系统安全加固参考信息.docx
《系统安全加固参考信息.docx》由会员分享,可在线阅读,更多相关《系统安全加固参考信息.docx(55页珍藏版)》请在冰豆网上搜索。
![系统安全加固参考信息.docx](https://file1.bdocx.com/fileroot1/2023-7/10/387cda60-3029-4a3c-a548-187b625d14b2/387cda60-3029-4a3c-a548-187b625d14b21.gif)
系统安全加固参考信息
Linux系统安全加固参照信息
1操作系统安全-身份鉴识3
1.1对登录操作系统的用户进行身份表记和鉴识3
1.2最小密码长度3
1.3密码复杂度3
1.4密码词典4
1.5系统密码使用时间4
1.6对失败登录的次数进行限制4
1.7密码重复使用次数设置5
1.8SSH服务IP,端口,协议,同意密码错误的次数,网络中同意翻开的会
话数5
1.9root账号远程登录设置5
1.10防备任何人使用su命令连结root用户6
1.11系统Banner设置6
2操作系统安全-接见控制7
2.1改正帐户口令,改正默认帐户的接见权限7
2.2删除剩余的、过期的帐户,防止共享帐户的存在7
2.3限制超级管理员远程登录8
3操作系统安全-入侵防备8
3.1仅安装需要的应用程序,封闭不需要的服务和端口8
3.2封闭不用要的服务8
3.3网络接见控制策略9
4操作系统安全-资源控制9
4.1依据安全策略设置登录终端的安闲超时断开会话或锁定9
4.2文件创立初始权限9
4.3设置适合的历史命令数目9
4.4系统磁盘节余空间充分知足近期的业务需求10
4.5检查并记录操作系统的分区状况和文件系统利用率10
5操作系统安全—日记10
5.1日记功能开启10
5.2失败登录日记监控11
5.3syslog日记等级的安全配置11
5.4安全审计谋略11
5.5系统日记记录12
5.6启用记录cron行为日记功能和cron/at的使用状况12
6操作系统安全-系统安全12
6.1补丁管理12
6.2检查并记录系统开启的网络端口13
6.3封闭无效服务和启动项13
6.4仅同意特定IP同意接见服务14
7操作系统安全---其余服务安全14
7.1FTP配置文件14
7.2R族文件15
7.3NFS文件系统配置状况检查15
7.4FTP用户及服务安全15
1操作系统安全-身份鉴识
1.1对登录操作系统的用户进行身份表记和鉴识
要求
解决方法
需对全部的帐号设置密码,要求在登岸系统时一定输进口令进行身份考证。
关于目前用户使用命令“passwd<密码>”进行密码设置;
关于其余用户则使用root权限登录后,使用命令“passwd<用户名><密码>”进行密码设置。
备注
1.2最小密码长度
要求
解决方法
密码长度、使用密码词典
vi/etc/security/user
minlen=8//定义口令的最小长度,注意口令的最小长度由minlen和
minalpha+minother中较大的一个值来决定。
minalpha+minother不该当大于8,假如大于8则minother会变成8-minalpha。
(minalpha=4//定义在口令中最少的字母的数目,默认是0,范围是:
0到8
minother=0//定义在口令中最少的非字母的数目,默认是0,范围是:
0
到8
)
备注
1.3密码复杂度
要求
解决方法
密码复杂度
vi/etc/security/user
密码复杂程度要求包含数字和字母
/etc/security/user
Minalpha=4//定义在口令中最少的字母的数目,默认是0,范围是:
0到8
Minother=4//定义在口令中最少的非字母的数目,默认是0,范围是:
0到
8
备注
1.4密码词典
要求使用密码词典检查新密码
解决方法使用
/etc/security/user
Dictionlist=/usr/share/dict/words
备注
1.5系统密码使用时间
要求密码使用时间
解决方法密码按期改正间隔设置为12周或更短
/etc/security/user
Maxage=12
备注
1.6对失败登录的次数进行限制
要求对失败登录的次数进行限制
解决方法同意的失败登岸次数设置为5次或5次以下
/etc/security/user
Loginretries=5
备注
1.7密码重复使用次数设置
要求密码重复使用次数设置为起码8次
解决方法
备注
/etc/security/user
histsize=8
1.8SSH服务IP,端口,协议,同意密码错误的次数,网络中同意打
开的会话数
要求
解决方法
备注
SSH服务IP,端口,协议,最大同意认证次数,网络中同意翻开的会话数
cat/etc/ssh/sshd_config
Port22//SSH服务端端口为22
//SSH服务端监听地点为
SyslogFacilityAUTHPRIV//系统登录功能有加密
LoginGraceTime0//限制用户一定在指定的时间内认证成
功,0表示不限制,2m为两个月内。
MaxAuthTries6//指定每个连结最大同意的认证次数,默认值是6。
假如失败认证的次数超出这个数值的一半,连结
将被强迫断开,且会生成额外的失败日记信息。
MaxSessions10//指定每个网络连结同意翻开会话的最大数目,默认10
MaxStarups10//最大同意保持多少个未认证的连结,默认10。
达到限
制后,将不再接受新连结,除非先前的连结认证成功或超出LoginGraceTime的限制。
改正达成后,重启ssh服务
servicesshdrestart
备注
1.9root账号远程登录设置
要求不同意root直接登录及有关配置
使用命令“vi/etc/ssh/sshd_config”编写配置文件
解决方法
#cat/etc/ssh/sshd_config
PermitRootLoginyes//能否同意root登录。
PasswordAuthenticationyes//密码能否有认证选yes有
ChallengeResponseAuthenticationno//攻击响应认证否
GSSAPIAuthenticationyes//通用安全服务应用程序接口认证
是
UsePAMno//假如启用了PAM,那么一定使用
root才能运转sshd。
设置“PermitRootLogin”的值为no
备注
改正达成后,重启ssh服务
servicesshdrestart
1.10防备任何人使用su命令连结root用户
要求
解决方法
不想任何人都能够用“su”命令成为root或只让某些用户有权使用“su”
命令
备注
1.11系统Banner设置
要求
解决方法
经过改正系统banner,防止泄露操作系统名称,版本号,主机名称等,并
且给出登岸告警信息
设置系统Banner的操作以下:
在/etc/security/login.cfg文件中,在default小节增添:
herald="ATTENTION:
Youhaveloggedontoasecuredserver..Allaccesses
logged.\n\nlogin:
"
备注
2操作系统安全-接见控制
2.1改正帐户口令,改正默认帐户的接见权限
要求严格限制默认帐户的接见权限,重命名系统默认帐户,改正这些
帐户的默认口令
解决方法
备注
使用命令cat/etc/password文件来查察默认账户,并使用命令“cat/etc/shadow”查察文件中的口令能否为默认口令。
使用root账户进行登录,使用命令“passwdusernamepassword”来改正用
户的口令。
关于没法重命名的系统默认帐号,为加强主机系统的安全性,建议使用命
令“smituser”,将与业务没关的系统默认用户进行锁定;
此操作拥有必定的危险性,需要与管理员确认此项操作不会影响到业务系
统的登录,免得影响正常业务应用。
2.2删除剩余的、过期的帐户,防止共享帐户的存在
要求
解决方法
备注
删除剩余的、过期的帐户,防止共享帐户的存在
方法一:
可使用命令“smituser”,将剩余的、过期的帐户,共享帐户等系统默认用户进行锁定;
使用命令“smituser”解锁不用要的账号
使用命令“smituser”删除剩余、过期的账号
方法二:
vi/etc/security/user
有关用户
account_locked=true
此操作拥有必定的危险性,需要与管理员确认此项操作不会影响到业务系
统的登录,免得影响正常业务应用。
2.3限制超级管理员远程登录
要求
解决方法
备注
限制具备超级管理员权限的用户远程登录。
远程履行管理员权限操作,应先以一般权限用户远程登录后,再切换到超级管理员权限账。
系统目前状态:
履行lsuser-arloginroot命令,查察root的rlogin属性并记录实行步骤:
参照配置操作:
(1)、查察root的rlogin属性:
#lsuser-arloginroot
(2)、严禁root远程登岸:
#chuserrlogin=falseroot
复原root能够远程登岸,履行以下命令:
#chuserrlogin=trueroot
3操作系统安全-入侵防备
3.1仅安装需要的应用程序,封闭不需要的服务和端口
1.咨询有关保护人员,主机系统是除装有正常业务应用所需要的程序外,
要求
能否还安装有与业务应用没关的其余程序;
2.咨询有关保护人员并获得《受权安装软件清单》文档,查察目前操作系统
中能否安装有非清单内的应用软件。
3.咨询有关保护人员,能否封闭了除正常业务应用以外的全部服务与端口,
详细检查方法:
解决方法
备注
使用命令“netstat–an”查察开放的端口;
使用命令“netstat–an”查察开放的端口;
3.2封闭不用要的服务
要求
解决方法
封闭不用要的服务
(9)要开启审计服务auditd
备注
3.3网络接见控制策略
要求
解决方法
备注
1.访谈系统管理员,能否拟订了严格的接见控制策略,包含能否限制登录取户,对远程登录的IP能否有限制,采纳哪一种远程登录方式等。
查察hosts.allow、hosts.deny能否对某些服务,某些IP进行了限制。
#cathosts.allow
Sshd:
210.13.218.*:
allow//表示同意210ip段连结shhd服务
#cathosts.deny
Sshd:
all:
deny//表示拒绝全部sshd远程连结
当hosts.allow与hosts.deny相矛盾时以hosts.allow为准。
4操作系统安全-资源控制
4.1依据安全策略设置登录终端的安闲超时断开会话或锁定
要求
解决方法
备注
依据安全策略设置登录终端的安闲超时断开会话或锁定
可使用命令“cat/etc/profile|grepTMOUT”查察超时的时间设置。
使用命令“vi/etc/profile”改正配置文件,增添行“TMOUT=180”,单位为秒,即超不时间为3分钟。
超不时间的设置需要与应用管理员进行确认,免得影响正常业务应用。
4.2文件创立初始权限
文件创立初始权限
要求
vi/etc/security/user
解决方法
设置umask值
umask077#合用root用户,其余用户不行读
umask022#合用非root用户,其余用户可读不行写
备注
4.3设置适合的历史命令数目
设置适合的历史命令数目
要求
解决方法
备注
编写“/etc/profile”文确件保,HISTFILESIZE和HISTSIZE都设成了一个比较小的值。
HISTSIZE=80
HISTFILESIZE=80
4.4系统磁盘节余空间充分知足近期的业务需求
要求
解决方法
备注
1.检查用户能否成立有服务器备份储存及介质空间管理制度文档,检查此中
能否对主机系统的磁盘空间的大小做出明确的要求;
2.检查主机系统的磁盘空间,查察各个分区能否有充分的节余磁盘空间来满
足近期的业务需求。
使用命令“df–hl”命令来查察目前磁盘占用空间状况建议以下:
1.成立服务器备份储存及介质空间管理制度文档,并在此中对程序及重要数
据的备份、对主机系统的磁盘空间的大小等项目做出明确的要求;
2.管理员按期检查全部主机系统的磁盘占用空间及其余资源占用状况,假如
发现磁盘空间不够,由有关技术人员提出申请,进行磁盘空间的扩大。
4.5检查并记录操作系统的分区状况和文件系统利用率
检查并记录操作系统的分区状况和文件系统利用率
要求
df–h能够查察有关信息:
解决方法
Filesystemsizeusedavailuse%mountedon
文件系统大小已用可用使用率挂载点
当使用率过高时要注意了!
备注
5操作系统安全—日记
5.1日记功能开启
要求
解决方法
启用日记记录功能
syslog的配置主要经过/etc/syslog.conf配置,日记信息能够记录在当地的文件中间(如/var/adm/messages)或远程的主机上(@hostname)。
startsrc-ssyslogd启动syslog服务
stopsrc-ssyslogd停止syslog服务
备注
5.2失败登录日记监控
要求
解决方法
经过系统日记的方式记录失败的登录试试
系统记录失败的用户登录
/etc/security/failedlogin
Who/etc/security/failedlogin查察
备注
5.3syslog日记等级的安全配置
要求
解决方法
备注
syslog日记等级的安全配置
syslog配置文件要求:
改正文件安全设置
/etc/syslog.conf配置文件中包含一下日记记录:
*.err/var/adm/errorlog
*.alert/var/adm/alertlog
*.cri/var/adm/critlog
auth,authpriv.info/var/adm/authlog
5.4安全审计谋略
要求安全审计谋略
方法:
解决方法
查察系统日记配置,履行:
#cat/etc/syslog.conf
查察syslogd的配置,并确认日记文件能否存在
*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages
//系统日记默认寄存在/var/log/messages
cron..*/var/log/cron//cron日记默认寄存在/var/log/cron
authpriv.*/var/log/secure//安整日记默认寄存在/var/log/secure
备注
5.5系统日记记录
要求查年系统日记记录
解决方法
备注
履行:
cat/etc/log/secure//记录pop3,telnet,ssh,ftp登岸信息的文件
last–R//查察前50次登岸系统用户的信息
cat/etc/log/messages//查察系统发生的错误信息(包含登岸信息)
5.6启用记录cron行为日记功能和cron/at的使用状况
要求
解决方法
启用记录cron行为日记功能和cron/at的使用状况
cron/At的有关文件主要有以下几个:
/var/spool/cron/crontabs寄存cron任务的目录/var/spool/cron/cron.allow同意使用crontab命令的用户/var/spool/cron/cron.deny不同意使用crontab命令的用户
/var/spool/cron/atjobs寄存at任务的目录
/var/spool/cron/at.allow同意使用at的用户
/var/spool/cron/at.deny不同意使用at的用户
使用crontab和at命令能够分别对cron和at任务进行控制。
#crontab-l查察目前的cron任务
#at-l查察目前的at任务
备注
6操作系统安全-系统安全
6.1补丁管理
要求
解决方法
系统补丁安装标准
履行oslevel–r命令或instfix-i|grepML命令,查察补丁目前安装的状况和版本。
使用instfix–aik命令来达成补丁的安装操作。
注意:
(1)、在AIX系统中波及安全的补丁包有以下几种:
介绍保护包(RecommendedMaintenancePackages):
由一系列最新的文
件集构成的软件包,包含了特定的操作系统(如AIX5.2)公布以来的全部文件集的补丁。
重点补丁Criticalfixes(cfix):
自介绍保护包以后,修理重点性破绽的补丁。
紧迫补丁Emergencyfixes(efix):
自介绍保护包以后,修理紧迫安全破绽的补丁。
(2)、补丁安装原则:
在新装和从头安装系统后,一定安装最新的介绍保护包,以及该最新介绍保护包以来的全部独自的cfix和efix。
平时保护中假如厂家推出新的RM、cfix、efix则依据原补丁保护管理规定进行补丁安装。
应依据需要实时进行补丁装载。
注意:
补丁更新要谨慎,可能出现硬件不
备注
兼容,或许影响目前的应用系统,安装补丁以前要经过测试和考证。
6.2检查并记录系统开启的网络端口
要求
解决方法
备注
检查并记录系统开启的网络端口
netstat–antp(查察开启的tcp端口)
netstat–anup(查察开启的udp端口)
此中:
Proto显示连结使用的协议
LocalAddress查察当地地点及端口
6.3封闭无效服务和启动项
要求
解决方法
封闭无效服务和启动项
查察/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录目前配置;查察
/etc/inetd.conf文件并记录目前的配置
(一)、rc.d
AIX系统中的服务主要在/etc/inittab文件和/etc/rc.*(包含rc.tcpip,rc.nfs)
等文件中启动,事实上,/etc/rc.*系列文件主要也是由/etc/inittab启动。
同
时,AIX中全部启动的服务(起码与业务有关的)都能够同过SRC(System
ResourceManager)进行管理。
能够有三种方式查察系统服务的启动状况:
(1)、使用vi查察/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件;
(2)、使用lssrc和lsitab命令;
(3)、经过smit查察和改正。
注:
SRC自己经过/etc/inittab文件启动。
lssrc-a列出全部SRC管理的服务的状态lsitab-a列出全部由/etc/inittab启动的信息,和cat/etc/inittab基真同样,除了没有说明。
依据管理员所供给的服务列表与目前系统中所启动的服务列表相对照,假如发现与业务应用没关的服务,或不用要的服务和启动项,则封闭掉或禁用;也能够对服务做适合配置。
(二)、inetd.conf
由INETD启动的服务在文件/etc/inetd.conf定义(inetd自己在/etc/rc.tcpip
中由SRC启动),所以查察INETD启动的服务的状况有两种方法:
(1)、使用vi查察/etc/inetd.conf中没有说明的行;
(2)、使用lssrc命令。
lssrc-l-sinetd查察inetd的状态以及由INETD启动的服务的状态;refresh-sinetd改正/etc/inetd.conf文件后重启inetd。
建议封闭由inetd启动的全部服务;假如有管理上的需要,能够翻开telnetd、ftpd、rlogind、rshd等服务。
启动或停止inetd启动的服务(比如ftpd):
(1)、使用vi编写/etc/inetd.conf,去掉说明(启动)或说明掉(停止)ftpd所在的行;
(2)、重启inetd:
refresh-sinetd。
依据管理员所供给的服务列表与目前系统中所启动的服务列表相对照,假如发现与业务应用没