网络安全之操作系统实验.docx
《网络安全之操作系统实验.docx》由会员分享,可在线阅读,更多相关《网络安全之操作系统实验.docx(16页珍藏版)》请在冰豆网上搜索。
网络安全之操作系统实验
附录F网络安全之操作系统实验
IIS5.0安全配置
实验目的:
掌握IIS基本配置方法;
实验环境:
Windows2000
实验步骤:
1.去掉IIS的组件:
点击开始控制面板添加/删除程序windows组件,
(1)INTERNET信息服务(IIS)中选择以下几个组件:
INTERNET服务管理器
INTERNET服务管理器(HTML)
WORLDWIDEWEB服务器
公用文件
文档
其余的组件都不要安装
(2)避免安装在主域控制器上
2.更改www服务端口为8080
点击开始管理工具Internet服务管理器
如下图所示,TCP端口为8080,则在浏览器中输入时应该为http:
//servername:
8080。
3.主目录设置
一、站点目录配置
不要将IIS安放在系统分区上,否则容易使非法用户侵入系统分区。
首先在与系统分区不同的另一个分区,建一个发布站点的目录,如在D盘下建mywebsite目录,启动IIS服务管理器后,右键点击默认的WEB站点或自己新建的站点,点“属性”,再点“主目录”标签,如下图:
在本地路径框中输入刚才建立的目录,注意下面的多个访问的复选框中,无特殊要求,只选“读取”即可,如果允许写入或目录浏览的话,则通过浏览器便可直接写入或浏览目录,这样会很不安全。
最新的MDAC(data/download.htm)(建议)
说明:
MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。
注意:
在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来档漏洞,祥见漏洞测试文档。
二、删除无用脚本映射
右键点击选定站点,点属性,在“主目录”标签中,点击右下方的“配置”按扭,出现下图界面,选中无用的映射关系点“删除”按扭,
4.目录安全性设置
一、匿名访问和验证控制
进入Internet服务管理器后,右键点击左侧的的默认web站点或自己建立的站点名称,点属性,点击“目录安全性”标签,在匿名访问和验证控制项中点编辑,出现如下图界面
二、IP地址和域名限制
IIS可以设置允许或拒绝从特定IP发来的服务请求,有选择地允许特定节点的用户访问服务,你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器,操作如下:
在IIS的所选站点中,“目录安全性”标签中点击IP地址及域名限制中的“编辑”按扭,可以看到如下图所示界面,可按自己的要求选择授权访问或是拒绝访问,再点击“添加”按扭,将IP地址输入即可,如果对域名限制,则可点DNS。
三、安全通信
具体操作如下:
仍在“目录安全性”标签下,点“安全通信”中的“服务器证书”按扭,开始导入证书,
如果已有证书,则在导入过程中选择“分配一个已存在的证书”,如图
当把证书导入成功后,“安全通信”中的“查看证书”和“编辑”按扭便会由灰色变成可用,这时点击“编辑”按扭,这时可以对安全通信进行一些设置。
设置完成后,在浏览器中必须输入https:
//servername。
删除Windows2000/XP特殊共享
实验目的:
掌握windows基本安全配置方法;
实验环境:
Windows2000
实验步骤:
在计算机管理中删除了这些共享后,下次重新启动后会自动出现,所以只有通过更改注册表来删除这些共享:
点击开始——>运行——>regedit回车,做如下修改:
Key:
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:
AutoShareServer
Type:
DWORD
Value:
0
在win2000Server中如果找不到AutoShareServer这个键名,可以自己新建一个,同样生效;如果操作系统是工作站类型的需要将AutoShareWKSr这个键名
删除Windows2000/XP空会话
实验目的:
掌握windows基本安全配置方法;
实验环境:
Windows2000/XP
实验步骤:
空会话通常使用TCP139,135端口
1.在开始运行中键入regeidt,在注册表中查找相应键值:
Key:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Name:
RestrictAnonymous
Type:
REG_DWORD
Value:
1|2
说明:
把该值设为1时,匿名用户无法列举主机用户列表;
把该值设为2时,匿名用户无法连接你的IPS$共享,不建议使用2,否则可能会造成你的一些服务无法启动,如SQLServer...
2.或者点击开始——》程序——》本地安全策略
启用windows安全审核功能
实验目的:
掌握windows基本安全配置方法;
实验环境:
Windows2000
实验步骤:
1.访问文件夹的审核:
在NTFS分区上选择一个要审核的目录,右键点击此目录,在菜单中点“属性”——》点“安全”标签,点“高级”按扭,在出现的对话框中选择“审核”标签,再点“添加”按扭,出现要审核的项目,如下图,则可以按自己的需要对要审核项打勾,然后点“确定”按扭即可。
审计成功:
可以确定用户或服务获得访问指定文件、打印机或其他对象的频率。
审计失败:
警告那些可能发生的安全泄漏。
2.审核策略:
启动本地安全策略,点开“本地策略”项,点“审核策略”,右侧会有设置项,推荐的审核如下图示。
3.安全事件查看并分析
除了上述审核与安全性有关的事件外,Windows2000还生成安全日志并提供了查看日志中所报告的安全事件的方法。
具体操作如下:
点击开始——》管理工具——》事件查看器——》安全事件,这时会把曾设置的安全审核后,发生的事件显示出来,双击某一事件可以查看其详细信息,如图:
去除Wndows2000对其他操作系统的支持
实验目的:
掌握windows基本安全配置方法;
实验环境:
Windows2000
实验步骤:
Win2K可以很好地支持其他操作系统,允许例如OS/2和POSIX的应用程序向服务器发送请求以执行代码。
这种功能通常叫做Win2K的子系统。
Win2K的子系统一般情况下不会用到,但却是一个很大的安全漏洞,应该采取措施堵住它。
关闭这个漏洞的最简单方法是去掉这个子系统,使它们无法使用。
这不会给Win2K服务器或IIS带来任何问题,因为它们是在Win32子系统中运行的。
禁止OS/2和POSIX要通过删除相关文件和改写相关注册表键值来完成,步骤如下:
1.删除“\HKLM\Software\Microsoft\OS/2SubsystemforNT”下面所有的子键。
2.除“\HKLM\System\CurrentControlSet\Control\SessionManager\Environment”中的值Os2LibPath。
3.清除“\HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems”中Optional的内容,但是保留值Optional的名字。
4.删除“\HKLM\System\CurrentControlSet\Control\SessionManager\SubSystems”中的值Os/2和Posix。
在Linux系统中禁止系统对ping事件的响应
实验目的:
掌握Linux基本安全配置方法;
实验环境:
linux8.0
实验步骤:
进入etc/rc.d目录,编辑rc.local文件:
在“/etc/rc.d/rc.local”中加入echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all即可(每次系统重新启动后自动执行该命令)
结果测试:
ping目标IP
避免Linux系统暴露系统版本号、内核版和服务器名称等信息
实验目的:
掌握Linux基本安全配置方法;
实验环境:
linux8.0
实验步骤:
1.编辑“/ect/rc.d/rc.local”文件,在下面这些行的前面加上“#”:
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
#echo"">/etc/issue
#echo"$R">>/etc/issue
#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue
#cp-f/etc/issue/etc/
#echo>>/etc/issue
2.删除“/etc”目录下的“”和“issue”文件:
[root@kcn]#rm-f/etc/issue
[root@kcn]#rm-f/etc/
给Linux口令文件和组文件设置不可改变位系
实验目的:
掌握Linux基本安全配置方法;
实验环境:
linux8.0
实验步骤:
[root@kcn]#chattr+i/etc/passwd
[root@kcn]#chattr+i/etc/shadow
[root@kcn]#chattr+i/etc/group
[root@kcn]#chattr+i/etc/gshadow
结果测试:
[root@kcn]#vi/etc/passwd
说明:
执行以下步骤,可取消i标志位
[root@kcn]#chattr-i/etc/passwd
[root@kcn]#chattr-i/etc/shadow
[root@kcn]#chattr-i/etc/group
[root@kcn]#chattr-i/etc/gshadow
如何打开(关闭)Linux下的ftp服务
实验目的:
掌握Linux基本安全配置方法;
实验环境:
linux8.0
实验步骤:
1.打开服务:
[root@kcn]#cd/etc/xientd.d
[root@kcn]#vivsftpd
“disable=no”(编辑此行)
[root@kcn]#/etc/rc.d/init.d/xinetdrestart
结果测试:
可以通过netstat–an看是否打开21端口
2.关闭服务
[root@kcn]#cd/etc/xientd.d
[root@kcn]#vivsftpd
“disable=yes”(编辑此行)
[root@kcn]#/etc/rc.d/init.d/xinetdrestart
结果测试:
可以通过netstat–an看是否打开21端口
4.停止服务
[root@kcn]#/etc/rc.d/init.d/xinetdstop
结果测试:
可以通过netstat–an看是否打开21端口
检查SUID/SGID位有效的文件
实验目的:
掌握Linux基本安全配置方法;
实验环境:
linux8.0
实验步骤:
系统中SUID和SGID文件很有可能成为安全隐患,必须被严密监控。
因为这些程序都给执行它的用户一些特权,所以要确保危险的SUID程序没有被安装。
黑客常常利用SUID程序,故意留下一个SUID的程序作为下次进入系统的后门。
注意系统中所有的SUID和SGID的程序,并跟踪它们,这样你就可以尽早发现入侵者。
1.用下面的命令查找系统中所有的SUID和SGID程序:
[root@kcn]#find/-typef\(-perm-04000-o-perm–02000\)-execls;
用ls-l命令列出来的文件,如果文件的权限位中出现“s”,则这些文件的SUID(-rwsr-xr-x)或SGID(-r-xr-sr-x)位被设定了。
因为这些程序给执行它的用户一些特权,所以如果不需要用到这些特权,最好把这些程序的“s”位移去。
2.可以用下面这个命令“chmoda–s<文件名>”移去相应文件的“s”位。
可以清除“s”位的程序包括但不限于:
从来不用的程序
不希望非root用户运行的程序
偶尔用用,但是不介意先用su命令变为root后再运行。
下面加了星号(*)的程序,我个人认为有必要移去“s”位。
注意,系统可能需要一些SUID的程序才能正常运行,所以要千万小心。
用下面的命令查找所有带“s”位的程序:
[root@kcn]#find/-perm-04000-o-perm-02000-print
*-rwsr-xr-x1rootroot35168Sep2223:
35/usr/bin/chage
*-rwsr-xr-x1rootroot36756Sep2223:
35/usr/bin/gpasswd
*-r-xr-sr-x1roottty6788Sep618:
17/usr/bin/wall
-rwsr-xr-x1rootroot33152Aug1616:
35/usr/bin/at
-rwxr-sr-x1rootman34656Sep1320:
26/usr/bin/man
-r-s--x--x1rootroot22312Sep2511:
52/usr/bin/passwd
-rws--x--x2rootroot518140Aug3023:
12/usr/bin/suidperl
-rws--x--x2rootroot518140Aug3023:
12/usr/bin/sperl5.00503
-rwxr-sr-x1rootslocate24744Sep2010:
29/usr/bin/slocate
*-rws--x--x1rootroot14024Sep901:
01/usr/bin/chfn
*-rws--x--x1rootroot13768Sep901:
01/usr/bin/chsh
*-rws--x--x1rootroot5576Sep901:
01/usr/bin/newgrp
*-rwxr-sr-x1roottty8328Sep901:
01/usr/bin/write
-rwsr-xr-x1rootroot21816Sep1016:
03/usr/bin/crontab
*-rwsr-xr-x1rootroot5896Nov2321:
59/usr/sbin/usernetctl
*-rwsr-xr-x1rootbin16488Jul210:
21/usr/sbin/traceroute
-rwxr-sr-x1rootutmp6096Sep1320:
11/usr/sbin/utempter
-rwsr-xr-x1rootroot14124Aug1722:
31/bin/su
*-rwsr-xr-x1rootroot53620Sep1320:
26/bin/mount
*-rwsr-xr-x1rootroot26700Sep1320:
26/bin/umount
*-rwsr-xr-x1rootroot18228Sep1016:
04/bin/ping
*-rwxr-sr-x1rootroot3860Nov2321:
59/sbin/netreport
-r-sr-xr-x1rootroot26309Oct1120:
48/sbin/pwdb_chkpwd
用下面的命令禁止上面选出来的SUID的程序:
[root@kcn]#chmoda-s/usr/bin/chage
[root@kcn]#chmoda-s/usr/bin/gpasswd
[root@kcn]#chmoda-s/usr/bin/wall
[root@kcn]#chmoda-s/bin/ping
[root@kcn]#chmoda-s/sbin/netreport
升级会员 