iT邦幫忙

2019 iT 邦幫忙鐵人賽
DAY 5
0
Security

資安動手做系列 第 5

5. Server Hardening Checklist

2019鐵人賽
9976 瀏覽

再交付新機器時先做安全性補強,一方面也順便做資產盤點
完成出機步驟前不可連Internet及服務內網 這不用解釋大家都知道的痛...

可以直接參考
https://security.utexas.edu/os-hardening-checklist

Windows

  1. 先在隔離網路內安裝防毒、掃毒
  2. 公司等大型機關要加入AD
  3. Windows Update (WSUS)
  4. 沒必到的話關閉IPV6,設定DNS IP
  5. 確認NTP校時成功
  6. 設定密碼原則
    密碼最小長度,密碼複雜性,帳戶鎖定...
  7. 停用本機帳號
  8. 沒必要的話關閉遠端桌面及Remote registry
  9. 依使用需求設定防火牆(可利用群組分配
  10. 事件檢視器記錄檔大小依規範增加空間

Linux 參考:CentOS 7 主机加固手册 (http://www.defvul.com/921/

  1. 先在隔離網路內安裝防毒、掃毒
  2. /root資料夾權限設定為500
  3. Update (架設 APT/YUM 伺服器 http://linux.vbird.org/linux_server/0450apt.php#theory_why_apt)
  4. 沒必到的話關閉IPV6,設定DNS IP
# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no
  1. 確認NTP校時成功
  2. 設定密碼原則 (鳥哥 http://linux.vbird.org/linux_basic/0410accountmanager.php 
# vi /etc/pam.d/system-auth 
auth pam_pwquality.so  retry=3
  1. 最後登入
# vim /etc/pam.d/system-auth 
session required pam_lastlog.so showfailed
  1. 鎖定Cron不可加排程
echo "Locking down Cron"
touch /etc/cron.allow
chmod 600 /etc/cron.allow
awk -F: '{print $1}' /etc/passwd | grep -v root > /etc/cron.deny
echo "Locking down AT"
touch /etc/at.allow
chmod 600 /etc/at.allow
awk -F: '{print $1}' /etc/passwd | grep -v root > /etc/at.deny
  1. 自動登出
echo "TMOUT=300" >> /etc/bashrc
echo "TMOUT=300" >> /etc/skel/.bashrc
  1. 關閉不常使用的Protocols
echo "install dccp /bin/false" > /etc/modprobe.d/dccp.conf
echo "install sctp /bin/false" > /etc/modprobe.d/sctp.conf
echo "install rds /bin/false" > /etc/modprobe.d/rds.conf
echo "install tipc /bin/false" > /etc/modprobe.d/tipc.conf
  1. SSH禁止使用root帳號進行登入
echo “tty1″ > /etc/securetty
chmod 700 /root
  1. 開啟iptables
sudo systemctl enable iptables
systemctl start iptables.service
  1. 刪除及禁止非必要服務

網路上一些Script,可以拿來改 (別直接用
https://github.com/CentOS/Community-Kickstarts/blob/master/secure-kickstart.cfg
https://github.com/advertcn/server/blob/master/centos.sh

我寫完後才發現這個資料,下載下來,照著做就好...
https://www.cisecurity.org/cybersecurity-best-practices/
https://ithelp.ithome.com.tw/upload/images/20181011/20077752vnzWSvEhPj.jpg


上一篇
4. Linux Security
下一篇
6. Network Security-Switch-MAC Control
系列文
資安動手做34
  1. 30
    滲透測試4
  2. 31
    軟體開發安全
  3. 32
    Security Onion -Alienvault
  4. 33
    IOT Security-Burpsuite
  5. 34
    存取控制
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙