画鸵萌宠网
目录
Windows系统 .............................................................................................. 3
设置帐号口令策略 ............................................................................... 3 系统账户优化 ....................................................................................... 4 关闭非必需服务 ................................................................................... 6 设置安全审计策略 ............................................................................... 7 设置合理的日志文件大小 .................................................................... 8 屏蔽之前登录的用户信息 .................................................................. 10 默认共享未关闭 ................................................................................. 11 设置自动屏保锁定 ............................................................................. 12 关闭autorun自动播放功能 ............................................................... 13 卸载与工作无关的软件 .................................................................. 14 消除系统弱口令 ................................................................................. 15 系统账户优化 ..................................................................................... 15 修改口令策略 ..................................................................................... 16 系统未设置登录会话时间 .................................................................. 17 禁用TCP/UDP小服务 ......................................................................... 17 禁用Sendmail、SNMP服务 ............................................................... 18 采用SSH代替telnet管理维护主机 ................................................... 19 消除系统弱口令 ................................................................................. 20 系统账户优化 ..................................................................................... 20 修改口令策略 ..................................................................................... 21 系统未设置登录会话时间 .................................................................. 22 关闭非必需的服务 ............................................................................. 22 修改SNMP服务默认读写口令串 ...................................................... 24 采用SSH代替telnet管理维护主机 ................................................... 24 消除系统弱口令 ................................................................................. 25 系统账户优化 ..................................................................................... 25
1.1
1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 1.1.9 1.1.10 1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.2.7 1.3 1.3.1 1.3.2 1.3.3 1.3.4 1.3.5 1.3.6 1.3.7 1.4 1.4.1 1.4.2
AIX主机 ..................................................................................................... 14
HP-UX主机 ................................................................................................ 20
Linux主机 .................................................................................................. 25
1.4.3 1.4.4 1.4.5 1.4.6
增强口令策略 ..................................................................................... 26 登录超时设置 ..................................................................................... 27 关闭非必需的服务 ............................................................................. 28 采用SSH代替telnet管理维护主机 ................................................... 28
1.1 Windows系统
加固说明:
1、 加固前,备份加固中涉及的配置文件; 2、 加固后,测试业务应用是否正常;
3、 每加固一台填写一个加固记录表(在“Windows加固记录表”文件夹)
1.1.1 设置帐号口令策略 安全建议:
打开“控制面板”->“管理工具”,进入“本地安全策略”。
修改“密码策略”,开启复杂性要求,设置口令最小长度为8位,启用密码复杂度要求。
修改“账户锁定策略”,设置帐户锁定阈值为10次,锁定时间和锁定计数器为15分钟。
实施风险: 高
中
低
■
无
风险说明:设置帐号策略后可能导致不符合策略的帐号无法登录,需修改不符合帐号策略的口令(注:管理员不受帐号策略限制,但管理员口令应具有一定的复杂度,以避免被暴力猜测导致安全风险)。集群配置的Windows系统实施本项操作将导致集群故障,不建议实施。
1.1.2 系统账户优化 安全建议:
设置强登录口令、删除多余账户、禁用Guest账户。 打开“控制面板”->“管理工具”-> “计算机管理”。
选择“本地用户和组”的“用户”,可设置口令、删除或禁用非必需账户或禁用Guest账户。
以修改口令为例:对需要修改口令的用户点击右键,选择“设置密码”(建议口令长度为8位以上,含字母、数字和字符)。
添加新密码,点“确定”。
实施风险: 高
中
低
■
无
风险说明:需要分析用户是否被其它系统使用,如果在使用,则需要进行相应的修改。
1.1.3 关闭非必需服务 安全建议:
查看服务列表,禁用多个不需要的服务。
打开“控制面板”-> “管理工具”,进入“服务”。
点击相应的服务,选择启动类型为“已禁用”,设置服务状态为“停止”。
需加固的非必需服务有: Alerter 远程发送警告信息
Computer Browser 计算机浏览器:维护网络上更新的计算机清单 Messenger 允许网络之间互相传送提示信息的功能,如 net send remote Registry 远程管理注册表,开启此服务带来一定的风险 Print Spooler 如果相应服务器没有打印机,可以关闭此服务 实施风险: 高
中
■
低
无
风险说明:应用系统或程序可能对特定的系统服务有依赖关系,可能由于管理员对应用系统或程序使用的系统服务不了解,影响应用系统或程序的正常运行。
1.1.4 设置安全审计策略 安全建议:
建议修改安全策略为下述值:
“控制面板”-> “管理工具”-> “计算机管理”-> “本地安全策略”-> “审核策略”
双击需要修改的选项,按加固要求修改
审核策略更改 审核登录事件 审核对象访问 审核过程追踪 审核目录服务访问 审核特权使用 审核系统事件 审核帐户登录事件 审核帐户管理
实施风险: 高
中
低
无
■
成功 成功, 失败 成功, 失败 无审核 无审核 无审核 成功, 失败 成功, 失败 成功, 失败
风险说明:无可预见的风险。 1.1.5 设置合理的日志文件大小 安全建议:
调整事件日志的大小、覆盖策略。
“控制面板”-> “管理工具”-> “计算机管理”-> “事件查看器” 选择需要修改的项,右键“属性”,修改日志文件大小及覆盖方式。
日志类型 应用日志 安全日志 系统日志
实施风险: 高
中
低
无
■
大小 16384K 16384K 16384K
覆盖方式 覆盖早于14天的事件 覆盖早于14天的事件 覆盖早于14天的事件
风险说明:无可预见的风险。
1.1.6 屏蔽之前登录的用户信息 安全建议:
打开“控制面板”-> “管理工具”,进入“本地安全策略”。
修改“安全选项”,选择“交互登录:不显示上次用户名”,选择“已启用”。
实施风险: 高
中
低
无
■
风险说明:无可预见的风险。
1.1.7 默认共享未关闭 安全建议:
打开“控制面板”-> “管理工具”,进入“服务”。
点击Server服务,选择启动类型为“已禁用”,设置服务状态为“停止”。
实施风险: 高
中
■
低
无
风险说明:可能导致某些应用服务运行故障,如Veritas Netbackup、域控制器、网络版防病毒服务器、集群服务器、其它使用网络管理功能的软件。
1.1.8 设置自动屏保锁定 安全建议:
在桌面空白处,右击——属性——屏幕保护程序,设定等待时间,同时选择“在恢复时使用密码保护”。
实施风险: 高
中
低
■
无
风险说明:无可预见风险。
1.1.9 关闭autorun自动播放功能 安全建议:
通过开始菜单的“运行”,其中输入“gpedit.msc”,进入“组策略编辑器”,“计算机配置”-> “管理模板”-> “系统”,右键点击“关闭自动播放”,选择“已启用”->“所有驱动器”,最后“确定”,即可关闭自动播放。
实施风险: 高
中
低
无
■
风险说明:无可预见的风险。
1.1.10 卸载与工作无关的软件 安全建议:
卸载或删除游戏等软件,禁止安装与工作无关的其他软件和文件。 操作步骤:控制面板——添加删除程序。
实施风险:
高
中
低
无
■
风险说明:无可预见风险。
1.2 AIX主机
加固说明:
1、 加固前,备份加固中涉及的配置文件; 2、 加固后,测试业务应用是否正常;
3、 每加固一台填写一个加固记录表(在“AIX加固记录表与加固LOG”文件夹);
4、 加固参考“AIX加固log”文件(在“AIX加固记录表与加固LOG”文件夹)。
1.2.1 消除系统弱口令 安全建议:
消除系统弱口令,使用命令:#passwd 实施风险: 高
中
低
■
无
风险说明:应当仔细确认。 1.2.2 系统账户优化 安全建议: 1)备份/etc/passwd:
cp /etc/passwd /etc/passwd.2011.03.11 2)加固
优化系统帐户,修改 /etc/passwd文件,在非必需账户前,添加“#” 注释
应用系统用户和系统普通用户权限的定义遵循最小权限原则。“#”注释系统非必需用户:guest、lp、smbnull,测试帐户。 3) 若出现异常,回退
将文件名/etc/passwd.2011.03.11改为 /etc/passwd: mv /etc/passwd.2011.03.11 /etc/passwd
出现“mv: overwrite `/etc/passwd '?”提示,输入 y 实施风险: 高
中
低
■
无
风险说明:应当仔细确认,明确系统的角色,避免误删除。
1.2.3 修改口令策略 安全建议:
1)备份/etc/security/user:
cp /etc/security/user /etc/security/user.2011.03.11 2)加固
修改 /etc/security/user文件中minlen 、maxage等参数 - minalpha=4 口令中最小含有的字符个数 - minlen =8 口令最短长度 或执行命令 smit user,调用工具修改,见下图:
3) 若出现异常,回退
将文件名/etc/security/user.2011.03.11改为 /etc/security/user: mv /etc/security/user .2011.03.11 /etc/security/user 出现“mv: overwrite `/etc/security/user '?”提示,输入 y
实施风险: 高
中
低
■
无
风险说明:口令可能因此复杂,注意口令的保管。设置口令生存期后如不及时修改口令可能导致账户锁定,影响系统的正常运行。
1.2.4 系统未设置登录会话时间 安全建议: 1)备份/etc/profile:
cp /etc/profile /etc/profile.2011.03.11 2)加固
增加或修改/etc/profile文件中如下行 TMOUT=600
注:也可通过设置屏保来增强安全性,但无法限制远程登录账户的会话时间。 3) 若出现异常,回退
将文件名/etc/profile.2011.03.11改为 /etc/profile: mv /etc/profile.2011.03.11 /etc/profile
出现“mv: overwrite `/etc/profile '?”提示,输入 y 实施风险: 高
中
低
无
■
风险说明:无可预见的风险。 1.2.5 禁用TCP/UDP小服务 安全建议:
1)备份/etc/inetd.conf:
cp /etc/inetd.conf /etc/inetd.conf.2011.03.11 2)加固
在 /etc/inetd.conf 中,对不需要的服务前加#,表示注释此行,格式如下: #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal
按上述方法,注释echo、discard、daytime、chargen、uucp、talk、ntalk、printer服务。
重起inetd服务命令为: refresh –s inetd 3)若出现异常,回退
将文件名/etc/inetd.conf.2011.03.11改为 /etc/inetd.conf: mv /etc/inetd.conf.2011.03.11/etc/inetd.conf
出现“mv: overwrite `/etc/inetd.conf '?”提示,输入 y 实施风险: 高
中
■
低
无
风险说明:可能会导致某些服务的不可用,进行此设置前需要进行仔细确认。 1.2.6 禁用Sendmail、SNMP服务 安全建议:
1)备份/etc/inetd.conf:
cp /etc/rc.tcpip /etc/rc.tcpip.2011.03.11 cp /etc/snmpd.conf /etc/snmpd.conf.2011.03.11 2)加固
编辑文件/etc/rc.tcpip 中,在sendmail、SNMP服务前加#,表示注释此行,然后终止sendmail 、snmpd进程即可,或重起inetd服务命令:
refresh –s inetd
如管理必须使用SNMP服务,建议修改SNMP的配置文件/etc/snmpd.conf修改snmp服务的通讯字符串,避免使用“public”。
3)若出现异常,回退
将文件名/etc/rc.tcpip.2011.03.11改为 /etc/rc.tcpip: mv /etc/rc.tcpip.2011.03.11 /etc/rc.tcpip
出现“mv: overwrite `/etc/rc.tcpip '?”提示,输入 y 回退/etc/snmpd.conf,类似于以上操作。 实施风险: 高
中
低
■
无
风险说明:无可预见性风险。
1.2.7 采用SSH代替telnet管理维护主机 安全建议:
建议安装当前稳定版本的SSH等安全工具取代明文传输的telnet,并及时升级,保证传输数据的安全性。
实施风险:
高 中 低 无 ■
风险说明:无可预见的风险,需确认应用系统是否使用telnet服务。 1.3 HP-UX主机
加固说明:
1、 加固前,备份加固中涉及的配置文件; 2、 加固后,测试业务应用是否正常;
3、 每加固一台填写一个加固记录表(在“HP-UX加固记录表与加固LOG”文
件夹);
4、 加固参考“HP-UX加固log”文件(在“HP-UX加固记录表与加固LOG”
文件夹)。
1.3.1 消除系统弱口令 安全建议:
消除系统弱口令,使用命令:#passwd 实施风险: 高
中
低
■
无
风险说明:应当仔细确认。 1.3.2 系统账户优化 安全建议: 1)备份/etc/passwd:
cp /etc/passwd /etc/passwd.2011.03.11 2)加固
优化系统帐户,修改 /etc/passwd文件,在非必需账户前,添加“#” 注释
应用系统用户和系统普通用户权限的定义遵循最小权限原则。“#”注释系统非必需用户:guest、lp、smbnull,测试帐户。
3) 若出现异常,回退
将文件名/etc/passwd.2011.03.11改为 /etc/passwd: mv /etc/passwd.2011.03.11 /etc/passwd
出现“mv: overwrite `/etc/passwd '?”提示,输入 y 实施风险: 高
中
低
■
无
风险说明:应当仔细确认,明确系统的角色,避免误删除。 1.3.3 修改口令策略 安全建议:
1)备份/etc/default/security:
cp /etc/default/security /etc/default/security.2011.03.11 2)加固
修改密码策略:/etc/default/security文件
- MIN_PASSWORD_LENGTH=8 口令最短长度(包含字母、数字和特殊字符)
-PASSWORD_MIN_UPPER_CASE_CHARS=0 口令中大写字符最少数量 -PASSWORD_MIN_LOWER_CASE_CHARS=1 口令中小写字符最小数量 -PASSWORD_MIN_DIGIT_CHARS=1 口令中数字最小数量 -PASSWORD_MIN_SPECIAL_CHAR=0 口令中特殊字符最小数量
3) 若出现异常,回退
将文件名/etc/security/user.2011.03.11改为 /etc/security/user: mv /etc/security/user .2011.03.11 /etc/security/user
出现“mv: overwrite `/etc/security/user '?”提示,输入 y 实施风险: 高
中
低
■
无
风险说明:口令可能因此复杂,注意口令的保管。设置口令生存期后如不及时修改口令可能导致帐号锁定,影响系统的正常运行。
1.3.4 系统未设置登录会话时间 安全建议: 1)备份/etc/profile:
cp /etc/profile /etc/profile.2011.03.11 2)加固
增加或修改/etc/profile文件中如下行 readonly TMOUT=600;export TMOUT
注:也可通过设置屏保来增强安全性,但无法限制远程登录账户的会话时间。 3) 若出现异常,回退
将文件名/etc/profile.2011.03.11改为 /etc/profile: mv /etc/profile.2011.03.11 /etc/profile
出现“mv: overwrite `/etc/profile '?”提示,输入 y 实施风险: 高
中
低
无
■
1.3.5 关闭非必需的服务 安全建议:
1)备份/etc/inetd.conf:
cp /etc/inetd.conf /etc/inetd.conf.2011.03.11 2)加固
从系统正常运行、主机系统管理维护角度,确认系统上哪些服务是不需要的。对于系统上存在的不需要的服务,立即禁用。
#vi /etc/inetd.conf
#echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal
按上述方法,在 daytime、discard、echo、ntalk 、printer、finger、rlogin的行前面添加#。
重启inetd服务: # inetd -c
3)若出现异常,回退
将文件名/etc/inetd.conf.2011.03.11改为 /etc/inetd.conf: mv /etc/inetd.conf.2011.03.11/etc/inetd.conf
出现“mv: overwrite `/etc/inetd.conf '?”提示,输入 y 实施风险: 高
中
■
低
无
风险说明:应用系统或程序可能对特定的系统服务有依赖关系,可能由于管
理员对应用系统或程序使用的系统服务不了解,影响应用系统或程序的正常运行。
1.3.6 修改SNMP服务默认读写口令串 安全建议:
1)备份/etc/inetd.conf:
cp /etc/rc.tcpip /etc/rc.tcpip.2011.03.11 cp /etc/snmpd.conf /etc/snmpd.conf.2011.03.11 2)加固
如管理必须使用SNMP服务,建议修改SNMP的配置文件/etc/snmpd.conf修改snmp服务的通讯字符串,避免使用“public、private”。
3)若出现异常,回退
将文件名/etc/snmpd.conf.2011.03.11改为 /etc/snmpd.conf: mv/etc/snmpd.conf.2011.03.11 /etc/snmpd.conf 出现“mv: overwrite `/etc/snmpd.conf '?”提示,输入 y 实施风险: 高
中
■
低
无
风险说明:禁止SNMP可能导致某些网管及通讯软件不能连接,请与管理员确认后实施。
1.3.7 采用SSH代替telnet管理维护主机 安全建议:
使用OpenSSH软件代替Telnet和Ftp的使用,利用其加密性保证远程登录的安全。
实施风险: 高
中
低
无
■
风险说明:无可预见的风险。 1.4 Linux主机
加固说明:
5、 加固前,备份加固中涉及的配置文件; 6、 加固后,测试业务应用是否正常;
7、 每加固一台填写一个加固记录表(在“Linux加固记录表与加固LOG”文
件夹);
8、 加固参考“Linux加固log”文件(在“Linux加固记录表与加固LOG”文
件夹)。
1.4.1 消除系统弱口令 安全建议:
消除系统弱口令,使用命令:#passwd 实施风险: 高
中
低
■
无
风险说明:应当仔细确认。 1.4.2 系统账户优化 安全建议: 1)备份/etc/passwd:
cp /etc/passwd /etc/passwd.2011.03.11 2)加固
如果系统默认账户、测试账户不需要的话,建议删除。
使用命令cat /etc/passwd 察看系统账户,删除非必须账户,如:lp、uucp、
games
# userdel lp # groupdel lp
3) 若出现异常,回退
将文件名/etc/passwd.2011.03.11改为 /etc/passwd: mv /etc/passwd.2011.03.11 /etc/passwd
出现“mv: overwrite `/etc/passwd '?”提示,输入 y 实施风险: 高
中
低
■
无
风险说明:首先应当明确系统的角色,避免误删除默认账户。
1.4.3 增强口令策略 安全建议:
1)备份/etc/login.defs:
cp /etc/login.defs /etc/login.defs.2011.03.11 2)加固
修改 /etc/login.defs文件,设置PASS_MIN_LEN等参数: PASS_MIN_LEN 9 3) 若出现异常,回退
将文件名/etc/login.defs.2011.03.11改为 /etc/login.defs: mv /etc/login.defs .2011.03.11 /etc/login.defs
出现“mv: overwrite `/etc/login.defs '?”提示,输入 y
实施风险: 高
中
低
■
无
风险说明:口令可能因此复杂,注意口令的保管,同时,已有用户中口令复杂度低于要求的用户将不能登录,进行此项操作前应确保所有用户的口令满足所需的复杂度要求。
1.4.4 登录超时设置 安全建议: 1)备份/etc/profile:
cp /etc/profile /etc/profile.2011.03.11 2)加固
增加或修改/etc/profile文件中如下行 TMOUT=600
注:也可通过设置屏保来增强安全性,但无法限制远程登录账户的会话时间。 3) 若出现异常,回退
将文件名/etc/profile.2011.03.11改为 /etc/profile: mv /etc/profile.2011.03.11 /etc/profile
出现“mv: overwrite `/etc/profile '?”提示,输入 y 实施风险: 高
中
低
无
■
风险说明:无可预见的风险。
1.4.5 关闭非必需的服务 安全建议: 1) 备份
查看加固服务的的运行级别(以加固sendmail为例) chkconfig --list sendmail
[sendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off] 记录运行等级2、3、4、5 2) 加固
运行chkconfig --level 0123456 服务 off
如无实际业务需要建议关闭sendmail、 game、mail、smb等。 3)如有异常,回退
chkconfig --level 2345 sendmail on 实施风险: 高
中
低
■
无
风险说明:可能会由于管理员对承载业务的应用程序所需的服务或端口不了解,影响业务应用程序的正常运行。
1.4.6 采用SSH代替telnet管理维护主机 安全建议:
使用OpenSSH软件代替Telnet和Ftp的使用,利用其加密性保证远程登录的安全。
实施风险:
高 中 低 无 ■
风险说明:无可预见的风险。
因篇幅问题不能全部显示,请点此查看更多更全内容