前五章理論性質太強,故暫時快速跳過不進行記錄,最後再總結性的重顧。
此處直接從第六章開始。
第六章 基礎安全措施
6.1安全域劃分。
統一安全等級主機統一劃分,設置相同的網絡邊界,在邊界執行最小權限開放對其他安全域的網絡訪問控制策略。
傳統安全域劃分會分出DMZ和內網,通過硬件防火牆的不同端口實現隔離,但不適用於大規模生產網絡,更多適用於辦公網絡。
大型生產環境安全域劃分則是把不同的業務(垂直縱向)以及分層的服務(水平橫切)一個個像切蛋糕一樣切開,只在縱向的API調用上保留最小權限的訪問控制。
此圖可輔助理解,對各個業務進行橫切,束切劃分出安全域,然後只保留垂直的最小權限訪問。
當然,要根據網絡規模大小進行區分,如果過大,策略則不應該那麼細,因爲會大量增加運維工作量。同時,如果存在業務需求希望內網儘量少隔離,則需要一個強有力的服務器單點入侵檢測和防護能力。
生產與辦公隔離後面會有詳述,此處大概是22端口的訪問阻斷,運維登錄生產環境,使用VPN或者專線網絡,專線訪問預留備用線路,跳板機要有運維操作審計。
6.2系統安全加固
linux加固
禁用LKM。爲了防止knark,adore類LKM rootkit(loadable kernel module rootkit)。
此處治標方法可以設置kernel的modules_disabled值爲1,或者使用systcl命令,但是此處在reboot後會自動失效(滲透的時候可以重啓後使用rootkit繞過該防禦)。
治本方法爲編譯內核時去掉LKM支持,但是要根據業務場景,如果不會頻繁用到內核模塊則可治本,如果要經常變更驅動則可治標,記得寫進開機計劃任務。
限制/dev/mem。新版本系統會默認設置。因爲即使取消了LKM支持,也可以通過/dev/mem&/dev/mem讀寫全地址空間進行繞過,典型爲suckit。一般情況下,入侵檢測可以無視內核態,聚焦用戶態,因爲提高效率需要減少關注點,而同時服務器環境相對固化,我們關注的更多的應該是運維不經常變更卻變更了的東西。
具體贅述會極大影響讀書進度,此後略寫。
內核參數調整。
禁用NAT,此處是爲了防止端口轉發。
bash日誌。history添加時間戳,設爲只讀,只能追加,禁用其他shell。
高級技巧,這個要麼修改shell源代碼,要麼log機器學習,瞭解下吧。
目錄權限。“可寫目錄不解析,解析目錄不可寫”。java刪除對jspx的解析(tomcat滲透webshell可以嘗試jspx)
web進程非root運行。nginx的master以root運行,worker以Nginx運行。
過濾特定文件類型,這讓我想起之前有個站就是靠的短文件名漏洞,下到了數據庫備份bak文件。這裏記得做跳轉就好了。
ssh用ssh2,有算法修復,禁止root的遠程登錄。
訪問控制。記的申請臨時策略或取消後要回滾。資產要有權重,不同優先級進行精細訪問控制。
補丁管理。
日誌審計。
服務器4A。LDAP,堡壘機。