安全基线
1、网络安全基线
采用白名单制做好网络层面的ACL,只对外网开放必需的端口(如80或443等);
同一网段的服务器要与其他服务器划分在不同的Vlan中,防止被ARP欺骗;
生产环境网络必须与办公网络隔离;
只允许出口IP和堡垒机连接服务器的管理端口
2、服务器安全基线
2.1 Linux服务器安全基线
操作系统最小化安装,只安装业务所必需的服务;
服务器禁止使用弱口令,禁止所有服务器使用相同的密码;
使用iptables做好服务器层面的ACL,只允许出口IP连接ssh,对外网开放必需的端口(80或443等);
禁止允许root用户直接登录SSH,安全加固方法:PermitRootLogin no
StrictModes yes
使用SSH协议版本2,安全加固方法为:Protocol 2,1 修改为 Protocol 2
Mysql、Redis、Memcache、Mongodb等应用程序只允许监听在内网网卡上。
2.2 Windows服务器安全基线
使用正版、干净的安装盘安装操作系统;
设置强壮的口令,禁止所有服务器使用相同的密码;
配置IPSEC,只允许出口IP访问远程桌面,对外网开放必需的端口(80或443等);
正式上线前确保打全了所有补丁,设置可以自动安装补丁但不自动重启;
安装一款杀毒程序并可以自动更新病毒库;
禁止安装与业务无关的第三方软件。
3、WEB服务器安全基线
3.1 Apache服务器安全基线
隐藏Apache的版本及操作系统信息,防止敏感信息,安全加固方法:ServerSignature Off
ServerTokens Prod
禁止目录枚举和禁止使用符号链接跨越DocumentRoot,安全加固方法:Options -Indexes –FollowSymLinks
禁止用户使用.htaccess文件覆盖Options配置项,安全加固方法:AllowOverride None
禁止访问站点目录之外的文件,安全加固方法:
Order Deny, Allow
deny from all
禁用不需要的模块,保持最小化原则,安全加固方法为注释掉以下一些不需要的模块: mod_imap, mod_include, mod_info, mod_userdir, mod_autoindex等
禁止Apache以直接以Root用户运行,应为apache创建独立的运行账户,如www:User www
Group www
为管理后台等重要目录设定ACL,安全加固方法如下:
Order Deny,Allow
Deny from all
Allow from 出口IP
去除用户上传目录的脚本执行权限,防止攻击者写入webshell,安全加固方法:
Deny from all
禁止访问.git、.git目录及.sql格式的文件,防止源码或数据库SQL文件泄漏,安全加固方法:
Deny from all
3.1 Nginx服务器安全基线
防止操作系统和Nginx版本泄漏,安全加固方法: server_tokens off;
修改Nginx的Banner信息,修改方法为将 src/http/ngx_http_header_filter_module.c文件中的以下2行:static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF; 修改为:static char ngx_http_server_string[] = "Server: Xiaomi Web Server" CRLF;
static char ngx_http_server_full_string[] = "Server: Xiaomi Security Team is hiring" CRLF;
为站点的管理后台目录设定ACL,安全加固方法为:location /admin/ {
\## allow anyone in 192.168.1.1
allow 192.168.1.1;
\## drop rest of the world
deny all;
}
去除用户上传目录的脚本执行权限,防止用户写入webshell,安全加固方法为:location ~ /upload/.*\.(php|php5)?$ {
deny all;
}
禁止不必要的http方法,以下的配置只保留了GET、POST和HEAD方法:\## Only allow these request methods ##
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
禁止访问.svn/.git目录及.sql格式的文件,防止代码或数据库文件泄漏,安全加固方法:location ~ \.(/svn/|/git/|sql)?$ {
deny all;
}
3.2 PHP配置安全规范
关闭暴露php版本信息:expose_php=Off
关闭可以远程代码执行的相应参数:allow_url_fopen=Off allow_url_include=Off
禁用危险函数:disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
错误的信息处理:
display_errors=Off log_errors=On error_log=/var/log/httpd/php_scripts_error.log #便于分析
使用open_basedir限制php对文件的访问权;open_basedir="/var/www/html/;
为php创建单独的用户和用户组;
为php用户创建单独的用户和用户组,不可以直接以root用户身份执行php程序。
4、 常用的应用程序安全基线
4.1 Mysql安全基线
Mysql端口禁止监听在外网网卡上;
禁止使用弱口令并删除匿名账户;
禁止使用root用户启动mysql;
禁止除了root和mysql启动用户之外的其他用户对mysql的数据目录有读写权限;
每个mysql数据库对应一个mysql用户,禁止mysql用户可以访问与之无关的数据库;
严格遵循数据与代码分离的原则,禁止WEB服务与mysql运行于同一台服务器。
4.2. Sql server 2008安全基线
限制可以访问数据库的IP,采用白名单机制,只允许信任的IP连接;
禁止将数据库端口监听在外网网卡中;
修改日志审核策略, 将登录审核修改为“开启登录成功和失败的日志”;
禁止使用弱口令;
每个数据库一个用户,权限为PUBLIC,禁止用户可以访问其他不必需的数据库;
使用NETWORK SERVICE账户来启动数据库;
严格遵循数据与代码分离的原则,禁止数据库与WEB服务使用同一台服务器;
禁用以下高危的存储过程:xp_cmdshell
xp_delete_file
xp_regread
xp_regwrite
xp_dirtree
4.3 Oracle安全基线
禁止监听在外网网卡上;
利用iptables和oracle的监听器设置ACL,安全加固方法: tcp.validnode_checking = yes
\#允许访问的ip
tcp.invited_nodes = (ip1,ip2…)
\#不允许访问的ip
tcp.excluded_nodes=(ip1,ip2,……)
关闭不必要的服务,只保留OracleServiceORCL和OracleOraDb11g_home1TNSListener; 禁止使用弱口令,建议锁定DBSNMP和SYSMAN用户;
禁止超级管理员远程登录,安全加固方法:
在spfile中设置 REMOTE_LOGIN_PASSWORDFILE=NONE;
在sqlnet.ora中设置 SQLNET.AUTHENTICATION_SERVICES=NONE 禁用SYSDBA角色的自动登录
数据与代码分离,禁止WEB应用与数据库使用同一台服务器;
每个数据库一个用户,禁止用户可以访问其他不必需的数据库。
4.4 Redis安全基线
禁止监听在外网网卡上;
为Redis设置强壮的口令,requirepass yourpassword;
禁止以Root权限启动redis;
禁用以下危险指令:
rename-command FLUSHALL;rename-command FLUSHDB;rename-command CONFIG
4.5 Mongdb安全基线
禁止监听在外网网卡上;
为Mongodb设置强壮的口令,启动时加上--auth参数;
禁用HTTP接口,安全加固方法为:
nohttpinterface = true
禁用rest接口,该接口不支持安全认证支制,安全加固方法为:
rest = false
利用iptables设置ACL,只允许信任的IP连接。
4.6. Memcache安全基线
禁止以root权限启动;
禁止监听到外网网卡上;
利用iptables做好ACL,只允许必需的服务器连接。
4.7. Rsync安全基线
禁止以root用户权限启动;
设置允许连接的IP列表,安全加固方法:
hosts allow = X.X.X.X #允许访问的IP
设置访问口令,安全加固方法为:
secrets file = /etc/rsyncd.secrets #密码文件位置,认证文件设置,设置用户名和密码;
auth users = rsync #授权帐号,认证的用户名,如果没有这行则表明是匿名,多个用户用,分隔。
利用iptables设置ACL,只对信任的IP开放873端口,安全加固方法如下:
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT
排除.svn和.git目录,防止客户端上传后导致源码泄漏,安全加固方法:exclude = .svn/ .git/
5、 WEB应用安全规范
5.1. 认证安全
OAuth 认证安全
SSO 认证安全
5.2. 防御XSS
在html属性中的输出,使用htmlencode进行处理,不过更为保险的做法是:除了字母和数字之外,其他所有的特殊字符都编码为htmlentities;
