银行 aix操作系统安装配置规范.docx
《银行 aix操作系统安装配置规范.docx》由会员分享,可在线阅读,更多相关《银行 aix操作系统安装配置规范.docx(20页珍藏版)》请在冰豆网上搜索。
银行aix操作系统安装配置规范
AIX操作系统安装配置规范
1)设置密码规范
❑规范要求:
10次无效登录后锁定帐户,该策略对root用户不起作用,因此不对root实施
❑修改方法:
chuserloginretries=’10’{USERNAME}
❑检查方法:
lsuser{USERNAME}
❑恢复方法:
chuserloginretries=’0’{USERNAME}
❑单个用户的解锁方法:
chsec-f/etc/security/lastlog-a"unsuccessful_login_count=0"-s{USERNAME}
2)锁定系统默认账号
❑规范要求:
锁定的以下系统默认账户:
daemon,bin,sys,adm,uucp,guest,nobody,lpd,lp,invscout,snapp,ipsec,nuucp
❑修改方法:
chuseraccount_locked=truedaemon
chuseraccount_locked=truebin
chuseraccount_locked=truesys
chuseraccount_locked=trueadm
chuseraccount_locked=trueuucp
chuseraccount_locked=trueguest
chuseraccount_locked=truenobody
chuseraccount_locked=truelpd
chuseraccount_locked=truelp
chuseraccount_locked=trueinvscout
chuseraccount_locked=truesnapp
chuseraccount_locked=trueipsec
chuseraccount_locked=truenuucp
❑检查方法:
lsuser{USERNAME}
❑恢复方法:
chuseraccount_locked=falsedaemon
chuseraccount_locked=falsebin
chuseraccount_locked=falsesys
chuseraccount_locked=falseadm
chuseraccount_locked=falseuucp
chuseraccount_locked=falseguest
chuseraccount_locked=falsenobody
chuseraccount_locked=falselpd
chuseraccount_locked=falselp
chuseraccount_locked=falseinvscout
chuseraccount_locked=falsesnapp
chuseraccount_locked=falseipsec
chuseraccount_locked=falsenuucp
3)超时设置
❑规范要求:
10分钟无任何操作,自动退出登录
❑修改方法:
在/etc/profile中增加以下内容:
exportTMOUT=600
❑检查方法:
env|grepTMOUT
❑恢复方法:
在/etc/profile中删除以下内容:
exportTMOUT=600
4)关闭不必要的服务端口
❑规范要求:
关闭以下服务端口:
finger,systat,netstat,tftp,talk,ntalk,daytime,time,kshell,klogin,echo,discard,chargen,imap2,pop3
❑修改方法:
在/etc/inetd.conf文件中注释以下各项内容:
#kshellstreamtcpnowaitroot/usr/sbin/krshdkrshd
#kloginstreamtcpnowaitroot/usr/sbin/krlogindkrlogind
#fingerstreamtcpnowaitnobody/usr/sbin/fingerdfingerd
#systatstreamtcpnowaitnobody/usr/bin/psps-ef
#netstatstreamtcpnowaitnobody/usr/bin/netstatnetstat-finet
#tftpdgramudp6SRCnobody/usr/sbin/tftpdtftpd-n
#talkdgramudpwaitroot/usr/sbin/talkdtalkd
#ntalkdgramudpwaitroot/usr/sbin/talkdtalkd
#echostreamtcpnowaitrootinternal
#discardstreamtcpnowaitrootinternal
#chargenstreamtcpnowaitrootinternal
#daytimestreamtcpnowaitrootinternal
#timestreamtcpnowaitrootinternal
#echodgramudpwaitrootinternal
#discarddgramudpwaitrootinternal
#chargendgramudpwaitrootinternal
#daytimedgramudpwaitrootinternal
#timedgramudpwaitrootinternal
#imap2streamtcpnowaitroot/usr/sbin/imapdimapd
#pop3streamtcpnowaitroot/usr/sbin/pop3dpop3d
执行refresh-sinetd重新加载inetd服务。
❑检查方法:
lssrc–sinetd确认inetd服务正常
❑恢复方法:
在/etc/inetd.conf文件中取消以下各项内容的注释符号:
#kshellstreamtcpnowaitroot/usr/sbin/krshdkrshd
#kloginstreamtcpnowaitroot/usr/sbin/krlogindkrlogind
#fingerstreamtcpnowaitnobody/usr/sbin/fingerdfingerd
#systatstreamtcpnowaitnobody/usr/bin/psps-ef
#netstatstreamtcpnowaitnobody/usr/bin/netstatnetstat-finet
#tftpdgramdp6SRCnobody/usr/sbin/tftpdtftpd-n
#talkdgramudpwaitroot/usr/sbin/talkdtalkd
#ntalkdgramudpwaitroot/usr/sbin/talkdtalkd
#echostreamtcpnowaitrootinternal
#discardstreamtcpnowaitrootinternal
#chargenstreamtcpnowaitrootinternal
#daytimestreamtcpnowaitrootinternal
#timestreamtcpnowaitrootinternal
#echodgramudpwaitrootinternal
#discarddgramudpwaitrootinternal
#chargendgramudpwaitrootinternal
#daytimedgramudpwaitrootinternal
#timedgramudpwaitrootinternal
#imap2streamtcpnowaitroot/usr/sbin/imapdimapd
#pop3streamtcpnowaitroot/usr/sbin/pop3dpop3d
执行refresh-sinetd重新加载inetd服务。
5)Cron作业权限控制
❑规范要求:
缺省情况下,只有root用户可以使用crontab
❑修改方法:
在/var/adm/cron/cron.allow文件中增加以下内容:
root
❑检查方法:
crontab–l{USERNAME}只有root用户的crontab可以使用
❑恢复方法:
删除/var/adm/cron/cron.allow文件。
6)关闭SMTP服务
❑规范要求:
关闭Sendmail服务
❑修改方法:
在/etc/rc.tcpip文件中注释以下内容:
#start/usr/lib/sendmail"$src_running""-bd-q${qpi}"
执行stopsrc–ssendmail停止服务。
❑检查方法:
lssrc–ssendmail
❑恢复方法:
在/etc/rc.tcpip文件中取消以下各项内容的注释符号:
#start/usr/lib/sendmail"$src_running""-bd-q${qpi}"
执行startsrc–ssendmail–a“-bd–q30m”
7)登录日志是否正确保存
❑规范要求:
登录信息记录在/var/adm/wtmp文件中,可以使用last命令查看
❑修改方法:
无需特殊设置
❑检查方法:
无
❑恢复方法:
无
8)安全补丁管理
❑规范要求:
❑修改方法:
无需特殊设置
❑检查方法:
执行instfix–i|grepML确认Allfilesetsfor5300-09_AIX_MLwerefound
❑恢复方法:
无
Windows2003操作系统安装配置规范
1)帐户和密码安全
Ø所有帐户都是必要的
打开“控制面板/管理工具/计算机管理”,在用户和组管理中,禁用下列不必要的帐户:
USER,GUEST;
Ø帐户锁定策略
打开“控制面板/管理工具/本地安全策略”,在左边的选项树中选择“安全设置/帐户策略/锁定策略”,设置以下参数:
安全配置对象
设置参考标准
账户锁定持续时间
大于30分钟
账户锁定临界值
小于10次无效的尝试
2)安全补丁管理
维护一个WINDOWS2003的补丁清单,检查服务器当前的补丁情况,控制面板/添加删除程序,显示补定更新。
查看当前的补定和最新的补定清单中的补丁是否有差距。
3)审计策略
打开“控制面板/管理工具/本地安全策略”,在左边的选项树中选择“安全设置/帐户策略/审计策略”,设置以下参数:
安全配置对象
设置参数
审核账户管理
成功
审核账户登录事件
成功
审核策略更改
成功
审核特权使用
成功
审核系统事件
成功
在/管理工具/事件查看器中,系统/应用/安全日志的属性中选择日志文件最小64M,按需覆盖日志。
4)安装防病毒系统
检查系统是否安装我行统一部署的防病毒软件,并且病毒库已经更新到最新。
新系统上线前需要进行硬盘的病毒扫描。
5)禁止共享
硬盘使用NTFS的文件格式,修改注册表文件,确保默认的C,D、$ADMIN,$IPC共享被关闭。
禁止服务其共享任何文件。
删除共享命令:
使用regedit32.exe设置注册表。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\中的AutoShareServer子键,设计为0
字符串值“AutoShareWKs” 设置为“0”
禁止IPC$共享实现方式:
停止WINDOWS服务中SERVER的服务,将启动模式设置为手动模式。
6)停止不必要的服务,删除不必要的组件
打开“控制面板/管理工具/服务”,停止下列不必要的服务:
telnet。
禁止安装不必要的WINDOWS组件和程序:
其他网络文件和打印服务,证书服务,电子邮件服务,应用程序服务器。
所有生产系统的系统服务配置推荐按照以下规则进行配置:
服务名
成员服务器默认值
配置状态
Alerter
已禁用
已禁用
ApplicationLayerGatewayService
手动
已禁用
ApplicationManagement
手动
已禁用
ASP.NETStateService
未安装
已禁用
AutomaticUpdates
自动
自动
BackgroundIntelligentTransferService
自动—如果BITS作业被挂起,则为“自动”
手动
CertificateServices
未安装
已禁用
MSSoftwareShadowCopyProvider
手动
手动
ClientServiceforNetware
未安装
已禁用
ClipBook
已禁用
已禁用
ClusterService
未安装
已禁用
COM+EventSystem
手动
手动
COM+SystemApplication
手动
已禁用
ComputerBrowser
自动
自动
CryptographicServices
自动
自动
DHCPClient
自动
自动
DHCPServer
未安装
已禁用
DistributedFileSystem
自动
已禁用
DistributedLinkTrackingClient
自动
已禁用
DistributedLinkTrackingServer
手动
已禁用
DistributedTransactionCoordinator
自动
已禁用
DNSClient
自动
自动
DNS
未安装
已禁用
Eventlog
自动
自动
FaxService
未安装
已禁用
FileReplication
手动
已禁用
FileServerforMacintosh
未安装
已禁用
FTPPublishingService
未安装
已禁用
HelpandSupport
自动
已禁用
HTTPSSL
手动
已禁用
HumanInterfaceDeviceAccess
已禁用
已禁用
IASJetDatabaseAccess
未安装
已禁用
IISAdminService
未安装
已禁用
IMAPICD—BurningCOMService
已禁用
已禁用
IndexingService
已禁用
已禁用
InfraredMonitor
未安装
已禁用
InternetAuthenticationService
未安装
已禁用
InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)
已禁用
已禁用
IntersiteMessaging
禁用(为域控制器启动)
已禁用
IPVersion6HelperService
未安装
已禁用
IPSECPolicyAgent(IPSecService)
自动
自动
KerberosKeyDistributionCenter
已禁用
已禁用
LicenseLoggingService
已禁用
已禁用
LogicalDiskManager
自动
手动
LogicalDiskManagerAdministrativeService
手动
手动
MessageQueuing
未安装
已禁用
MessageQueuingDownLevelClients
未安装
已禁用
MessageQueuingTriggers
未安装
已禁用
Messenger
已禁用
已禁用
MicrosoftPOP3Service
未安装
已禁用
MSSQL$UDDI
未安装
已禁用
MSSQLServerADHelper
未安装
已禁用
.NETFrameworkSupportService
未安装
已禁用
Netlogon
自动
自动
NetMeetingRemoteDesktopSharing
已禁用
已禁用
NetworkConnections
手动
手动
NetworkDDE
已禁用
已禁用
NetworkDDEDSDM
已禁用
已禁用
NetworkLocationAwareness(NLA)
手动
手动
NetworkNewsTransportProtocol(NNTP)
未安装
已禁用
NTLMSecuritySupportProvider
未安装
自动
PerformanceLogsandAlerts
手动
手动
PlugandPlay
自动
自动
PortableMediaSerialNumber
手动
已禁用
PrintServerforMacintosh
未安装
已禁用
PrintSpooler
自动
已禁用
ProtectedStorage
自动
自动
RemoteAccessAutoConnectionManager
手动
已禁用
RemoteAccessConnectionManager
手动
已禁用
RemoteAdministrationService
未安装
手动
RemoteDesktopHelpSessionManager
手动
已禁用
RemoteInstallation
未安装
已禁用
RemoteProcedureCall(RPC)
自动
自动
RemoteProcedureCall(RPC)Locator
还原域控制器
已禁用
RemoteRegistryService
自动
自动
RemoteServerManager
未安装
已禁用
RemoteServerMonitor
未安装
已禁用
RemoteStorageNotification
未安装
已禁用
RemoteStorageServer
未安装
已禁用
RemovableStorage
手动
已禁用
ResultantSetofPolicyProvider
手动
已禁用
RoutingandRemoteAccess
已禁用
已禁用
SAPAgent
未安装
已禁用
SecondaryLogon
自动
已禁用
SecurityAccountsManager
自动
自动
Server
自动
自动
ShellHardwareDetection
自动
已禁用
SimpleMailTransportProtocol(SMTP)
未安装
已禁用
SimpleTCP/IPServices
未安装
已禁用
SNMPService
未安装
自动
SNMPTrapService
未安装
自动
SpecialAdministrationConsoleHelper
手动
已禁用
SQLAgent$*(*UDDI或WebDB)
未安装
已禁用
SystemEventNotification
自动
自动
TaskScheduler
自动
已禁用
TCP/IPNetBIOSHelperService
自动
自动
TCP/IPPrintServer
未安装
已禁用
Telephony
手动
已禁用
Telnet
已禁用
已禁用
TerminalServices
手动
自动
TerminalServicesLicensing
未安装
已禁用
Themes
已禁用
已禁用
TrivialFTPDaemon
未安装
已禁用
UploadManager
手动
已禁用
VirtualDiskService
手动
已禁用
VolumeShadowCopy
手动
手动
WebClient
已禁用
已禁用
WebElementManager
未安装
已禁用
WindowsAudio
已禁用
已禁用
WindowsImageAcquisition(WIA)
已禁用
已禁用
WindowsInstaller
手动
自动
WindowsInternet名称服务(WINS)
未安装
已禁用
WindowsManagementInstrumentation
自动
自动
WindowsManagementInstrumentationDriverExtensions
手动
手动
WindowsMediaServices
未安装
已禁用
WindowsSystemResourceManager
未安装
已禁用
WindowsTime
自动
自动
WinHTTPWebProxyAuto—DiscoveryService
手动
已禁用
WirelessConfiguration
在Standard、Enterprise和DatacenterServer上为“自动”。
在WebServer上为“手动”
已禁用
WMIPerformanceAdapter
手动
手动
Workstation
自动
自动
WorldWideWebPublishingService
未安装
已禁用
RedhatLinux安装配置规范
1)锁定系统默认账号
❑规范要求:
锁定的以下系统默认账户:
bin,daemon,lp,mail,games,wwwrun,ftp,nobody,messagebus,haldaemon,man,news,uucp,at,sshd,postfix,ntp,hacluster,gdm,suse-ncc
❑修改方法:
系统缺省已将这些用户锁定,正常情况下不需要额外修改。
passwd-l{USERNAME}
❑检查方法:
passwd–S–a
升级会员 