【51CTO.com原創(chuàng)稿件】最近，AC公司組織安全部門(mén)對(duì)即將上線的一款云交流與協(xié)作平臺(tái)，在模擬的環(huán)境中進(jìn)行了全方位的滲透測(cè)試。大部分測(cè)試結(jié)果指向的是與Web應(yīng)用程序有關(guān)的安全漏洞，需要項(xiàng)目組的程序員和DBA們進(jìn)行整改。但是與此同時(shí)，也暴露出了一些與平臺(tái)部署與環(huán)境有關(guān)的自身脆弱性問(wèn)題(如下圖所示)。

[[199289]]

套用OWASP Top 10理論的分析，這些可以歸咎為“A5 – 安全配置的缺失”。雖然從報(bào)告結(jié)果的嚴(yán)重程度來(lái)看，不是那么的outstanding，但是這讓一直著眼于軟件程序方面的項(xiàng)目組領(lǐng)導(dǎo)終于頓悟到了那些有別于security coding之類(lèi)的木桶短板。

的確，安全配置是來(lái)不得任何freestyle的，我們要有嚴(yán)謹(jǐn)?shù)牟僮髁鞒毯痛虺志脩?zhàn)的心理準(zhǔn)備。那么，怎樣才能做好全面的安全加固準(zhǔn)備呢?其實(shí)還是有一定套路可循的?；镜乃悸钒ǎ?/p>

• 識(shí)別本系統(tǒng)所涉及到的安全配置項(xiàng)。
• 著手按照一定順序，如網(wǎng)絡(luò)系統(tǒng)的層次結(jié)構(gòu)，予以實(shí)施。
• 初始化建立安全配置的管理。
• 保持并動(dòng)態(tài)維護(hù)各種安全配置。

安全配置項(xiàng)：全面私人定制

一般而言，我們可以從“操作系統(tǒng)->Web服務(wù)器->應(yīng)用服務(wù)器->數(shù)據(jù)庫(kù)服務(wù)器->管理后臺(tái)->軟件運(yùn)行環(huán)境”，來(lái)逐步深入展開(kāi)。下面是一些最基本、最普遍的配置項(xiàng)示例，我希望能給小伙伴們帶來(lái)火箭一級(jí)助推的效果。同時(shí)希望大家能自行補(bǔ)齊屬于本企業(yè)的“多級(jí)助推”，成功high上天。

操作系統(tǒng)-Windows Server：

• 帳號(hào)偽裝之真假三人組：先重命名管理員帳戶(hù)的名稱(chēng)，并設(shè)置為強(qiáng)密碼，然后禁用該賬號(hào)。對(duì)!你沒(méi)看錯(cuò)，費(fèi)這么大勁兒還是要禁用它，原因是此貨的風(fēng)險(xiǎn)太高了。是不是想起了小時(shí)候看的電影《鐵面人》路易十四啊?就是這個(gè)套路。
• 然后，創(chuàng)建自己的“太陽(yáng)王”：新的管理員帳戶(hù)名稱(chēng)，是那種自己能識(shí)別，別人不太能猜透的名稱(chēng)，并創(chuàng)建強(qiáng)密碼。隨后，將其加入到Administrators組中。
• 這還不夠，我們還要?jiǎng)?chuàng)建一個(gè)“馬甲”管理員，名字還叫做administrator。但是呢，將其放置到guest組里去。
• 按照“先禁用三個(gè)月、再刪除”的策略將系統(tǒng)自帶的以Guest為首的一干無(wú)用帳號(hào)打入冷宮。
• 接著是“約法三章”：通過(guò)本地安全策略來(lái)加固密碼強(qiáng)度、留存期、帳號(hào)鎖定策略，不顯示最后登錄的用戶(hù)名、限制軟件的安裝，并添加審核策略。
• 僅限Administrators組具有“本地”、“遠(yuǎn)程關(guān)機(jī)”權(quán)限以及“文件或其他對(duì)象的所有權(quán)權(quán)限”，禁用“允許系統(tǒng)在未登錄前關(guān)機(jī)”，將“本地登錄”和“從網(wǎng)絡(luò)訪問(wèn)”分配給指定的帳號(hào)。
• 關(guān)閉系統(tǒng)的默認(rèn)共享，盡量不要使用共享文件夾，非要啟用的，要制定訪問(wèn)帳號(hào)。
• 做好文件權(quán)限的保護(hù)，在重要文件夾屬性的安全標(biāo)簽里刪除父項(xiàng)繼承(如下圖)，以及一般用戶(hù)組的可修改權(quán)限。

• 通過(guò)配置日志，使系統(tǒng)能夠“審核登錄事件”、“策略更改”、“對(duì)象訪問(wèn)”、“特權(quán)使用”、“系統(tǒng)事件”、“帳戶(hù)管理” 以及“ 進(jìn)程追蹤”。當(dāng)然也要注意配置日志文件的大小和歸檔。
• 通過(guò)對(duì)注冊(cè)表的鍵值設(shè)置，將TCP連接請(qǐng)求數(shù)閾值(TcpMaxPortsExhausted)設(shè)為5、TCP 半連接數(shù)閾值(TcpMaxHalfOpen)設(shè)為500、以及重傳的TCP 半連接數(shù)閾值TcpMaxHalfOpenRetried設(shè)為400，從而實(shí)現(xiàn)對(duì)SYN攻擊保護(hù)。
• 禁用網(wǎng)卡屬性里的TCP/IP上的NetBIOS，以及系統(tǒng)上的服務(wù)。
• 關(guān)閉默認(rèn)無(wú)用的服務(wù)，包括Computer Browser、IP Helper、Print Spooler、Remote Debugging、Remote Registry、TCP/IP NetBIOS Helper 、Windows Remote Management、WinHTTP Web Proxy Auto-Discovery Service、Windows Error Reporting Service等。
• 不允許遠(yuǎn)程訪問(wèn)注冊(cè)表、對(duì)SAM帳號(hào)的匿名枚舉，而啟用對(duì)通信進(jìn)行數(shù)字簽名、基于128位加密的NTLM SSP的最小會(huì)話安全。
• 通過(guò)自動(dòng)訂閱或定期手動(dòng)的方式，及時(shí)給系統(tǒng)打上補(bǔ)丁。
• 當(dāng)然也要安裝好主機(jī)級(jí)的防病毒軟件，并運(yùn)用工具定期掃描。這一步就像我們小時(shí)候經(jīng)常假想自己擁有的一種特異功能：把耳朵天線打開(kāi)一樣。

操作系統(tǒng)-Linux：

• 運(yùn)用passwd -l鎖定不必要的帳號(hào)，運(yùn)用userdel命令刪除不必要的帳號(hào);查看口令為空的帳號(hào)并設(shè)置復(fù)雜密碼;查看UID為0的帳號(hào)，并確保只有root。
• 通過(guò)在/etc/profile中添加傳說(shuō)中的“umask 027”，實(shí)現(xiàn)新建文件僅“屬主可讀寫(xiě)，同組用戶(hù)只讀和執(zhí)行，其他用戶(hù)根本無(wú)權(quán)”的默認(rèn)文件管控。
• 編輯/etc/pam.d/common-auth文件，添加“如果連續(xù)輸錯(cuò)三次密碼，則帳號(hào)鎖定半小時(shí)”的策略;并編輯/etc/pam.d/su文件，限制能夠su到root的用戶(hù)組。
• 通過(guò)script實(shí)現(xiàn)對(duì)全部用戶(hù)的登錄進(jìn)行日志記錄。
• 關(guān)閉不必要的服務(wù)，并通過(guò)編輯/etc/ssh/sshd_config文件，對(duì)SSH使用的版本、允許的密碼錯(cuò)誤次數(shù)等進(jìn)行加固。

Web服務(wù)器-Apache/IIS：

• 修改默認(rèn)帳號(hào)及其密碼，創(chuàng)建專(zhuān)門(mén)用于運(yùn)行的用戶(hù)帳號(hào)和組。
• 嚴(yán)格控制主目錄的訪問(wèn)權(quán)限，非特權(quán)管理用戶(hù)不能修改或?qū)懭朐撃夸浿械膬?nèi)容。
• 通過(guò)配置，跟蹤包括時(shí)間和用戶(hù)使用的 IP 地址等信息，來(lái)實(shí)現(xiàn)對(duì)運(yùn)行錯(cuò)誤和用戶(hù)訪問(wèn)等方面的日志記錄。
• 禁止該服務(wù)訪問(wèn)本W(wǎng)eb目錄之外的任何文件。
• 禁用或拒絕目錄羅列的功能與瀏覽請(qǐng)求。
• 修改設(shè)置錯(cuò)誤頁(yè)面重定向功能，并隱藏版本號(hào)及其軟件相關(guān)的敏感信息。
• 設(shè)置 session的保持時(shí)間，以應(yīng)對(duì)DoS攻擊。
• 刪除默認(rèn)安裝的無(wú)用文件、文件夾和腳本。
• 對(duì)于Apache，要禁用TRACE、CGI功能;禁用PUT和DELETE等危險(xiǎn)的HTTP 方法，僅允許GET和POST方法。
• 對(duì)于IIS，禁用掉不必要的Web服務(wù)擴(kuò)展(WebDAV)和應(yīng)用程序擴(kuò)展，限定支持的頁(yè)面類(lèi)型。

如前所述，另外還有其他方面需要進(jìn)行安全加固與配置，這里就不贅述了。我們的基本思路就是：做好賬戶(hù)(組)和例程腳本的剪裁，文件(夾)訪問(wèn)、端口和服務(wù)的最小化，會(huì)話連接、錯(cuò)誤信息與日志的設(shè)置，管理后臺(tái)的更改以及安全補(bǔ)丁與殺毒的更新。

在根據(jù)上述流程逐步完成了系統(tǒng)與服務(wù)的安全配置，并且導(dǎo)入了相關(guān)的業(yè)務(wù)數(shù)據(jù)之后，我們就可以進(jìn)行多種、多次的漏洞掃描和滲透測(cè)試了。我們的宗旨就是要在系統(tǒng)的起步階段，盡量掃清如OWASP提及的十大安全隱患。

配置管理庫(kù)：自制月光寶盒

如果您是在邊讀邊做的話，那么到這里，恭喜您基本上闖過(guò)了“OWASP Top 10的A5—安全配置缺失”這一關(guān)。那么該怎么“紀(jì)念”一下呢?我們就來(lái)個(gè)“立此存照”—將這些配置的經(jīng)驗(yàn)和方法都錄入到配置管理庫(kù)吧。有關(guān)配置管理庫(kù)的基礎(chǔ)知識(shí)，大家可以去問(wèn)“度娘”，當(dāng)然也可以通過(guò)猛戳這里來(lái)進(jìn)行快速和直接地獲取—http://zhuanlan.51cto.com/art/201612/525020.htm。而這次，我主要跟大家分享的則是有關(guān)安全配置項(xiàng)在入庫(kù)時(shí)和使用中的事項(xiàng)。

• 配置項(xiàng)入庫(kù)要做好命名規(guī)則的一致性。如：<站點(diǎn)/部門(mén)/項(xiàng)目名稱(chēng)>-<系統(tǒng)/服務(wù)名稱(chēng)>-<主機(jī)名或軟件名稱(chēng)>-<型號(hào)/版本信息>-<創(chuàng)建YYYMMDD>。
• 事先為每個(gè)配置項(xiàng)定義好豐富的標(biāo)識(shí)類(lèi)元數(shù)據(jù)。通過(guò)在入庫(kù)時(shí)填寫(xiě)相應(yīng)的完備信息，方便事后對(duì)該項(xiàng)的快速查找與定位，從而大幅提高配置項(xiàng)的復(fù)用價(jià)值。
• 管理庫(kù)的目錄結(jié)構(gòu)應(yīng)當(dāng)按照服務(wù)系統(tǒng)架構(gòu)里的功能、地域、類(lèi)型等多個(gè)維度進(jìn)行清晰、全面的設(shè)定，以保證配置項(xiàng)能夠直接“拎包入住”，且被正確放置。
• 細(xì)粒度地定義各個(gè)配置項(xiàng)所在文件夾的所有者，和其對(duì)應(yīng)的訪問(wèn)權(quán)限;禁用直接刪除任何配置項(xiàng)的功能，改用“先標(biāo)記，7天后系統(tǒng)自動(dòng)刪除”的策略。我們?cè)趯?shí)際使用中發(fā)現(xiàn)這樣能最大限度地防止誤刪等操作的發(fā)生。
• 實(shí)現(xiàn)對(duì)配置項(xiàng)的版本控制和任何操作的日志記錄與審計(jì)功能，就像配備了一臺(tái)小型time machine一樣。
• 最后，記得在每一次完成系統(tǒng)或服務(wù)的相關(guān)配置之后，都要習(xí)慣性的將其“快照”下來(lái)，做成“配置基線”，添加注解，再備份到配置管理庫(kù)中。與此同時(shí)還要檢查從庫(kù)里簽出的，本次參考過(guò)的配置模板和操作指南，確保其可用性，以方便下一次還能夠“開(kāi)箱即用(OOTB)”。

大家可以試想一下：如果沒(méi)有對(duì)各種應(yīng)用安全配置信息的可用性、完整性和有效性的持續(xù)管理，我們的系統(tǒng)將如同那艘駛向“三體艦隊(duì)”的探測(cè)器一樣終將在各種風(fēng)險(xiǎn)因素的作用下完全失控?？梢?jiàn)，我們只有通過(guò)對(duì)配置知識(shí)庫(kù)的建立和維護(hù)，加上一整套行之有效的入庫(kù)和簽出管理，才能從源頭上解決以往諸多企業(yè)在安全配置上僅能單方面依靠運(yùn)維大牛的個(gè)人經(jīng)驗(yàn)與能力的現(xiàn)象。而且，這能夠杜絕各種人工批量操作時(shí)的失誤可能性。

變更管理：以萬(wàn)變應(yīng)萬(wàn)變

說(shuō)了那么多的配置，思路清奇的您是不是已經(jīng)想到了它那相愛(ài)相殺的好基友--變更管理呢?還記得我們?cè)?a >廉環(huán)話的變更與發(fā)布章節(jié)就討論過(guò)變更管理的基本概念和流程。這里我給大家補(bǔ)充一些有關(guān)配置項(xiàng)變更的內(nèi)容吧。首先，就算僅僅是對(duì)配置管理庫(kù)里的配置項(xiàng)基線的細(xì)微變更，都要準(zhǔn)備一份與之對(duì)應(yīng)的變更請(qǐng)求(Request for Change，RFC)，其中包括：

• 變更發(fā)起人與實(shí)施人：發(fā)起變更請(qǐng)求的不一定是真正實(shí)施的人。
• 所涉及到的配置項(xiàng)及類(lèi)型：服務(wù)器、路由交換、存儲(chǔ)設(shè)備或軟件相關(guān)等。
• 簡(jiǎn)單描述：主要是變更意圖、必要性和預(yù)期的效果。
• 波及范圍：包括在邏輯上波及的現(xiàn)有IT系統(tǒng)與服務(wù)，和在地域上牽扯到的部門(mén)、站點(diǎn)或外部客戶(hù)。
• 緊急程度：視需要和嚴(yán)重程度進(jìn)行綜合且如實(shí)的判斷。
• 請(qǐng)求開(kāi)始和結(jié)束的日期/時(shí)間。
• 最重要、最詳細(xì)的三大元：實(shí)施步驟、后退回滾步驟和完成后的效果測(cè)試步驟。
• 附件：可以附上必要的截圖、郵件或文檔，讓變更管理者更為深入和全面的了解該變更的來(lái)龍去脈。比如說(shuō)下圖就是一份標(biāo)準(zhǔn)的虛擬機(jī)添加模板。

下面是我們正在使用的一個(gè)風(fēng)險(xiǎn)矩陣的示例：

而作為變更管理者最好能夠做到：

• 多找?guī)讉€(gè)“臭皮匠”組成委員會(huì)(Change Control Board，CCB)，既能互為備份，又能集思廣益、風(fēng)險(xiǎn)共擔(dān)。
• 手頭應(yīng)該有一張“事件匯總?cè)諝v”，能夠全局性地根據(jù)請(qǐng)求時(shí)間來(lái)判定當(dāng)日的忙閑程度，從而在批復(fù)通知里的批準(zhǔn)實(shí)施的時(shí)間項(xiàng)上做適當(dāng)?shù)奈⒄{(diào)。
• 及時(shí)地將新批準(zhǔn)的變更加入到總?cè)諝v對(duì)應(yīng)的時(shí)間段中。
• 伺機(jī)用現(xiàn)成的模板向變更將要波及到的人群發(fā)送服務(wù)中斷和變更實(shí)施通知。當(dāng)然，重要的變更可以“說(shuō)三遍”。
• 針對(duì)實(shí)施過(guò)程中報(bào)告上來(lái)的變更失敗，既要確保能夠“回滾”到原配置項(xiàng)狀態(tài)，又要引入事故或問(wèn)題管理流程。

小結(jié)

通過(guò)重視對(duì)安全配置的設(shè)置和配置管理庫(kù)的運(yùn)維，AC公司的云平臺(tái)順利通過(guò)了各種后繼的測(cè)試與檢驗(yàn)，并已正常上線。運(yùn)行至今，按照其項(xiàng)目負(fù)責(zé)人的說(shuō)法是：“So far so good，我們的團(tuán)隊(duì)仍和它愉快地玩耍著。”

在這個(gè)暑假里，我陪著小孩子經(jīng)常對(duì)弈國(guó)際象棋。有一天我突然頓悟到：其實(shí)我們平時(shí)做的系統(tǒng)安全設(shè)置就像下棋一樣，我們并不是比的是誰(shuí)下得水平高，而比的是誰(shuí)犯錯(cuò)少。最后做一個(gè)小調(diào)查：行文風(fēng)趣的廉哥和專(zhuān)業(yè)高冷的大拿，你更愛(ài)看誰(shuí)的文章呢?留言告訴我吧。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】