安全加固方案模板

. 可编辑范本 _ xxxxxxxxxx 公司公司 安全加固方案安全加固方案 _ 文档日期文档日期: : xxxxxx 文档版本文档版本: : xxxxxx 本文档所包含的信息是受 xxx 公司和 xxx 公司所签署的“保密信息交换协议”保护和限制。 在未事先得到 xxx 公司和 xxx 公司书面同意之前，本文档全部或部份内容不得用于其他任何 . 可编辑范本 用途或交与第三方。 . 可编辑范本 目目 录录 第 1 章概述.4 1.1.工作目的.4 1.2.加固方法.4 1.3.风险的应对措施.4 1.4.加固步骤.5 第 2 章加固内容.7 2.1.主机加固.7 2.2.网络加固.8 2.3.未加固项说明.9 第 3 章加固列表.10 3.1.主机加固列表.10 3.2.数据库加固列表.10 3.3.网络加固列表.10 第 4 章加固操作.12 4.1.网络安全加固.12 4.1.1.高等级弱点.12 4.1.2.中等级弱点.13 4.1.3.低等级弱点.14 4.2.XX 统一视频监视平台安全加固操作.15 4.2.1.Windows 主机.15 4.2.2.Oracle 数据库.20 4.3.输 XX 设备状态在线监测系统安全加固操作.22 4.3.1.AIX 主机.22 . 可编辑范本 4.3.2.Linux 主机.27 4.3.3.Windows 主机.30 4.3.4.Oracle 数据库.35 4.4.用 XX 信息采集系统安全加固操作.37 4.4.1.AIX 主机.37 4.4.2.Linux 主机.41 4.4.3.Windows 主机.45 4.4.4.Oracle 数据库.49 4.5.95598XX 互动 XX 安全加固操作.51 4.5.1.Linux 主机.51 4.5.2.Oracle 数据库.54 4.6.XXXX 平台安全加固操作.56 4.6.1.Linux 主机.56 . 可编辑范本 文档信息表文档信息表 文档基本信息文档基本信息 项目名称 xxxxxx 文档名称安全加固方案 文档版本是否为正式交付件是 文档创建日期当前修订日期 文档审批信息文档审批信息 审阅人职务审阅时间审阅意见 文档修订信息文档修订信息 版本修正章节日期作者变更记录 . 可编辑范本 . 可编辑范本 第第 1 1 章章概述概述 . 工作目的工作目的 在前期安全评估过程中，发现 xxxx 主机系统，包括业务主机、数据库、 中间件的多处安全弱点,为降低这些弱点所带来的安全风险，需要针对上述设备 进行相应的安全加固工作，修复已发现的安全弱点，进一步提高 xxxx 的整体安 全性。 为确保安全加固工作能够顺利进行并达到目标，特制定本安全加固方案以 指导该项工作。 . 加固方法加固方法 为验证和完善主机系统安全加固方案中的内容，尽早规避加固工作中存在 的风险，最终保证 xxxx 系统业务主机顺利完成加固。将首先选取 xxxx 系统测 试机进行安全加固，待加固完成并通过观察确认无影响后再进行 xxxx 系统业务 主机的加固工作。 安全加固工作将由 xxxx(甲方)提供加固操作步骤，由 xxxx（甲方）根据加 固操作步骤对确认后的加固项进行逐项设置。若涉及操作系统、数据库、中间 件补丁的升级，软件版本的升级，需由 xxxx（甲方）协调相关设备售后服务合 同方人员进行。 加固过程中 xxxx(甲方)负责现场指导。 . 风险的应对措施风险的应对措施 为防止在加固过程中出现的异常状况，所有被加固系统均应在加固操作 . 可编辑范本 开始前进行完整的数据备份。 安全加固时间应尽量选择业务可中止的时段。 加固过程中，涉及修改文件等内容时，将备份源文件在同级目录中，以 便回退操作。 安全加固完成后，需重启主机进行，因此需要 xxxx(甲方)提前申请业务 停机时间并进行相应的人员安排。 在加固完成后，如果出现被加固系统无法正常工作，应立即恢复所做各 项配置变更，待业务应用正常运行后，再行协商后续加固工作的进行方 式。 . 可编辑范本 . 加固步骤加固步骤 开始 管理员/开发 商确认加固 项 介绍加固步骤 结束 制订加固项 加固完成， 重启后正常 系统回退否 填写加固记录 填写加固确 认单 记录重启后可 能需要的应用 启动脚本 管理员做重要 数据的异地备 份 确认机器前有 人值班 备份系统主要 配置文件 按照加固手册 执行加固 不通过 通过 图 1-1 安全加固步骤 . 可编辑范本 第第 2 2 章章加固内容加固内容 . 主机加固主机加固 对 Windows、HP-UX、AIX、Linux 等操作系统和 Oracle 数据库进行加固。 序号序号加固项加固项加固内容加固内容 1 1 帐号权限加固 对操作系统用户、用户组进行权限设置，应用系 统用户和系统普通用户权限的定义遵循最小权限 原则。删除系统多余用户，设置应用系统用户的 权限只能做与应用系统相关的操作；设置普通系 统用户的权限为只能执行系统日常维护的必要操 作 2 2 网络服务加固 关闭系统中不安全的服务，确保操作系统只开启 承载业务所必需的网络服务和网络端口 3 3 访问控制加固 合理设置系统中重要文件的访问权限只授予必要 的用户必要的访问权限。限制特权用户在控制台 登录,远程控制有安全机制保证，限制能够访问本 机的用户和 IP 地址 4 4 口令策略加固 对操作系统设置口令策略，设置口令复杂性要求， 为所有用户设置强壮的口令，禁止系统伪帐号的 登录 . 可编辑范本 5 5 用户鉴别加固 设置操作系统用户不成功的鉴别失败次数以及达 到此阀值所采取的措施，设置操作系统用户交互 登录失败、管理控制台自锁，设置系统超时自动 注销功能 6 6 审计策略加固 配置操作系统的安全审计功能，使系统对用户登 录、系统管理行为、入侵攻击行为等重要事件进 行审计，确保每个审计记录中记录事件的日期和 时间、事件类型、主体身份、事件的结果（成功 或失败）, 对审计产生的数据分配空间存储，并制 定和实施必要的备份、清理措施，设置审计存储 超出限制时的覆盖或转储方式，防止审计数据被 非法删除、修改 . 网络加固网络加固 对宁夏 XX 力公司 XXXX 五个应用系统的内网出口交换机、核心交换机、核心 路由器、综合区汇聚交换机、办公区汇聚交换机、DMZ 区交换机以及各接入交 换机进加固。 序号序号加固项加固项加固内容加固内容 1 1 帐号权限加固 对交换机远程访问用户进行权限设置，对管理员 用户和审计用户权限的定义遵循最小权限原则； 设置管理员用户对设备进行配置修改，审计用户 . 可编辑范本 2 2 网络服务加固 关闭交换机中不安全的服务，确保操作系统只开 启承载业务所必需的网络服务和网络端口 3 3 访问控制加固 限制用户对网络设备的远程登录 IP 地址和超时设 置；加强远程控制安全机制的保证，如配置 SSH 4 4 口令策略加固 对网络设备的口令进行加固，确保符合口令复杂 度要求 5 5 用户鉴别加固 设置设备登录不成功的鉴别失败次数以及达到此 阀值所采取的措施 6 6 审计策略加固 配置交换机的安全审计功能，日志关联审计服务 器中 7 7 关键服务器访控、 接入策略加固 配置交换机的 IP-MAC 绑定策略，关闭交换机空 闲端口，增强服务器接入策略 . 未加固项说明未加固项说明 各接入交换机的 IOS 版本不具备端口与 MAC 绑定功能。 Windows 主机系统中未关闭远程桌面，考虑到带外管理区未建 立，暂时未关闭。 Windows 主机系统中未修改匿名空连接，由于涉及业务应用正 常运行，暂时未关闭。 Windows 主机系统中未更新补丁，由于操作系统版本较低，且 补丁升级服务器未部署，故暂未进行升级。 . 可编辑范本 AIX、HP 和 Linux 主机中未关闭 FTP，由于现处于数据验证阶 段，FTP 做为验证方式之一，暂未关闭。 Oracle 数据库中未开启日志审计功能，考虑到开启此功能，势 必影响数据库的性能。 Oracle 数据库中未更新补丁，由于数据库版本较低，且补丁升 级风险较大，故暂未进行升级。 各设备和系统中未加固项具体情况及原因详见加固列表。 . 可编辑范本 第第 3 3 章章加固列表加固列表 . 主机加固列表主机加固列表 序号序号操作系统名称操作系统名称加固项加固项弱点等级弱点等级 1 Windows 服务器服务漏洞(MS08-067)高 2 删除服务器上的管理员共享中 3 禁止在任何驱动器上自动运行任何程序中 4 禁用无关的 windows 服务中 5 设置密码策略中 6 设置审计和账号策略中 7 禁止 CD 自动运行低 8 设置交互式登录：不显示上次用户名低 9 Windows 设置关机：清除虚拟内存页面文件低 10 限制 root 用户远程登录中 11 禁用 ntalk/cmsd 服务中 12 禁用或删除不必要的帐号中 13 限制 ftp 服务的使用中 14 设置登陆策略低 15 设置密码策略低 XX 禁用 TimeDayTime 服务低 17 AIX 设置系统口令策略中 18Linux 限制能 su 为 root 的用户中 . 可编辑范本 19 禁止 root 用户远程登录中 20 限定信任主机中 21 限制 Alt+Ctrl+Del 命令低 . 数据库加固列表数据库加固列表 序号序号OracleOracle 加固项加固项弱点等级弱点等级 1 修改数据库弱口令账户中 2 限制客户端连接 IP中 3 设置 oracle 密码策略中 . 网络加固列表网络加固列表 序号序号H3CH3C 加固项加固项弱点等级弱点等级 1 配置默认级别账户高 2 开启密码加密保存服务中 3 配置失败登陆退出机制中 4 部署日志服务器低 . 可编辑范本 第第 4 4 章章加固操作加固操作 . 网络安全加固网络安全加固 .1.1.高等级弱点高等级弱点 .. 配置默认级别账户 漏洞名称漏洞名称 配置默认级别账户 漏洞描述漏洞描述 一旦网路设备密码被攻破，直接提取网络设备的特权账户权 限，将严重影响设备的安全性。 发现方式发现方式 人工评估 风险等级风险等级 高 影响范围影响范围 加固建议和加固建议和 步骤步骤 1.首先备份设备配置； 2. 交换机命令级别共分为访问、XX、系统、管理 4 个级别， 分别对应标识 0、1、2、3。配置登录默认级别为访问级（0- VISIT） user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password . 可编辑范本 user privilege level 0 set authentication password cipher xxx 加固风险加固风险 无 回退建议回退建议 根据原设备口令进行还原即可。 建议加固时建议加固时 间间 无加固时间限制 .1.2.中等级弱点中等级弱点 .. 未开启密码加密保存服务 漏洞名称漏洞名称 未开启密码加密保存服务 漏洞描述漏洞描述 明文密码容易被外部恶意人员获取，影响设备的安全。 发现方式发现方式 人工评估 风险等级风险等级 中 影响范围影响范围 加固建议和加固建议和 步骤步骤 1.首先备份设备配置； 2.更改配置： user-interface aux 0 8 user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 user privilege level 0 set authentication password cipher xxx . 可编辑范本 super password level 1 cipher password1 super password level 2 cipher password2 super password level 3 cipher password3 加固风险加固风险 无 回退建议回退建议 1.更改配置： No service password-encryption 2. copy run save 建议加固时建议加固时 间间 无加固时间限制 .. 未配置失败登录退出机制 漏洞名称漏洞名称 未配置失败登录退出机制 漏洞描述漏洞描述 缺少该配置可能导致恶意攻击者进行口令暴力。 发现方式发现方式 人工评估 风险等级风险等级 中 影响范围影响范围 加固建议和加固建议和 步骤步骤 1.首先备份设备配置； 2.更改配置，请厂家进行配置 加固风险加固风险 无 回退建议回退建议 清除原配置即可 建议加固时建议加固时 无加固时间限制 . 可编辑范本 间间 .1.3.低等级弱点低等级弱点 .. 缺少日志审计服务 漏洞名称漏洞名称 缺少日志审计服务 漏洞描述漏洞描述 目前宁夏 XX 力公司网络内部缺少集中的安全 XX 审计措施，对于系 统可能发生的安全问题不能有效的预警，不利于对安全事件的审计和 分析。 发现方式发现方式 人工评估 风险等级风险等级 低 影响范围影响范围 加固建议和加固建议和 步骤步骤 1.首先部署日志服务器； 2.备份设备配置； 3.更改配置： 检查配置文件中存在如下配置项：（在系统模式下进行操作） h3c info-center enable h3c info-center loghost xxxxx channel loghost 参考检测操作：display current-configuration 加固风险加固风险 低 回退建议回退建议 还原备份配置即可 建议加固时建议加固时 间间 无加固时间限制 . 可编辑范本 . XXXX 统一视频监视平台安全加固统一视频监视平台安全加固操作操作 .2.1.WWindowsindows 主机主机 ..高等级弱点 WINDOWS 服务器服务漏洞(MS08-067) 加固项加固项WINDOWS 服务器服务漏洞(MS08-067) 描述描述 WINDOWS 系统上的服务器服务中存在一个远程执行代码漏洞。 该漏 洞是由于服务不正确地处理特制的 RPC 请求导致的。 成功利用此漏洞 的攻击者可以完全控制受影响的系统。 加固风险加固风险可能会影响业务系统的应用。 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 更新补丁包： Windows Server 2003 SP1: Windows Server 2003 SP2: cn 加固主机加固主机 IPIP 10.XX.5.12 限制客户端连接 IP 加固项加固项限制客户端连接 IP 描述描述 与数据库服务器同一网段的 IP 可连接数据库，降低了数据库的安全性。 加固风险加固风险未授权的客户端将不能连接数据库服务器 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法： 备份原配置文件 sqlnet.ora 具体加固方法： 在 sqlnet.ora 中增加： . 可编辑范本 tcp.validnode_checking=yes #允许访问的 IP tcp.invited_nodes=(ip1,ip2,) #不允许访问的 IP tcp.excluded_nodes=(ip1,ip2,) 或者通过防火墙进行设置。 加固主机加固主机 IPIP 10.2XX.33.244 设置 oracle 密码策略 加固项加固项设置 oracle 密码策略 描述描述 Oracle 数据库用户的密码策略未配置，使数据库用户及口令可能存在 弱点，同时也可能受到非法者利用。设定密码策略也可对失败登陆次 数和账户锁定时间进行设置。 加固风险加固风险未满足密码策略要求的账户可能会收到影响 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 建立用户配置文件 profile，并指定给相关用户。 1、设置资源限制时，设置数据库系统启动参数 RESOURCE_LIMIT 为 true；alter system set RESOURCE_LIMIT=true; 2、创建 profile 文件： create profile 文件名 limit 参数 value; 可设置的参数如下 FAILED_LOGIN_ATTEMPTS：指定锁定用户的登录失败次数 PASSWORD_LOCK_TIME：指定用户被锁定天数 PASSWORD_LIFE_TIME：指定口令可用天数 PASSWORD_REUSE_TIME：指定在多长时间内口令不能重用 PASSWORD_REUSE_MAX：指定在重用口令前口令需要改变的次 数 PASSWORD_VERIFY_FUNCTION：口令效验函数 . 可编辑范本 2、更改用户 profile 为新建的 profile： ALTER USER username PROFILE newprofilename; 加固主机加固主机 IPIP 10.2XX.33.244 ..低等级弱点 无。 . 输输 XXXX 设备状态在线监测系统安全加固设备状态在线监测系统安全加固操作操作 .3.1.AIXAIX 主机主机 ..高等级弱点 无。 ..中等级弱点 限制 root 用户远程登录 加固项加固项限制 root 用户远程登录 描述描述 远程使用 root 登录控制台容易导致 root 密码泄露，尤其是当前采用 telnet 方式登录系统 加固风险加固风险root 用户不能远程直接连接系统，需要普通用户身份登录后进行切换 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 加固风险规避的方法： 加固前备份原配置文件 cp /etc/security/user /etc/security/userXXXX 具体加固方法： 需要确保有一个可以远程登陆的普通用户 修改/etc/security/user 文件 ，将 root 段的 rlogin 参数值修改为 false 或者 chuser rlogin=false root 加固主机加固主机 IPIP 10.XX.4.177 . 可编辑范本 禁用 ntalk/cmsd 服务 加固项加固项禁用 ntalk/cmsd 服务 描述描述 ntalk（字符聊天服务）和 cmsd 服务是 CDE 子程序服务，关闭该类不 必要的服务可以降低系统风险。 加固风险加固风险CDE 组件中的基于字符的聊天服务服务将不能使用 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法： 根据主机的业务需求，关闭对应服务端口，加固前备份原配置文件 cp /etc/inetd.conf /etc/inetd.conf.XXXX （为加固日期） 具体加固方法： 编辑/etc/inetd.conf,，以#号注释 ntalk、cmsd 开头的行 执行 refresh -s inetd 加固主机加固主机 IPIP 10.XX.4.177 禁用或删除不必要的帐号 加固项加固项禁用或删除不必要的帐号 描述描述 系统中存在不必要的 uucp、lpd、guest 帐号，关闭不必要的系统帐号可 以降低系统风险。 加固风险加固风险禁用或删除帐号将不能登录主机系统 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法： 先备份需要更改的文件。如需回退，可使用原文件覆盖已加固修改的 文件。如：#cp /etc/passwd /etc/passwd.old 具体加固方法： 禁止系统用户（uucp、lpd、guest）登陆操作：将/etc/passwd 文件中的 . 可编辑范本 shell 域设置成/bin/false 加固主机加固主机 IPIP 10.XX.4.177 限制 ftp 服务的使用 加固项加固项限制 ftp 服务的使用 描述描述 ftpuser 文件包含了不能使用本地 ftp 服务的用户，禁止系统帐号与 root 帐号使用 ftp，可以降低系统安全风险 加固风险加固风险可能影响某些使用该帐号 ftp 登陆的备份，操作，日志记录等脚本 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法： 删除或清空创建的 ftpusers 文件，预先加固前备份原配置文件 cp /etc/ftpusers /etc/ftpusersXXXX 具体加固方法： 一般需要包含 root(如果需要使用可以排除) 编辑/etc/ftpusers,每行一个用户，加入如下系统用户： daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp 如果不使用 ftp 服务，可使用如下方法进行禁用： 风险规避方法： 根据主机的业务需求，关闭对应服务端口，加固前备份原配置文件 cp /etc/inetd.conf /etc/inetd.conf.XXXX （为加固日期） 具体加固方法： 如须使用 FTP 则将该 FTP 软件升级至最新版本，若不使用建议将其关 闭。 编辑/etc/inetd.conf，以#号注释 ftpd 开头的行 执行 refresh -s inetd 加固主机加固主机 IPIP 10.XX.4.177 . 可编辑范本 ..低等级弱点 设置登陆策略 加固项加固项设置登陆策略 描述描述 良好的登陆策略可有效防止暴力破解口令，阻止攻击者暴力猜解用户 口令，减少忘记登出用户被非法利用的可能性 加固风险加固风险将缩小系统用户登陆超时时间，允许输错密码次数将减少 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 加固风险规避的方法： 加固前备份原配置文件 cp /etc/security/login.cfg /etc/security/login.cfgXXXX 具体加固方法： 修改/etc/security/login.cfg 文件，做以下设置： logindisable=3（三次连续失败登录后锁定） loginreenable=15（端口锁定 15 分钟后解锁） logininterval=60（在 60 秒内 3 次失败登录才锁定） 加固主机加固主机 IPIP 10.XX.4.177 设置密码策略 加固项加固项设置密码策略 描述描述 良好的密码策略如密码满足一定的复杂度，定期更换密码等可以较好 的抵御基于密码的攻击 加固风险加固风险 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或 操作的脚本失效 弱点严重程度弱点严重程度中 . 可编辑范本 赋值赋值 加固操作加固操作 加固风险规避的方法： 事先将原配置文件做备份 cp /etc/security/user /etc/security/userXXXX 具体加固方法： chsec -f /etc/security/user -s default -a maxage=13(设置密码最长使用 13 周) chsec -f /etc/security/user -s default -a minlen=8(设置密码最小长度 8 个字 符) chsec -f /etc/security/user -s default -a maxrepeats=3(口令中某一字符最多 只能重复 3 次) chsec -f /etc/security/user -s default a mindiff=4(新口令中最少有 4 个字 符和旧口令不同) chsec -f /etc/security/user -s default a histexpire=26(同一口令在 26 周内 不能重复使用) 加固主机加固主机 IPIP 10.XX.4.177 禁用 TimeDayTime 服务 加固项加固项禁用 TimeDayTime 服务 描述描述 网络时间服务，允许远程察看系统时间，关闭该类不必要服务可以减 少威胁发生的可能性。 加固风险加固风险将不能远程查看系统时间 弱点严重程度弱点严重程度 赋值赋值 低 加固操作加固操作 加固风险规避的方法： 根据主机的业务需求，关闭对应服务端口，加固前备份原配置文件 cp /etc/inetd.conf /etc/inetd.conf.XXXX （为加固日期） 具体加固方法： . 可编辑范本 编辑/etc/inetd.conf，以#号注释 time 开头的行 执行 refresh -s inetd 加固主机加固主机 IPIP 10.XX.4.177 .3.2.LinuxLinux 主机主机 ..高等级弱点 无。 ..中等级弱点 设置系统口令策略 加固项加固项设置系统口令策略 描述描述 增加口令复杂度，建议使用数字+大、小写字母+特殊字符设置系统口 令，密码长度至少 8 位。 加固风险加固风险需要与管理员确认此项操作不会影响到业务系统的登录 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 使用命令 #cat /etc/login.defs|grep PASS 查看密码策略设置 加固操作加固操作 备份 cp -p /etc/login.defs /etc/login.defs_bak 加固方法： #vi /etc/login.defs 修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 8 #最小密码长度 8 加固主机加固主机 IPIP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4 . 可编辑范本 限制能 su 为 root 的用户 加固项加固项限制能 su 为 root 的用户 描述描述能 su 为 root 的用户权限过大，易造成操作和安全风险。 加固风险加固风险 需要 PAM 包的支持;对 pam 文件的修改应仔细检查，一旦出现错误会 导致无法登陆;和管理员确认哪些用户需要 su。 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 #cat /etc/pam.d/su,查看是否有 auth required /lib/security/pam_wheel.so 这样的配置条目 加固操作加固操作 备份方法：#cp -p /etc/pam.d /etc/pam.d_bak 加固方法： #vi /etc/pam.d/su 在头部添加： auth required /lib/security/pam_wheel.so group=wheel 这样，只有 wheel 组的用户可以 su 到 root #usermod -G10 test 将 test 用户加入到 wheel 组 加固主机加固主机 IPIP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4 禁止 root 用户远程登陆 加固项加固项禁止 root 用户远程登录 描述描述 管理员需要使用普通用户远程登录后 su 到 root 进行系统管理，防止 root 远程登录时被嗅探到口令 。 加固风险加固风险root 用户无法直接远程登录，需要用普通账号登陆后 su 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法#cat /etc/ssh/sshd_config 查看 PermitRootLogin 是否为 no 加固操作加固操作 备份方法： #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak . 可编辑范本 加固方法： #vi /etc/ssh/sshd_config PermitRootLogin no 保存后重启 ssh 服务 service sshd restart 加固主机加固主机 IPIP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4 限定信任主机 加固项加固项限定信任主机 描述描述 若.rhosts文件中包含远程主机名，则代表允许该主机通过rlogin等方式 登录本机；如果包含两个加号，代表任何主机都可以无需用户名口令 登录本机 使用“cat /etc/hosts.equiv”查看配置文件，若包含远程主机名，则代 表允许该主机远程登录本机 加固风险加固风险在多机互备的环境中，需要保留其他主机的 IP 可信任。 弱点严重程度弱点严重程度 赋值赋值 中 检查方法检查方法 #cat /etc/hosts.equiv 查看其中的主机 #cat /$HOME/.rhosts 查看其中的主机 加固操作加固操作 备份方法： #cp -p /etc/hosts.equiv /etc/hosts.equiv_bak #cp -p /$HOME/.rhosts /$HOME/.rhosts_bak 加固方法： #vi /etc/hosts.equiv 删除其中不必要的主机 #vi /$HOME/.rhosts 删除其中不必要的主机 加固主机加固主机 IPIP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4 . 可编辑范本 ..低等级弱点 限制 Alt+Ctrl+Del 命令 加固项加固项限制 Alt+Ctrl+Del 命令 描述描述防止误使用Ctrl+Alt+Del重启系统 加固风险加固风险无可见风险 弱点严重程度弱点严重程度 赋值赋值 低 检查方法检查方法使用命令“cat /etc/inittab|grep ctrlaltdel”查看输入行是否被注释 加固操作加固操作 cp /etc/inittab /etc/inittab.XXXX 使用命令“vi /etc/inittab”编辑配置文件，在行开头添加注释符号 “#” #ca:ctrlaltdel:/sbin/shutdown -t3 -r now，再使用命令“init q”应用设置 加固主机加固主机 IPIP10.XX.4.XX2、10.XX.4.XX3、10.XX.4.XX4 .3.3.WWindowsindows 主机主机 ..高等级弱点 WINDOWS 服务器服务漏洞(MS08-067) 加固项加固项WINDOWS 服务器服务漏洞(MS08-067) 描述描述 WINDOWS 系统上的服务器服务中存在一个远程执行代码漏洞。 该漏 洞是由于服务不正确地处理特制的 RPC 请求导致的。 成功利用此漏洞 的攻击者可以完全控制受影响的系统。 加固风险加固风险可能会影响业务系统的应用。 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 更新补丁包： Windows Server 2003 SP1: Windows Server 2003 SP2: . 可编辑范本 cn) #不允许访问的 IP tcp.excluded_nodes=(ip1,ip2,) 或者通过防火墙进行设置。 加固主机加固主机 IPIP 10.XX.4.177 设置 oracle 密码策略 加固项加固项设置 oracle 密码策略 描述描述 Oracle 数据库用户的密码策略未配置，使数据库用户及口令可能存在 弱点，同时也可能受到非法者利用。设定密码策略也可对失败登陆次 数和账户锁定时间进行设置。 加固风险加固风险未满足密码策略要求的账户可能会收到影响 弱点严重程度弱点严重程度 赋值赋值 中 加固操作加固操作 建立用户配置文件 profile，并指定给相关用户。 1、设置资源限制时，设置数据库系统启动参数 RESOURCE_LIMIT 为 true；alter system set RESOURCE_LIMIT=true; 2、创建 profile 文件： create profile 文件名 limit 参数 value; 可设置的参数如下 FAILED_LOGIN_ATTEMPTS：指定锁定用户的登录失败次数 PASSWORD_LOCK_TIME：指定用户被锁定天数 PASSWORD_LIFE_TIME：指定口令可用天数 PASSWORD_REUSE_TIME：指定在多长时间内口令不能重用 PASSWORD_REUSE_MAX：指定在重用口令前口令需要改变的次 . 可编辑范本 数 PASSWORD_VERIFY_FUNCTION：口令效验函数 2、更改用户 profile 为新建的 profile： ALTER USER username PROFILE newprofilename; 加固主机加固主机 IPIP 10.XX.4.177 ..低等级弱点 无。 . 用用 XXXX 信息采集系统安全加固信息采集系统安全加固操作操作 .4.1.AIXAIX 主机主机 ..高等级弱点 无。 ..中等级弱点 限制 root 用户远程登录 加固项加固项限制 root 用户远程登录 描述描述 远程使用 root 登录控制台容易导致 root 密码泄露，尤其是当前采用 telnet 方式登录系统 加固风险加固风险root 用户不能远程直接连接系统，需要普通用户身份登录后进行切换 弱点严重程度弱点严重程度 赋值赋值 高 加固操作加固操作 加固风险规避的方法： 加固前备份原配置文件 cp /etc/security/user /etc/security/userXXXX 具体加固方法： 需要确保有一个可以远程登陆的普通用户 修改/etc/security/user 文件 ，将 root 段的 rlogin 参数值修改为 false 或者 chuser rlogin=false root . 可编辑范本 加固主机加固主机 IPIP 192.XX