当前位置:文档之家 › 主机系统安全基线标准_V2.0

主机系统安全基线标准_V2.0

  • 格式:xls
  • 大小:129.50 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

基线网络安全标准

基线网络安全标准

基线网络安全标准基线网络安全标准是指为保障网络系统的安全性,制定的一系列安全要求和规范。

其主要目的是通过明确和规范网络安全控制措施,提高组织的网络安全水平,防止潜在的安全风险和威胁。

基线网络安全标准的制定需要考虑以下几个方面:1. 身份验证和访问控制:要求网络系统使用强密码进行身份认证,并限制访问权限,确保只有授权人员才能访问网络系统,从而防止未授权的人员获取敏感信息。

2. 外部通信的保护:要求设置网络防火墙以及入侵检测和防御系统,检测并阻止外部攻击和恶意程序的入侵,保护网络系统的机密性和完整性。

3. 内部网络的隔离与保护:要求将网络分段并采用网络隔离技术,限制不同网络之间的访问权限,防止内部网络的恶意软件扩散,同时也能隔离不同网络中的故障,提高网络的可用性。

4. 安全更新和漏洞管理:要求及时安装和配置安全更新,修补网络系统中的漏洞,提高系统的安全性。

同时,还要建立漏洞管理制度,定期检测和评估系统的安全性,并及时修复发现的漏洞。

5. 日志记录和审计:要求网络系统能够记录和存储安全事件的日志信息,并设置监控机制,定期分析和审计日志,发现和应对潜在的安全威胁。

6. 数据备份和恢复:要求定期对关键数据进行备份,并确保备份数据的可用性以及有效的恢复机制,以防止数据丢失和不可恢复的情况。

7. 人员培训和意识提升:要求组织提供相关的网络安全培训和教育,增强员工对于网络安全的意识和认知,使其能够主动遵守安全规范和措施,减少人为安全漏洞的可能性。

基于以上要求,制定基线网络安全标准可以实现以下几个方面的效益:1. 提高网络安全等级:通过采取统一的安全标准和措施,能够有效地提高网络系统的安全级别,减少网络安全风险的发生。

2. 统一管理和维护:基线网络安全标准的制定可以统一管理和维护网络系统的安全性,减少重复工作和资源浪费。

3. 降低安全投入成本:通过基于标准的安全建设,可以避免因安全措施不当导致的安全事故和安全事件,减少安全投入成本。

主机安全基线机制

主机安全基线机制

主机安全基线机制
主机安全基线机制是一种用于保护计算机系统的安全机制,用于确保主机系统的安全性达到最低标准。

它包括一系列的安全配置规则和最佳实践,以限制主机上的安全漏洞和风险。

主机安全基线机制可以通过以下几个方面来提高主机系统的安全性:
1. 操作系统配置:通过限制操作系统的权限和访问控制规则,确保操作系统的安全性。

例如,禁用不必要的服务和功能、设置强密码策略、限制不信任程序的运行等。

2. 软件配置:对安装在主机上的软件进行配置,以减少安全风险。

例如,及时更新软件补丁、关闭不需要的功能、配置防火墙等。

3. 账户和访问控制:通过强密码和访问控制策略,限制对主机的访问。

例如,使用复杂密码、限制登录尝试次数、使用多因素身份验证等。

4. 日志和监控:启用日志记录和监控机制,以便追踪和检测潜在的安全事件和入侵行为。

例如,监控系统日志、配置入侵检测系统等。

5. 安全审计:定期进行安全审计,检查主机上的安全配置是否符合基线要求,并及时修复发现的安全漏洞和问题。

总的来说,主机安全基线机制是一种有效的机制,可以帮助组织建立和维护安全的主机系统,减少潜在的安全风险和威胁。

Linux系统安全配置基线

Linux系统安全配置基线

Linux系统安全配置基线目录第1章概述 (1)1.1目的 (1)1。

2适用范围 (1)1。

3适用版本 (1)第2章安装前准备工作 (1)2。

1需准备的光盘 (1)第3章操作系统的基本安装 (1)3。

1基本安装 (1)第4章账号管理、认证授权 (2)4.1账号 (2)4。

1.1用户口令设置 (2)4。

1。

2检查是否存在除root之外UID为0的用户 (3)4.1。

3检查多余账户 (3)4。

1.4分配账户 (3)4.1。

5账号锁定 (4)4.1。

6检查账户权限 (5)4。

2认证 (5)4。

2.1远程连接的安全性配置 (5)4。

2。

2限制ssh连接的IP配置 (5)4.2.3用户的umask安全配置 (6)4.2.4查找未授权的SUID/SGID文件 (7)4。

2.5检查任何人都有写权限的目录 (7)4.2.6查找任何人都有写权限的文件 (8)4。

2。

7检查没有属主的文件 (8)4。

2。

8检查异常隐含文件 (9)第5章日志审计 (10)5.1日志 (10)5。

1.1syslog登录事件记录 (10)5.2审计 (10)5.2。

1Syslog。

conf的配置审核 (10)5。

2。

2日志增强 (11)5。

2。

3 ...................................................................................................... s yslog系统事件审计11第6章其他配置操作 (12)6.1系统状态 (12)6.1。

1系统超时注销 (12)6。

2L INUX服务 (12)6.2。

1禁用不必要服务 (12)第7章持续改进 (13)。

Windows 7操作系统安全配置基线

Windows 7操作系统安全配置基线

7.4 日志审计 ........................................................................................................................... 7 7.4.1 审核策略更改 ........................................................................................................ 7 7.4.2 审核登录事件 ........................................................................................................ 7 7.4.3 审核对象访问 ........................................................................................................ 8 7.4.4 审核进程跟踪 ........................................................................................................ 8 7.4.5 审核目录服务访问 ................................................................................................ 8 7.4.6 审核特权使用 ........................................................................................................ 9 7.4.7 审核系统事件 ........................................................................................................ 9 7.4.8 审核账户管理 ...................................................................................................... 10 7.4.9 日志文件大小 ...................................................................................................... 10 7.5 系统服务 ......................................................................................................................... 11 7.5.1 启用 Windows 防火墙 ...................................................................................... 11 7.5.2 关闭自动播放功能 .............................................................................................. 11 7.6 补丁与防护软件 ............................................................................................................. 12 7.6.1 系统安全补丁管理 .............................................................................................. 12 7.6.2 防病毒管理 .......................................................................................................... 12 7.7 共享文件夹及访问权限 ................................................................................................. 12 7.7.1 关闭默认共享 ...................................................................................................... 13 7.7.2 设置共享文件夹访问权限 .................................................................................. 13 7.8 远程维护 ......................................................................................................................... 13 7.8.1 远程协助安全管理 .............................................................................................. 13 7.8.2 远程桌面安全管理 .............................................................................................. 14

安全国标基线1和2的区别

安全国标基线1和2的区别

安全国标基线1和2的区别在信息安全领域,我国的国家标准对于保障信息系统安全起到了至关重要的作用。

安全国标基线1和基线2是信息安全等级保护的基本要求,它们在细节上存在一些差异。

本文将为您详细解析安全国标基线1和2的区别。

一、安全国标基线1和基线2的定义安全国标基线1是指我国《信息安全技术信息系统安全等级保护基本要求》中规定的一级安全保护要求,它是针对一般信息系统的基本安全要求。

安全国标基线2是指我国《信息安全技术信息系统安全等级保护基本要求》中规定的二级安全保护要求,它在基线1的基础上,对信息系统的安全要求进行了加强和扩展。

二、安全国标基线1和2的区别1.安全要求范围基线1主要针对一般信息系统,包括但不限于数据处理、数据存储、数据传输等方面。

基线2在基线1的基础上,增加了对关键业务信息、重要业务信息的安全要求,以及对信息系统的安全审计、安全运维等方面的要求。

2.安全要求内容基线1主要包括以下内容:(1)物理安全(2)网络安全(3)主机安全(4)应用安全(5)数据安全(6)备份恢复基线2在基线1的基础上,增加了以下内容:(1)安全审计(2)安全运维(3)安全策略与管理(4)安全事件管理与应急响应3.安全要求程度基线1的安全要求相对较低,主要保障信息系统在日常运行中的基本安全。

基线2的安全要求较高,除了满足基线1的要求外,还需要对信息系统进行更为严格的安全管理和控制,以应对潜在的安全威胁。

4.适用对象基线1适用于一般信息系统,如企业内部信息系统、政府部门信息系统等。

基线2适用于涉及国家安全、经济安全、社会稳定等关键领域的信息系统,如金融、电力、交通等。

三、总结安全国标基线1和基线2在安全要求范围、内容、程度和适用对象方面存在一定的差异。

企业在进行信息系统安全建设时,应根据自身的业务需求和安全风险,选择合适的安全基线进行保护。

Windows操作系统安全防护基线配置要求

Windows操作系统安全防护基线配置要求
补充说明:
可能会使日志量猛增。
编号:OS-Windows-日志-03
要求内容:设置日志容量和覆盖规则,保证日志存储
操作指南:
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置;
日志文件大小:可根据需要制定。
超过上限时的处理方式(建议日志记录天数不小于90天)
检测方法:
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件:
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号:OS-Windows-口令-01
要求内容:密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”。
检测方法:
检测方法:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件:
“关闭系统”设置为“只指派给Administrators组”;

等级保护2.0 大数据组件基线要求

等级保护2.0 大数据组件基线要求全文共四篇示例,供读者参考第一篇示例:等级保护2.0 大数据组件基线要求随着大数据技术的快速发展,大数据组件在各行业的应用也日益广泛。

大数据的快速增长也带来了数据安全和隐私保护的挑战。

为了保障个人信息和敏感数据的安全,各国纷纷制定了一系列数据保护法规和标准。

在中华人民共和国,等级保护2.0是一项重要的数据保护标准,它要求企业在处理和存储大数据时必须符合一系列严格的要求。

大数据组件基线要求是等级保护2.0的一部分,它规定了大数据组件在使用过程中需要满足的最低安全标准。

这些基线要求涵盖了大数据组件的数据收集、存储、处理和传输等方面,旨在保障数据在整个生命周期中的安全性。

一、数据收集1. 数据收集必须遵守相关法律法规,包括但不限于《个人信息保护法》和《网络安全法》等。

2. 在数据收集过程中,必须采取加密传输等安全措施,确保数据的传输过程中不被篡改或窃取。

3. 数据收集必须经过用户同意,并确保用户可以随时撤销同意。

二、数据存储1. 数据存储必须采用安全的存储设备,并对存储设备进行定期检测和更新。

2. 数据存储必须符合等级保护2.0的安全标准,包括但不限于数据加密、访问控制、日志记录等措施。

三、数据处理1. 数据处理必须符合等级保护2.0的隐私保护要求,包括但不限于数据匿名化、数据脱敏、数据分析等。

2. 数据处理过程中,必须遵守专业道德准则,不得违法或违背道德标准。

3. 数据处理的算法和模型必须经过审查和验证,确保结果可信。

四、数据传输3. 数据传输的目的地必须符合等级保护2.0的安全标准,不得将数据传输至未经授权的目的地。

总结为了确保数据的安全性,企业需要加强对大数据组件的管理和监控,定期进行安全漏洞扫描和风险评估,及时采取措施修复漏洞和弥补风险。

只有这样,才能有效保障数据的安全和隐私,为企业的发展提供可靠的数据保护支撑。

【完】第二篇示例:等级保护2.0是一种保护数据安全的等级标准,为了满足这一标准,需要对大数据组件进行基线要求,以确保数据安全性和完整性。

IT系统安全基线规范-V3.0

中国x x公司I T技术规范IT系统安全基线规范中国xx公司信息技术部目录IT系统安全基线规范 (1)(V3.0) ........................................................ 错误!未定义书签。

1.范围 (6)2.术语、定义和缩略语 (6)3.总体说明 (6)3.1编写背景 (6)3.2安全基线制定的方法论 (7)4.安全基线范围及内容概述 (7)4.1覆盖范围及适用版本 (7)4.2安全基线编号说明 (8)4.3安全基线组织及内容 (8)5.WEB应用安全基线规范 (8)5.1身份与访问控制 (8)5.1.1账户锁定策略 (8)5.1.2登录用图片验证码 (9)5.1.3口令传输 (9)5.1.4保存登录功能 (9)5.1.5纵向访问控制 (10)5.1.6横向访问控制 (10)5.1.7敏感资源的访问 (10)5.2会话管理 (11)5.2.1会话超时 (11)5.2.2会话终止 (11)5.2.3会话标识 (11)5.2.4会话标识复用 (12)5.3代码质量 (12)5.3.1防范跨站脚本攻击 (12)5.3.2防范SQL注入攻击 (13)5.3.3防止路径遍历攻击 (13)5.3.4防止命令注入攻击 (13)5.3.5防止其他常见的注入攻击 (14)5.3.6防止下载敏感资源文件 (14)5.3.7防止上传后门脚本 (14)5.3.8保证多线程安全 (15)5.3.9保证释放资源 (15)5.4内容管理 (15)5.4.1加密存储敏感信息 (15)5.4.2避免泄露敏感技术细节 (16)5.5防钓鱼与防垃圾邮件 (16)5.5.1防钓鱼 (16)5.5.2防垃圾邮件 (16)5.6密码算法 (17)5.6.1安全算法 (17)5.6.2密钥管理 (17)6.中间件安全基线内容 (18)6.1A PACHE安全配置基线 (18)6.1.1日志配置 (18)6.1.2访问权限 (18)6.1.3防攻击管理 (19)6.2W EB S PHERE安全配置基线 (22)6.2.1帐号管理 (22)6.2.2认证授权 (23)6.2.3日志配置 (24)6.2.4备份容错 (24)6.2.5安全管理 (25)6.3T OMCAT W EB安全配置基线 (27)6.3.1账号管理 (27)6.3.2口令安全 (28)6.3.3日志配置 (29)6.3.4安全管理 (30)6.4IIS服务安全配置基线 (32)6.4.1账号管理 (32)6.4.2口令安全 (33)6.4.3认证授权 (35)6.4.4日志配置 (36)6.4.5IP协议安全 (37)6.4.6屏幕保护 (39)6.4.7文件系统及访问权限 (40)6.4.8补丁管理 (44)6.4.9IIS服务组件 (45)6.5W EB L OGIC W EB服务安全配置基线 (46)6.5.1账号管理 (46)6.5.2口令安全 (47)6.5.3日志配置 (48)6.5.4IP协议安全配置 (48)6.5.5安全管理 (50)7.数据库安全基线内容 (51)7.1DB2数据库安全配置基线 (51)7.1.1数据库权限 (51)7.2SQLS ERVER数据库安全配置基线 (54)7.2.1口令安全 (54)7.2.2日志配置 (54)7.2.3更新补丁 (55)7.3O RACLE数据库系统安全配置基线 (56)7.3.1账号管理 (56)7.3.2口令安全 (56)8.主机安全基线内容 (59)8.1AIX安全配置基线 (59)8.1.1账号管理 (59)8.1.2口令安全 (60)8.1.3IP协议安全 (61)8.1.4日志配置 (62)8.2HP-U NIX安全配置基线 (62)8.2.1账号管理 (62)8.2.2口令安全 (63)8.2.3日志配置 (65)8.2.4IP协议安全 (65)8.2.5其他安全配置 (66)8.3L INUX安全配置基线 (66)8.3.1账号管理 (66)8.3.2认证授权 (67)8.3.3日志配置 (68)8.4W INDOWS安全配置基线 (68)8.4.1账号管理 (68)8.4.2口令安全 (69)8.4.3认证授权 (70)8.4.4日志配置 (71)8.4.5IP协议安全 (74)8.4.6其他安全配置 (75)8.5S OLARIS安全配置基线 (76)8.5.1账号管理 (76)8.5.2口令安全 (77)8.5.3认证授权 (78)8.5.4日志配置 (79)8.5.5IP协议安全 (80)9.设备安全基线内容 (81)9.1C ISCO路由安全配置基线 (81)9.1.1账号管理 (81)9.1.2口令安全 (82)9.1.4日志配置 (84)9.1.5IP协议安全 (86)9.1.6功能配置 (87)9.1.7其他安全配置 (89)9.2H UAWEI路由安全配置基线 (91)9.2.1账号管理 (91)9.2.2口令安全 (92)9.2.3日志配置 (94)9.2.4IP协议安全 (95)9.2.5其他安全配置 (96)9.3J UNIPER路由安全配置基线 (98)9.3.1账号管理 (98)9.3.2口令安全 (100)9.3.3日志配置 (102)9.3.4IP协议安全 (105)9.3.5其他安全配置 (109)10.安全基线使用要求 (113)11.文档修订记录 (113)1.范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

等保三级基线要求判分标准v1.0


1)机房配备了UPS。 2)UPS正常工作,可满足主要设备断电情况下的 正常运行要求。 3)UPS有运行和维护记录。
c)应设置冗余或并行的电力电缆线路 1)机房内未设置冗余或并行的电力电缆线
为计算机系统供电。
路。
1)机房配备了冗余或并行的电力电缆线路。 2)冗余或并行的电力电缆线路均可正常为计算 机系统供电。
防盗窃和防破坏
b)应将设备或主要部件进行固定,并 1)设备或主要部件未上架或上架未固定。
设置明显的不易除去的标记。
2)设备或主要部件无标签。
1)设备或主要部件均已上架并固定。 2)设备或主要部件均有标签。
防盗窃和防破坏
c)应将通信线缆铺设在隐蔽处,可铺 设在地下或管道中。
1)通信线缆未在地下、桥架或管道中。
1)通信线缆均铺设在地下或管道中等隐蔽处。
防盗窃和防破坏
d)应对介质分类标识,存储在介质库 或档案室中。
1)介质未分类。 2)介质未标识。 3)介质存储无固定场所。
1)介质进行了合理分类。 2)介质进行了明确标识。 3)介质存储在介质库或档案室等专用场所内。
物理安全
物理安全 物理安全 物理安全 物理安全
安全层面 物理安全
物理安全 物理安全
物理安全
物理安全 物理安全 物理安全 物理安全 物理安全 物理安全
控制点
要求项
0分标准
5分标准
物理位置的选择
1)机房出现以下一种或多种情况:
a)机房和办公场地应选择在具有防震 、防风和防雨等能力的建筑内;
a.雨水渗透痕迹。 b.风导致的较严重尘土。 c.屋顶、墙体、门窗或地面等破损开裂
a) 应在网络边界部署访问控制设备, 1)网络边界处未部署访问控制设备或者已 1)网络边界处部署访问控制设备如防火墙,并

电力监控系统主机安全基线配置技术要求

主机安全基线配置是为保障电力监控系统主机本体安全而提出的基本要求,是防范来自系统内部安全威胁的重要技术措施和手段。

下面是电力监控系统主机安全基线配置技术要求的一些基本内容:
- 构建操作系统基线配置策略模板,生成基线配置描述文件;
- 根据所述基线配置描述文件生成主机可执行的脚本;
- 利用脚本文件导出主机当前的基线配置信息;
- 查找对应配置描述文件中的配置值,并分析目标主机配置信息是否满足基线配置要求,若存在不满足基线配置要求的配置项,则重新生成基线配置脚本。

在实际操作中,需要根据具体的电力监控系统和安全需求来制定详细的安全基线配置方案,并进行定期的检查和维护,以确保系统的安全性和可靠性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
备注:如果某项服务不能关闭,需要说明不能关闭的原 要求同上。
备注:如果某项服务不能关闭,需要说明不能关闭的原 最短密码长度8个字符,包含的字母最少1个,包含的非 字母最少1个。 密码至少包含以下四种类别的字符中的三种:
非字母数字字符,如标点符号,@, #, $, %, &, * 等
备注:修改密码策略后可能需要重新设置符合要求的密 码才能正常登陆。对无法立即修改密码的帐号,可为用 户增加NOCHECK标志,这样用户就不需要遵守默认的密 对于于采用静态口令认证技术的设备,帐户口令的生存 期不长于90天。 对于采用静态口令认证技术的设备,应配置设备,使用 户不能重复使用最近5次(含5次)内已使用的口令。 要求不能使用默认的public、private 要求FTP禁止匿名登录。 匿名用户登录ftp系统后,如果当前目录权限划分不 对,可导致破坏数据。 要求/etc/passwd、/etc/security/passwd中的用户密 码不存在弱密码(重点要求用户名与密码相同的极弱密
启明星辰泰合信息安全运营中心 v3.0.8.3
说明
A:建议在/etc/inetd.conf文件中禁止下列不必要的基 本网络服务。 uucp、bootps、finger、tftp、ntalk、discard、 daytime、chargen。
备注:如果某项服务不能关闭,需要说明不能关闭的原 要求同上。
在/etc/inetd.conf文件里注释以下服务:sendmail
修改/etc/default/security 文件,设置用户口令的复 杂度等参数选项: Maxexpired 口令过期后用户更改口令的期限(周) 4 Minalpha 最少包含的字母数 1 minother 最少包含非字母数字字符的数量 1 Minlen 最短字符数 8 Mindiff 新口令与旧口令的最少不同字符数 3
要求root,数据库管理账号目录下的.rhost、 hosts.equiv
对于使用IP协议进行远程维护的设备,设备应配置使用 SSH等加密协议,并安全配置SSHD的设置。
备注
设备应配置日志功能,对用户登录进行记录,记录内容 包括用户登录使用的账号,登录成功,登录时间,以及 远程登录时,用户使用的IP地址。
先把补丁拷贝到一个目录,如/08update,然后执行 #smit update_all 选择安装目录/08update 默认 SOFTWARE to update [_update_all] 选择不提交,保存被覆盖的文件,可以回滚操作,接受 许可协议 COMMIT software updates? SAVE replaced files? ACCEPT new license agreements? 然后回车执行安装
AIX系统默认不捕获登录信息到syslogd,以上配置增加 了验证信息发送到/var/adm/authlog和 /var/adm/syslog,并设置了权限为其他用户和组禁止读 vi /etc/syslog.conf 配置如下类似的语句 *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件 删除用户:#rmuser -p username 锁定用户: 1)修改/etc/shadow文件,用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的用户方可使用#passwd -l username锁定用户,用#passwd -d username解锁后原有 密码失效,登录需输入新密码,修改/etc/shadow能保留 原有密码 需要锁定的用户: deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody ,lpd chown –R root:security /etc/passwd /etc/group chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security 限制root从远程telnet登录: vi /etc/security/user 在root项上输入false作为rlogin的值 限制root从远程ssh登录: vi /etc/ssh/sshd_config文件,将permitRootLogin yes改为PermitRootLogin no,重启sshd服务 增加或修改/etc/profile、/etc/environment、 /etc/security/.profile文件中如下行: TMOUT=900; TIMEOUT=900; export readonly TMOUT TIMEOUT vi /opt/ssh/etc/sshd_config 在“Host *”后输入“Protocol 2”
要求配置 /etc/security/passwd,/etc/passwd访问权 限 ls -l /etc
限制具备超级管理员权限的用户远程登录。远程执行管 理员权限操作,应先以普通用户远程登录后,再切换到 超级管理员权限帐号后执行相应操作。
要求设置帐户定时自动登出。
要求只允许协议2。
1、AIX 5.3最新版本:5300-12-SP5 2、AIX 6.1最新版本:6100-07-SP4
#passwd username
在要配置信任关系的主机上新建一个用户,如test /etc/hosts文件添加要信任主机的主机IP,如 192.168.1.190 aix190
vi /opt/ssh/etc/sshd_config,去掉以下两行的注释 符# #Port 22 #PasswordAuthentication yes 启动SSH:startsrc -s sshd 使用SSH连接登录, vi /etc/inetd.conf
cat /var/adm/authlog cat /var/adm/syslog
设备应配置日志功能,记录对与设备相关的安全事件。
应删除或锁定与设备运行、维护等工作无关的账号。需 要锁定的用户: deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobod y,lpd 备注:如果这些帐号已被设置密码,需管理员提供设置 密码的原因。
vi /etc/syslog.conf 加上这几行: \t\t /var/adm/authlog *.info;auth.none\t\t /var/adm/syslog\n"
建立日志文件,如下命令: touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 配置日志文件权限,如下命令: chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 重新启动syslog服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd
修改/etc/default/security 文件: histexpire 最长有效期(周) 13 修改/etc/default/security 文件: histsize=5 vi /etc/snmpd.conf 将public、private修改为自定义的通讯字符串 以vsftp为例: vi /etc/ftpd/ftpusers anonymous_enable=NO
适用范围:
类别
AIX 5.3/6.1
安全基线要求
ห้องสมุดไป่ตู้
要求主机关闭不必要的服务
系统服务
要求关闭R系列服务(rlogin、rsh 、rexec等)
要求主机关闭SENDMAIL服务
要求口令策略的配置长度、复杂 度安全要求
口令策略
要求口令生存期安全要求 要求重复口令次数安全要求 要求SNMP修改默认通讯字符串
要求FTP禁止匿名登录 要求操作系统帐号不存在弱口令 。 要求系统启用信任主机方式,配 置文件配置妥当;
命令示例: 查看系统版本 # oslevel -r 5300-09 # oslevel -s 5300-09-04-0920 AIX5.3以上,通过 –s参数,查看更详细的sp版本
检查某一个补丁是否安装: #instfix -a -ivk LY59082 检查文件集(filesets)是否安 装: #lslpp -l bos.adt.libm
实施指引
检查结果
在/etc/inetd.conf 文件里注释以下服务:uucp、 bootps、finger、tftp、ntalk、discard、daytime、 chargen
daytime服务,集群 环境下不可关闭
在/etc/inetd.conf文件里注释以下服务:rlogin、rsh 、rexec
访问控制
要求关闭TELNET,使用SSH进行维 护。
要求日志设置
日志审计
设备安全事件审计
检测特定系统自带的与设备运行 、维护等工作无关的账号被删除 或锁定
帐号安全
密码文件的访问权限
限制具备超级管理员权限的用户 远程登录
要求设置帐户定时自动登出
安全策略
要求SSH安全配置
补丁
要求安装最新的补丁程序。 swlist -l| grep patch Ls /var/adm/sw/save