服务器系统安全加固.doc

Linux操作系统合理配置应用帐号或用户自建帐号权限；删除系统中多余的自建帐号；修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求；禁用或删除非root的超级用户；禁止系统伪帐户登录；限制能够su为root的用户在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务；屏蔽与承载业务无关的网络端口配置系统重要文件的访问控制策略，严格限制访问权限（如读、写、执行），避免被普通修改和删除；设置合理的初始文件权限关闭多余的远程管理方式；使用安全的远程管理方式；设置访问控制策略限制能够访问本机的用户或 IP 地址；禁止 root 用户远程登陆；在主机信任关系配置文件中，删除远程信任主机；禁止 root 用户远程登陆；屏蔽登录 banner 信息开启口令复杂性要求，设置口令长度8位；开启口令复杂性要求设置帐户锁定登录失败锁定次数、锁定时间；修改帐户 TMOUT 值，设置自动注销时间配置系统日志策略配置文件，使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计；对审计产生的数据分配合理的存储空间和存储时间；设置合适的日志配置文件的访问控制避免被普通用户修改和删除关闭存在漏洞的与承载业务无关的服务；安装系统安全补丁；通过访问控制限制对漏洞程序的访问Unix系统序号检查项评价指标标准分值评分标准实际得分扣分问题记录1帐号管理应对操作系统用户、用户组进行权限设置，应用系统用户和系统普通用户权限的定义遵循最小权限原则，删除系统多余用户，不能出现空口令或弱口令7l 未合理配置应用帐号或用户自建帐号权限（扣1分）l 未删除系统中多余的自建帐号（扣1分）l 未修改帐号口令，系统帐号口令长度和复杂度未满足安全要求，存在弱口令（此项不得分）l 未禁用或删除root之外的超级用户（扣1分）l 未禁止系统伪帐户登录（扣1分）l 未限制能够su为root的用户（扣1分）6未限制能够su为root的用户2网络服务应关闭系统中不安全的服务，确保操作系统只开启承载业务所必需的网络服务和网络端口15l 未停止或禁用与承载业务无关的服务（扣1分）l 未屏蔽承载业务无关的网络端口（扣0.5分）1.53数据访问控制应只授予必要的用户必需的访问权限2l 未配置系统重要文件的访问控制策略，严格限制访问权限（如读、写、执行），避免被普通修改和删除（扣1分）l 未设置合理的初始文件权限（扣1分）24网络访问控制应限制能够访问本机的用户或IP地址5.5l 未关闭多余的远程管理方式（扣1分）l 未使用安全的远程管理方式（扣1分）l 未设置访问控制策略限制能够访问本机的用户或IP地址（扣1分）l 未禁止root用户远程登陆（扣1分）l 未在信任关系配置文件中，限定远程信任主机（扣1分）l 未屏蔽登录banner信息（扣0.5分）3.51.未禁止root用户远程登陆（扣1分）2.未在信任关系配置文件中，限定远程信任主机5口令策略应对操作系统设置口令策略，设置口令复杂性要求，为所有用户设置强壮的口令1l 未设开启口令复杂性要求，设置口令长度，重要系统的用户口令长度大于8位；一般系统的用户口令长度大于6位（扣0.5分）l 未开启口令复杂性要求（扣0.5分）16用户鉴别应配置操作系统用户鉴别失败阀值及达到阀值所采取的措施，设置操作系统用户交互登录失败、管理控制台自锁，设置系统超时自动注销功能3l 未设置帐户锁定登录失败锁定次数、锁定时间（扣2分）l 未修改帐户TMOUT值，设置自动注销时间（扣1分）37审计策略应配置操作系统的日志功能，使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计，确保系统在发生安全事件时有日志可供分析1.5l 未配置系统日志策略配置文件，使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计（扣0.5分）l 未对审计产生的数据分配合理的存储空间和存储时间（扣0.5分）l 未设置合适的日志配置文件的访问控制避免被普通修改和删除（扣0.5分）1未对审计产生的数据分配合理的存储空间和存储时间8漏洞补丁应安装系统安全补丁程序，对扫描或手工检查发现的系统漏洞进行修补3.5l 未关闭存在漏洞的与承载业务无关的服务（扣0.5分）l 未安装系统安全补丁（扣2分）l 未通过访问控制限制对漏洞程序的访问（扣1分）3.5Apache禁止非授权用户和组对 Apache 启动文件、配置文件、根目录的写和执行权限；使用 .htaccess 设置敏感目录或文件的访问权限；编辑 Apache 配置文件，限制域、IP 地址或者IP网段对敏感目录访问应用部网络部删除 Apache 不必要服务组件；删除不需要的模块开启 Apahce 的日志记录功能，并设置适合的日志文件等级与格式；修改 Apache 日志的存放路径保证日志存放的地点的安全可靠；修改日志访问权限，设置为只有属主和系统管理员才能访问启用 Apache 的连接超时中断功能，并设置恰当的超时时间安装系统安全补丁Apache序号检查项评价指标标准分值评分标准实际得分扣分问题记录1数据访问控制应设置Aphache的敏感文件及配置文件的写和执行权限,避免未授权的修改和删除3l 未禁止非授权用户和组对Apache启动文件、配置文件、根目录的写和执行权限（扣1分）l 未使用.htaccess设置敏感目录或文件的访问权限（扣1分）l 未编辑Apache配置文件，限制域、IP地址或者IP网段对敏感目录访问（扣1分）2服务设置应删除系统调试用数据，关闭不需要服务并删除与提供服务无关的应用程序2l 未删除Apache不必要服务组件（扣1分）l 未删除不需要的模块（扣1分）3审计策略应配置系统日志，设置日志过滤规则，对安全审计范围、日志文件存放位置等进行配置，防止审计数据被非法删除、修改3l 未开启Apahce的日志记录功能，并设置适合的日志文件等级与格式（扣1分）l 未修改Apache日志的存放路径保证日志存放安全可靠（扣1分）l 未修改日志访问权限，设置为只有属主和系统管理员才能访问（扣1分）4用户鉴别应设置系统超时自动注销功能2l 未启用Apache的连接超时中断功能，并设置恰当的超时时间（扣2分）5漏洞补丁应对扫描或手工检查发现的系统漏洞进行修补，在测试环境中测试通过后安装系统安全补丁程序2l 未安装补丁修补相关漏洞（扣2分）MYSQL数据库序号检查项评价指标标准分值评分标准实际得分扣分问题记录1帐号权限应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限，删除系统多余用户，避免使用弱密码7l 未在操作系统用户中删除或禁用调试帐号（扣1分）l 未禁止匿名访问（扣1分）l 未限制应用用户在数据库中的权限，尽量保证最小化（扣1分）l 未限制运行MySQL数据库服务用户的权限，删除其家目录、删除shell（扣1分）l 未删除系统中多余的自建帐号（扣1分）l 未为所有用户设置强口令（此项不得分）2数据访问控制应配置数据库系统重要文件的访问权限，只授予必要的用户必需的访问权限2l 未严格限制MYSQL数据库对象的访问权限，合理配置数据库权限级别（扣1分）l 未限制数据库配置文件的访问限制，只允许管理员或root访问（扣1分）3服务设置应删除默认安装时装载的示例数据库，确保数据库系统中只安装、运行完成系统各个业务所必需的程序、服务、数据库3l 未停止或禁用与承载业务无关的服务（扣1分）l 未删除测试数据库和示例数据库（扣1分）l 未删除历史命令记录（扣1分）4网络访问控制应删除多余的网络连接协议，更改默认的通信端口 2.5l 在不影响应用的前提下，未删除命名管道等应用协议，只保留tcp/ip协议（扣2分）l 在不影响应用的前提下，未更改MYSQL默认的3306端口（扣0.5分）5审计策略应配置数据库审计功能，使系统能记录安全事件的审计信息，防止审计数据被非法删除、修改4.5l 未启用审计功能，使系统能够自动地记录对数据库的重要连接和系统更改行为（扣1分）l 未配置日志管理策略、限制非法访问和修改审计日志文件（扣1分）