Mysql安全基线 NO.1 增强root帐户密码登陆、删除空密码 原因 一、简单密码容易暴力破解二、mysql默认是空密码 解决 一、增强密码强度- 22位以上- 同时包含大写字母、小写字母、数字、特殊字符...- 密码不重复使用- 密码定期更换(60天、90天)二、给空密码帐号加上密码mysqladmin -u root password “newpassword”mysql> use mysql;mysql...NO.2 删除默认数据和帐户 原因 Mysql默认会有空用户和test库 解决 删除test库和除root外帐户再按照业务需求添加mysql> drop database test;mysql> delete...mysql> update user set user=’newrootname’ where user=’root’;mysql> flush privileges; NO.4 限制用户的连接数 原因.../local/mysqlchown -R mysql.mysql /usr/local/mysql/var/ NO.6 历史命令泄漏 原因 linux的历史命令可能会泄漏mysql的帐号密码等信息 解决
#!/bin/bash # +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ # # Filename: in...
概述 我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。...同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性 中间件安全基线配置手册 1....概述 1.1 目的 本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。...Nginx基线配置 2.1 版本说明 使用Nginx官方稳定版本,当前提供下列版本: Nginx 1.22.1 Nginx 1.24.0 2.2 安装目录 /opt/nginx-{version} 2.3...查看当前 Nginx 版本: nginx -v 官网下载最新的安全补丁:Nginx 下载。
Nginx安全基线 NO.1 禁止某些文件类型的访问 原因 某些文件不小心传如web目录后存在很大风险 解决 location *.
[TOC] 0x00 前言简述 描述: 由于最近工作和学习的需要就将针对于Windows系统的一些安全配置做了如下记录,便于后期的知识结构化,并在后续的工作继续进行添加安全加固的一些技巧,同时希望广大的大佬也能多多扩充安全加固配置项...基础纲要 本章主要纲要: 1) 2) 3) Windows Server 安全基线关键项 4) Windows Server 安全基线检查与设置脚本编写 ### 适用范围: Windows Server...、入侵防范、恶意代码防范、剩余信息保护这7个方面 参考学习 参考标准: 1)《电信网和互联网安全防护基线配置要求及检测要求操作系统》(YD/T2701-2014) 2) ---- 0x01 0x02...安全基线关键项 1) 主机安全 1.1 系统账户 1.1.1 优化账号 操作目录: a) 减少或者不启用系统无用账号,降低风险 b) 建立一个普通权限的用户 c) 防止账户被爆破通杀 检查方法 :...1.1.3 账号口令策略调整 操作目的: a) 按照《网络安全等级保护基本要求》 进行调整增强口令的复杂度及锁定策略等降低被暴力破解的可能性 b) 按照《电信网和互联网安全防护基线配置要求及检测要求操作系统
但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。...1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。...2.基线扫描 使用自动化工具、抓取系统和服务的配置项。...将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档 3.基线加固自动化脚本的编写...本篇文章主要是记录和学习安全加固脚本,首先放几张安全加固shell脚本的命令语法: 基本命令语法介绍完了,借用网上的脚本来学习: 在执行脚本前需要提前做好备份: #!
对组织的运维和安全人员来说,如果运行的业务系统一直不出事,是想不到要做基线配置、升级补丁、修复漏洞这些事情的,考虑做基线管理,通常来自于3个原因: 合规性性要求,上级安全检查; 遇到安全事件,根源落在安全配置或加固未做好的原因上...二、怎样做好基线配置管理 从整个安全工作来说,需要组织高层的支持,基线配置管理也同样需要,安全运维人员需要跟业务、开发、运维一起讨论,定制一个适用的基础运维环境统一计划,使用相同版本的操作系统和应用软件...制定基线配置模板 基线配置模板可以包含运维和安全2个部分,运维部分如性能相关配置、稳定性相关配置、个性化配置。...安全的基线配置可以参考2个来源:工信部基线配置要求; ?...四、总结 落实好基线配置还是于其他部门做好配合,一般安全基线的创建和检查属于安全部门负责,实际的实施由运维来做,如果没有比较成熟的运维能力和系统支持,做基线效率很低容易遗漏。
apt-get install libpam-cracklib 2、编辑/etc/pam.d/common-password,在password requisite pam_cracklib.so开头的这一行配置...特殊字符等4类字符中的3类或4类)设置为3或4,即在行末尾加上参数minclass=3;在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置...降低密码猜测攻击风险 加固建议 编辑/etc/pam.d/common-password,在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置...描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no...ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 设置用户权限配置文件的权限 | 文件权限 描述 设置用户权限配置文件的权限 加固建议
0x01 介绍 最近在做安全基线检查相关的,网上有一些代码比较零散;也有一些比较完整的项目,比如owasp中的安全基线检查项目,但是收费;还有一些开源且完整的,比如lynis,但是不符合我的要求。...我的要求如下: 能够对操作系统、中间件和数据库进行基线检查 脚本在系统上进行基线检查后的结果或者收集到的数据能够传输到一个服务端 服务端要做可视化展示 最终的效果是什么呢?...最好能够达到阿里云里的安全基线检查的样子,差一点的话也没关系啦。本篇文章是代码中在centos7和win2012系统中将要检查的项目,参考CIS标准而来。...客户端基线搜集与检查代码在SecurityBaselineCheck现在完成了Centos和Windows2012基线检查的编写,脚本(简称agent)只在要检查的服务器上运行并显示检查结果。...基线检查比较容易,只需要根据规范收集信息进行比较即可,而系统加固涉及的面就比较多了,不同的环境有不同的配置,系统加固一不小心就容易对系统环境造成损坏,所以这个项目不准备添加系统加固的功能 该项目的详细地址
操作时建议做好记录或备份 检查是否配置Nginx账号锁定策略。...| 服务配置 描述 Nginx进程启动账号状态,降低被攻击概率 加固建议 修改Nginx进程启动账号: 1、打开conf/nginx.conf配置文件; 2、查看配置文件的user配置项,确认是非...修改Nginx配置文件权限: 执行chmod 644 来限制Nginx配置文件的权限;(为配置文件的路径,如默认/安装目录/conf/nginx.conf...或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找) 操作时建议做好记录或备份 针对Nginx SSL协议进行安全加固 | 服务配置 描述 Nginx SSL协议的加密策略进行加固...加固建议 Nginx SSL协议采用TLSv1.2: 1、打开conf/nginx.cconf配置文件(或主配置文件中的inlude文件); 2、配置 server {
加固建议 在redis的配置文件redis.conf中配置如下:bind 127.0.0.1或者内网IP,然后重启redis 操作时建议做好记录或备份 打开保护模式 | 访问控制 描述 redis默认开启保护模式...加固建议 redis.conf安全设置: # 打开保护模式protected-mode yes 操作时建议做好记录或备份 限制redis 配置文件访问权限 | 文件权限 描述 因为redis密码明文存储在配置文件中...,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 //redis.conf 操作时建议做好记录或备份...修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号...,设置配置项requirepass, 开户密码认证。
如有特殊需求,请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求.../error.jsp,在webapps目录下创建error.jsp,定义自定义错误信息 操作时建议做好记录或备份 开启日志记录 | 安全审计...描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。...param-value>false 操作时建议做好记录或备份 删除项目无关文件和目录 | 访问控制 描述 Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险...加固建议 可使用以下方式修复加固 升级到以下安全版本进行防护 版本号 下载地址 Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi
MySQL 基线检查项 参考链接: https://github.com/wstart/DB_BaseLine 账号权限基线检查 run_power_test 启动 MySQL 的系统账号 是否单独创建...且 不允许登陆 默认管理员账号是否存在 高级权限账号 是否是必须 系统数据库 MySQL 的高级权限账号 是否必须 具有特定的高级权限账号是否必须 File_priv 文件权限 Process_priv...run_network_test 默认端口 是否修改 网络连接方式 是否为 SSL 文件安全基线检查 run_file_test 数据库文件路径 show variables where variable_name...= 'datadir' 检查MYSQL命令执行历史记录 ~/.mysql_history 敏感的日志,查询,错误,审计文件 log_bin_basename log_error slow_query_log_file...general_log_file audit_log_file relay_log_basename 数据库配置基线检查 run_config_test 错误日志是否开启 SHOW variables
MySQL基线指标的采集: 关键指标 qps tps connections slave_lag cpu_load disk load memory usage 系统指标 采集方式 df node_exporter...ps uptime vmstat / netstat / dstat / iostat MySQL指标 采集方式 SHOW [TABLE] STATUS SHOW FULL PROCESSLIST...INFORMATION_SCHEMA 库 PERFORMANCE_SCHEMA 库 sys 库 slow query log mytop/innotop/pt-toolkit mysqld_exporter MySQL...3、其它文件大小估计 3.1 MySQL在大的查询过程中,可能会产生巨量临时表。...http://www.jebriggs.com/blog/2010/07/mysql-storage-capacity-planning/
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 2、 确保设置了引导程序密码...文件中设置以下参数: kernel.randomize_va_space = 2 运行以下命令来设置内核参数: sysctl -w kernel.randomize_va_space=2 6、 确保已配置...如下所示: MaxAuthTries 4 8、 确保已禁用SSH空密码登录 编辑/etc/ssh/sshd_config文件以设置参数: PermitEmptyPasswords no 9、 确保配置了密码尝试失败的锁定
对于电脑系统来说安全是第一大问题,所以每一个电脑系统或者主机系统都会配置许多的防护软件以及安全软件。...定期的来检查电脑的安全系统,以及一些其他的系统安全问题,可以有效的预防电脑漏洞的出现以及安全隐患的出现。现在来了解一下linux主机安全基线检查脚本怎么做?...linux主机安全基线检查脚本 linux主机安全基线检查脚本是Linux主机安全维护当中重要的一环。通过主机安全基线检查脚本可以有效的防止和提前发现一些主机问题。...安全基线的检查内容 上面已经提到linux主机安全基线检查脚本是非常重要的一件事情,那么在安全基线的检查当中,都有哪些内容需要检查呢?首先是要进行共享账号的检查。还有多余账户锁定策略检查。...除此之外,安全基线的检查内容还有好多,在进行专业的脚本检查时,应当全部检查毫无遗漏。并且定期进行检查,防止其他的漏洞出现。 以上就是linux主机安全基线检查脚本怎么做的相关内容。
在安全配置基线方面,企业可下发操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范,因为系统初始安全配置基线可以采用集体下发的标准。...四、企业建立安全基线步骤 安全基线的建立是以对业务系统的安全评估和基线梳理基础上的。 1.建立基线配置管理规划 在了解组织现有资产情况(负责人是谁?现在运行的操作系统是什么版本,支持系统是什么版本?...主机安全基线是指为满足安全规范要求,服务器安全配置必需达到的标准,一般通过检查各安全配置参数是否符合标准来度量。...3.制定基线配置模板 基线配置模板可以包含运维和安全2个部分,运维部分如性能相关配置、稳定性相关配置、个性化配置。...安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开启HTTP通信,但一个WAP网关边界就没有这样的需求,因此在设计业务系统安全基线的时候
降低密码猜测攻击风险 加固建议 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置...14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置...ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 确保SSH MaxAuthTries设置为3到6之间 | SSH服务配置 描述 设置较低的.../sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: MaxAuthTries 4 操作时建议做好记录或备份 确保rsyslog服务已启用 | 安全审计
->管理工具->本地安全策略” 2....强制密码历史:>=5个 账户策略 复位账户锁定计数器大于等于15分钟 账户锁定时间大于等于15分钟 账户锁定阈值小于等于10次 加固方案-参考配置操作: 1.进入“控制面板->管理工具->本地安全策略”...四、剩余信息保护策略组检测 关机检测 关机前清除虚拟内存页面 加固方案-参考配置操作: 1. 进入“控制面板->管理工具->本地安全策略”. 2....在“本地策略->安全选项”中:将“关机:清除虚拟内存页面文件”,双击,修改状态为“已启用”。 登录检测 Windows登录屏幕不显示上次登录的用户名 加固方案-参考配置操作: 1....进入“控制面板->管理工具->本地安全策略”. 2. 在“本地策略->安全选项”中:将“交互式登录:不显示上次登录”,双击,修改状态为“已启用”。
本文基于小程序在电商领域的应用场景,将常见的安全问题进行分析汇总,整理成安全需求基线,以期不断地完善,然后在更多的业务场景下应用。 ---- 01、基础安全 涉及数据敏感,采用私有化部署。...03、业务安全 防越权绕过,对用户权限进行认证。 例如,遍历用户id导致敏感信息泄露,需对用户进行权限验证。 防业务逻辑绕过,防止用户可以直接执行后面的流程,从而绕过某些阶段。...禁止在小程序前端代码中,写入明文的AppId和secret、AccessKey及其他敏感配置信息。 敏感数据前端展示,应进行脱敏处理,敏感数据包括但不仅限于姓名、手机号、地址等。...(4)禁止使用不安全的鉴权方式,例如使用手机号鉴权,可能存在信息泄露的风险。 06、其他 正式发布前,要关闭小程序调试模式。 进行渗透测试,针对前端代码和小程序API进行安全检测。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
