Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●? 系统上运行的应用系统及其正常所必需的服务。
●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的 内容、步骤和时间表。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●? 对系统进行加固 ●? 对系统进行测试
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇二〇年八月
目录 1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH网站上发布的升级软件对照,检查其中的变化。
通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。 2.2、口令策略的设置 RedHat Linux总体口令策略的设定分两处进行,第一部分是在/etc/文件中定义,其中有四项相关内容: PASS_MAX_DAYS 密码最长时效(天) PASS_MIN_DAYS 密码最短时效(天) PASS_MIN_LEN 最短密码长度 PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户 编辑/etc/文件,设定:
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次,锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
安全手册 XXX科技发展有限公司 编制:审核批准日期 公司的安全愿景 成为零工伤工厂 公司的安全承诺 确保使员工能以在安全的环境下以安全的方式进行工作。 公司的安全政策 ·所有公司员工和来访者的安全都必须受到保护; ·没有比使员工避免受到伤害更重要的事情; ·预防工伤/职业病事故的发生是非常重要的道德和法律责任; 1.安全总则 1.1安全第一,预防为主; 1.2遵守安全的法律法规; 1.3在安全上不要有侥幸心理。 2.安全职责 1.1管理层安全职责 ·安全教育和培训; ·给员工提供充分的、符合要求的劳保用品; ·不断加强安全管理。 2.2员工安全职责 ·遵守所有安全规章制度; ·按规定穿戴劳保用品,并妥善保管,使其处于良好状况; ·采用安全的工作方式,预防事故发生。 3.安全培训 3.1企业必须开展安全教育,普及安全知识,倡导安全文化。 3.2安全培训由公司行政人力资源部和工艺部负责组织。 3.3生产岗位员工的安全培训: A.新入职员工上岗前必须进行公司级、部门级、车间班组级三级安全教育, 并经考核合格后方可上岗;
B.公司级安全教育应包括劳动安全文化的基本知识,公司劳动安全卫生规 章制度及状况、劳动纪律和有关事故案例等项内容; C.部门级安全教育应包括本部门劳动安全卫生状况和规章制度,主要危险 危害因素及安全事项,预防工伤事故和职业病的主要措施,典型事故案 例及事故应急处理措施等项内容; D.车间班组级安全教育应包括遵章守纪,岗位安全操作规程,岗位间工作 衔接配合的安全卫生事项,典型事故案例,劳动防护用品(用具)的性 能及正确使用方法等项内容; E.从事特种作业的人员必须经过专门的安全知识与安全操作技能培训,并 以过考核,取得特种作业资格方可上岗工作。 3.4管理人员的安全培训: ·主管以上人员 A.必须进行安全培训经考核合格后方可上岗; B.培训内容应包括国家有关劳动安全卫生的方钍、政策、法律、法规及有 关规章制度,工伤保险法律、法规,安全生产管理职责、企业劳动安全 卫生管理知识及安全文化,有关事故案例及事故应急处理措施等内容。 ·工程技术及其他人员 A.培训时间不得少于十二学时; B.培训内容应包括劳动安全卫生法律、法规及本部门、本岗位安全卫生职 责,安全技术、劳动卫生和安全文化的知识,有关事故案例及事故应急 处理措施等项内容。 4.办公室安全 4.1保持行走区域和工作区域畅通无阻,及时排除或示示出绊倒隐患; 4.2保持工作区域清洁、光线充足、无水; 4.3办公室要求整理、整顿、清扫、清洁并养成习惯; 4.4严禁私拉乱按各种电线,未经许可,不得进行电器维修; 4.5操作任何机器前,要确保你已接受过适当的培训和指导; 4.6不要对任何处于开启状态的机器进行清洗工作; 4.7不在办公室使用电炉,快速热水器,加热器等。 5.吸烟规定 5.1公司内除了在规定的吸烟点外,一律禁止吸烟;特别禁止吸游烟 5.2吸烟点的设置:各部门根据实际需求提出申请,经审核批准后设置。 6.劳保用品 6.1遵守劳保用品相关的法律法规。
L i n u x系统主机安全加 固 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进 行修改: /etc/profile/etc/profile .bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo
usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
1概述- 1 - 1.1适用范围- 1 - 2用户账户安全加固- 1 - 2.1修改用户密码策略- 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 - 3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 - 3.3设置当用户连续登录失败三次,锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 - 4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略 (1)修改前备份配置文件:/etc/login.defs (2)修改编辑配置文件:vi /etc/login.defs,修改如下配置: (3)回退操作 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:
或删除不使用的账户: (3)回退操作 用户锁定后当使用时可解除锁定,解除锁定命令为: 2.3锁定或删除系统中不使用的组 (1)操作前备份组配置文件/etc/group (2)查看系统中的组并确定不使用的组 (3)删除或锁定不使用的组 锁定不使用的组: 修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可删除不使用的组: (4)回退操作 2.4限制密码的最小长度
1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:
ORACLE 安全加固手册 安装ORACLE NET8 配置DB SCANNER 1.安装DB SCANNER软件 2.配置DB SCANNER (1)在DB SCANNER菜单scanner->configure connection->oracle中选 择Add Server,出现如图信息: Server Name:连接符 Protocol:选择TCP/IP Sockets SID:ORACLE数据库SID Hostname or IP address:为ORACLE数据库IP地址 Port Oracle listens on:默认为1521 (2)选择scan database->network neighborhood->oracle中
oracle.world连接符 (3)点击Add Database 填写DBA 帐户和密码,选择所制订的策略,Host Account与Host Password为空 ORACLE版本信息 检查当前所有已安装的数据库产品的版本信息 Oracle8 至 8.0: cd $ORACLE_HOME/orainst ./inspdver Oracle 8i 或更高: cd $ORACLE_HOME/install cat unix.rgs 8:version number 1:maintenance release number 5:patch release number 1:port-specific patch release number 补丁 1.数据库补丁安装
1)由上步操作获取数据库补丁安装情况 2)补丁下载 ORACLE最新补丁下载地址是:ftp://https://www.doczj.com/doc/3f7944838.html, 3)补丁安装 停止所有与数据库相关的服务 数据库备份 解压补丁文件 插入数据库安装盘,或执行./runInstaller,进入交互式状态在Source栏选择解压后的补丁文件products.jar。 详细操作请参照其中的readme文件 数据库运行状态 检查数据库当前运行状态 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba 4.sql>archive log list; -----显示结果 sql> archive log list 数据库记录模式无档案模式 自动存档已禁用 存档路径 D:\Oracle\Ora81\RDBMS 最旧的联机日志顺序 852 当前记录顺序 854 默认用户状态及口令更改情况 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba;
Linux加固方案 1加固目标 1.用户账号 2.权限分配 3.系统配置 1.1用户账号加固 1.1.1锁定系统中多余的自建帐号 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 使用cat /etc/passwd cat /etc/shadow查看 加固: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 1.1.2设置口令策略 使用cat /etc/login.defs|grep PASS查看当前密码策略设置 口令应该具有一定复杂度,定期更换口令,输入错误一定数量后锁定 加固: #vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 #vi /etc/pam.d/system-auth修改配置文件 auth required pam_env.so
auth required pam_tally2.so deny=3 unlock_time=300 连续输入错误3次,账户锁定5分钟。 1.1.3禁用root之外的超级用户 #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令 加固: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 1.1.4限制能够su为root的用户 检查方法: #cat /etc/pam.d/su,查看是否有auth required/lib/security/pam_wheel.so这样的配置条目 加固: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有wheel组的用户可以su到root #usermod -G10 test 将test用户加入到wheel组
1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账 号共享。 结果:现网已实现 2、应删除或锁定与设备运行、维护等工作无关的账号。 结果:现网已实现 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户 远程登录后,再切换到管理员权限账号后执行相应操作。 结果:可以实现 编号:安全要求-设备-SOLARIS-配置-3 4、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 结果:现网已实现,可以按照下面配置修改策略 编号:安全要求-设备-通用-配置-4
5、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 结果:可以实现,应用账号不建议实现,将会影响应用系统; 编号:安全要求-设备-通用-配置-5 6、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5 次)内已使用的口令。 结果:可以实现,不建议实现,应用账号无法单独设置,将会影响应用系统; 编号:安全要求-设备-通用-配置-6-可选
7、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6 次),锁定该用户使用的账号。 结果:可以实现,不建议实现。应用账号无法单独设置,账号锁定将会影响应用系统,root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。 编号:安全要求-设备-通用-配置-7-可选
8、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 结果:现网已实现 9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录 是否成功,登录时间,以及远程登录时,用户使用的IP地址。 结果:现网已实现 10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、 删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 结果:可以实现,但是磁盘空间不足,不建议实现 编号:安全要求-设备-SOLARIS-配置-15-可选 11、设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 结果:可以实现。但需要一台专用日志服务器(要求大容量磁盘空间) 编号:安全要求-设备-通用-配置-14-可选