文档编号:
AIX系统安全配置手册
2006年5月
文档信息
分发控制
版本控制
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 2 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
AIX系统安全加固手册
1.系统维护升级加固
1.下载系统推荐维护包
在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。每个文件集的更新都是累计的,即它包含了AIX 4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。维护包(ML)的命名规则是4位的VRMF:
V-操作系统版本号version
R-发行版号release
M-改进版号modification
F-修正版号fix
可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
推荐维护包(Recommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的VRMF,再加两位数字后缀:
V-操作系统版本号version
R-发行版号release
M-改进版号modification
F-修正版号fix
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 3 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
RM-推荐维护包Recommended Maintenance
如4330-01 是4330 的第1个推荐维护包(RM)。可以用以下的命令来判定是否4330-01已经安装在系统里,oslevel将仍然显示4.3.3.0,表示系统的ML 仍是4330:
instfix -ik 4330-01_AIX_ML
我们可以通过该网站(https://www.doczj.com/doc/eb3832733.html,)下载ML或RM,并通过gzip解压缩,然后按照如下提示的详细信息进行安装。
2.解压缩推荐维护包
我们建议将推荐维护包解压缩至/usr/sys/inst.images
cd /tmp/ml
gzip -d *.tar.gz
cd /usr/sys/inst.images
find /tmp/ml -name \*.tar -exec tar -xvf {} \;
rm –rf /tmp/ml
3.用df检查系统硬盘空间大小,确保/,/usr,/var,/tmp等目录有足够的空间。4.用下指令检查当前已安装的程序和升级:
lslpp –La
5.如果有可能,重新建立新的启动引导镜像,并重新启动系统
bosboot –ad /dev/ipldevice
shutdown –r
6.按照以下步骤确定安装空间
以root身份运行smitty update_all
在“INPUT device / directory for software”中输入ML升级包的具体位置
设定“Preview only?”选项为“yes”
设定“COMMIT software updates?”选项为“no”
设定“SA VE replaced files?”选项为“yes”
预览安装结束后查阅smit的输出纪录
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 4 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
7.安装推荐补丁包
以root身份运行smitty update_all
在“INPUT device / directory for software”中输入ML升级包的具体位置
设定“COMMIT software updates?”选项为“no”
设定“SA VE replaced files?”选项为“yes”
安装结束后查阅smit的输出纪录
8.重新启动系统
shutdown -r
注:目前最新推荐维护包将把系统升级至4.3.3.0.11版本
补丁安装:
1,建立临时efix目录并转移到此目录:
# mkdir /tmp/efix
# cd /tmp/efix
2,把efix移到/tmp/efix,解压补丁:
# uncompress secldap_efix.tar.Z
# tar xvf secldap_efix.tar
# cd secldap_efix
3,修改补丁文件以适应用户自身的系统,并设置属主和权限:
# mv secldapclntd.xxx secldapclntd # where xxx is 433 or 510
# chown root.security secldapclntd
# chmod 500 secldapclntd
4,建立原始两进制程序的备份,并去掉相关权限:
# cd /usr/sbin
# cp secldapclntd secldapclntd.orig
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 5 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
# chmod 0 secldapclntd.orig
5,停止secldapclntd守护进程:
# kill `ps -e|grep secldapclntd|awk '{ print $1 }'`
6,使用补丁过的两进制程序代替当前系统程序,使用-p选项维持文件权限:
# cp -p /tmp/efix/secldap_efix/secldapclntd /usr/sbin/secldapclntd
7,重新启动secldapclntd.
# /usr/sbin/secldapclntd
2.安装系统安全补丁加固
查询APAR Database数据库
( https://www.doczj.com/doc/eb3832733.html,/rs6000/aix.CAPARdb )来获得必要的系统安全补丁信息。
https://www.doczj.com/doc/eb3832733.html,
1.进入该数据库后选择有关产品的数据库:AIX V ersion 4/AIX V ersion
3/CATIA for AIX 。
2.选择检索选项, 并在下面输入相应的字串:
( APAR Number ---- 如:IX85874,IY00411
Fileset Name --- 如:https://www.doczj.com/doc/eb3832733.html,.tcp.server
PTF Number ---- 如:U464245
APAR Abstract -- 如:HACMP,maintenance)。
3.按Find Fix钮。
4.用鼠标左键选中所需Fix.(如果需要多个Fix,重复以下的步骤)。
5.选择所用操作系统的版本(如:AIX 4.3.3, 用oslevel可以查出AIX版本)。
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 6 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
6.选择从哪个服务器下载(Fix server)。
7.选择语言(Select languages)是指如果需要,下载何种语言包。
8.按Get Fix Package钮, 将得到符合以上选项的Fix 列表。
9.用鼠标右键依次点击所有的Fix,并选择"Save Link As..." 到本地硬盘相
应目录(可用支持断点续传的软件,一起下载)。
10.安装Fix: 可在Fix所在目录,用smitty install_all来安装。
11.重新启动系统。
3.系统配置加固
1.加固系统TCP/IP配置
通过/usr/sbin/no -o clean_partial_conns=1防止SYN的攻击;
通过/usr/sbin/no -o arpt_killc=20设置arp表的清空时间;
通过/usr/sbin/no -o icmpaddressmask=0防止网络地址掩码的泄漏;
通过/usr/sbin/no -o directed_broadcast=0防止smurf攻击;
通过/usr/sbin/no -o ipsrcroutesend=0;/usr/sbin/no -o ipsrcrouteforward=0;
/usr/sbin/no -o ip6srcrouteforward =0防止源路由攻击;
通过/usr/sbin/no -o ipignoreredirects=1和/usr/sbin/no -o ipsendredirects=0 防止IP重定向;
通过tcbck –a禁用非信任的rcp,rlogin,rlogind,rsh,rshd,tftp,tftpd等程序和守护进程;
利用smit lshostsequiv/smit mkhostsequiv/smit rmhostsquiv或者直接编辑/etc/hosts.equiv,检查所有其中的内容,去除信任主机和用户;
利用smit lsftpusers/smit mkftpusers/smit rmftpusers或者直接编辑/etc/ftpusers 来设定不能通过ftp登录系统的用户。
设定所有关于网络配置文件的正确的安全属性,见下表:
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 7 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 8 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
2.根据系统应用要求关闭不必要的服务:可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。
从系统管理的角度而言,一般只需要开放如下的服务:
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 9 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
telnet
ftp
可从/etc/inittab中删除的服务:
piobe Printer IO BackEnd
qdaemon Printer Queueing Daemon
writesrv write server
uprintfd Constructs and writes kernel messages
httpdlite docsearch Web Server
dt (通用桌面环境,要用CDE的话不能删除)
imnss docsearch imnss Daemon
imqss docsearch imqss daemon
rcnfs NFS Daemons
通过编辑文件/etc/inittab或rmitab命令完成。
可从/etc/rc.tcpip中删除的服务:
routed
gated
dhcpcd
dhcpsd
dhcprd
autoconf6
ndpd-host
ndpd-router
lpd
named
timed
xntpd
rwhod
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 10 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
snmp
dpid2
mrouted
sendmail
nfsd
portmap
可从/etc/inetd.conf中删除的服务:
shell
kshell
login
klogin
exec
comsat
uucp
bootps
finger
systat
netstat
tftp
talk
ntalk
rpc.rquotad
rpc.rexd
rpc.rusersd
rpc.ttdbserver
rpc.sprayd
rpc.cmsd
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 11 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
rpc.rwalld
rpc.pcnfsd
rpc.rstatd
rpc.ssalld
echo
discard
chargen
daytime
time
comsat
websm
instsrv
imap2
pop3
kfcli
xmquery
3.检查系统中所有的.rhosts,.netrc,hosts.equiv等文件,确保没有存在潜在的信任主机和用户关系,使这些文件内容为空。
4.为root设定复杂的口令,删除临时用户和已经不用的用户,检查现有系统上的用户口令强度,修改弱口令或空口令。
5.设定系统日志和审计行为
1) 增加日志缓冲和日志文件的大小:/usr/lib/errdemon -s4194304 –B32768
2) monitor su command:more /var/adm/sulog
3) use last command monitor current and previous system logins and logouts
file : /var/adm/wtmp
4) use who command monitor all failed login attempts:
who /etc/security/failedlogin
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 12 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
5) the users who are currently logged:use who command.
6) /etc/syslogd.conf 设定系统审计和日志的主要文件
6.在/etc/profile中设定用户自动logoff的值——TMOUT和TIMEOUT值,如:TMOUT=3600 #for Korn Shell
TIMEOUT=3600 #for Bourne Shell
export TMOUT TIMEOUT
7.审查root的PATH环境变量,确保没有本地目录出现。
8.修改系统登录前的提示信息(banner),启用SAK,编辑/etc/security/login.cfg 文件:
sak_enabled=true
herald = "\r\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\ NOTICE TO
USERS\r\n\r\nUse of this machine waives all rights to your
privacy,\r\n\r\n and is consent to be monitored.\r\n\r\nUnauthorized
use prohibited.\r\n\r\n\r\nlogin: "
9.用管理工具smit chuser来禁止root远程登录且只能在console登录,并限定登录尝试次数:
设置/etc/security/user文件中的login与rlogin值为false,ttys值为tty0,
loginretries值为3。
10.通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略,并启用SAK:
minage=0
maxage=12
maxexpired=4
minalpha=4
minother=1
minlen=8
mindiff=3
maxrepeats=3
histexpire=26
histsize=8
pwdwarntime=14
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 13 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
tpath=on
11.Crontab
Chmod 600 /var/spool/cron/crontabs/
除了root其他用户不能拥有cron 访问
12.执行li –Ra –l –a > listofallfiles,保存listofallfiles文件,以备日后核对。13.实现文件系统的ACL控制,实现针对用户的文件访问控制。(可选)
14.审查NFS策略,如果没有必要,则关闭该服务。
15.审查SNMP策略,如果需要该服务,应当将community的名称设定为较复杂的字符串,并限定访问范围,如果不需要,则关闭该服务。
16.审查sendmail服务策略,如果需要提供该服务,应当修改sendmail.cf文件,使之符合必要的安全要求(不转发,不能vrfy和expn),如果不需要该服
务,则关闭该服务。
4.Setuid and setgid (可选)
?需要setuid :
/usr/bin/passwd
/usr/bin/ps
/usr/bin/su
/usr/sbin/tsm
/usr/bin/w
?只需要setgid的是:
/usr/bin/mailx
/usr/bin/mail
其他的可以去除,但需要注意与数据库相关的setUid 和setgid
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 14 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
(附:所有对配置文件进行修改的操作,做好的备份和权限管理工作。如
cp /etc/inetd.conf /etc/inetd.conf.old
chmod 000 inetd.conf.old )
北京启明星辰信息技术有限公司Beijing V enus Info. Tech., Inc. 15 地址:北京市海淀区中关村南大街12号188#
电话:(010)62149966 传真:(010)62146778
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
AIX安全加固操作手册 作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下: 一、系统推荐补丁升级加固 1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁) 检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2.如果未安装补丁,使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行:mount /cdrom 2)执行:smitty update_all (选择/dev/cd0为安装介质) 注意选择安装选项中: COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件,关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务: portmap syslog inetd sendmail snmpd 如关闭dpid2,则只要注销以下行:(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用: stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务,不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.doczj.com/doc/eb3832733.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:
ORACLE 安全加固手册 安装ORACLE NET8 配置DB SCANNER 1.安装DB SCANNER软件 2.配置DB SCANNER (1)在DB SCANNER菜单scanner->configure connection->oracle中选 择Add Server,出现如图信息: Server Name:连接符 Protocol:选择TCP/IP Sockets SID:ORACLE数据库SID Hostname or IP address:为ORACLE数据库IP地址 Port Oracle listens on:默认为1521 (2)选择scan database->network neighborhood->oracle中
oracle.world连接符 (3)点击Add Database 填写DBA 帐户和密码,选择所制订的策略,Host Account与Host Password为空 ORACLE版本信息 检查当前所有已安装的数据库产品的版本信息 Oracle8 至 8.0: cd $ORACLE_HOME/orainst ./inspdver Oracle 8i 或更高: cd $ORACLE_HOME/install cat unix.rgs 8:version number 1:maintenance release number 5:patch release number 1:port-specific patch release number 补丁 1.数据库补丁安装
1)由上步操作获取数据库补丁安装情况 2)补丁下载 ORACLE最新补丁下载地址是:ftp://https://www.doczj.com/doc/eb3832733.html, 3)补丁安装 停止所有与数据库相关的服务 数据库备份 解压补丁文件 插入数据库安装盘,或执行./runInstaller,进入交互式状态在Source栏选择解压后的补丁文件products.jar。 详细操作请参照其中的readme文件 数据库运行状态 检查数据库当前运行状态 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba 4.sql>archive log list; -----显示结果 sql> archive log list 数据库记录模式无档案模式 自动存档已禁用 存档路径 D:\Oracle\Ora81\RDBMS 最旧的联机日志顺序 852 当前记录顺序 854 默认用户状态及口令更改情况 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba;
1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账 号共享。 结果:现网已实现 2、应删除或锁定与设备运行、维护等工作无关的账号。 结果:现网已实现 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户 远程登录后,再切换到管理员权限账号后执行相应操作。 结果:可以实现 编号:安全要求-设备-SOLARIS-配置-3 4、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 结果:现网已实现,可以按照下面配置修改策略 编号:安全要求-设备-通用-配置-4
5、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 结果:可以实现,应用账号不建议实现,将会影响应用系统; 编号:安全要求-设备-通用-配置-5 6、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5 次)内已使用的口令。 结果:可以实现,不建议实现,应用账号无法单独设置,将会影响应用系统; 编号:安全要求-设备-通用-配置-6-可选
7、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6 次),锁定该用户使用的账号。 结果:可以实现,不建议实现。应用账号无法单独设置,账号锁定将会影响应用系统,root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。 编号:安全要求-设备-通用-配置-7-可选
8、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 结果:现网已实现 9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录 是否成功,登录时间,以及远程登录时,用户使用的IP地址。 结果:现网已实现 10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、 删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 结果:可以实现,但是磁盘空间不足,不建议实现 编号:安全要求-设备-SOLARIS-配置-15-可选 11、设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 结果:可以实现。但需要一台专用日志服务器(要求大容量磁盘空间) 编号:安全要求-设备-通用-配置-14-可选
Red Hat Linux系统安全加固 Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。
图1 风险: 需要与管理员确认此项操作不会影响到业务系统的登录1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法:
#vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 图2 风险:无可见风险 1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令
操作系统加固手册 目录 1.1 Windows系统 (3) 1.1.1 设置帐号口令策略 (3) 1.1.2 系统账户优化 (4) 1.1.3 关闭非必需服务 (6) 1.1.4 设置安全审计策略 (7) 1.1.5 设置合理的日志文件大小 (8) 1.1.6 屏蔽之前登录的用户信息 (10) 1.1.7 默认共享未关闭 (11) 1.1.8 设置自动屏保锁定 (12) 1.1.9 关闭autorun自动播放功能 (13) 1.1.10 卸载与工作无关的软件 (14) 1.2 AIX主机 (14) 1.2.1 消除系统弱口令 (15) 1.2.2 系统账户优化 (15) 1.2.3 修改口令策略 (16) 1.2.4 系统未设置登录会话时间 (17) 1.2.5 禁用TCP/UDP小服务 (17) 1.2.6 禁用Sendmail、SNMP服务 (18) 1.2.7 采用SSH代替telnet管理维护主机 (19) 1.3 HP-UX主机 (20) 1.3.1 消除系统弱口令 (20) 1.3.2 系统账户优化 (20) 1.3.3 修改口令策略 (21) 1.3.4 系统未设置登录会话时间 (22) 1.3.5 关闭非必需的服务 (22) 1.3.6 修改SNMP服务默认读写口令串 (24) 1.3.7 采用SSH代替telnet管理维护主机 (24) 1.4 Linux主机 (25) 1.4.1 消除系统弱口令 (25) 1.4.2 系统账户优化 (25)
1.4.3 增强口令策略 (26) 1.4.4 登录超时设置 (27) 1.4.5 关闭非必需的服务 (28) 1.4.6 采用SSH代替telnet管理维护主机 (28)
8安全加固手册 8.2系统安全值设置 8.2.1查看目前系统值: WRKSYSV AL一个一个顺序在终端上显示 或者DSPSYSV AL SYSV AL(system value) 8.2.2系统安全级别推荐设置为40 QSECURITY40 10没有用户认证,没有资源保护 20用户使用密码认证,没有资源保护 30用户认证和默认的资源保护 40跟30相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50增强型的安全访问控制,达到真正的C2级安全控制 8.2.3建议设置口令复杂度策略 QPWDVLDPGM*NONE无密码检测 8.2.4密码长度 最小密码长度 QPWDMINLEN6 最大密码长度 QPWDMAXLEN10 8.2.5设置帐户最大尝试登陆次数 QMAXSIGN3(默认值) 达到最大尝试次数措施 QMAXSGNACN3(默认值) 1禁用终端 2禁用用户配置文件 3全部
(注:建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6设置密码有效期 QPWDEXPITV30-90 *NOMAX不限 1-366天 QPWDRQDDIF1 0可以和以前的历史记录中的32个密码一样 1必须和以前的历史记录中的32个密码不同 8.2.7限制安全设备登陆 QLMTSECOFR1 0允许所有有*ALLOBJ授权的用户在任意显示终端登陆,有*SERVICE授权的用户可以使用*CHANGE公开认证手段登陆到任意显示终端 1不允许有*ALLOBJ或*SERVICE的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8设置超时策略 QINACTITV无活动的任务超时 *NONE:无超时 5-300超时最大允许时间(分钟) 推荐15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session所保留的屏幕。当设置中断连接任务 (*DSCJOB)值去中断任意交互式登陆。 8.2.9限制设备sessions QLMTDEVSSN 0不限制一个终端的特定用户ID的在同一时刻的使用数 1限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10用户登录信息是否显示在屏幕上 QDSPSGNINF 0在用户登录时,登陆信息不显示 1以下信息会被显示 最后登陆时间 从上次登陆以来的失败登陆 密码7天或之内密码将要过期的警告
CentOS7.0系统安全加固手册 目录 一、用户和环境 (2) 二、系统访问认证和授权 (3) 三、核心调整 (5) 四、需要关闭的一些服务 (5) 五、SSH安全配置 (5) 六、封堵openssl的Heartbleed漏洞 (6) 七、开启防火墙策略 (7) 八、启用系统审计服务 (8) 九、部署完整性检查工具软件 (10) 十、部署系统监控环境 (11)
以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。 一、用户和环境 1清除了operator、lp、shutdown、halt、games、gopher 删除的用户组有:lp、uucp、games、dip 其它系统伪均处于锁定SHELL登录的状态 2 验证是否有账号存在空口令的情况: awk -F: '($2 == "") { print $1 }' /etc/shadow 3 检查除了root以外是否还有其它账号的UID为0: awk -F: '($3 == 0) { print $1 }' /etc/passwd 任何UID为0的账号在系统上都具有超级用户权限. 4 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录超级用户的$PATH设置中如果 存在这些目录可能会导致超级 用户误执行一个特洛伊木马 5 用户的home目录许可权限设置为700 用户home目录的许可权限限制 不严可能会导致恶意用户读/修 改/删除其它用户的数据或取得 其它用户的系统权限 6 是否有用户的点文件是所有用户可读写的: for dir in \ `awk -F: '($3 >= 500) { print $6 }' /etc/passwd` do for file in $dir/.[A-Za-z0-9]* do if [ -f $file ]; then chmod o-w $file fi done done Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限 7 为用户设置合适的缺省umask值: cd /etc for file in profile csh.login csh.cshrc bashrc do if [ `grep -c umask $file` -eq 0 ]; then echo "umask 022" >> $file fi 为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.
Linux安全加固 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 风险: 需要与管理员确认此项操作不会影响到业务系统的登录 1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置 备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法: #vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9
1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令 备份方法: #cp -p /etc/passwd /etc/passwd_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的超级账户。 使用命令passwd -u <用户名>解锁需要恢复的超级账户。 风险:需要与管理员确认此超级用户的用途。 1.4 限制能够su为root的用户 检查方法: #cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目 备份方法:#cp -p /etc/pam.d /etc/pam.d_bak 加固方法: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有wheel组的用户可以su到root #usermod -G10 test 将test用户加入到wheel组
LINUX安全加固手册 用户帐号安全Password and account security 43、1 密码安全策略 43、2 检查密码是否安全 43、3 Password Shadowing 43、4 管理密码 43、5 其它54 网络服务安全(Network Service Security) 54、1服务过滤Filtering 64、2/etc/inetd、conf 64、3R 服务 74、4Tcp_wrapper 74、5/etc/hosts、equiv 文件 84、6 /etc/services 84、7/etc/aliases 84、8 NFS 94、9Trivial ftp (tftp) 94、10 Sendmail 94、11 finger104、12UUCP104、13World Wide Web (WWW) –httpd104、14FTP安全问题115系统设置安全(System Setting Security)1 25、1限制控制台的使用1 25、2系统关闭Ping1 25、3关闭或更改系统信息1 25、4 /etc/securetty文件1 35、5 /etc/host、conf文件1 35、6禁止IP源路径路由1 35、7资源限制1 35、8 LILO安全1 45、9 Control-Alt-Delete 键盘关机命令1
45、10日志系统安全1 55、11修正脚本文件在“/etc/rc、d/init、d”目录下的权限156文件系统安全(File System Security)1 56、1文件权限1 56、2控制mount上的文件系统1 66、3备份与恢复167其它1 67、1使用防火墙1 67、2使用第三方安全工具161概述近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。 只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此,优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet 骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识。本文讲述了如何通过基本的安全措施,使Linux系统变得可靠。 2 安装使系统处于单独(或隔离)的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击安装完成后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-r eleseejectlinuxconfkudzugdbcgetty_psraidtoolspciutilsmailcapsetconsol egnupg用下面的命令卸载这些软件:[root@deep]#rpm –e softwarename卸载它们之前最好停掉三个进程:[root@deep]# /etc/rc、d/init、d/apmd stop[root@deep]# /etc/rc、d/init、d/sendmail stop[root@deep]# /etc/rc、d/init、d/kudzu stop 3、用户帐号安全Password and account security 3、1 密码安全策略l 口令至少为6位,并且包括特殊字符l 口令不要太简单,不要以你或者有关人的相关信息构成的密码,比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。l 口令必须有有效期l 发现有人
_________________________________ xxxxx公司 安全加固方案 _________________________________ 文档日期: xxx 文档版本: xxx 本文档所包含的信息是受xxx公司和xxx公司所签署的“保密信息交换协议”保护和限制。在未事先得到xxx公司和xxx公司书面同意之前,本文档全部或部份内容不得用于其他任
何用途或交与第三方。
目录 第1章概述 (55) 1.1.工作目的 (55) 1.2.加固方法 (55) 1.3.风险的应对措施 (55) 1.4.加固步骤 (66) 第2章加固内容 (77) 2.1.主机加固 (77) 2.2.网络加固 (88) 2.3.未加固项说明 (99) 第3章加固列表 (1010) 3.1.主机加固列表 (1010) 3.2.数据库加固列表 (1010) 3.3.网络加固列表 (1010) 第4章加固操作 (1212) 4.1.网络安全加固 (1212) 4.1.1. 高等级弱点 (1212) 4.1.2. 中等级弱点 (1313) 4.1.3. 低等级弱点 (1414) 4.2.XX统一视频监视平台安全加固操作 (1515) 4.2.1. Windows主机 (1515) 4.2.2. Oracle数据库 (1919) 4.3.输XX设备状态在线监测系统安全加固操作 (2121) 4.3.1. AIX主机 (2121) 4.3.2. Linux主机 .................. 错误!未定义书签。错误!未定义书签。 4.3.3. Windows主机 ................ 错误!未定义书签。错误!未定义书签。 4.3.4. Oracle数据库 ............... 错误!未定义书签。错误!未定义书签。 4.4.用XX信息采集系统安全加固操作错误!未定义书签。错误!未定义书签。 4.4.1. AIX主机 .................... 错误!未定义书签。错误!未定义书签。 4.4.2. Linux主机 .................. 错误!未定义书签。错误!未定义书签。 4.4.3. Windows主机 ................ 错误!未定义书签。错误!未定义书签。 4.4.4. Oracle数据库 ............... 错误!未定义书签。错误!未定义书签。 4.5.95598XX互动XX安全加固操作错误!未定义书签。错误!未定义书签。 4.5.1. Linux主机 .................. 错误!未定义书签。错误!未定义书签。 4.5.2. Oracle数据库 ............... 错误!未定义书签。错误!未定义书签。 4.6.XXXX平台安全加固操作... 错误!未定义书签。错误!未定义书签。 4.6.1. Linux主机 .................. 错误!未定义书签。错误!未定义书签。
IIS安全配置手册 此安全配置标准适用于IIS 的5.0以上版本。 1为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如: ●静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。 ●ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。 ●EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。 2删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。 ●Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。 ●SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。 ●样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
3删除不必要的应用程序映射 IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer 等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer、.cer、.cdx等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。 所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。