资产加固
资产管理属于蓝队前期要做的事情,首先客户单位对他自身的单位资产有一定的了解哪些资产的优先级和重要程度等等,所以开始要做相关的资产梳理,对客户单位进行统计,梳理,分析,找到哪些点是可以授权的
资产梳理
安全防护设备资产梳理
防御蓝队需清晰每台安全防护设备基本功能(系统的名称,设备的型号,系统的规则库、病毒库的版本号是否最新、IP地址、授权日期以及相关负责人等信息),有效期,厂家联络人,监管运维管理技术人员,机器设备责任者,运转状况,安全防护区域,是不是须要更新等状况开展合理整理和查验,并对存有的有关难题立即商议处理。若有条件公司可购入新式网络安全产品开展布署。
对外开放服务项目资产梳理
对外开放服务项目资产是蓝队紧密的侧重点。可对目前的应用服务器进合理归类,清晰服务器主机种类及版本信息,网站系统功能,系统软件间相关性,网站资产网站域名,ip详细地址,服务器端口,开发框架,分布式数据库种类及版本信息,网站服务器地理位置方向,使用人、管理者、责任者名字,联系电话等。
业务资源梳理
我们首要先梳理我们的业务资源,比如业务资源系统的名称,业务资源类型是web、app?,其次我们要知道其业务所部署服务器的类型版本,域名/IP、服务器端口、中间件、数据库、开发的框架、部署的位置,相关负责人的联系方式
风险梳理
账号权限风险(大量的弱口令,默认账号密码)
解决:其中包括了禁止共享账号、权限合理划分、删除无关账号、以及弱口令、口令强度的梳理排查,确保使用者符合最小授权原则。
互联网风险(开放式的,主要是web的漏洞为主)
解决:冗余资产、余资产指企业未能正式投入使用,但仍然占用系统资源运行的系统。通常包括旧版本的系统、旧数据库、测试环境等,由于阮余系统缺少人员的管理和维护,导致存在许多潜在安全风险,包括但不限于版本漏洞、弱口令、功能逻辑漏洞等。扫描并修复所有互联网业务系统及服务器的高、中危风险。对开发端口进行梳理,非必要的服务端口进行关闭
后台目录风险(也是web层面的,像目录遍历等)
开放不必要的后台目录可能会造成信息泄露或者源码泄露。在经过攻击者精心利用下可能会造成一些不必要的麻烦。所以可以在资产梳理的时候对后台开放目录进行整理,关闭不必要的目录。 dirsearch目录扫描
旁站风险( 放在同一个服务器上的两个站点 ,我想攻击B站点但B站点防护的很好但他有一个旁站A站点这时候把A站点拿下,以A站点为切入口拿下整个服务器权限)
C段风险(局域网的同一网段里面,攻击方可能进行扫描,当别的C端也有相关的漏洞这个时候就可以上传木马)
端口风险(每一个端口对应一个服务或者站点,对于没有必要的端口可以关闭)
作为一个网站,端口开放的情况也就意味着访问者能访问的情况。有一些敏感端口的开放无疑会造成一些重大风险,例3306,21,21端口,所以端口检测也是资产梳理的一个重大任务。工具namp,TCP全端口扫描。
暴露面收敛梳理(社交平台上发布一些信息,红队可能会对其进行收集)
公众号、小程序、移动app等等
信息收集方法
子域名收集:
在线子域名收集网站:https://phpinfo.me/domain/ Layer子域名挖掘机 子域名枚举:oneforall
挖洞必备的搜索引擎:谷歌,百度
网站:fofa,shodan
后台目录收集:
御剑后台扫描工具 目录构造(fuzz发姊)
后台地址收集:
1、手动尝试通用的后台如:域名/admin、域名/Admin、域名/user/admin
具有中国特色的后台:域名/管理员、域名/系统管理、域名/超级管理。
2.网页下方可能会有“后台登录”的链接。
字典查找:也可以去下些别人收集的字典…配合wwwscan 啊D黑客动画巴明小子旁注之类
的工具去扫描…不过成功机率不是很高(一般管理都是根据自己的习惯乱写的)当
然扫下总有好处的…说不定就会扫到后台或上传路径…
指纹识别:
在线指纹识别Whatweb:http://whatweb.bugscaner.com/look/
C段和旁站的概念
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
旁站的概念:
旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后就自然可以拿下该网站了!
在线c段|旁站查询#1:http://finger.tidesec.com/
端口扫描:
Nmap 御剑高速TCP全端口扫描工具
其他资产:
微信公众号,手机APP,天眼查
ip地址分类
IP地址是一个32位的二进制数,通常被分割为4个“8位二进制数”(也就是4个字节)。
IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例:点分十进IP地址(100.4.5.6),实际上是32位二进制数(01100100.00000100.00000101.00000110)。
为了方便管理,在很早的时候IP地址,一共分成了5类,范围分别如下:
A类IP:从0.0.0.0 – 127.255.255.255,共有16777216个IP
B类IP:从128.0.0.0 – 191.255.255.255,共有65536个IP
C类IP:从192.0.0.0 – 223.255.255.255,共有256个IP
D类IP:从224.0.0.0 – 239.255.255.255
E类IP:从2240.0.0.0 – 255.255.255.255
内网ip
内网IP(或者叫私网ip)其实是ABC三类地址中保留出的地址段,专门用作内网通讯。
A类地址:10.0.0.0~10.255.255.255
B类地址:172.16.0.0 ~172.31.255.255
C类地址:192.168.0.0~192.168.255.255
判断一个地址是否为内网,只要看下其是否在上面的ABC三类私网地址所在的范围即可。
外网ip
等同于公网ip。除了私网ip之外,其余统称为公网ip,这些ip可以在互联网设备上正常传输。
出口ip与入口ip
通常来说,访问他人提供的服务需要我们提供给对方我们的出口ip;他人访问我们的服务需要对方提供给我们对方的出口ip。
出口ip与入口ip不一定是同一个地址。
1)出口ip
目的地址为私网ip的数据包无法在互联网上传输。当目的地址为公网ip,源地址(发起请求的设备地址)为内网时,数据包能够顺利到达服务器,但服务器无法将响应数据报回复回来(服务器回复的数据报的目的地址是内网地址)。故为了使内网的笔记本/服务器能够正常访问到互联网的资源,网络设备会将私网设备发出的请求转换为外网ip。
查看自己的出口ip:
curl ifconfig.me
curl ipinfo.io/ip
curl ip.sb
curl icanhazip.com
curl http://icanhazip.com
curl http://ip.3322.net
curl https://httpbin.org/ip
curl -s http://httpbin.org/ip
最终具体请以网络部的通知为准。
当需要与第三方合作时,如果需要访问对方的服务,则一般需要告知对方我们的出口ip,方便对方进行访问授权。
入口ip
入口ip指的是你作为被访问端(server端),接收来自其他人(client端)的访问。即client端使用哪个地址来访问你的服务。
可以通过ping域名等方式得到。
当需要与第三方合作时,如果需要对方访问到自己的服务,则需要告知对方一个可访问的地址。并且授权对方的网络设备ip(对方的出口ip)允许访问我们的服务
Linux系统加固
控制系统账户: 系统账户默认存放在cat /etc/passwd中,你可以手动查询用户信息,我们直接除了Root账户需要登录以外,其他的账户全部设置为禁止登录。
使用 passwd -l 用户名 锁定用户登录,如下我们写BASH脚本批量的完成这个过程。
#!/bin/bashfor temp in `cut -d ":" -f 1 /etc/passwd | grep -v "root"`
dopasswd -l $temp
done
修改口令生存期: 口令生存期,即用户密码的过期时间,默认在cat /etc/login.defs | grep "PASS" 中存储着,我们需要把这个时间改小,如下配置即可。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 90 # 新建用户密码最长使用天数
PASS_MIN_DAYS 0 # 新建用户密码最短使用天数
PASS_MIN_LEN 7 # 新建用户密码到期提示天数
PASS_WARN_AGE 10 # 最小密码长度
设置口令复杂度: 设置新建用户时输入的口令复杂程度,该配置默认在cat /etc/pam.d/system-auth 文件中存放。
[root@localhost ~]# vim /etc/pam.d/system-auth#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10
在上方文件中添加如下一行配置,其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10
限制登录超时: 限制用户登陆成功后的等待时间,当用户终端无操作时则默认断开连接。
[root@localhost ~]# vim /etc/profileTMOUT=300
export TMOUT
限制TTY尝试次数: 该配置可以有效的防止,爆破登录情况的发生,其配置文件在cat /etc/pam.d/login中添加如下配置,这个方法只是限制用户从TTY终端登录,而没有限制远程登录。
[root@localhost ~]# vim /etc/pam.d/login#%PAM-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10[root@localhost ~]# pam_tally2 --user naizi查询远程登录次数
修改SSH远程端口: 修改SSH登录端口,这里可以修改为65534等高位端口,因为Nmap扫描器默认也就探测0-1024端口,这样能够有效的规避扫描。
[root@localhost ~]# vim /etc/ssh/sshd_config# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 65534 # 登录端口改为65534
MaxAuthTries=3 # 密码最大尝试次数3[root@localhost ~]# systemctl restart sshd
[C:\Users]$ ssh root@192.168.1.30 6553
禁止Root用户登录: 首先创建一个普通用户naizi,然后配置好Sudo授权,需要时使用Sudo授权执行命令,禁止Root用户登录主机。
# --------------------------------------------------------------------------------------------
# 创建普通用户 naizi
[root@localhost ~]# useradd naizi
[root@localhost ~]# passwd naizi# --------------------------------------------------------------------------------------------
# 给普通用户添加Sudo授权
[root@localhost ~]# vim /etc/sudoers## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
naizi ALL=(ALL) ALL
# --------------------------------------------------------------------------------------------
# 修改ROOT用户禁止登录系统
[root@localhost ~]# vim /etc/ssh/sshd_config
PermitRootLogin no[root@localhost ~]# systemctl restart sshd
除此之外,你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
[root@localhost ~]# vim /etc/ssh/sshd_configAllowUsers naizi admin # 指定允许登录的用户
AllowGroup naizi admin # 指定允许登录的用户组
登录警告提示: 通过修改 /etc/motd和/etc/issue.net来实现弹出警告提示框,当用户远程登陆以后就会提示以下的两行文字。
[root@localhost ~]# vim /etc/motd
[root@localhost ~]# vim /etc/issue.net-----------------------------------------------------------------------------------------------
Warning! If unauthorized, illegal login system, please exit immediately!!
Your system fingerprint has been recorded!!
-----------------------------------------------------------------------------------------------
限制Umask值: umask 值用于设置文件的默认属性,系统默认的Umask 值是0022,也就是U权限不动,G权限减去2,O权限减2,这里为了防止上传一句话木马,我们将系统的Umask值改为0777,也就是说,当用户新建任何文件的时候,其都不会具有(读写执行)权限,就算上传成功也不具有任何权限。
[root@localhost ~]# echo "umask 0777" >> /etc/bashrc
[root@localhost ~]# touch test1
[root@localhost ~]# mkdir test2
[root@localhost ~]#
[root@localhost ~]# ls -lh
total 0
----------. 1 root root 0 Aug 25 05:46 test1
d---------. 2 root root 6 Aug 25 05:46 test2
锁定系统文件: 锁定文件是Linux系统中最为强大的安全特性,任何用户(即使是root),都无法对不可修改文件进行写入、删除、等操作,我们将一些二进制文件设置为只读模式,能够更好的防止系统被非法篡改或注入恶意代码,一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/sbin/
[root@localhost sbin]# chattr +i /bin/
[root@localhost sbin]# chattr +i /sbin/
[root@localhost sbin]# chattr +i /usr/lib
[root@localhost sbin]# chattr +i /usr/lib64
[root@localhost sbin]# chattr +i /usr/libexec
限制GCC编译器: 如果系统已经被黑客入侵,那么黑客的下一个目标应该是编译一些POC文件,用来提权,从而在几秒钟之内就成为了root用户,那么我们需要对系统中的编译器进行一定的限制。
首先,你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。
[root@localhost ~]# rpm -q --filesbypkg gcc | grep "bin"[root@localhost ~]# chmod 000 /usr/bin/c89
[root@localhost ~]# chmod 000 /usr/bin/c99
[root@localhost ~]# chmod 000 /usr/bin/cc
[root@localhost ~]# chmod 000 /usr/bin/gcc
[root@localhost ~]# chmod 000 /usr/bin/gcc-*
[root@localhost ~]# chmod 000 /usr/bin/gcc-*
然后,单独创建一个可以访问二进制文件的编译器的组,赋予他这个组相应的权限。
[root@localhost ~]# groupadd compilerGroup
[root@localhost ~]# chown root:compilerGroup /usr/bin/gcc
[root@localhost ~]# chmod 0750 /usr/bin/gcc
至此,任何试图使用gcc的用户将会看到权限被拒绝的信息。
[naizi@localhost ~]$ gcc -c test.c
-bash: /usr/bin/gcc: Permission denied
限制日志文件: 接着我们需要对日志文件,进行一定的限制,因为一般情况如果系统被入侵了,日志文件将对我们取证有所帮助,而一旦被入侵以后,黑客首先会想办法清除这些痕迹,所以我们需要设置日志文件只能增加不能删除属性,防止其将日志删除掉。
[root@localhost ~]# cd /var/log/
[root@localhost log]# chattr +a dmesg cron lastlog messages secure wtmp [root@localhost log]# lsattr secure
-----a---------- secure[root@localhost log]# rm -fr secure
rm: cannot remove ‘secure’: Operation not permitted
最小化防火墙规则: 配置防火墙,拒绝所有端口,只放行SSH,HTTP这两个必要的端口。
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -p INPUT DROP[root@localhost ~]# iptables -I INPUT -p tcp --dport 6553 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 6553 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --doprt 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
[root@localhost ~]# iptables-save
开启SELinux: 由于系统管理员都会关闭,所以这里要手动开启。
[root@localhost ~]# vim /etc/selinux/config# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing[root@localhost ~]# setenforce 1
开启SeLinux后,会发现sshd服务无法正常启动了,这是因为SELinux策略生效了,下面我们需要修改配置。
SELinux放行SSH端口: 通过 Semanage 管理工具放行6553这个端口。
[root@localhost ~]# yum install -y policycoreutils-python-2.5-29.el7.x86_64[root@localhost ~]# semanage port -l | grep ssh
ssh_port_t tcp 22[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 6553[root@localhost ~]# semanage port -l | grep ssh
ssh_port_t tcp 6553, 22
设置Web目录权限: 通过 semanage 命令设置,web目录权限。
[root@localhost html]# semanage fcontext -a -t httpd_sys_content_t /var/www/html/index.html[root@localhost html]# ls -Z
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html
