Linux项目加固清单.doc

红科网安（北京）科技有限公司 Linux主机加固清单一、加固主机列表本次安全加固服务的对象包括：编号IP地址操作系统用途或服务服务器填写规则：编号统一使用“型号_地址缩写_数字”型号（H主机；D设备），数字使用三位数字顺序号。二、加固方案2.1 H-YT-001基本信息设备所在地正式域名/主机名外部IP地址内部IP地址网关域名服务器操作系统版本号硬件信息中央处理器内存外部存储设备应用服务信息名称应用服务及版本情况其他信息安全补丁情况其他情况2.1.1操作系统加固方案补丁安装编号：Linux-01002 Linux-01005 Linux-02001名称：补丁安装系统当前状态：实施方案：补丁地址：/security/updates/RPM包：# rpm -Fvh 文件名实施目的：可以使系统版本为最新并解决安全问题实施风险：请慎重对系统打补丁，补丁安装应当先在测试机上完成。补丁安装可能导致系统或摹写服务无法工作正常。在下载补丁包时，一定要对签名进行核实，防止执行特洛伊木马。是否实施：（客户填写）帐号、口令策略修改编号：Linux-03001 Linux-03002 Linux-03003Linux-03004 Linux-03005名称：去除不需要的帐号、修改默认帐号的shell变量系统当前状态：实施方案：# userdel lp# groupdel lp如果下面这些系统默认帐号不需要的话，建议删除。lp, sync, shutdown, halt, news, uucp, operator,games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改username的shell为/dev/null。实施目的：删除系统不需要的默认帐号、更改危险帐号缺省的shell变量实施风险：首先应当明确系统的角色，避免误删除默认帐号。是否实施：（客户填写）编号：Linux-03008名称：使root PATH环境变量中不包含当前目录“.”系统当前状态：实施方案：如果root PATH环境变量中包含当前目录“.”# vi /etc/profile去除“:.”部分实施目的：防止root执行恶意特洛伊木马，减少安全隐患。实施风险：无是否实施：（客户填写）编号：Linux-03008名称：对root为ls、rm设置别名系统当前状态：未为ls、rm设置别名实施方案：查看当前shell：# echo $SHELL如果是csh：# vi /.cshrc如果是bash：# vi /.bashrc加入alias ls ls -aolalias rm rm -i重新登录之后查看是否生效。实施目的：为ls设置别名使得root可以清楚的查看文件的属性（包括不可更改等特殊属性）。为rm设置别名使得root在删除文件时进行确认，避免误操作。实施风险：无是否实施：（客户填写）编号：Linux-03006名称：缺省密码长度限制系统当前状态：实施方案：# vi /etc/login.defs把下面这行PASS_MIN_LEN 5 改为PASS_MIN_LEN 8实施目的：防止系统弱口令的存在，减少安全隐患。实施风险：无是否实施：（客户填写）编号：Linux-03007名称：超时自动注销登录系统当前状态：实施方案：在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑profile文件（vi /etc/profile），在“HISTFILESIZE=”后面加入下面这行： TMOUT=300 300，表示300秒，也就是表示5分钟。这样，如果系统中登录的用户在5分钟内都没有动作，那么系统会自动注销这个账户。也可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。 改变这项设置后，必须先注销用户，再用该用户登录才能激活这个功能。实施目的：避免管理员忘记注销登录，减少安全隐患。实施风险：无是否实施：（客户填写）编号：Linux-03012名称：限制用户对主机资源的使用系统当前状态：实施方案：# vi /etc/security/limits.conf如果限制limitu用户组对主机资源的使用，加入：limitu soft core 0limitu hard nproc 30limitu - maxlogins 5具体限制请于管理员确认后再进行实施。实施目的：Linux可以限制用户对主机资源的使用，比如限制用户使用的CPU或内存等，可以有效的防止本地DoS攻击。实施风险：无是否实施：（客户填写）编号：Linux-03005名称：使用pasword shadowing系统当前状态：实施方案：# /usr/sbin/pwconv5实施目的：确保系统中帐号密码存在于/etc/shadow，而不直接存在于/etc/passwd。实施风险：无是否实施：（客户填写）编号：Linux-03011名称：保证bash shell保存少量的（或不保存）命令系统当前状态：实施方案：“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。建议把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数，比如30。编辑profile文件（vi /etc/profile），把下面这行改为： HISTFILESIZE=30 HISTSIZE=30在“/etc/skel/.bash_logout” 文件中添加下面这行“rm -f $HOME/.bash_history” 。这样，当用户每次注销时，.bash_history文件都会被删除。编辑.bash_logout文件(vi /etc/skel/.bash_logout) ，添加下面这行：rm -f $HOME/.bash_history实施目的：保存较少的命令条数，减少安全隐患。实施风险：不要把HISTSIZE置零，那样就无法使用上下健来调用历史命令了。是否实施：（客户填写）编号：Linux-03010名称：使用PAM禁止任何人su为root系统当前状态：实施方案：编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为：# chmod G10 username实施目的：避免任何人可以su为root，减少安全隐患。实施风险：无是否实施：（客户填写）网络与服务加固编号：Linux-04007名称：禁止/etc/rc.d/init.d下某些脚本的执行系统当前状态：实施方案：# cd /etc/rc.d/init.d在不需要开机自动运行的脚本第一行写入 exit 0。则开机时该脚本exit 0之后的内容不会执行。需要更改的服务包括：identd lpd linuxconf netfsportmap routed rstatdrwalld rwhodsendmail ypbind yppasswdd ypserv具体操作时根据主机的角色请于管理员确认后再实施。实施目的：禁止系统开机时不需要启动的服务，减少安全隐患。防止黑客获取更多的系统信息。实施风险：无是否实施：（客户填写）编号：Linux-04009 Linux-04011名称：禁止/etc/rc.d/rc0-9.d下不需要运行的脚本系统当前状态：实施方案：进入相应目录，将脚本开头大写S改为小写s即可。如：# cd /etc/rc.d/rc6.d# mv S45dhcpd s45dhcpd实施目的：禁止系统不需要启动的服务，减少安全隐患。防止黑客获取更多的系统信息。实施风险：无是否实施：（客户填写）编号：Linux-04004 Linux-04008名称：(x)inetd服务系统当前状态：实施方案：取消所有不需要的服务，编辑“/etc/inetd.conf”文件，通过注释取消所有你不需要的服务（在该服务项目之前加一个“#”） 。 第一步： 更改“/etc/inetd.conf”权限为600，只允许root来读写该文件。# chmod 600 /etc/inetd.conf 第二步： 确定“/etc/inetd.conf”文件所有者为root。 # chown root /etc/inetd.conf第三步： 编辑 /etc/inetd.conf文件（vi /etc/inetd.conf），取消不需要的服务，如：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要的服务关闭可以使系统的危险性降低很多。 第四步： 给inetd进程发送一个HUP信号： # killall -HUP inetd 第五步： 用chattr命令把/ec/inetd.conf文件设为不可修改。 # chattr +i /etc/inetd.conf /etc/inetd.conf文件中只开放需要的服务。对于启用的网络服务，使用TCP Wrapper增强访问控制和日志审计功能。建议使用xinetd代替inetd，前者在访问控制和日志审计方面有较大的增强。实施目的：禁止系统不需要的服务，减少安全隐患。实施风险：这样可以防止对inetd.conf的任何修改（以外或其他原因）。唯一可以取消这个属性的只有root。如果要修改inetd.conf文件，首先要取消不可修改属性： # chattr -i /etc/inetd.conf是否实施：（客户填写）编号：Linux-04004名称：TCP Wrapper系统当前状态：实施方案：使用TCP_Wrappers可以使你的系统安全面对外部入侵。最好的策略就是阻止所有的主机（在“/etc/hosts.deny”文件中加入“ALL:ALLALL, PARANOID”），然后再在“/etc/hosts.allow”文件中加入所有允许访问的主机列表。第一步：编辑hosts.deny文件（vi /etc/hosts.deny），加入下面该行：# Deny access to everyone. ALL: ALLALL, PARANOID第二步： 编辑hosts.allow文件（vi /etc/hosts.allow），加入允许访问的主机列表，比如： ftp: 9 9和 是允许访问ftp服务的IP地址和主机名称。第三步： tcpdchk程序是TCP_ Wrapper设置检查程序。它用来检查你的TCP_Wrapper设置，并报告发现的潜在的和真实的问题。设置完后，运行下面这个命令： # tcpdchk实施目的：设置访问控制列表，使得只有可信主机才能访问服务器在/etc/(x)inetd.conf中启用的特定网络服务。实施风险：不是所有的网络服务可以使用TCP_Wrappers是否实施：（客户填写）编号：Linux-04004名称：telnetd服务系统当前状态：实施方案：建议不要使用telnetd，但是非要使用的话，稍微的调整可以提高telnetd的安全性。# vi /etc/inetd.conftelnet stream tcp nowait root /usr/libexec/telnetd telnetd -h其中：-h 隐藏主机相关信息实施目的：减少信息泄漏，增强telnetd安全性。实施风险：建议使用ssh代替telnetd。telnet会话中用户名、密码是明文传输的，如果被窃听将会造成敏感信息泄漏，对服务器造成威胁。是否实施：（客户填写）编号：Linux-04004 Linux-04012名称：ftpd服务系统当前状态：实施方案：# vi /etc/inetd.confftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -r -A -S其中：-l 成功/失败的ftp会话被syslog记录-r 使ftpd为只读模式，任何命令都不能更改文件系统-A 允许anonymous用户登录，/etc/ftpwelcome是欢迎信息-S 对anonymous ftp传输进行记录 在/etc/syslog.conf中，增加ftp.*/var/log/ftpd使日志产生到/var/log/ftpd文件重新启动inetd进程：# kill -1 cat /var/run/inetd.pid实施目的：增加ftpd审计功能，增强ftpd安全性。实施风险：无是否实施：（客户填写）编号：Linux-04004名称：fingerd服务系统当前状态：实施方案：建议关闭fingerd。如果确实需要的话，# vi /etc/inetd.conffingerstreamtcpnowaitnobody/usr/libexec/fingerdfingerd -s -l 在/etc/syslog.conf中，增加daemon.notice /var/log/fingerd使日志产生到/var/log/fingerd文件重新启动inetd进程：# kill -1 cat /var/run/inetd.pid实施目的：增加fingerd审计功能，增强fingerd安全性。实施风险：无是否实施：（客户填写）编号：Linux-04005名称：更改主机解析地址的顺序系统当前状态：实施方案：“/etc/host.conf” 说明了如何解析地址。编辑“/etc/host.conf” 文件（vi /etc/host.conf），加入下面该行： # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts# We have machines with multiple IP addresses. multi on # Check for IP address spoofing nospoof on第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的IP欺骗。实施目的：更改主机解析地址的顺序，减少安全隐患。实施风险：无是否实施：（客户填写）编号：Linux-04010名称：打开syncookie缓解syn flood攻击不响应ICMP请求禁止IP源路由系统当前状态：实施方案：# echo 1 /proc/sys/net/ipv4/tcp_syncookies可以加入/etc/rc.d/rc.local中。不响应ICMP请求：# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all禁止IP源路由：# cat disable-source_route.shfor f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 $fdone# ./disable-source_route.sh实施目的：调整内核安全参数，增强系统安全性。实施风险：无是否实施：（客户填写）文件系统加固编号：Linux-05001名称：初始文件创建权限系统当前状态：实施方案：对于root，应该设置umask为077# vi /etc/profileumask 077实施目的：严格限制root初始文件创建权限。实施风险：无是否实施：（客户填写）编号：Linux-05002名称：设置关键文件的属性系统当前状态：实施方案：# chattr +a /var/log/messages# chattr +i /var/log/messages.*# chattr +i /etc/shadow建议管理员对关键文件进行特殊设置（不可更改或只能追加等） 。实施目的：增强关键文件的属性，减少安全隐患。使messages文件只可追加。使轮循的messages文件不可更改。实施风险：无是否实施：（客户填写）编号：Linux-05003 Linux-05004名称：增强部分文件的执行权限控制系统当前状态：实施方案：# chmod +t /tmp# chmod 644 /var/log/wtmp# chmod 644 /var/run/utmp# chmod -R 700 /etc/rc.d/init.d/*编辑/etc/groups，增加wheel组：# vi /etc/groups# chgrp wheel /bin/su# chmod 47500 /bin/su# /bin/touch /root/.rhosts /root/.netrc /etc/hosts.equiv# /bin/chmod 0 /root/.rhosts /root/.netrc /etc/hosts.equiv实施目的：使得关键文件不可更改，增加系统安全性。同时防止root误操作造成关键文件的损坏。实施风险：对/kernel等文件增加特殊属性，在更新文件系统时将会报错。在更新文件系统时，要将关键文件的特殊属性去掉。是否实施：（客户填写）编号：Linux-05005名称：为不同的挂载点指派不同的属性系统当前状态：实施方案：# cat /etc/fstab #Device Mountpoint FStype Options Dump Pass#/dev/ad0s1b none swap sw 0 0/dev/ad0s1a / ufs rw 1 1/dev/ad0s1f /tmp ufs rw,nodev,nosuid 2 2/dev/ad0s1g /usr ufs rw 2 2/dev/ad0s1h /home ufs rw,userquota 2 2 /dev/ad0s1e /var ufs rw,noexec 2 2/dev/fd /floppy MSDOS rw,noauto,noexec,nosuid,nodev,noatime 0 0/dev/acd0c /cdrom cd9660 ro,noauto 0 0proc /proc procfs rw,noauto 0 0其中： ro：只读 rw：可读写（默认） sw：swap nosuid：禁止suid文件 noexec：文件不可执行 nodev：不允许文件为设备文件 noauto：启动时不自动挂载 noatime：不允许文件系统记录文件的访问时间 userquota：使用磁盘配额实施目的：对个分区赋予不同的属性，增强文件系统的安全性。实施风险：如果为某分区指派了noexec的属性，此分区下的程序将不能执行。是否实施：（客户填写）日志审核增强编号：Linux-06001名称：对ssh、su登录日志进行记录系统当前状态：实施方案：# vi /etc/syslog.conf加入# The authpriv file has restricted access.authpriv.* /var/log/secure重新启动syslogd：# /etc/rc.d/init.d/syslog restart 实施目的：对ssh、su尝试进行记录实施风险：无是否实施：（客户填写）安全性增强编号：Linux-07001名称：启动LILO时需要密码系统当前状态：实施方案：第一步：编辑lilo.conf文件（vi /etc/lilo.conf），加入或改变这三个参数（加#的部分）： boot=/dev/hdaprompttimeout=00 # 把该行改为00，系统启动时将不再等待，而直接启动LINUXmessage=/boot/messagelinear default=linux restricted # 加入该行 password= nsf0cus # 加入该行并设置自己的密码（明文） image=/boot/vmlinuz-2.4.18 label=linux root=/dev/hda6 read-only 第二步：因为“/etc/lilo.conf”文件中包含明文密码，所以要把它设置为root权限读取。 # chmod 0600 /etc/lilo.conf 第三步：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 # /sbin/lilo -v 第四步：使用“chattr”命令使“/etc/lilo.conf”文件不可改变。 # chattr +i /etc/lilo.conf 这样可以在一定程度上防止对“/etc/lilo.conf”任何改变（意外或其他原因）最后将/etc/lilo.conf文件权限改为600# chmod 600 /etc/lilo.conf实施目的：password用于系统启动时应当输入密码；restricted用于命令行启动系统时（如：进入单用户模式）需要输入密码。实施风险：通过对“/etc/lilo.conf”加i属性使文件不可更改。如果要对文件作修改的话，先去掉i属性，即# chattr -i /etc/lilo.conf为LILO设置密码不能防止黑客从软盘、CD-ROM启动系统、加载根分区，需要在BIOS中设置密码。是否实施：（客户填写）编号：Linux-07005名称：设置系统启动时运行等级系统当前状态：实施方案：# vi /etc/inittab将下面一行id:5:initdefault:改为id:3:initdefault:实施目的：3表示系统启动后进入多用户模式，5表示系统启动后进入X windows模式。实施风险：根据生产机的角色看主机是否有必要运行X-windows。是否实施：（客户填写）编号：Linux-07003名称：隐藏系统提示信息系统当前状态：实施方案：在缺省情况下，当你登录到linux系统，它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。应该尽可能的隐藏系统信息。首先编辑“/etc/rc.d/rc.local” 文件，在下面显示的这些行前加一个“#”，把输出信息的命令注释掉。# This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you reboot. #echo /etc/issue#echo $R /etc/issue#echo Kernel $(uname -r) on $a $(uname -m) /etc/issue #cp -f /etc/issue /etc/#echo /etc/issue其次删除/etc目录下的和issue文件： # rm -f /etc/issue # rm -f /etc/实施目的：减少系统提示信息，降低安全隐患。实施风险：无是否实施：（客户填写）编号：Linux-07002名称：禁止Ctrl-Alt-Delete键盘关闭命令系统当前状态：实施方案：在“/etc/inittab” 文件中注释掉下面这行（使用#）： ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改为： #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 为了使此改动生效，输入下面这个命令： # /sbin/init q实施目的：增加系统安全性，降低安全隐患。实施风险：禁止ctrl-alt-del使得在控制台直接按ctrl-alt-del不能重新启动计算机。是否实施：（客户填写）推荐安装安全工具工具名称TCP Wrapper工具用途该软件为大多数网络服务提供访问控制与日志记录的功能。相关信息/pub/security/工具名称Tripwire工具用途该工具为关键文件创建检验值数据库，当这些关键文件发生变化时，给root以提示信息。相关信息/pub/tools/unix/ids/tripwire/工具名称lsof工具用途该工具报告进程打开的文件、进程侦听的端口等信息。相关信息/pub/tools/unix/sysutils/lsof/工具名称SSH工具用途该工具为主机间远程通讯提供加密通道。用来代替rsh、rlogin、telnet等远程登录工具。相关信息/三、 Web安全服务编号：Apache-001名称：隐藏Apache的版本号及其它敏感信息系统当前状态：实施方案：Vi编译httpd.conf文件添加如下两行命令：ServerSignature OffServerTokens Prod实施目的：安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的模块。这些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。实施风险：无是否实施：（客户填写）编号：Apache-002名称：确保Apache以其自身的用户账号和组运行系统当前状态：实施方案：修改httpd文件，将nobody替换User ApacheGroup Apache实施目的：有的Apache安装过程使得服务器以nobody的用户运行，所以，假定Apache和你的邮件服务器都是以nobody的账号运行的，那么通过Apache发起的攻击就可能同时攻击到邮件服务器，反之亦然。实施风险：无是否实施：（客户填写）编号：Apache-003名称：确保web根目录之外的文件没有提供服务系统当前状态：实施方案：设置：?/POrder Deny,AllowDeny from allOptions NoneAllowOverride None?/P?/POrder Allow,DenyAllow from all?/P注意，因为我们设置Opitins None 和AllowOverride None，这将关闭服务器的所有Option和Override。你现在必须明确把每个目录设置成Option或者Override。实施目的：让Apache访问web根目录之外的任何文件。假设你的所以web站点文件都放在一个目录下实施风险：无是否实施：（客户填写）编号：Apache-004名称：关闭目录浏览系统当前状态：实施方案：在Directory标签内用Option命令来实现这个功能。设置Option为None或者Indexes。Options -Indexes实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：是否实施：（客户填写）编号：Apache-005名称：关闭includes系统当前状态：实施方案：在Directory标签内使用Option命令来实现。设置Option为None或者Includes。Options -Includes实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：无是否实施：（客户填写）编号：Apache-006名称：禁止遵循符号链接系统当前状态：实施方案：Options -FollowSymLinks实施目的：禁止Apache遵循符号链接实施风险：是否实施：（客户填写）编号：Apache-007名称：关闭对.htaccess文件的支持系统当前状态：实施方案：在一个目录标签中实现：AllowOverride None如果需要重载，则保证这些文件不能够被下载，或者把文件名改成非.htaccess文件。比如，我们可以改成.httpdoverride文件，然后像下面这样阻止所有以.ht打头的文件：AccessFileName .httpdoverride?/POrder allow,denyDeny from allSatisfy All实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：可能会屏蔽一些Apache功能，运作无影响是否实施：（客户填写）编号：Apache-008名称：关闭任何不必要的模块系统当前状态：实施方案：找到httpd.conf中包含LoadModule的代码。要关闭这些模块，只需要在代码行前添加一个#号。要找到正在运行的模块，可以用以下语句：grep LoadModule httpd.conf以下模块通常被激活而并无大用：mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex。实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：是否实施：（客户填写）编号：Php-001名称：Php打开安全模式系统当前状态：实施方案：在php.ini文件中使用如下safe_mode = On (使用安全模式)Mod_rewrite URLDiscuz php?id= Discuz NT! 2.5 aspx?id=或者：在Apache的httpd.conf中VirtualHost的相应设置方法php_admin_value safe_mode 1 (使用安全模式)实施目的：对Php开启安全验证可确保页面头信息不被劫持实施风险：是否实施：（客户填写）编号：Php-002名称：隐藏PHP系统当前状态：实施方案：在php.ini里使用 expose_php 选项来防止Web服务器泄露PHP的报告信息。如下：expose_php = On在 httpd.conf 中找到如下这行：AddType application/x-httpd .php修改 .php 文件扩展名。实施目的：有效阻止黑客嗅探php的文件头信息实施风险：是否实施：（客户填写）编号：Php-003名称：函数访问控制系统当前状态：实施方案：在 disable_functions 选项中使用逗号分割来设定函数名，那么这些函数将在PHP脚本中被关闭。这个设置能够工作在安全模式之外。disable_functions = dl实施目的：禁止非法调用脚本实施风险：是否实施：（客户填写）四数据库服务器安全编号：Oracle、Sql-001名称：密码控制系统当前状态：实施方案： FAILED_LOGIN_ATTEMPTS：指定锁定用户的登录失败次数 PASSWORD_LOCK_TIME：指定用户被锁定天数 PASSWORD_LIFE_TIME：指定口令可用天数 PASSWORD_REUSE_TIME：指定在多长时间内口令不能重用 PASSWORD_REUSE_MAX：指定在重用口令前口令需要改变的次数 PASSWORD_GRACE_TIME：指定口令失效后可以修改的天数 PASSWORD_VERIFY_FUNCTION：指定验证函数对口令进行长度、复杂度等校验实施目的：修改账户密码提高黑客暴力猜解难度，有效防止弱口令扫描等工具。实施风险：是否实施：（客户填写）编号：Sql-002名称：安全检查系统当前状态：实施方案：、登录验证也就是最常用的用户名和密码验证。一旦你输入了正确的用户名和密码，这个验证就可通过。、清理缺省用户首先，查看数据库中有哪些缺省用户：SQL select username,created fromdba_users;对于sys、 system、 perfstat、 dbsnmp、rman等需要使用的系统缺省用户，我们应该使用密码规范对其进行控制。对于演示用户scott和缺省表空间为example的PM、QS等用户，我们直接删除而不影响数据库的正常运行。对于其他不需要使用的缺省用户或者是不能够删除或是必须用脚本来卸载的用户，最好的方式是锁定用户，让其不能使用：S Q L A L T E R U S E Rschema_name ACCOUNT LOCK;、访问控制公共权限PUBLIC用户，表示数据库中的每一位用户。因此，对PUBLIC用户授予权限其实也就是对数据库中的每一位用户都授予了相应的权限；对PUBLIC用户撤销权限，也就等于对数据库中的每一位用户都撤销了相应的权限。撤销PUBLIC用户的权限可能会引起一连串的影响，对撤销权限的后果进行预测几乎是不可能的。如果从PUBLIC用户中撤销任何有关DML操作的权限，那么数据库中的所有过程，包括函数和包，在被使用之前都必须重新编译。因此，在没有得到经过验证的指导文档之前，不要在生产系统上撤销PUBLIC用户的任何权限。实施目的：实施风险：是否实施：（客户填写）五DNS及代理服务器加固编号：DNS-001名称：地址监听系统当前状态：实施方案：在named.conf.options配置文件中加入： Listen-on7;如果DNS服务运行在有多个网卡的服务器上，那么默认的它会在所有网卡接口上监听服务，这个选项告诉它只在指定的接口上进行服务监听。实施目的：监听所有端口服务，有效记录内外网操作信息实施风险：是否实施：（客户填写）编号：DNS-002名称：访问控制列表系统当前状态：实施方案：定义访问控制列表在/etc/bind/named.conf文件的最上部添加如下内容： include /etc/bind/named.conf.acls;创建/etc/bind/named.conf.acls文件，内容如下： acl denied /24; ; acl intra-net /24; ; acl slave 9; 如果不想让/24网段使用DNS服务器，则可以在 named.conf.options 文件的options内部加入： blackhole denied;如果只想相让/24;网段使用DNS服务器，则可以在 named.conf.options 文件的options内部加入： allow-query intra-net; ;如果只想对某个区资源作限制，也可将blackhole/allow-query指令加入到named.conf的对应zone中去。实施目的：资源访问限制，可设置内网对本机资源操控。实施风险：是否实施：（客户填写）编号：DNS-003名称：传输控制系统当前状态：实施方案：用的是allow-transfer指令，用于设定允许从主域名服务器更新资源文件的辅助域名服务器的ip地址使用方法，如： allow-query slave;根据需求可以加在/etc/bind/named.conf的对应zone中去，对某个区资源做限制， 或加入到/etc/bind/named.conf.options文件中，多所有的区资源文件作限制。实施目的：所有 DNS 服务器都将区域传输限制为指定的 IP 地址。实施风