操作系统
一、Windows
身份鉴别:
计算机管理-本地用户和组
用户账户-管理账户
本地安全策略-账户策略-密码策略
本地安全策略-账户策略-密码锁定策略
右键个性化-屏幕保护程序
gpedit.msc-计算机配置-管理模板-Windows组件-远程桌面服务-远程会话主机-安全
访问控制:
计算机管理-本地用户和组
lusrmgr.msc(本地用户和组)-用户
%systemdrive%\program files、%systemdrive%\windows\system32\secpol、%systemdrive%\windows\system32\config
%systemroot%\system32\config属性-安全得知users权限
安全审计:
经secpol.msc(本地安全策略)-本地策略-审计策略
eventvwr.msc(事件查看器)-Windows日志
secpol.msc(本地安全策略)-本地策略-用户权限分配-管理审核和安全日志属性
入侵防范:
程序和功能
appwiz.cpl程序和功能-卸载更新目录
dcomcnfg(控制台根节点)-组件/服务-计算机-我的电脑系统不存在多余的服务
services.msc是否开启Alerter、Remote Registry、Service、Messenger、task Scheduler
net share默认共享
netstat -an高危端口135、137、138、139、445、1025
firewall.cpl(防火墙)-高级-入站-远程桌面-用户模式tcp-in属性作用域
gpedit.msc(本地计算机策略)-IP安全策略属性和列表
gpedit.msc-计算机配置-管理模板-Windows组件-远程桌面服务-远程会话主机-安全
剩余信息保护:
本地安全策略-本地策略-安全选项
计算机配置-windows设置-安全设置-本地策略-安全选项
问:
是否存在多用户、是否多用户共用账号
是否对日志备份并查看日志
是否存在多余的服务、程序
是否定期扫描漏洞、补丁测试安装更新
是否安装入侵检测软件、通过什么报警
看网络拓扑图是否部署IDS、IPS等入侵检测系统
恶意代码的防范:
是否安装防病毒软件、采用的病毒库及更新策略、更新日期不超过一星期
采用何种可信验证及实现原理
网络和主机防病毒软件是
是否采用统一病毒库更新查杀
病毒入侵后如何报警
可信验证:
数据备份:
看网络拓扑图服务器节点热备、集群
看资产列表问是否有其它高可用方式
本地备份位置、异地备份ipxxx主机
二·、Linux
身份鉴别:
系统账户及口令:more /etc/passwd (change -l root)
more /etc/shadow
口令策略:cat /etc/pam.d/system-auth
密码·有效期:cat /etc/login.defs)(cat /etc/pam.d/common-auth)
超时:more /etc/profile | grep TMOUT -a
远程:service sshd status ps –ef( telnet、 rlogin)
访问控制:
文件权限ls –l /etc/passwd
查root远程登录more /etc/ssh/sshd_config
查root权限分配出去:cat /etc/sudoers
安全审计:
审计保护进程:service auditd status (auditctl -s)
日志状态:service rsyslog status
日志信息:cat /var/log/secure或ausearch –ts today
入侵防范:
查看操作系统版本:lsb_release –a (more/etc/issue、cat /etc/redhat-release)
查看补丁:rpm –qa | grep patch
开启的端口:netstat -an|more
安装软件:yum list installed
默认共享:rpm –qi samba
查询系统外部连接许可:more /etc/hosts.allow
查询系统外部连接拒绝:more /etc/hosts.deny
访问:
审计记录保存的目录并验证是否能被普通用户轻易删除
对审计记录的保护措施和备份策略并检查审计记录是否备份不少于六个月
是否安装第三方审计进程保护软件并测试审计管理员能否中断审计进程
是否安装杀毒软件(一般没有)
是否进行可信验证(一般没有)
查看网络拓补图,在网络层面是否部署有入侵检测系统(IDS浅析)。
检查拓补图和资产表,涉及重要数据处理的主机是否有热备机器或集群
三、AIX系统
身份鉴别:查看/etc/security/passwd中passwd字段是否为空
查看UID是否相同 ; pwck -r
查看.rhosts和/etc/hosts.equiv中的用户或主机是否删除
查看/etc/security/user
maxage:口令最长有效期;
maxrepeats:3;(字符重复出现次数)
minalpha:口令中最少包含字母字符数;
mindiff:4;
minlen:口令最短长度;
minother:口令中最少包含非字母数字字符数;
查看/etc/security/passwd中的flags是否为NOCHECK
flags不为NOCHECK。
登录失败及限制非法登录次数;查看/etc/security/login.cfg文件
1、logindisable:5;
2、logininterval:60;
3、loginreenable:30;
超时连接自动退出;查看/etc/security/user文件
4、 loginretries=5。
询问管理员采用什么远程方法连接的,并查看是否开启telnet。
ps –elf|grep telnet 或是netstat -an|grep 23
注;需要禁用telnet服务,若是仅本地管理此项不适用
#cat /etc/passwd
#cat /etc/security/passwd
lssrc –s syslogd 查看日志服务是否运行
ps –ef|grep syslog 查看是否开启syslog
audit qurey 查看是否开启audit审计
查看/etc/syslog.conf是否包括
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages等内容
查看/etc/security/audit/events 审计配置为文件中是否包括用户登录、文件权限修改等重要安全相关事件
检查审计对象是否覆盖每个用户:
/etc/security/audit/config
lssrc –s syslogd 查看日志服务是否运行
ps –ef|grep syslog 查看是否开启syslog
audit qurey 查看是否开启audit审计
查看/etc/syslog.conf是否包括
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages等内容
查看/etc/security/audit/events 审计配置为文件中是否包括用户登录、文件权限修改等重要安全相关事件
检查审计对象是否覆盖每个用户:
/etc/security/audit/config
cat /var/adm/authlog
cat /var/adm/syslog
auditpr -v /audit/trail | more
查看审计记录是否包括事件、主客体标识和事件结果等信息。若有第三方审计工具或系统,则查看其审计日志是否包括必要的审计要素
ls -l /var/adm/authlog 查看其权限是否为600
ls -l/var/adm/syslog 查看其权限是否为640,访谈审计记录的存储、备份和保护的措施,如配置日志服务器等。
检查/etc/syslog.conf文件中是否存在如下内容:
auth.info\t\t@loghost
*.info;auth.none\t\t@loghost
.emerg\t\t@loghost
local7.\t\t@loghost
ls -l /var/adm/authlog 查看其权限是否为600
ls -l/var/adm/syslog 查看其权限是否为640,访谈审计记录的存储、备份和保护的措施,如配置日志服务器等。
检查/etc/syslog.conf文件中是否存在如下内容:
auth.info\t\t@loghost
*.info;auth.none\t\t@loghost
.emerg\t\t@loghost
local7.\t\t@loghost
**
网络设备
**
一、华三/华为/锐捷
dis cpu-usage查看cpu状态
display memory-usagent查看内存占用信息70%
display version延机情况、查看版本信息
display current-configuration当前设备配置信息
display password-control密码策略
display logbuffer查看日志、信息
display trap查看警告信息、日志
display ssh server status查看ssh服务器状态
display patch查看补丁
display acl all查看访问控制表
display local-user查用户
二·、思科
show processes cpu查看状态
show version查看版本
show running-config查看配置信息
show log查看日志
show logging 输出相关配置信息
show ip access-list会话状态控制粒度
show vlan brief查看vlan
show ip interface查看接口
show ip arp查看ip和mac绑定
show clock查看时间
show vlan brief查看VLAN信息
**
数据库
**
一、Mysql
mysql -u root -p登录
show variables like 'version’版本
身份鉴别:
select user,host FROM mysql.user用户名
select * from mysql.user where lenth(password)=0 or password is null空密码
show variables like 'validate%'口令复杂度
show variables like '%max_connect_errors%'登录失败处理
show variables like ‘%timeout%’;连接超时
show variables like '%have_ssl%'远程
访问控制;
show grants for ‘XXX’@'localhost’权限分离
select *from mysql.user where user=‘root’
审计:
show variables like '%log_%'审计
show master status查看当前日志
show global variables like ‘%general%‘查看日志
入侵防范:
grant all on . to ‘root’@’%’
grant all on . to ‘root’@‘localhost’
grant all on . to ‘root’@‘myip.athome’
flush privileges
show grants for root@localhost终端限制
show variables where variable_name like “version"补丁
二、Oracl数据库
登录orcal:sqlplus 用户名/密码 as sysdba;
登录用户su -oracle sqlplus / nolog connect as sysdba;
显示所有能登录数据库的用户信息: Select username,account_status from dba_users;
口令策略:select username,profile from dba_users;
select * from dba_profiles where profile=‘DEFAULT’;
select limit from dba_profiles where profile=‘DEFAULT’ and resource_name=‘PASSWORD_VERIFY_FUNCTION’;
登陆失败限制策略:select * from dba_profiles where profile=‘DEFAULT’;
Select limit from dba_profiles where profile=‘DEFAULT’ and resource_name=‘FAILED_LOGIN_ ATTEMPTS’;
select limit from dba_profiles where profile=‘DEFAULT’ and resource_name=‘PASSWORD_LOCK_TIME’;
登录失败锁定策略:select * from dba_profiles where profile=‘DEFAULT’;
select limit from dba_profiles where profile=‘DEFAULT’ and resource_name=‘PASSWORD_LOCK_TIME’;
登录超时自动退出:select limit from dba_profiles where profile=‘DEFAULT’ and resource_name=‘IDLE TIME’;
远程管理: show parameter REMOTE_OS_AUTHENT
查看initSID.ora(%ORACLE_HOM E\db_1\db_1\database)中 REMOT E_OS_AUTHENT 的赋值。(本项为 false,则符合(为 true,远程操作系统认证))
查看listener.ora(%ORACLE_HO ME\db_1\NETWORK\ADMIN)文件 中的(应存在:PROTOCOL=TC PS(实际为 TCP))
show parameter remote_login_passwordfile;(结果应为 NONE,远程无法登录,E xclusive(唯一的数据库密码文件登录))
用户权限:select username,password from dba_users where ACCOUNT_STATUS=‘OPEN’;
show limit O7_DICTIONARY
是否重命名:验证 sys用户的口令是否为 CHA NGE_ON_INSTALL(system /manager和 dbsnmp/dbsnmp);
删除停用多余账户:select username,account_status from db a_users ;
权限分离:select * from dba_tab_privs where grantee=‘SYS’ ORDER BY GRANTEE;
主要主体、客体安全标记:①是否安装 oracle Label Security 模块;(应存在LBACSYS)
②是否创建策略:SELECT policy_name,status from DBA_SA_POLICIES(存在状态为’enable’的标签策略);
③是否创建级别:SELECT * FROM dba_sa_levels ORDER BY le vel_num(返回结果应不为空);
④标签创建情况:select * from d ba_sa_labels(返回结果应不为空);⑤询问重要数据存储表格名称。
⑥策略与模式、表的对应关系: select * from dba_sa_tables_policies(返回结果应不为空)
当前用户权限:select * from user_sys_privs;
审计:show parameter audit
select value from v$par ameter where name='audit_trail '(结果应不为 none)
审计记录:1)show parameter audit_trail; //应不为 none
2)show parameter audit_sys_ope rations; //应不为 none
3)select sel,upd,del,ins,gra from dba_obj_audit_opts;
4)select sel,upd,del,ins,gra from dba_stmt_audit_opts;
5)select sel,upd,del,ins,gra from dba_priv_audit_opts; //3-5返回语句审计选项,应不全部为”-/-"
6)记录一条日志内容,确认其包括事 件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容。//默认满足
查看审计: show parameter audit_trail;
审计保护:alter system set audit_trail=none
终端接入限制:查看sqlnet.ora文件 // tcp.validnode_checking=yes ,tcp.invited_nodes 已配置参数 ip 列 表。
补丁:#cd $ORACLE_HOME/Opatch opatch Isinventory
SQL Server 2005:
use master select * from syslogins where p assword is null;
打开 SQL Server Management Studio 对象资源管理器-安全性-登 录名,右键点击各账户属性,查看是 否勾选“强制实施密码策略”和“强 制密码过期”;
默认无登录失败处理功能;
三、SQLsever
select @@version 查看数据库版本
select name, LOGINPROPERTY([name], ‘PasswordLastSetTime’) AS ‘PasswordChanged’ FROM sys.sql_logins;上传口令更换时间
select * from sys.sql_logins; 查看is_policy_checked字段的赋值是否强制实施密码策略
select * from sys.sql_logins 查看SQL Server身份认证模式的能够登录账户
select * from sys.syslogins 查看能够连接数据库的账户
sp_configure 'remote login time’查看超时
sp_configure 'remote query timeout’查看超时
sp_configure 查看“c2 audit mode”项的值,“0”是未开启C2审计,“1”是开启C2审计。
其他安全配置可在SQL Server管理工具中看到。
四、postgreSQL数据库
psql -h 127.0.0.1 -d postgres -U postgres 连接pgsql server
pg_ctl --version 查看数据库版本
select version(); 查看数据库版本(登录到数据库中)
打开pg_hba.conf配置文件查看数据库的身份认证方式
select * from pg_shadow ; 口令到期时间
show password_encryption; 查看口令加密算法
select * from pg_settings ps where ps.name like ‘%timeout%’; 查询超时
show shared_preload_libraries; 查看是否启用密码复杂度模块
打开postgresql.conf配置文件,查看ssl字段是否为on
\du 查看管理用户。
打开postgresql.conf配置文件,查看logging_collector 是否= on,on表示开启日志,查看 log_statement的参数判断数据库审计记录信息。
五、GaussdDB
gsql -d postgres -U gaussdba:登录数据库,gaussdba为用户名
gaussdb --version 查询数据库版本
postgres=# ALTER USER; 登录失败处理
postgres=# SHOW password_encryption_type; 密码复杂度
postgres=# SHOW password_effect_time; 密码有效期限
postgres=# SHOW password_notify_time; 密码有效期限
在服务器端的postgresql.conf文件中配置相关参数
postgres=# SHOW audit_enabled; 日志审计
cps template-instance-list --service gaussdb gaussdb命令查看gaussdb部署节点
select * from pg_user; 查询用户
cps template-params-show --service gaussdb gaussdb 查看登录失败处理。
\set 查看连接超时时间。
cps template-params-show --service gaussdb gaussdb 查看传输协议。
进入/opt/fusionplatform/data/gaussdb_data/data目录,执行cat postgresql.conf | grep ssl_ciphers中的算法(也就是进入安装目录查看postgresql.conf配置文件中的ssl采用的算法。
select * from information_schema.routine_privileges where grantee=‘user_name’; 命令查询user_name用户所拥有的权限,user_name替换成实际的用户名。
select ROLNAME from pg_authid where oid=10; 查看默认用户。
show audit_enabled;查看审计,ON表示已经开启审计功能。
select * from pg_query_audit(‘2022-08-19 08:00:00’,‘2022-08-20 08:00:00’); 查看具体时间段的日志记录。
进入/var/log/fusionsphere/component/gaussdb目录,执行ll,查看该目录下文件的权限。
打开pg_hba.conf配置文件,查看IP白名单限制(登录地址限制)
六、达梦
lect * from v$dm_ini where para_name =‘PWD_POLICY’;查看密码策略
SELECT * FROM V$DM_INI WHERE PARA_NAME=‘ENABLE_AUDIT’;查看审计状态
select * from V$AUDITRECORDS;查看审计记录
select * from v$dm_ini where para_name =‘ENABLE_OBJ_REUSE’;查看客体内存重用和文件重用
其他安全配置可在DM管理工具中看到。
七、人大金仓数据库
select version(); 查看数据库版本
打开kingbase.conf配置文件可看到口令策略、登录失败处理和超时退出、安全审计策略
select setting from sys_settings where name=‘ssl’;查看是否开启SSL
select * from sys_user;查看管理用户
打开init.log查看日志信息
其他安全配置可在人大金仓数据库对象管理工具中看到。
八、Redis 数据库
1、服务器本地查看:redis-server -v(或redis-server –version)
2、登录数据库:redis-cli -h 127.0.0.1 -p 6379 -h后面跟ip,-p跟端口(一般是本地登录,直接 redis-cli 即可登录,当然前提是没有修改过Redis的服务端口。
登录到数据库后,我们输入:info)
**
中间件
**
一、 Apache Tomcat中间件
1、 查看版本,在tomcat目录下执行/bin/catalina.sh version
2、 确认是否使用了tomcat管理后台,我们先找到配置文件:tomcat主目录下/conf/server.xml,可以查看到连接端口,默认为8080
3、 然后查看manager-gui管理页面配置文件,是否设置了用户登录,配置文件:tomcat主目录下/conf/tomcat-users.xml
4、 登录失败处理功能:tomcat目录/conf/server.xml下配置;查看对应的failureCount(次),lockOutTime(秒)值,可自行编辑。
5、 访问控:查看的文件为tomcat目录下/conf/tomcat-user.xml
6、 安全审计:一般在tomcat安装路径下的logs文件夹
736
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
