安全基线-腾讯安全标准
检测项 | 检测项描述 | 处理建议 | 检测规则 | 威胁等级 |
---|---|---|---|---|
Nginx未禁用隐藏文件 | 禁用隐藏文件是一种深度防御机制,有助于防止意外泄露敏感信息。 | 编辑nginx配置文件,添加以下配置: location ~ /. { deny all; } | Nginx安全基线检查 | 中危 |
MongoDB服务以root用户运行 | MongoDB服务不应使用root账户运行,以减少系统风险。 | 创建执行MongoDB数据库活动的 专用用户(一般为mongodb), 并以此专用用户运行MongoDB服务。 | MongoDB安全基线检查 | 中危 |
MongoDB 未禁用systemLog.quiet配置 | Run mongos or mongod in a quiet mode thatattempts to limit the amount of output. systemLog.quiet is not recommended for production systems as it may make tracking problems during particular connections much more difficult. | 在mongodb配置中不要配置 systemLog.quiet选项 | MongoDB安全基线检查 | 中危 |
MongoDB 未配置新日志追加策略 | When true, mongosor mongod appends new entries to the end of the existing log file when the mongos or mongod instance restarts. Without this option, mongod will back up the existing log and create a new file. | 在MongoDB配置中设置 systemLog.logAppend为true | MongoDB安全基线检查 | 中危 |
网站目录存在备份文件 | 网站目录下存在压缩过的备份文件,如果被猜测到文件名可以导致网站源代码泄露,可能会导致网站被入侵。 | 删除备份文件。 | 信息泄露基线检查 | 高危 |
JetBrains .idea 目录泄露风险 | JetBrains 会创建 .idea 目录,其目录下的文件泄露了项目结构,可能会造成信息泄露后果。 | 移除 .idea 目录 | 信息泄露基线检查 | 中危 |
Web 目录存在 phpinfo 文件 | Web 目录下存在 phpinfo(),可能会导致部分敏感信息泄露。 | 如果必要,根据漏洞描述,删除对应文件。 | 信息泄露基线检查 | 低危 |
Web 目录存在 .svn 文件夹导致信息泄露 | Web 目录下存在 .svn 文件夹,可以导致源代码泄漏、敏感信息泄漏等风险,可能会导致服务器被入侵等严重后果。 | 删除 .svn 目录,或者修改 Web 配置文件(不推荐) | 信息泄露基线检查 | 中危 |
Web 目录存在 .git 文件夹导致信息泄露 | Web 目录下存在 .git 文件夹,可以导致源代码泄漏、敏感信息泄漏等风险,可能会导致服务器被入侵等严重后果。 | 删除 .git 目录,或者修改 Web 配置文件(不推荐) | 信息泄露基线检查 | 中危 |
启用authpriv和cron系统日志审计 | 启用authpriv和cron系统日志审计。 authpriv -包括特权信息如用户名在内的认证活动 cron -与 cron 和 at 有关的计划任务信息 | 1. 修改/etc/rsyslog.conf,添加或取消注释 如下配置 (中间的分隔符是tab): authpriv. /var/log/secure cron. /var/log/cron 2. 重启rsyslog服务 | Linux安全基线检查 | 中危 |
未限制Nginx账户登录系统 | nginx帐户不应该具有登录的能力,防止nginx账户被恶意利用。 | 修改/etc/passwd配置文件中nginx用户的 登录Shell字段, 设置为: /usr/sbin/nologin(debian,ubuntu) /sbin/nologin(centos) | Nginx安全基线检查 | 中危 |
Linux存在UID为0的非root用户 | 存在UID为0的非root用户,账号权限过大,容易被非法利用。 一般情况下除root账户外无其他管理员权限帐户。 | 删除root以外的UID为0的用户。 | Linux安全基线检查 | 高危 |
限制root权限用户远程登录 | 限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。 | 1. 修改文件/etc/ssh/sshd_config配置 PermitRootLogin no 2. 重启sshd服务 | Linux安全基线检查 | 中危 |
sudo 无密码用户检测 | 列出无需密码即可执行 sudo 的用户。 | 应避免给予不必要的账号 sudo 权限, 如正常情况可忽略此漏洞。 | Linux安全基线检查 | 低危 |
SSH监听在默认端口 | SSH监听在默认的22端口容易受到暴力破解攻击,修改为非默认端口可以提高系统的安全性 | 修改/etc/ssh/sshd_config配置文件中的 端口字段配置(Port字段),并重启服务。 | Linux安全基线检查 | 低危 |
系统日志文件限制用户可写权限 | 系统日志文件应限制写权限用户范围 | 修改以下日志权限为仅所属用户可写: /var/log/messages /var/log/syslog /var/log/secure /var/log/auth.log /var/log/maillog /var/log/cron /var/log/spooler /var/log/boot.log /var/log/kern.log | Linux安全基线检查 | 中危 |
SSH使用不安全的SSH V1协议 | SSH2用数字签名算法(DSA)和Diffie-Hellman(DH)算法代替RSA来完成对称密钥的交换,用消息证实代码(HMAC)来代替SSH使用的CRC。同时SSH2增加了AES和Twofish等对称加密算法。SSH2比SSH1更加安全。 | 修改/etc/ssh/sshd_config配置文件中的 协议字段配置为: Protocol 2 并重启服务。 | Linux安全基线检查 | 中危 |
SSH使用不安全的rsh协议 | “””IgnoreRhosts””设置验证的时候是否使用””rhosts””和””shosts””文件。SSH需要禁用不安全的 RSH 连接。” | 修改/etc/ssh/sshd_config配置文件中的 IgnoreRhosts字段配置为: IgnoreRhosts yes 并重启服务。 | Linux安全基线检查 | 低危 |
Nginx目录及文件权限配置不当 | nginx目录及文件的所有者和所属组应为root | 设置nginx配置文件目录的用户和用户组为root | Nginx安全基线检查 | 中危 |
Nginx server_tokens基线 | server_tokens指令负责在错误页面和ServerHTTP响应头字段中显示NGINX版本号和操作系统版本。 不应显示此信息。 | 在nginx配置文件中配置 server_tokens off; | Nginx安全基线检查 | 中危 |
Linux口令过期后账号最长有效天数策略 | 设置口令过期后账号仍能保持有效的最大天数。 | 编辑/etc/default/useradd文件,配置: INACTIVE=365 | Linux安全基线检查 | 中危 |
Nginx未禁用autoindex功能 | Nginx autoindex模块用于配置Nginx的目录浏览功能。 Nginx默认是不允许列出整个目录,开启目录浏览可能会导致信息泄露。 | 去除Nginx中autoindex的相关配置。 | Nginx安全基线检查 | 中危 |
Linux帐户口令生存期策略 | 口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。 | 修改文件/etc/login.defs,配置 PASS_MAX_DAYS 90 | Linux安全基线检查 | 中危 |
Linux帐户口令最小修改间隔策略 | 帐户口令最小修改间隔策略表示自从上次密码修改以来多少天后用户才被允许修改口令。 | 修改文件/etc/login.defs,配置 PASS_MIN_DAYS 7 | Linux安全基线检查 | 低危 |
SSH未禁用基于主机的身份验证 | HostbasedAuthentication选项用于配置是否允许使用/etc/hosts.equiv和公钥实现基于主机的身份验证。 | 修改/etc/ssh/sshd_config配置文件中的 HostbasedAuthentication字段配置为: HostbasedAuthentication no 并重启服务。 | Linux安全基线检查 | 低危 |
MongoDB未禁用本地主机身份验证绕过 | The localhost exception allows you to enable access control and then create the first user in the system. With the localhost exception, after you enable access control, connect to the localhost interface and create the first user in the admin database. The first user must have privileges to create other users, such as a user with the userAdmin or userAdminAnyDatabase role. | Create an administrative user, or Disable the localhost exception at startup. To disable the localhostexception, set the enableLocalhostAuthBypass parameter to 0. | MongoDB安全基线检查 | 中危 |
Windows 隐藏账户检测 | Windows 账户名以 $ 结尾时,不会显示在 net user 里,一般此类账户为攻击者所添加(也有正常的情况)。 | 建议用户自行排查是否是正常情况, 具体排查和删除方式可参考 blog.csdn.net/a956163985/article/details/50112187 | Windows安全基线检查 | 中危 |
Windows 影子账户检测 | Windows 通过修改注册表可以添加影子账户,此账户常用与作为后门,可能为攻击者恶意添加。 | 编辑注册表,遍历HKEY_LOCAL_MACHNE\SAM\SAM\Domains\ Account\user\Names下的用户,查找检测出来 影子账户,删除即可。 | Windows安全基线检查 | 中危 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 DOS/BAT!
评论