[sth0r@shawn-fortress]$ uname -a
Linux shawn-fortress 3.7-trunk-686-pae #1 SMP Debian 3.7.2-0+kali8 i686 GNU/Linux
|=-----------------------------------------------------------------=|
|=-----=[ D O   N O T   F U C K   W I T H   A   H A C K E R ]=-----=|
|=-----------------------------------------------------------------=|
|=------------------------[ #4 File 0x02 ]-------------------------=|
|=-----------------------------------------------------------------=|
|=----------------=[ GNU/Linux安全基线与加固-0.3 ]=----------------=|
|=-----------------------------------------------------------------=|
|=-------------------=[ By Shawn the R0ck   ]=---------------------=|
|=-----------------------------------------------------------------=|
|=--------------------=[ 初稿:July 22 2014  ]=---------------------=|
|=-----------------------------------------------------------------=|
|=-------------------=[ Update: Jan 7 2015 ]=---------------------=|
|=-----------------------------------------------------------------=|
--[ CONTENTS
0. About this doc
1. Routine security baseline
   1.1 Security fix update
   1.2 Password policy
   1.3 SSH secure config
   1.4 audit framework
       1.4.1 file permission audit
       1.4.2 Prevent *UNSET* bash history
   1.5 sudoers
2. Kernel security baseline
3. Hardening
   3.1 Kernel hardening - Grsecurity/PaX
   3.2 PHP
4. SSL/TLS Checklist
5. Weirdo audit
6. Reference

随着GNU/Linux在各个行业的IT基础架构中的普及，安全问题也成为了关注的焦点，
GNU/Linux主要是由GNU核心组建( 编译器GCC, C库Glibc等)和Linux内核组合而成，
在自由开源软件统治着基础平台的大环境下，不少人认为开源一定是安全的，这
是一种不完全正确的观念，Coverity的报告只是说明了开源比闭源更安全，这并
不代表自由开源软件就是牢不可破的，自由开源软件在一定程度上具有一些安全
的特性，这些特性不一定在GNU/Linux发行版中是默认开启，这些特性中有一些是
必须在安全基线中去部署的，有一些可以根据具体需求来定制，这篇文档主要是
介绍一些关于安全基线建设和加固的基本内容。
在实际的安全咨询工作中，很多普通个人用户和企业用户并不是安全领域的黑客，
大多客户都会要求给出一份简单易懂的部署文档，也就是所谓的安全基线，基线
和加固是很大的话题，我会尽力不断更新这篇文档的内容，也希望有社区的朋友
参与，本文所使用的GNU/Linux发行版是Debian。

在遵循最小安装和最小权限的部署原则下，还有一些地方是需要注意的，我们把
这些部分称为安全基线。

作为系统管理员，每天干的第1件事情就应该是查看生产环境的机器是否有安全修
复的更新，甚至应该除了生产环境再另外跑一套模拟环境，用于测试升级后是否
影响业务系统。

Debian检查需要安全修复包：
sudo apt-get upgrade -s | grep -i security
OpenSuSE发行版检查需要安全修复的包：
sudo zypper lp | awk '{ if ($7=="security"){ if ($11=="update") {print $13} else{ print $11 }}}' | sed 's/:$//' | grep -v "^$" | sort | uniq
RHEL/CentOS( 6.4)检查需要安全修复的包和明细：
sudo yum list-security | grep RHSA
sudo yum info-security RHSA-NUMBER

root密码策略至少应该考虑以下几点：
1，密码强度，至少是大小写字母+数字+符号一共9位以上，PAM例子：
password requisite pam_cracklib.so minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
2，不同的系统密码不能一样
3，更换密码策略(每90天更换一次）
4，密码分发管理，管理不同业务服务器的系统管理员掌握不同的密码
PAM例子：
分别代表最短密码长度为8,其中至少包含一个大写字母，一个小写字母，一个数
字和一个字符, 编辑/etc/pam.d/passwd，增加：
password  requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
编辑/etc/login.defs，设置：
PASS_MAX_DAYS 90	#密码最长生命周期90天
PASS_WARN_AGE 7		#密码过期之前7天报警信息
登录失败3次死锁，编辑/etc/pam.d/system-auth，设置：
auth	required	pam_tally2.so onerr=fail even_deny_root deny=3 unlock_time=3600

生产环境中,不同的业务可以做水平分离,比如把不同的服务运行到不同的虚拟机
中,不需要远程访问的服务器可以绑定到 localhost( 比如只需要访问本机业务的
mysql) 上。

openssh目前的默认配置文件相比以前虽然要安全的多，但还是有必要对生产系统
中的ssh服务器进行基线检查。
配置文件：/etc/ssh/ssh_config
--------------------------------------------------------------
1，known_hosts保存相关服务器的签名，所以必须把主机名hash:
HashKnownHosts yes
2，SSH协议v1不安全：
Protocol 2
3，如果没用X11转发的情况：
X11Forwarding no
4，关闭rhosts:
IgnoreRhosts yes
5，关闭允许空密码登录：
PermitEmptyPasswords no
6，最多登录尝试次数：
MaxAuthTries 5
7，禁止root登录
PermitRootLogin no
--------------------------------------------------------------
(可选)
--------------------------------------------------------------
1，关闭密码认证，启用公钥认证：
PubkeyAuthentication yes
PasswordAuthentication no
2，允许或者禁止用户/组登录:
AllowGroups, AllowUsers, DenyUsers, DenyGroups
--------------------------------------------------------------
密钥交换( Kex)
--------------------------------------------------------------
OpenSSH支持8种密钥交换协议：
1. curve25519-sha256: ECDH over Curve25519 with SHA2
2. diffie-hellman-group1-sha1: 1024 bit DH with SHA1
3. diffie-hellman-group14-sha1: 2048 bit DH with SHA1
4. diffie-hellman-group-exchange-sha1: Custom DH with SHA1
5. diffie-hellman-group-exchange-sha256: Custom DH with SHA2
6. ecdh-sha2-nistp256: ECDH over NIST P-256 with SHA2
7. ecdh-sha2-nistp384: ECDH over NIST P-384 with SHA2
8. ecdh-sha2-nistp521: ECDH over NIST P-521 with SHA2
按照以下3个标准：
* ECDH曲线：安标NIST已经受到污染所以排除6--8
* DH的位数：排除1024-bit的
* 安全的Hash：排除2--4的SHA1
*** 只剩下1和5，建议配置：
/etc/ssh/sshd_config:
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
/etc/ssh/ssh_config snippet:
Host *
    KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
*** 建议删除/etc/ssh/moduli低于2048位长度的，或者直接创建：
ssh-keygen -G /tmp/moduli -b 4096
ssh-keygen -T /etc/ssh/moduli -f /tmp/moduli
--------------------------------------------------------------
认证( Authentication)
--------------------------------------------------------------
1. DSA
2. ECDSA
3. Ed25519
4. RSA
2是属于被污染的NIST里的，这里不能通过配置来屏蔽ECDSA，但可以通过坏链接
来实现：
cd /etc/ssh
rm ssh_host_ecdsa_key*
rm ssh_host_key*
ln -s ssh_host_ecdsa_key ssh_host_ecdsa_key
ln -s ssh_host_key ssh_host_key
DSA虽然没有被污染，但是必须要求是1024-bit，长度过低，所以关掉最好的情况是只使用：
Protocol 2
HostKey /etc/ssh/ssh_host_ed25519_key
如果需要使用RSA，生成更高强度的密钥：
cd /etc/ssh
rm ssh_host_rsa_key*
ssh-keygen -t rsa -b 4096 -f ssh_host_rsa_key < /dev/null
生成客户端的密钥：
ssh-keygen -t ed25519
ssh-keygen -t rsa -b 4096
--------------------------------------------------------------
对称算法( Symmetric ciphers)
--------------------------------------------------------------
1.  3des-cbc
2.  aes128-cbc
3.  aes192-cbc
4.  aes256-cbc
5.  aes128-ctr
6.  aes192-ctr
7.  aes256-ctr
8.  aes128-gcm
9.  aes256-gcm
10. arcfour
11. arcfour128
12. arcfour256
13. blowfish-cbc
14. ast128-cbc
15. chacha20-poly1305
对称算法选型是最后意思的，根据以下标准：
* 算法本身的安全性，RC4和DES已经存在风险，所以排除1和10--12
* 密钥强度：至少128-bit
* 块大小：块加密的情况下至少128 bits
* cipher mode：建议使用AE：
https://en.wikipedia.org/wiki/Authenticated_encryption
这样只剩下了5--9和15，/etc/ssh/sshd_config建议配置：
Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
建议配置/etc/ssh/ssh_config：
Host *
    Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
--------------------------------------------------------------
MAC（Message authentication codes)：
--------------------------------------------------------------
为了抗侧信道攻击，所以必须采用先加密再MAC，OpenSSH提供了以下MAC支持：
1.  hmac-md5
2.  hmac-md5-96
3.  hmac-ripemd160
4.  hmac-sha1
5.  hmac-sha1-96
6.  hmac-sha2-256
7.  hmac-sha2-512
8.  umac-64
9.  umac-128
10. hmac-md5-etm
11. hmac-md5-96-etm
12. hmac-ripemd160-etm
13. hmac-sha1-etm
14. hmac-sha1-96-etm
15. hmac-sha2-256-etm
16. hmac-sha2-512-etm
17. umac-64-etm
18. umac-128-etm
按照以下标准：
* HASH算法的安全性，MD5和SHA1被排除
* 必须先加密再MAC，所有不带-etm的被排除
* Tag大小：最少256 bits，UMAC和RIPEMD160被排除
* 密钥长度：至少128-bit
建议配置/etc/ssh/sshd_config:
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
建议配置/etc/ssh/ssh_config
Host *
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
为了兼容github，可以加上：
Host github.com
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512

auditd是接收内核审计模块关于系统调用信息的一个用户态程序，可以通过一些
规则来对一些系统调用或者文件目录进行监控。
安装auditd:
sudo apt-get install auditd
配置文件:/etc/audit/auditd.conf
存储地址log_file = /var/log/audit/audit.log
审计规则的配置文件：/etc/audit/audit.rules，这里给出一个例子：
--------------------------------------------------------------
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
-a always,exit -S adjtimex -S settimeofday -S stime -k time-change
-a always,exit -S clock_settime -k time-change
-a always,exit -S sethostname -S setdomainname -k system-locale
# Monitor binaries ps & ls and saved the log when being executed....
-a always,exit -F path=/bin/ps -F path=/bin/ls -F perm=x -k binaries
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k identity
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session
-w /etc/apparmor -p wa -k MAC-policy
-w /etc/apparmor.d -p wa -k MAC-policy
--------------------------------------------------------------
上面的例子对一系列关于时间的系统调用进行了监控，一旦时间出现改变就会记
录进如日志，之后对几个跟创建/删除用户和组的文件也进行了监控，最后是对
apparmor的配置文件和规则目录进行监控。在/etc/apparmor下的shell中输入：
sudo touch hello
用工具ausearch来进行查询：
--------------------------------------------------------------
sudo ausearch -i -k MAC-policy
----
type=CONFIG_CHANGE msg=audit(07/20/2014 20:36:48.397:58) : auid=root ses=2 op="add rule" key=MAC-policy list=exit res=1
----
type=CONFIG_CHANGE msg=audit(07/20/2014 20:36:48.445:59) : auid=root ses=2 op="add rule" key=MAC-policy list=exit res=1
----
type=PATH msg=audit(07/20/2014 20:38:42.717:61) : item=1 name=hello inode=799889 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=CREATE
type=PATH msg=audit(07/20/2014 20:38:42.717:61) : item=0 name=/etc/apparmor inode=783766 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(07/20/2014 20:38:42.717:61) :  cwd=/etc/apparmor
type=SYSCALL msg=audit(07/20/2014 20:38:42.717:61) : arch=i386 syscall=open success=yes exit=3 a0=bfeca8ab a1=8941 a2=1b6 a3=1 items=2 ppid=17704 pid=17876 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=2 comm=touch exe=/bin/touch key=MAC-policy
----
type=PATH msg=audit(07/20/2014 20:38:56.017:62) : item=1 name=hello inode=799889 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=DELETE
type=PATH msg=audit(07/20/2014 20:38:56.017:62) : item=0 name=/etc/apparmor inode=783766 dev=08:01 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(07/20/2014 20:38:56.017:62) :  cwd=/etc/apparmor
type=SYSCALL msg=audit(07/20/2014 20:38:56.017:62) : arch=i386 syscall=unlinkat success=yes exit=0 a0=ffffff9c a1=89eb8c0 a2=0 a3=0 items=2 ppid=17704 pid=17889 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=2 comm=rm exe=/bin/rm key=MAC-policy
--------------------------------------------------------------
也可以使用aureport来生成报告。
记录tty的场景:
编辑/etc/pam.d/password-auth-ac：
session     required      pam_tty_audit.so enable=*
查看相关信息：
#tail -n 20 /var/log/audit/audit.log
#aureport --tty -ts today

1, Leo Juranic的详细的分析[]了异常的通配符威胁有多大，：
--------------------------------------------------------------
find / -path /proc -prune  -name "-*"
--------------------------------------------------------------
2, 所谓的world-writable权限的文件是不太合理的，所以这种文件我们必须得提防：
--------------------------------------------------------------
find / -path /proc -prune -o -perm -2 ! -type l -ls
针对日志的world-readable也需要注意：
find /var/log -perm -o=r ! -type l
正确：
chmod 640 /var/log/
--------------------------------------------------------------
3, 一个没有owner的文件是存在潜在威胁的，因为你永远也不知道未来某个时候她的
uid/gid成为了你的敌人：
--------------------------------------------------------------
find / -path /proc -prune -o -nouser -o -nogroup
--------------------------------------------------------------
4, 作为"自主可控"的自由软件用户，你得知道你的生产环境中哪些用户是可用的：
--------------------------------------------------------------
egrep -v '.*:\*|:\!' /etc/shadow | awk -F: '{print $1}'
--------------------------------------------------------------
5, 你要删除一个用户前，应该先了解一些有哪些文件是他拥有的：
--------------------------------------------------------------x
find / -path /proc -prune -o -user account -ls
然后，安全的删除：
userdel -r account
--------------------------------------------------------------
6, 如果不带':x:'的用户肯定是无法正常使用的：
--------------------------------------------------------------
grep -v ':x:' /etc/passwd
--------------------------------------------------------------
7, 找到没有密码的用户：
--------------------------------------------------------------
cat /etc/shadow | cut -d: -f 1,2 | grep '!'
--------------------------------------------------------------
8，找到被锁定的用户：
--------------------------------------------------------------
cat /etc/shadow | cut -d: -f 1,2 | grep '*'
--------------------------------------------------------------
9, 找到带有过期密码的用户：
--------------------------------------------------------------
cat /etc/shadow | cut -d: -f 1,2 | grep '!!'
passwd -u -l可以操作
--------------------------------------------------------------
10, /boot目录权限下至少是644，甚至是600:
--------------------------------------------------------------
ls -l /boot
--------------------------------------------------------------
11，找到suid和sgid相关的可执行文件：
--------------------------------------------------------------
find / -xdev -user root \( -perm -4000 -o -perm -2000 \)
--------------------------------------------------------------
(可选)
1, GNU/Linux的访问控制列表(ACL)也是不错的文件权限管理的途径，获得文件
ACL的信息：
--------------------------------------------------------------
getfacl file
设置哪些用户对哪些文件有什么样的权限：
setfacl -m u:user:r file
--------------------------------------------------------------

针对history_bash不允许unset:
#Prevent unset of histfile, /etc/profile
export HISTSIZE=1500
readonly HISTFILE
readonly HISTFILESIZE
readonly HISTSIZE
#Set .bash_history as attr +a
find / -maxdepth 3|grep -i bash_history|while read line; do chattr +a "$line"; done

执行visudo，让普通用户shawn有所有权限：
shawn ALL=(ALL) ALL
让普通用户shawn只能以root权限执行ls和cat：
shawn ALL=/bin/ls,/bin/cat
让普通用户shawn只能在主机localhost上以root权限执行ls：
shawn localhost=/bin/ls
--[ 2. 内核安全基线
SYN cookies防护主要是为了防止SYN洪水攻击，开启设置为1：
--------------------------------------------------------------
net.ipv4.tcp_syncookies = 1
/proc/sys/net/ipv4/tcp_syncookies
(可选)，如果需要开启SYNPROXY可以直接：
iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 80 --syn -j NOTRACK
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state UNTRACKED,INVALID \
	 -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
注意:SYNPROXY是在Linux内核3.13里加入的NETFILTER特性。
--------------------------------------------------------------
TCP FIN-WAIT-2状态保留时间，目前很多发行版的默认时间是60秒，这个值太大
会造成DOS攻击的风险，太小也有一定概率造成远端机器来不急主动关掉链接，建
议一般设置成15：
--------------------------------------------------------------
参考：
http://benohead.com/tcp-about-fin_wait_2-time_wait-and-close_wait/
net.ipv4.tcp_fin_timeout = 15
/proc/sys/net/ipv4/tcp_fin_timeout
--------------------------------------------------------------

SYN队列的长度，值越大能处理更多的链接数：
net.ipv4.tcp_max_syn_backlog = 8192
/proc/sys/net/ipv4/tcp_max_syn_backlog
设备队列的长度，这个值建议比syn队列大：
net.core.netdev_max_backlog = 16384
/proc/sys/net/core/netdev_max_backlog
listen()的backlog限制数，内存大可以提升到65535：
net.core.somaxconn = 4096
/proc/sys/net/core/somaxconn
TIME_WAIT状态的TCP链接最大数，超过这个值系统会自动清除，抗DOS攻击的选项：
net.ipv4.tcp_max_tw_buckets = 4096
/proc/sys/net/ipv4/tcp_max_tw_buckets
TIME-WAIT状态的链接重新使用于新的TCP链接，1表示允许：
net.ipv4.tcp_tw_reuse = 1
/proc/sys/net/ipv4/tcp_tw_reuse
TIME-WAIT状态的链接快速回收，1表示开启：
net.ipv4.tcp_tw_recycle = 1
/proc/sys/net/ipv4/tcp_tw_recycle
TCP KEEPALIVE探测频率，以秒为单位，建议设置在30分钟以内，300为5分钟：
net.ipv4.tcp_keepalive_time = 300
/proc/sys/net/ipv4/tcp_keepalive_time
TCP KEEPALIVE探测包的数量：
net.ipv4.tcp_keepalive_probes = 3
/proc/sys/net/ipv4/tcp_keepalive_probes
SYN和SYN+ACK的重传次数：
net.ipv4.tcp_syn_retries = 3
/proc/sys/net/ipv4/tcp_syn_retries
net.ipv4.tcp_synack_retries = 3
/proc/sys/net/ipv4/tcp_synack_retries
TCP ORPHAN的值调大能防止简单DOS攻击，每个ORPHAN消耗大约64k的内存，
65535相当于4GB内存：
net.ipv4.tcp_max_orphans = 65536
/proc/sys/net/ipv4/tcp_max_orphans
TCP链接的内存大小，以PAGE为单位，x86下每个page为4KB大小：
net.ipv4.tcp_mem = 131072 196608 262144
/proc/sys/net/ipv4/tcp_mem
如果不是特殊场景的服务器或者网络设备，一般不要调整tcp_mem，超过最大的值
会报OOM的错误。
设置最大的发送和接收窗口,以10G NIC为例,设置64MB：
net.core.rmem_max = 67108864
/proc/sys/net/core/rmem_max
net.core.wmem_max = 67108864
/proc/sys/net/core/wmem_max
每个TCP链接的读，写缓冲区内存大小，单位为Byte：
net.ipv4.tcp_rmem = 4096 8192 16777216( 4096 87380 33554432)
/proc/sys/net/ipv4/tcp_rmem
net.ipv4.tcp_wmem = 4096 8192 16777216( 4096 65536 33554432)
/proc/sys/net/ipv4/tcp_wmem
如果按照缺省分配8KB * 2 = 16KB/链接，4GB内存能提供的链接数为：
(4 * 1024 * 1024) / 16 = 262144

Oracle 10g的最佳建议：
http://www.dba-oracle.com/t_linux_networking_kernel_parameters.htm
--------------------------------------------------------------
源路由通常可以用于在IP包的OPTION里设置途经的部分或者全部路由器，这个
特性可以用于网络排错和优化，比如traceroute，攻击者也可以使用这个特性来
进行IP欺骗，关闭设置为0：
--------------------------------------------------------------
net.ipv4.conf.all.accept_source_route = 0
/proc/sys/net/ipv4/conf/all/accept_source_route
--------------------------------------------------------------
ICMP重定向，正常用于选择最优路径，攻击者可以利用开展中间人攻击，关闭设
置为0:
--------------------------------------------------------------
net.ipv4.conf.all.accept_redirects = 0
/proc/sys/net/ipv4/conf/all/accept_redirects
--------------------------------------------------------------
如果这台GNU/Linux是作为服务器使用而非网关设备，可以关掉：
--------------------------------------------------------------
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
--------------------------------------------------------------
IP欺骗防护，启动设置为1：
--------------------------------------------------------------
net.ipv4.conf.all.rp_filter = 1
/proc/sys/net/ipv4/conf/all/rp_filter
--------------------------------------------------------------
忽略ICMP请求( PING)，启动设置为1：
--------------------------------------------------------------
net.ipv4.icmp_echo_ignore_all = 1
/proc/sys/net/ipv4/icmp_echo_ignore_all
--------------------------------------------------------------
忽略ICMP广播请求，启动设置为1：
--------------------------------------------------------------
net.ipv4.icmp_echo_ignore_broadcasts = 1
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
--------------------------------------------------------------
错误消息防护，会警告你关于网络中的ICMP异常，启动设置为1：
--------------------------------------------------------------
net.ipv4.icmp_ignore_bogus_error_responses = 1
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
--------------------------------------------------------------
对特定packet(IP欺骗，源路由，重定向）进行审计，启动设置为1：
--------------------------------------------------------------
/proc/sys/net/ipv4/conf/all/log_martians
net.ipv4.conf.all.log_martians = 1
--------------------------------------------------------------
地址随机化，启动设置为2：
--------------------------------------------------------------
kernel.randomize_va_space=2
/proc/sys/kernel/randomize_va_space
--------------------------------------------------------------
内核符号限制访问，启动设置为1：
--------------------------------------------------------------
kernel.kptr_restrict=1
/proc/sys/kernel/kptr_restrict
类似CVE-2014-0196的exploit对于这一项就很难做到“通杀”;-)
--------------------------------------------------------------
内存映射最小地址，启动设置为65536：
--------------------------------------------------------------
vm.mmap_min_addr=65536
/proc/sys/vm/mmap_min_addr
--------------------------------------------------------------
防护进程被ptrace跟踪调试:
--------------------------------------------------------------
kernel.yama.ptrace_scope = 2
/proc/sys/kernel/yama/ptrace_scope
0: 所有进程都可以被调试
1: 只有一个父进程可以被调试
2: 只有系统管理员可以调试（CAP_SYS_PTRACE ）
3: 没有进程允许被调试
一般加固机用3，普通服务器用2/1。

安装Apparmor和社区规则：
sudo apt-get install -y apparmor-profiles apparmor
查看状态是否运行正常：
sudo aa-status
--------------------------------------------------------------
--[ 3. 加固
安全基线是在防御已知的威胁，而加固则是侧重于防御未知的威胁，加固的主要
目的是增加攻击者的成本。
----[ 3.1 内核加固 - Grsecurity/PaX
GNU/Linux平台从用户空间到内核空间都有一系列的加固措施，但是,对于真正面
临复杂安全环境,确实需要高级安全防护能力的机构,最极端的加固防御是:
Grsecurity/PaX，对于注重完美的“老派( old school )”黑客社区而言,没有
Grsecurity/PaX 的定制方案是不完美的 ,这里摘选几段old school社区的调侃：
"The "better than none" point of view is actually a nice way to false
sense of security for those who don't know better. We got
better-than-none apparmor, selinux, tomoyo, some poorly maintained and
crippled ports of grsec features or alikes, namespaces and containers,
rootkit-friendly LSM, the dumb and useless kernel version of SSP,
etc. What's the sum of all this shit for end users? False sense of
security..."
"without Grsecurity/PaX, linux security is like monkey can never
perform a regular masturbation cu'z lacking of giant pennis;-)"
作为个人完全赞同以上观点，太多的better-than-none可以算是"甜点"，用户使
用后会觉得自high的很爽，但是到了夜幕降临的时候，用户还是很难入睡，因为
"痛点"依然在那里，在安全领域，"甜点"就是"安全感"，安全感绝对不等同于安
全。
Anyway，对于商业客户而言，是否对Grsecurity/PaX定制是一种选择。
安装新的带Grsecurity/PaX补丁的内核，以3.14.1为例，先下载原生内核：
--------------------------------------------------------------
https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.14.1.tar.xz
下载Grsecurity/PaX补丁：
https://github.com/citypw/citypw-SCFE/raw/master/security/apparmor_test/grsecurity-3.0-3.14.11-201407072045.patch
解压内核然后打补丁：
Patch the kernel with grsecurity:
xz -d linux-3.14.1.tar.xz
tar xvf linux-3.14.1.tar
cd linux-3.14.1/
patch -p1 < ../grsecurity-3.0-3.14.3-201405121814.patch
你可以在"make menuconfig"里自己定制符合你口味的内核，也可以使用我测试用
的内核config文件：
https://raw.githubusercontent.com/citypw/citypw-SCFE/master/security/apparmor_test/debian-7.4-linux-3.14.1-grsec.config
编译内核(-jx, x通常==你的CPU核数+1):
make -j7 deb-pkg
安装编译后的内核:
dpkg -i ../*.deb
--------------------------------------------------------------
现在内核的部分结束，关于RBAC规则可以使用用户态工具gradm的Learning Mode
来实现，但不在本文的讨论范畴。

1, PHP是常用的WEB开发语言，在WEB生产环境部署的过程中，目录和文件的权限是需
要关注的，通常除了少数用途的目录（比如上传）外，都应该把写入权限禁用：
--------------------------------------------------------------
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
--------------------------------------------------------------
2, 开启 php 的安全模式,禁用 php 不安全的函数等加固，修改 php 配置文件
/etc/php5/apache2/php.ini :
--------------------------------------------------------------
// 设置模式为安全模式,此值直接影响 disable_functions 的命令是否生效;
[SQL]
; http://php.net/sql.safe-mode
sql.safe_mode = On
// 禁用不安全的函数
disable_functions = system, show_source, symlink, exec, dl, shell_exec,
passthru, phpinfo, escapeshellarg, escapeshellcmd
// 避免暴露 php 信息
expose_php = Off
// 关闭错误信息提示
display_errors = Off
// 不允许调用 dl
enable_dl = Off
// 避免远程调用文件
allow_url_include = Off
--------------------------------------------------------------
--[ 4. SSL/TLS基线检查
SSL/TLS的实现经历BEAST/CRIME/LUCKY-13/HEARTBLEED/POODLE一系列的安全事件
后，我们根据之前的NDAY漏洞的经验可以制定一些安全基线。这里给出的例子都
以HOST为"www.google.com"和PORT为443。
SSLv2早已经因为一系列安全漏洞被废弃，必须保证在生产环境当中去除，用以下
命令验证：
--------------------------------------------------------------
openssl s_client -ssl2 -connect www.google.com:443
由于OpenSSL 1.0开始已经不支持SSLv2，所以这条命令如果成功执行代表你有危
险，GnuTLS也可以用类似的命令来快速检测：
gnutls-cli -d 5 -p 443 --priority "NORMAL:-VERS-TLS1.2:-VERS-TLS1.1:-VERS-TLS1.0:-VERS-SSL3.0" www.google.com
--------------------------------------------------------------
SSLv3的漏洞也不少，POODLE攻击是其中的著名例子，如果你没有运行非常古老的
软件(比如IE6)，那你应该禁用掉SSLv3，检测对端是否支持SSLv3：
--------------------------------------------------------------
gnutls-cli -d 5 -p 443 --priority "NORMAL:-VERS-TLS1.2:-VERS-TLS1.1:-VERS-TLS1.0" www.google.com | grep -i version
如果能看到"- Version: SSL3.0"那你得当心了。
--------------------------------------------------------------
目前(2014年11月18日)，只有TLS 1.1/1.2是相对安全的，EFF早在2011年就建议
公众使用TLS 1.2的PFS，检查是否支持TLS 1.1/1.2：
--------------------------------------------------------------
gnutls-cli -p 443 --priority "NORMAL:-VERS-TLS1.2:-VERS-TLS1.0:-VERS-SSL3.0" www.google.com | grep -i version
显示“- Version: TLS1.1"就说明支持TLS 1.1。
gnutls-cli -p 443 --priority "NORMAL:-VERS-TLS1.1:-VERS-TLS1.0:-VERS-SSL3.0" www.google.com | grep -i version
显示”- Version: TLS1.2“就说明支持TLS 1.2。
使用OpenSSL工具也可以检测：
openssl s_client -tls1_1 -connect www.google.com:443 | grep -i protocol
openssl s_client -tls1_2 -connect www.google.com:443 | grep -i protocol
--------------------------------------------------------------
安全重协商支持：
--------------------------------------------------------------
gnutls-cli -d 5 -p 443  www.google.com
显示“Safe renegotiation succeeded“说明支持
--------------------------------------------------------------
客户端发起的重协商：
--------------------------------------------------------------
详情见：
http://www.solidot.org/story?sid=34026
--------------------------------------------------------------
公钥长度检测：
--------------------------------------------------------------
gnutls-cli  -p 443  www.google.com | grep -i key
如果公钥小于或者等于1024-bit，请根据业务场景重新评估安全性。
--------------------------------------------------------------
检测是否存在较弱的ciphersuites：
--------------------------------------------------------------
openssl s_client -cipher NULL,EXPORT,LOW,DES -connect www.google.com:443
如果执行成功代表有风险。
--------------------------------------------------------------
PFS( Perfect Forward Secrecy)，对性能有至少10%左右的损耗。
--------------------------------------------------------------
openssl s_client -cipher EDH,EECDH -connect www.google.com:443
如果成功说明支持PFS，这个特性是EFF强烈推荐的。
--------------------------------------------------------------
CRIME攻击是利用压缩算法，所以可以检测：
--------------------------------------------------------------
gnutls-cli www.google.com -p 443 | grep -i compress
如果显示“- Compression: NULL“就是安全的。
--------------------------------------------------------------
OpenSSL的Heartbeat特性：
--------------------------------------------------------------
openssl s_client -tlsextdebug -connect www.google.com:443 | grep -i heart
显示"TLS server extension heartbeat"说明此特性开启。
--------------------------------------------------------------
POODLE:
--------------------------------------------------------------
openssl s_client -ssl3 -fallback_scsv -connect www.google.com:443 | grep -i "alert ina"
显示"alert inappropriate fallback"则是安全的。
--------------------------------------------------------------
FREAK:
--------------------------------------------------------------
openssl s_client -cipher EXPORT -connect www.google.com:443
如果协商成功则说明有风险。
--------------------------------------------------------------
--[ 5. Weirdo audit
Grinch攻击虽然不是漏洞，但pkcon+wheel的组合场景还是需要注意，首先检查
wheel组是否存在：
grep -i wheel /etc/group
如果存在的话检查pkcon是否存在。
--[ 6. Reference
[1] 开源闭源项目代码质量对比
    http://www.solidot.org/story?sid=39173
[2] Back To The Future: Unix Wildcards Gone Wild
    http://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
[3] SYNPROXY：廉价的抗DoS攻击方案
    www.solidot.org/story?sid=38791
[4] INTERNET PROTOCOL
    http://tools.ietf.org/html/rfc791
[5] A simple TCP spoofing attack
    http://www.citi.umich.edu/u/provos/papers/secnet-spoof.txt
[6] ICMP Attacks Illustrated
    http://www.sans.org/reading-room/whitepapers/threats/icmp-attacks-illustrated-477
[7] SUSE Linux Enterprise Server 11 SP3 - Security and Hardening
    https://www.suse.com/documentation/sles11/singlehtml/book_hardening/book_hardening.html
[8] Securing Debian Manual
    https://www.debian.org/doc/manuals/securing-debian-howto/
[9] A Brief Introduction to auditd
    http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/
[10] Apparmor RBAC
     http://wiki.apparmor.net/index.php/Pam_apparmor_example
[11] Hardening PHP from php.ini
     http://www.madirish.net/199
[12] CVE-2014-0196 exploit
http://bugfuzz.com/stuff/cve-2014-0196-md.c
[13] Secure Secure Shell
https://stribika.github.io/2015/01/04/secure-secure-shell.html

apt-get install nginx

mkdir /etc/nginx/ssl

C:\Windows\system32>systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
OS 名称:          Microsoft Windows 10 专业版
OS 版本:          10.0.14393 暂缺 Build 14393

C:\>SET
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\V\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=V_V
ComSpec=C:\Windows\system32\cmd.exe

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

#还可以搜索可提升权限的特定漏洞，比如
wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KB3189031"
#如果没有返回信息则说明没安装该补丁

D:\>copy con commandExec1.vbs
Call WScript.CreateObject("Wscript.Shell").Run("cmd /K net user demo /add", 8, True)^Z
已复制         1 个文件。
D:\>commandExec1.vbs

#使用copy con创建批处理文件,输入"ftp"按CTRL+z后回车，即可创建成功
copy con run_ftp.bat
#运行文件
run_ftp.bat
ftp>!dir

dir /a-r-d /s /b

 cat Common/common.php
<?php
function show(){
  echo 'hello world1';
}

cat Lib/Action/IndexAction.class.php
<?php
// 本类由系统自动生成，仅供测试用途
class IndexAction extends Action {
    public function index(){
      //echo C('name'),'<br/>';
      //echo C('sex');
    //  echo C('URL_MODEL'),'<br/>';
      //echo U('index/user',array('id'=>1),'html',false,'localhost');
      show();
      // $arr=array(1,2,3,4,5);
      // dump($arr);
      // $this->display();
    }
    public function user(){
      echo 'id is:'.$_GET['id'].'<br/>';
      // echo '这里是INDEX模块的user方法';
    }
}

在Tpl目录下创建函数同名的文件夹如Index在该文件夹中创建index.html，
然后在IndexAction.class.php通过$this->display();进行调用
如果Tpl/Index目录下有多个html，则通过$this->display('文件名');进行调用

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <meta http-equiv="X-UA-Compatible" content="ie=edge">
  <title>Document</title>
</head>
<body>
Hello World.
</body>
</html>

{$now|date='Y-m-d H:i:s',###}<p/>
{$Think.now}<p/>
{$Think.version}<p/>

<for start='1' end='10'  name='k'>
  {$k}<br/>
</for>

<if condition='$num gt 10'>
  num > 10
<elseif condition="$num lt 10"/>num < 10
<else/>num===10
</if>

mkdir /soft/zookeeper-data
mkdir /soft/zookeeper-data/logs

cd /soft/zookeeper-3.5.2-alpha/
mv conf/zoo_sample.cfg conf/zoo.cfg
vim /conf/zoo.cfg

dataDir=/soft/zookeeper-data
dataLogDir=/soft/zookeeper-data/logs
server.1=node1:2888:3888
server.2=node2:2888:3888
server.3=node3:2888:3888

➜  zookeeper-3.5.2-alpha bin/zkServer.sh start conf/zoo.cfg
/usr/bin/java
ZooKeeper JMX enabled by default
Using config: conf/zoo.cfg
Starting zookeeper ... STARTED

➜  zookeeper-3.5.2-alpha bin/zkServer.sh status conf/zoo.cfg
/usr/bin/java
ZooKeeper JMX enabled by default
Using config: conf/zoo.cfg
Client port found: 2181. Client address: localhost.
Mode: leader

apt-get install openjdk-8-jre-headless

# 进入zookeeper后台命令，默认连接本地localhost:2181
./zookeeper/bin/zkCli.sh
# 创建目录
create /solr "solr"

使用自定义ZooKeeper connection string启动Solr。该选项只能在-c选项，即SolrCloud模式下使用。如果该选项未提供，Solr将启动内置ZooKeeper实例
如果指定ZooKeeper连接字符串，例如"-z 192.168.64.133:2181"，Solr将连接到ZooKeeper并加入集群。如果以cloud模式启动，但没有指定-z选项，则Solr启动内置ZooKeeper服务器，坚挺在Solr端口+1000，例如Solr在端口8983，则内置ZooKeeper监听在端口9983

cd /soft/solr
bin/solr start -c -m 1g -z node1:2181/solr,node2:2181/solr,node3:2181/solr -p 8983

-c：cloud模式启动
-m：最大内存使用
-z：zookeeper集群地址
-p：启动服务端口

curl 'http://localhost:8983/solr/admin/collections?action=CREATE&name=solr&numShards=3&replicationFactor=2&maxShardsPerNode=2'

name：待创建Collection的名称
configset：collection在zookeeper中的配置目录
numShards：分片的数量
replicationFactor：复制副本的数量
maxShardsPerNode：默认值为1，注意三个数值：numShards、replicationFactor、liveSolrNode，一个正常的solrCloud集群不容许同一个liveSolrNode上部署同一个shard的多个replic，因此当maxShardsPerNode=1时，numShards*replicationFactor>liveSolrNode时，报错。因此正确时因满足以下条件：
numShards*replicationFactor<liveSolrNode*maxShardsPerNode

2007年于南非开普敦成立，后不久发布Maltego,先今拥有超40W注册用户

Maltego CE
Maltego Classic
Maltego XL
CaseFile

CTAS(Commercial Transform Application Server 商业Transform应用服务器)
ITDS(internal Transform Distribution Server内部分发服务器)
COMMS SERVER(Communications Server通信服务器)

Maltego CE
Maltego Classic
Maltego XL

包含大部分与商业版本相同的功能，但不可用于商业用途，在返回结果时也有相应的数量限制，不支持导出结果图表

包括对所有 Paterva 标准 OSINTtransforms 最大运行枚举10K对象及他们之间的关系
支持导出结果为常用图片格式和PDF

官网注册账号

账号激活

Maltego设置代理

Maltego登录账号

适用于超大规模实体枚举
注册、安装方法和Maltego类似，

SP Tookit    Simple Phishing Toolkit  简单网络钓鱼工具包
部分介绍
http://krebsonsecurity.com/2012/01/phishing-your-employees-101/#more-12532

通过将底层物理硬盘抽象封装起来，以逻辑卷的形式表现给上层系统，逻辑卷的大小可以动态调整，而且不会丢失现有数据。新加入的硬盘也不会改变现有上层的逻辑卷。
作为一种多台磁盘管理机制，逻辑卷技术大大提高了磁盘管理的灵活性。

① PE　　(Physical Extend)　　物理拓展
② PV　　(Physical Volume)　　物理卷
③ VG　　(Volume Group)　　卷组
④ LV　　(Logical Volume)　　逻辑卷

➜  ~ mount | tail -n 1
/dev/sr0 on /media/cdrom0 type iso9660 (ro,nosuid,nodev,noexec,relatime,user)

➜  ~ vgs
  VG   #PV #LV #SN Attr   VSize  VFree
  vg     1   1   0 wz--n- 50.00g 30.00g

In [62]: 'successfully' in output
Out[62]: True

➜  hydar  python test.py 192.168.1.55 ftp
[*] Place wait...
Hydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.
Hydra (http://www.thc.org/thc-hydra) starting at 2016-06-02 12:41:32
[DATA] max 16 tasks per 1 server, overall 64 tasks, 22425 login tries (l:69/p:325), ~21 tries per task
[DATA] attacking service ftp on port 21
[21][ftp] host: 192.168.1.55   login: ftp   password: ftp
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2016-06-02 12:41:37
[{"status": "success", "login": "ftp", "password": "ftp"}]