安全生产系统安全加固手册.docx

1、安全生产系统安全加固手册 （安全生产）系统安全加固手册系统安全加固手册1帐户安全配置要求1.1创建shadow影子口令文件配置项名称设置影子口令模式检查方法执行：#moreshadow查看是否存在该文件操作步骤1、执行备份：#cpppasswdpasswd_bak2、切换到影子口令模式：#pwconv回退操作执行：#pwunconv#cppasswd_bakpasswd风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2建立多帐户组，将用户账号分配到相应的帐户组配置项名称建立多帐户组，将用户账号分配到相应的帐户组检查方法1、执行：#moregroup#moreshadow

2、查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份：#cppgroupgroup_bak2、修改用户所属组：#usermodggroupusername回退操作执行：#cpgroup_bakgroup风险说明修改用户所属组可能导致某些应用无法正常运行1.3删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检查方法1、执行：#morepasswd查看是否存在以下可能无用的帐户：hpsmh、named、uucp、nuucp、adm、daemon、bin、lp2、与管理员确认需要锁定的帐户操作步骤1、执行备份：#cpppasswdpasswd_bak2、锁

3、定无用帐户：#passwd-lusername回退操作执行：#cppasswd_bakpasswd风险说明锁定某些用户可能导致某些应用无法正常运行1.4删除可能无用的用户组配置项名称删除可能无用的用户组检查方法1、执行：#moregroup查看是否存在以下可能无用的用户组：lpnuucpnogroup2、与管理员确认需要删除的用户组操作步骤1、执行备份：#cppgroupgroup_bak2、删除无用的用户组：#groupdelgroupname回退操作执行：#cpgroup_bakgroup风险说明删除某些组可能导致某些应用无法正常运行1.5检查是否存在空密码的帐户配置项名称检查是否存在空密

4、码的帐户检查方法执行下列命令，检查是否存在空密码的帐户loginsp应无回结果操作步骤1、执行备份：#cpppasswdpasswd_bak#cp-pshadowshadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwdlusername回退操作执行：#cpppasswd_bakpasswd#cp-pshadow_bakshadow风险说明锁定某些帐户可能导致某些应用无法正常运行1.6设置口令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检查方法1、执行下列命令，检查是否存在空密码的帐户#loginsp应无返回结果2、执行：#moredefault/secu

5、rity检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份：#cppdefault/securitydefault/security_bak#cpppasswdpasswd_bak2、执行下列命令，编辑default/security#videfault/security修改以下各项复杂度参数：MIN_PASSWORD_L

6、ENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行：#cpdefault/security_bakdefault/security#cppasswd_bakpasswd风险说明可能导致非root用户修改自己的密码时多次不成功1.7设置帐户口令生存周期配置项名称设置帐户口令生存周期检查方法执行：#moredefault/security查看是否存在以下各项参数：PASSWORD_MAXDAY

7、S=90PASSWORD_WARNDAYS=28操作步骤1、执行备份：#cppdefault/securitydefault/security_bak#cpppasswdpasswd_bak2、执行下列命令，编辑default/security#videfault/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行：#cpdefault/security_bakdefault/security#cppasswd_bakpasswd风险说明可能在密码过期后影响正常使用及维护1.8设定密码历史，不能重复使用最近5次（含5次）

8、内已使用的口令配置项名称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检查方法执行：#moredefault/security查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份：#cppdefault/securitydefault/security_bak#cpppasswdpasswd_bak2、执行下列命令，编辑default/security#videfault/security修改以下参数：PASSWORD_HISTORY_DEPTH=5回退操作执行：#cpdefault/security_bakdefault/security

9、#cppasswd_bakpasswd风险说明低风险1.9限制root用户远程登录配置项名称root用户远程登录限制检查方法执行：#moresecuretty检查是否有下列行：Console执行：#moresshsshd_config检查是否有PermitRootLoginno操作步骤1、执行备份：#cppsecuretty/etc/securetty_bak#cp-psshsshd_configsshsshd_config_bak2、新建一个普通用户并设置高强度密码：#useraddusername#passwdusername3、禁止root用户远程登录系统：#visecuretty去掉c

10、onsole前面的注释，保存退出#visshsshd_config将PermitRootLogin后的yes改为no回退操作执行：#cpsecuretty_baksecuretty#cp-psshsshd_config_baksshsshd_config风险说明严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁1.10检查passwd、group文件权限设置配置项名称检查passwd、group文件权限设置检查方法执行：#lslpasswdgroup操作步骤1、执行备份：#cpppasswdpasswd_bak#cppgroupgroup

11、_bak2、修改文件权限：#chmod644passwd#chmod644group回退执行：#cppasswd_bakpasswd#cpgroup_bakgroup风险说明权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常1.11系统umask设置配置项名称系统umask设置检查方法执行：#moreprofile检查系统umask值操作步骤1、执行备份：#cp-pprofileprofile_bak2、修改umask设置：#viprofile将umask值修改为027，保存退出回退操作执行：#cpprofile_bakprofile风险说明umask设置不当可能导致某些应用无法

12、正确自动创建目录或文件，从而运行异常2访问、认证安全配置要求2.1远程登录取消telnet采用ssh配置项名称远程登录取消telnet采用ssh检查方法查看SSH、telnet服务状态：#pself|grepssh#pself|greptelnetSSH服务状态查看结果为：onlinetelnet服务状态查看结果为：disabled操作步骤1、备份#cpp_bak2、修改文件，将telnet行注释掉#telnetstreamtcpnowaitrootlbin/telnetdtelnetd3、重启服务#inetd-c4、安装ssh软件包，通过#sshsshdstart来启动SSH。回退操作执行：

13、#cpp_bak启动telnet#lbin/telnetdstart停止SSH#sshsshdstop风险说明影响维护人员操作习惯，需要重启服务2.2限制系统帐户FTP登录配置项名称限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐户FTP登录检查方法执行：#catftpd/ftpusers查看具体的禁止FTP登陆系统的用户名单操作步骤1、执行备份：#cp-pftpd/ftpusersftpd/ftpusers_bak2、禁止用户FTP登录系统：#viftpd/ftpusers每一个帐户一行，添加以下帐户禁止FTP登录

14、root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作执行：#cpftpd/ftpusers_bakftpd/ftpusers风险说明禁止某些帐户登录FTP可能导致某些应用无法正常运行2.3配置允许访问inetd服务的IP范围或主机名配置项名称配置允许访问inetd服务的IP范围或主机名检查方法执行：#catadm/查看有无类似logindeny192.54.24.5.edutestlan配置操作步骤1、执行备份：#cp-padm/adm/_bak2、添加允许访问inetd服务的IP范围或主机名：#viadm/按照如下格式添加

15、IP范围或主机名servicenameallow|denyhostaddrs|hostnames|netaddrs|netnames回退操作执行：#cpadm/_bakadm/风险说明需确认IP信任范围，设置不当会导致网络服务通信异常2.4禁止除root外帐户使用at/cron配置项名称禁止除root外帐户使用at/cron检查方法执行：#cdadm/cron#cat#cat查看是否存在root；执行：#cat#cat检查是否存在和文件，若存在，应删除。操作步骤1、执行备份#cdadm/cron#cp-p_bak#cp-p_bak#cp-p_bak#cp-p_bak2、添加root到和，并删除

16、和。#cdadm/cron#rm-f#echoroot#echoroot#chownroot:sys#chmod400回退操作#cdadm/cron#cp-p_bak#cp-p_bak#cp-p_bak#cp-p_bak风险说明除root外帐户不能使用at/cron，可能影响某些应用。2.5设定连续认证失败次数超过6次（不含6次）锁定该账号配置项名称配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检查方法执行：#catdefault/security检查是否存在AUTH_MAXTRIES=6操作步骤1、执行备份#cp-pdefault/securitydefault/se

17、curity_bak2、执行下列命令，设置最大登录认证重试次数锁定帐户为6次echoAUTH_MAXTRIES=6default/security回退操作#cp-pdefault/security_bakdefault/security风险说明root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。3文件系统安全配置要求3.1重要目录和文件的权限设置配置项名称重要目录和文件的权限设置检查方法执行以下命令检查目录和文件的权限设置情况：#lsl#lsl#lsldefault/#ls-l.d/操作步骤1、执行备份：使用cp命令备份需要修改权限的文件或目录2、权限修改：

18、使用chmod命令修改文件或目录权限回退操作使用cp命令恢复被修改权限的文件或目录或使用chmod命令恢复权限风险说明修改某些重要的配置文件的权限可能导致系统功能或应用异常3.2检查没有所有者的文件或目录配置项名称检查没有所有者的文件或目录检查方法执行：#find/(-nouser-o-nogroup)-execls-al;咨询管理员找到的文件或目录是否应用所需操作步骤1、执行备份：使用cp命令备份没有所有者的文件或目录2、使用chmod命令添加属主或删除没有所有者的文件或目录：#rmrffilename回退操作使用cp命令恢复被删除的没有所有者的文件或目录风险说明执行检查会大量消耗系统资源，

19、需要确认无所有者的文件的具体用途4网络服务安全配置要求4.1禁止NIS/NIS+服务以守护方式运行配置项名称禁止NIS/NIS+服务以守护方式运行NetworkInformationSystem检查方法执行：#more.d/namesvrs查看该文件中是否存在以下参数：NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=0操作步骤1、执行备份：#cp-p.d/namesvrs.d/namesvrs_bak2、编辑.d/namesvrs文件，设置参数：#ch_rc-a-pNIS_MASTE

20、R_SERVER=0-pNIS_SLAVE_SERVER=0-pNIS_CLIENT=0-pNISPLUS_SERVER=0-pNISPLUS_CLIENT=0.d/namesvrs回退操作#cp-p.d/namesvrs_bak.d/namesvrs风险说明NIS/NIS+服务无法自动启动4.2禁用打印服务以守护方式运行配置项名称禁止打印服务以守护方式运行检查方法执行：#more.d/tps查看该文件中是否存在XPRINTSERVERS=#more.d/lp查看该文件中是否存在LP=0#more.d/pd查看该文件中是否存在PD_CLIENT=0操作步骤1、执行备份：#cp-p.d/tps.

21、d/tps_bak#cp-p.d/lp.d/lp_bak#cp-p.d/pd.d/pd_bak2、设置参数：#ch_rc-a-pXPRINTSERVERS=.d/tps#ch_rc-a-pLP=0.d/lp#ch_rc-a-pPD_CLIENT=0.d/pd回退操作#cp-p.d/namesvrs_bak.d/namesvrs风险说明打印服务无法自动启动4.3禁用SENDMAIL服务以守护方式运行配置项名称禁止SENDMAIL服务以守护方式运行检查方法执行：#more.d/mailservs查看该文件中是否存在SENDMAIL_SERVER=0操作步骤1、执行备份：#cp-p.d/mailse

22、rvs.d/mailservs_bak#cp-pspoolcrontabs/rootspoolcrontabs/root_bak2、设置参数：#ch_rc-a-pSENDMAIL_SERVER=0.d/mailservs#cdspoolcrontabs#crontab-l#echo0*lib/sendmail-q#crontab#rm-f回退操作#cp-p.d/mailservs.d/mailservs_bak#cp-pspoolcrontabs/rootspoolcrontabs/root_bak风险说明导致无法收发邮件，需确认服务器用途4.4禁用不必要的标准启动服务配置项名称禁用不必要的标

23、准启动服务检查方法检查SNAplus2服务，执行：#more.d/snaplus2查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查多播路由服务，执行：#more.d/netdaemons查看该文件中是否存在MROUTED=0、RWHOD=0、DDFA=0、START_RBOOTD=0检查DFS分布式文件系统服务，执行：#more.d/dfs查看该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0

24、、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0检查逆地址解析服务，执行：#more.d/netconf查看该文件中是否存在RARPD=0、RDPD=0检查响应PTY（伪终端）请求守护进程，执行：#more.d/ptydaemon查看该文件中是否存在PTYDAEMON_START=0检查响应VT（通过LAN登录其他系统）请求守护进程，执行：#more.d/vt查看该文件中是否存在VTDAEMON_START=0检查域名守护进程服务，执行：#more.d/namesvrs查看该文件中是否存在NAMED=0检查SN

25、MP代理进程服务，执行：#more.d/查看该文件中是否存在PEER_SNMPD_START=0检查授权管理守护进程服务，执行：#more.d/i4lmd查看该文件中是否存在START_I4LMD=0检查SNAplus2服务，执行：#more.d/snaplus2查看该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查X字体服务，执行：#more.d/xfs查看该文件中是否存在RUN_X_FONT_SERVER=0检查语音服务，执行：#more.d/audio查看该文件中是否存在AUDIO_SERVER=0检查SLSD（Singl

26、e-Logical-Screen-Daemon）服务，执行：#more.d/slsd查看该文件中是否存在SLSD_DAEMON=0检查SAMBA服务，执行：#more.d/samba查看该文件中是否存在RUN_SAMBA=0检查CIFS客户端服务，执行：#more.d/cifsclient查看该文件中是否存在RUN_CIFSCLIENT=0检查NFS启动服务，执行：#more.d/nfsconf查看该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0检查NetscapeFastTrackServer服务，执行：#more.d/ns-ftrack查看该文件中是否存在NS_FTRAC

27、K=0检查APACHE服务，执行：#more.d/apacheconf查看该文件中是否存在APACHE_START=0检查基于RPC的服务，执行：#lsrc2.d/.NOS400查看是否存在该文件操作步骤1、执行备份：使用cp命令备份需要修改的文件2、设置参数：执行下列命令，禁用SNAplus2服务#ch_rc-a-pSTART_SNAPLUS=0-pSTART_SNANODE=0-pSTART_SNAINETD=0.d/snaplus2执行下列命令，禁用多播路由服务#ch_rc-a-pMROUTED=0-pRWHOD=0-pDDFA=0-pSTART_RBOOTD=0.d/netdaemon

28、s执行下列命令，禁用DFS分布式文件系统服务#ch_rc-a-pDCE_KRPC=0-pDFS_CORE=0-pDFS_CLIENT=0-pDFS_SERVER=0-pDFS_EPISODE=0-pEPIINIT=0-pDFSEXPORT=0-pBOSSERVER=0-pDFSBIND=0-pFXD=0-pMEMCACHE=0-pDFSGWD=0-pDISKCACHEFORDFS=0.d/dfs执行下列命令，禁用逆地址解析服务#ch_rc-a-pRARPD=0-pRDPD=0.d/netconf执行下列命令，禁用响应PTY（伪终端）请求守护进程#ch_rc-a-pPTYDAEMON_START

29、=0.d/ptydaemon执行下列命令，禁用响应VT（通过LAN登录其他系统）请求守护进程#ch_rc-a-pVTDAEMON_START=0.d/vt执行下列命令，禁用域名守护进程#ch_rc-a-pNAMED=0.d/namesvrs执行下列命令，禁用SNMP代理进程#ch_rc-a-pPEER_SNMPD_START=0.d/执行下列命令，禁用授权管理守护进程#ch_rc-a-pSTART_I4LMD=0.d/i4lmd执行下列命令，禁用X字体服务#ch_rc-a-pRUN_X_FONT_SERVER=0.d/xfs执行下列命令，禁用语音服务#ch_rc-a-pAUDIO_SERVER=0.d/audio执行下列命令，禁用SLSD（Single-Logical-Screen-Daemon