业务系统安全加固实施方案.docx
《业务系统安全加固实施方案.docx》由会员分享,可在线阅读,更多相关《业务系统安全加固实施方案.docx(35页珍藏版)》请在冰豆网上搜索。
业务系统安全加固实施方案
业务系统安全加固实施方案
1加固目的4
2加固范围4
3加固前准备工作4
3.1加固前检查4
3.2加固前备份5
3.3影响分析6
3.4加固操作流程7
4加固实施7
4.1账号管理、认证授权7
4.1.1账号7
4.1.2口令11
4.1.3授权13
4.2日志审计17
4.2.1登录日志(必选)17
4.2.2操作审计18
4.2.3本地记录系统日志18
4.2.4远程记录日志19
4.2.5SU操作日志20
4.2.6应用日志20
4.3IP协议安全21
4.3.1使用SSH协议登录21
4.3.2关闭不需要的IP服务端口22
4.3.3鉴权远程登录的主机IP23
4.3.4禁止ICMP重定向24
4.4屏幕保护25
4.4.1超时退出登录界面25
4.4.2定时锁屏26
4.5文件系统及访问权限27
4.5.1重要文件权限加固27
4.5.2限制FTP等应用的访问目录27
4.6补丁管理28
4.6.1软件包裁减28
4.6.2补丁包29
4.7服务29
4.7.1关闭不需要的服务29
EmailServer31
4.7.2NTP服务的安全配置31
4.7.3NFS服务的安全配置32
4.8内核调整33
4.8.1防止堆栈缓冲溢出33
4.9启动项34
4.9.1启动项的安全配置34
5加固后检查验证35
5.1操作系统健康检查35
5.2业务检查36
6失败处理36
6.1失败定义36
6.2回退操作36
1加固目的
随着电信业务不断发展,系统信息安全方面的投入的不断增多,在信息系统各个层面都采取一些安全防护策略。
而由于网络系统本身的复杂性,各种应用系统繁多,设备采用通用操作系统、数据库和IP协议,设备自身存在的安全问题日益突出。
同时,一些现网设备不符合必要的安全要求,存在较大安全隐患。
针对上述问题,中国移动集团根据设备的安全现状,制定了统一的《中国移动设备安全规范》,要求设备必须符合规范的相关要求。
本次安全加固项目目的在于降低风险,提高系统的稳定性和安全性,符合中国移动通信集团与山东移动对业务系统设备的安全要求。
2加固范围
设备名
设备管理IP地址
设备用途
3加固前准备工作
3.1加固前检查
1)、检查需要加固的主机是否满足下列条件:
序号
检查项目
检查结果
确认责任人
时间
1
检查业务主机的硬件情况
执行 /usr/platform/sun4u/sbin/prtdiag-v检查是否有硬件故障
2
检查业务主机日志
执行more/var/adm/message*
及/var/log/syslog*检查是否有报错
3
检查系统性能情况
#vmstat510
#sar510
并把相关结果记录下来
4
远程登录环境检查
确保能够进行远程登录,登录方式不限于telnet、ssh
5
本地登录检查
检查是否具备本地登录操作的环境,如鼠标与键盘是否可用
2)、检查需要加固的主机承载业务是否正常
序号
检查项目
检查结果
确认责任人
时间
1
GPRS应用
在做加固之前,做一次巡检检查系统状态是否都正常
2
Cluster应用
查看Cluster状态:
#scstat
3.2加固前备份
(时间点:
晚上10:
00以后,具体时间点请和客户协商)
序号
检查项目
检查结果
确认责任人
时间
1
对实施过程需修改的安全配置文件进行备份
mkdir-p/etc/backup
mkdir-p/etc/backup/default
/etc/passwd
#cp/etc/passwd/etc/backup/passwd.backup
/etc/group
#cp/etc/group/etc/backup/group.backup
/etc/shadow
#cp/etc/shadow/etc/backup/shadow.backup
/etc/default/su
#cp/etc/default/su/etc/backup/default/su.backup
/etc/default/passwd
#cp/etc/default/passwd/etc/backup/default/passwd.backup
/etc/default/login
#cp/etc/default/login/etc/backup/default/login.backup
/etc/inetd.conf
#cp/etc/inetd.conf/etc/backup/inetd.conf.backup
/etc/services
#cp/etc/services/etc/backup/services.backup
/etc/system
#cp/etc/system/etc/backup/system.backup
3.3影响分析
序号
被影响环境名称
影响结果
应对措施
需要对方的配合
1
GPRS系统涉及的业务(因被加固主机加固前需要进行主备倒换以及重启,重启前需要退出Cluster)
业务暂时会中断
按流程操作,降低风险
需要总部提供业务保障支持
3.4加固操作流程
主机加固整体流程如下:
1)、检查当前需加固主机业务应用正常后,重启机器,再次确认业务状态正常。
(对于双机类应用,检查主备机承担业务均正常后,重启备机,对备机执行加固)
2)、设备加固实施。
3)、加固后重启,业务验证。
提供相应的加固操作说明,脚本等等
4加固实施
预计操作时间:
120分钟
操作人员:
操作影响:
部分策略实施可能会造成业务中断,在双机系统中,实施时需先实施备机,确保备机没问题后,再实施主机.
4.1账号管理、认证授权
4.1.1账号
1.账号专人专用(必选)
编号:
安全要求-设备-SOLARIS-ACCT-01
要求内容:
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作方法:
为用户创建账号:
#useradd-musername#创建账号
#passwdusername#设置密码
修改权限:
#chmod750userdirectory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
操作验证:
1.验证方法:
以新增的用户登录
2.预期结果:
登录成功,并能进行常用操作
2.删除无关用户(必选)
编号:
安全要求-设备-SOLARIS-ACCT-02
要求内容:
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括root,bin等。
操作方法:
需要锁定的用户:
daemon、bin、sys、adm、smmsp、listen、gdm、webservd、nobody、、noaccess。
需要删除的用户:
lp、uucp、nuucp、nobody4
删除用户:
#userdelusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
#usermod-s/bin/falseUSERNAME
3)#passwd-lusername
只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
操作验证:
1.验证方法:
使用删除或锁定的与工作无关的账号登录系统;
2.预期结果:
被删除或锁定的账号无法登录成功;
3.root用户不能远程登录(必选)
编号:
安全要求-设备-SOLARIS-ACCT-03
要求内容:
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作方法:
1、编辑/etc/default/login,加上:
CONSOLE=/dev/console#IfCONSOLEisset,rootcanonlyloginonthatdevice.
此项只能限制root用户远程使用telnet登录。
用ssh登录,修改此项不会看到效果的
2、如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
重启sshd服务:
Solaris10以前:
#/etc/init.d/sshdstop
#/etc/init.d/sshdstart
Solaris10:
#svcadmdisablessh
#svcadmenablessh
操作验证:
1.验证方法:
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
2.预期结果:
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户;
4.用户账号分组
编号:
安全要求-设备-SOLARIS-ACCT-04
要求内容:
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。
操作方法:
1、创建帐户组:
#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod–ggroupusername#将用户username分配到group组中。
查询被分配到的组的GID:
#idusername
可以根据实际需求使用如上命令进行设置。
2、可以使用-g选项设定新组的GID。
0到499之间的值留给root、bin、mail这样的系统账号,因此最好指定该值大于499。
如果新组名或者GID已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;
操作验证:
1.验证方法:
查看组文件:
cat/etc/group
2.预期结果:
可以查看到用户账号分配到相应的帐户组中;
或都通过命令检查账号是否属于应有的组:
#idusername
4.1.2口令
1.口令加强(必选)
编号:
安全要求-设备-SOLARIS-PWD-01
要求内容:
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作方法:
2、Solaris10默认如下各行都被注释掉,并且数值设置和解释如下:
MINDIFF=3#Minimumdifferencesrequiredbetweenanoldandanewpassword.
MINALPHA=2#Minimumnumberofalphacharacterrequired.
MINNONALPHA=1#Minimumnumberofnon-alpha(includingnumericandspecial)required.
MINUPPER=0#Minimumnumberofuppercaselettersrequired.
MINLOWER=0#Minimumnumberoflowercaselettersrequired.
MAXREPEATS=0#Maximumnumberofallowableconsecutiverepeatingcharacters.
MINSPECIAL=0#Minimumnumberofspecial(non-alphaandnon-digit)charactersrequired.
MINDIGIT=0#Minimumnumberofdigitsrequired.
WHITESPACE=YES
操作验证:
验证方法:
1、检查口令强度配置选项是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
预期结果:
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
2.口令生存期为90天(必选)
编号:
安全要求-设备-SOLARIS-PWD-02
要求内容:
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
操作方法:
#vi/etc/default/passwd文件:
MAXWEEKS=13密码的最大生存周期为13周;(Solaris8&10)
PWMAX=90#密码的最大生存周期;(Solaris其它版本)
操作验证:
1.验证方法:
使用超过90天的帐户口令登录;
2.预期结果:
登录不成功;
3.设置的密码在最近5次不能相同
编号:
安全要求-设备-SOLARIS-PWD-03
要求内容:
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作方法:
1、vi/etc/default/passwd,修改设置如下
HISTORY=5
2、
#HISTORYsetsthenumberofpriorpasswordchangestokeepand
#checkforauserwhenchangingpasswords.SettingtheHISTORY
#valuetozero(0),orremoving/commentingouttheflagwill
#causeallusers'priorpasswordhistorytobediscardedatthe
#nextpasswordchangebyanyuser.Nopasswordhistorywill
#becheckediftheflagisnotpresentorhaszerovalue.
#ThemaximumvalueofHISTORYis26.
验证方法:
cat/etc/default/passwd,设置如下
HISTORY=5
预期结果:
设置密码不成功
4.1.3授权
1.文件的权限(必选)
编号:
安全要求-设备-SOLARIS-AUTH-01
要求内容:
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作方法:
重要系统文件权限清单如下或更小:
/etc/passwd
root
Sys
-r--r--r--
/etc/shadow
root
Sys
-r--------
/etc/default/login
root
Sys
-r--r--r--
/etc/default/passwd
root
Sys
-r--r--r--
/etc/system
root
Root
-rw-r--r--
/etc/inittab
root
Sys
-rw-r--r--
/etc/profile
root
Sys
-rw-r--r--
/etc/vfstab
root
Root
-rw-r--r--
1、通过chmod命令对目录的权限进行实际设置。
/etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod600/etc/shadow
chmod644/etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w/etc
操作验证:
1.验证方法:
1、利用管理员账号登录系统,并创建2个不同的用户;
2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;
3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。
2.预期结果:
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2.用户的缺省权限
编号:
安全要求-设备-SOLARIS-AUTH-02
要求内容:
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作方法:
1、设置默认权限:
vi/etc/default/login在末尾增加umask027
2、更改应用用户主目录的权限:
修改目录及所有子目录的权限,操作举例如下:
Owner可读可写可执行、同组可读可执行、其他没有权限。
#chmod-R750/home/idea
3、如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
操作验证:
1.验证方法:
1、查看新建的文件或目录的权限,操作举例如下:
#ls–lR/home/idea;#查看目录dir的权限
#cat/etc/default/login查看是否有umask027内容
2.预期结果:
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
3.ftp权限控制
编号:
安全要求-设备-SOLARIS-AUTH-03
要求内容:
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
ftp话单时,需要在FTP服务器进行删除、移动、改名等权限。
操作方法:
a.限制某些系统帐户不准ftp登录:
通过修改ftpusers文件,增加帐户
#vi/etc/ftpusers#Solaris8
#vi/etc/ftpd/ftpusers#Solaris10
b.限制用户可使用FTP不能用Telnet,假如用户为ftpxll
创建一个/etc/shells文件,添加一行/bin/true;
修改/etc/passwd文件,ftpxll:
x:
119:
1:
:
/home/ftpxll:
/bin/true
注:
还需要把真实存在的shell目录加入/etc/shells文件,否则没有用户能够登录ftp
c.限制ftp用户登陆后在自己当前目录下活动
编辑ftpaccess,加入如下一行restricted-uid*(限制所有),
restricted-uidusername(特定用户)
ftpaccess文件与ftpusers文件在同一目录
d.设置ftp用户登录后对文件目录的存取权限,可编辑/etc/ftpd/ftpaccess。
chmodnoguest,anonymous
deletenoguest,anonymous
overwritenoguest,anonymous
renamenoguest,anonymous
umasknoanonymous
说明:
查看#catftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
操作验证:
1.验证方法:
查看新建的文件或目录的权限,操作举例如下:
#more/etc/ftpusers#Solaris8
#more/etc/ftpd/ftpusers#Solaris10
#more/etc/passwd
#more/etc/ftpaccess#Solaris8
#more/etc/ftpd/ftpaccess#Solaris10
2.预期结果:
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
4.2日志审计
本部分对SOLARIS操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
4.2.1登录日志(必选)
编号:
安全要求-设备-SOLARIS-LOG-01
要求内容:
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作方法:
修改文件:
vi/etc/default/login,设置SYSLOG=YES。
SOLARIS10是wtmpx文件,Solaris8是wtmp,wtmps,文件中记录着所有登录过主机的用户,时间,来源等内容,这两个文件不具可读性,可用last命令来看。
操作验证:
1.验证方法:
查看文件:
more/etc/default/login中的SYSLOG=YES
/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户,时间,来源等内容,该文件不具可读性,可用last命令来
升级会员 