AIX系统安全加固手册_0.9
AIX系统安全加固手册
1系统维护升级加固
1.下载系统推荐维护包
在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。每个文件集的更新都是累计的,即它包含了AIX 4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。维护包(ML)的命名规则是4位的VRMF:
V-操作系统版本号version
R-发行版号release
M-改进版号modification
F-修正版号fix
可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
推荐维护包(Recommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的VRMF,再加两位数字后缀:
V-操作系统版本号version
R-发行版号release
M-改进版号modification
F-修正版号fix
RM-推荐维护包Recommended Maintenance
如4330-01 是4330 的第1个推荐维护包(RM)。可以用以下的命令来判定是否4330-01已经安装在系统里,oslevel将仍然显示4.3.3.0,表示系统的ML
仍是4330:
instfix -ik 4330-01_AIX_ML
我们可以通过该网站(https://www.wendangku.net/doc/4d5178921.html,)下载ML或RM,并通过gzip解压缩,然后按照如下提示的详细信息进行安装。
2.解压缩推荐维护包
我们建议将推荐维护包解压缩至/usr/sys/inst.images
cd /tmp/ml
gzip -d *.tar.gz
cd /usr/sys/inst.images
find /tmp/ml -name \*.tar -exec tar -xvf {} \;
rm –rf /tmp/ml
3.用df检查系统硬盘空间大小,确保/,/usr,/var,/tmp等目录有足够的空间。4.用下指令检查当前已安装的程序和升级:
lslpp –La
5.如果有可能,重新建立新的启动引导镜像,并重新启动系统
bosboot –ad /dev/ipldevice
shutdown –r
6.按照以下步骤确定安装空间
以root身份运行smitty update_all
在“INPUT device / directory for software”中输入ML升级包的具体位置
设定“Preview only?”选项为“yes”
设定“COMMIT software updates?”选项为“no”
设定“SA VE replaced files?”选项为“yes”
预览安装结束后查阅smit的输出纪录
7.安装推荐补丁包
以root身份运行smitty update_all
在“INPUT device / directory for software”中输入ML升级包的具体位置
设定“COMMIT software updates?”选项为“no”
设定“SA VE replaced files?”选项为“yes”
安装结束后查阅smit的输出纪录
8.重新启动系统
shutdown -r
注:目前最新推荐维护包将把系统升级至4.3.3.0.11版本
补丁安装:
1,建立临时efix目录并转移到此目录:
# mkdir /tmp/efix
# cd /tmp/efix
2,把efix移到/tmp/efix,解压补丁:
# uncompress secldap_efix.tar.Z
# tar xvf secldap_efix.tar
# cd secldap_efix
3,修改补丁文件以适应用户自身的系统,并设置属主和权限:
# mv secldapclntd.xxx secldapclntd # where xxx is 433 or 510
# chown root.security secldapclntd
# chmod 500 secldapclntd
4,建立原始两进制程序的备份,并去掉相关权限:
# cd /usr/sbin
# cp secldapclntd secldapclntd.orig
# chmod 0 secldapclntd.orig
5,停止secldapclntd守护进程:
# kill `ps -e|grep secldapclntd|awk '{ print $1 }'`
6,使用补丁过的两进制程序代替当前系统程序,使用-p选项维持文件权限:# cp -p /tmp/efix/secldap_efix/secldapclntd /usr/sbin/secldapclntd
7,重新启动secldapclntd.
# /usr/sbin/secldapclntd
2安装系统安全补丁加固
查询APAR Database数据库
( https://www.wendangku.net/doc/4d5178921.html,/rs6000/aix.CAPARdb )来获得必要的系统安全补丁信息。
https://www.wendangku.net/doc/4d5178921.html,
1.进入该数据库后选择有关产品的数据库:AIX V ersion 4/AIX V ersion
3/CATIA for AIX 。
2.选择检索选项, 并在下面输入相应的字串:
( APAR Number ---- 如:IX85874,IY00411
Fileset Name --- 如:https://www.wendangku.net/doc/4d5178921.html,.tcp.server
PTF Number ---- 如:U464245
APAR Abstract -- 如:HACMP,maintenance)。
3.按Find Fix钮。
4.用鼠标左键选中所需Fix.(如果需要多个Fix,重复以下的步骤)。
5.选择所用操作系统的版本(如:AIX 4.3.3, 用oslevel可以查出AIX版本)。
6.选择从哪个服务器下载(Fix server)。
7.选择语言(Select languages)是指如果需要,下载何种语言包。
8.按Get Fix Package钮, 将得到符合以上选项的Fix 列表。
9.用鼠标右键依次点击所有的Fix,并选择"Save Link As..." 到本地硬盘相
应目录(可用支持断点续传的软件,一起下载)。
10.安装Fix: 可在Fix所在目录,用smitty install_all来安装。
11.重新启动系统。
3系统配置加固
1.加固系统TCP/IP配置
通过/usr/sbin/no -o clean_partial_conns=1防止SYN的攻击;
通过/usr/sbin/no -o arpt_killc=20设置arp表的清空时间;
通过/usr/sbin/no -o icmpaddressmask=0防止网络地址掩码的泄漏;
通过/usr/sbin/no -o directed_broadcast=0防止smurf攻击;
通过/usr/sbin/no -o ipsrcroutesend=0;/usr/sbin/no -o ipsrcrouteforward=0;/usr/sbin/no -o ip6srcrouteforward =0防止源路由攻击;
通过/usr/sbin/no -o ipignoreredirects=1和/usr/sbin/no -o ipsendredirects=0 防止IP重定向;
通过tcbck –a禁用非信任的rcp,rlogin,rlogind,rsh,rshd,tftp,tftpd等程序和守护进程;
利用smit lshostsequiv/smit mkhostsequiv/smit rmhostsquiv或者直接编辑/etc/hosts.equiv,检查所有其中的内容,去除信任主机和用户;
利用smit lsftpusers/smit mkftpusers/smit rmftpusers或者直接编辑/etc/ftpusers 来设定不能通过ftp登录系统的用户。
设定所有关于网络配置文件的正确的安全属性,见下表:
2.根据系统应用要求关闭不必要的服务:可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。
从系统管理的角度而言,一般只需要开放如下的服务:
telnet
ftp
可从/etc/inittab中删除的服务:
piobe Printer IO BackEnd
qdaemon Printer Queueing Daemon
writesrv write server
uprintfd Constructs and writes kernel messages
httpdlite docsearch Web Server
dt (通用桌面环境,要用CDE的话不能删除)
imnss docsearch imnss Daemon
imqss docsearch imqss daemon
rcnfs NFS Daemons
通过编辑文件/etc/inittab或rmitab命令完成。
可从/etc/rc.tcpip中删除的服务:
routed
gated
dhcpcd
dhcprd
autoconf6
ndpd-host
ndpd-router
lpd
named
timed
xntpd
rwhod
snmp 系统网管软件监控
dpid2
mrouted
sendmail
nfsd
portmap
可从/etc/inetd.conf中删除的服务:shell
kshell
login
klogin
exec
comsat
uucp
bootps
finger
systat
netstat
tftp
talk
rpc.rquotad
rpc.rexd
rpc.rusersd
rpc.ttdbserver
rpc.sprayd
rpc.cmsd
rpc.rwalld
rpc.pcnfsd
rpc.rstatd
rpc.ssalld
echo
discard
chargen
daytime
time
comsat
websm
instsrv
imap2
pop3
kfcli
xmquery
3.检查系统中所有的.rhosts,.netrc,hosts.equiv等文件,确保没有存在潜在的信任主机和用户关系,使这些文件内容为空。
4.为root设定复杂的口令,删除临时用户和已经不用的用户,检查现有系统上的用户口令强度,修改弱口令或空口令。
5.设定系统日志和审计行为
1) 增加日志缓冲和日志文件的大小:/usr/lib/errdemon -s4194304 –B32768
2) monitor su command:more /var/adm/sulog
3) use last command monitor current and previous system logins and logouts
file : /var/adm/wtmp
4) use who command monitor all failed login attempts:
who /etc/security/failedlogin
5) the users who are currently logged:use who command.
6) /etc/syslogd.conf 设定系统审计和日志的主要文件
6.在/etc/profile中设定用户自动logoff的值——TMOUT和TIMEOUT值,如:TMOUT=3600 #for Korn Shell
TIMEOUT=3600 #for Bourne Shell
export TMOUT TIMEOUT
7.审查root的PATH环境变量,确保没有本地目录出现。
8.修改系统登录前的提示信息(banner),启用SAK,编辑/etc/security/login.cfg 文件:
sak_enabled=true
herald = "\r\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\ NOTICE TO
USERS\r\n\r\nUse of this machine waives all rights to your
privacy,\r\n\r\n and is consent to be monitored.\r\n\r\nUnauthorized
use prohibited.\r\n\r\n\r\nlogin: "
9.用管理工具smit chuser来禁止root远程登录且只能在console登录,并限定登录尝试次数:
设置/etc/security/user文件中的login与rlogin值为false,ttys值为tty0,loginretries值为3。
10.通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略,并启用SAK:
minage=0
maxage=12
maxexpired=4
minalpha=4
minother=1
minlen=8
mindiff=3
maxrepeats=3
histexpire=26
histsize=8
pwdwarntime=14
tpath=on
11.Crontab
Chmod 600 /var/spool/cron/crontabs/
除了root其他用户不能拥有cron 访问
12.执行li –Ra –l –a > listofallfiles,保存listofallfiles文件,以备日后核对。13.实现文件系统的ACL控制,实现针对用户的文件访问控制。(可选) 14.审查NFS策略,如果没有必要,则关闭该服务。
15.审查SNMP策略,如果需要该服务,应当将community的名称设定为较复杂的字符串,并限定访问范围,如果不需要,则关闭该服务。
16.审查sendmail服务策略,如果需要提供该服务,应当修改sendmail.cf文件,使之符合必要的安全要求(不转发,不能vrfy和expn),如果不需要该服务,则关闭该服务。
4Setuid and setgid (可选)
?需要setuid :
/usr/bin/passwd
/usr/bin/ps
/usr/bin/su
/usr/sbin/tsm
/usr/bin/w
?只需要setgid的是:
/usr/bin/mailx
/usr/bin/mail
其他的可以去除,但需要注意与数据库相关的setUid 和setgid
(附:所有对配置文件进行修改的操作,做好的备份和权限管理工作。如cp /etc/inetd.conf /etc/inetd.conf.old
chmod 000 inetd.conf.old )
5AIX5L User Management
用户/用户组
1. 创建用户的具体命令
# smitty mkgourp
Or
#smit security
2. 创建用户的具体命令:
#smitty mkuser
Or
#smit security
3. 对于用户组,使用smit group
对于少量用户的管理,使用smit user
对于大量的用户,使用mkuser
4. 更改用户属性:smitty chuser
更改用户组属性:smitty chgroup
5. 删除用户:smitty rmuser
删除用户组:smitty rmgroup
口令策略的设置:
1.检查
AIX系统的用户,口令设置的相关文件有:
/etc/passwd 用户文件(不含加密的口令)
/etc/security/passwd 用户的口令文件(类似于/etc/shadow文件,但格式不同)
/etc/security/user 用户的扩展属性配置文件(锁定,登录,口令策略等)
/etc/security/login.cfg 登录的配置文件(登录策略等)
因此,对口令策略的修改主要是在/etc/security/user文件中进行,有以下三种方式:
1).使用vi直接查看和修改/etc/security/user文件;
2).使用lsuser/chuser命令;
3).通过smit查看和修改口令策略(smit chuser).
lsuser user1 列出用户user1的属性
chuser maxage=26 user1 设置用户user1密码的最长有效期为26周
2.加固
对用户的以下属性进行配置:
maxage=8 口令最长有效期为8周
minage=0 口令最短有效期为0
maxexpired=4 口令过期后4周内用户可以更改
maxrepeats=3 口令中某一字符最多只能重复3次
minlen=8 口令最短为8个字符
minalpha=4 口令中最少包含4个字母字符
minother=1 口令中最少包含一个非字母数字字符
mindiff=4 新口令中最少有4个字符和旧口令不同
loginretries=5 连续5次登录失败后锁定用户
histexpire=26 同一口令在26周内不能重复使用
histsize=0 同一口令与前0个口令不能重复
AIX 用户配置文件:
/etc/passwd 用户文件(不含加密的口令)
/etc/security/passwd 用户的口令文件(类似于/etc/shadow文件,但格式不同) /etc/security/user 用户的扩展属性配置文件(锁定,登录,口令策略等)
/etc/security/login.cfg 登录的配置文件(登录策略等)
root的环境变量设置
/etc/profile 全局的用户登录配置文件,其中可以设置环境变量
~/.profile 单独用户的登录配置文件,其中可以设置环境变量
/etc/environment 全局的环境变量设置文件
/etc/security/environ 可以在其中对单独用户设置环境变量
printenv 查看当前的环境变量设置
chsec -f /etc/security/environ -s root -a TERM=vt100 设置root的TERM环境变量为vt100
无用的用户是否删除或禁用
1.检查
询问系统管理员.
passwd -l user1锁定user1用户
# find / -nouser -ls
2.加固
建议锁定除了root以外所有的系统用户(默认是无法登录的).
是否允许root远程登录
1.检查
AIX系统中没有对root远程登录进行单独的限制,和其他用户一样,对root 用户远程登录的限制可以在文件/etc/security/user中指定.该操作可以通过以下三种方式进行:
1).使用vi直接查看及更改/etc/security/user文件;
2).使用lsuser和chuser命令;
3).通过smit查看及更改(smit lsuser,smit chuser).
lsuser -a rlogin root 查看root的rlogin属性(默认为true,允许远程登录,telnet 或rlogin)
chuser rlogin=false root 禁止root远程登录
lsuser -a ttys root 查看root的ttys属性(root用户允许登录的端口)
chuser ttys=lft0 root 只允许root从lft0端口登录(本机)
2.加固
设置root的用户属性rlogin=false,ttys=lft0
6系统加固
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加固操作起到指导性作用。
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号AIX-01-01-01
名称为不同的管理员分配不同的账号
实施目的根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态查看/etc/passwd中记录的系统当前用户列表
实施步骤参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案删除新增加的帐户:#rmuser username
判断依据标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险高
重要等级★★★
备注
1.1.2 AIX-01-01-02
编号AIX-01-01-02
名称配置帐户锁定策略
实施目的锁定不必要的帐户,提高系统安全。
问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态查看/etc/passwd中记录的系统当前用户列表
实施步骤参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险高
重要等级★★★
备注
1.1.3 AIX-01-01-03
编号AIX-01-01-03
名称限制超级管理员远程登录
实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险高
重要等级★★★
备注
1.1.4 AIX-01-01-04
编号AIX-01-01-04
名称对系统账号进行登录限制
实施目的对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响可能利用系统进程默认账号登陆,账号越权使用
系统当前状态查看/etc/security/passwd中各账号状态并记录
实施步骤参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险高
重要等级★
备注
1.1.5 AIX-01-01-05
编号AIX-01-01-05
名称为空口令用户设置密码
实施目的禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险
系统当前状态查看/etc/passwd中的内容并记录
实施步骤参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险高
重要等级★
备注
1.2 口令
1.2.1 AIX-01-02-01
编号AIX-01-02-01
名称缺省密码长度限制
实施目的防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险
系统当前状态运行lsuser username命令,查看帐户属性和当前状态,并记录。
实施步骤参考配置操作:
查看帐户帐户属性:
#lsuser username
设置密码最短长度为8位:
#chuser minlen=8 username
回退方案根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据运行lsuser uasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。
实施风险低
重要等级★★★
备注
1.2.2 AIX-01-02-02
编号AIX-01-02-02
名称缺省密码复杂度限制
实施目的防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类
问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险
系统当前状态运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令中最少包含4个字母字符的数量:
#chuser minalpha=4 username
设置口令中最少包含1个非字母数字字符数量:
#chuser minother=1 username
回退方案根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据运行lsuser uasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。
实施风险低
重要等级★★★
备注
1.2.3 AIX-01-02-03
编号AIX-01-02-03
名称缺省密码生存周期限制
实施目的对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患
问题影响容易造成密码被非法利用,并且难以管理
系统当前状态运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令最长有效期为12周(84天):
#chuser maxage=12 username
回退方案根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据运行lsuser uasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。
实施风险低
重要等级★★★
备注
1.2.4 AIX-01-02-04
编号AIX-01-02-04
名称密码重复使用限制
实施目的对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险
系统当前状态运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤参考配置操作:
查看帐户帐户属性:
#lsuser username
设置同一口令与前面5个口令不能重复:
#chuser histsize=5 username
回退方案根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据运行lsuser uasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。
实施风险低
重要等级★
备注
1.2.5 AIX-01-02-05
编号AIX-01-02-05
名称密码重试限制
实施目的对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响增加系统帐户密码被暴力破解的风险
系统当前状态运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤参考配置操作:
查看帐户帐户属性:
#lsuser username
设置6次登陆失败后帐户锁定阀值:
#chuser loginretries=6 username
回退方案根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据运行lsuser uasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。
实施风险中
重要等级★
备注
1.3 授权
1.3.1 AIX-01-03-01
编号AIX-01-03-01
名称设置关键目录的权限
实施目的在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
问题影响增加系统关键目录容易被攻击者非法访问的风险
系统当前状态查看/usr/bin、/sbin、/etc目录,并记录关键目录的权限
实施步骤1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
文件或目录属主属组权限
/etc/passwd root security -rw-r--r--
/etc/group root security -rw-r--r--
/etc/filesystem root system -rw-rw-r--
/etc/hosts root system -rw-rw-r--
/etc/inittab root system -rw-------
/etc/security/faildlogin root system -rw-r--r--
回退方案通过chmod命令还原目录权限到加固前状态
判断依据AIX系统,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc目录为系统配置目录,包括帐户文件,系统配置,网络配置文件等,这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。
实施风险高
重要等级★★★
备注
1.3.2 AIX-01-03-02
编号AIX-01-03-02
名称修改umask值
实施目的控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
问题影响增加攻击者非法访问目录的风险
系统当前状态查看/etc/security/user文件的配置,并记录
实施步骤1、参考配置操作
设置umask为027:
#vi /etc/security/user
在default小节,设置umask为027
回退方案修改/etc/security/user文件到加固前状态
判断依据查看/etc/security/user文件中的default小节是否设置umask为027
实施风险高
重要等级★
备注
1.3.3 AIX-01-03-03
编号AIX-01-03-03
名称FTP用户及服务安全
实施目的设置系统中的帐户是否可以通过ftp登陆操作
问题影响增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险系统当前状态查看/etc/ftpusers文件,并记录
实施步骤参考配置操作:
根据系统管理员提供允许ftp登陆操作的系统帐户列表,并与系统中当前的允许ftp登陆操
LINUX安全加固手册
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
服务器安全加固操作指南
网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)
服务器安全加固
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
Windows服务器安全加固
服务器安全加固(以Windows Server 2008为示例,Windows server 2003和Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。(请截图) 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原的加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟
2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。 2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
AIX安全加固操作手册
AIX安全加固操作手册 作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下: 一、系统推荐补丁升级加固 1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁) 检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2.如果未安装补丁,使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行:mount /cdrom 2)执行:smitty update_all (选择/dev/cd0为安装介质) 注意选择安装选项中: COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件,关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务: portmap syslog inetd sendmail snmpd 如关闭dpid2,则只要注销以下行:(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用: stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务,不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server
安全加固手册
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
WindowsXP安全加固方案
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
Linux系统安全加固手册
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.wendangku.net/doc/4d5178921.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
Web服务器安全加固步骤
IIS&SQL 服务器安全加固 本资料整理自MSDN 和Xfocus ,整理者:Vidar.z - 1 - IIS Web 服务器安全加固步骤: 步骤 注意: 安装和配置 Windows Server 2003。 1. 将
信息安全加固手册-SQL-Server
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
Linux系统安全加固手册
Red Hat Linux系统安全加固 Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。
图1 风险: 需要与管理员确认此项操作不会影响到业务系统的登录1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法:
#vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 图2 风险:无可见风险 1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令
linux系统安全加固方法
1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:
服务器主机安全规范完整版
服务器主机安全规范标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号
口令策略
网络服务 优化服务(1)
Print Spooler(管理所有本地和网络打印队列及控制所有打印工 作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属 性,“共享”这个页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供TCP/IP (NetBT)服务上的NetBIOS 和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享 文件、打印和登录到网络) Task Scheduler(使用户能在此计算机上配置和计划自动任务) Windows Remote Management(47001端口,Windows远程管理服 务,用于配合IIS管理硬件,一般用不到) Workstation(创建和维护到远程服务的客户端网络连接。如果服 务停止,这些连接将不可用) 备注用服务需谨慎,特别是远程计算机 优化服务(2) 在"网络连接"里,把不需要的和服务都移除 2 去掉Qos数据包计划程序 2?关闭Netbios服务(关闭139端口)
ORACLE 安全加固手册
ORACLE 安全加固手册 安装ORACLE NET8 配置DB SCANNER 1.安装DB SCANNER软件 2.配置DB SCANNER (1)在DB SCANNER菜单scanner->configure connection->oracle中选 择Add Server,出现如图信息: Server Name:连接符 Protocol:选择TCP/IP Sockets SID:ORACLE数据库SID Hostname or IP address:为ORACLE数据库IP地址 Port Oracle listens on:默认为1521 (2)选择scan database->network neighborhood->oracle中
oracle.world连接符 (3)点击Add Database 填写DBA 帐户和密码,选择所制订的策略,Host Account与Host Password为空 ORACLE版本信息 检查当前所有已安装的数据库产品的版本信息 Oracle8 至 8.0: cd $ORACLE_HOME/orainst ./inspdver Oracle 8i 或更高: cd $ORACLE_HOME/install cat unix.rgs 8:version number 1:maintenance release number 5:patch release number 1:port-specific patch release number 补丁 1.数据库补丁安装
1)由上步操作获取数据库补丁安装情况 2)补丁下载 ORACLE最新补丁下载地址是:ftp://https://www.wendangku.net/doc/4d5178921.html, 3)补丁安装 停止所有与数据库相关的服务 数据库备份 解压补丁文件 插入数据库安装盘,或执行./runInstaller,进入交互式状态在Source栏选择解压后的补丁文件products.jar。 详细操作请参照其中的readme文件 数据库运行状态 检查数据库当前运行状态 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba 4.sql>archive log list; -----显示结果 sql> archive log list 数据库记录模式无档案模式 自动存档已禁用 存档路径 D:\Oracle\Ora81\RDBMS 最旧的联机日志顺序 852 当前记录顺序 854 默认用户状态及口令更改情况 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba;
Linux安全加固手册
Linux安全加固 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 风险: 需要与管理员确认此项操作不会影响到业务系统的登录 1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置 备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法: #vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9
1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令 备份方法: #cp -p /etc/passwd /etc/passwd_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的超级账户。 使用命令passwd -u <用户名>解锁需要恢复的超级账户。 风险:需要与管理员确认此超级用户的用途。 1.4 限制能够su为root的用户 检查方法: #cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目 备份方法:#cp -p /etc/pam.d /etc/pam.d_bak 加固方法: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有wheel组的用户可以su到root #usermod -G10 test 将test用户加入到wheel组
os-安全加固手册-solaris-v1.0
1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账 号共享。 结果:现网已实现 2、应删除或锁定与设备运行、维护等工作无关的账号。 结果:现网已实现 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户 远程登录后,再切换到管理员权限账号后执行相应操作。 结果:可以实现 编号:安全要求-设备-SOLARIS-配置-3 4、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 结果:现网已实现,可以按照下面配置修改策略 编号:安全要求-设备-通用-配置-4
5、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 结果:可以实现,应用账号不建议实现,将会影响应用系统; 编号:安全要求-设备-通用-配置-5 6、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5 次)内已使用的口令。 结果:可以实现,不建议实现,应用账号无法单独设置,将会影响应用系统; 编号:安全要求-设备-通用-配置-6-可选
7、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6 次),锁定该用户使用的账号。 结果:可以实现,不建议实现。应用账号无法单独设置,账号锁定将会影响应用系统,root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。 编号:安全要求-设备-通用-配置-7-可选
8、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 结果:现网已实现 9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录 是否成功,登录时间,以及远程登录时,用户使用的IP地址。 结果:现网已实现 10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、 删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 结果:可以实现,但是磁盘空间不足,不建议实现 编号:安全要求-设备-SOLARIS-配置-15-可选 11、设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 结果:可以实现。但需要一台专用日志服务器(要求大容量磁盘空间) 编号:安全要求-设备-通用-配置-14-可选
Web服务器安全加固步骤
Web服务器安全加固步骤步骤注意: 安装和配置Windows Server 2003。1.将
21.禁止死网关监测技术 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 22.不支持路由功能 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 安装和配置IIS 服务: 1.仅安装必要的IIS 组件。(禁用不需要的如FTP 和SMTP 服务) 2.仅启用必要的服务和Web Service 扩展,举荐配置: UI 中的组件名称设置设置逻辑 后台智能传输服务(BITS) 服务器扩展启用BITS 是Windows Updates 和“自动更新”所使用的后台文件传输机制。假如使 用Windows Updates 或“自动更新”在IIS 服务器中自动应用Service Pack 和热修补程序,则必须有该组件。 公用文件启用IIS 需要这些文件,一定要在IIS 服务器中启用它们。 文件传输协议(FTP) 服务禁用承诺IIS 服务器提供FTP 服务。专用IIS 服务器不需要该服务。 FrontPage 2002 Server Extensions 禁用为治理和公布Web 站点提供FrontPage 支持。假如没有使用FrontPage 扩 展的Web 站点,请在专用IIS 服务器中禁用该组件。 Internet 信息服务治理器启用IIS 的治理界面。 Internet 打印禁用提供基于Web 的打印机治理,承诺通过共享打印机。专用IIS 服务器不
【服务】IISWeb服务器安全加固步骤
文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持. - 1 - 【关键字】服务 IIS Web 服务器安全加固步骤: 步骤 注意: 安装和配置 Windows Server 2003。 1. 将