1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

信息安全资料基线检查及部分中间件部署规范.docxVIP

信息安全资料基线检查及部分中间件部署规范.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    (一)Centos7安全基线

    0x01初始设置

    文件系统配置:

    安全启动设置:

    强制访问控制:

    0x02服务配置

    1.时间同步设置:

    0x03网络配置

    hosts设置:

    防火墙配置

    0x04审计设置

    审计配置文件的设置

    审计规则文件的设置

    0x05日志设置

    0x06认证授权

    配置cron:

    配置SSH:

    配置PAM:

    用户账户和环境设置:

    0x07系统维护

    重要文件权限:

    用户和组设置:

    (二)Windows2012安全基线

    0x01账户策略

    0x02审计策略

    0x03用户权限分配

    0x04安全选项

    0x05端口安全

    0x06系统安全

    (三)MSSQL2016部署规范

    0x01安装更新和补丁

    0x02减少受攻击面

    0x03认证和授权

    0x04密码策略

    0x05审计和日志

    0x06加密

    0x07扩展存储

    (四)MySQL5.6部署规范

    0x01操作系统级别配置

    0x02安装和计划任务

    0x03权限设置

    0x04常规设置

    0x05MySQL权限

    0x06审计和日志

    0x07身份认证

    (五)中间件部署规范

    0x01Nginx安全部署规范

    隐藏版本号

    开启HTTPS

    限制请求方法

    拒绝某些User-Agent

    利用referer图片防盗链

    控制并发连接数

    设置缓冲区大小防止缓冲区溢出攻击

    添加Header头防止XSS攻击

    添加其他Header头

    0x02Tomcat安全部署规范

    更改ServerHeader

    保护telnet管理端口

    保护AJP连接端口

    删除默认文档和示例程序

    隐藏版本信息(需要解jar包)

    专职低权限用户启动tomcat

    文件列表访问控制

    脚本权限回收

    0x03Apache安全部署规范

    专职低权限用户运行Apache服务

    目录访问权限设置

    日志设置

    只允许访问web目录下的文件

    禁止列出目录

    防范拒绝服务

    隐藏版本号

    关闭TRACE功能

    绑定监听地址

    删除默认安装的无用文件

    限定可以使用的HTTP方法

    0x04IIS安全部署规范

    限制目录的执行权限

    开启日志记录功能

    自定义错误页面

    关闭目录浏览功能

    停用或删除默认站点

    删除不必要的脚本映射

    专职低权限用户运行网站

    在独立的应用程序池中运行网站

    0x05Redis安全部署规范

    专职低权限用户启动redis

    限制redis配置文件的访问权限

    更改默认端口

    开启redis密码认证

    禁用或者重命名危险命令

    禁止监听在公网IP

    开启保护模式

    0x06RabbitMQ规范

    1.专职低权限用户启动RabbitMQ

    2.配置SSL证书

    开启HTTP后台认证

    删除或修改默认的guest用户和密码

    RabbitMQ的webui插件存在一些安全漏洞

    @author:jerrybird,JC0o0l

    @wechat:JC_SecNotes

    @wechat:JC0o0l

    @GitHub:/chroblert/assetmanage

    (一)Centos7安全基线

    0x01初始设置

    文件系统配置:

    将/tmp挂载至一个单独的分区

    /tmp挂载时指定noexec:不允许运行可执行文件该选项使得/tmp目录下的二进制文件不可被执行

    /tmp挂载时指定nosuid

    该选项使得/tmp目录下的文件或目录不可设置Set-UID和Set-GID标志位,能够防止提权。

    安全启动设置:

    设置bootloader的配置文件的权限为600

    该配置文件包含了系统启动时的引导信息,该选项可防止该文件被随意读写。

    设置bootloader的密码【建议】

    进入bootloader设置界面需要输入密码

    为单用户启动认证机制

    可防止在不知密码的情况下更改root密码

    强制访问控制:

    安装SELinux【建议】

    设置SELinux的状态为enforcing【建议】

    设置SELinux的policy为targeted【建议】

    0x02服务配置

    时间同步设置:

    开启时间同步服务

    时间的统一可便于入侵日志的检测分析

    不安装X-windows系统:即不使用可视化界面

    Xwindow用于提供用户登录的图形化界面

    0x03网络配置

    hosts设置:

    配置/etc/hosts.allow文件指定哪些IP可以连接到本主机

    配置/etc/hosts.deny文件

    配置/etc/hosts.allow文件权限为0644

    配置/etc/hosts.deny文件的权限为0644

    防火墙配置

    安装iptables

    设置各个Chain的默认策略为drop

    0x04审计设置

    审计配置文件的设置

    安装并使用auditd

    配置记录审计日志的文件大小:8M【建议】

    配置记录审计日志的文件个数:5【

    您可能关注的文档

    最近下载

    文档评论(0)

    LLY3082 + 关注
    实名认证
    文档贡献者

    LLY

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >