HPUX系统安全加固手册
HPUX 系统安全加固手册
n1164_30
2012-06-21
1帐户安全配置要求
1.1创建/e t c/s h a d o w影子口令文件
1.2建立多帐户组,将用
户账号分配到相应的帐户组
1.3删除或锁定可能无用的帐户
1.4删除可能无用的用户组
1.5检查是否存在空密码的帐户
1.6设置口令策略满足复杂度要求
1.7设置帐户口令生存周期
1.8设定密码历史,不能重复使用最近5次(含5次)内已
使用的口令
1.9限制r o o t用户远程登录
严重改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通风险说明
用户并能够通过su 提升权限,可能带来新的威胁
1.10检查p a s s w d、g r o u p文件权限设置
/.r h o s t s/.s h o s t s文件
1.11删除帐户目录下的.n e t r c
1.12系统u m a s k设置
2访问、认证安全配置要求2.1远程登录取消t e l n e t采用s s h
2.2限制系统帐户F T P登录
2.3配置允许访问i n e t d服务的I P范围或主机名
2.4禁止除r o o t外帐户使用a t/c r o n
2.5设定连续认证失败次数超过6次(不含6次)锁定该账
号
3文件系统安全配置要求3.1重要目录和文件的权限设置
3.2
检查没有所有者的文件或目录
风险说明执行检查会大量消耗系统资源,需要确认无所有者的文件的具体用途4网络服务安全配置要求
4.1禁止N I S/N I S+服务以守护方式运行
4.2禁用打印服务以守护方式运行
4.3禁用S E N D M A I L服务以守护方式运行
4.4禁用不必要的标准启动服务
查看该文件中是否存在PTYDAEMON_START=0
检查响应VT(通过LAN 登录其他系统)请求守护进程,执行:
#more /etc/rc.config.d/vt
查看该文件中是否存在VTDAEMON_START=0
检查域名守护进程服务,执行:
#more /etc/rc.config.d/namesvrs 查看该
文件中是否存在NAMED=0 检查
SNMP 代理进程服务,执行:
#more /etc/rc.config.d/peer.snmpd 查看该文件中是
否存在PEER_SNMPD_START=0 检查授权管理
守护进程服务,执行:
#more /etc/rc.config.d/i4lmd 查看该文件中
是否存在START_I4LMD=0 检查
SNAplus2 服务,执行:
#more /etc/rc.config.d/snaplus2
查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0
检查X 字体服务,执行:
#more /etc/rc.config.d/xfs
查看该文件中是否存在RUN_X_FONT_SERVER=0
检查语音服务,执行:
#more /etc/rc.config.d/audio
查看该文件中是否存在AUDIO_SERVER=0
检查SLSD(Single-Logical-Screen-Daemon)服务,执行:
#more /etc/rc.config.d/slsd 查看该文件中是
否存在SLSD_DAEMON=0 检查SAMBA
服务,执行:
#more /etc/rc.config.d/samba
查看该文件中是否存在RUN_SAMBA=0
4.5禁用不必要的i n e t d服务
5I P协议安全配置要求5.1关闭I P转发
系统管理员使用手册
目录 一、启动MIM程序 1.1启动MIM程序 双击桌面上的MIM图标,进入登录界面。 1.2 系统管理员登录界面 输入工号、密码、选择站点,点击登录按钮。 默认账号:0000,密码88588 1.3 系统管理员主界面 进入系统管理面使用的主程序画面。 二、部门人员模块设置权限 2.1 部门人员界面 点击【部门人员】按钮进入部门人员界面 2.2界面说明 区域说明 A 科室、部门一览医院所有科室、部门都在改区域表示 B 查询条件这里可以根据信息查询人员信息 C 人员一览显示医院所有人员信息 D 功能键使用站点、部门、人员新增、修改、删除功能的使用 2.3 机能说明 2.3.1站点新增、修改、删除 需要新增站点时,点击【新增】按钮或快捷键F1 弹出画面中小窗口,点击【确定】或快捷键F8 进入新增界面,编辑站点名称、地址(不是必填),患者登陆时的默认地址设定 点击【确定】或快捷键F8,站点新建成功 说明:站点只能停用,无法删除,如该站点不再使用时,点击【修改】或快捷键F2进入修改画面,将【停用标识】打上勾,即可停用,停用后站点颜色标记为灰色 2.3.2科室新增、修改、删除 需要新增科室时,点击【新增】按钮或快捷键F1 弹出画面中小窗口,选择科室所属站点,点击【确定】或快捷键F8 进入新增界面,编辑科室编号、名称,编码设定,选择科室的属性,如是门诊科室,可以挂号到该科室看诊,需勾上【诊疗科室】 点击【确定】或F8保存科室信息 如需修改科室信息,点击【修改】按钮或快捷键F2 如需删除科室信息,点击【删除】按钮或快捷键F4 说明:如科室中有人员,该科室无法删除,只能停用
2.3.3库房新增、修改、删除 需要新增库房时,点击【新增】按钮或快捷键F1 弹出画面中小窗口,选择库房所属站点,点击【确定】或快捷键F8 进入新增界面,编辑库房名称,选择库房属性 选择完成后,点击【确定】或快捷键F8保存库房信息 说明:新增药库时,只需填写药库名称,选择性质为药库;新增门诊药房时,需要选择性质为【药房】,区分为【门诊药房】,如是西药房需要选择适用処方为【西药処方】,适用科室选择【全部】或勾选特定的科室 如需修改库房信息,点击【修改】按钮或快捷键F2 如需删除库房信息,点击【删除】按钮或快捷键F4 说明:如科室中有人员,该科室无法删除,只能停用 2.3.4人员新增、修改、删除 需要新增人员时点击【人员新增】或快捷键F5,进入人员新增界面 编辑人员工号、姓名等基本信息 如是门诊医生,需将【诊疗医师】勾选上,选择医生对应的职称 右侧【可登录】勾选上,该人员才能够登录系统 如需修改人员信息,点击【人员修改】按钮或快捷键F6 如需删除人员信息,点击【人员删除】按钮或快捷键F8 如需导出人员可点击【导出】或快捷键F11,可将人员信息导出到EXCEL 2.3.5科室、库房、人员权限分配 (1)科室权限 如果在科室新增时,未分配任何权限,则需要点击【修改】,进入修改界面,为科室分配具体的权限。 如内科1,该科室需要具有医生的权限,则需要选择内科1点击【修改】或F2,进入修改界面,点击“权限角色”右侧的【设定】按钮,进入权限角色选择画面 说明:如果是选择医生权限,则鼠标双击左侧权限角色中的【医生】或点击图标选择权限。如需删除该 权限,则鼠标双击右侧权限角色中的【医生】或点击图标 点击【确定】或快捷键F8保存信息 (2)人员权限 如果内科1中需要加入人员,则点击“科室人员”右侧的按钮,进入人员选择界面 在文本框中输入需要选择的人员姓名或工号信息,能够快速检索到该人员,鼠标双击或选择图标,即可选中该人员;如需删除该科室中的人员权限,则双击已选择的人员或点击图标。 说明:科室人员可以多选,即选择1个人员后,接着选择该科室中的其他人员。选择完成后,点击【确定】或快捷键F8保存所选择的人员信息 科室人员选择可以是该医院下所有站点中的人员,即人员可以登陆多个站点 人员选择和科室权限角色选择完成后,点击【确定】或F8保存 (3)库房人员权限
Linux 系统主机安全加固
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
LINUX安全加固手册
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
系统管理员操作手册
单位会计核算系统系统管理员操作手册
说明:系统管理员操作部分为系统管理菜单,包括组织机构、权限设置、基础数据、系统设置、日志管理、账套备份、电子附件几个菜单,其中组织机构、权限设置、基础数据、系统设置为日常经常用到的几个菜单,需理解并能正确操作,才能帮助用户解决进行日常业务之前的基础信息维护问题。其中: 组织机构:部门或单位基本信息,需要根据各地区实际情况进行维护。权限设置:用户、角色等权限设置,为用户授权对应的账套后,用户才能在所授权账套进行业务工作,并且只能在此账套进行业务工作。 基础数据:包括基础信息、会计科目等基础数据,基础信息为组织级基础信息,基础信息的变动将对此地区平台所对应的基础信息产生影响。系统设置:系统中、模参数设置版下发、系统注册、旧系统数据导入为日常经常用到的菜单,参数设置中修改参数将对用户业务操作产生影响,模版下发允许管理员对各账套报表模版等进行下发。 日志管理:用户日常业务中的操作查询。 账套备份:对账套进行备份与恢复。 注意:系统管理部分为系统管理员操作部分,其她人或者不理解的情况下不允许对系统管理菜单进行操作,系统管理部分信息的变动将直接影响用户基础业务操作。
第一部分系统管理平台操作 登录进入系统主界面,如图1-1所示: 图1-1 系统主界面 1组织机构 1、1组织机构维护 登录系统,选择【组织机构】|【组织机构维护】菜单,进入组织机构维护界面,如下图1-2所示: 图1-2组织机构维护 1、1、1增加组织机构 在组织机构维护主界面(图1-2),点击【增加】|【增加下级】按钮,进入增加组织机构界面,如图1-3所示:
linux系统安全加固规范
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
服务器安全加固操作指南
网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)
系统管理员与初始化操作手册
系统管理员与初始化操作手册 作为销遥行TM BS软件的系统管理员,在软件安装完成之后,需要做软件的初始化设置与销售流程管理的基本工作。销遥行TM BS系统支持多用户同时在线使用,故作为软件的管理员,首先需要建立公司的组织结构、划分职位权限、建立员工信息、并分别给员工建立帐号信息并指定帐号权限等基本工作。此外,销遥行TM系 统提供了“数据字典”“系统参数设置”等模块,方便用户建立统一的操作规范,从而帮助企业建立起统一的 销售管理流程。 初始化操作流程图如下:
这两部分操作均集中在帐号管理和系统设置这两个模块当中。作为销售管理软件的系统管理员,在实际设置当中,除了进行系统的数据的维护和帐号的管理工作外,还需要了解企业对销售过程的管理方式,从而使管理软件成为一个方便企业销售管理的工具。 管理员在实际操作设置过程当中,按照以上流程图中各功能模块的关系,利用软件建立起企业相应的机构机制,从而实现相关的执行与业务逻辑关系。 帐号管理:在这个功能模块当中设立了企业的组织结构、职位权限、员工和帐号四 个子模块。这些模块的操作之间是相互依存的关系。管理员只有在先定义好公司组 织结构的基础上才能做职位权限的调整、员工信息的编辑等操作。销遥行TM BS系 统本身设立了两种浏览关系:第一、组织结构从上到下的浏览关系;第二、职位权 限从高到低的浏览关系。因此在帐号管理中设立了合适的帐号后,企业的每个员工 就有了工作的目标。总经理就可以达到整体管理的效果。 系统设置:在这个功能模块当中设立了数据字典、自定义字段、参数设置、销售漏 斗和仓库安全设置。在这个模块中,可以对软件中出现的众多字段作新增、编辑和 修改。可以定义销售过程管理中涉及到的漏斗设置。可以对进销存的仓库做安全的 设置等。设置好的信息将在相对应的模块中得到实际运用。
Linu系统主机安全加固
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
服务器安全加固
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
系统管理员操作手册讲述
八师石河子市 电子商务公共服务平台 系统管理员操作手册 新疆维吾尔自治区电信有限公司系统集成分公司北京英迪华科技有限公司
文档基本信息:
目录 1.系统管理员操作方法 (4) 1.1.添加 (4) 1.2.删除 (5) 1.3.锁定 (9) 1.4.平台超级用户及口令 (10)
1.系统管理员操作方法 1.1. 添加 您可以授与网站的使用允许和管理权利给网站会员{帐户}。会员使用等级和权限是一项非常重要的安全功能。因为您可以以它来规划和限制会员的网站使用和管理权。管理权委托网站管理权利给会员例如编辑活动网页或使用会员名录。网页使用允许是一项规则以{设定}会员可以使用哪一个网页和怎样使用。 ●The existing member roles for the web site are displayed in Roles selection box. ●The existing permissions for all roles are displayed in Permissions selection box. 分配使用权限给使用等级步骤: ?从使用等级选单中选择一个会员使用等级。 ?在使用权限选单中,按住 CTRL 键不动并且使用鼠标的左键点选新增的使用权限。您可以选择多项的使用权限。注:如果发生错误,点选 重设,可使这些使用权限恢复至预设设定。 ?当已被点选的使用权限呈现{选择}状态,按储存可储存使用权限。
从使用等级中移除使用权限步骤: ?从使用等级选单中选择一个会员使用等级。 ?在使用权限选单中,已被点选的使用权限呈现{选择}状态。 ?在使用权限选单中,按住 CTRL 键不动并且使用鼠标的左键点选{选择}的使用权限。您可以移除多项的使用权限。注:如果发生错误, 点选重设,可使这些使用权限恢复至预设设定。 ?按储存可储存使用权限。 1.2. 删除 会员资料库提供界面让您可以管理会员资料。您可以储存会员基本资料,联络资料,和会员资讯在会员资料库里。您并可以排序、搜寻、排列和显示会员资料,产生会员资料报告,建立会员电邮清单及广播讯息。会员资料库包含会员基本资料、联络资料、详细资料、会员资讯及内部资料。 ●当搜寻会员时,您可以使用含搜寻过滤及关键字功能的会员搜索引擎。 ●点选基本资料标签显示会员个人基本资料。
Windows服务器安全加固
服务器安全加固(以Windows Server 2008为示例,Windows server 2003和Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。(请截图) 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原的加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟
2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。 2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
AIX安全加固操作手册
AIX安全加固操作手册 作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下: 一、系统推荐补丁升级加固 1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁) 检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2.如果未安装补丁,使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行:mount /cdrom 2)执行:smitty update_all (选择/dev/cd0为安装介质) 注意选择安装选项中: COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件,关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务: portmap syslog inetd sendmail snmpd 如关闭dpid2,则只要注销以下行:(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用: stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务,不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server
××系统管理员日常维护操作手册
系统管理员日常维护操作手册 一、信息部工作日志 年月日星期
一、服务器日常开关机器规定 (一)、开机步骤 1、先开启ups电源,待UPS电源运转正常,加电稳定; 2、开启服务器电源,系统将自动启动UNIX操作系统,密切注意操作 系统启动过程中的系统提示信息,如果有异常的提示必须作好数据库操作启动的日志记录。 3、待服务器操作系统正常启动后,再以sybase用户身份登陆到sybase, 启动sybase数据库,在sybase数据库启动过程中如果有异常的提示,同样要记录启动过程中的日志。 4、服务器的任何异常提示,个人不得以任何形式任意进行服务器的 非授权处理; 5、如果要进行数据库大小的扩充操作则必须以数据库扩充标准及步 骤进行,并记录数据库扩充的系统提示信息,如果有异常情况则必须告诉公司系统集成部。 6、一般服务器至少20天左右要进行一次系统的关机动作。对于专用 服务器则不需要进行此操作。 (二)、系统运行过程中的数据库维护操作 7、一般数据库至少30天要进行一次数据库的dbcc检查。
8、数据库系统每一个月结帐后必须做月末的整理索引操作。 9、每天必须做好数据库的日常备份工作,同时必须进行数据库至少 存放在服务器的2个地方,或者备份到磁带机上,同时保存好备份数据。 (三)、服务器的关机操作步骤 10、先备份数据库数据到备份设备上; 11、关sybase数据库; 12、关UNIX操作系统; 13、关服务器电源; 14、关UPS电源; 二、服务器操作系统启动关闭及备份操作步骤 (一)、服务器数据库系统的启动和日常维护: 1.开机 <按电源开关后,等待了现SCO界面,接着按下Ctrl+Alt+F1>进入unix 系统 Login:Sybase< 回车 > Password:asdf<密码,如有错继续回车,正确时出现> $ <表示启动成功,pwd查看正确路径应为 /u/sybase> $ Run <启动成功> $ isql -Usa < > Password:<无密码,回车> Sybase>
信息系统安全加固描述
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
安全加固手册
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
WindowsXP安全加固方案
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
系统管理员日常维护操作手册
系统管理员日常维护操作手册一、日常维护
一、服务器日常开关机器规定 (一)、开机步骤 1、开启服务器电源,系统将自动启动server2008操作系统,注意操作系统 启动过程中的系统提示信息,如果有异常的提示必须作好数据库操作启动的日志记录,并联系硬件维护人员。 2、待服务器操作系统正常启动后,使用administrator身份登陆到服务器, 启动自动过费程序。 3、服务器的任何异常提示,请及时联系硬件公司检查,个人及其他非专业人 员勿进行操作,以免造成数据丢失; 4、一般服务器至少20天左右要进行一次系统的关机动作。对于专用服务器 则不需要进行此操作。 (二)、系统运行过程中的数据库维护操作 5、每天必须做好数据库的日常备份工作,同时必须进行数据库至少存放在服 务器的2个地方,或者备份到U盘或其他电脑上,同时保存好备份数据。 6、拷贝数据库备份文件的U盘或其他存储工具,必须先在其他电脑杀毒后,在 到服务器使用,禁止其他未杀毒U盘在服务器使用,避免服务器中毒! (三)、服务器的关机操作步骤
7、点击开始菜单中关机按钮,进行正常关机,关机前先关闭应用程序,禁止 强制关机! 二、数据库备份原则说明 1、以上操作的意义为: 每天在服务器上执行数据备份以保证数据的安全性。防止硬件故障等突发原因引起的系统崩溃。 系统安全稳定性依赖于规范的操作。非正常操作(如:未正常关机,直接关电。强制关机)都会给系统带来损害。 2、建议备份方案: 每月盘点后:数据库备份并且将备份保存一年。 3、注意事项: 在使用过程中如果发生断电或硬件故障等意外情况而造成前后台死机,应先尝试开启服务器,如服务器不能开机,需及时联系硬件公司与蓝崎公司售后人员,大面积的死机可能由服务器故障引起,也可能由于网络(网线、HUB)等故障引起,出现问题时要注意区分,以便迅速有效的解决问题。
医疗质量管理系统管理员操作手册(优选.)
医疗质量管理系统管理员操作手册 青岛易科德软件有限公司 2014年 7 月
一、登录系统 登录:打开IE浏览器,在地址栏输入登录地址(请到质控系统管理部门咨询): 用户名:一般为科室的首拼缩写;例如(质控科):zkk 密码:初始密码为123,登录后请先修改密码,再进行操作。 登录首页中可根据用户实际工作习惯选择记住用户名或者密码,方便用户登录。注:因医院不同,登陆时用户名和密码类型也会有所区别,准确的用户名和密码请到所在医院质控管理部门进行确认。 二、医疗质量管理系统 角色说明 管理员用户权限:设置基础管理中考评数据,并可在设置完成后发起考评。1、基础管理 管理员登陆系统,在【基础管理】菜单中对临床指标管理、职能指标管理、临床加权分管理、职能加权分管理、满意度参数管理、临床满意度分值管理、职能满
意度分值管理、考核组管理、版本管理、统计时间管理、考评权限管理、考评时间管理、重点科室管理等内容中参数进行设置,具体操作如下: 1.1临床指标管理 【临床指标管理】中内容是为临床考评设定的一些考核标准,临床考评为职能科室考评临床科室。 点击【临床指标管理】,进入如下页面: 页面按钮功能如下: “新增”:新增临床指标,填写年度、版本、创建人、创建时间。
“保存”:对新增临床指标进行保存; “返回”:返回到临床指标管理首页; “删除”:删除选中临床指标信息; “复制到新年度”:把勾选临床指标内容复制,复制的指标会在新的年度进行使用;
复制到新年度后出现下图所示内容,临床指标内容已复制,用于新年度使用。 “查询”:按“状态”查询。 操作中“查看指标明细”按钮:点击查看指标明细出现如下页面:
Linux系统安全加固手册
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.360docs.net/doc/f611938209.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。