AIX安全加固操作手册
作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下:
一、系统推荐补丁升级加固
1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁)
检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号)
2.如果未安装补丁,使用如下方式安装补丁
1)将补丁盘放入光驱、以root执行:mount /cdrom
2)执行:smitty update_all (选择/dev/cd0为安装介质)
注意选择安装选项中:
COMMIT software updates? no
SA VE replaced files? yes
安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统
二、AIX系统配置安全加固
1.编辑/etc/inetd.conf文件,关闭所有服务。
将inetd.conf文件中的内容清空
> /etc/inetd.conf
refresh –s inetd
2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务:
portmap
syslog
inetd
sendmail
snmpd
如关闭dpid2,则只要注销以下行:(前面加#号即可)
#start /usr/sbin/dpid2 "$src_running"
再使用:
stopsrc –s XXX来停止这些已经启动的服务
3./etc/inittab中关闭
用:注释服务,不是‘#’
piobe Printer IO BackEnd
qdaemon Printer Queueing Daemon
writesrv write server
httpdlite docsearch Web Server
imnss docsearch imnss Daemon
imqss docsearch imqss daemon
4.删除一些无用的用户
rmuser -p uucp;rmuser -p nuucp
5.手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制
default默认设置不允许su\login\rlogin,将三项设置依次设置为false即可,其余缺省;缺省umask设置为027;设置各用户设置密码的最小长度为8;
放开root、(sybase或oracle)、zxin10用户的su权限;放开(sybase或oracle)、zxin10用户的rlogin权限;设置root的umask为077
default:
login=false
su=false
rlogin=false
umask=027
minlen=8
...
root:
su=true
umask=077
...
zxin10:
su=true
rlogin=true
...
oracle:
su=true
rlogin=true
#pwdck -y ALL修复同步口令文件
6.更改login默认策略(/etc/security/login.cfg)
default:
logindelay=2
logindisable=3
logininterval=60(logininterval秒内产生logindisable次无效登录,即锁定port)loginreenable=5(loginreenable分钟后解除锁定)
7.编辑/etc/profile,添加下列行:
TMOUT=3600
TIMEOUT=3600
export TMOUT TIMEOUT
8.加固系统TCP/IP配置
编辑https://www.doczj.com/doc/284774670.html,文件,添加:
/usr/sbin/no -o clean_partial_conns=1
/usr/sbin/no -o arpt_killc=20
/usr/sbin/no -o icmpaddressmask=0
/usr/sbin/no -o directed_broadcast=0
/usr/sbin/no -o ipsrcroutesend=0
/usr/sbin/no -o ipsrcrouteforward=0
/usr/sbin/no -o ip6srcrouteforward =0
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0
9.使用以下方法使尝试登录失败记录有效
修改/etc/syslog.conf文件增加日志审计内容:
*.crit /var/log/loginlog
创建loginlog,记录失败登陆
#touch /var/log/loginlog
#chmod 600 /var/log/loginlog
#chgrp sys /var/log/loginlog
#refresh –s syslogd
10.删除不需要的crons
cd /var/spool/cron/crontabs
rm -r sys
rm -r adm
rm -r uucp
三、安装ssh服务端和客户端
a)安装ssh服务端(AIX上)
在AIX 4.3.3和5.1系统上安装OpenSSH
内容
这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤
提要
正文(一)在AIX 4.3.3系统上安装OpenSSH
在AIX 4.3.3系统里,openSSH是用RPM格式的安装包来安装的,而在5.1和5.2的系统里是用installp格式的安装包来安装的。在4.3.3系统上安装有如下三个步骤:
1.安装首要必备的文件集;
2.下载rpm格式的安装包;
3.安装openSSH必需的rpm安装包。
1.安装首要必备的文件集
在安装rpm格式的安装包之前需要安装文件集rpm.rte和perl.rte,rpm.rte文件集能够通过以下途径获得:
Linux Toolbox CD 光盘或者Linux Toolbox 站点:
https://www.doczj.com/doc/284774670.html,/servers/aix/products/aixos/linux/download.html
这些文件集可以通过smitty installp 命令来安装
2.下载rpm格式的安装包
rpm格式的安装包能够从以下网址下载:
https://www.doczj.com/doc/284774670.html,/servers/aix/products/aixos/linux/download.html
在这个网页上,prngd程序(Psuedo Random Number Generator Daemon)和zlib压缩和解压缩库能被下载,它们是安装openssl rpm安装包所首要必需的,他们各自对应的文件集为:prngd-0.9.23-2.aix4.3.ppc.rpm和zlib-1.aix4.3..ppc.rpm。
在分类内容下载区域的右上方点击AIX TOOLbox Cryptographic Content,如果你不是一个已注册的用户,你应该先注册你自己。然后点击在面板底部出现的Accept License按钮并开始下载openssl和openssh rpm安装包:
openssl-0.9e-2.aix4.3.ppc.rpm
openssl-devel-0.9.6e-2.aix4.3.ppc.rpm
openssl-doc-0.9.6e-2.aix4.3.ppc.rpm
openssh-3.4p1-4.aix4.3.ppc.rpm
openssh-server-3.4p1-4.aix4.3.ppc.rpm
openssh-clients-3.4p1-4.aix4.3.ppc.rpm
3.安装openSSH必需的rpm安装包
把上一步下载的rpm文件包放到一个目录下面,并在此当前目录下运行如下命令进行安装:# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm
# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm
# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm
# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm
# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm
# rpm -i openssh-3.4p1-4.aix4.3.ppc.rpm
# rpm -i openssh-server-3.4p1-4.aix4.3.ppc.rpm
# rpm -i openssh-clients-3.4p1-4.aix4.3.ppc.rpm
有时在安装openssl文件包时会得到error: failed dependencies错误,如果出现这种错误请运行如下命令:
# rpm -i --nodeps openssl-0.9.6e-2.aix4.3.ppc.rpm
下面的命令能用来更新AIX-rpm:
# /usr/sbin/updtvpkg
prngd必须在openssl和openssh安装之前安装,并且openssl又是安装openssh rpm 文件包所首要必需的。
文件集openssl-devel-0.9.6e-2.aix4.3.ppc.rpm 和openssl-doc-0.9.6e-2.aix4.3.ppc.rpm 不是安装openSSH所必需的。
想验证一下这些文件包是否被安装,请运行如下命令:
# rpm -qa | egrep '(openssl|openssh|prng)'
-->
zlib-1.1.4-1
prngd-0.9.23-2
openssl-0.9.6e-2
openssl-devel-0.9.6e-2
openssl-doc-0.9.6e-2
openssh-3.4p1-4
openssh-server-3.4p1-4
openssh-clients-3.4p1-4
这些文件包被装在/opt/freeware目录下,并且建立了一些连接在/usr/bin或者/usr/sbin目录里,如下所示:
# ls -l /usr/bin/ssh
lrwxrwxrwx --1 root --system -----26 Oct 17 08:07 /usr/bin/ssh ->
------------------------------------------------../../opt/freeware/bin/ssh
# ls -l /usr/sbin/sshd
lrwxrwxrwx ----1 root ----system ----28 Oct 17 08:06 /usr/sbin/sshd
-> ../../opt/freeware/sbin/sshd
(二)在AIX 5.1系统上安装OpenSSH
在5.1系统里,openssh本身的安装包是installp格式,但是所有的首要必备文件包(包括openssl)只能用rpm -i命令来安装(用与4.3.3一样的rpm文件包)。
installp 格式的安装包能够从以下网址下载:
https://www.doczj.com/doc/284774670.html,/develoerworks/projects/opensshi
首先需要安装首要必备的文件包如下:
# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm
# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm
# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm
# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm
# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm
用smitty installp命令来安装从openssh34p1_51.tar文件中解压缩出来的openssh文件集,下面这些是安装openssh所需要的从tar文件里解压缩的文件集:
openssh.base.client
openssh.base.server
openssh.license
openssh.man.en_US
openssh.msg.en_US
在用smit菜单安装时必须更改Accept new License agreement栏的值为yes,否则安装将会失败。
用下面的命令来验证你安装了的文件集:
# lslpp -l | grep ssh
openssh.base.client --3.4.0.0 COMMITTED Open Secure Shell Commands
openssh.base.server --3.4.0.0 COMMITTED Open Secure Shell Server
openssh.license ---- 3.4.0.0 COMMITTED Open Secure Shell License
openssh.man.en_US ---3.4.0.0 COMMITTED Open Secure Shell
openssh.msg.en_US ---3.4.0.0 COMMITTED Open Secure Shell Messages -
openssh.base.client --3.4.0.0 COMMITTED Open Secure Shell Commands
openssh.base.server --3.4.0.0 COMMITTED Open Secure Shell Server
你也将发现ssh命令位于/usr/bin目录下:
# ls -al /usr/bin/ssh
-r-xr-xr-x --1 root -- system ----503240 Sep 06 13:11 /usr/bin/ssh
# ls -al /usr/bin/scp
-r-xr-xr-x --1 root --system ----64654 Sep 06 13:11 /usr/bin/scp
(三)在4.3和5.1系统上的初始化配置
在/etc/inittab文件里有如下条目将在系统启动时调用在/etc/rc.d/rc2.d目录下所有以S开始的脚本:
l2:2:wait:/etc/rc.d/rc 2
在/etc/rc.d/rc2.d目录下,下面的例子显示出启动sshd所必需的符号连接:
在4.3.3:
#ls -l /etc/rc.d/rc2.d | grep ssh
lrwxrwxrwx --1 root --system --14 Oct 17 08:06 K55sshd -> ../init.d/sshd
lrwxrwxrwx --1 root --system --14 Oct 17 08:06 S55sshd -> ../init.d/sshd
在5.1 :
# ls -l /etc/rc.d/rc2.d | grep ssh
-r-xr-xr-x --1 root --system ----307 Oct 21 16:11 Ksshd
-r-xr-xr-x --1 root --system ----308 Oct 21 16:11 Ssshd
prngd程序被/etc/inittab文件里的如下条目启动:
prng:2:wait:/usr/bin/startsrc -s prngd
如果想要指定SSH2协议在OPenSSH被用,需要在/etc/ssh/sshd.config文件里加入如下行:Protocol 2
可以用telnet命令来验证SSH协议的版本:
# telnet localhost 22
Trying...
Connected to https://www.doczj.com/doc/284774670.html,.
Escape character is '^]'.
SSH-2.0-OpenSSH_3.4p1
上面显示你现在正在用ssh2.
如果你看到如下信息:
# telnet localhost 22
Trying...
telnet: connect: A remote host refused an attempted connect operation.
那么说明sshd程序现在没有运行,用Ctrl-c和q来终止,然后运行如下命令:
#startsrc -s sshd
不管什么时候调整了/etc/ssh/sshd.config文件,ssh都需要停掉并重新启动:
#stopsrc -s sshd
#startsrc -s sshd
prngd也能用同样的方法停止和启动。
b)安装ssh客户端(windowns上)
执行ssh的客户端安装程序即可完成安装,由于比较简单,不再详述。
测试使用ssh客户端登录AIX,使用:开始->程序-> SSH Secure Shell->Secure Shell Client 启动客户端,在登录界面中使用:Quick Connect登录,输入AIX IP地址,登录用户,Authentication中选择Password方式,然后输入密码,如果登录成功,则表明ssh安装成功了。
至此,AIX系统安全加固全部结束,请重新启动操作系统使设置生效:
shutdown -Fr
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
服务器安全加固(以Windows Server 2008为示例,Windows server 2003和Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。(请截图) 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原的加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟
2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。 2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
AIX安全加固操作手册 作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下: 一、系统推荐补丁升级加固 1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁) 检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2.如果未安装补丁,使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行:mount /cdrom 2)执行:smitty update_all (选择/dev/cd0为安装介质) 注意选择安装选项中: COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件,关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务: portmap syslog inetd sendmail snmpd 如关闭dpid2,则只要注销以下行:(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用: stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务,不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.doczj.com/doc/284774670.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
IIS&SQL 服务器安全加固 本资料整理自MSDN 和Xfocus ,整理者:Vidar.z - 1 - IIS Web 服务器安全加固步骤: 步骤 注意: 安装和配置 Windows Server 2003。 1. 将
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
Red Hat Linux系统安全加固 Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。
图1 风险: 需要与管理员确认此项操作不会影响到业务系统的登录1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法:
#vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 图2 风险:无可见风险 1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令
1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:
服务器主机安全规范标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号
口令策略
网络服务 优化服务(1)
Print Spooler(管理所有本地和网络打印队列及控制所有打印工 作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属 性,“共享”这个页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供TCP/IP (NetBT)服务上的NetBIOS 和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享 文件、打印和登录到网络) Task Scheduler(使用户能在此计算机上配置和计划自动任务) Windows Remote Management(47001端口,Windows远程管理服 务,用于配合IIS管理硬件,一般用不到) Workstation(创建和维护到远程服务的客户端网络连接。如果服 务停止,这些连接将不可用) 备注用服务需谨慎,特别是远程计算机 优化服务(2) 在"网络连接"里,把不需要的和服务都移除 2 去掉Qos数据包计划程序 2?关闭Netbios服务(关闭139端口)
ORACLE 安全加固手册 安装ORACLE NET8 配置DB SCANNER 1.安装DB SCANNER软件 2.配置DB SCANNER (1)在DB SCANNER菜单scanner->configure connection->oracle中选 择Add Server,出现如图信息: Server Name:连接符 Protocol:选择TCP/IP Sockets SID:ORACLE数据库SID Hostname or IP address:为ORACLE数据库IP地址 Port Oracle listens on:默认为1521 (2)选择scan database->network neighborhood->oracle中
oracle.world连接符 (3)点击Add Database 填写DBA 帐户和密码,选择所制订的策略,Host Account与Host Password为空 ORACLE版本信息 检查当前所有已安装的数据库产品的版本信息 Oracle8 至 8.0: cd $ORACLE_HOME/orainst ./inspdver Oracle 8i 或更高: cd $ORACLE_HOME/install cat unix.rgs 8:version number 1:maintenance release number 5:patch release number 1:port-specific patch release number 补丁 1.数据库补丁安装
1)由上步操作获取数据库补丁安装情况 2)补丁下载 ORACLE最新补丁下载地址是:ftp://https://www.doczj.com/doc/284774670.html, 3)补丁安装 停止所有与数据库相关的服务 数据库备份 解压补丁文件 插入数据库安装盘,或执行./runInstaller,进入交互式状态在Source栏选择解压后的补丁文件products.jar。 详细操作请参照其中的readme文件 数据库运行状态 检查数据库当前运行状态 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba 4.sql>archive log list; -----显示结果 sql> archive log list 数据库记录模式无档案模式 自动存档已禁用 存档路径 D:\Oracle\Ora81\RDBMS 最旧的联机日志顺序 852 当前记录顺序 854 默认用户状态及口令更改情况 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba;
Linux安全加固 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 风险: 需要与管理员确认此项操作不会影响到业务系统的登录 1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置 备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法: #vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9
1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令 备份方法: #cp -p /etc/passwd /etc/passwd_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的超级账户。 使用命令passwd -u <用户名>解锁需要恢复的超级账户。 风险:需要与管理员确认此超级用户的用途。 1.4 限制能够su为root的用户 检查方法: #cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目 备份方法:#cp -p /etc/pam.d /etc/pam.d_bak 加固方法: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有wheel组的用户可以su到root #usermod -G10 test 将test用户加入到wheel组
1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账 号共享。 结果:现网已实现 2、应删除或锁定与设备运行、维护等工作无关的账号。 结果:现网已实现 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户 远程登录后,再切换到管理员权限账号后执行相应操作。 结果:可以实现 编号:安全要求-设备-SOLARIS-配置-3 4、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 结果:现网已实现,可以按照下面配置修改策略 编号:安全要求-设备-通用-配置-4
5、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 结果:可以实现,应用账号不建议实现,将会影响应用系统; 编号:安全要求-设备-通用-配置-5 6、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5 次)内已使用的口令。 结果:可以实现,不建议实现,应用账号无法单独设置,将会影响应用系统; 编号:安全要求-设备-通用-配置-6-可选
7、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6 次),锁定该用户使用的账号。 结果:可以实现,不建议实现。应用账号无法单独设置,账号锁定将会影响应用系统,root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。 编号:安全要求-设备-通用-配置-7-可选
8、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 结果:现网已实现 9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录 是否成功,登录时间,以及远程登录时,用户使用的IP地址。 结果:现网已实现 10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、 删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 结果:可以实现,但是磁盘空间不足,不建议实现 编号:安全要求-设备-SOLARIS-配置-15-可选 11、设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 结果:可以实现。但需要一台专用日志服务器(要求大容量磁盘空间) 编号:安全要求-设备-通用-配置-14-可选
Web服务器安全加固步骤步骤注意: 安装和配置Windows Server 2003。1.将
21.禁止死网关监测技术 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 22.不支持路由功能 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 安装和配置IIS 服务: 1.仅安装必要的IIS 组件。(禁用不需要的如FTP 和SMTP 服务) 2.仅启用必要的服务和Web Service 扩展,举荐配置: UI 中的组件名称设置设置逻辑 后台智能传输服务(BITS) 服务器扩展启用BITS 是Windows Updates 和“自动更新”所使用的后台文件传输机制。假如使 用Windows Updates 或“自动更新”在IIS 服务器中自动应用Service Pack 和热修补程序,则必须有该组件。 公用文件启用IIS 需要这些文件,一定要在IIS 服务器中启用它们。 文件传输协议(FTP) 服务禁用承诺IIS 服务器提供FTP 服务。专用IIS 服务器不需要该服务。 FrontPage 2002 Server Extensions 禁用为治理和公布Web 站点提供FrontPage 支持。假如没有使用FrontPage 扩 展的Web 站点,请在专用IIS 服务器中禁用该组件。 Internet 信息服务治理器启用IIS 的治理界面。 Internet 打印禁用提供基于Web 的打印机治理,承诺通过共享打印机。专用IIS 服务器不
文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持. - 1 - 【关键字】服务 IIS Web 服务器安全加固步骤: 步骤 注意: 安装和配置 Windows Server 2003。 1. 将