iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 5
0
Security

資安動手做系列 第 5

5. Server Hardening Checklist

再交付新機器時先做安全性補強,一方面也順便做資產盤點
完成出機步驟前不可連Internet及服務內網 這不用解釋大家都知道的痛...

可以直接參考
https://security.utexas.edu/os-hardening-checklist

Windows

  1. 先在隔離網路內安裝防毒、掃毒
  2. 公司等大型機關要加入AD
  3. Windows Update (WSUS)
  4. 沒必到的話關閉IPV6,設定DNS IP
  5. 確認NTP校時成功
  6. 設定密碼原則
    密碼最小長度,密碼複雜性,帳戶鎖定...
  7. 停用本機帳號
  8. 沒必要的話關閉遠端桌面及Remote registry
  9. 依使用需求設定防火牆(可利用群組分配
  10. 事件檢視器記錄檔大小依規範增加空間

Linux 參考:CentOS 7 主机加固手册 (http://www.defvul.com/921/

  1. 先在隔離網路內安裝防毒、掃毒
  2. /root資料夾權限設定為500
  3. Update (架設 APT/YUM 伺服器 http://linux.vbird.org/linux_server/0450apt.php#theory_why_apt)
  4. 沒必到的話關閉IPV6,設定DNS IP
# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no
  1. 確認NTP校時成功
  2. 設定密碼原則 (鳥哥 http://linux.vbird.org/linux_basic/0410accountmanager.php
# vi /etc/pam.d/system-auth 
auth pam_pwquality.so  retry=3  
  1. 最後登入
# vim /etc/pam.d/system-auth 
session required pam_lastlog.so showfailed
  1. 鎖定Cron不可加排程
echo "Locking down Cron"
touch /etc/cron.allow
chmod 600 /etc/cron.allow
awk -F: '{print $1}' /etc/passwd | grep -v root > /etc/cron.deny
echo "Locking down AT"
touch /etc/at.allow
chmod 600 /etc/at.allow
awk -F: '{print $1}' /etc/passwd | grep -v root > /etc/at.deny
  1. 自動登出
echo "TMOUT=300" >> /etc/bashrc
echo "TMOUT=300" >> /etc/skel/.bashrc
  1. 關閉不常使用的Protocols
echo "install dccp /bin/false" > /etc/modprobe.d/dccp.conf
echo "install sctp /bin/false" > /etc/modprobe.d/sctp.conf
echo "install rds /bin/false" > /etc/modprobe.d/rds.conf
echo "install tipc /bin/false" > /etc/modprobe.d/tipc.conf
  1. SSH禁止使用root帳號進行登入
echo “tty1″ > /etc/securetty
chmod 700 /root
  1. 開啟iptables
sudo systemctl enable iptables
systemctl start iptables.service 
  1. 刪除及禁止非必要服務

網路上一些Script,可以拿來改 (別直接用
https://github.com/CentOS/Community-Kickstarts/blob/master/secure-kickstart.cfg
https://github.com/advertcn/server/blob/master/centos.sh

我寫完後才發現這個資料,下載下來,照著做就好...
https://www.cisecurity.org/cybersecurity-best-practices/
https://ithelp.ithome.com.tw/upload/images/20181011/20077752vnzWSvEhPj.jpg


上一篇
4. Linux Security
下一篇
8. Network Security
系列文
資安動手做13

尚未有邦友留言

立即登入留言