安全加固手册
安全加固手册
8.2 系统安全值设置
8.2.1 查看目前系统值:
WRKSYSV AL 一个一个顺序在终端上显示
或者 DSPSYSVAL SYSV AL (system value)
8.2.2 系统安全级别推荐设置为40
QSECURITY 40
10 没有用户认证,没有资源保护
20 用户使用密码认证,没有资源保护
30 用户认证和默认的资源保护
40 跟 30 相似,但是控制了特权指令和设备的接口
(在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问)
50 增强型的安全访问控制,达到真正的 C2 级安全控制
8.2.3 建议设置口令复杂度策略
QPWDVLDPGM *NONE 无密码检测
8.2.4 密码长度
最小密码长度
QPWDMINLEN 6
最大密码长度
QPWDMAXLEN 10
8.2.5 设置帐户最大尝试登陆次数
QMAXSIGN 3(默认值)
达到最大尝试次数措施
QMAXSGNACN 3(默认值)
1 禁用终端
2 禁用用户配置文件
3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义)
8.2.6 设置密码有效期
QPWDEXPITV 30-90
*NOMAX 不限
1-366 天
QPWDRQDDIF 1
0 可以和以前的历史记录中的 32 个密码一样
1 必须和以前的历史记录中的 3
2 个密码不同
8.2.7 限制安全设备登陆
QLMTSECOFR 1
0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端
1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问
8.2.8 设置超时策略
QINACTITV 无活动的任务超时 *NONE: 无超时
5-300 超时最大允许时间(分钟)推荐 15
非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。
认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务
(*DSCJOB )值去中断任意交互式登陆。
8.2.9 限制设备sessions
QLMTDEVSSN
0 不限制一个终端的特定用户 ID 的在同一时刻的使用数
1 限制同一时刻只能有一个特定用户登录到这台工作站
8.2.10 用户登录信息是否显示在屏幕上
QDSPSGNINF
0 在用户登录时 ,登陆信息不显示
1 以下信息会被显示最后登陆时间
从上次登陆以来的失败登陆
密码 7 天或之内密码将要过期的警告
QAUTOVRT
QAUTOVRT
8.3.1 显示所有用户和组
的
profile
8.3.2 检查每个重要的组的profile ,保证是由管理人
8.2.11 改变虚拟设备的自动配置值
值控制系统自动配置虚拟设备会话(比如 5250telnet )的数量值建议设置为 *nomax
8.2.12 改变远程登陆值
QRMTSIGN 值控制是否当工作站支持显示终端或工作站支持功能,允许用户略过在远端系统的登陆提示。( pass-through 类似于 unix 的 rlogin 功能)可能值如下 :
FRCSIGNON:所有系统的 pass through sessio ns必须通过正常的登录(sig n-on)过程
SAMEPRF:仅允许远端系统 profile名与本地系统一致的用户进行不通过登录( sign-on)过程的 pass through sessions
VERIFY:如果 QSECURITY 设置为10,没有通过正常的登录(sign-on)过程的pass through sessions 允许所有的pass through请求并且不检查密码。QSECURITY 设置为30的时候必
须进行登录。
REJECT: 不允许系统支持 pass through sessions
8.2.13 创建系统认证参数值
检查系统值报告里面的 QCRTAUT 参数,并且确认已经改变默认的值 *CHANGE 为 *USE 或更少权限。
检查产品数据库和产品源代码被放在一个有合适的访问权限的库里维护。或者使用可视认证
组件命令(Display Object Authority command )并且检查每一个重要的产品数据库和源代码的公共认证访问( PUBAUT )访问参数设置为 *EXCLUDE 并且都设置了合适的访问控制。
8.3 用户、组配置
DSPAUTUSR SEQ (*GRPPRF) wrkusrprf *all
员赋予的
8.3.3 检查系统内的用
户,
保证是都由管理人员赋
予
的,并且他们的设置与他们的需要的功能一致
*ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL 8.3.4 系统安装时,已经预定义了许多用户的profile ,这些用户的profile 的密码可以从用户的profile 名判断
QSRVBAS 和 QSRV 推荐在每次时候后改变。任何商业软件厂商安装时用的密码也应该更改。
8.3.5 使用以下命令取得用户和组的profile:
取得文件 :
输入[DSPUSRPRF],按(PF4),选择输出文件和文件名,将此文件传输到 PC或XCOMM 到
一个大型机( where Office Services will copy the file/s to audits cc 0820 G drive )。DSPUSRPRF USRPRF(pro) TYPE(*BASIC)
每个 profile 检查以下设置 :
8.3.5.1 G R O U P (Group Profile)
检查每个组里面的用户是否应具有此权限
8.3.5.2 P W D E X P I T V ( 密码过
期周期)
*SYSVAL: 系统默认值为QPWDEXPITV 如果已经设置为一个数字,则表示此用户已经设置密码过期周期。
8.3.5.3 CURLIB (当前库)
检查用户是否指定了合适的库( library )。并且保证库足够的安全
8.3.5.4 L M T C P B (限制权限)
指定是否用户可以更改初始程序,初始菜单,当前库和attention-key-handling 程序值。
*NO: 用户可以使用 CHGPRF 命令改变自己用户 profile 里面的所有值。
*PARTIAL:初始化程序和当前库值不能改变。初始菜单可以改变(使用CHGPRF)并且可以
在菜单命令行处输入命令。
*YES: 初始程序,初始菜单和当前库不能改变。菜单命令行处可以运行部分命令。
推荐值 :产品用户设置为 *YES
8.3.5.5 S P C A U T (特殊权限)
- 几乎所有对象允许无限访问
- 允许管理用户 profile
- 保存和恢复系统和数据
- 允许操作工作队列和子系统
- 允许一些没有控制的功能
- 允许控制池( spool )功能
*USRCLS -授予用户对他所在的级别(class)特别的授权
*NONE - 没有特别的授权
检查是否每个用户级别特别的授权是否适当。一般来说,用户和程序不应该有任何特殊授权。
默认 SECADM, QSECOFR, 和 SYSOPR 具有 *SAVSYS 和 *JOBCTL 特殊授权。推荐设置 *PUBLIC 默认设置为 *EXCLUDE 。
8.3.5.6 I N L P G M ( 初始程序)
*NONE: 没有初始程序,用户直接进入命令行。初始程序,除了注销( sign-off )之外不会提供程序的退出手段。如果在初始菜单参数中指定了具体菜单名的话,菜单将会被显示。保证没有菜单 / 子菜单中没有退出选项到命令行级。
8.3.5.7 I N L M E N U ( 初始菜单)
*SIGNOFF: 当初始程序结束会从系统中注销用户菜单安全限制一个用户的权力,并且限制这个用户使用一个安全的环境变量。初始菜单在初始程序结束后显示。确保用户被设置了菜单,并且菜单的选项适合用户的工作运行。
菜单安全的好处是它容易去执行,会降低安全管理的开销;并且会改善使用界面。推荐设置 :当访问库和对象的时候限制权限。
8.3.5.8 L M T D E V S S N ( 限制设
备session)
*SYSV AL:如果用户被限制在一个终端session的时候选择此系统值
*NO: 不限制访问一个用户 id 访问设备的 session *YES: 限制一个用户 id 访问一个终端的 session. 推荐值 : *YES 或者 *SYSVAL and QLMTDEVSSN - 设置为选项一 (limit number of device sessions to one).
8.3.5.9 S T A T U S ( 用户profile 的
状态)
设置用户 profile 是否使用。
*ENABLED: 使用
*DISABLED: 不使用
推荐值 : 无用的和暂不使用的用户 profile 应设置为 *DISABLE 以防止未经授权的访问注意系统用户 profiles 如 QSYS, QSECOFR, 等,必须设置为 *ENABLE.
8.3.5.10 取得一个系统全用户的列表,并且
作如下检查:
a?确认所有的用户和组被单独赋予权限
b. 确认是否所有的用户授权均基于部门间已有的管理授权机制
c. 确认所有的用户均处在雇佣状态。
8.3.5.11 确认是否存在未经授权的用户从他们
的菜单可以访问重要的进程或执行重
要的操作
8.3.6 列出所有采用QSECOFR 授权的程序DSPPGMADP USRPRF(QSECOFR) [optional OUTPUT(*PRINT) to print] 执行此命令可能会消耗大量系统
资源。
确认安全管理员知道这些程序,以及是否应在添加新的用户考虑是否应对他们设置授权。推荐设置 :安全管理员应监控 QSECOFR 授权赋予权限的程序。
8.3.7 确认采用以下安全和密码策略:
a. 安全的赋予和分发密码
b. 选择密码标准
c. 在雇员离职后更改密码或删除用户(可以从前面的登陆日期得到报告)
d. 定期更改密码
e. 培训用户密码保密的必要性和在不用时注销工作站
f. 当发现违反安全规定时候的处置措施
8.3.8 使用以下命令取得授权用户列表
DSPAUTUSR
列表包括用户 profile ,上次更改密码日期和用户 profile 说明。可以从上次更改密码日期判断是否在一个合理的周期内更改密码。
8.4 库安全( Libraries )
8.4.5 取得系统所有库的列表
DSPOBJD OBJ(QSYS/*ALL) OBJTYPE(*LIB) OUTPUT(*PRINT) 判断产品对象 production objects 被从开发对象 development objects 中分割在单独的库里
8.4.6
选择一个重要产品的的库,列出所选择库
的内容(对象)
DSPLIB (Library Name) 确认产品库中只有产品的对象
8.4.7 列出重要产品库中对象的授权
DSPOBJAUT OBJ(QSYS/library name) OBJTYPE(*LIB)
确认仅有授权的用户和组可以访问。开发用户应该没有产品库的访问权限。并且检查库的所有者是否恰当。
8.4.8 检查访问重要库的管理和授权过程
推荐 :强烈推荐使用库的安全分级,它将会使对象和库的变得容易并且有效。
8.5 对象安全( Objects )
8.5.5 取得当权对象访问授权列表
选择产品多项中的敏感对象(数据文件或源代码)并且打印他们的指定的对象授权
DSPOBJAUT OBJ(library/file) OBJTYPE(*FILE) (for files), and
DSPOBJAUT OBJ(library/program) OBJTYPE (*PGM) (for programs).
8.5.6 保证只有授权用户或组可以访问敏感对象
8.5.7 查敏感对象管理和授权的过程
8.6 系统工具安全
系统中提供了以下功能强大的工具
SST DST DFU SEU SDA PDM System Service Tools
Dedicates Service Tools
Data
Source Entry Utility
Screen Design Aid
Programming Development Manager
QUERY Query Language 确定谁有以上工具的访问权限
DSPOBJAUT OBJ(QSYS/STRDFU) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRSEU) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRSDA) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRPDM) OBJTYPE (*CMD). DSPOBJAUT OBJ(QSYS/STRQRY) OBJTYPE (*CMD). 只有授权的程序员才可访问以上工具。
推荐设置 :*PUBLIC 访问应该设置为 *EXCLUDE 而不是 *USE 。
8.7 系统命令安全
系统中有以下功能比较强的系统命令
CRTUSRPRF Create User Profile
CHGUSRPRF DLTUSRPRF RSTUSRPRF CHGDSTPWD RSTAUT STRSST CRTAUTHLR DLTAUTHLR SAVSYS CHGSYSLIBL CHGSYSV AL Change User Profile
Delete User Profile
Restore User Profile
Change Dedicated Service Tool Password Restore Authority
System Service Tools
Create Authority Holder
Delete Authority Holder
Save the System
Change System Library
Change System Value
限制只有安全管理员 (QSECADM) 和安全长官 (QSECOFR) 可以访问。应该拒绝 PUBLIC 访问。一个用户当他拥有 *ALLOBJ 授权的时候,应该不能使用以上命令。限制为仅允许服务工程师 (OSRV) 。
限制为仅允许安全长官 (QSECOFR) 。
更改 DST 密码需要 DST 安全密码( DST security password ) 限制为 *SAVSYS 所有者。
*PUBLIC 应设置为 *EXCLUDE 。
检查以上重要安全相关的命令的对象授权 DSPOBJAUT OBJ(QSYS/cmd) OBJTYPE(*CMD) 保证仅有授权的
用户可以使用这些命令。推荐设置 :Public 授权应设置为 *EXCLUDE 。
8.8 系统日志
A. 取得系统日志,并检查访问用户的的初始化、注销等信息,一般来说应该是系统管理员或安全
长官
一般不看全部的系统日志(太大) 。使用以下命令查看历史纪录中显示的消息
DSPLOG LOG(QHST) PERIOD (start-time start-date) (end-time end-date) MSGID (message-identifier) OUTPUT(*PRINT){of OUTPUT(*)}
DSPLOG 按 F4 获得更多的参数列表
安全信息大部分在CPF2201 到CPF2299 的范围内。如果需要查看所有的信息就需要输入信息号CPF2200。例如CPF2234表示错误的密码,CPF2240对象授权未通过。
B. 列出 QHST 中的显示对象认证 "Display Object Authority"列表 DSPOBJAUT OBJ(QHST) OBJTYPE(*MSGQ) OUTPUT(*LIST) 检查是否只有安全长官具有访问QHST 对象,PUBLIC 应设置为*EXCLUDE
C. 如果未使用系统日志,检查审核日志 (QAUDJRN) 是否运行
安全长官可以使用收集特定安全相关事件的审计信息监视安全。可以使用以下命令:
1) 创建日志接收器
CRTJRNRCV JRNRCV(user-lib/user-name1) AUT(*EXCLUDE)
2) 创建分类
CRTJRN JRN(QSYS/QAUDJRN) JRNRCV (user-lib/user-name1) AUT(*EXCLUDE)
3) 更改系统值
CHGSYSV AL QAUDLVL VALUES ('AUTFAIL *SECURITY *PGMFAIL ...'
QAUDLVL 值控制安全相关的事件记录到这个日志里。推荐 QAUDLVL 作如下设置 :
AUTFAIL - 记录所有认证失败 ;
SECURITY - 记录安全相关行为,如对象授权,用户 profile ,系统值
PGMFAIL (security level 40) - 每个对象域创建一个认证失败的策略,锁定指令或程序认证失败
D. 保证安全长官在日志中发现的访问违规行为通知用户所在部门的负责人,并且听取用户所在部门
负责人对此的解释。
E. 在用户部门调整或人员变动之后取得新的用户授权的说明,最少 6 个月一次检查系统授权。
Linux 系统主机安全加固
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
LINUX安全加固手册
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
linux系统安全加固规范
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
服务器安全加固操作指南
网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)
Linu系统主机安全加固
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
服务器安全加固
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
Linu系统安全加固手册
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇二〇年八月
目录 1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH网站上发布的升级软件对照,检查其中的变化。
通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。 2.2、口令策略的设置 RedHat Linux总体口令策略的设定分两处进行,第一部分是在/etc/文件中定义,其中有四项相关内容: PASS_MAX_DAYS 密码最长时效(天) PASS_MIN_DAYS 密码最短时效(天) PASS_MIN_LEN 最短密码长度 PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户 编辑/etc/文件,设定:
Windows服务器安全加固
服务器安全加固(以Windows Server 2008为示例,Windows server 2003和Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。(请截图) 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原的加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟
2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。 2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
AIX安全加固操作手册
AIX安全加固操作手册 作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下: 一、系统推荐补丁升级加固 1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁) 检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2.如果未安装补丁,使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行:mount /cdrom 2)执行:smitty update_all (选择/dev/cd0为安装介质) 注意选择安装选项中: COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件,关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务: portmap syslog inetd sendmail snmpd 如关闭dpid2,则只要注销以下行:(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用: stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务,不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server
WindowsXP安全加固方案
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
信息系统安全加固描述
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
安全加固手册
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
安全手册内部
安全手册 XXX科技发展有限公司 编制:审核批准日期 公司的安全愿景 成为零工伤工厂 公司的安全承诺 确保使员工能以在安全的环境下以安全的方式进行工作。 公司的安全政策 ·所有公司员工和来访者的安全都必须受到保护; ·没有比使员工避免受到伤害更重要的事情; ·预防工伤/职业病事故的发生是非常重要的道德和法律责任; 1.安全总则 1.1安全第一,预防为主; 1.2遵守安全的法律法规; 1.3在安全上不要有侥幸心理。 2.安全职责 1.1管理层安全职责 ·安全教育和培训; ·给员工提供充分的、符合要求的劳保用品; ·不断加强安全管理。 2.2员工安全职责 ·遵守所有安全规章制度; ·按规定穿戴劳保用品,并妥善保管,使其处于良好状况; ·采用安全的工作方式,预防事故发生。 3.安全培训 3.1企业必须开展安全教育,普及安全知识,倡导安全文化。 3.2安全培训由公司行政人力资源部和工艺部负责组织。 3.3生产岗位员工的安全培训: A.新入职员工上岗前必须进行公司级、部门级、车间班组级三级安全教育, 并经考核合格后方可上岗;
B.公司级安全教育应包括劳动安全文化的基本知识,公司劳动安全卫生规 章制度及状况、劳动纪律和有关事故案例等项内容; C.部门级安全教育应包括本部门劳动安全卫生状况和规章制度,主要危险 危害因素及安全事项,预防工伤事故和职业病的主要措施,典型事故案 例及事故应急处理措施等项内容; D.车间班组级安全教育应包括遵章守纪,岗位安全操作规程,岗位间工作 衔接配合的安全卫生事项,典型事故案例,劳动防护用品(用具)的性 能及正确使用方法等项内容; E.从事特种作业的人员必须经过专门的安全知识与安全操作技能培训,并 以过考核,取得特种作业资格方可上岗工作。 3.4管理人员的安全培训: ·主管以上人员 A.必须进行安全培训经考核合格后方可上岗; B.培训内容应包括国家有关劳动安全卫生的方钍、政策、法律、法规及有 关规章制度,工伤保险法律、法规,安全生产管理职责、企业劳动安全 卫生管理知识及安全文化,有关事故案例及事故应急处理措施等内容。 ·工程技术及其他人员 A.培训时间不得少于十二学时; B.培训内容应包括劳动安全卫生法律、法规及本部门、本岗位安全卫生职 责,安全技术、劳动卫生和安全文化的知识,有关事故案例及事故应急 处理措施等项内容。 4.办公室安全 4.1保持行走区域和工作区域畅通无阻,及时排除或示示出绊倒隐患; 4.2保持工作区域清洁、光线充足、无水; 4.3办公室要求整理、整顿、清扫、清洁并养成习惯; 4.4严禁私拉乱按各种电线,未经许可,不得进行电器维修; 4.5操作任何机器前,要确保你已接受过适当的培训和指导; 4.6不要对任何处于开启状态的机器进行清洗工作; 4.7不在办公室使用电炉,快速热水器,加热器等。 5.吸烟规定 5.1公司内除了在规定的吸烟点外,一律禁止吸烟;特别禁止吸游烟 5.2吸烟点的设置:各部门根据实际需求提出申请,经审核批准后设置。 6.劳保用品 6.1遵守劳保用品相关的法律法规。
Web服务器安全加固步骤
IIS&SQL 服务器安全加固 本资料整理自MSDN 和Xfocus ,整理者:Vidar.z - 1 - IIS Web 服务器安全加固步骤: 步骤 注意: 安装和配置 Windows Server 2003。 1. 将
信息安全加固手册-SQL-Server
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
Linux系统主机安全加固
L i n u x系统主机安全加 固 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进 行修改: /etc/profile/etc/profile .bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo
usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
linux系统安全加固方法
1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:
linux系统安全加固技术方案
1概述- 1 - 1.1适用范围- 1 - 2用户账户安全加固- 1 - 2.1修改用户密码策略- 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 - 3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 - 3.3设置当用户连续登录失败三次,锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 - 4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -
1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略 (1)修改前备份配置文件:/etc/login.defs (2)修改编辑配置文件:vi /etc/login.defs,修改如下配置: (3)回退操作 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:
或删除不使用的账户: (3)回退操作 用户锁定后当使用时可解除锁定,解除锁定命令为: 2.3锁定或删除系统中不使用的组 (1)操作前备份组配置文件/etc/group (2)查看系统中的组并确定不使用的组 (3)删除或锁定不使用的组 锁定不使用的组: 修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可删除不使用的组: (4)回退操作 2.4限制密码的最小长度
Linux系统安全加固手册
Red Hat Linux系统安全加固 Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 加固方法: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。
图1 风险: 需要与管理员确认此项操作不会影响到业务系统的登录1.2设置系统口令策略 检查方法: 使用命令 #cat /etc/login.defs|grep PASS查看密码策略设置备份方法: cp -p /etc/login.defs /etc/login.defs_bak 加固方法:
#vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 图2 风险:无可见风险 1.3禁用root之外的超级用户 检查方法: #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令