全配置缺失说起(2)

[复制链接]
发表于 2018-3-9 13:37:11 | 显示全部楼层 |阅读模式
小伙伴们,我们接着上次的分享,一起往下看吧。

操作系统-Linux


  • 运用passwd -l锁定不必要的帐号,运用userdel命令删除不必要的帐号;查看口令为空的帐号并设置复杂密码;查看UID0的帐号,并确保只有root
  • 通过在/etc/profile中添加传说中的“umask 027”,实现新建文件仅“属主可读写,同组用户只读和执行,其他用户根本无权”的默认文件管控。
  • 编辑/etc/pam.d/common-auth文件,添加如果连续输错三次密码,则帐号锁定半小时”的策略;并编辑/etc/pam.d/su文件,限制能够suroot的用户组。
  • 通过script实现对全部用户的登录进行日志记录。
  • 关闭不必要的服务,并通过编辑/etc/ssh/sshd_config文件,对SSH使用的版本、允许的密码错误次数等进行加固。


Web服务器-Apache/IIS


  • 修改默认帐号及其密码,创建专门用于运行的用户帐号和组。
  • 严格控制主目录的访问权限,非特权管理用户不能修改或写入该目录中的内容。
  • 通过配置,跟踪包括时间和用户使用的 IP 地址等信息,来实现对运行错误和用户访问等方面的日志记录。
  • 禁止该服务访问本Web目录之外的任何文件。
  • 禁用或拒绝目录罗列的功能与浏览请求。
  • 修改设置错误页面重定向功能,并隐藏版本号及其软件相关的敏感信息。
  • 设置session的保持时间,以应对DoS攻击。
  • 删除默认安装的无用文件、文件夹和脚本。
  • 对于Apache,要禁用TRACECGI功能;禁用PUTDELETE等危险的HTTP 方法,仅允许GETPOST方法。
  • 对于IIS,禁用掉不必要的Web服务扩展(WebDAV)和应用程序扩展,限定支持的页面类型。

            如前所述,另外还有其他方面需要进行安全加固与配置,这里就不赘述了。我们的基本思路就是:做好账户(组)和例程脚本的剪裁,文件(夹)访问、端口和服务的最小化,会话连接、错误信息与日志的设置,管理后台的更改以及安全补丁与杀毒的更新。

            在根据上述流程逐步完成了系统与服务的安全配置,并且导入了相关的业务数据之后,我们就可以其进行多种、多次的漏洞扫描和渗透测试了。我们的宗旨就是要在系统的起步阶段,尽量扫清如OWASP提及的十大安全隐患。


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-3-9 14:03:15 | 显示全部楼层
linux已经好久没碰过了,当年还自学了半年都忘了,看看
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-3-9 16:08:10 | 显示全部楼层
    最近我也开始学习Linux了,这个有帮助,先mARK一下
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-3-12 08:49:06 | 显示全部楼层
小白如何入门学Linux
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-5-7 13:53:52 | 显示全部楼层
要在系统起步阶段,扫清安全隐患。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-5-27 20:03 , Processed in 0.102614 second(s), 44 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表