安全加固方案模板.doc

xxxxxxxxxx 公司公司 安全加固方案安全加固方案 文档日期文档日期 xxxxxx 文档版本文档版本 xxxxxx 本文档所包含的信息是受 xxx 公司和 xxx 公司所签署的 保密信息交换协议 保护和限制 在未事先得到 xxx 公司和 xxx 公司书面同意之前 本文档全部或部份内容不得用于其他任何 用途或交与第三方 第 2 页 共 59 页 目目 录录 第 1 章概述 4 1 1 工作目的 4 1 2 加固方法 4 1 3 风险的应对措施 4 1 4 加固步骤 5 第 2 章加固内容 7 2 1 主机加固 7 2 2 网络加固 8 2 3 未加固项说明 9 第 3 章加固列表 10 3 1 主机加固列表 10 3 2 数据库加固列表 10 3 3 网络加固列表 10 第 4 章加固操作 12 4 1 网络安全加固 12 4 1 1 高等级弱点 12 4 1 2 中等级弱点 13 4 1 3 低等级弱点 14 4 2 XX 统一视频监视平台安全加固操作 15 4 2 1 Windows 主机 15 4 2 2 Oracle 数据库 20 4 3 输 XX 设备状态在线监测系统安全加固操作 22 4 3 1 AIX 主机 22 4 3 2 Linux 主机 27 4 3 3 Windows 主机 30 4 3 4 Oracle 数据库 35 4 4 用 XX 信息采集系统安全加固操作 37 4 4 1 AIX 主机 37 4 4 2 Linux 主机 41 4 4 3 Windows 主机 45 4 4 4 Oracle 数据库 49 4 5 95598XX 互动 XX 安全加固操作 51 4 5 1 Linux 主机 51 4 5 2 Oracle 数据库 54 4 6 XXXX 平台安全加固操作 56 4 6 1 Linux 主机 56 3 59 文档信息表文档信息表 文档基本信息文档基本信息 项目名称 xxxxxx 文档名称安全加固方案 文档版本是否为正式交付件是 文档创建日期当前修订日期 文档审批信息文档审批信息 审阅人职务审阅时间审阅意见 文档修订信息文档修订信息 版本修正章节日期作者变更记录 4 59 第第 1 1 章章概述概述 1 1 1 1 工作目的工作目的 在前期安全评估过程中 发现 xxxx 主机系统 包括业务主机 数据库 中间件的多处安全弱点 为降低这些弱点所带来的安全风险 需要针对上述设备 进行相应的安全加固工作 修复已发现的安全弱点 进一步提高 xxxx 的整体安 全性 为确保安全加固工作能够顺利进行并达到目标 特制定本安全加固方案以 指导该项工作 1 2 1 2 加固方法加固方法 为验证和完善主机系统安全加固方案中的内容 尽早规避加固工作中存在 的风险 最终保证 xxxx 系统业务主机顺利完成加固 将首先选取 xxxx 系统测 试机进行安全加固 待加固完成并通过观察确认无影响后再进行 xxxx 系统业务 主机的加固工作 安全加固工作将由 xxxx 甲方 提供加固操作步骤 由 xxxx 甲方 根据 加固操作步骤对确认后的加固项进行逐项设置 若涉及操作系统 数据库 中 间件补丁的升级 软件版本的升级 需由 xxxx 甲方 协调相关设备售后服务 合同方人员进行 加固过程中 xxxx 甲方 负责现场指导 1 3 1 3 风险的应对措施风险的应对措施 为防止在加固过程中出现的异常状况 所有被加固系统均应在加固操作 开始前进行完整的数据备份 安全加固时间应尽量选择业务可中止的时段 加固过程中 涉及修改文件等内容时 将备份源文件在同级目录中 以 便回退操作 安全加固完成后 需重启主机进行 因此需要 xxxx 甲方 提前申请业 务停机时间并进行相应的人员安排 5 59 在加固完成后 如果出现被加固系统无法正常工作 应立即恢复所做各 项配置变更 待业务应用正常运行后 再行协商后续加固工作的进行方 式 1 4 1 4 加固步骤加固步骤 开始 管理员 开发 商确认加固 项 介绍加固步骤 结束 制订加固项 加固完成 重启后正常 系统回退否 填写加固记录 填写加固确 认单 记录重启后可 能需要的应用 启动脚本 管理员做重要 数据的异地备 份 确认机器前有 人值班 备份系统主要 配置文件 按照加固手册 执行加固 不通过 通过 6 59 图 1 1 安全加固步骤 7 59 第第 2 2 章章加固内容加固内容 2 1 2 1 主机加固主机加固 对 Windows HP UX AIX Linux 等操作系统和 Oracle 数据库进行加固 序号序号加固项加固项加固内容加固内容 1 1 帐号权限加固 对操作系统用户 用户组进行权限设置 应用系 统用户和系统普通用户权限的定义遵循最小权限 原则 删除系统多余用户 设置应用系统用户的 权限只能做与应用系统相关的操作 设置普通系 统用户的权限为只能执行系统日常维护的必要操 作 2 2 网络服务加固 关闭系统中不安全的服务 确保操作系统只开启 承载业务所必需的网络服务和网络端口 3 3 访问控制加固 合理设置系统中重要文件的访问权限只授予必要 的用户必要的访问权限 限制特权用户在控制台 登录 远程控制有安全机制保证 限制能够访问本 机的用户和 IP 地址 4 4 口令策略加固 对操作系统设置口令策略 设置口令复杂性要求 为所有用户设置强壮的口令 禁止系统伪帐号的 登录 5 5 用户鉴别加固 设置操作系统用户不成功的鉴别失败次数以及达 到此阀值所采取的措施 设置操作系统用户交互 登录失败 管理控制台自锁 设置系统超时自动 注销功能 6 6 审计策略加固 配置操作系统的安全审计功能 使系统对用户登 8 59 录 系统管理行为 入侵攻击行为等重要事件进 行审计 确保每个审计记录中记录事件的日期和 时间 事件类型 主体身份 事件的结果 成功 或失败 对审计产生的数据分配空间存储 并 制定和实施必要的备份 清理措施 设置审计存 储超出限制时的覆盖或转储方式 防止审计数据 被非法删除 修改 2 2 2 2 网络加固网络加固 对宁夏 XX 力公司 XXXX 五个应用系统的内网出口交换机 核心交换机 核心路 由器 综合区汇聚交换机 办公区汇聚交换机 DMZ 区交换机以及各接入交换 机进加固 序号序号加固项加固项加固内容加固内容 1 1 帐号权限加固 对交换机远程访问用户进行权限设置 对管理员 用户和审计用户权限的定义遵循最小权限原则 设置管理员用户对设备进行配置修改 审计用户 2 2 网络服务加固 关闭交换机中不安全的服务 确保操作系统只开 启承载业务所必需的网络服务和网络端口 3 3 访问控制加固 限制用户对网络设备的远程登录 IP 地址和超时设 置 加强远程控制安全机制的保证 如配置 SSH 4 4 口令策略加固 对网络设备的口令进行加固 确保符合口令复杂 度要求 5 5 用户鉴别加固 设置设备登录不成功的鉴别失败次数以及达到此 阀值所采取的措施 6 6 审计策略加固 配置交换机的安全审计功能 日志关联审计服务 器中 9 59 7 7 关键服务器访控 接入策略加固 配置交换机的 IP MAC 绑定策略 关闭交换机空闲 端口 增强服务器接入策略 2 3 2 3 未加固项说明未加固项说明 各接入交换机的 IOS 版本不具备端口与 MAC 绑定功能 Windows 主机系统中未关闭远程桌面 考虑到带外管理区未建 立 暂时未关闭 Windows 主机系统中未修改匿名空连接 由于涉及业务应用正 常运行 暂时未关闭 Windows 主机系统中未更新补丁 由于操作系统版本较低 且 补丁升级服务器未部署 故暂未进行升级 AIX HP 和 Linux 主机中未关闭 FTP 由于现处于数据验证阶段 FTP 做为验证方式之一 暂未关闭 Oracle 数据库中未开启日志审计功能 考虑到开启此功能 势 必影响数据库的性能 Oracle 数据库中未更新补丁 由于数据库版本较低 且补丁升 级风险较大 故暂未进行升级 各设备和系统中未加固项具体情况及原因详见加固列表 10 59 第第 3 3 章章加固列表加固列表 3 1 3 1 主机加固列表主机加固列表 序号序号操作系统名称操作系统名称加固项加固项弱点等级弱点等级 1 Windows 服务器服务漏洞 MS08 067 高 2 删除服务器上的管理员共享中 3 禁止在任何驱动器上自动运行任何程序中 4 禁用无关的 windows 服务中 5 设置密码策略中 6 设置审计和账号策略中 7 禁止 CD 自动运行低 8 设置交互式登录 不显示上次用户名低 9 Windows 设置关机 清除虚拟内存页面文件低 10 限制 root 用户远程登录中 11 禁用 ntalk cmsd 服务中 12 禁用或删除不必要的帐号中 13 限制 ftp 服务的使用中 14 设置登陆策略低 15 设置密码策略低 XX 禁用 Time DayTime 服务低 17 AIX 设置系统口令策略中 18 限制能 su 为 root 的用户中 19 禁止 root 用户远程登录中 20 限定信任主机中 21 Linux 限制 Alt Ctrl Del 命令低 3 2 3 2 数据库加固列表数据库加固列表 序号序号OracleOracle 加固项加固项弱点等级弱点等级 1 修改数据库弱口令账户中 2 限制客户端连接 IP中 3 设置 oracle 密码策略中 3 3 3 3 网络加固列表网络加固列表 序号序号H3CH3C 加固项加固项弱点等级弱点等级 1 配置默认级别账户高 2 开启密码加密保存服务中 11 59 3 配置失败登陆退出机制中 4 部署日志服务器低 12 59 第第 4 4 章章加固操作加固操作 4 1 4 1 网络安全加固网络安全加固 4 1 1 4 1 1 高等级弱点高等级弱点 4 1 1 1 4 1 1 1 配置默认级别账户 漏洞名称漏洞名称 配置默认级别账户 漏洞描述漏洞描述 一旦网路设备密码被攻破 直接提取网络设备的特权账户权 限 将严重影响设备的安全性 发现方式发现方式 人工评估 风险等级风险等级 高 影响范围影响范围 加固建议和加固建议和 步骤步骤 1 首先备份设备配置 2 交换机命令级别共分为访问 XX 系统 管理 4 个级别 分别对应标识 0 1 2 3 配置登录默认级别为访问级 0 VISIT user interface aux 0 8 authentication mode password user privilege level 0 set authentication password cipher xxx user interface vty 0 4 authentication mode password user privilege level 0 set authentication password cipher xxx 加固风险加固风险 无 回退建议回退建议 根据原设备口令进行还原即可 建议加固时建议加固时 无加固时间限制 13 59 间间 4 1 2 4 1 2 中等级弱点中等级弱点 4 1 2 1 4 1 2 1 未开启密码加密保存服务 漏洞名称漏洞名称 未开启密码加密保存服务 漏洞描述漏洞描述 明文密码容易被外部恶意人员获取 影响设备的安全 发现方式发现方式 人工评估 风险等级风险等级 中 影响范围影响范围 加固建议和加固建议和 步骤步骤 1 首先备份设备配置 2 更改配置 user interface aux 0 8 user privilege level 0 set authentication password cipher xxx user interface vty 0 4 user privilege level 0 set authentication password cipher xxx super password level 1 cipher password1 super password level 2 cipher password2 super password level 3 cipher password3 加固风险加固风险 无 回退建议回退建议 1 更改配置 No service password encryption 2 copy run save 建议加固时建议加固时 间间 无加固时间限制 14 59 4 1 2 2 4 1 2 2 未配置失败登录退出机制 漏洞名称漏洞名称 未配置失败登录退出机制 漏洞描述漏洞描述 缺少该配置可能导致恶意攻击者进行口令暴力 发现方式发现方式 人工评估 风险等级风险等级 中 影响范围影响范围 加固建议和加固建议和 步骤步骤 1 首先备份设备配置 2 更改配置 请厂家进行配置 加固风险加固风险 无 回退建议回退建议 清除原配置即可 建议加固时建议加固时 间间 无加固时间限制 4 1 3 4 1 3 低等级弱点低等级弱点 4 1 3 1 4 1 3 1 缺少日志审计服务 漏洞名称漏洞名称 缺少日志审计服务 漏洞描述漏洞描述 目前宁夏 XX 力公司网络内部缺少集中的安全 XX 审计措施 对于系统 可能发生的安全问题不能有效的预警 不利于对安全事件的审计和分 析 发现方式发现方式 人工评估 风险等级风险等级 低 影响范围影响范围 加固建议和加固建议和 步骤步骤 1 首先部署日志服务器 2 备份设备配置 3 更改配置 检查配置文件中存在如下配置项 在系统模式下进行操作 15 59 h3c info center enable h3c info center loghost xxxxx channel loghost 参考检测操作 display current configuration 加固风险加固风险 低 回退建议回退建议 还原备份配置即可 建议加固时建议加固时 间间 无加固时间限制 4 2 4 2 XXXX 统一视频监视平台安全加固统一视频监视平台安全加固操作操作 4 2 1 4 2 1 W Windowsindows 主机主机 4 2 1 1 4 2 1 1 高等级弱点 WINDOWS 服务器服务漏洞 MS08 067 加固项加固项WINDOWS 服务器服务漏洞 MS08 067 描述描述 WINDOWS 系统上的服务器服务中存在一个远程执行代码漏洞 该漏洞是 由于服务不正确地处理特制的 RPC 请求导致的 成功利用此漏洞的攻 击者可以完全控制受影响的系统 加固风险加固风险可能会影响业务系统的应用 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 更新补丁包 Windows Server 2003 SP1 Windows Server 2003 SP2 cn 加固主机加固主机 IPIP 10 XX 5 12 限制客户端连接 IP 加固项加固项限制客户端连接 IP 描述描述 与数据库服务器同一网段的 IP 可连接数据库 降低了数据库的安全性 加固风险加固风险未授权的客户端将不能连接数据库服务器 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作加固风险规避的方法 21 59 备份原配置文件 sqlnet ora 具体加固方法 在 sqlnet ora 中增加 tcp validnode checking yes 允许访问的 IP tcp invited nodes ip1 ip2 不允许访问的 IP tcp excluded nodes ip1 ip2 或者通过防火墙进行设置 加固主机加固主机 IPIP 10 2XX 33 244 设置 oracle 密码策略 加固项加固项设置 oracle 密码策略 描述描述 Oracle 数据库用户的密码策略未配置 使数据库用户及口令可能存在 弱点 同时也可能受到非法者利用 设定密码策略也可对失败登陆次 数和账户锁定时间进行设置 加固风险加固风险未满足密码策略要求的账户可能会收到影响 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 建立用户配置文件 profile 并指定给相关用户 1 设置资源限制时 设置数据库系统启动参数 RESOURCE LIMIT 为 true alter system set RESOURCE LIMIT true 2 创建 profile 文件 create profile 文件名 limit 参数 value 可设置的参数如下 FAILED LOGIN ATTEMPTS 指定锁定用户的登录失败次数 PASSWORD LOCK TIME 指定用户被锁定天数 PASSWORD LIFE TIME 指定口令可用天数 PASSWORD REUSE TIME 指定在多长时间内口令不能重用 PASSWORD REUSE MAX 指定在重用口令前口令需要改变的次数 22 59 PASSWORD VERIFY FUNCTION 口令效验函数 2 更改用户 profile 为新建的 profile ALTER USER username PROFILE newprofilename 加固主机加固主机 IPIP 10 2XX 33 244 4 2 2 3 4 2 2 3 低等级弱点 无 4 3 4 3 输输 XXXX 设备状态在线监测系统安全加固设备状态在线监测系统安全加固操作操作 4 3 1 4 3 1 AIXAIX 主机主机 4 3 1 1 4 3 1 1 高等级弱点 无 4 3 1 2 4 3 1 2 中等级弱点 限制 root 用户远程登录 加固项加固项限制 root 用户远程登录 描述描述 远程使用 root 登录控制台容易导致 root 密码泄露 尤其是当前采用 telnet 方式登录系统 加固风险加固风险root 用户不能远程直接连接系统 需要普通用户身份登录后进行切换 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 加固风险规避的方法 加固前备份原配置文件 cp etc security user etc security userXXXX 具体加固方法 需要确保有一个可以远程登陆的普通用户 修改 etc security user 文件 将 root 段的 rlogin 参数值修改为 false 或者 chuser rlogin false root 加固主机加固主机 IPIP 10 XX 4 177 23 59 禁用 ntalk cmsd 服务 加固项加固项禁用 ntalk cmsd 服务 描述描述 ntalk 字符聊天服务 和 cmsd 服务是 CDE 子程序服务 关闭该类不 必要的服务可以降低系统风险 加固风险加固风险CDE 组件中的基于字符的聊天服务服务将不能使用 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 根据主机的业务需求 关闭对应服务端口 加固前备份原配置文件 cp etc inetd conf etc inetd conf XXXX 为加固日期 具体加固方法 编辑 etc inetd conf 以 号注释 ntalk cmsd 开头的行 执行 refresh s inetd 加固主机加固主机 IPIP 10 XX 4 177 禁用或删除不必要的帐号 加固项加固项禁用或删除不必要的帐号 描述描述 系统中存在不必要的 uucp lpd guest 帐号 关闭不必要的系统帐号 可以降低系统风险 加固风险加固风险禁用或删除帐号将不能登录主机系统 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 先备份需要更改的文件 如需回退 可使用原文件覆盖已加固修改的 文件 如 cp etc passwd etc passwd old 具体加固方法 禁止系统用户 uucp lpd guest 登陆操作 将 etc passwd 文件 中的 shell 域设置成 bin false 24 59 加固主机加固主机 IPIP 10 XX 4 177 限制 ftp 服务的使用 加固项加固项限制 ftp 服务的使用 描述描述 ftpuser 文件包含了不能使用本地 ftp 服务的用户 禁止系统帐号与 root 帐号使用 ftp 可以降低系统安全风险 加固风险加固风险可能影响某些使用该帐号 ftp 登陆的备份 操作 日志记录等脚本 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 删除或清空创建的 ftpusers 文件 预先加固前备份原配置文件 cp etc ftpusers etc ftpusersXXXX 具体加固方法 一般需要包含 root 如果需要使用可以排除 编辑 etc ftpusers 每行一个用户 加入如下系统用户 daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp 如果不使用 ftp 服务 可使用如下方法进行禁用 风险规避方法 根据主机的业务需求 关闭对应服务端口 加固前备份原配置文件 cp etc inetd conf etc inetd conf XXXX 为加固日期 具体加固方法 如须使用 FTP 则将该 FTP 软件升级至最新版本 若不使用建议将其关 闭 编辑 etc inetd conf 以 号注释 ftpd 开头的行 执行 refresh s inetd 加固主机加固主机 IPIP 10 XX 4 177 25 59 4 3 1 3 4 3 1 3 低等级弱点 设置登陆策略 加固项加固项设置登陆策略 描述描述 良好的登陆策略可有效防止暴力破解口令 阻止攻击者暴力猜解用户 口令 减少忘记登出用户被非法利用的可能性 加固风险加固风险将缩小系统用户登陆超时时间 允许输错密码次数将减少 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 加固前备份原配置文件 cp etc security login cfg etc security login cfgXXXX 具体加固方法 修改 etc security login cfg 文件 做以下设置 logindisable 3 三次连续失败登录后锁定 loginreenable 15 端口锁定 15 分钟后解锁 logininterval 60 在 60 秒内 3 次失败登录才锁定 加固主机加固主机 IPIP 10 XX 4 177 设置密码策略 加固项加固项设置密码策略 描述描述 良好的密码策略如密码满足一定的复杂度 定期更换密码等可以较好 的抵御基于密码的攻击 加固风险加固风险 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或 操作的脚本失效 弱点严重程度弱点严重程度 赋值赋值 中 26 59 加固操作加固操作 加固风险规避的方法 事先将原配置文件做备份 cp etc security user etc security userXXXX 具体加固方法 chsec f etc security user s default a maxage 13 设置密码 最长使用 13 周 chsec f etc security user s default a minlen 8 设置密码最 小长度 8 个字符 chsec f etc security user s default a maxrepeats 3 口令中 某一字符最多只能重复 3 次 chsec f etc security user s default a mindiff 4 新口令中 最少有 4 个字符和旧口令不同 chsec f etc security user s default a histexpire 26 同一 口令在 26 周内不能重复使用 加固主机加固主机 IPIP 10 XX 4 177 禁用 Time DayTime 服务 加固项加固项禁用 Time DayTime 服务 描述描述 网络时间服务 允许远程察看系统时间 关闭该类不必要服务可以减 少威胁发生的可能性 加固风险加固风险将不能远程查看系统时间 弱点严重程度弱点严重程度 赋值赋值 低 加固操作加固操作 加固风险规避的方法 根据主机的业务需求 关闭对应服务端口 加固前备份原配置文件 cp etc inetd conf etc inetd conf XXXX 为加固日期 具体加固方法 编辑 etc inetd conf 以 号注释 time 开头的行 27 59 执行 refresh s inetd 加固主机加固主机 IPIP 10 XX 4 177 4 3 2 4 3 2 LinuxLinux 主机主机 4 3 2 1 4 3 2 1 高等级弱点 无 4 3 2 2 4 3 2 2 中等级弱点 设置系统口令策略 加固项加固项设置系统口令策略 描述描述 增加口令复杂度 建议使用数字 大 小写字母 特殊字符设置系统口 令 密码长度至少 8 位 加固风险加固风险需要与管理员确认此项操作不会影响到业务系统的登录 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 使用命令 cat etc login defs grep PASS 查看密码策略设置 加固操作加固操作 备份 cp p etc login defs etc login defs bak 加固方法 vi etc login defs 修改配置文件 PASS MAX DAYS 90 新建用户的密码最长使用天数 PASS MIN DAYS 0 新建用户的密码最短使用天数 PASS WARN AGE 7 新建用户的密码到期提前提醒天数 PASS MIN LEN 8 最小密码长度 8 加固主机加固主机 IPIP10 XX 4 XX2 10 XX 4 XX3 10 XX 4 XX4 限制能 su 为 root 的用户 加固项加固项限制能 su 为 root 的用户 描述描述能 su 为 root 的用户权限过大 易造成操作和安全风险 28 59 加固风险加固风险 需要 PAM 包的支持 对 pam 文件的修改应仔细检查 一旦出现错误会 导致无法登陆 和管理员确认哪些用户需要 su 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 cat etc pam d su 查看是否有 auth required lib security pam wheel so 这样的配置条目 加固操作加固操作 备份方法 cp p etc pam d etc pam d bak 加固方法 vi etc pam d su 在头部添加 auth required lib security pam wheel so group wheel 这样 只有 wheel 组的用户可以 su 到 root usermod G10 test 将 test 用户加入到 wheel 组 加固主机加固主机 IPIP10 XX 4 XX2 10 XX 4 XX3 10 XX 4 XX4 禁止 root 用户远程登陆 加固项加固项禁止 root 用户远程登录 描述描述 管理员需要使用普通用户远程登录后 su 到 root 进行系统管理 防止 root 远程登录时被嗅探到口令 加固风险加固风险root 用户无法直接远程登录 需要用普通账号登陆后 su 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 cat etc ssh sshd config 查看 PermitRootLogin 是否为 no 加固操作加固操作 备份方法 cp p etc ssh sshd config etc ssh sshd config bak 加固方法 vi etc ssh sshd config PermitRootLogin no 保存后重启 ssh 服务 29 59 service sshd restart 加固主机加固主机 IPIP10 XX 4 XX2 10 XX 4 XX3 10 XX 4 XX4 限定信任主机 加固项加固项限定信任主机 描述描述 若 rhosts文件中包含远程主机名 则代表允许该主机通过rlogin等 方式登录本机 如果包含两个加号 代表任何主机都可以无需用户名 口令登录本机 使用 cat etc hosts equiv 查看配置文件 若包含远程主机名 则代表允许该主机远程登录本机 加固风险加固风险在多机互备的环境中 需要保留其他主机的 IP 可信任 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 cat etc hosts equiv 查看其中的主机 cat HOME rhosts 查看其中的主机 加固操作加固操作 备份方法 cp p etc hosts equiv etc hosts equiv bak cp p HOME rhosts HOME rhosts bak 加固方法 vi etc hosts equiv 删除其中不必要的主机 vi HOME rhosts 删除其中不必要的主机 加固主机加固主机 IPIP10 XX 4 XX2 10 XX 4 XX3 10 XX 4 XX4 4 3 2 3 4 3 2 3 低等级弱点 限制 Alt Ctrl Del 命令 加固项加固项限制 Alt Ctrl Del 命令 描述描述防止误使用Ctrl Alt Del重启系统 加固风险加固风险无可见风险 弱点严重程度弱点严重程度 赋值赋值 低 30 59 检查方法检查方法 使用命令 cat etc inittab grep ctrlaltdel 查看输入行是否被 注释 加固操作加固操作 cp etc inittab etc inittab XXXX 使用命令 vi etc inittab 编辑配置文件 在行开头添加注释符 号 ca ctrlaltdel sbin shutdown t3 r now 再使用命令 init q 应用设置 加固主机加固主机 IPIP10 XX 4 XX2 10 XX 4 XX3 10 XX 4 XX4 4 3 3 4 3 3 W Windowsindows 主机主机 4 3 3 1 4 3 3 1 高等级弱点 WINDOWS 服务器服务漏洞 MS08 067 加固项加固项WINDOWS 服务器服务漏洞 MS08 067 描述描述 WINDOWS 系统上的服务器服务中存在一个远程执行代码漏洞 该漏洞是 由于服务不正确地处理特制的 RPC 请求导致的 成功利用此漏洞的攻 击者可以完全控制受影响的系统 加固风险加固风险可能会影响业务系统的应用 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 更新补丁包 Windows Server 2003 SP1 Windows Server 2003 SP2 cn 不允许访问的 IP tcp excluded nodes ip1 ip2 或者通过防火墙进行设置 加固主机加固主机 IPIP 10 XX 4 177 36 59 设置 oracle 密码策略 加固项加固项设置 oracle 密码策略 描述描述 Oracle 数据库用户的密码策略未配置 使数据库用户及口令可能存在 弱点 同时也可能受到非法者利用 设定密码策略也可对失败登陆次 数和账户锁定时间进行设置 加固风险加固风险未满足密码策略要求的账户可能会收到影响 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 建立用户配置文件 profile 并指定给相关用户 1 设置资源限制时 设置数据库系统启动参数 RESOURCE LIMIT 为 true alter system set RESOURCE LIMIT true 2 创建 profile 文件 create profile 文件名 limit 参数 value 可设置的参数如下 FAILED LOGIN ATTEMPTS 指定锁定用户的登录失败次数 PASSWORD LOCK TIME 指定用户被锁定天数 PASSWORD LIFE TIME 指定口令可用天数 PASSWORD REUSE TIME 指定在多长时间内口令不能重用 PASSWORD REUSE MAX 指定在重用口令前口令需要改变的次数 PASSWORD VERIFY FUNCTION 口令效验函数 2 更改用户 profile 为新建的 profile ALTER USER username PROFILE newprofilename 加固主机加固主机 IPIP 10 XX 4 177 4 3 4 3 4 3 4 3 低等级弱点 无 37 59 4 4 4 4 用用 XXXX 信息采集系统安全加固信息采集系统安全加固操作操作 4 4 1 4 4 1 AIXAIX 主机主机 4 4 1 1 4 4 1 1 高等级弱点 无 4 4 1 2 4 4 1 2 中等级弱点 限制 root 用户远程登录 加固项加固项限制 root 用户远程登录 描述描述 远程使用 root 登录控制台容易导致 root 密码泄露 尤其是当前采用 telnet 方式登录系统 加固风险加固风险root 用户不能远程直接连接系统 需要普通用户身份登录后进行切换 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 加固风险规避的方法 加固前备份原配置文件 cp etc security user etc security userXXXX 具体加固方法 需要确保有一个可以远程登陆的普通用户 修改 etc security user 文件 将 root 段的 rlogin 参数值修改为 false 或者 chuser rlogin false root 加固主机加固主机 IPIP 192 XX8 0 142 禁用 ntalk cmsd 服务 加固项加固项禁用 ntalk cmsd 服务 描述描述 ntalk 字符聊天服务 和 cmsd 服务是 CDE 子程序服务 关闭该类不 必要的服务可以降低系统风险 加固风险加固风险CDE 组件中的基于字符的聊天服务服务将不能使用 38 59 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 根据主机的业务需求 关闭对应服务端口 加固前备份原配置文件 cp etc inetd conf etc inetd conf XXXX 为加固日期 具体加固方法 编辑 etc inetd conf 以 号注释 ntalk cmsd 开头的行 执行 refresh s inetd 加固主机加固主机 IPIP 192 XX8 0 142 禁用或删除不必要的帐号 加固项加固项禁用或删除不必要的帐号 描述描述 系统中存在不必要的 uucp nuucp lpd guest 帐号 关闭不必要的 系统帐号可以降低系统风险 加固风险加固风险禁用或删除帐号将不能登录主机系统 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 先备份需要更改的文件 如需回退 可使用原文件覆盖已加固修改的 文件 如 cp etc passwd etc passwd old 具体加固方法 禁止系统用户 uucp nuucp lpd guest 登陆操作 将 etc passwd 文件中的 shell 域设置成 bin false 加固主机加固主机 IPIP 192 XX8 0 142 限制 ftp 服务的使用 加固项加固项限制 ftp 服务的使用 39 59 描述描述 ftpuser 文件包含了不能使用本地 ftp 服务的用户 禁止系统帐号与 root 帐号使用 ftp 可以降低系统安全风险 加固风险加固风险可能影响某些使用该帐号 ftp 登陆的备份 操作 日志记录等脚本 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 删除或清空创建的 ftpusers 文件 预先加固前备份原配置文件 cp etc ftpusers etc ftpusersXXXX 具体加固方法 一般需要包含 root 如果需要使用可以排除 编辑 etc ftpusers 每行一个用户 加入如下系统用户 daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp 如果不使用 ftp 服务 可使用如下方法进行禁用 风险规避方法 根据主机的业务需求 关闭对应服务端口 加固前备份原配置文件 cp etc inetd conf etc inetd conf XXXX 为加固日期 具体加固方法 如须使用 FTP 则将该 FTP 软件升级至最新版本 若不使用建议将其关 闭 编辑 etc inetd conf 以 号注释 ftpd 开头的行 执行 refresh s inetd 加固主机加固主机 IPIP 192 XX8 0 142 4 4 1 3 4 4 1 3 低等级弱点 设置登陆策略 加固项加固项设置登陆策略 描述描述良好的登陆策略可有效防止暴力破解口令 阻止攻击者暴力猜解用户 40 59 口令 减少忘记登出用户被非法利用的可能性 加固风险加固风险将缩小系统用户登陆超时时间 允许输错密码次数将减少 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 加固前备份原配置文件 cp etc security login cfg etc security login cfgXXXX 具体加固方法 修改 etc security login cfg 文件 做以下设置 logindisable 3 三次连续失败登录后锁定 loginreenable 15 端口锁定 15 分钟后解锁 logininterval 60 在 60 秒内 3 次失败登录才锁定 加固主机加固主机 IPIP 192 XX8 0 142 设置密码策略 加固项加固项设置密码策略 描述描述 良好的密码策略如密码满足一定的复杂度 定期更换密码等可以较好 的抵御基于密码的攻击 加固风险加固风险 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或 操作的脚本失效 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法 事先将原配置文件做备份 cp etc security user etc security userXXXX 具体加固方法 chsec f etc security user s default a maxage 13 设置密码 最长使用 13 周 41 59 chsec f etc security user s default a minlen 8 设置密码最 小长度 8 个字符 chsec f etc security user s default a maxrepeats 3 口令中 某一字符最多只能重复 3 次 chsec f etc security user s default a mindiff 4 新口令中 最少有 4 个字符和旧口令不同 chsec f etc security user s default a histexpire 26 同一 口令在 26 周内不能重复使用 加固主机加固主机 IPIP 192 XX8 0 142 禁用 Time DayTime 服务 加固项加固项禁用 Time DayTime 服务 描述描述 网络时间服务 允许远程察看系统时间 关闭该类不必要服务可以减 少威胁发生的可能性 加固风险加固风险将不能远程查看系统时间 弱点严重程度弱点严重程度 赋值赋值 低 加固操作加固操作 加固风险规避的方法 根据主机的业务需求 关闭对应服务端口 加固前备份原配置文件 cp etc inetd conf etc inetd conf XXXX 为加固日期 具体加固方法 编辑 etc inetd conf 以 号注释 time 开头的行 执行 refresh s inetd 加固主机加固主机 IPIP 192 XX8 0 142 4 4 2 4 4 2 LinuxLinux 主机主机 4 4 2 1 4 4 2 1 高等级弱点 无 42 59 4 4 2 2 4 4 2 2 中等级弱点 设置系统口令策略 加固项加固项设置系统口令策略 描述描述 增加口令复杂度 建议使用数字 大 小写字母 特殊字符设置系统口 令 密码长度至少 8 位 加固风险加固风险需要与管理员确认此项操作不会影响到业务系统的登录 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 使用命令 cat etc login defs grep PASS 查看密码策略设置 加固操作加固操作 备份 cp p etc login defs etc login defs bak 加固方法 vi etc login defs 修改配置文件 PASS MAX DAYS 90 新建用户的密码最长使用天数 PASS MIN DAYS 0 新建用户的密码最短使用天数 PASS WARN AGE 7 新建用户的密码到期提前提醒天数 PASS MIN LEN 8 最小密码长度 8 加固主机加固主机 IPIP 192 XX8 0 12 限制能 su 为 root 的用户 加固项加固项限制能 su 为 root 的用户 描述描述能 su 为 root 的用户权限过大 易造成操作和安全风险 加固风险加固风险 需要 PAM 包的支持 对 pam 文件的修改应仔细检查 一旦出现错误会 导致无法登陆 和管理员确认哪些用户需要 su 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 cat etc pam d su 查看是否有 auth required lib security pam wheel so 这样的配置条目 43 59 加固操作加固操作 备份方法 cp p etc pam d etc pam d bak 加固方法 vi etc pam d su 在头部添加 auth required lib security pam wheel so group wheel 这样 只有 wheel 组的用户可以 su 到 root usermod G10 test 将 test 用户加入到 wheel 组 加固主机加固主机 IPIP 192 XX8 0 12 禁止 root 用户远程登陆 加固项加固项禁止 root 用户远程登录 描述描述 管理员需要使用普通用户远程登录后 su 到 root 进行系统管理 防止 root 远程登录时被嗅探到口令 加固风险加固风险root 用户无法直接远程登录 需要用普通账号登陆后 su 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 cat etc ssh sshd config 查看 PermitRootLogin 是否为 no 加固操作加固操作 备份方法 cp p etc ssh sshd config etc ssh sshd config bak 加固方法 vi etc ssh sshd config PermitRootLogin no 保存后重启 ssh 服务 service sshd restart 加固主机加固主机 IPIP 192 XX8 0 12 限定信任主机 加固项加固项限定信任主机 描述描述 若 rhosts文件中包含远程主机名 则代表允许该主机通过rlogin等 方式登录本机 如果包含两个加号 代表任何主机都可以无需用户名 44 59 口令登录