01.安全加固定义
什么是安全加固?
安全加固是实现信息系统安全的关键环节。通过安全加固,将在信息系统的网络层、主机层、软件层、应用层等层次建立符合安全需求的安全状态,并以此作为保证网络信息系统安全的起点。
安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,通过打补丁、强化帐号安全、加固服务、修改安全配置、优化访问控制策略、增加安全机制等方法,堵塞漏洞及"后门",提高其健壮性和安全性,增加攻击者入侵的难度,提升系统安全防范水平。
Web服务器安全加固,按照安全防护基线对Web中间件进行配置,需要满足账号、口令、日志、授权和设备其他安全等5个方面的要求。
02.账号口令安全
账号安全加固
原则:对于采用静态口令认证技术的系统,口令长度至少8位,包括数字、大小写字母和特殊符号4类中至少3类。
原则:
1)应按照用户分配账号,避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。
2)应删除或锁定与设备运行、维护等工作无关的账号。
03.授权安全
账号最小化授权原则
在设备权限配置能力内,根据用户的业务需要配置其所需的最小权限。
正确配置网站目录权限-目录浏览
如果开启了目录浏览功能,攻击者可以遍历网站整个目录结构以及文件信息,存在较大风险。一般情况下,目录浏览功能不是必须的,应关闭。IIS默认关闭目录浏览,Apache、tomcat默认开启目录浏览。
正确配置网站目录权限-目录执行
目录执行:开启了执行权限的目录,运行web容器解析该目录下的脚本文件。
加固方法:通过权限限制,关闭上传目录可执行权限
原则:
目录有写入权限,一定不要分配执行权限
目录有执行权限,一定不要分配写入权限
网站上传目录和数据目录一般需要分配"写入"权限,但一定不要分配执行权限。
其他目录一般只分配"读取"和"记录访问"权限即可。
04.日志配置安全
日志记录的内容
日志记录的必要性
必要性:攻击方式的转型使得日志记录越来越重要,可作为攻击感知和事后溯源的重要依据。
日志配置安全
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
IIS默认记录日志
Apache、tomcat默认不记录日志,需要配置
05.设备其他安全
信息泄露屏蔽--版本屏蔽
目的:隐藏服务版本号及其他敏感信息,提高攻击难度。
信息泄露屏蔽-错误页面重定向
目的:避免由于报错信息而引起的信息泄露,配置统一错误页面后,当服务端出错时或请求的页面不存在时,跳转至配置的统一错误页面。
HTTP异常请求
PUT:允许远程客户端以PUT方式直接向服务器提交数据(包括恶意数据)
DELET:允许远程客户端直接删除服务器端数据
MOV:允许远程客户端直接修改服务器端数据
默认配置隐患
IIS文件解析路径漏洞
.asa扩展解析隐患
.asp扩展解析隐患
.cdx扩展解析隐患
.cer扩展解析隐患
Apache默认解析
Apache对于文件名的解析式从后往前解析的,每遇到一种后双重后缀名的文件,Apache都会去conf/mime.types文件中检查最后一个后缀,如果最后一个后缀并没有在mime.types文件中定义,则使用前一个后缀来解释。因此存在文件上传绕过风险。
