1、系统安装最小化

1）根据经验，选择安装包时应该按最小化原则，即不需要的或者不确定是否需要的就不安装，这样可以最大程度上确保系统安全。

2）如果安装过程落了部分包组或者其他伙伴安装时没选，再安装后可以按如下方式补上安装时未安装的包组：

yum groupinstall "Compatibility libraries" "Base" "Development tools"

yum groupinstall "debugging Tools" "Dial-up Networking Support"

可以通过yum groupinfo 包组查看具体安装的组件。

注意：不要使用yum的删除功能删除软件，会删除相关依赖，导致意外问题。

3） 安装系统补装工具命令

安装系统后还会有一些基本的工具没装，这时可以根据需求yum来安装下，啥时用啥时装也可。例如：

yum install tree nmap sysstat lrzsz dos2unix -y

如果需要更新补丁则执行

yum update



2、系统权限最小化

linux/unix是一个多用户、多任务的操作系统。

超级管理员(root)： root默认在unix/linux操作系统中拥有最高的管理权限。比喻：皇帝。

普通用户：管理员或者具备管理权限的用户创建的。权限：系统管理仅可以读、看，不能增、删、改。

权限越大，责任越大。

可使用如下命令添加一个普通用户账号，并为其设置口令：

[root@oldboy ~]# useradd luffy

[root@ oldboy ~]# passwd luffy ###问你新的密码，然后你输入 交互设置密码

Changing password for user luffy.

New password:

BAD PASSWORD: it is too simplistic/systematic #ç提示密码太简单了，但可以不理会。

BAD PASSWORD: is too simple

Retype new password:

passwd: all authentication tokens updated successfully.

提示：

非交互式设置密码：还可通过下面的命令一步到位地设置密码（其中，luffy为用户名，密码为123456）。

echo "123456"|passwd --stdin luffy && history -c

尝试切换用户角色，命令如下：

[root@ oldboy ~]# su - luffy <==由root管理员，切换到普通用户luffy

[luffy@ oldboy ~]whoami<==查看当前用户是什么luffy[luffy@oldboy ] su - root <==切回到root用户

Password:

说明：

1）超级用户root切换到普通用户下面，无需输入对应用户密码，这相当于“皇帝”去“大臣”家里。

2）普通用户切换到root或其他普通用户下，需要输入切换的对应用户密码。

3）普通用户的权限比较小，只能进行基本的系统信息查看等操作，无法更改系统配置和管理服务。

4）符号是普通用户的命令行提示符，#符号是超级管理员的提示符。示例如下： [luffy@ oldboy ~] #普通用户luffy对应的提示符

[root@ oldboy ~]# #超级管理员root对应的提示符

5）提示符@前面的字符代表当前用户（可用whoami查询），后面的为主机名（可用hostname查询），~所在的位置是窗口当前用户所在的路径。示例如下：

[luffy@ oldboy ~]#luffy为当前用户,Oldboy为主机名，~表示当前目录，即家目录。 6）Linux命令提示符由PS1环境变量控制。示例如下： [root@ oldboy ~]# echoPS1

[\u@\h \W]$

这里的PS1='[\u@\h \W]′，可以通过全局变量配置/etc/profile文件调整PS1=′[\u@\h\W\t] '。

注意：PS1必须大写的。

参数 含义

\d 代表日期，格式为weekday month date。

\H 完整的主机名称。

\h 仅取主机的第一个名字。

\t 显示时间为24小时格式，如HHMMSS。

\T 显示时间为12小时格式。

\A 显示时间为24小时格式HHMM。

\u 当前用户的账号名称。

\v BASH的版本信息。

\w 完整的工作目录名称。家目录会以~显示

\W 利用basename取得工作目录名称，所以只会列出最后一个目录

\# 下达的第几个命令

$ 提示字符，如果是root时，提示符为# ，普通用户则为变量（放东西查看变量的内容）PS1−−−变量的名字−−−−−−藏经阁里面的武功秘籍（葵花宝典）秘籍名字（书名）PS1---查看变量里面的内容---手端着书（葵花宝典） 看书的内容（读书） PS1=新的内容 ---向变量里面放入东西----修改书的内容（升级书） 欲练此功，必先自宫，若不自宫，也能成功。 linux变量名字（书名）大写的一般是自己用（linux环境变量），在哪里都可以用的变量



3、关闭SELinux        

SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制的实现，这个功能让系统管理员又爱又恨，这里我们还是把它给关闭了吧，至于安全问题，后面通过其他手段来解决，这也是大多数生产环境的做法，如果非要开启也是可以的。

关闭方式如下

永久关闭selinux

# 备份

cp /etc/selinux/config /etc/selinux/config.bak

# sed修改，看看结果，不加-i

sed 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

# 确认并使用 sed -i 修改文件内容

sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

# 检查结果

grep "disabled" /etc/selinux/config

临时关闭selinux

setenforce 0

# 数字0表示Permissive，即给出警告提示，但不会阻止操作，相当于disabled。

# 数字1表示Enforcing，即表示SElinux为开启状态。

getenforce # 查看命令

命令说明：

setenforce：用于命令行管理SELinux的级别，后面的数字表示设置对应的级别。

getenforce：查看SELinux当前的级别状态。

提示：修改配置SElinux后，要想使其生效，必须要重启系统。因此，可配合使用setenforce 0这个临时使其关闭的命令，这样在重启前后都可以使得SElinux关闭生效了，也就是说无须立刻重启服务器了，在生产场景下Linux机器是不能随意重启的(不要给自己找任何理由重启)。



4、关闭iptables（C6）或Firewalld（C7）防火墙

关闭防火墙的目的是为了让初学者学习更方便，将来在学了iptables技术后可再统一开启。 在企业环境中，一般只有配置外网IP的linux服务器才需要开启防火墙，但即使是有外网IP，对于高并发高流量的业务服务器仍是不能开的，因为会有较大性能损失，导致网站访问很慢，这种情况下只能在前端加更好的硬件防火墙了。 关闭防火墙的具体操作过程如下：

CentOS 6.x

关闭防火墙

[root@oldboyedu ~]# /etc/init.d/iptables stop 

[root@oldboyedu ~]# /etc/init.d/iptables stop #<==重复执行下确认已关闭。

查看是否关闭

[root@oldboyedu ~]# /etc/init.d/iptables status 

iptables: Firewall is not running.

关闭开机自启动命令，前面已经关闭这里就无需执行。

[root@oldboyedu ~]# chkconfig iptables off 

[root@oldboyedu ~]# chkconfig --list|grep ipt

iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off

CentOS7.x

关闭防火墙

[root@oldboyedu ~]# systemctl stop firewalld

关闭开机自启动

[root@oldboyedu ~]# systemctl disable firewalld

查看防火墙状态

[root@oldboyedu ~]# systemctl is-active firewalld #是否正在运行

[root@oldboyedu ~]# systemctl is-enabled firewalld #是否开机自启动

关闭NetworkManager

[root@oldboyedu ~]# systemctl stop NetworkManager

[root@oldboyedu ~]# systemctl disable NetworkManager





5、更改SSH远程默认的22端口

sed -i 's#\#Port 22#Port 7777#g' /etc/ssh/sshd_config

service sshd restart



6、使用国内镜像做yum源

默认国外的yum源(软件仓库)比较慢，所以换成国内的。

备份

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

下载新的CentOS-Base.repo 到/etc/yum.repos.d/

CentOS 5

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo

或者

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo

CentOS 6

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

或者

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

CentOS 7

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

或者

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

之后运行yum makecache生成缓存，此步骤可以不执行。



7、epel源的安装

备份(如有配置其他epel源)

mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup

mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup

下载新repo 到/etc/yum.repos.d/

epel(RHEL 7)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

epel(RHEL 6)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

epel(RHEL 5)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-5.repo

更换查看帮助的网站mirrors.aliyun.com



8、关于网络下载命令

curl

在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具，可以说是一款很强大的http命令行工具。它支持文件的上传和下载，是综合传输工具，但按传统，习惯称url为下载工具。

常用参数

-o --output，把输出写到该文件中

-O --remote-name，把输出写到该文件中，保留远程文件的文件名

-I --head，只显示传输文档，经常用于测试连接本身

-s --silent，静默模式，不输出任何东西

-T --upload-file，上传文件

-V --version，显示版本信息

-f --fail，只输出错误信息

-# --progress-bar，用进度条显示当前的传送状态

-H --header，自定义标题传递到服务器

-v --verbose，详细显示请求报文结构和响应报文结构信息

wget 主要用于下载文件

wget支持HTTP，HTTPS和FTP协议，可以使用HTTP代理。所谓的自动下载是指，wget可以在用户退出系统的之后在后台执行。这意味这你可以登录系统，启动一个wget下载任务，然后退出系统，wget将在后台执行直到任务完成

wget 可以跟踪HTML页面上的链接依次下载来创建远程服务器的本地版本，完全重建原始站点的目录结构。这又常被称作”递归下载”。

常用参数

-V --version，显示 Wget 的版本信息并退出。

-h --help，打印此帮助。

-b --background，启动后转入后台。

-O --output-document=FILE，将文档写入 FILE。

-q --quiet，安静模式(无信息输出)。

-v --verbose，详尽的输出(此为默认值)。



9、安装常用软件

为了使用方便，可以安装一些常用的软件。

yum -y install tree nmap sysstat lrzsz dos2unix telnet bash-completion bash-completion-extras vim nc lsof net-tools rsync



10、升级具有典型漏洞的软件版本

诸如openssl、openssh、bash爆出很多软件漏洞，在企业场景需要进行修复漏洞操作，步骤如下：

首先查看相关软件的版本号。

[root@Oldboy ~]# rpm -qa openssl openssh bash

openssl-1.0.1e-30.el6.x86_64

bash-4.1.2-29.el6.x86_64

openssh-5.3p1-104.el6.x86_64

执行升级已知漏洞的软件版本到最新，命令如下：

[root@Oldboy ~]# yum install openssl openssh bash -y

[root@Oldboy ~]# rpm -qa openssl openssh bash

openssh-5.3p1-104.el6_6.1.x86_64

bash-4.1.2-29.el6.x86_64

openssl-1.0.1e-30.el6_6.5.x86_64



11、时间同步

echo '#Timing synchronization time' >/var/spool/cron/root

echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &>/dev/null' >/var/spool/cron/root

crontab -l



12、加大文件描述

echo '* - nofile 65535 ' >>/etc/security/limits.conf 

tail -1 /etc/security/limits.conf



13、别名和环境变量优化

cat>>/etc/profile.d/color.sh<<EOF

alias ll='ls -l --color=auto --time-style=long-iso'

PS1='

\e[32;1m

[\u@\h \W]$

\e[0m

'

export HISTTIMEFORMAT='%F-%T '

EOF



14、内核优化

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

EOF

sysctl -p



15、修改主机名和IP脚本

[root@oldboy ~]# cat /server/scripts/hostname_ip.sh 

#!/usr/bin/sh

if [ # -ne 2 ];then   echo "/bin/sh0 hostname PartIP"

exit 1

fi

hostnamectl set-hostname $1

sed -i "s#100#$2#g" /etc/sysconfig/network-scripts/ifcfg-eth[01]

systemctl restart network



16、更改Linux特殊变量

临时生效：

export TMOUT=10        账号超时时间控制台变量（类似于Windows的锁屏）

export HISTSIZE=5          命令行历史记录数量（历史记录越少越好）

export HISTFILESIZE=5   命令行命令对应文件的记录数~/.bash_history

永久生效：

echo 'export TMOUT=300' >>/etc/profile

echo 'export HISTSIZE=5' >>/etc/profile

echo 'export HISTFILESIZE=5' >>/etc/profile

source /etc/profile



17、隐藏Linux版本信息

cat /etc/issue

>/etc/issue

>/etc/issue.net

这时候就没有任何版本信息了





18、如何防止显示中文乱码（该优化初期建议不优化，直接强制看英文）

此项优化为可选项，即调整Linux系统的字符集设置，那么，什么是字符集呢？

简单的说，字符集就是一套文字符号及其编码。目前Linux下常用的字符集有：

GBK：定长，双字节，不是国际标准，支持的系统不少，实际企业用的不多。

UTF-8：非定长，1~4字节，广泛支持，MYSQL也使用UTF-8，企业广泛使用。 可通过快捷的命令方式在/etc/sysconfig/i18n中添加如下内容，使其支持中文显示：

CentOS 6.x修过过程

[root@ oldboy ~]# echo LANG                ###查看系统当前的字符集 en_US.UTF-8 [root@ oldboy ~]# cat /etc/sysconfig/i18n   #####系统字符集配置文件的位置 LANG="en_US.UTF-8" SYSFONT="latarcyrheb-sun16" [root@Oldboy ~]# cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori  ####备份 [root@Oldboy ~]# echo 'LANG="zh_CN.UTF-8"'  >/etc/sysconfig/i18n ####修改配置文件 #→相当于用vi /etc/sysconfig/i18n 添加LANG="zh_CN.UTF-8"内容 [root@Oldboy ~]# source /etc/sysconfig/i18n #→使上文修改生效    ###让配置文件生效 [root@Oldboy ~]# echoLANG ###查看系统当前的字符集

zh_CN.UTF-8

CentOS 7.x修过过程

修改/etc/locale.conf这个文件

提示：

乱码的核心解决方法：

系统字符集(utf-8)

xshell软件的字符集保持一致(utf-8)

文件使用的字符集一致

zh_CN.GBK

注意“zh_CN.UTF-8”的大小写字母。

这个中文显示配置要跟你自己的SSH客户端的配置一致。



Linux基础优化与安全重点小结



不用root登录管理系统，而以普通用户登录通过sudo授权管理。

更改默认的远程连接SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP。

定时自动更新服务器的时间，使其和互联网时间同步。

配置yum更新源，从国内更新源下载安装软件包。

关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发高流量的服务器可能无法开启）。

调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。

定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满（注意Centos6和Centos5要清除的目录不同）。

精简并保留必要的开机自启动服务（如crond、sshd、network、rsyslog、sysstat）。

Linux内核参数优化/etc/sysctl.conf，执行sysctl -p生效。

更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。

锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab，处理以上内容后把chattr、lsattr改名为luffy，转移走，这样就安全多了。

清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

清除多余的系统虚拟用户账号。

为grub引导菜单加密码。

禁止主机被ping。

打补丁并升级有已知漏洞的软件。 新系统 yum –y install 已经在线上用的服务器 web服务器能够停止。

























 

CentOS7.0系统安全加固手册
 
目录
 
一、用户帐号和环境……………………………………………………………………………………. 2
二、系统访问认证和授权……………………………………………………………………………… 3
三、核心调整……………………………………………………………………………………………… 4
四、需要关闭的一些服务……………………………………………………………………………… 5
五、SSH安全配置……………………………………………………………………………………….. 5
六、封堵openssl的Heartbleed漏洞…………………………………………………………………. 6
七、开启防火墙策略……………………………………………………………………………………. 6
八、启用系统审计服务…………………………………………………………………………………. 8
九、部署完整性检查工具软件………………………………………………………………………. 10
十、部署系统监控环境……………………………………………………………………………….. 11
 
以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。
一、用户帐号和环境
 
检查项
注释:
1
清除了operator、lp、shutdown、halt、games、gopher 帐号
删除的用户组有： lp、uucp、games、dip
其它系统伪帐号均处于锁定SHELL登录的状态
 
 
2
验证是否有账号存在空口令的情况:
awk -F:   ‘($2 == “”) { print $1 }’ /etc/shadow
 
 
3
检查除了root以外是否还有其它账号的UID为0:
awk -F:   ‘($3 == 0) { print $1 }’ /etc/passwd
 
任何UID为0的账号在系统上都具有超级用户权限.
4
检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录
超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马
5
用户的home目录许可权限设置为700
用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限
6
是否有用户的点文件是所有用户可读写的:
for dir   in \
`awk -F:   ‘($3 >= 500) { print $6 }’ /etc/passwd`
do
for file   in $dir/.[A-Za-z0-9]*
do
if [ -f   $file ]; then
chmod o-w   $file
fi
done
done
 
Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限
7
为用户设置合适的缺省umask值:
cd /etc
for file   in profile csh.login csh.cshrc bashrc
do
if [   `grep -c umask $file` -eq 0 ];
then
echo   “umask 022″ >> $file
fi
chown   root:root $file
chmod 444   $file
done
 
为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.
8
设备系统口令策略：修改/etc/login.defs文件
将PASS_MIN_LEN最小密码长度设置为12位。
 
 
 
 
10
限制能够su为root 的用户：#vi /etc/pam.d/su
在文件头部添加下面这样的一行
auth           required        pam_wheel.so use_uid
这样，只有wheel组的用户可以su到root
操作样例：
#usermod   -G10 test 将test用户加入到wheel组
11
修改别名文件/etc/aliases：#vi /etc/aliases
注释掉不要的   #games: root #ingres: root #system: root #toor: root #uucp: root #manager:   root #dumper: root #operator: root #decode: root #root: marc
修改后执行/usr/bin/newaliases
 
 
 
 
13
修改帐户TMOUT值，设置自动注销时间
vi /etc/profile
增加TMOUT=600
无操作600秒后自动退出
14
设置Bash保留历史命令的条数
#vi /etc/profile
修改HISTSIZE=5
即只保留最新执行的5条命令
 
 
 
16
防止IP   SPOOF：
#vi /etc/host.conf 添加：nospoof on
不允许服务器对IP地址进行欺骗
17
使用日志服务器：
#vi /etc/rsyslog.conf 照以下样式修改
*.info;mail.none;authpriv.none;cron.none    @192.168.10.199
 
这里只是作为参考，需要根据实际决定怎么配置参数
 
 
二、系统访问认证和授权
 
检查项
注释:
1
限制   at/cron给授权的用户:
cd /etc/
rm -f   cron.deny at.deny
echo root   >cron.allow
echo root   >at.allow
chown   root:root cron.allow at.allow
chmod 400   cron.allow at.allow
 
Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员才需要运行这些命令
5
Crontab文件限制访问权限:
chown   root:root /etc/crontab
chmod 400   /etc/crontab
chown -R   root:root /var/spool/cron
chmod -R   go-rwx /var/spool/cron
chown -R   root:root /etc/cron.*
chmod -R   go-rwx /etc/cron.*
 
系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序
6
建立恰当的警告banner:
echo   “Authorized uses only. All activity may be \
monitored   and reported.” >>/etc/motd
chown   root:root /etc/motd
chmod 644   /etc/motd
echo   “Authorized uses only. All activity may be \
monitored   and reported.” >> /etc/issue
echo   “Authorized uses only. All activity may be \
monitored   and reported.” >> /etc/issue.net
改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.
7
限制root登录到系统控制台:
cat   <<END_FILE >/etc/securetty
tty1
tty2
tty3
tty4
tty5
tty6
END_FILE
chown   root:root /etc/securetty
chmod 400   /etc/securetty
 
通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪
8
设置守护进程掩码
vi /etc/rc.d/init.d/functions
设置为 umask 022
系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件
 
 
三、核心调整
 
设置项
注释:
1
禁止core   dump:
cat <<END_ENTRIES   >>/etc/security/limits.conf
* soft core 0
* hard core 0
END_ENTRIES
允许core   dump会耗费大量的磁盘空间.
2
chown root:root /etc/sysctl.conf
chmod 600 /etc/sysctl.conf
log_martians将进行ip假冒的ip包记录到/var/log/messages
其它核心参数使用CentOS默认值。
 
四、需要关闭的一些服务
 
设置项
注释:
1
关闭Mail   Server
chkconfig postfix off
多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务
 
五、SSH安全配置
 
设置项
注释:
1
配置空闲登出的超时间隔:
ClientAliveInterval 300
ClientAliveCountMax 0
Vi /etc/ssh/sshd_config
 
2
禁用   .rhosts 文件
IgnoreRhosts yes
Vi /etc/ssh/sshd_config
 
3
禁用基于主机的认证
HostbasedAuthentication no
Vi /etc/ssh/sshd_config
 
4
禁止   root 帐号通过 SSH   登录
PermitRootLogin no
Vi /etc/ssh/sshd_config
 
5
用警告的   Banner
Banner /etc/issue
Vi /etc/ssh/sshd_config
 
6
iptables防火墙处理 SSH 端口 # 64906
-A INPUT -s 192.168.1.0/24 -m state –state NEW   -p tcp –dport 64906 -j ACCEPT
-A INPUT -s 202.54.1.5/29 -m state –state NEW -p   tcp –dport 64906 -j ACCEPT
这里仅作为参考，需根据实际需要调整参数
7
修改 SSH   端口和限制 IP 绑定：
Port 64906
 
安装selinux管理命令
yum -y install policycoreutils-python
修改   port contexts（关键），需要对context进行修改
semanage port -a -t ssh_port_t -p tcp 64906
semanage port -l | grep ssh      —-查看当前SElinux 允许的ssh端口
Vi /etc/ssh/sshd_config
仅作为参考，需根据实际需要调整参数。
 
8
禁用空密码：
PermitEmptyPasswords no
禁止帐号使用空密码进行远程登录SSH
9
记录日志：
LogLevel    INFO
确保在   sshd_config 中将日志级别   LogLevel 设置为   INFO 或者   DEBUG，可通过 logwatch or
logcheck 来阅读日志。
10
重启SSH
systemctl restart sshd.service
重启ssh
 
 
 
六、封堵openssl的Heartbleed漏洞
 
检测方法：在服务器上运行以下命令确认openssl版本
# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
以上版本的openssl存在Heartbleed bug，需要有针对性的打补丁。
升及补丁：
#yum -y install openssl
验证：
# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Thu Jun  5 12:49:27 UTC 2014
以上built on 的时间是2014.6.5号，说明已经修复了该漏洞。
注：如果能够临时联网安装以上补丁，在操作上会比较简单一些。如果无法联网，则有两种处理办法：首选从安装光盘拷贝独立的rpm安装文件并更新；另一个办法是提前下载最新版本的openssl源码，编译并安装。
 
 
七、开启防火墙策略
在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令，但已经仅是名称相同而已。除非手动删除firewall，再安装iptables，否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法：
#cd /usr/lib/firewalld/services   //该目录中存放的是定义好的网络服务和端口参数，只用于参考，不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务，也不必再增加相关xml定义，后续通过管理命令可以直接增加。
#cd /etc/firewalld/services/                  //从上面目录中将需要使用的服务的xml文件拷至这个目录中，如果端口有变化则可以修改文件中的数值。
 
# Check firewall state.
firewall-cmd --state
# Check active zones.
firewall-cmd --get-active-zones
# Check current active services.
firewall-cmd --get-service
# Check services that will be active after next reload.
firewall-cmd --get-service --permanent
 
查看firewall当前的配置信息，最后一个命令是查看写入配置文件的信息。
# # Set permanent and reload the runtime config.
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --reload
# firewall-cmd --permanent --zone=public --list-services
打开HTTP服务端口并写入配置文件
从配置文件中重载至运行环境中。
# firewall-cmd --permanent --zone=public --remove-service=https
# firewall-cmd --reload
从已有配置中删除一个服务端口
# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
# firewall-cmd --reload
# firewall-cmd --zone=public --list-ports
8080-8081/tcp
# firewall-cmd --permanent --zone=public --list-ports
8080-8081/tcp
#
# firewall-cmd --permanent --zone=public --remove-port=8080-8081/tcp
# firewall-cmd --reload
打开或关闭一段TCP端口的方法，同理如果使用了其它非通用端口，那么也可以这么操作。
# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" \
    source address="192.168.0.4/24" service name="http" accept"
# firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" \
    source address="192.168.0.4/24" service name="http" accept"
The following command allows you to open/close   HTTP access to a specific IP address.
 
 
 
 
八、启用系统审计服务
审计内容包括：系统调用、文件访问、用户登录等。编辑/etc/audit/audit.rules,在文中添加如下内容：
 
-w /var/log/audit/ -k LOG_audit
-w /etc/audit/ -p wa -k CFG_audit
-w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf
-w /etc/libaudit.conf -p wa -k CFG_libaudit.conf
-w /etc/audisp/ -p wa -k CFG_audisp
-w /etc/cups/ -p wa -k CFG_cups
-w /etc/init.d/cups -p wa -k CFG_initd_cups
-w /etc/netlabel.rules -p wa -k CFG_netlabel.rules
-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy
-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy
-w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy
-w /usr/sbin/stunnel -p x
-w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test
-w /etc/aide.conf -p wa -k CFG_aide.conf
-w /etc/cron.allow -p wa -k CFG_cron.allow
-w /etc/cron.deny -p wa -k CFG_cron.deny
-w /etc/cron.d/ -p wa -k CFG_cron.d
-w /etc/cron.daily/ -p wa -k CFG_cron.daily
-w /etc/cron.hourly/ -p wa -k CFG_cron.hourly
-w /etc/cron.monthly/ -p wa -k CFG_cron.monthly
-w /etc/cron.weekly/ -p wa -k CFG_cron.weekly
-w /etc/crontab -p wa -k CFG_crontab
-w /var/spool/cron/root -k CFG_crontab_root
-w /etc/group -p wa -k CFG_group
-w /etc/passwd -p wa -k CFG_passwd
-w /etc/gshadow -k CFG_gshadow
-w /etc/shadow -k CFG_shadow
-w /etc/security/opasswd -k CFG_opasswd
-w /etc/login.defs -p wa -k CFG_login.defs
-w /etc/securetty -p wa -k CFG_securetty
-w /var/log/faillog -p wa -k LOG_faillog
-w /var/log/lastlog -p wa -k LOG_lastlog
-w /var/log/tallylog -p wa -k LOG_tallylog
-w /etc/hosts -p wa -k CFG_hosts
-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network
-w /etc/inittab -p wa -k CFG_inittab
-w /etc/rc.d/init.d/ -p wa -k CFG_initscripts
-w /etc/ld.so.conf -p wa -k CFG_ld.so.conf
-w /etc/localtime -p wa -k CFG_localtime
-w /etc/sysctl.conf -p wa -k CFG_sysctl.conf
-w /etc/modprobe.conf -p wa -k CFG_modprobe.conf
-w /etc/pam.d/ -p wa -k CFG_pam
-w /etc/security/limits.conf -p wa -k CFG_pam
-w /etc/security/pam_env.conf -p wa -k CFG_pam
-w /etc/security/namespace.conf -p wa -k CFG_pam
-w /etc/security/namespace.init -p wa -k CFG_pam
-w /etc/aliases -p wa -k CFG_aliases
-w /etc/postfix/ -p wa -k CFG_postfix
-w /etc/ssh/sshd_config -k CFG_sshd_config
-w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers
-a exit,always -F arch=b32 -S sethostname
-w /etc/issue -p wa -k CFG_issue
-w /etc/issue.net -p wa -k CFG_issue.net
重启audit服务
#service auditd  restart
 
 
九、部署完整性检查工具软件
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文档的完整性。
AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。
在系统安装完毕，要连接到网络上之前，系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息：关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息，例如：日志文档、邮件、/proc文档系统、用户起始目录连同临时目录
安装方法：
#yum -y install aide
注：如果主机不能联网安装AIDE，那么也可以从安装光盘拷贝至目标主机。
 
检验系统文件完整性的要求：
因为AIDE可执行程序的二进制文档本身可能被修改了或数据库也被修改了。因此，应该把AIDE的数据库放到安全的地方，而且进行检查时要使用确保没有被修改过的程序，最好是事先为AIDE执行程序生成一份MD5信息。再次使用AIDE可执行程序时，需要先验证该程序没有被篡改过。
 
配置说明：
序号
参数
注释
1
/etc/aide.conf
配置文件
2
database
Aide读取文档数据库的位置，默认为/var/lib/aide，默认文件名为aide.db.gz
3
database_out
Aide生成文档数据库的存放位置，默认为/var/lib/aide，默认文件名为aide.db.new.gz
 
database_new
在使用aide   –compare命令时，需要在aide.conf中事先设置好database_new并指向需要比较的库文件
4
report_url
/var/log/aide，入侵检测报告的存放位置
5
其它参数继续使用默认值即可。
 
 
建立、更新样本库：   
1）执行初始化，建立第一份样本库
# aide –init
# cd /var/lib/aide/
# mv aide.db.new.gz aide.db.gz   //替换旧的样本库
2）更新到样本库
#aide –update
# cd /var/lib/aide/
# mv aide.db.new.gz aide.db.gz   //替换旧的样本库
 
执行aide入侵检测：
1）查看入侵检测报告
#aide –check
报告的详细程度可以通过-V选项来调控，级别为0-255，-V0 最简略，-V255 最详细。
或
#aide –compare
这个命令要求在配置文件中已经同时指定好了新、旧两个库文件。
2）保存入侵检测报告（将检查结果保存到其他文件）
aide –check –report=file：/tmp/aide-report-20120426.txt
3）定期执行入侵检测，并发送报告
# crontab -e
45 17 * * * /usr/sbin/aide -C -V4 | /bin/mail -s ”AIDE REPORT $（date +%Y%m%d）” abcdefg#163.com
或
45 23 * * * aide -C >> /var/log/aide/’date +%Y%m%d’_aide.log
 
记录aide可执行文件的md5 checksum：
#md5sum /usr/sbin/aide
 
 
十、部署系统监控环境
该段落因为需要安装或更新较多的依赖包，所以目前仅作为参考。
为了在将来合适的时候，可以支持通过一台集中的监控主机全面监控主机系统和网络设备的运行状态、网络流量等重要数据，可以在安全加固主机的系统中预先安装和预留了系统监控软件nagios和cacti在被监控主机中需要使用的软件支撑环境。
由于以下软件在安装过程中需要使用源码编译的方式，由此而引发需要安装GCC和OPENSSL-DEVEL。而为了安装GCC和OPENSSL-DEVEL而引发的依赖包的安装和更新大约有20个左右。这就违返了安全加固主机要保持最小可用系统的设计原则，所以该部分监控软件支撑环境的部署工作不作为默认设置，但仍然通过下文给出了部署参考，以用于系统运行运维过程中需要部署全局性监控系统时使用。
 
1）安装net-snmp服务
#yum -y install net-snmp
#chkconfig snmpd off     —将该服务设置为默认关闭，这里只是为以后部署cacti先预置一个支撑环境
 
如果不能联网安装，则可以使用安装光盘，并安装以下几个rpm包：
lm_sensors  ， net-snmp  ,  net-snmp-libs  ,   net-snmp-utils
 
2）安装nagios-plugin和nrpe
 
a. 增加用户&设定密码
# useradd nagios
# passwd nagios
b. 安装Nagios 插件
# tar zxvf nagios-plugins-2.0.3.tar.gz
# cd nagios-plugins-2.0.3
# ./configure –prefix=/usr/local/nagios
# make && make install
这一步完成后会在/usr/local/nagios/下生成三个目录include、libexec和share。
修改目录权限
# chown nagios.nagios /usr/local/nagios
# chown -R nagios.nagios /usr/local/nagios/libexec
c. 安装NRPE
# tar zxvf nrpe-2.15.tar.gz
# cd nrpe-2.15
# ./configure
# make all
接下来安装NPRE插件，daemon和示例配置文件。
c.1 安装check_nrpe 这个插件
# make install-plugin
监控机需要安装check_nrpe 这个插件，被监控机并不需要，在这里安装它只是为了测试目的。
c.2 安装deamon
# make install-daemon
c.3 安装配置文件
# make install-daemon-config
现在再查看nagios 目录就会发现有5个目录了
 

  
作者：刘少山，李文超，唐洁 
责编：何永灿，欢迎人工智能领域技术投稿、约稿、给文章纠错，请发送邮件至heyc@csdn.net  
本文为《程序员》原创文章，未经允许不得转载，更多精彩文章请订阅2017年《程序员》
目前针对无人车攻击的方法有许多，如何防御这些攻击以保证无人车的安全是个重要的课题。本文是无人驾驶技术系列的第九篇，详细介绍针对无人车传感器、操作系统、控制系统、车联网的攻击手段以及防御方法。
针对无人驾驶的安全威胁
对于无人驾驶系统来说，安全性至关重要。任何无人车如果达不到安全要求就上路是极其危险的。目前，针对无人车攻击的方法五花八门，渗透到无人驾驶系统的每个层次，包括传感器、操作系统、控制系统、车联网通信系统等。首先，针对传感器的攻击不需要进入无人驾驶系统内部，这种外部攻击法技术门槛相当低，既简单又直接。 第二，如果进入无人驾驶操作系统，黑客可以造成系统崩溃导致停车，也可以窃取车辆敏感信息。第三，如果进入无人驾驶控制系统，黑客可以直接操控机械部件，劫持无人车去伤人，是极其危险的。第四，车联网连接不同的无人车，以及中央云平台系统，劫持车联网通信系统也可以造成无人车间的沟通混乱。本文将详细介绍每种攻击手段，并且讨论相应的防御方法。
无人驾驶传感器的安全
由于传感器处于整个无人驾驶计算的最前端，最直接攻击无人车的方法就是攻击传感器。这种外部攻击法并不需要入侵到无人驾驶系统内部，使得入侵的技术门槛相当低。正是因为入侵的门槛低，我们需要在传感器做大量的工作来保证其安全。如图1所示，对各种传感器，我们都可以轻易地攻击与误导。无人驾驶系列文章《GPS及惯性传感器在无人驾驶中的应用》（《程序员》2016年9月）提到可以使用惯性传感器IMU辅助无人驾驶定位，但是IMU对磁场很敏感，如果使用强磁场干扰IMU，就有可能影响IMU的测量。对于GPS，如果在无人车附近设置大功率假GPS信号，就可以覆盖原来的真GPS信号，从而误导无人车定位。通过两种简单攻击方法的结合，GPS与IMU的定位系统会轻易被攻破。除了GPS与IMU外，通常我们也可以使用轮测距技术辅助无人车定位。轮测距是通过测量轮子的转速乘与轮子的周长进行测距，如果黑客破坏了轮子，这个定位辅助技术也会受影响。
无人驾驶系列文章《光学雷达（LiDAR）在无人驾驶技术中的应用》（《程序员》2016年4月）提到激光雷达是目前无人驾驶最主要的传感器，而无人车也依赖于激光雷达数据与高精地图的匹配进行定位。但激光雷达也可以轻易地被干扰。首先激光雷达是通过测量激光反射时间来计算深度的。如果在无人车周围放置强反光物，比如镜子，那么激光雷达的测量就会被干扰，返回错误信息。除此之外， 如果黑客使用激光照射激光雷达，测量也会受干扰，会分不清哪些是自身发出的信号，哪些是外部激光的信号。另外，无人车会不断下载更新的高精地图，如果黑客把下载的地图掉包，也会造成定位失效。

图1  针对传感器的攻击
无人驾驶系列文章《基于计算机视觉的无人驾驶感知系统》（《程序员》2016年7月）提到计算机视觉可以辅助无人车完成许多感知的任务，比如交通灯识别、行人识别和车辆行驶轨迹跟踪等等。在交通灯识别的场景中，无人车上的摄像机如果检测到红灯，就会停下来。如果检测到行人，也会停下以免发生意外。黑客可以轻易地在路上放置假的红绿灯以及假的行人，迫使无人车停车并对其进行攻击。
既然每个传感器都可以轻易被攻击，如何保证无人车安全？对此，需要使用多传感器融合技术互相纠正。攻击单个传感器很容易，但是如果同时攻击所有传感器难度相当大。当无人车发现不同传感器的数据相互间不一致，就知道自己可能正在被攻击。例如，无人车检查到交通灯，但是高精地图在此处并未标注有交通灯，那么就很可能是被攻击了。又例如GPS系统与LiDAR系统定位的位置极不一致，无人车也很可能是被攻击了。
无人驾驶操作系统安全
针对传感器的攻击是外部攻击，不需要进入无人驾驶系统。第二种攻击方式是入侵到无人驾驶操作系统，劫持其中一个节点并对其进行攻击。在无人驾驶系列文章《基于ROS的无人驾驶系统》（《程序员》2016年5月）中提到，目前的无人驾驶操作系统基本是基于ROS的框架实现。但是ROS本身安全性有一定问题，总结有以下两种攻击方法：第一，其中一个ROS的节点被劫持，然后不断地进行分配内存，导致其系统内存消耗殆尽，造成系统OOM而开始关闭不同的ROS节点进程，造成整个无人驾驶系统崩溃。第二，ROS的topic或service被劫持, 导致ROS节点之间传递的信息被伪造，从而导致无人驾驶系统的异常行为。造成第一个问题的原因是ROS Node本身是一个进程，可以无节制分配资源导致奔溃，另外的原因是ROS Node可以访问磁盘以及网络资源，并无很好的隔离机制。为了解决这个问题，可以使用Linax容器技术（LXC）来管理每一个ROS节点进程。简单来说，LXC提供轻量级的虚拟化，以便隔离进程和资源，而且不需要提供指令解释机制以及全虚拟化等其他复杂功能，相当于C++中的NameSpace。LXC有效地将由单个操作系统管理的资源划分到孤立的群组中，以更好地在孤立的群组之间平衡有冲突的资源使用需求。对于无人驾驶场景来说，LXC最大的好处是性能损耗小。我们测试发现，在运行时LXC只造成了5%左右的CPU损耗。除了资源限制外，LXC也提供了沙盒支持，使得系统可以限制ROS节点进程的权限。为避免可能有危险性的ROS节点进程破坏其他的ROS节点进程运行，沙盒技术可以限制其进程访问磁盘、内存以及网络资源。
至于第二个问题，主要原因是通信的信息并没有被加密，以至于攻击者可以轻易得知通信内容。目前业界有不少对ROS节点间通信的加密尝试，比如使用DES加密算法。在通信的信息量十分小的时候，加密与否对性能影响不大。但随着信息量变大，加密时间相对信息量成几何级增长。另外，由于ROS通信系统的设计缺陷，加密时间也与接收信息的节点数量有直接关系。当接受信息的节点数量增长时，加密时间也随之增长。无人驾驶系列文章《基于ROS的无人驾驶系统》提出了几个改进ROS通信系统的机制，在这些机制中，加密对性能影响将大大减少。
无人驾驶控制系统安全
如图3所示，车辆的CAN总线连接着车内的所有机械以及电子控制部件，是车辆的中枢神经。CAN总线具有布线简单、典型总线型结构、可最大限度节约布线与维护成本、稳定可靠、实时、抗干扰能力强、传输距离远等特点。由于CAN总线本身只定义ISO/OSI模型中的第一层（物理层）和第二层（数据链路层），通常情况下，CAN总线网络都是独立网络，所以没有网络层。在实际使用中，用户还需要自己定义应用层的协议，因此在CAN总线的发展过程中出现了各种版本的CAN应用层协议。CAN总线采用差分信号传输，通常情况下只需要两根信号线（CAN-H和CAN-L）就可以进行正常的通信。在干扰比较强的场合，还需要用到屏蔽地即CAN-G（主要功能是屏蔽干扰信号）。CAN总线上任意节点均可在任意时刻主动的向其它节点发起通信，节点没有主从之分，但在同一时刻优先级高的节点能获得总线的使用权。 

图2  无人车操作系统安全

图3  CAN总线安全
如果CAN被劫持，那么黑客将为所欲为，造成极其严重的后果。一般来说，要进入CAN系统是极其困难的。但是一般车辆的娱乐系统以及检修系统的OBD-II端口都连接到CAN总线，这就给了黑客进入CAN的机会。攻击的方式包括以下几点:
OBD-II入侵： OBD-II端口主要用于检测车辆状态，通常在车辆进行检修时，技术人员会使用每个车厂开发的检测软件接入OBD-II端口并对汽车进行检测。由于OBD-II连接到CAN总线，只要黑客取得这些检测软件，包括 Ford的NGS、Nissan的Consult II、Toyota的Diagnostic Tester等，便能轻易截取车辆信息。
电动车充电器入侵：最近电动车越来越普及，充电设备成为电动车生态必不可少的核心部件。由于电动车的充电装置在充电时会与外部充电桩通信，而且电动车的充电装置会连接CAN总线，这就给了黑客们通过外部充电桩入侵CAN系统的机会。
车载CD机入侵：曾经有攻击的案例是把攻击代码编码到音乐CD中，当用户播放CD时，恶意攻击代码便会通过CD播放机侵入CAN总线，从而可以取得总线控制以及盗取车辆核心信息。
蓝牙入侵：另一个攻击入口是蓝牙。如今蓝牙连接手机与汽车通讯以及娱乐系统已经成为标配。由于用户可以通过蓝牙给CAN发送信息以及从CAN读取信息，这也给黑客们攻击的窗口。除了取得车主手机的控制权，由于蓝牙的有效范围是10米，黑客们也可以使用蓝牙进行远程攻击。
TPMS入侵： TPMS是车轮压力管理系统，也有黑客对TPMS展开攻击。在这种攻击方法中，黑客先把攻击代码放置在车辆TPMS ECU中，然后当TPMS检测到某个胎压值的时候，恶意代码便会被激活，从而对车辆进行攻击。
一个通用的解决方法是对ECU接收的信息进行加密验证，以保证信息是由可信的MCU，而不是由黑客发出。使用加密验证，我们可以选择对称或者非对称密码。对称密码的计算量小但是需要通信双方预先知道密码。非对称密码无需预先知道密码，但是计算量大。由于大部分车用ECU计算能力与内存有限，现在通用做法是使用对称密码加密，然后密钥在生产过程中被写入ECU。这样的后果是有许多ECU复用同一个密钥，当一个ECU密钥被破解后，同批的ECU都会有风险。为了解决这个问题，学术界和业界也提出了几种解决方案：
TLS安全协议沿用非对称密码的算法对通信双方进行验证。
Kerberos是一个通用的基于对称密码算法的验证平台。
TESLA安全协议（注意：这个TESLA安全协议与Tesla汽车没有关系）提出了使用对称密码机制去模拟非对称密码的做法，从而达到既安全又能降低计算量的目的。
LASAN安全协议使用两步验证的机制实时让通信双方交换密钥，然后使用对称密码的算法对信息进行验证。
车联网通讯系统的安全性
当无人车上路后，它会成为车联网的一部分。V2X是车联网通信机制的总称。可以说，V2X是泛指各种车辆通讯的情景，包括V2V车车通讯、V2I车路通讯、V2P车与路人通讯等。通过V2X车辆可以获得实时路况、道路、行人等一系列交通信息，从而带来远距离环境信号。比如V2V，最普遍的应用场景是在城市街道、高速公路，车辆之间可以相互通信，发送数据，实现信息的共享。这样的数据包括：车辆的时速、相对位置、刹车、直行还是左拐等所有与行驶安全的数据提前提供给周围的车辆，使得周围车辆都能够预判其他车辆的驾驶行为，从而实现主动的安全策略。V2X安全防护是自动驾驶必要技术和智慧交通的重要一环，接下来我们讨论V2X的潜在安全风险及解决方案。

图4 ECU安全加密系统
确保V2X通信安全的系统要满足以下两个基本条件：第一，确认消息来自合法的发送设备，这个需要通过验证安全证书来保证。第二，确认消息传输过程中没有被修改，这个需要接受信息后计算信息的完整性。为了实现V2X的安全，欧盟发起了V2X安全研究项目PRESERVE并在项目中提出了符合V2X安全标准的硬件、软件，以及安全证书架构。
硬件：在每个车辆中存储了大量密钥，如果使用普通的Flash与RAM，密钥会被轻易盗取。另外，使用加密解密技术会对计算资源消耗极大。为了解决这些问题，PRESEVER提出了设计安全存储硬件，以及使用ASIC硬件加速加解密。

图5   车联网V2X系统
软件：在安全硬件上，PRESEVER提供了一整套开源软件栈提供安全通信。这套软件栈提供了加密解密的软件库、电子证书认证库、与受信任的证书颁发机构的安全通信库等。
安全证书：为了确保信息来源于可信设备，可以使用受信任的证书颁发机构来提供安全证书与密钥。当汽车A向汽车B放送信息时，汽车A的发送器会在信息上添加电子签名，并用密钥对信息进行加密。汽车B接受信息时，会首先对信息的电子证书进行认证，确认信息是由汽车A发送，然后使用公钥对信息进行解密，并对信息的完整性进行验证。

图6   PRESERVE系统架构
安全模型校验方法
为了保证无人驾驶系统的安全性，我们需要从纵向对系统的每个层面进行校验。这些层面包括代码、电子控制单元（ECU）、控制算法、车内及车外网、自动车整体与物理环境结合的网宇实体系统，甚至需要多部车辆互相通讯的车联网。越往上层系统的复杂度越大，校验也越困难。所以一般在对上层系统的分析会基于下层的分析结果做抽象化处理。比如在分析车内网的时候，对与网络链接的电子控制单元一般只考虑通讯接口的模型，而不会考虑电子控制单元内的具体功能及软件。在对每个层面在做安全分析时，也需要考虑各种不同的威胁模型和攻击向量。比如说，代码的安全校验除了需要考虑缓冲区溢出，还要考虑其他模块通过利用API来侵入，或者是第三方软件里载有木马的威胁。在对车内网的分析时，要考虑在某个电子控制单元被黑客控制下可能出现的各种情况，包括阻断服务攻击（Denial of Service Attack），修改通讯件的内容，伪造通讯件的来源等。由于无人驾驶系统对处理速度和容量的要求远远高于传统车辆控制系统，一部分单核的电子控制单元在不久的将来会被多核芯片或GPU取代。每个新的电子控制单元将会支持多个功能或多个功能的部分实现，而这些功能会通过虚拟机来管理硬件资源分配。从安全的角度来说，就需要对虚拟机管理器进行分析，比如虚拟机与虚拟机之间的通讯（intra-VM communication）保证不被第三方干扰或窃听。无人车加入了很多新的自动行驶功能，比如最简单的自动刹车，对于这些功能的控制算法，验证时也需要全面地考虑前文所提到的一系列威胁，包括某个传感器的信息被恶意修改，通讯渠道被堵所引起的信息滞后等等。因为无人车需要强大的AI系统做支持，对这些AI系统的不同攻击方式也在校验的考虑范围内。最近有研究指出，深度学习系统（特别应用在图像识别上）也很容易被攻击。比如修改一张图像中的几个像素就可能使识别结果大相径庭。这个隐患大大增加了系统被黑客攻破的可能性。在车联网的层面上，常见的安全问题有通讯信息被篡改，被黑客控制的车辆故意提供假信息或伪造身份，阻断服务攻击，女巫攻击（sybil attack：单辆车通过控制多个身份标识来对网络整体进行攻击），以及盗取其他车主的私密信息（比如所在位置）。
对于这些安全问题及攻击向量的分析涉及的技术非常广。本文重点介绍关于车内网（比如前面提到的CAN）和控制系统的安全模型和验证。现有的车内网安全协议一般建立在一些基本的加密单元上，比如对称密钥加密和非对称密钥加密。一般初始身份鉴别时需要用非对程密钥加密，而之后的通讯就可以用相对更快的对称密钥加密。根据不同的安全等级需求，密钥的长度会不一样。长的密钥会更安全，但也会增加加密和解密的时间，因此影响到控制系统的性能。另外，长的密钥会增加通信的负担。不管是CAN还是TDMA类的车内网协议，这些附加的安全信息都可能导致通讯超时（结果可能是来不及刹车）。所以在安全校验的同时也必须考虑增加安全机制所产生的延时。最后，密钥的分发和管理也至关重要。这是当前的一个技术难点，还没有特别好的解决方案。对于协议本身的验证方法有几种。一般来说，首先要校验协议的数学模型。最近提出的LASAN就是先用形式化验证工具Scyther来证明协议的安全性，然后做仿真来测试性能。对于控制系统，分析时是会侧重考虑攻击对数据所产生的影响（比如说延时，丢失或假数据），然后对相应的安全方案（比如传感器数据混合处理或状态估计）做数学证明来达到校验的目的。类似的方法也被应用在验证一些车联网的功能上，像合作的可变巡航控制。总体来说，无人车的安全问题至关重要，车辆如果被黑客攻击或控制会危及生命。但是，不管从技术还是标准化的角度看，现阶段对于无人车安全问题的校验尚未成熟，还需要学术界和工业界的深入研究与大力开发。
作者简介：
刘少山，PerceptIn联合创始人。加州大学欧文分校计算机博士，研究方向智能 感知计算、系统软件、体系结构与异构计算。现在PerceptIn主要专注 于SLAM技术及其在智能硬件上的实现与优化。
李文超，美国波士顿大学助理教授。加州大学伯克利分校电子工程与计算机科学博士。研究方向包括自动化设计与检测，可靠及容错计算机系统，计算证明法，网宇实体系统。
唐洁，华南理工大学计算机科学与工程学院副教授。主要从事面向无人驾驶和机器人的大数据计算与存储平台、面向人工智能的计算体系架构、面向机器视觉的嵌入式系统研究。
点击阅读无人驾驶技术系列文章：
光学雷达（LiDAR）在无人驾驶技术中的应用
基于ROS的无人驾驶系统
基于计算机视觉的无人驾驶感知系统
基于Spark与ROS分布式无人驾驶模拟平台
GPS及惯性传感器在无人驾驶中的应用
增强学习在无人驾驶中的应用
高精地图在无人驾驶中的应用
CNN在无人驾驶中的应用
无人驾驶系统安全
【CSDN_AI】热衷分享 扫码关注获得更多业内领先案例 

Windows操作系统安全加固

   

本页目录

1. 账户管理和认证授权
	
2. 日志配置操作
	
3. IP协议安全配置
	
4. 文件权限
	
5. 服务安全
	
6.安全选项
	
7. 其他安全配置
本文档旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。

1. 账户管理和认证授权

1.1 账户

默认账户安全

禁用Guest账户。
	
禁用或删除其他无用账户（建议先禁用账户三个月，待确认没有问题后删除。）
操作步骤

打开 控制面板 > 管理工具 > 计算机管理，在 系统工具 > 本地用户和组 > 用户 中，双击 Guest 帐户，在属性中选中 帐户已禁用，单击 确定。

按照用户分配帐户

按照用户分配帐户。根据业务要求，设定不同的用户和用户组。例如，管理员用户，数据库用户，审计用户，来宾用户等。

操作步骤

打开 控制面板 > 管理工具 > 计算机管理，在 系统工具 > 本地用户和组 中，根据您的业务要求设定不同的用户和用户组，包括管理员用户、数据库用户、审计用户、来宾用户等。

定期检查并删除与无关帐户

定期删除或锁定与设备运行、维护等与工作无关的帐户。

操作步骤

打开 控制面板 > 管理工具 > 计算机管理，在 系统工具 > 本地用户和组 中，删除或锁定与设备运行、维护等与工作无关的帐户。

不显示最后的用户名

配置登录登出后，不显示用户名称。

操作步骤：

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，双击 交互式登录:不显示最后的用户名，选择 已启用并单击 确定。



1.2 口令

密码复杂度

密码复杂度要求必须满足以下策略：

最短密码长度要求八个字符。
	
启用本机组策略中密码必须符合复杂性要求的策略。

	即密码至少包含以下四种类别的字符中的两种：
	
英语大写字母 A, B, C, … Z
		
英语小写字母 a, b, c, … z
		
西方阿拉伯数字 0, 1, 2, … 9
		
非字母数字字符，如标点符号，@, #, $, %, &, *等
	
操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 密码策略 中，确认 密码必须符合复杂性要求 策略已启用。

密码最长留存期

对于采用静态口令认证技术的设备，帐户口令的留存期不应长于90天。

操作步骤打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 密码策略 中，配置 密码最长使用期限 不大于90天。

帐户锁定策略

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 帐户锁定策略 中，配置 帐户锁定阈值 不大于10次。

配置样例：



1.3 授权

远程关机

在本地安全设置中，从远端系统强制关机权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 从远端系统强制关机 权限只分配给Administrators组。

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 关闭系统 权限只分配给Administrators组。

用户权限指派

在本地安全设置中，取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 取得文件或其它对象的所有权 权限只分配给Administrators组。

授权帐户登录

在本地安全设置中，配置指定授权用户允许本地登录此计算机。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 允许本地登录 权限给指定授权用户。

授权帐户从网络访问

在本地安全设置中，只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 从网络访问此计算机 权限给指定授权用户。



2. 日志配置操作

2.1 日志配置

审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核登录事件。

审核策略

启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核策略更改。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核对象访问。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问，仅需要审核失败操作。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核目录服务器访问。

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核特权使用。

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核系统事件。

审核帐户管理

启用本地安全策略中对Windows系统的审核帐户管理，成功和失败操作都要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核帐户管理。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核进程追踪。

日志文件大小

设置应用日志文件大小至少为 8192 KB，可根据磁盘空间配置日志文件大小，记录的日志越多越好。并设置当达到最大的日志尺寸时，按需要轮询记录日志。

操作步骤

打开 控制面板 > 管理工具 > 事件查看器，配置 应用日志、系统日志、安全日志 属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略。


3. IP协议安全配置

3.1 IP协议安全

启用SYN攻击保护

启用SYN攻击保护。

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。
	
指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。
	
指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。
操作步骤

打开 注册表编辑器，根据推荐值修改注册表键值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect

	推荐值：2
	
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen

	推荐值：500
Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect

	推荐值：2
	
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted

	推荐值：5
	
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen

	推荐值：500
	
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried

	推荐值：400
4. 文件权限

4.1 共享文件夹及访问权限

关闭默认共享

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

操作步骤

打开 注册表编辑器，根据推荐值修改注册表键值。

注意： Windows Server 2012版本已默认关闭Windows硬盘默认共享，且没有该注册表键值。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer

	推荐值： 0
共享文件夹授权访问

每个共享文件夹的共享权限，只允许授权的帐户拥有共享此文件夹的权限。

操作步骤

每个共享文件夹的共享权限仅限于业务需要，不要设置成为 Everyone。打开 控制面板 > 管理工具 > 计算机管理，在 共享文件夹 中，查看每个共享文件夹的共享权限。

5. 服务安全

5.1 禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS协议，可以关闭监听的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。

操作步骤

在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。
	
在网络连接属性中，双击 Internet协议版本4（TCP/IPv4），单击 高级。在 WINS 页签中，进行如下设置：

禁用不必要的服务

禁用不必要的服务，请参考：


6.安全选项

6.1 启用安全选项

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，进行如下设置：


6.2 禁用未登录前关机

服务器默认是禁止在未登录系统前关机的。如果启用此设置，服务器安全性将会大大降低，给远程连接的黑客造成可乘之机，强烈建议禁用未登录前关机功能。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，禁用 关机: 允许系统在未登录前关机 策略。


7. 其他安全配置

7.1 防病毒管理

Windows系统需要安装防病毒软件。

操作步骤

安装企业级防病毒软件，并开启病毒库更新及实时防御功能。

7.2 设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序，设置等待时间为 5分钟，并启用 在恢复时使用密码保护。

7.3 限制远程登录空闲断开时间

对于远程登录的帐户，设置不活动超过时间15分钟自动断开连接。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，设置 Microsoft网络服务器：暂停会话前所需的空闲时间数量 属性为15分钟。

7.4 操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。

操作步骤

安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。

注意：对于实际业务环境服务器，建议使用通知并自动下载更新，但由管理员选择是否安装更新，而不是使用自动安装更新，防止自动更新补丁对实际业务环境产生影响。