服务器安全基线配置与实践指南.pdfVIP

聊一聊服务器的安全基线—安全小课堂第三十九期

安全小课堂第三十九期安全基线，是为了明确网络上的相关设备与系统（包括操作系统、网络设备、数据库、中间

件在内的所有类型的设备）达到最基本的防护能力要求而制定的一系列基准。本期我们来聊一聊服务器的安全基线。

本期邀请到网易安全专家沈。文丨豌豆妹图丨源自网络1豌豆妹服务器常规的安全配置有哪些？哆啦A梦

安全基线，是为了明确网络上的相关设备与系统（包括操作系统、网络设备、数据库、中间件在内的所有类型的

设备）达到最基本的防护能力要求而制定的一系列基准。

以Windows服务器为例，可以配置包括、口令、、补丁、防护软件、防软件、日志安全要求、不必

要的服务、启动项、关闭自动功能、共享文件夹、使用NTFS文件系统、网络、会话超时设置、表设

置等选项。

另外一个就是Unix，我们以Linux为例。Linux服务器相对更加安全一些，配置项也少一些，主要有、口

令、、补丁、登录、日志、不必要的服务端口、系统banner设置、删除潜在的文件、FTP设置等。

相信各家都有自己的安全基线，根据自己的业务对安全的定义略有差异，但大体上，主要还是往这些方面去考

量。

2豌豆妹结合公司业务，常规的软件和相应的配置有哪些呢？

哆啦A梦每个公司根据自身的技术架构差异和偏好，选择不同的操作系统、数据库、中间件来公司的业务。现

在互联网主要依赖于一些开源软件来构建。主要用到的一些常规软件包括MySQL、Apache、Tomcat、Nginx、

LVS、Redis等等。

以MySQL为例，以普通帐户安全运行mysqld，MySQL以管理员权限运行。应按照用户分配，

避免不同用户间共享。应删除或锁定与数据库运行、等工作无关的。口令使用默认和弱。

，在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。日志，数据库应配置日志功能。

补丁，系统安装了的安全补丁。网络连接，网络连接，防止猜码，溢出和，通过数

据库所在操作系统或限制，只有信任的IP地址才能通过数据库。连接数，根据机器性能和业务需

求，设制最大最小连接数。

当然MySQL某版本还有某著名，大家都懂的。再如Tomcat，也可以从、口令、、日志、HTTP加密

协议、更改默认管理端口、错误页面重定向、目录列出、系统Banner信息、连接数设置、禁用HTTP方法等

方面进行配置。

由于用到的类似软件和中间件很多，所以这里就不去一一列举了。大家可以参考OWASP的安全基线项目：

。

3豌豆妹公司网络层面上，如何结合业务做防护控制呢？

哆啦A梦这里到几点。首先在网路层面的防护，除了针对服务器和服务器上的软件之外，要特别注意针对网络

设备的控制。比如，现在越来越多的会针对家用的路由器，而不是直接终端。对IDC机房的也是同样，

需要做好网络设备的防护。

其次，还可以结合我们常规的扫描，在扫描器中加入安全基线扫描的功能，上面提到的一些配置是可以通过扫

描器来验证，例如，若使用了弱口令，我们可以使用字典进行来验证。

最后，不同的业务对安全基线的要求会不一样。比如一个金融业务的安全要求会比一个博客类业务的要求高很多，

所以需要针对不同的业务制定不同基线来进行防护。

4豌豆妹如何实现服务器安全配置的自动化管理呢？哆啦A梦现在机器和设备越来越多，的时代已经过

去了。必须要有相应的流程和自动化工具来辅助我们做这些事。首先得需要流程和制度，需要有专业的人员来制定

安全基线。

在服务器安全基线的实施方面，第一步是根据制定的安全基线制作镜像，这样就可以保证服务器的默认安全。但安

全是一个过程，会随着时间的变化调整安全基线，那就需要自动化的工具来帮助进行实施，我们就使用了一些开源

项目，例如puppet。也有大量的乙方安全公司会安全基线配置的工具，当然有的公司也会根据自身的运维和安

全工具来定制自动化