系统安全加固参考信息.docx

1、系统安全加固参考信息Linux 系统安全加固参照信息1 操作系统安全 -身份鉴识 31.1 对登录操作系统的用户进行身份表记和鉴识 31.2 最小密码长度 31.3 密码复杂度 31.4 密码词典 41.5 系统密码使用时间 41.6 对失败登录的次数进行限制 41.7 密码重复使用次数设置 51.8SSH服务 IP，端口，协议，同意密码错误的次数，网络中同意翻开的会话数 51.9root 账号远程登录设置 51.10防备任何人使用 su 命令连结 root 用户 61.11系统 Banner设置 62 操作系统安全 -接见控制 72.1 改正帐户口令，改正默认帐户的接见权限 72.2 删除剩

2、余的、过期的帐户，防止共享帐户的存在 72.3 限制超级管理员远程登录 83 操作系统安全 -入侵防备 83.1 仅安装需要的应用程序，封闭不需要的服务和端口 83.2 封闭不用要的服务 83.3 网络接见控制策略 94 操作系统安全 -资源控制 94.1 依据安全策略设置登录终端的安闲超时断开会话或锁定 94.2 文件创立初始权限 94.3 设置适合的历史命令数目 94.4 系统磁盘节余空间充分知足近期的业务需求 104.5 检查并记录操作系统的分区状况和文件系统利用率 105 操作系统安全日记 105.1 日记功能开启 105.2 失败登录日记监控 115.3syslog日记等级的安全配置

3、 115.4 安全审计谋略 115.5 系统日记记录 125.6 启用记录 cron 行为日记功能和 cron/at 的使用状况 126 操作系统安全 -系统安全 126.1 补丁管理 126.2 检查并记录系统开启的网络端口 136.3 封闭无效服务和启动项 136.4 仅同意特定 IP 同意接见服务 147 操作系统安全 -其余服务安全 147.1FTP配置文件 147.2R族文件 157.3NFS文件系统配置状况检查 157.4FTP用户及服务安全 151操作系统安全 -身份鉴识1.1 对登录操作系统的用户进行身份表记和鉴识要求解决方法需对全部的帐号设置密码， 要求在登岸系统时一定输进口

4、令进行身份考证。关于目前用户使用命令“ passwd ”进行密码设置；关于其余用户则使用 root 权限登录后，使用命令“ passwd ” 进行密码设置。备注1.2 最小密码长度要求解决方法密码长度、使用密码词典vi /etc/security/userminlen = 8 / 定义口令的最小长度，注意口令的最小长度由 minlen 和minalpha+minother 中较大的一个值来决定。 minalpha+minother 不该当大于8，假如大于 8 则 minother 会变成 8-minalpha。（ minalpha = 4 / 定义在口令中最少的字母的数目，默认是 0，范围是：

5、0 到 8minother = 0 / 定义在口令中最少的非字母的数目，默认是 0，范围是： 0到 8）备注1.3 密码复杂度要求解决方法密码复杂度vi /etc/security/user密码复杂程度要求包含数字和字母/etc/security/userMinalpha 4/ 定义在口令中最少的字母的数目，默认是 0，范围是： 0 到 8Minother 4/ 定义在口令中最少的非字母的数目，默认是 0，范围是： 0 到8备注1.4 密码词典要求 使用密码词典检查新密码解决方法 使用/etc/security/userDictionlist /usr/share/dict/words备注1.

6、5 系统密码使用时间要求 密码使用时间解决方法 密码按期改正间隔设置为 12 周或更短/etc/security/userMaxage=12备注1.6 对失败登录的次数进行限制要求 对失败登录的次数进行限制解决方法 同意的失败登岸次数设置为 5 次或 5 次以下/etc/security/userLoginretries=5备注1.7 密码重复使用次数设置要求 密码重复使用次数设置为起码 8 次解决方法备注/etc/security/userhistsize=81.8 SSH服务 IP，端口，协议，同意密码错误的次数，网络中同意打开的会话数要求解决方法备注SSH 服务 IP，端口，协议，最大同

7、意认证次数，网络中同意翻开的会话数cat /etc/ssh/sshd_configPort 22 /SSH 服务端端口为 22 /SSH 服务端监听地点为 SyslogFacility AUTHPRIV / 系统登录功能有加密LoginGraceTime 0 / 限制用户一定在指定的时间内认证成功， 0 表示不限制， 2m 为两个月内。MaxAuthTries 6 / 指定每个连结最大同意的认证次数， 默认值是 6。假如失败认证的次数超出这个数值的一半，连结将被强迫断开，且会生成额外的失败日记信息。MaxSessions 10 / 指定每个网络连结同意翻开会话的最大数目，默认 10MaxSta

8、rups 10 / 最大同意保持多少个未认证的连结，默认 10。达到限制后，将不再接受新连结，除非先前的连结认证成功或超出 LoginGraceTime 的限制。改正达成后，重启 ssh 服务service sshd restart备注1.9 root 账号远程登录设置要求 不同意 root 直接登录及有关配置使用命令“ vi /etc/ssh/sshd_config ”编写配置文件解决方法#cat /etc/ssh/sshd_configPermitRootLogin yes /能否同意 root 登录。PasswordAuthentication yes / 密码能否有认证 选 yes 有

9、ChallengeResponseAuthentication no / 攻击响应认证 否GSSAPIAuthentication yes / 通用安全服务应用程序接口认证是UsePAM no / 假如启用了 PAM ，那么一定使用root 才能运转 sshd。设置“ PermitRootLogin ”的值为 no备注改正达成后，重启 ssh 服务service sshd restart1.10 防备任何人使用 su 命令连结 root 用户要求解决方法不想任何人都能够用“ su ”命令成为root 或只让某些用户有权使用“ su ”命令备注1.11 系统 Banner设置要求解决方法经过改正

10、系统 banner，防止泄露操作系统名称，版本号，主机名称等，并且给出登岸告警信息设置系统 Banner 的操作以下：在 /etc/security/login.cfg 文件中，在 default 小节增添：herald = ATTENTION:You have logged onto a secured server.All accesseslogged.nnlogin:备注2操作系统安全 -接见控制2.1 改正帐户口令，改正默认帐户的接见权限要求 严格限制默认帐户的接见权限，重命名系统默认帐户，改正这些帐户的默认口令解决方法备注使用命令 cat /etc/password 文件来查察默认账

11、户，并使用命令“ cat /etc/shadow ”查察文件中的口令能否为默认口令。使用 root 账户进行登录，使用命令“ passwd username password”来改正用户的口令。关于没法重命名的系统默认帐号，为加强主机系统的安全性，建议使用命令“ smit user”，将与业务没关的系统默认用户进行锁定；此操作拥有必定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，免得影响正常业务应用。2.2 删除剩余的、过期的帐户，防止共享帐户的存在要求解决方法备注删除剩余的、过期的帐户，防止共享帐户的存在方法一：可使用命令“ smit user”，将剩余的、过期的帐户，共享帐户

12、等系统默认用户进行锁定；使用命令“ smit user”解锁不用要的账号使用命令“ smit user”删除剩余、过期的账号方法二：vi /etc/security/user有关用户account_locked = true此操作拥有必定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，免得影响正常业务应用。2.3 限制超级管理员远程登录要求解决方法备注限制具备超级管理员权限的用户远程登录。远程履行管理员权限操作，应先以一般权限用户远程登录后，再切换到超级管理员权限账。系统目前状态：履行 lsuser -a rlogin root 命令，查察 root 的 rlogin 属性并记录实

13、行步骤 ：参照配置操作：（1）、查察 root 的 rlogin 属性：#lsuser -a rlogin root（2）、严禁 root 远程登岸：#chuser rlogin=false root复原 root 能够远程登岸，履行以下命令：#chuser rlogin=true root3操作系统安全 -入侵防备3.1 仅安装需要的应用程序，封闭不需要的服务和端口1.咨询有关保护人员， 主机系统是除装有正常业务应用所需要的程序外，要求能否还安装有与业务应用没关的其余程序；2.咨询有关保护人员并获得 受权安装软件清单 文档， 查察目前操作系统中能否安装有非清单内的应用软件。3.咨询有关保护人

14、员，能否封闭了除正常业务应用以外的全部服务与端口，详细检查方法：解决方法备注使用命令“ netstat an”查察开放的端口；使用命令“ netstat an”查察开放的端口；3.2 封闭不用要的服务要求解决方法封闭不用要的服务（ 9）要开启审计服务 auditd备注3.3 网络接见控制策略要求解决方法备注1.访谈系统管理员， 能否拟订了严格的接见控制策略， 包含能否限制登录取户，对远程登录的 IP 能否有限制，采纳哪一种远程登录方式等。查察 hosts.allow、 hosts.deny能否对某些服务，某些 IP 进行了限制。#cat hosts.allowSshd:210.13.218.*

15、:allow / 表示同意 210ip 段连结 shhd 服务#cat hosts.denySshd:all:deny / 表示拒绝全部 sshd 远程连结当 hosts.allow 与 hosts.deny相矛盾时以 hosts.allow 为准。4操作系统安全 -资源控制4.1 依据安全策略设置登录终端的安闲超时断开会话或锁定要求解决方法备注依据安全策略设置登录终端的安闲超时断开会话或锁定可使用命令“ cat /etc/profile |grep TMOUT ”查察超时的时间设置。使用命令“ vi /etc/profile ”改正配置文件，增添行“ TMOUT=180 ”，单位为秒，即超不

16、时间为 3 分钟。超不时间的设置需要与应用管理员进行确认，免得影响正常业务应用。4.2 文件创立初始权限文件创立初始权限要求vi /etc/security/user解决方法设置 umask值umask 077 # 合用 root 用户，其余用户不行读umask 022 # 合用非 root 用户，其余用户可读不行写备注4.3 设置适合的历史命令数目设置适合的历史命令数目要求解决方法备注编写“ /etc/profile ”文确件保，HISTFILESIZE 和 HISTSIZE 都设成了一个比较小的值。HISTSIZE=80HISTFILESIZE=804.4 系统磁盘节余空间充分知足近期的业

17、务需求要求解决方法备注1.检查用户能否成立有服务器备份储存及介质空间管理制度文档， 检查此中能否对主机系统的磁盘空间的大小做出明确的要求；2.检查主机系统的磁盘空间， 查察各个分区能否有充分的节余磁盘空间来满足近期的业务需求。使用命令“ df hl”命令来查察目前磁盘占用空间状况建议以下：1.成立服务器备份储存及介质空间管理制度文档， 并在此中对程序及重要数据的备份、对主机系统的磁盘空间的大小等项目做出明确的要求；2.管理员按期检查全部主机系统的磁盘占用空间及其余资源占用状况， 假如发现磁盘空间不够，由有关技术人员提出申请，进行磁盘空间的扩大。4.5 检查并记录操作系统的分区状况和文件系统利用

18、率检查并记录操作系统的分区状况和文件系统利用率要求df h 能够查察有关信息：解决方法Filesystem size used avail use% mounted on文件系统 大小 已用 可用 使用率 挂载点当使用率过高时要注意了！备注5操作系统安全日记5.1 日记功能开启要求解决方法启用日记记录功能syslog的配置主要经过 /etc/syslog.conf 配置，日记信息能够记录在当地的文件中间 (如 /var/adm/messages) 或远程的主机上 (hostname)。startsrc -s syslogd 启动 syslog服务stopsrc-s syslogd 停止 sys

19、log服务备注5.2 失败登录日记监控要求解决方法经过系统日记的方式记录失败的登录试试系统记录失败的用户登录/etc/security/failedloginWho /etc/security/failedlogin 查察备注5.3 syslog日记等级的安全配置要求解决方法备注syslog日记等级的安全配置syslog配置文件要求：改正文件 安全设置/etc/syslog.conf 配置文件中包含一下日记记录：*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth,authpriv.info /va

20、r/adm/authlog5.4 安全审计谋略要求 安全审计谋略方法：解决方法查察系统日记配置，履行：#cat /etc/syslog.conf查察 syslogd的配置，并确认日记文件能否存在*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages/ 系统日记默认寄存在 /var/log/messagescron.* /var/log/cron /cron 日记默认寄存在 /var/log/cronauthpriv.* /var/log/secure / 安整日记默认寄存在 /var/log/secure备注5.

21、5 系统日记记录要求 查年系统日记记录解决方法备注履行：cat /etc/log/secure / 记录 pop3,telnet,ssh,ftp 登岸信息的文件last R / 查察前 50 次登岸系统用户的信息cat /etc/log/messages / 查察系统发生的错误信息（包含登岸信息）5.6 启用记录 cron 行为日记功能和 cron/at 的使用状况要求解决方法启用记录 cron 行为日记功能和 cron/at 的使用状况cron/At 的有关文件主要有以下几个： /var/spool/cron/crontabs 寄存 cron 任务的目录 /var/spool/cron/cr

22、on.allow 同意使用 crontab 命令的用户 /var/spool/cron/cron.deny 不同意使用 crontab 命令的用户/var/spool/cron/atjobs 寄存 at 任务的目录/var/spool/cron/at.allow 同意使用 at 的用户/var/spool/cron/at.deny 不同意使用 at 的用户使用 crontab 和 at 命令能够分别对 cron 和 at 任务进行控制。#crontab -l 查察目前的 cron 任务#at -l 查察目前的 at 任务备注6操作系统安全 -系统安全6.1 补丁管理要求解决方法系统补丁安装标准

23、履行 oslevel r 命令或 instfix -i|grep ML 命令，查察补丁目前安装的状况和版本。使用 instfix aik 命令来达成补丁的安装操作。注意：（ 1）、在 AIX 系统中波及安全的补丁包有以下几种：介绍保护包（ Recommended Maintenance Packages）: 由一系列最新的文件集构成的软件包，包含了特定的操作系统（如 AIX 5.2 ）公布以来的全部文件集的补丁。重点补丁 Critical fixes(cfix) ：自介绍保护包以后，修理重点性破绽的补丁。紧迫补丁 Emergency fixes(efix): 自介绍保护包以后，修理紧迫安全破绽

24、的补丁。（ 2）、补丁安装原则：在新装和从头安装系统后， 一定安装最新的介绍保护包， 以及该最新介绍保护包以来的全部独自的 cfix 和 efix 。平时保护中假如厂家推出新的 RM、cfix 、efix 则依据原补丁保护管理规定进行补丁安装。应依据需要实时进行补丁装载。注意：补丁更新要谨慎，可能出现硬件不备注兼容，或许影响目前的应用系统，安装补丁以前要经过测试和考证。6.2 检查并记录系统开启的网络端口要求解决方法备注检查并记录系统开启的网络端口netstat antp (查察开启的 tcp 端口 )netstat anup （查察开启的 udp 端口）此中： Proto 显示连结使用的协议

25、Local Address 查察当地地点及端口6.3 封闭无效服务和启动项要求解决方法封闭无效服务和启动项查察 /etc/inittab 、 /etc/rc.tcpip 和 /etc/rc.nfs 等文件并记录目前配置；查察/etc/inetd.conf 文件并记录目前的配置（一）、 rc.dAIX 系统中的服务主要在 /etc/inittab 文件和 /etc/rc.* （包含 rc.tcpip， rc.nfs）等文件中启动，事实上， /etc/rc.* 系列文件主要也是由 /etc/inittab 启动。同时， AIX 中全部启动的服务（起码与业务有关的）都能够同过 SRC（ System

26、Resource Manager）进行管理。能够有三种方式查察系统服务的启动状况：（1）、使用 vi 查察 /etc/inittab 、 /etc/rc.tcpip 和 /etc/rc.nfs 等文件；（2）、使用 lssrc 和 lsitab 命令；（3）、经过 smit 查察和改正。注： SRC自己经过 /etc/inittab 文件启动。 lssrc -a 列出全部 SRC 管理的服务的状态 lsitab -a 列出全部由 /etc/inittab 启动的信息，和 cat /etc/inittab 基真同样，除了没有说明。依据管理员所供给的服务列表与目前系统中所启动的服务列表相对照，假如

27、发现与业务应用没关的服务，或不用要的服务和启动项，则封闭掉或禁用；也能够对服务做适合配置。（二）、 inetd.conf由 INETD 启动的服务在文件 /etc/inetd.conf 定义（ inetd 自己在 /etc/rc.tcpip中由 SRC 启动），所以查察 INETD 启动的服务的状况有两种方法：（1）、使用 vi 查察 /etc/inetd.conf 中没有说明的行；（2）、使用 lssrc 命令。lssrc -l -s inetd 查察 inetd 的状态以及由 INETD 启动的服务的状态； refresh -s inetd 改正 /etc/inetd.conf 文件后重启 inetd。建议封闭由 inetd 启动的全部服务； 假如有管理上的需要， 能够翻开 telnetd、 ftpd 、 rlogind、 rshd 等服务。启动或停止 inetd 启动的服务（比如 ftpd ）：（ 1）、使用 vi 编写 /etc/inetd.conf ，去掉说明 （启动） 或说明掉 （停止） ftpd 所在的行；（2）、重启 inetd： refresh -s inetd。依据管理员所供给的服务列表与目前系统中所启动的服务列表相对照，假如发现与业务应用没