服務器和網(wǎng)站安全加固技術規(guī)范

服務器和網(wǎng)站安全加固技術規(guī)范安全加固原理服務器安全加固是針對服務器系統(tǒng)（包含運行在主機上的各種軟件系統(tǒng)）的脆弱性進行分析并修補。另外，安全加固同時包括了對主機系統(tǒng)的身份鑒別與認證、訪問控制和審計跟蹤策略的增強。安全加固的目標安全加固的主要目標包括以下兩點：對系統(tǒng)性能進行優(yōu)化配置，杜絕系統(tǒng)配置不當而出現(xiàn)的弱點；解決目標系統(tǒng)在安全評估中發(fā)現(xiàn)的技術性安全問題。在修補加固完全成后，所有被加固的目標系統(tǒng)不應存在高風險漏洞和中風險漏洞（高風險漏洞和中風險漏洞，根據(jù)CVE：CommonVulnerabilities&Exposures公共漏洞和暴露標準定義）。如果對相關的漏洞修補加固與現(xiàn)有應用沖突或會導致不良后果應另行處理。安全加固的原則安全加固的基本原則如下：安全加固內容不能影響目標系統(tǒng)所承載的業(yè)務運行；安全加固不能嚴重影響目標系統(tǒng)的自身性能；加固操作不能影響與目標系統(tǒng)以及與之相連的其它系統(tǒng)的安全性，也不能造成性能的明顯下降。操作系統(tǒng)安全加固Windows（2003Server）系統(tǒng)安全加固項目分項加固目的加固內容和方法基本安裝和設置服務器配置基本要求保證系統(tǒng)基本安全性和易于維護1、正確劃分文件系統(tǒng)格式，確保所有磁盤分區(qū)為NTFS分區(qū)。2、C盤安裝操作系統(tǒng)，D盤安裝常用軟件及存放用戶網(wǎng)站目錄文件。服務器軟件安裝要求提供最小化的功能，減少可能的漏洞。安裝必備的防護軟件，防病毒軟件應安裝學校統(tǒng)一購買的網(wǎng)絡版瑞星。與服務運行和管理維護無關的服務軟件、工具軟件、應用軟件都不能安裝。補丁安裝使系統(tǒng)升級到最新版本將Windows自動更新更改為使用校內WSUS服務器： 服務器地址：80：8530更新命令：wuauclt/detectnow帳號設置帳號密碼策略修改保障帳號以及密碼的安全在“管理工具”—“本地安全設置”—“帳戶策略”中按如下要求進行設置：密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號鎖定計數(shù)器30分鐘帳戶鎖定時間30分鐘帳戶鎖定閥值3次限制Guest用戶權限避免Guest帳號被黑客激活作為后門禁用Guest用戶。在“管理工具”—“本地安全設置”—“本地策略”—“用戶權利指派”，“拒絕從網(wǎng)絡訪問這臺計算機”中加入Guest用戶，禁止Guest帳號本地登錄和網(wǎng)絡登錄的權限。服務停止不需要服務避免未知漏洞給主機帶來的風險“服務管理”中將下述服務停止，并將啟動類型設置為手動：ComputerBrowser服務Alerter服務Messenger服務ComputerBrowser：維護網(wǎng)絡上計算機的最新列表以及提供這個列表RoutingandRemoteAccess：在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務RemoteRegistryService：允許遠程注冊表操作PrintSpooler：將文件加載到內存中以便以后打印DHCPClient：DHCP客戶端DistributedLinkTrackingClient：當文件在網(wǎng)絡域的NTFS卷中移動時發(fā)送通知ErrorReportingService：收集、存儲和向Microsoft報告異常應用程序Messenger：傳輸客戶端和服務器之間的NETSEND和警報器服務消息Telnet：允許遠程用戶登錄到此計算機并運行程序HelpandSupport：啟用在此計算機上運行幫助和支持中心。如果停止服務，幫助和支持中心將不可用。如果禁用服務，任何直接依賴于此服務的服務將無法啟動。WirelessConfiguration：啟用IEEE802.11適配器的自動配置。如果此服務停止，自動配置將不可用。如果此服務被禁用，所有明確依賴它的服務都將不能啟動。系統(tǒng)文件限制特定執(zhí)行文件的權限對特定文件權限進行限制，防止被黑客使用禁止用戶組訪問以下文件，僅限administrators、system用戶組訪問這些文件：xcopy.exe，wscript.exe，cscript.exe，net.exe，arp.exe，edlin.exe，ping.exe，route.exe，posix.exe，Rsh.exe，atsvc.exe，Copy.exe，cacls.exe，ipconfig.exe，rcp.exe，cmd.exe，debug.exe，regedt32.exe，regedit.exe，，telnet.exe，F(xiàn)inger.exe，Nslookup.exe，Rexec.exe，ftp.exe，at.exe，runonce.exe，nbtstat.exe，Tracert.exe，netstat.exe日志設置審核策略對系統(tǒng)事件進行審核，在日后出現(xiàn)故障時用于排查故障。在“管理工具”—“本地安全設置”—“本地策略”—“審核策略”中按如下要求進行設置：審核策略更改成功審核登錄事件成功審核對象訪問成功,失敗審核過程追蹤成功審核特權使用成功審核系統(tǒng)事件成功,失敗審核帳戶登錄事件成功,失敗審核帳戶管理成功,失敗調整事件日志的大小、覆蓋策略增大日志大小，避免由于日志文件容量過小導致日志記錄不全在“計算機管理”—“事件查看器”—“屬性”中修改下述值：大小覆蓋方式應用日志16382K覆蓋早于90天的事件安全日志16384K覆蓋早于90天的事件系統(tǒng)日志16384K覆蓋早于90天的事件16382K為參考值如果不夠存儲90天的事件日志可根據(jù)具體情況增加。注冊表禁止匿名用戶連接可以禁止匿名用戶列舉主機上所有用戶、組、共享資源將:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的值由“0”改為“禁止C$、D$等默認共享關閉默認的盤符共享將該值修改為“0”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer，REG_DWORD值為0修改數(shù)據(jù)包的生存時間(ttl)值可以通過修改此值來實現(xiàn)對外隱藏主機的類型和信息將該值修改為(0-255十進制)HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parametersDefaultttl，REG_DWORD值改為0-0xff，默認值128各類系統(tǒng)的TTL值：LINUX64、WIN2K/NT128、WINDOWS系列32、UNIX系列255防止syn洪水攻擊可以通過修改此值來實現(xiàn)對syn的防止HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters，synattackprotect，REG_DWORD值改為0x2，默認值為0x0禁止響應icmp路由通告報文可以通過修改此值來實現(xiàn)防止tcmp攻擊將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改為0(0為禁止響應ICMP路由通告報文，2為允許響應ICMP路由通告報文)HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\interface，performrouterdiscoveryREG_DWORD值改為0x0(默認值為0x2)防止icmp重定向報文的攻擊可以通過修改此值來實現(xiàn)防止tcmp攻擊將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0(0為禁止ICMP的重定向報文)即可HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters，enableicmpredirects，REG_DWORD值改為0x0(默認值為0x1)修改遠程桌面3389默認端口可以通過修改此值來提升服務器的安全性HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp，將PortNumber改為1024（十進制）。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，修改的端口號和上面修改的一樣。設置arp緩存老化時間設置可以通過修改此值來提升服務器的安全性HKEY_LOCAL_MACHINE\system\currentcontrolset\services:\tcpip\parameters，arpcachelife，REG_DWORD值改為0-0xffffffff(秒數(shù),默認值為120秒)arpcacheminreferencedlife，REG_DWORD值改為0-0xffffffff(秒數(shù),默認值為600)網(wǎng)絡協(xié)議解除NetBios與TCP/IP協(xié)議的綁定，并禁用NetBios協(xié)議禁用NetBios協(xié)議，提升安全性控制面版——網(wǎng)絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS防火墻設置啟用系統(tǒng)自帶防火墻提升網(wǎng)絡、主機安全性啟用系統(tǒng)自帶防火墻，根據(jù)服務類型打開必要的端口和服務范圍：網(wǎng)站（web）服務器：80端口SQLServer服務器：1433端口，只限定服務器IP段，只為本機專用的SQLServer不開此端口FTP服務：21端口，只限定校內IP遠程桌面：將默認端口改為1024，只限定網(wǎng)絡中心辦公用IP段Linux（RedHatAS）操作系統(tǒng)安全加固項目分項加固目的加固內容和方法基本安裝和設置服務器配置基本要求保證系統(tǒng)基本安全性和易于維護磁盤/boot目錄不少于100M使用ext3分區(qū)格式安裝使用最小化安裝服務器軟件安裝要求提供最小化的功能，減少可能的漏洞。與服務運行和管理維護無關的服務軟件、工具軟件、應用軟件都不能安裝。系統(tǒng)補丁安裝選擇性升級，保證升級的可用的性使用yumlistupdates察看可用升級使用yumupdatepage

升級page包帳號策略帳號密碼策略修改保障帳號以及口令的安全刪除不使用的帳號密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號自動注銷15分鐘打開/etc/login.defs文件PASS_MAX_DAYS

90

注：用戶的密碼不過期最多的天數(shù)；

PASS_MIN_DAYS

30

注：密碼修改之間最小的天數(shù)；

PASS_MIN_LEN

7

注：密碼最小長度；

帳號自動注銷打開etc/profile在文件最后添加如下語句：

TMOUT=900

exportTOMOUT指定特定用戶使用su限制用戶使用root權限編輯/etc/pam.d/su文件，增加如下兩行：

authsufficient/lib/security/pam_rootok.sodebug

authrequired/lib/security/pam_wheel.sogroup=wheel服務加固優(yōu)化關閉不需要的系統(tǒng)服務避免未知漏洞給主機帶來的風險執(zhí)行ntsysv禁用除syslog、sshd、network、crond、iptables、xinetd和應用所需服務之外的所有服務。文件系統(tǒng)加固限制特定文件的權限限制非root權限用戶讀取文件內容使用root權限執(zhí)行下列命令chattr+i/etc/passwd

chattr+i/etc/shadow

chattr+i/etc/group

chattr+i/etc/gshadow

chmod-R700/etc/rc.d/init.d/*chmod600/etc/inetd.conf日志備份備份日志對系統(tǒng)事件進行審核，在日后出現(xiàn)故障時用于排查故障。定期備份日志包含/var/log內的所有日志遠程訪問限制Ssh訪問限制限制root用戶直接登錄、限制ip地址限制root直接遠程ssh登錄或限制登錄IP地址：限制root直接遠程ssh登錄修改/etc/ssh/sshd_configPermitRootLoginno，限制登錄IP地址修改/etc/hosts.allow文件，添加維護IP地址，如：Sshd：/同時修改/etc/hosts.deny文件，添加：sshd:any@any防火墻設置啟用系統(tǒng)自帶防火墻iptables提升網(wǎng)絡、主機安全性啟用系統(tǒng)自帶防火墻，根據(jù)服務類型打開必要的端口和服務范圍：Ssh:22開啟需要對外提供服務的端口原則：在不影響正常使用的情況下端口開啟最少化。其它其他方面加固：Ctrl+Alt+Delete增加優(yōu)化系統(tǒng)的安全性禁止Ctrl+Alt+Delete重新啟動系統(tǒng)修改/etc/inittab文件，將“ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行加＃號注釋掉。歷史紀錄刪除注銷時刪除命令緩沖區(qū)編輯/etc/skel/.bash_logout文件，增加如下行：rm-f$HOME/.bash_history如果只需要針對某個特定用戶，如root用戶進行設置，則可只在該用戶的主目錄下修改/$HOME/.bash_history文件，增加相同的一行即可。Web服務軟件安全加固IIS安全加固項目分項加固目的加固內容和方法網(wǎng)站安裝配置網(wǎng)站安裝保證系統(tǒng)基本安全性和易于維護網(wǎng)站禁止安裝在windows系統(tǒng)盤，一般安裝在D：盤wwwroot目錄中，網(wǎng)站主目錄采用如下約定命名：D:\wwwroot\[網(wǎng)站使用的IP地址]\[網(wǎng)站中文名稱]\[網(wǎng)站拼音簡稱]網(wǎng)站安裝后立即修改日志文件目錄，移動到D：盤或E：盤，日志目錄命名約定：D:\IIslog\[IIS自動分配的網(wǎng)站編號]在IIS中配置網(wǎng)站時，網(wǎng)站名稱應與登記信息一致，主機頭值與域名一致。網(wǎng)站基本配置提供最小執(zhí)行功能減少可能的漏洞根據(jù)需要提供最小執(zhí)行功能：（1）對純靜態(tài)網(wǎng)站，確認不要提供asp和執(zhí)行解析，在IIS主目錄權限中禁用執(zhí)行權限。（2）對動態(tài)網(wǎng)站，如果只需要支撐，則不要提供asp執(zhí)行解析；每個網(wǎng)站配置單獨的應用程序池。（3）根據(jù)網(wǎng)站程序設計，盡量不要啟用父目錄回溯支持。屏蔽網(wǎng)站錯誤信息。網(wǎng)站安裝調試正常后，禁用服務器端和客戶端腳本調試、禁止向客戶端發(fā)送詳細錯誤信息。對ASP.net還要修改wed.conf配置文件禁用.net錯誤信息。網(wǎng)站權限設置網(wǎng)站權限設置實現(xiàn)各網(wǎng)站之間、操作系統(tǒng)和網(wǎng)站之間實現(xiàn)安全隔離為每一個虛擬空間用戶創(chuàng)建隸屬于guests組的一個帳戶，帳戶名為vIUSR_[網(wǎng)站拼音簡稱]，密碼采用長度不小于10位的復雜密碼。創(chuàng)建一個webuser組，將所有的vIUSR用戶全部加入這個webuser組里面以便管理。將“D:\wwwroot”去掉權限繼承，刪除以下用戶外其它用戶和權限設置：Administrators完全控制權限(該文件夾，子文件夾及文件)system完全控制權限(該文件夾，子文件夾及文件)將“c:\programfiles\commonfiles：”、“c:\windows\system32\inetsrv”去掉權限繼承，刪除以下用戶外其他用戶和權限設置：Administrators完全控制權限(該文件夾，子文件夾及文件)system完全控制權限(該文件夾，子文件夾及文件)webuser完全控制權限(該文件夾，子文件夾及文件)將“C:”、“D:”盤用戶權限加入如下設置：Webuser全部拒絕將網(wǎng)站主目錄，即“D:\wwwroot\[網(wǎng)站使用的IP地址]\[網(wǎng)站中文名稱]\[網(wǎng)站拼音簡稱]”按照如下方式設置用戶權限：Administrators完全控制權限(繼承的，不用修改)system完全控制權限(繼承的，不用修改)vIUSR_[網(wǎng)站拼音簡稱]默認權限（讀取，運行，列目錄)對于.net網(wǎng)站需要再增加和networkservice兩個帳戶的默認權限在IIS中為每個網(wǎng)站設定相應的匿名訪問帳戶。打開IIS管理器的屬性、在屬性中的“目錄安全性”、“身份驗證和訪問控制”中設定每個網(wǎng)站對應的vIUSR_[網(wǎng)站拼音簡稱]。設置Web上傳文件目錄權限對于有web方式上傳文件功能的網(wǎng)站，要明確上傳文件存放的文件夾，賦予該網(wǎng)站的用戶vIUSR_[網(wǎng)站拼音簡稱]“寫入”和“修改權限”，尤其注意不能賦予“完全控制”和“特別權限”。在IIS的目錄權限配置中，針對該目錄要禁止腳本執(zhí)行和應用程序執(zhí)行，應用程序權限設置為“無”。數(shù)據(jù)庫文件權限設置如果網(wǎng)站只用文件數(shù)據(jù)庫，如Access，應修改數(shù)據(jù)庫文件擴展名，一般可改為.asa或.asp防止客戶端下載，對于需要修改的數(shù)據(jù)庫文件，在windows文件系統(tǒng)中賦予vIUSR_[網(wǎng)站拼音簡稱]用戶“寫入”和“修改權限”。模塊設置限制服務模塊的使用保證IIS環(huán)境的安全安裝IIS安全插件URLscan開啟C:\WINDOWS\system32\inetsrv\urlscan打開urlscan.ini在[DenyExtensions]下增加.mdb刪除不使用的應用程序擴展模塊打開IIS–找到要進行的加固的網(wǎng)站IIS-網(wǎng)站-主目錄-配置-映射；找到除了使用的擴展名保留，其他的刪除Web服務擴展功能設置關閉web服務擴展減少可能的漏洞開啟Internet信息服務(IIS)管理器打開服務器――WEB服務擴展如果網(wǎng)站僅為ASP網(wǎng)站可以禁止除ActiveServerPages以外的所有擴展ASP.NETvXBITS服務器擴展WebDAV在服務器端的包含文件所有未知cgi擴展所有未知ISAPI擴展錯誤頁面設置更改錯誤頁面屏蔽http錯誤信息新建一個error.htm的提示頁面打開IIS點擊網(wǎng)站—屬性—自定義錯誤編輯更改文件更改錯誤頁面401-5401-6401-7404-1404-2404-3404b405406407410412414415400401-1401-2401-3401-4401403-1403-10403-11403-12403-13403-14403-15403-16403-17403-18403-19403-2403-20403-3403-4403-5403-6403-7403-8403-9403500-100500-11500-12500-13500-14500-15500-16500-17500-18500-19500501502日志設置使用W3C擴充日志文件格式便于分析排查打開IIS點擊網(wǎng)站—屬性—網(wǎng)站—屬性—高級使用W3C擴充日志文件格式，記錄客戶IP地址，用戶名，服務器端口，方法，URL字根，HTTP狀態(tài)，用戶代理根據(jù)網(wǎng)站訪問量設置輪詢周期，建議為每天輪詢。同時設置日志的訪問權限，只允許管理員和system為FullControl。其它刪除默認虛擬目錄減少可能的安全漏洞刪除默認的虛擬目錄，包括IISSamples、IISAdmin、IISHelp和Scripts虛擬目錄Apache安全加固項目分項加固目的加固內容和方法服務器文件權限設置設置服務器文件權限限制Apache進程所能訪問的文件，增強安全性Apache服務器配置文件包含、conf、.htaccss等文件權限設置、Apache進程限制所能訪問的文件系統(tǒng)模塊設置限制服務模塊的使用刪除必須之外的任何沒有用到的模塊、增加平臺的安全性打開http.conf找到LoadModule不使用的模塊可以在LoadModule的前端增加modsecurity安全模塊增加平臺的安全性打開http.conf找到LoadModule增加modsecurity安全模塊錯誤頁面設置更改默認錯誤頁面屏蔽http錯誤信息.htaccess文件中加入如下內容即可：ErrorDocument401/error.htmErrorDocument404/error.htmErrorDocument500/error.htmErrorDocument403/error.htmError.htm為自定義內容日志設置增加默認日志內容便于分析排查打開httpd.conf增加LogFormat"%a%l"SSI文件增強SSI文件增強關閉從SSI頁運行腳本和程序的能力，增強安全性啟用suexec程序：在選項指令中用“IncludesNOEXEC”取代“Includes”。服務器目錄和文件保護保護系統(tǒng)設置防止隨意使用.htaccess文件單獨更改服務器設置，造成安全漏洞在服務器設置文件中輸入：開啟httpd.conf<Directory/>AllowOverrideNone</Directory>除了特別啟用的之外，這個設置將阻止在所有的目錄中使用.htaccess文件。使用.htaccess文件把某個目錄的訪問權限賦予某個用戶。系統(tǒng)管理員需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打開目錄的訪問控制。如：AuthNamePrivateFilesAuthTypeBasicAuthUserFile/path/to/httpd/usersrequirePhoenix#htpasswd-c/path/to/httpd/usersTomcat安全加固項目分項加固目的加固內容和方法權限設置Tomcat權限降低tomcat的權限。首先創(chuàng)建一個普通用戶，為其設置密碼，將其密碼策略設置為“密碼永不過期”，修改Tomcat安裝文件夾的訪問權限，為新建用戶設置Tomcat文件夾的讀、寫、執(zhí)行的訪問權限，新建用戶設置WebApps文件夾的只讀訪問權限，如果某些Web應用程序需要寫訪問權限，單獨為其授予對那個文件夾的寫訪問權限。在打開服務管理器（services.msc），找到ApacheTomcat服務，雙擊打開該服務，在其實屬性窗口中點擊“登錄”選項卡，在登錄身份下選中“以此帳戶”，然后在文本框中輸入新建用戶和密碼，最后“確定”并重啟服務器。這樣Tomcat就以這個普通用戶的權限運行。禁止目錄瀏覽禁止目錄瀏覽防止客戶端瀏覽Web目錄，泄漏服務器信息打開web.xml設置<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>關閉管理頁面關閉登陸頁面防止非法用戶登錄關閉登陸頁面刪除或者更改tomcat-users.xml內的用戶名密碼\c