awesome -安全-强化

一系列出色的安全强化指南、最佳实践、清单、基准测试、工具和其他资源。这是正在进行的工作：请通过发送你的建议来做出贡献。你可以通过创建问题票证或分叉，编辑和发送拉取请求来执行此操作。你也可以在 Twitter 上向@decalage2发送建议，或使用 https://www.decalage.info/contact

目录

• 安全强化指南和最佳实践
  • 强化指南集合
  • GNU/Linux
    • Red Hat Enterprise Linux - RHEL
    • CentOS
    • 苏斯
    • 乌班图
  • 窗户
  • 苹果操作系统
  • 网络设备
    • 开关
    • 路由器
    • 第六国际计划
    • 防火墙
  • 虚拟化 - VMware
  • 容器 - 泊坞窗
  • 服务业
    • 断续器
    • TLS/SSL
    • 网络服务器
      • Apache HTTP Server
      • Apache 雄猫
      • 日食码头
      • 微软 IIS
    • 邮件服务器
    • FTP 服务器
    • 数据库服务器
    • 活动目录
    • ADFS
    • 克贝罗斯
    • 断续器
    • 域名解析
    • 断续器
    • 断续器
    • 杯
  • 身份验证 - 密码
  • 硬件 - CPU - BIOS - UEFI
  • 云
• 工具
  • 用于检查安全强化的工具
    • GNU/Linux
    • 窗户
    • 网络设备
    • TLS/SSL
    • 断续器
    • 硬件 - CPU - BIOS - UEFI
    • docker
    • 云
  • 应用安全强化的工具
    • GNU/Linux
    • 窗户
    • TLS/SSL
    • 云
  • 密码生成器
• 书
• 其他 awesome 列表
  • 其他 awesome 安全列表

安全强化指南和最佳实践

强化指南集合

• CIS 基准测试（需要注册）
• ANSSI 最佳实践
• 美国国家安全局安全配置指南
• 面向网络安全专业人员的 NSA 网络安全资源和 NSA 网络安全出版物
• 美国国防部迪砂安全技术实施指南 （STIG） 和安全要求指南 （SRG）
• OpenSCAP Security Policies
• 澳大利亚网络安全中心出版物
• FIRST 最佳实践指南库 （BPGL）
• Harden the World - 一系列针对设备、应用程序和操作系统（目前主要是 Apple）的强化指南。

GNU/Linux

• ANSSI - GNU/Linux 系统的配置建议
• 独立于发行版的 CIS 基准测试
• trimstray - 实用的 Linux 强化指南 - 构建你自己的强化系统和服务的实用分步说明。在 CentOS 7 和 RHEL 7 上测试。
• trimstray - Linux 强化清单 - GNU/Linux 系统最重要的强化规则（实用 Linux 强化指南的摘要版本）
• 如何保护 Linux 服务器 - 适用于家中的单个 Linux 服务器
• nixCraft - 40 个 Linux 服务器强化安全提示（2019 版）
• nixCraft - 保护 Linux 服务器物理控制台访问的提示
• TecMint - 在Linux中禁用Root帐户的4种方法
• ERNW - 适用于 Linux 服务器的 IPv6 强化指南
• trimstray - Iptables Essentials： Common Firewall Rules and Commands
• Neo23x0/已审核 - 最佳实践审核配置

Red Hat Enterprise Linux - RHEL

• 红帽 - 保护红帽企业 Linux 7 安全指南
• DISA STIGs - Red Hat Enterprise Linux 7 （2019）
• CIS Benchmark for Red Hat Linux
• nixCraft - 如何在RHEL 8上使用WallwallD设置防火墙

CentOS

• Lisenet - CentOS 7 服务器强化指南 （2017）
• HighOn.Coffee - Security Harden CentOS 7 （2015）

苏斯

• SUSE Linux Enterprise Server 12 SP4 安全指南
• SUSE Linux Enterprise Server 12 安全和强化指南

乌班图

• Ubuntu 文档 - 安全性
• Ubuntu wiki - 安全加固功能

窗户

• 微软 - Windows 安全基线
• Microsoft - Windows Server Security |保证
• 微软 - Windows 10 Enterprise Security
• BSI / ERNW - 使用内置功能强化Windows 10的配置建议（2021） - 专注于Windows 10 LTSC 2019
• ACSC - 强化微软视窗 10，版本 21H1，工作站
• ACSC - 在企业中保护 PowerShell
• awesome 窗口域强化
• Microsoft - 如何在 Windows 和 Windows Server 中检测、启用和禁用 SMBv1、SMBv2 和 SMBv3
• Microsoft 建议的阻止规则 - 攻击者可以使用这些应用程序或文件来规避应用程序白名单策略的列表
• ERNW - Windows Server 的 IPv6 加固指南
• NSA - AppLocker 指南 - 使用 AppLocker 实现应用程序白名单的配置指南
• NSA - 通过哈希指南 - 用于实施传递哈希缓解措施的配置指南（已存档）
• NSA - BitLocker 指南 - 使用 BitLocker 实现磁盘加密的配置指南
• NSA - 事件转发指南 - 使用 Windows 事件转发实现与安全相关的 Windows 事件日志事件集合的配置指南
• Windows 纵深防御策略 - 正在进行的工作
• 基于Jessica Payne的“揭秘Windows防火墙”演讲的Windows防火墙的端点隔离 Ignite 2016

另请参阅下面的 Active Directory 和 ADFS。

苹果操作系统

• ERNW - 适用于 OS-X 的 IPv6 强化指南

网络设备

• NSA - 强化网络设备 - 非常简短但很好的摘要

开关

• 迪砂 - 第 2 层交换机 SRG

路由器

• NSA - 边界网关协议 （BGP） 最佳实践指南

第六国际计划

• ERNW - 开发企业 IPv6 安全策略 第 1 部分、第 2 部分、第 3 部分、第 4 部分 - 路由层上的网络隔离、IPv6 网络中的流量过滤
• 另请参阅 GNU/Linux、Windows 和 macOS 下的 IPv6 链接

防火墙

• NIST SP 800-41 修订版 1 - 防火墙和防火墙策略指南 （2009）
• trimstray - Iptables Essentials： Common Firewall Rules and Commands

虚拟化 - VMware

• VMware 安全强化指南 — 涵盖大多数 VMware 产品和版本
• CIS VMware ESXi 6.5 Benchmark （2018）
• DISA STIGs - 虚拟化 - VMware vSphere 6.0 和 5
• ENISA - 虚拟化的安全方面 - 虚拟化和容器的通用高级最佳实践（2017 年 2 月）
• NIST SP 800-125 - 全虚拟化技术安全指南 - （2011）
• NIST SP 800-125A 修订版 1 - 基于服务器的虚拟机管理程序平台的安全建议 （2018）
• 用于虚拟机 （VM） 保护的 NIST SP 800-125B 安全虚拟网络配置 （2016）
• ANSSI - Recommandations de sécurité pour les architectures basées sur VMware vSphere ESXi - for VMware 5.5 （2016）， 法文
• ANSSI - Problématiques de sécurité associées à la virtualisation des systèmes d'information （2013）， 法文

容器 - 泊坞窗

• 如何强化你的 Docker 容器
• CIS Docker 基准测试 - 需要注册
• NIST SP 800-190 - 应用容器安全指南
• 容器安全实用介绍
• ANSSI - Recommandations de sécurité relatives au déploiement de conteneurs Docker （2020）， 法文

服务业

断续器

• NIST IR 7966 - 使用安全外壳 （SSH） 进行交互式和自动化访问管理的安全性
• ANSSI - （开放）SSH 安全使用建议
• Linux Audit - OpenSSH Security and Hardening
• Positron Security SSH Hardening Guides （2017-2018） - 专注于加密算法
• stribika - Secure Secure Shell （2015） - 一些算法建议可能略显过时
• 应用加密强化：bettercrypto.org - 有关如何配置最常见服务的加密设置（TLS/SSL、PGP、SSH 和其他加密工具）的便捷参考
• IETF - 密钥交换 （KEX） 方法更新和安全外壳 （SSH） 建议草案-ietf-curdle-ssh-kex-sha2-10 - 更新为在安全外壳 （SSH） 协议中使用的推荐密钥交换方法集，以满足对增强安全性的不断发展的需求。本文档更新 RFC 4250。
• 引力 - 如何正确进行 SSH - 如何配置 SSH 以使用证书和双因素身份验证

TLS/SSL

• NIST SP800-52 Rev 2（第二稿）- 传输层安全性 （TLS） 实现的选择、配置和使用指南 - 2018 年，推荐 TLS 1.3
• 荷兰 NCSC - 传输层安全性 （TLS） 的 IT 安全指南 - 2019
• ANSSI - TLS 安全建议 - 2017，不包括 TLS 1.3
• Qualys SSL Labs - SSL 和 TLS 部署最佳实践 - 2017 年，不包括 TLS 1.3
• RFC 7540 附录 A TLS 1.2 密码套件黑名单
• 应用加密强化：bettercrypto.org - 有关如何配置最常见服务的加密设置（TLS/SSL、PGP、SSH 和其他加密工具）的便捷参考

网络服务器

• Cipherli.st - Apache，nginx和Lighttpd的强大密码

Apache HTTP Server

• Apache HTTP Server 文档 - 安全提示
• GeekFlare - Apache Web Server Hardening and Security Guide
• Apache 配置 - Apache 安全强化指南

Apache 雄猫

• Apache Tomcat 9 安全注意事项 / v8 / v7
• OWASP 保护雄猫
• 如何让 Tomcat 9 与 authbind 一起绑定到端口 80

日食码头

• Eclipse Jetty - 配置安全性
• 码头硬化 （2015）

微软 IIS

• CIS Microsoft IIS Benchmarks

邮件服务器

FTP 服务器

数据库服务器

活动目录

• Microsoft - 保护 Active Directory 的最佳实践
• ANSSI CERT-FR - Active Directory 安全评估清单 - 2020（英文和法文版本）
• “管理员免费”活动目录和Windows，第1部分- 了解AD中的特权组
• “管理员免费”活动目录和Windows，第2部分-活动目录中受保护的帐户和组

ADFS

• adsecurity.org - 保护 Microsoft Active Directory 联合服务器 （ADFS）
• Microsoft - 保护 Active Directory 联合身份验证服务的最佳做法

克贝罗斯

• CIS MIT Kerberos 1.10 基准测试 - 2012

断续器

• OpenLDAP Software 2.4 Administrator's Guide - OpenLDAP Security Considers
• LDAP 安全性最佳实践 （2011）
• LDAP：强化服务器安全性（以便管理员晚上可以睡觉）
• LDAP 身份验证最佳实践 - 从 web.archive.org 检索
• 使用 AppArmor 和 systemd 在 Linux 上强化 OpenLDAP - 幻灯片
• zytrax LDAP for Rocket Scientists - LDAP Security
• 如何使用STARTLS加密OpenLDAP连接

域名解析

• CIS - 绑定 DNS 服务器 9.9 基准测试 （2017）
• 迪砂 STIG - 绑定 9.x （2019）
• NIST SP 800-81-2 - 安全域名系统 （DNS） 部署指南 （2013）
• CMU SEI - 保护强大域名系统 （DNS） 基础架构的六大最佳实践
• NSA BIND 9 DNS Security （2011）

断续器

• IETF - Network Time Protocol Best Current Practices draft-ietf-ntp-bcp (last draft #13 in March 2019)
• CMU SEI - Best Practices for NTP Services
• Linux.com - Arrive On Time With NTP -- Part 2: Security Options
• Linux.com - Arrive On Time With NTP -- Part 3: Secure Setup

断续器

• Linux NFS-HOWTO - Security and NFS - a good overview of NFS security issues and some mitigations
• Red Hat - A Guide to Securing Red Hat Enterprise Linux 7 - Securing NFS
• Red Hat - RHEL7 Storage Administration Guide - Securing NFS
• NFSv4 without Kerberos and permissions - why NFSv4 without Kerberos does not provide security
• CertDepot - RHEL7: Use Kerberos to control access to NFS network shares

杯

• CUPS Server Security

身份验证 - 密码

• UK NCSC - Password administration for system owners
• NIST SP 800-63 Digital Identity Guidelines
• OWASP Password Storage Cheat Sheet

硬件 - CPU - BIOS - UEFI

• ANSSI - Hardware security requirements for x86 platforms - recommendations for security features and configuration options applying to hardware devices (CPU, BIOS, UEFI, etc) (Nov 2019)
• NSA - Hardware and Firmware Security Guidance - Guidance for the Spectre, Meltdown, Speculative Store Bypass, Rogue System Register Read, Lazy FP State Restore, Bounds Check Bypass Store, TLBleed, and L1TF/Foreshadow vulnerabilities as well as general hardware and firmware security guidance.
• NSA Info Sheet: UEFI Lockdown Quick Guidance (March 2018)
• NSA Tech Report: UEFI Defensive Practices Guidance (July 2017)

云

• NSA Info Sheet: Cloud Security Basics (August 2018)
• DISA DoD Cloud Computing Security
• asecure.cloud - Build a Secure Cloud - A free repository of customizable AWS security configurations and best practices

工具

用于检查安全强化的工具

• Chef InSpec - open-source testing framework by Chef that enables you to specify compliance, security, and other policy requirements. can run on Windows and many Linux distributions.

GNU/Linux

• Lynis - script to check the configuration of Linux hosts
• OpenSCAP Base - oscap command line tool
• SCAP Workbench - GUI for oscap
• Tiger - The Unix security audit and intrusion detection tool (might be outdated)
• otseca - Open source security auditing tool to search and dump system configuration. It allows you to generate reports in HTML or RAW-HTML formats.
• SUDO_KILLER - A tool to identify sudo rules' misconfigurations and vulnerabilities within sudo
• CIS Benchmarks Audit - bash script which performs tests against your CentOS system to give an indication of whether the running server may comply with the CIS v2.2.0 Benchmarks for CentOS (only CentOS 7 for now)

窗户

• Microsoft Security Compliance Toolkit 1.0 - set of tools that allows enterprise security administrators to download, analyze, test, edit, and store Microsoft-recommended security configuration baselines for Windows and other Microsoft products
• Microsoft DSC Environment Analyzer (DSCEA) - simple implementation of PowerShell Desired State Configuration that uses the declarative nature of DSC to scan Windows OS based systems in an environment against a defined reference MOF file and generate compliance reports as to whether systems match the desired configuration
• HardeningAuditor - Scripts for comparing Microsoft Windows compliance with the Australian ASD 1709 & Office 2016 Hardening Guides
• PingCastle - Tool to check the security of Active Directory

网络设备

• Nipper-ng - to check the configuration of network devices (does not seem to be updated)

TLS/SSL

• Qualys SSL Labs - List of tools to assess TLS/SSL servers and clients
• SSL Decoder - checks the SSL/TLS configuration of a server

断续器

• ssh-audit - SSH server auditing (banner, key exchange, encryption, mac, compression, compatibility, security, etc)

硬件 - CPU - BIOS - UEFI

• CHIPSEC: Platform Security Assessment Framework - framework for analyzing the security of PC platforms including hardware, system firmware (BIOS/UEFI), and platform components
• chipsec-check - Tools to generate a Debian Linux distribution with chipsec to test hardware requirements

Docker

• Docker Bench for Security - script that checks for dozens of common best-practices around deploying Docker containers in production, inspired by the CIS Docker Community Edition Benchmark v1.1.0.

Cloud

• toniblyx/my-arsenal-of-aws-security-tools - List of open source tools for AWS security: defensive, offensive, auditing, DFIR, etc.

Tools to apply security hardening

• DevSec Hardening Framework - a framework to automate hardening of OS and applications, using Chef, Ansible and Puppet

GNU/Linux

• Linux Server Hardener - for Debian/Ubuntu (2019)
• Bastille Linux - outdated

Windows

• Microsoft Security Compliance Toolkit 1.0 - set of tools that allows enterprise security administrators to download, analyze, test, edit, and store Microsoft-recommended security configuration baselines for Windows and other Microsoft products
• Hardentools - for Windows individual users (not corporate environments) at risk, who might want an extra level of security at the price of some usability.
• Windows 10 Hardening - A collective resource of settings modifications (mostly opt-outs) that attempt to make Windows 10 as private and as secure as possible.
• Disassembler0 Windows 10 Initial Setup Script - PowerShell script for automation of routine tasks done after fresh installations of Windows 10 / Server 2016 / Server 2019
• Automated-AD-Setup - A PowerShell script that aims to have a fully configured domain built in under 10 minutes, but also apply security configuration and hardening
• mackwage/windows_hardening.cmd - Script to perform some hardening of Windows 10

TLS/SSL

• Mozilla SSL Configuration Generator

Cloud

• toniblyx/my-arsenal-of-aws-security-tools - List of open source tools for AWS security: defensive, offensive, auditing, DFIR, etc.

Password Generators

• How-To Geek - 10 Ways to Generate a Random Password from the Linux Command Line
• Vitux - 8 Ways to Generate a Random Password on Linux Shell
• SS64 - Password security and a comparison of Password Generators

Books

Other Awesome Lists

• Awesome Cybersecurity Blue Team - A curated collection of awesome resources, tools, and other shiny things for cybersecurity blue teams.

Other Awesome Security Lists

(borrowed from Awesome Security)

• Awesome Security - A collection of awesome software, libraries, documents, books, resources and cools stuffs about security.
• Android Security Awesome - A collection of android security related resources.
• Awesome CTF - A curated list of CTF frameworks, libraries, resources and software.
• Awesome Cyber Skills - A curated list of hacking environments where you can train your cyber skills legally and safely.
• Awesome Hacking - A curated list of awesome Hacking tutorials, tools and resources.
• Awesome Honeypots - An awesome list of honeypot resources.
• Awesome Malware Analysis - A curated list of awesome malware analysis tools and resources.
• Awesome PCAP Tools - A collection of tools developed by other researchers in the Computer Science area to process network traces.
• Awesome Pentest - A collection of awesome penetration testing resources, tools and other shiny things.
• Awesome Linux Containers - A curated list of awesome Linux Containers frameworks, libraries and software.
• Awesome Incident Response - A curated list of resources for incident response.
• Awesome Web Hacking - This list is for anyone wishing to learn about web application security but do not have a starting point.
• Awesome Threat Intelligence - A curated list of threat intelligence resources.
• Awesome Pentest Cheat Sheets - Collection of the cheat sheets useful for pentesting
• Awesome Industrial Control System Security - A curated list of resources related to Industrial Control System (ICS) security.
• Awesome YARA - A curated list of awesome YARA rules, tools, and people.
• Awesome Threat Detection and Hunting - A curated list of awesome threat detection and hunting resources.
• Awesome Container Security - A curated list of awesome resources related to container building and runtime security
• Awesome Crypto Papers - A curated list of cryptography papers, articles, tutorials and howtos.