Linux系统安全加固手册

Red Hat Linux系统安全加固

Redhat是目前企业中用的最多的一类Linux，而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢?

一. 账户安全

1.1 锁定系统中多余的自建帐号

检查方法:

执行命令

#cat /etc/passwd

#cat /etc/shadow

查看账户、口令文件，与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根据需要锁定登陆。

备份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用户名>锁定不必要的账号。

使用命令passwd -u <用户名>解锁需要恢复的账号。

图1

风险:

需要与管理员确认此项操作不会影响到业务系统的登录1.2设置系统口令策略

检查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密码策略设置备份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数

PASS_MIN_DAYS 0 #新建用户的密码最短使用天数

PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数

PASS_MIN_LEN 9 #最小密码长度9

图2

风险：无可见风险

1.3禁用root之外的超级用户

检查方法：

#cat /etc/passwd 查看口令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用户名

password：加密后的用户密码

user_ID：用户ID，(1 ~ 6000) 若用户ID=0，则该用户拥有超级用户的权限。查看此处是否有多个ID=0。

group_ID：用户组ID

comment：用户全名或其它注释信息

home_dir：用户根目录

command：用户登录后的执行命令

备份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命令passwd -l <用户名>锁定不必要的超级账户。

使用命令passwd -u <用户名>解锁需要恢复的超级账户。

风险：需要与管理员确认此超级用户的用途。

1.4 限制能够su为root的用户

检查方法：

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目

备份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在头部添加：

auth required /lib/security/pam_wheel.so group=wheel

这样，只有wheel组的用户可以su到root

#usermod -G10 test 将test用户加入到wheel组

图3

风险：需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆;和管理员确认哪些用户需要su。

当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效

性。如果是因为PAM验证故障，而引起root也无法登录，只能使用single user或者rescue 模式进行排错。

1.5 检查shadow中空口令帐号

检查方法：

#awk -F: '( == "") { print }' /etc/shadow

备份方法：cp -p /etc/shadow /etc/shadow_bak

加固方法：对空口令账号进行锁定，或要求增加密码

图4

风险：要确认空口令账户是否和应用关联，增加密码是否会引起应用无法连接。

二、最小化服务

2.1 停止或禁用与承载业务无关的服务

检查方法：

#who –r或runlevel 查看当前init级别

#chkconfig --list 查看所有服务的状态

备份方法：记录需要关闭服务的名称

加固方法：

#chkconfig --level <服务名> on|off|reset 设置服务在个init级别下开机是否启动

图5

风险：某些应用需要特定服务，需要与管理员确认。

三、数据访问控制

3.1 设置合理的初始文件权限

检查方法：

#cat /etc/profile 查看umask的值

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

umask=027

风险：会修改新建文件的默认权限，如果该服务器是WEB应用，则此项谨慎修改。

四、网络访问控制

4.1 使用SSH进行管理

检查方法：

#ps –aef | grep sshd 查看有无此服务

备份方法：

加固方法：

使用命令开启ssh服务

#service sshd start

风险：改变管理员的使用习惯

4.2 设置访问控制策略限制能够管理本机的IP地址

检查方法：

#cat /etc/ssh/sshd_config 查看有无AllowUsers的语句

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config，添加以下语句

AllowUsers *@10.138.*.* 此句意为：仅允许10.138.0.0/16网段所有用户通过ssh访问保存后重启ssh服务

#service sshd restart

风险：需要和管理员确认能够管理的IP段

4.3 禁止root用户远程登陆

检查方法：

#cat /etc/ssh/sshd_config 查看PermitRootLogin是否为no 备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存后重启ssh服务

service sshd restart

图6

风险：root用户无法直接远程登录，需要用普通账号登陆后su 4.4 限定信任主机

检查方法：

#cat /etc/hosts.equiv 查看其中的主机

#cat /$HOME/.rhosts 查看其中的主机

备份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 删除其中不必要的主机

#vi /$HOME/.rhosts 删除其中不必要的主机

风险：在多机互备的环境中，需要保留其他主机的IP可信任。

4.5 屏蔽登录banner信息

检查方法：

#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段为NONE #cat /etc/motd 查看文件内容，该处内容将作为banner信息显示给登录用户。

备份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

删除全部内容或更新成自己想要添加的内容

风险：无可见风险

4.6 防止误使用Ctrl+Alt+Del重启系统

检查方法：

#cat /etc/inittab|grep ctrlaltdel 查看输入行是否被注释

备份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行开头添加注释符号“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

图7

风险：无可见风险

五、用户鉴别

5.1 设置帐户锁定登录失败锁定次数、锁定时间

检查方法：

#cat /etc/pam.d/system-auth 查看有无auth required pam_tally.so条目的设置

备份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 设置为密码连续错误6次锁定，锁定时间300秒

解锁用户 faillog -u <用户名> -r

风险：需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆;

当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效

性。

5.2 修改帐户TMOUT值，设置自动注销时间

检查方法：

#cat /etc/profile 查看有无TMOUT的设置

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增加

TMOUT=600 无操作600秒后自动退出

风险：无可见风险

5.3 Grub/Lilo密码

检查方法：

#cat /etc/grub.conf|grep password 查看grub是否设置密码

#cat /etc/lilo.conf|grep password 查看lilo是否设置密码

备份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：为grub或lilo设置密码

风险：etc/grub.conf通常会链接到/boot/grub/grub.conf

5.4 限制FTP登录

检查方法：

#cat /etc/ftpusers 确认是否包含用户名，这些用户名不允许登录FTP服务

备份方法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers 添加行，每行包含一个用户名，添加的用户将被禁止登录FTP服务风险：无可见风险

5.5 设置Bash保留历史命令的条数

检查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查看保留历史命令的条数

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令

图8

风险：无可见风险

六、审计策略

6.1 配置系统日志策略配置文件

检查方法：

#ps –aef | grep syslog 确认syslog是否启用

#cat /etc/syslog.conf 查看syslogd的配置，并确认日志文件是否存在

系统日志(默认)/var/log/messages

cron日志(默认)/var/log/cron

安全日志(默认)/var/log/secure

备份方法：

#cp -p /etc/syslog.conf

图9

6.2 为审计产生的数据分配合理的存储空间和存储时间

检查方法：

#cat /etc/logrotate.conf 查看系统轮询配置，有无

# rotate log files weekly

weekly

# keep 4 weeks worth of backlogs

rotate 4 的配置

备份方法：

#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak

加固方法：

#vi /etc/logrotate.d/syslog

增加

rotate 4 日志文件保存个数为4，当第5个产生后，删除最早的日志

size 100k 每个日志的大小

加固后应类似如下内容：

/var/log/syslog/*_log {

missingok

notifempty

size 100k # log files will be rotated when they grow bigger that 100k. rotate 5 # will keep the logs for 5 weeks.

compress # log files will be compressed.

sharedscripts

postrotate

/etc/init.d/syslog condrestart >/dev/null 2>1 || true

endscript

}

linu系统安全加固规范

Linux主机操作系统加固规范目录第1章概述 (2) 1、1目得..................................... 错误!未定义书签。 1、2适用范围................................. 错误!未定义书签。 1、3适用版本................................. 错误!未定义书签。 1、4实施..................................... 错误!未定义书签。 1、5例外条款................................. 错误!未定义书签。第2章账号管理、认证授权 (2) 2、1账号 (2) 2、1、1用户口令设置 (2) 2、1、2.......................................................... root用户远程登录限制 3 2、1、3检查就是否存在除root之外UID为0得用户 (3) 2、1、4...................................................... root用户环境变量得安全性 3 2、2认证..................................... 错误!未定义书签。 2、2、1远程连接得安全性配置 (4) 2、2、2用户得umask安全配置 (4) 2、2、3重要目录与文件得权限设置 (5) 2、2、4查找未授权得SUID/SGID文件 (5) 2、2、5检查任何人都有写权限得目录 (6) 2、2、6查找任何人都有写权限得文件 (6) 2、2、7检查没有属主得文件 (7) 2、2、8检查异常隐含文件 (8) 第3章日志审计 (9) 3、1日志 (9) 3、1、1............................................................ syslog登录事件记录 9 3、2审计 (9) 3、2、1........................................................ Syslog、conf得配置审核 9 第4章系统文件 (11) 4、1系统状态 (11) 4、1、1系统core dump状态 (11)

Linux 系统主机安全加固

Linux主机安全加固 V1.0 hk有限公司二零一五年二月

一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 （用户的密码不过期最多的天数） PASS_MIN_DAYS 0 （密码修改之间最小的天数） PASS_MIN_LEN 8 （密码最小长度） PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是 022，如果不是用下面命令进行修改： cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp /etc/group /etc/group.bak

linux系统安全加固规范

Linux主机操作系统加固规范

目录第1章概述 (3) 1.1 目的............................................................................................................ 错误！未定义书签。 1.2 适用范围..................................................................................................... 错误！未定义书签。 1.3 适用版本..................................................................................................... 错误！未定义书签。 1.4 实施............................................................................................................ 错误！未定义书签。 1.5 例外条款..................................................................................................... 错误！未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误！未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)

网络信息安全系统加固方案设计

XXXX业务网网络信息安全加固项目案例介绍一、概述随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析 2.1 网络现状业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患： 1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善，防火墙系统的不足主要有以下几个方面（略） 2.当前网络不具备针对X攻击专项的检测及防护能力。（略） 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用

Solaris10系统安全加固标准

Solaris系统安全文档（for solaris 10） 1．禁用不需要的用户备份：备份/etc/passwd cp /etc/passwd /etc/passwd.080903 cp /etc/shadow /etc/shadow.080903 修改：编辑/etc/shadow，将需要禁止帐户的**用NP代替 Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell 恢复：编辑/etc/shadow，将需要恢复帐户的NP用**代替 Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell 或使用备份还原 cp /etc/passwd.080903 /etc/passwd cp /etc/shadow.080903 /etc/shadow 恢复：用原始备份还原 cp /etc/group.bak.2008 /etc/group 2．设置用户密码安全策略（根据具体要求修改）修改全局密码策略备份：备份/etc/default/passwd cp /etc/default/passwd /etc/default/passwd.080903 #MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。 #MINALPHA=2 #最少字母要多少 #MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写 #MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字 #WHITESPACE=YES #能使用空格吗？修改：（以下只针对除root用户外的其他用户）编辑/etc/default/passwd,设置： MINWEEKS= 最短改变时间 MAXWEEKS=8 密码最长有效时间 WARNWEEKS=5 密码失效前几天通知用户 PASSLENGTH=8 最短密码长度

网络安全主机安全加固

网络安全主机安全加固一、安全加固概述网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●? 正确的安装； ●? 安装最新和全部OS和应用软件的安全补丁； ●? 操作系统和应用软件的安全配置； ●? 系统安全风险防范； ●? 提供系统使用和维护建议； ●? 系统功能测试； ●? 系统安全风险测试； ●? 系统完整性备份； ●? 必要时重建系统等。上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。（2）明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●? 系统上运行的应用系统及其正常所必需的服务。

●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。（3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。（4）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。二．加固和优化流程概述网络与应用系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果： ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。 3. 实施加固对系统实施加固和优化主要内容包含以下两个方面： ●? 对系统进行加固 ●? 对系统进行测试

Linu系统主机安全加固

L i n u系统主机安全加固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile.bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

信息系统安全加固描述

一．安全加固概述网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●网络设备与操作系统的安全配置； ●系统安全风险防范； ●提供系统使用和维护建议； ●安装最新安全补丁（根据风险决定是否打补丁）；上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。（2）明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。（3）明确加固风险：网络设备与操作系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。二．加固和优化流程概述网络设备与操作系统加固和优化的流程主要由以下四个环节构成：

1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果： ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固对系统实施加固和优化主要内容包含以下两个方面： ●对系统进行加固 ●对系统进行测试对系统进行测试的目的是检验在对系统实施安全加固后，系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进行。对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。 4. 生成加固报告加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容：

linux系统安全加固方案

1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行，运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次，锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -

风管加固规范

风管加固规范加固，指对可靠性不足或业主要求提高可靠度的承重结构、构件及其相关部分采取增强、局部更换或调整其内力等措施，使其具有现行设计规范及业主所要求的安全性、耐久性和适用性。工业上主要进行的加固有粘钢加固、碳纤维加固、压力注浆加固、植筋加固、锚栓加固、钢管桩加固、等。规范标准《建筑结构加固工程施工质量验收规范》《混凝土结构加固设计规范》《工程结构加固材料安全性鉴定技术规范》《砌体结构补强加固技术规范》《建筑抗震设计规范》《建筑抗震鉴定标准》《建筑抗震加固技术规程》《双曲拱桥加固改造技术规程》粘钢加固基本概念混凝土粘钢加固技术，是采用优质JGN建筑结构胶，把钢板与混凝土牢固地粘在一起，形成复合的整体结构，有效地传递应力形成

整体联合协调工作，从而恢复或提高结构的承载能力与结构的强度和钢度。特点 1、对构件进行有针对性地补强 2、与砼构件具备较广泛的类似力学性能指标 3、抗老化、抗疲劳性能好 ⒋建筑结构胶要通过抗冲击剥离韧性检测碳纤维基本概念碳纤维布加固修复混凝土结构技术是采用配套胶粘剂将碳纤维布粘贴于混凝土表面，起到结构补强和抗震加固的作用。广泛适用于建筑物梁、板、柱、墙的加固，并可用于桥梁、隧道等其它土木工程的加固补强。粘贴纤维织物(布)复合材加固法即用改性环氧树脂粘贴各种符合国标GB50367-2013规定的碳纤维单向织物布复合材，S玻璃布，(玄武岩布)，E玻璃纤维单向织物布及GB/T221491-2008规定的芳纶布，芳玻韧布复合材料。优点

具有粘贴钢板相似的优点外，还具有耐腐蚀、耐潮湿、几乎不增加结构自重、耐用、维护费用较低等优点，但需要专门的防火处理，适用于各种受力性质的混凝土结构构件和一般构筑物。压力注浆压力注浆主要解决基础不均匀沉降的问题。裂缝修补混凝土结构裂缝修补加固植筋技术 "植筋"技术又称钢筋生根技术，在原有混凝土结构上钻孔，注结构胶，把新的钢筋旋转插入孔洞中。此技术广泛用于设计变更，增加梁、柱、悬挑梁、板等加固和变更工程。 1、各种设备基础的锚固。 2、加大基础承台。 3、各种建筑结构的钢筋埋植与锚栓锚固。 4、悬挑梁、板等结构功能改变。 5、铁路、铁轨的锚固。 6、幕强安装锚固及化工设备、管道、广告牌等的安装锚固。 7、水利设施，码头，公路，护坡，桥梁等工程的各种锚固。

HP-Unix主机操作系统加固规范

HP-Unix主机操作系统加固规范 1 账号管理、认证授权 1.1 账号 1.1.1 SHG-HP-UX-01-01-01 编号 SHG-HP-UX-01-01-01 名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态 cat /etc/passwd 记录当前用户列表实施步骤 1、参考配置操作为用户创建账号： #useradd username #创建账号 #passwd username #设置密码修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。回退方案删除新增加的帐户判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★ 备注 1.1.2 SHG-HP-UX-01-01-02 编号 SHG-HP-UX-01-01-02 名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态 cat /etc/passwd 记录当前用户列表，cat /etc/shadow 记录当前密码配置实施步骤参考配置操作删除用户：#userdel username; 锁定用户： 1) 修改/etc/shadow文件，用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。回退方案新建删除用户判断依据如上述用户不需要，则锁定。实施风险高重要等级★★★ 备注

Linux系统安全加固手册

密级：商业秘密LINUX评估加固手册安氏领信科技发展有限公司二〇一五年十二月

目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2．1、删除或禁用系统无用的用户 (3) 2．2、口令策略的设置 (4) 2．3、系统是否允许ROOT远程登录 (5) 2．4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3．1、RC?.D中的服务的设置 (5) 3．2、/ETC/INETD.CONF中服务的设置 (6) 3．3、NFS的配置 (8) 3．4、SNMP的配置 (9) 3．5、S ENDMAIL的配置 (9) 3．6、DNS（B IND）的配置 (9) 3．7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)

1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件，和RH 网站上发布的升级软件对照，检查其中的变化。通过访问官方站点下载最新系统补丁，RedHat公司补丁地址如下： https://www.360docs.net/doc/cf11889379.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包（如果原先没有安装，则不安装） 2、帐户、口令策略的加固 2．1、删除或禁用系统无用的用户询问系统管理员，确认其需要使用的帐户如果下面的用户及其所在的组经过确认不需要，可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。

Linux系统主机安全加固

L i n u x系统主机安全加固集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile .bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo

usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

Oracle数据库系统加固规范

Oracle数据库系统加固规范1 账号管理、认证授权 (1) 1.1 账号............................................................... 1.… 1.1.1 SHG-Oracle-01-01-01 ............................................... 1.… 1.1.2 SHG-Oracle-01-01-02 ............................................................................ 2… 1.1.3 SHG-Oracle-01-01-03 ............................................................................ 3… 1.1.4 SHG-Oracle-01-01-04 ............................................................................ 4.… 1.1.5 SHG-Oracle-01-01-05 ............................................................................ 5.…

1.1.6 SHG-Oracle-01-01-06 7.... 1.1.7 SHG-Oracle-01-01-07 8.... 1.1.8 SHG-Oracle-01-01-08 .......................................................................... .10.. 1.2 口令........................................................... .1.1.... 1.2.1 SHG-Oracle-01-02-01 1.1.. 1.2.2 SHG-Oracle-01-02-02 12.. 1.2.3 SHG-Oracle-01-02-03 14.. 1.2.4 SHG-Oracle-01-02-04 .......................................................................... .15.. 1.2.5 SHG-Oracle-01-02-05 .......................................................................... .16.. 2 日志配置 (18) 2.1.1 SHG-Oracle-02-01-01 18.. 2.1.2 SHG-Oracle-02-01-02 2.1.. 2.1.3 SHG-Oracle-02-01-03 22.. 2.1.4 SHG-Oracle-02-01-04 .......................................................................... 24.. 3 通信协议 (25) 3.1.1 SHG-Oracle-03-01-01............................................. 25.. 3.1.2 SHG-Oracle-03-01-02 .......................................................................... 26.. 4 设备其他安全要求 (28) 4.1.1 SHG-Oracle-04-01-01 28..

linux系统安全加固技术方案

1概述- 1 - 1.1适用范围- 1 - 2用户账户安全加固- 1 - 2.1修改用户密码策略- 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 - 3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 - 3.3设置当用户连续登录失败三次，锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 - 4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -

1概述 1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略（1）修改前备份配置文件：/etc/login.defs （2）修改编辑配置文件：vi /etc/login.defs，修改如下配置：（3）回退操作 2.2锁定或删除系统中与服务运行，运维无关的的用户（1）查看系统中的用户并确定无用的用户（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：

或删除不使用的账户：（3）回退操作用户锁定后当使用时可解除锁定，解除锁定命令为： 2.3锁定或删除系统中不使用的组（1）操作前备份组配置文件/etc/group （2）查看系统中的组并确定不使用的组（3）删除或锁定不使用的组锁定不使用的组：修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可删除不使用的组：（4）回退操作 2.4限制密码的最小长度

新系统渗透与加固课程标准

《系统渗透与加固》课程标准所属系部：制定人：合作人：制定时间：审定组（人）：审定日期： **职业技术学院

《系统渗透与加固》课程标准一、课程基本信息二、课程定位《系统渗透与加固》是计算机学生的专业课，是一门涉及计算机系统、网络安全技术、通信技术、密码技术、信息安全技术等多种学科的综合性学科。学生需了解甚至掌握网络渗透入侵与加固的技术，这样才能有针对性地进行防御，真正保障网络的安全。三、课程设计思路本课程是依据我校计算机网络技术专业人才培养方案中，对计算机网络安全的职业能力要求而设置的。其总体设计思路是，打破以知识传授为主要特征的传统学科课程模式，转变为以案例、任务、项目形式组织课程教学内容，让学生在完成具体案例、任务、项目的过程中，学习相关理论知识，掌握系统渗透与加固的相关技能。（1）内容设计依据课程目标，本课程面向网络安全工程师工作岗位的安全规划和安全防护技术实施的职业能力培养为目标建构课程。以校园网为背景，按照“攻击、防范、系统、管理”的顺序设计四个学习情境，将网络安全所需的安全理论和安全技术根据情境需要融入到学习项目中，构建“网络安全渗透基础、安全攻防综合实践、系统安全加固”三个学习项目。（2）教学设计课程教学全程安排在计算机综合实训室，按“项目导向，任务驱动”的教学模式，大力开发课程资源，提供丰富的学习资源，将课堂授课与网络教学相结合，促进自主学习，实现学生职业能力的培养和职业素养的养成，最终达到课程教学目标。

四、课程目标（一）能力目标 1. 掌握系统渗透技术，包括辨识各种木马与漏洞；熟练运用网络监听sniffer；熟练运用扫描器+口令探测superscan x-scan SSS 流光；掌握拒绝服务攻击(DDOS)等。 2. 掌握系统加固技术，包括能够审核系统安全性；配置用户访问权限及访问控制；配置账号安全策略及审核策略等组策略；配置注册表安全策略；网络服务（IIS和NETBIOS的安全设置）；配置文件系统安全等。 3. 掌握各种攻防实践，包括Windows缓冲区溢出漏洞利用；数据库漏洞利用；SQL注入攻击；木马植入、木马利用与防护；Linux主动防御及漏洞利用；口令破解；数据库主动防御（MySQL）毒邮件；首页篡改（Apache）。（二）知识目标 1．具有网络安全方面的基本理论和知识； 2．熟悉注入攻击原理及木马植入概念； 3．了解各种木马、漏洞、挂马及网站钓鱼的概念； 4．理解操作系统安全的基本理论； 5．理解用户账户及访问权限的基本概念； 6．掌握账户策略在系统安全中的作用； 7．掌握注册表的功能在系统安全中的作用； 8．理解IE安全设置的基本概念。（三）素质目标 1．培养学生创新意识、创新能力以及自主学习的能力。 2．培养学生发现问题、思考问题、寻找解决问题的能力。 3．培养学生沟通、交流与团队合作能力。 4．培养学生守时、诚信、规范、责任等方面的意识以及严谨的工作作风和工作态度。（四）其他目标五、课程内容及要求

linux系统安全加固方法

1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -

1概述 1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行，运维无关的的用户（1）查看系统中的用户并确定无用的用户（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：

weblogic系统加固规范

WebLogic系统加固规范 https://www.360docs.net/doc/cf11889379.html, 2010年9月

目录 1账号管理、认证授权 (1) 1.1.1SHG-W ebLogic-01-01-01 (1) 1.1.2SHG-W ebLogic-01-01-02 (3) 1.1.3SHG-W ebLogic-01-01-03 (4) 1.1.4SHG-W ebLogic-01-01-04 (6) 2日志配置 (7) 2.1.1SHG-W ebLogic-02-01-01 (7) 2.1.2SHG-W ebLogic-02-01-02 (10) 3通信协议 (15) 3.1.1SHG-W ebLogic-03-01-01 (15) 3.1.2SHG-W ebLogic-03-01-02 (20) 4设备其他安全要求 (22) 4.1安装部署 (22) 4.1.1SHG-W ebLogic-04-01-01 (22) 4.1.2SHG-W ebLogic-04-01-02 (23) 4.1.3SHG-W ebLogic-04-01-03 (25) 4.1.4SHG-W ebLogic-04-01-04 (26) 4.1.5SHG-W ebLogic-04-01-05 (28) 4.1.6SHG-W ebLogic-04-01-06 (30) 4.1.7SHG-W ebLogic-04-01-07 (31) 4.1.8SHG-W ebLogic-04-01-08 (31) 4.2运行维护 (32) 4.2.1SHG-W ebLogic-04-02-01 (32) 4.2.2SHG-W ebLogic-04-02-02 (33) 4.2.3SHG-W ebLogic-04-02-03 (34) 4.3备份容错 (35) 4.3.1SHG-W ebLogic-04-03-01 (35)