linux安全加固文档

linux安全加固文档
linux安全加固文档

Linux 安全加固

注:红色字体暂时没有做操作

1.严格按照用户类型分配账号

2.系统无效帐户清理

检查无用账户More /etc/passwd

备份Cp -p /etc/passwd/etc/passwd_bak

锁定Passwd -1 username

检查是否存在空密码的账户

Logins -p 应无回应

备份

#cp -p /etc/passwd /etc/passwd_bak

cp -p /etc/shadow /etc/shadow_bak

锁定passwd -1 username 或加密passwd username

3.禁止限制超级管理员远程登录

4.对系统账号进行登录限制

Vi /etc/passwd 例如修改

lynn:x:500:500::/home/lynn:/sbin/bash 更改为:

lynn:x:500:500::/home/lynn:/sbin/nologin 该用户就无法登录了。

禁止所有用户登录。

touch /etc/nologin

除root以外的用户不能登录了。

2、补充操作说明

禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等

5.为空口令用户设置密码

pwd username

6.删除除ROOT以外UID为0的账户

检查方法:

#cat /etc/passwd 查看口令文件,口令文件格式如下:

login_name:password:user_ID:group_ID:comment:home_dir:command

login_name:用户名

password:加密后的用户密码

user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。

group_ID:用户组ID

comment:用户全名或其它注释信息

home_dir:用户根目录

command:用户登录后的执行命令

备份方法:

#cp -p /etc/passwd /etc/passwd_bak

加固方法:

使用命令passwd -l <用户名>锁定不必要的超级账户。

使用命令passwd -u <用户名>解锁需要恢复的超级账户。

风险:需要与管理员确认此超级用户的用途。

7.设置系统口令策略

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数

PASS_MIN_DAYS 0 #新建用户的密码最短使用天数

PASS_W ARN_AGE 7 #新建用户的密码到期提前提醒天数

PASS_MIN_LEN 8 #最小密码长度8

8.设置关键目录的权限

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

etc/passwd 必须所有用户都可读,root用户可写–rw-r—r—

/etc/shadow 只有root可读–r--------

/etc/group 必须所有用户都可读,root用户可写–rw-r—r—

使用如下命令设置:

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)

执行命令#chmod -R go-w /etc

9.设置umask地址

检查方法:

#cat /etc/profile 查看umask的值

备份方法:

#cp -p /etc/profile /etc/profile_bak

加固方法:

#vi /etc/profile

默认情况下是022 使用者是002 把022 改成027

umask=027

风险:会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。TMOUT=180

export TMOUT

10.设置目录权限,防止非法访问目录需要重要目录

1、参考配置操作

查看重要文件和目录权限:ls –l 更改权限:

对于重要目录,建议执行如下类似操作: # chmod -R 750 /etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

11.设置关键文件的属性

# chattr +a /var/log/messages

# chattr +i /var/log/messages.*

# chattr +i /etc/shadow

# chattr +i /etc/passwd

# chattr +i /etc/group

12.对root为ls、rm设置别名

查看当前shell:

# echo $SHELL 如果是csh:

# vi ~/.cshrc

如果是bash:

# vi ~/.bashrc 加入

alias ls ls -aol

alias rm rm -i

重新登录之后查看是否生效。

回退方案

通过chmod命令还原目录权限到加固前状态。

13. 限制能够su为root的用户

检查方法:

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目备份方法:#cp -p /etc/pam.d /etc/pam.d_bak

加固方法:

#vi /etc/pam.d/su

在头部添加:

auth required /lib/security/pam_wheel.so group=wheel

这样,只有wheel组的用户可以su到root

#usermod -G10 test 将test用户加入到wheel组

当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效

性。如果是因为PAM验证故障,而引起root也无法登录,只能使用single user或者rescue 模式进行排错。

14.开放tmp目录的权限

chmod +t /tmp

15.启用日志记录功能

vi /etc/syslog.conf

# The authpriv file has restricted access. authpriv.* /var/log/secure

* auth, authpriv:主要认证有关机制,例如 telnet, login, ssh 等需要认证的服务都是使用此一机制

回退方案 vi /etc/syslog.conf ,修改设置到系统加固前状态。

16.记录系统安全事件

1、参考配置操作

修改配置文件vi /etc/syslog.conf,

配置如下类似语句:

*.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件

17.对ssh、su登录日志进行记录

1、参考配置操作 # vi /etc/syslog.conf 加入

# The authpriv file has restricted access. authpriv.* /var/log/secure

重新启动syslogd:

# /etc/rc.d/init.d/syslog restart

18.用记录cron行为日志功能

vi /etc/syslog.conf

# Log cron stuff cron.* /var/log/cron

19.增加ftpd审计功能

vi /etc/inetd.conf加入ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -r -A -S

vi /etc/sysylog.conf中加入ftp.* /var/log/ftpd 重启inetd进程kill -1 'cat/var/run/inetd.pid'

使用ssh加密传输

从https://www.360docs.net/doc/d97635539.html,/下载SSH并安装到系统。

20.设置访问控制列表需要允许访问的主机列表

1、参考配置操作

使用TCP_Wrappers可以使系统安全面对外部入侵。最好的策略就是阻止所有的主机(在“/etc/hosts.deny”文件中加入“ALL:ALL@ALL, PARANOID”),然后再在“/etc/hosts.allow”文件中加入所有允许访问的主机列表。第一步:编辑hosts.deny文件(vi /etc/hosts.deny),加入下面该行:

# Deny access to everyone.

ALL: ALL@ALL, PARANOID

第二步:编辑hosts.allow文件(vi /etc/hosts.allow),加入允许访问的主机列表,比如: ftp: 202.54.15.99 https://www.360docs.net/doc/d97635539.html,

202.54.15.99和 https://www.360docs.net/doc/d97635539.html,是允许访问ftp服务的IP地址和主机名称。

第三步: tcpdchk程序是TCP_Wrapper设置检查程序。它用来检查你的TCP_Wrapper设置,并报告发现的潜在的和真实的问题。设置完后,运行下面这个命令: # tcpdchk

21.更改主机解析地址顺序

vi /etc/host.conf

#Lookup names via DNS first then fall back to /etc/hosts.order bind,hosts

#We have machines with multiple IP addresses.

multi on

#Check for IP address spoofing

nospoof on

22.打开syncookie缓解syn flood攻击

vi /etc/rc.d/rc.local加入

#echo 1 > /proc/sys/net/ipv4/tcp_syncookies

23.不响应ICMP请求

vi /etc/rc.d/rc.local加入

#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

24.提高未连接队列大小

sysctlnet.ipv4.tcp_max_syn_backlog

sysctl -w net.ipv4.tcp_max_syn_backlog="2048"直接运行

25.关闭无效服务

Cat /etc/inetd.conf 查看并记录当前的配置实施步骤

1、参考配置操作

取消所有不需要的服务,编辑“/etc/inetd.conf”文件,通过注释取消所有你不需要的服务(在该服务项目之前加一个“#”)。

第一步:更改“/etc/inetd.conf”权限为600,只允许root来读写该文件。

# chmod 600 /etc/inetd.conf

第二步:确定“/etc/inetd.conf”文件所有者为root。 # chown root /etc/inetd.conf

第三步:编辑 /etc/inetd.conf文件(vi /etc/inetd.conf),

取消不需要的服务,如:ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth 等等。把不需要的服务关闭可以使系统的危险性降低很多。

第四步:给inetd进程发送一个HUP信号: # killall -HUP inetd

第五步:用chattr命令把/ec/inetd.conf文件设为不可修改。

# chattr +i /etc/inetd.conf

/etc/inetd.conf文件中只开放需要的服务。

对于启用的网络服务,使用TCP Wrapper增强访问控制和日志审计功能。

建议使用xinetd代替inetd,前者在访问控制和日志审计方面有较大的增强。

这样可以防止对inetd.conf的任何修改(以外或其他原因)。唯一可以取消这个属性的只有root。如果要修改inetd.conf文件,首先要取消不可修改属性:

# chattr -i /etc/inetd.conf

portmap(如果启动使用nfs等需要rpc的服务,建议关闭portmap服务

cups服务(Common Unix Printing Service,用于打印,建议关闭)

named服务(除非主机是dns服务器,否则关闭named服务) apache(http)服务 xfs (X Font Service)服务 vsftpd lpd linuxconf identd smb

26.关闭无效服务和进程自动启

列举并记录/etc/rc.d/rc[0-9].d脚本目录下的文件 find /etc/rc?.d/ -name "S*"

1、参考配置操作

进入相应目录,将脚本开头大写S改为小写s即可。

如:

# cd /etc/rc.d/rc6.d # mv S45dhcpd s45dhcpd

27.禁止/etc/rc.d/init.d下某些脚本需要具体步骤

# cd /etc/rc.d/init.d

在不需要开机自动运行的脚本第一行写入 exit 0。则开机时该脚本exit 0之后的内容不会执行。

需要更改的服务包括: identd lpd linuxconf netfs portmap routed rstatd rwalld rwhod sendmail ypbind yppasswdd ypserv

具体操作时根据主机的角色请于管理员确认后再实施。

28.加固snmp服务不能执行

chkconfig snmpd off

chkconfig snmptrapd off

/etc/rc.d/init.d/snmpd stop

/etc/rc.d/init.d/snmptrapd stop

如果需要SNMP服务

修改vi /etc/snmp/snmpd.conf文件

A、修改默认的community string com2sec notConfigUser default public 将public修改为你才知道的字符串

B、把下面的#号去掉

#view mib2 included https://www.360docs.net/doc/d97635539.html,.dod.internet.mgmt.mib-2 fc

C、把下面的语句

access notConfigGroup "" any noauth exact systemview none none

改成:

access notConfigGroup "" any noauth exact mib2 none none

3、重启snmpd服务

#/etc/rc.d/init.d/snmpd restart

29.修改ssh端口

cat /etc/ssh/sshd_config

vi /etc/ssh/sshd_config 修改 Port 22

修改成其他端口,迷惑非法试探者

Linux下SSH默认的端口是22,为了安全考虑,现修改SSH的端口为1433,修改方法如下:/usr/sbin/sshd -p 1433

30.安装系统补丁地址:需下载

https://www.360docs.net/doc/d97635539.html,/corp/support/errata/

RPM包:

# rpm -Fvh [文件名]

请慎重对系统打补丁,补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务无法工作正常。

在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马。

31隐藏系统提示信息

编辑"vi /etc/rc.d/rc.local"全部注释删除"/etc"目录下的"https://www.360docs.net/doc/d97635539.html,"和"issue"文件rm-f /etc/issue rm-f/etc/https://www.360docs.net/doc/d97635539.html,

32. 修改帐户TMOUT值,设置自动注销时间

检查方法:

#cat /etc/profile 查看有无TMOUT的设置

备份方法:

#cp -p /etc/profile /etc/profile_bak

加固方法:

#vi /etc/profile

最后一行增加

TMOUT=180

export TMOUT

无操作180秒后自动退出

风险:无可见风险

33. Grub/Lilo密码

检查方法:

#cat /etc/grub.conf|grep password 查看grub是否设置密码

#cat /etc/lilo.conf|grep password 查看lilo是否设置密码

备份方法:

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法:为grub或lilo设置密码

风险:etc/grub.conf通常会链接到/boot/grub/grub.conf

34.去除不必要的SUID/SGID权限需要具体步骤

给文件加SUID和SUID的命令如下:

chmod u+s filename 设置SUID位

chmod u-s filename 去掉SUID设置

chmod g+s filename 设置SGID位

chmod g-s filename 去掉SGID设置

补充说明

suid是4000,sgid是2000,sticky是1000 比如rwsr-xr-x就是4755

SUID 是 Set User ID, SGID 是 Set Group ID的意思。 SUID的程序在运行时,将有效用户ID 改变为该程序的所有者ID,使得进程在很大程度上拥有了该程序的所有者的特权。如果被设置为SUID root,那么这个进程将拥有超级用户的特权(当然,一些较新版本的UNIX系统加强了这一方面的安全检测,一定程度上降低了安全隐患)。当进程结束时,又恢复为原来的状态。

35.检查/dev下的非设备文件

find /dev -type f -exec ls -l {} \; 记录可以文件

36.检查非/dev下的设备文件

find / -type b -print | grep -v '^/dev/'

37.查找没有属主的文件

find / -nouser -o -nogroup -print

38.查找所有人可写的文件

find / -perm -2 ! -type l –ls

39.查找rhosts文件

find / -name .rhosts -print

补充说明

远程登录(rlogin)是一个 UNIX 命令,它允许授权用户进

入网络中的其它 UNIX 机器并且就像用户在现场操作一样。一旦进入主机,用户可以操作主机允许的任何事情,比如:读文件、编辑文件或删除文件等。

rlogin设计的初衷是方便同名的用户从一台机器直接登录到另一台机器.

比如机器A上有用户test1,机器B上该用户也有一个同名账号test1, 如果机器B上设置好.rhosts的话就test1就可以从机器A上直接登录机器B.

通常在配HA的时候,会将+放进/.rhosts,因为这样做同步的时候就会比较方便,但记得在配置完的时候,把这个+去掉

40.文件系统-检查异常隐含文件

rm [filename] 补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件(点号

是起始字符的,用“ls”命令看不到的文件)。在UNIX下,一个常用的技术就是用一些特殊的名,如:“…”、“.. ”(点点空格)或“..^G”(点点control-G),来隐含文件或目录。

41.查找netrc文件

find / -name .netrc -print 4、补充说明

有些命令通过检查 $HOME/.netrc 文件(包含远程主机上使用的用户名和密码)来提供自动登录的功能。

如果没有远程主机的 $HOME/.netrc 文件中的有效项,将提示输入登录标识和密码。

Linux 系统主机安全加固

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月

一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak

LINUX安全加固手册

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

linux系统安全加固规范

Linux主机操作系统加固规范

目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)

Linu系统主机安全加固

L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak

Linu系统安全加固手册

密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇二〇年八月

目录 1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH网站上发布的升级软件对照,检查其中的变化。

通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。 2.2、口令策略的设置 RedHat Linux总体口令策略的设定分两处进行,第一部分是在/etc/文件中定义,其中有四项相关内容: PASS_MAX_DAYS 密码最长时效(天) PASS_MIN_DAYS 密码最短时效(天) PASS_MIN_LEN 最短密码长度 PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户 编辑/etc/文件,设定:

WindowsXP安全加固方案

WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -

信息系统安全加固描述

一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:

1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:

linux系统安全加固方案

1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次,锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -

安全加固手册

安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部

(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告

安全手册内部

安全手册 XXX科技发展有限公司 编制:审核批准日期 公司的安全愿景 成为零工伤工厂 公司的安全承诺 确保使员工能以在安全的环境下以安全的方式进行工作。 公司的安全政策 ·所有公司员工和来访者的安全都必须受到保护; ·没有比使员工避免受到伤害更重要的事情; ·预防工伤/职业病事故的发生是非常重要的道德和法律责任; 1.安全总则 1.1安全第一,预防为主; 1.2遵守安全的法律法规; 1.3在安全上不要有侥幸心理。 2.安全职责 1.1管理层安全职责 ·安全教育和培训; ·给员工提供充分的、符合要求的劳保用品; ·不断加强安全管理。 2.2员工安全职责 ·遵守所有安全规章制度; ·按规定穿戴劳保用品,并妥善保管,使其处于良好状况; ·采用安全的工作方式,预防事故发生。 3.安全培训 3.1企业必须开展安全教育,普及安全知识,倡导安全文化。 3.2安全培训由公司行政人力资源部和工艺部负责组织。 3.3生产岗位员工的安全培训: A.新入职员工上岗前必须进行公司级、部门级、车间班组级三级安全教育, 并经考核合格后方可上岗;

B.公司级安全教育应包括劳动安全文化的基本知识,公司劳动安全卫生规 章制度及状况、劳动纪律和有关事故案例等项内容; C.部门级安全教育应包括本部门劳动安全卫生状况和规章制度,主要危险 危害因素及安全事项,预防工伤事故和职业病的主要措施,典型事故案 例及事故应急处理措施等项内容; D.车间班组级安全教育应包括遵章守纪,岗位安全操作规程,岗位间工作 衔接配合的安全卫生事项,典型事故案例,劳动防护用品(用具)的性 能及正确使用方法等项内容; E.从事特种作业的人员必须经过专门的安全知识与安全操作技能培训,并 以过考核,取得特种作业资格方可上岗工作。 3.4管理人员的安全培训: ·主管以上人员 A.必须进行安全培训经考核合格后方可上岗; B.培训内容应包括国家有关劳动安全卫生的方钍、政策、法律、法规及有 关规章制度,工伤保险法律、法规,安全生产管理职责、企业劳动安全 卫生管理知识及安全文化,有关事故案例及事故应急处理措施等内容。 ·工程技术及其他人员 A.培训时间不得少于十二学时; B.培训内容应包括劳动安全卫生法律、法规及本部门、本岗位安全卫生职 责,安全技术、劳动卫生和安全文化的知识,有关事故案例及事故应急 处理措施等项内容。 4.办公室安全 4.1保持行走区域和工作区域畅通无阻,及时排除或示示出绊倒隐患; 4.2保持工作区域清洁、光线充足、无水; 4.3办公室要求整理、整顿、清扫、清洁并养成习惯; 4.4严禁私拉乱按各种电线,未经许可,不得进行电器维修; 4.5操作任何机器前,要确保你已接受过适当的培训和指导; 4.6不要对任何处于开启状态的机器进行清洗工作; 4.7不在办公室使用电炉,快速热水器,加热器等。 5.吸烟规定 5.1公司内除了在规定的吸烟点外,一律禁止吸烟;特别禁止吸游烟 5.2吸烟点的设置:各部门根据实际需求提出申请,经审核批准后设置。 6.劳保用品 6.1遵守劳保用品相关的法律法规。

Linux系统主机安全加固

L i n u x系统主机安全加 固 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进 行修改: /etc/profile/etc/profile .bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo

usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak

信息安全加固手册-SQL-Server

数据库安全加固手册 SQL Server

目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)

SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:

linux系统安全加固技术方案

1概述- 1 - 1.1适用范围- 1 - 2用户账户安全加固- 1 - 2.1修改用户密码策略- 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 - 3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 - 3.3设置当用户连续登录失败三次,锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 - 4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -

1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略 (1)修改前备份配置文件:/etc/login.defs (2)修改编辑配置文件:vi /etc/login.defs,修改如下配置: (3)回退操作 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:

或删除不使用的账户: (3)回退操作 用户锁定后当使用时可解除锁定,解除锁定命令为: 2.3锁定或删除系统中不使用的组 (1)操作前备份组配置文件/etc/group (2)查看系统中的组并确定不使用的组 (3)删除或锁定不使用的组 锁定不使用的组: 修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可删除不使用的组: (4)回退操作 2.4限制密码的最小长度

linux系统安全加固方法

1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -

1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:

ORACLE 安全加固手册

ORACLE 安全加固手册 安装ORACLE NET8 配置DB SCANNER 1.安装DB SCANNER软件 2.配置DB SCANNER (1)在DB SCANNER菜单scanner->configure connection->oracle中选 择Add Server,出现如图信息: Server Name:连接符 Protocol:选择TCP/IP Sockets SID:ORACLE数据库SID Hostname or IP address:为ORACLE数据库IP地址 Port Oracle listens on:默认为1521 (2)选择scan database->network neighborhood->oracle中

oracle.world连接符 (3)点击Add Database 填写DBA 帐户和密码,选择所制订的策略,Host Account与Host Password为空 ORACLE版本信息 检查当前所有已安装的数据库产品的版本信息 Oracle8 至 8.0: cd $ORACLE_HOME/orainst ./inspdver Oracle 8i 或更高: cd $ORACLE_HOME/install cat unix.rgs 8:version number 1:maintenance release number 5:patch release number 1:port-specific patch release number 补丁 1.数据库补丁安装

1)由上步操作获取数据库补丁安装情况 2)补丁下载 ORACLE最新补丁下载地址是:ftp://https://www.360docs.net/doc/d97635539.html, 3)补丁安装 停止所有与数据库相关的服务 数据库备份 解压补丁文件 插入数据库安装盘,或执行./runInstaller,进入交互式状态在Source栏选择解压后的补丁文件products.jar。 详细操作请参照其中的readme文件 数据库运行状态 检查数据库当前运行状态 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba 4.sql>archive log list; -----显示结果 sql> archive log list 数据库记录模式无档案模式 自动存档已禁用 存档路径 D:\Oracle\Ora81\RDBMS 最旧的联机日志顺序 852 当前记录顺序 854 默认用户状态及口令更改情况 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba;

Linux加固方案

Linux加固方案 1加固目标 1.用户账号 2.权限分配 3.系统配置 1.1用户账号加固 1.1.1锁定系统中多余的自建帐号 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。 使用cat /etc/passwd cat /etc/shadow查看 加固: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 1.1.2设置口令策略 使用cat /etc/login.defs|grep PASS查看当前密码策略设置 口令应该具有一定复杂度,定期更换口令,输入错误一定数量后锁定 加固: #vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 #vi /etc/pam.d/system-auth修改配置文件 auth required pam_env.so

auth required pam_tally2.so deny=3 unlock_time=300 连续输入错误3次,账户锁定5分钟。 1.1.3禁用root之外的超级用户 #cat /etc/passwd 查看口令文件,口令文件格式如下: login_name:password:user_ID:group_ID:comment:home_dir:command login_name:用户名 password:加密后的用户密码 user_ID:用户ID,(1 ~6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID:用户组ID comment:用户全名或其它注释信息 home_dir:用户根目录 command:用户登录后的执行命令 加固: 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁需要恢复的账号。 1.1.4限制能够su为root的用户 检查方法: #cat /etc/pam.d/su,查看是否有auth required/lib/security/pam_wheel.so这样的配置条目 加固: #vi /etc/pam.d/su 在头部添加: auth required /lib/security/pam_wheel.so group=wheel 这样,只有wheel组的用户可以su到root #usermod -G10 test 将test用户加入到wheel组

os-安全加固手册-solaris-v1.0

1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账 号共享。 结果:现网已实现 2、应删除或锁定与设备运行、维护等工作无关的账号。 结果:现网已实现 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户 远程登录后,再切换到管理员权限账号后执行相应操作。 结果:可以实现 编号:安全要求-设备-SOLARIS-配置-3 4、对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 结果:现网已实现,可以按照下面配置修改策略 编号:安全要求-设备-通用-配置-4

5、对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 结果:可以实现,应用账号不建议实现,将会影响应用系统; 编号:安全要求-设备-通用-配置-5 6、对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5 次)内已使用的口令。 结果:可以实现,不建议实现,应用账号无法单独设置,将会影响应用系统; 编号:安全要求-设备-通用-配置-6-可选

7、对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6 次),锁定该用户使用的账号。 结果:可以实现,不建议实现。应用账号无法单独设置,账号锁定将会影响应用系统,root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。 编号:安全要求-设备-通用-配置-7-可选

8、在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 结果:现网已实现 9、设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录 是否成功,登录时间,以及远程登录时,用户使用的IP地址。 结果:现网已实现 10、设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、 删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 结果:可以实现,但是磁盘空间不足,不建议实现 编号:安全要求-设备-SOLARIS-配置-15-可选 11、设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 结果:可以实现。但需要一台专用日志服务器(要求大容量磁盘空间) 编号:安全要求-设备-通用-配置-14-可选

linux服务器安全加固

目录 1.概述 (2) 1.1信息系统建设的规划模型 (2) 1.2服务器操作系统及数据安全的重要性 (3) 1.3面临的安全风险 (3) 1.4安全的服务器需求 (6) 2.linux系统服务器模块功能 (7) 2.1内核级文件强制访问控制模块 (7) 2.2内核级进程强制保护模块 (7) 2.3内核级网络强制访问模块 (8) 3启动和登录安全性 (9) 3.1 BIOS安全 (9) 3.2用户口令 (9) 3.3默认账号 (9) 3.4口令文件 (9) 3.5禁止Ctrl+Alt+Delete重新启动机器命令 (9) 3.6限制su命令 (10) 3.7减登录信息 (10)

1.概述 1.1信息系统建设的规划模型 信息建设框架图 如上图所示:根据建设对象和实现目标不同,客户的信息化建设架构应该分为四个部分,分别是IT基础设施建设和管理,安全系统建设和管理、安全网管平台建设和管理、应用系统建设和管理。建设的顺序也是自下而上依次或者同步进行。 但是在实际的建设工程中,集成商往往引导客户重视两头的建设——既基础设施建设和应用系统的建设——却对中间过程的安全系统建设及安全网络管理平台建设比较忽视(信息建设框架图中红色的模块部分)。即使在建设中涉及了部分内容,也只是网络安全的边界防护、PC终端的防病毒建设等等,对于数据库的数据安全以及服务器的自身安全管理并不是太重视。更不要说建设集中的安全的网络安全管理中心了。当基础设施结构越来越庞大、应用系统越来越复杂,业务和基础设施之间的脱节感就会越来越强,越来越多的问题也会被提出来,例如: ●什么是影响业务的主要瓶颈? ●业务带来的安全问题如何去解决? ●需要增加网络带宽吗?

相关文档
最新文档