快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁、消除误报,形成主动、智能的防御体系。小编带您一起具体了解下这份报告的内容。

1. 从SIEM的本质出发,它是用来做什么的?有哪些局限?

安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息的数据源中收集和分析安全事件, SIEM支持威胁检测和安全事件响应——即:一个界面可以连接所有数据。大多数企业使用SIEM来收集日志数据,并将安全事件与多个系统(入侵检测设备,防火墙等)内部安全日志和事件数据相关联。它是有效关联内部数据和提取的威胁数据信息流的起点,还可以自动报警并进行阻断。然而,随着攻击者的不断“创新”,企业需要越来越多的了解威胁的本质、意图、技术和造成损害的能力,SIEM的局限性开始显现。随着SIEM投产与运营。不断增加的噪音和系统复杂性中的“传感器疲劳”会逐步压垮SIEM和它的安全技术团队。企业安全团队正在努力从已部署的SIEM中发现真正价值,原因如下:

Threat2Alert.png

太多原始“噪音”:SIEM的一个重大困难在于其中输入的数据需要大量的过滤。如果过量的威胁元数据进入SIEM,可能会产生大量的误报,降低SIEM性能,也会强烈干扰监控和事件响应团队。此外,当无效的原始威胁信息流开始并入到SIEM中,它就无法分别情报的好坏。如果您的SIEM都无分辨,您又如何做到?

知己欠缺知彼: 虽然SIEM可以关联事件,或分析可疑或恶意活动,精确定位威胁。但是它缺乏专注于对手的意图或基于过去观察到的行为显示入侵者下一步可能做什么的能力。

只对已知威胁有反应:由于SIEM通常只能识别和标记已知威胁,而当您试图在恶意行为之前提前采取行动时,这将成为问题。如果一个持续的攻击者使用新的技术或工具来抵御企业的检测,SIEM本身无法检测到它,因为它对这种新方法并不熟悉。

2. 将威胁情报集合到SIEM中的好处

许多机构认为, SIEM和态势感知系统是解决安全分析困境的灵丹妙药,实际上它们只是一个起点。因为传统SIEM不是设计用来处理非结构化、具备多种格式的威胁情报,并且这些情报是分析所必需的,来自于不同来源。如果输入太多未经验证的数据,这些数据将会在实质上以垃圾信息的方式来阻碍企业的安全动脉,会快速导致SIEM消化不良并拖垮稀缺的安全分析资源。所以希望将一大堆未经审查的威胁数据输入SIEM,来实现一个所谓的威胁情报解决方案的,一定请三思。

威胁情报为安全团队提供了“及时识别和应对攻陷指标的能力“。虽然有关攻击的信息比比皆是,威胁情报在过程中识别攻击行为的实质是将这些信息与攻击方法和攻击进程的上下文知识紧密结合。

将SIEM与威胁情报匹配。企业将以敏捷和快速反应的方式应对不断发展的、大批量、高优先级的威胁。如果不进行匹配,企业则是在盲目地努力并且还要面对混乱报警的局面。

在SIEM中观察威胁会过度关注内部细节。所有形式的威胁数据,不论是结构化还是非结构化的, 都需要从更“全球化”的角度进行综合分析和研究。当使用筛选后的高质量威胁情报来预警时,你才能开始形成对于威胁的态势感知能力(它们可以对你做什么以及它们如何做),黑客基础设施和武器(它们从哪来),动机(为什么它们这么做)以及它们的目的和资源的全面的了解。

security-awareness-program.jpg

3. 用威胁情报来构建SIEM的主要部分,将SIEM与威胁情报平台绑定联动。

威胁情报平台可以帮助企业完成经常超过企业自身能力的、需要耗费大量劳动力的对于威胁情报的威胁分析。威胁情报平台是一个动态系统,从许多不同的来源自动采集威胁数据,然后将该数据相互关联,将其丰富,并将其无缝与基础安全设施联动。

通过威胁情报平台,企业可以汇总和合理化威胁数据自动筛选出攻陷指标(IOC)作为可机读威胁情报(MRTI),并且使用现存的日志对比匹配以便轻松发现不常见的趋势或线索,并对其有效执行操作。通过将团队、流程和工具结合在一起,威胁情报平台为安全团队提供了对于威胁来自哪里前所未有的视野,并可以从头到尾跟踪整个事件,通过报告,可指导安全响应并进行阻断。节省了追踪传统SIEM产生的误报所花的大量时间。

在威胁情报平台聚合的威胁情报和SIEM可让您对威胁进行有效的控制、验证、度量威胁情报的价值,并在SIEM中成熟地使用它来进行警报和阻断。通过威胁情报平台,可以确信您的数据是与威胁相关的并已经进行优先性排序的,以便您在SIEM中更正确地处置。

4. SIEM+威胁情报平台: 如何充分利用您的威胁情报?

如果正确实施的话,威胁情报可以增强检测和响应能力,节省时间,并帮助您做出更好的战略安全决策。但要充分利用威胁情报,威胁情报平台提供的一些最佳实践和工作流程能够帮助统一人员、流程和技术。

日志,事件和数据的进一步分析:基于两个系统之间的双向数据流,来自威胁情报平台的攻陷指标将自动发送到SIEM中进行警报,并将来自SIEM的特定事件发送回威胁情报平台来进行关联分析、数据挖掘和优先性排序。在威胁情报平台通过确定哪些来源或工具被识别出的恶意行为,可在网络中进行定位,分析人员可以锁定恶意行为的所在位置。

建立企业自身威胁知识库:综合性威胁情报平台可以作为企业的中央威胁信息库。帮助企业了解网络犯罪分子的工具、流程、受害者和预期目标。可以轻松地将来自过去的攻击者活动的信息与当前的信息进行关联,并从过去的攻击中学习,主动阻止攻击者当前和未来可能的攻击。

优化企业安全投资:利用内置的工作流程,威胁情报平台也可以将更智能的做法转移到SIEM及其他入侵检测安全工具中。

根据企业网络环境生成和优化情报:威胁情报平台没有像SIEM那样关注一系列事件找出矛盾的地方,而是增加了上下文信息和关系丰富的指标,从而使企业能够更好地了解威胁的性质、对企业的风险,更有效地做出全面的反应。帮助企业从战略上挫败攻击者,而不是玩打地鼠的游戏。

形成主动防御:威胁情报平台允许安全响应团队跨过自己的网络寻找线索和联系,这可以显示攻击企业的威胁与可能存在的威胁之间的关系,并发现新的相关的情报。使用这些信息,帮助安全团队变被动防御转为主动防御。

 2.png

一个高效的威胁情报平台(Threat Intelligence Platform,TIP)致力于精准发现内部失陷主机,帮助安全团队快速并准确定位威胁所在,提供威胁相关的丰富的上下文信息以供分析和响应。比如微步在线是基于庞大的威胁分析云,经验丰富而专注的分析师团队,深度学习技术积累,国内外领先的网络基础数据和威胁情报社区,帮助客户实现以下检测目标:

1. 以结果驱动的数据收集体系。

威胁情报中心是以实际的检测和分析能力输出作为驱动,与SIEM最大的差别在于不是数据的吸尘器,收集过多的数据只会产生更大的噪声,并对影响性能。仅收集必要的多源数据,极大降低了投入和运维成本,缩短建设周期,可快速见效,有助于帮助管理层逐步树立对大数据安全建设的信息。这也是国内知名威胁情报公司定位于聚焦威胁,情报驱动的初衷。

2. 能够快速准确的检测威胁,发现被控主机。

要基于海量数据和强大分析师团队提取遍布全球的恶意域名、IP等攻击基础设施在网络流量中准确发现失陷主机与被控端的连接。此外应用深度学习方法的DGA算法,发现对恶意动态生成域名的访问。TIP还在通过在主机端指定目录和进程中进行恶意软件和木马的发现,进一步帮助定位失陷主机。

3. 结合威胁情报数据和海量基础数据提升客户对威胁事件的分析能力。

有效的将企业安全分析所需的海量网络基础数据、黑客组织画像等基础能力植入本地TIP平台,帮助客户形成一整套用于威胁分析的能力体系。

在实际应用当中,一个高效的威胁情报中心还应具备的实战应用特性,如微步在线TIP:

基于出站流量检测,实现更全面的失陷主机发现。

具备主机Webshell和流行黑客工具检测功能。

具备主机恶意文件云端沙箱与多引擎分析,这是对未知威胁的有效检测机制。

可实现内部溯源分析:最大范围地发现内部被攻击的节点,帮助企业更快响应和处理。

可对安全事件进行关联分析。

能够与企业安全现有方案有效结合。

具备企业整体安全状态可视化能力满足企业态势感知需求。

部署灵活简单:可安装在虚拟机或者硬件设备上,对机器配置要求低,部署简单且维护成本低。

5. 结论:SIEM是非常重要的安全系统,但是它需要帮助才能发挥最大的潜能。

很简单:在配备威胁情报平台的情况下, SIEM才能发挥最大效能。威胁情报平台是分析人员理想的工作地点,通过将数据合并在一起,能够更全面地了解威胁。威胁情报平台帮助分析人员从所有来源获取数据,融合内部和外部数据,优化数据以进行更快分析。

security-control-rules.jpg

通过将SIEM与威胁情报平台相结合,企业可以将所有人、过程和技术统一在智能驱动的防御背后,获得强大的效果:

识别重要威胁:汇集企业内部日志,并将其与威胁情报相结合,以快速识别哪些反馈最适合企业环境。

更好地了解威胁的本质:超越SIEM的能力,为警报和事件添加情景和关联丰富的上下文,帮助企业更好地了解风险,做出更有针对性的反映。

丰富企业内部能力:通过共享威胁数据,并使用可靠的情报来源丰富企业能力。 

数据共享和存储:将平台用作历史威胁数据的知识库,帮助应对重新出现或持续存在的威胁。

优化工作流程和编排:使用平台工作流程,通过与其他安全基础架构的集成来驱动行动,将自身的事件数据转化为内部威胁情报(这是最有价值的情报)。并且从一个中心平台来消除碎片化,管理企业安全基础架构。

参考文献SIEM + Threat Intelligence: Quickly Identify the Threats that Matter to You 

本文作者:飞行鸵鸟,转载请注明来自FreeBuf.COM

骆沙鸣:尽快建立区域分布合理的工业大数据中心项目

猜您喜欢

华为携手东风总医院,打造区域医疗数据中心标杆
电信诈骗是怎样骗人的?这些内幕特别想告诉你们! http://news.chinacybersafety.com/201704186393.html
金龙镇开展道路交通运输领域安全大检查
防范军事间谍活动
MOREHELPONLINE TOPSTATUSS
信息安全意识教育要新招
华为组建Cloud BU强势杀入万亿云服务市场

揭秘HTTPS中S的另一面

就在我们刚刚弄清楚浏览器地址栏中“HTTPS”的重要性时,垃圾邮件发送者和恶意攻击者早就已经知道应该怎么将系统玩弄于股掌之间了。

1.png

Let’s Encrypt

Let’s Encrypt是一款自动化服务,它可以利用证书来帮助用户将此前未加密的URL地址转换成经过加密且安全系数更高的HTTPS地址。这就非常棒了,尤其是在这个证书价格贵过黄金的年代,很多永和根本负担不起这样的开销。所以由此不难看出,Let’s Encrypt在提升网络安全性和用户体验度方面毫无疑问地做出了巨大的贡献。

但是,Let’s Encrypt也给安全技术部门带来了很大的麻烦。因为这是一个免费服务,而且任何小白都可以轻松地将HTTPS引入自己的网站中,而网络犯罪分子同样可以利用Let’s Encrypt来欺骗广大善良的互联网用户。

当一个网站使用的是HTTPS,那么不仅用户会认为自己可以信任这个网站(因为使用了加密链接),而且类似Google Chrome这样的浏览器同样会在地址栏前面显示一个绿色的安全图标以及“安全(Secure)”字样。更加重要的是,很多隐私以及安全倡导者也在不停地敦促用户当他们访问一个网站时一定要确定这个网站地址栏拥有这样的安全标志,因为他们认为只要有这种绿色安全标志的网站都是安全的。

2.png

安全隐患

可能各位同学看到这里会觉得世界非常的美好,但事实并非如此。实际上,Let’s Encrypt现在已经成为了网络犯罪分子将钓鱼网站“合法化”的利器,这对于我们来说绝对是一个噩耗,而对于那些仅仅只能通过地址栏的绿色标识来判断网站安全性的用户来说,他们的“后院”随时都会起火。

根据证书经销商The SSL Store提供的信息,在2016年1月1日之2017年3月6日这段时间里,Let’s Encrypt总共颁发了15270份包含有“PayPal”字样的SSL证书。

需要提醒大家的是,The SSL Store仅仅是这些证书的一家提供商,所以Let’s Encrypt的使命并不是他们所真正关心的东西。而且根据他们提供的信息,上述绝大部分证书颁发于去年11月份,当时Let’s Encrypt几乎每天都会颁发将近一百个“PayPal”证书。根据随机抽查的数据显示,其中有96.7%的证书被用于伪装钓鱼网站等恶意活动。这家经销商表示,在研究人员调查伪造“PayPal”网站的过程中,他们还发现了很多其他的SSL钓鱼网站,受影响的服务商包括美国银行、Apple以及Google等。

这个问题已经存在了很多年了,而且目前的情况也是每况日下。在去年一月份,来自安全公司趋势科技(Trend Micro)的研究人员就发现了一个恶意广告活动,而这个活动主要针对的是那些使用了免费Let’s Encrypt证书的网站。当用户访问了恶意广告之后,便会被重定向至另一个托管了Angler Exploit Kit的站点。当用户访问了一个恶意Web页面之后,Angler将可以在用户毫不知情的情况下让目标主机感染恶意软件,而且整个过程完全不需要任何的用户交互。研究人员表示,超过50%的Angler所感染的都是勒索软件,所以在这类活动中,绝大部分的攻击者都是通过数据赎金来获取非法受益的。

3.png

趋势科技发现,这些恶意广告背后的攻击者在使用Let’s Encrypt申请HTTPS证书之前,还需要创建一个看起来真实性足够高的子域名,并以此来欺骗大部分的网上用户。这样一来,用户就可以看到钓鱼网站是拥有Let’s Encrypt证书的,这样就会让用户认为这是一个合法并且安全的网站了。

任何技术都存在两面性

一项优秀的技术诞生之后,即便它的设计初衷是好的,但它同样有可能被网络犯罪分子所利用,Let’s Encrypt也不例外。那么,我们为什么不能直接撤销掉那些很明显是伪造的PayPal证书呢?因为他们认为这并不是他们的问题。

Josh Aas是网络安全研究组织(ISRG,即Let’s Encrypt项目的管理方)的执行总裁,他在一月份接受InfoWorld的采访时表示,Let’s Encrypt并不需要对现在的HTTPS信任问题承担任何的责任,而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。Let’s Encrypt官方也将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。因为Aas认为,浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。

但是,即使Google将某个域名标记为了恶意HTTPS钓鱼网站,Let’s Encrypt也不会撤销他们的证书。因此,我们现在已经不能再通过浏览器地址栏前面的绿色标志以及“Secure”标记来判断一个网站是否安全了,这也意味着我们之前所做的相关安全普及工作也都白费了。

总结

我们应该尽可能地使用HTTPS,这一点毋庸置疑,但是我们并不能仅仅通过“HTTPS”就去判断一个网站是否安全。因为广大用户真的应该知道,HTTPS并不等于合法跟安全,而这也只适用于前几年的网络环境。因此,我们应该在点击某个链接之前,即使Chrome将这个链接标记为“安全”,我们也仍然要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素,因为浏览器说它是安全的,它也并非真的安全,而这就是我们所处的网络安全世界,任何人都有可能犯错。 

参考来源:engadget, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

云计算投资失策的启示

猜您喜欢

跨境电商专委会成立 小笨鸟跨境电商平台任主任单位
【第138期】以人民的名义,说说乌海检察信息宣传与保密的那些事儿 http://news.chinacybersafety.com/201704134659.html
小笨鸟跨境电商平台任跨境电商专委会主任单位
企业安全歌,唱红中国,唱响全球
BIZACTIONS SYLVITE
如果您的组织遭遇过由于最终用户的无知或疏忽而导致的安全事故,您应学习“建立信息安全意识培训计划”公开课程,详情见:
防止网络入侵,这些防火墙工具你一定要知道!

提高Linux安全性:14项检查建立安全的Linux服务器

1 – 记录主机信息 

每当您正在使用新的Linux主机进行安全增强时,您需要创建一个文档并记录本文档中列出的项目,工作完成后,您将需要检查这些项目。另外,在开始时该文档,您需要记录有关Linux主机的信息:

设备名称

IP地址

MAC地址

负责安全提升工作的人(实际上是你)

日期

资产编号(如果您正在开展业务,则需要记录设备的资产编号)

2 – BIOS保护

您需要为此主机的BIOS设置密码,以确保最终用户无法修改或覆盖BIOS中的安全设置,这非常重要!设置BIOS管理员密码后,您需要从外部媒体设备(USB / CD / DVD)禁用主机启动。如果忽略此设置,任何人都可以通过写入引导映像的U盘访问此主机中的数据。

在内置Web服务器的新服务器主板中,您可以使用它来远程访问主机数据。因此,您需要确保已经修改了服务器管理页面的默认密码,如果可以,直接禁用此功能。

3 – 硬盘加密

大多数Linux发行版允许您在继续安装之前加密磁盘。磁盘加密非常重要,因为当您的电脑被盗时,即使小偷将您的硬盘驱入自己的电脑仍然无法读取您的数据。

在下图中,选择列表中的第三个选项:引导使用整个磁盘并设置加密的LVM(LVM代表逻辑卷管理器)。

1-2.png

如果您的Linux发行版不支持加密,则可以选择使用TrueCrypt等加密软件。

2-2.png

4 – 磁盘保护

数据备份是一个很好的习惯,当系统崩溃或系统更新失败时,突出显示备份的优点。对于一些重要的服务器,为了防止灾难(包括自然灾害和人为因素)的影响,备份数据通常需要离线存储。当然,备份也要求我们花费精力去管理。例如,需要保存旧备份文件多长时间?什么时候需要备份系统?(每日或每周)?

核心系统磁盘需要分区:

/

/ boot

/ usr

/家

/ tmp

/ var

/选择

磁盘分区可能在系统故障的情况下仍然保护系统的性能和安全性。在下图中,您可以在安装过程中看到由Kali Linux提供的分区选项。

3-2.png

5 – 锁定引导目录

引导目录包含大量与Linux内核相关的重要文件,因此您需要确保目录仅通过以下步骤“只读”才能打开。首先打开“fstab”文件。

1-3.png

接下来,添加下图所示的最后一行数据。 

2-3.png

完成此步骤后,您需要执行以下命令来设置文件的所有者: 

#chown root:root /etc/fstab

那么您需要设置一些权限来保护启动设置:-以root身份设置/etc/grub.com的所有者和组:

#chown root:root /etc/grub.conf

-设置/etc/grub.conf文件只有root可以读写:

#chmod og-rwx /etc/grub.conf

-单用户模式需要认证:

#sed -i “/SINGLE/s/sushell/sulogin/”/etc/sysconfig/init

#sed -i “/PROMPT/s/yes/no/” /etc/sysconfig/init

6 – 禁用USB存储设备

根据您系统的重要性,有时您需要禁用Linux主机使用USB存储设备。有很多方法来禁用USB存储设备,以下是为您提供最常用的设备:

用你最喜欢的文本编辑器打开“blacklist.conf”文件:

#nano /etc/modprobe.d/blacklist.conf

 打开文件后,将以下信息添加到文件底部并保存并退出:

blacklist usb_storage

然后打开rc.local文件,添加以下两行数据:

modprobe –r usb_storage

exit 0

7 – 系统更新

第一次启动后,首先要更新系统,这个步骤应该被认为比较简单。通常,您可以打开终端,然后执行相应的命令。在Kali Linux中,您可以使用以下命令更新系统:

apt-get update & apt-get upgrade

8 – 检查已安装的软件包

列出您的Linux系统中的所有已安装的软件包,然后删除不需要的软件包。如果您正在服务器上工作,那么您必须非常小心,因为服务器通常仅用于安装应用程序和服务。您可以按照以下命令列出在Kali Linux中安装的软件包:

3-3.png

记住要禁用那些不需要减少服务器攻击面的服务。如果您在自己的Linux服务器中发现以下遗留服务,请快速删除它们:

Telnet服务器

RSH服务器

NIS服务器

TFTP服务器

TALK服务器

9 – 检查打开的端口

识别与互联网的开放连接是非常重要的任务。在Kali Linux中,我们可以使用以下命令查找隐藏的开放端口:

1-4.png

10 – 增强SSH的安全性

是的,SSH真的很安全,但是我们还要继续在现有的基础上增强其安全性。首先,如果你可以禁用SSH,那么问题就解决了。但是,如果仍然需要使用它,则需要修改SSH的默认配置。切换到目录/ etc / ssh,然后打开“sshd_config”文件。

1-5.png

-将默认端口号(22)更改为另一个号码(例如99)。 

-确保root用户无法通过SSH远程登录: 

PermitRootLogin no

-允许某些特殊用户:

AllowUsers [username]

如果您需要更丰富的配置,请确保您阅读SSH手册并了解该文件中的所有配置项。

另外,您还需要确保在“sshd_config”文件中配置以下配置选项:

协议2

IgnoreRhosts为yes

Hostbase验证无

PermitEmptyPasswords no

打开X11Forwarding 没有

MaxAuthTries 5

密码aes128-ctr,aes192-ctr,aes256-ctr

ClientAliveInterval 900

ClientAliveCountMax 0

UsePAM 是的

最后,设置文件访问权限,以确保只有root用户可以修改文件的内容:

#chown root:root etc/ssh/sshd_config

#chmod 600 /etc/ssh/sshd_config

11 – 启用SELinux

SELinux是支持访问控制安全策略的内核安全机制。SELinux有三种配置模式:

禁用:关闭

允许:打印警告

执法:政策是强制执行

打开配置文件:

#nano /etc/selinux/config 

确保SELinux已打开: 

SELINUX=enforcing

12 – 网络参数

保护Linux主机网络活动也非常重要,从来没有希望防火墙能够帮助您完成所有的任务。打开/etc/sysctl.conf文件并进行以下设置:

– 将net.ipv4.ip_forward参数设置为0。

– 将net.ipv4.conf.all.send_redirects和net.ipv4.conf.default.send_redirects参数设置为0。

– 将net.ipv4.conf.all.accept_redirects和net.ipv4.conf.default.accept_redirects参数设置为0。

– 将net.ipv4.icmp_ignore_bogus_error_responses参数设置为1。

13 – 密码政策

人们通常在不同的地方使用相同的密码,这是一个非常糟糕的习惯。旧密码存储在/ etc / security / opasswd文件中,我们需要使用PAM模块来管理Linux主机中的安全策略。在Debian版本中,您可以打开/etc/pam.d/common-password文件,并添加以下信息,以防止用户重复使用最近使用的四个密码:

auth      sufficient  pam_unix. so likeauthnullok

password  sufficient  pam_unix.so  remember=4

另一个密码策略是强制用户使用强大的密码。PAM模块提供了一个库(pam_cracklib),可以帮助您的服务器进行字典攻击和爆破攻击。打开/etc/pam.d/system-auth文件并添加以下信息:

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8lcredit=–1 ucredit=–2 dcredit=–2 ocredit=–1

Linux是密码哈希,所以你想确保系统使用SHA512哈希算法。

另一个有趣的功能是“五次锁定帐户后的密码输出错误”。打开/etc/pam.d/password-auth文件并添加以下数据:

auth required pam_env.so

auth required pam_faillock.so  preauth audit silent deny= 5unlock_time =604800

auth [success=1 default =bad] pam_unix.so

auth [default=die]  pam_faillock.so authfail audit  deny =5unlock_time=604800

auth sufficient pam_faillock.so  authsucc audit deny=5unlock_time = 604800

auth required pam_deny.so

然后打开/etc/pam.d/system-auth文件并添加以下信息:

auth required pam_env.so

auth required pam_faillock.so  preauth audit silent deny= 5  unlock_time=604800

auth [success=1 default =bad] pam_unix.so

auth [default=die]  pam_faillock.so authfail audit  deny =5unlock_time=604800

auth sufficient pam_faillock.so  authsucc audit deny=5unlock_time = 604800

auth required pam_deny.so

密码错误五次后,只有管理员可以解锁帐号,解锁命令如下:

# /usr/sbin/faillock –user <userlocked> –reset

另一个好习惯就是设置“密码到期后的90天”。

– 将/etc/login.defs中的PASS_MAX_DAYS参数设置为90。

– 修改当前用户的密码到期时间:

#chage –maxdays 90 <user> 

现在,我们必须限制对su命令的访问。打开/etc/pam.d/su文件,然后设置pam_wheel.so参数:

auth required pam_wheel.so     use_uid 

最后一步是禁止非root用户访问系统帐户。可以使用以下bash脚本完成此步骤:

#!/bin/bash

for user in `awk – F: ‘($3 < 500) {print $1 }’/etc / passwd`; do

if [ $user != “root”  ]

then

/usr/sbin/usermod  –L $user

if [ $user != “sync”  ] && [ $user  != “shutdown” ] && [  $ user  != “halt” ]

then /usr/sbin/ usermod –s /sbin/ nologin  $user

fi

fi

done

14 – 许可和验证

毫无疑问,如果要确保Linux主机的安全性,那么权限当然是最重要的。

使用以下命令为/ etc / anacrontab,/ etc / crontab和/etc/cron.设置适当的权限:

#chown root:root /etc/anacrontab

#chmod og-rwx /etc/anacrontab

#chown root:root /etc/crontab

#chmod og-rwx /etc/crontab

#chown root:root /etc/cron.hourly

#chmod og-rwx /etc/cron.hourly

#chown root:root /etc/cron.daily

#chmod og-rwx /etc/cron.daily

#chown root:root /etc/cron.weekly

#chmod og-rwx /etc/cron.weekly

#chown root:root /etc/cron.monthly

#chmod og-rwx /etc/cron.monthly

#chown root:root /etc/cron.d

#chmod og-rwx /etc/cron.d

为/ var / spool / cron分配适当的权限:

#chown root:root <crontabfile>

#chmod og-rwx <crontabfile>

为“passwd”,“group”,“shadow”和“gshadow”文件分配适当的权限:

#chmod 644 /etc/passwd

#chown root:root /etc/passwd

#chmod 644 /etc/group

#chown root:root /etc/group

#chmod 600 /etc/shadow

#chown root:root /etc/shadow

#chmod 600 /etc/gshadow

#chown root:root /etc/gshadow

本文作者:Enming0924,转载请注明来自FreeBuf.COM

安全基础理论课程助力培养全民网络安全意识

猜您喜欢

黑龙江精准发力 切实加强大风天消防安全工作
精密部署 齐抓共管 扎实开展保密工作 http://e365.learnatchina.com/201704073509.html
员工安全期刊在安全管理中的价值
网络安全公益短片防范移动僵尸网络
SOCIALGREETINGS AAII
电子培训系统的优势在于安全考核
贝克汉姆邮件凸显U-Mail邮件网关重要性