当前位置：搜档网 › LINUX安全加固手册

LINUX安全加固手册

用户帐号安全Password and account security

43、1 密码安全策略

43、2 检查密码是否安全

43、3 Password Shadowing

43、4 管理密码

43、5 其它54 网络服务安全(Network Service Security)

54、1服务过滤Filtering

64、2/etc/inetd、conf

64、3R 服务

74、4Tcp_wrapper

74、5/etc/hosts、equiv 文件

84、6 /etc/services

84、7/etc/aliases

84、8 NFS

94、9Trivial ftp (tftp)

94、10 Sendmail

94、11 finger104、12UUCP104、13World Wide Web (WWW)

–httpd104、14FTP安全问题115系统设置安全(System Setting Security)1

25、1限制控制台的使用1

25、2系统关闭Ping1

25、3关闭或更改系统信息1

25、4 /etc/securetty文件1

35、5 /etc/host、conf文件1

35、6禁止IP源路径路由1

35、7资源限制1

35、8 LILO安全1

45、9 Control-Alt-Delete 键盘关机命令1

45、10日志系统安全1

55、11修正脚本文件在“/etc/rc、d/init、d”目录下的权限156文件系统安全(File System Security)1

56、1文件权限1

56、2控制mount上的文件系统1

66、3备份与恢复167其它1

67、1使用防火墙1

67、2使用第三方安全工具161概述近几年来Internet变得更加不安全了。网络的通信量日益加大，越来越多的重要交易正在通过网络完成，与此同时数据被损坏、截取和修改的风险也在增加。

只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点，基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此，优秀的系统应当拥有完善的安全措施，应当足够坚固、能够抵抗来自Internet的侵袭，这正是Linux之所以流行并且成为Internet 骨干力量的主要原因。但是，如果你不适当地运用Linux的安全工具，它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题，本文将为你解释必须掌握的Linux安全知识。本文讲述了如何通过基本的安全措施，使Linux系统变得可靠。

2 安装使系统处于单独（或隔离）的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击安装完成后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-r eleseejectlinuxconfkudzugdbcgetty_psraidtoolspciutilsmailcapsetconsol egnupg用下面的命令卸载这些软件：[root@deep]#rpm –e softwarename卸载它们之前最好停掉三个进程：[root@deep]# /etc/rc、d/init、d/apmd stop[root@deep]# /etc/rc、d/init、d/sendmail stop[root@deep]# /etc/rc、d/init、d/kudzu stop

3、用户帐号安全Password and account security

3、1 密码安全策略l 口令至少为6位，并且包括特殊字符l 口令不要太简单，不要以你或者有关人的相关信息构成的密码，比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。l 口令必须有有效期l 发现有人

长时间猜测口令，需要更换口令

3、2 检查密码是否安全可以使用以下几种工具检查自己的密码是否安全:l JOHN,crack等暴力猜测密码工具l 在线穷举工具，包括Emailcrk、流光等

3、3 Password Shadowingl 使用shadow来隐藏密文（现在已经是默认配置）l 定期检查shadow文件，如口令长度是否为空。#awkG10 admin来将用户加入wheel组

3、5 其它l 清除不必要的系统帐户[root@deep]# userdel adm[root@deep]# userdel lp[root@deep]# userdel sync[root@deep]# userdel shutdown[root@deep]# userdel halt[root@deep]# userdel news[root@deep]# userdel uucp[root@deep]# userdel operator[root@deep]# userdel games (如果不使用X Window，则删除)[root@deep]# userdel gopher[root@deep]# userdel ftp （如果不使用ftp服务则删除）l 尽量不要在passwd文件中包含个人信息，防止被finger之类程序泄露。l 修改shadow,passwd,gshadow文件不可改变位[root@deep]# chattr +i /etc/passwd[root@deep]# chattr +i /etc/shadow[root@deep]# chattr +i /etc/group[root@deep]# chattr +i /etc/gshadowl 不要使用、netrc文件，可以预先生成$HOME/、netrc。设置为0000。touch /、rhosts ；chmod 0 /、rhosts l 使用ssh来代替telnetd,ftpd、pop等通用服务。传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据。4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样的服务，由于服务的多样性及其复杂性，在配置和管理这些服务时特别容易犯错误，另外，提供这些服务的软件本身也存在各种漏洞，所以，在决定系统对外开放服务时，必须牢记两个基本原则：l 只对外开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小。l 将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险。在上述两个基本原则下，还要进一步检查系统服务的功能和安全漏洞。这里针对主机所提供的服务进行相应基本安全配置，某些常用服务的安全配置请参考相关文档。

4、1服务过滤Filteringl 在SERVER上禁止这些服务l 如果一定要开放这些服务，通过防火墙、路由指定信任IP访问。l 要确保只有真正需要的服务

才被允许外部访问，并合法地通过用户的路由器过滤检查。尤其在下面的服务不是用户真正需要时候，要从路由器上将其过滤掉NAME PORT PROTOCOL echo7 TCP/UDP systat11 TCP netstat15 TCP bootp67 UDP tftp69 UDP link87 TCP supdup95 TCP sunrpc111 TCP/UDP news144 TCP snmp161 UDP xdmcp177 UDP exec512 TCP login513 TCP shell514 TCP printer515 TCP biff512 UDP who513 UDP syslog514 UDP uucp540 TCP route520 UDP openwin2000 TCP nfs2049 UDP/TCP x116000 to6000+n TCP 注意：有些UDP服务可以导致DOS攻击和远程溢出，如rpc、ypupdated rpcbindrpc、cmsd rpc、statd rpc、ttdbserver sadmind /10 l 配置完成以后，利用网络扫描器模拟入侵者从外部进行扫描测试。如利用nmap 4、2 /etc/inetd、confl 确保文件权限设置为600l 确保文件属主设置为rootl 注释掉所有不需要的服务，需要重新启动inetd进程l 使用netstat –an命令，查看本机所提供的服务。确保已经停掉不需要的服务

4、3 R 服务不必使用R服务l 关闭R服务,Red hat

6、2在/etc/inetd、conf文件中注释以下服务，并且重新启动inetd服务。Red hat

7、0在/etc/xinetd、d目录中删除exec512TCPRlogin513TCPRshell514TCPl 预先生成$HOME/、rhosts，/etc/hosts、equiv文件，并且设置为0000,防止被写入”+ +”。（攻击者经常使用类似符号链接或者利用ROOTSHELL写入，并且远程打开受保护主机的R服务）必须使用R服务l 使用更安全版本的r服务。如Wietse Venema的logdaemon程序等。l 在路由或者防火墙上禁止外部网络访问受保护主机的512,513 and514 (TCP)端口。l 使用TCP WRAPPERS设置可访问受保护主机R服务的信任机器。

4、4 Tcp_wrapper 该软件的作用是在Unix平台上过滤TCP/UDP服务，它目前已被广泛用于监视并过滤发生在主机上的ftp、telnet、rsh、rlogin、tftp、finger等标准TCP/UDP服务。当系统安装TCP_wrapper之后，in、conf文件中/usr/sbin/in、telnetd的in、telnetd会被TCP_wrapper附带的tcpd程序取代。该程序截获来自客户端的服务请求、记录请求发生的时间和IP地址，并按

访问控制进行检查。当本次连接的用户、请求源的IP等信息符合管理员的预设值时，才将该次请求传递给系统in、telnetd，由系统in、telnetd完成后续工作；若连接不符合要求，该连接请求将被拒绝。同样，ftp、 rsh等TCP/UDP服务均可被tcpd取代，由tcpd充当二传手。l 使用PARANOID 模式,用此参数后需要在/etc/hosts文件中加上允许使用telnet或ftp服务的客户端的名字和IP 地址l 在/etc/hosts、deny中设置为all:all，默认所有不允许Access is denied by default、# Deny access to everyone、ALL: ALL@ALL, PARANOID #Matches any host whose name does not match its address, seebellow、l 在/etc/hosts、allow中设置允许的服务和地址如：sshd:208、1

64、1

86、1 gate、openarchZZZl 使用tcpdchk检查l UDP服务使用tcpwrapper 时要使用/etc/inetd、conf中的nowait选项。

4、5 /etc/hosts、equiv 文件不必使用/etc/hosts、equiv文件l 从系统中删除此文件l 预先生成/etc/hosts、equiv文件，并且设置为0000,防止被写入”+ +”。（攻击者经常使用类似符号链接或者利用ROOTSHELL写入，并且远程打开受保护主机的R服务）必须使用/etc/hosts、equiv文件l 确保此文件中可信赖主机为必须的。l 预先生成/etc/hosts、equiv文件，并且设置为0000,防止被写入”+ +”。（攻击者经常使用类似符号链接或者利用ROOTSHELL写入，并且远程打开受保护主机的R服务）l 如果使用NIS或者NIS+的话，此文件中的组应该是容易管理的。l 信赖主机必须确保可靠l 信赖主机使用全名，如例如hostname、domainname、cnl 任何时候都不应该出现”+”字符，因为这样会使任何一台主机上的任何用户都可以不加口令地访问系统l 文件中不要使用! 和#符号，因为在该文件中那并不表示注释信息l 文件开始字符不应该为-、，请查阅C8l 确保该文件的访问权限被设置成600。l 文件属主确保为ROOT。l 在每次安装补丁程序或操作系统之后，都应该重新检查该文件夹的设置情况

4、6 /etc/servicesl 确保文件权限设置为600l 确保文件属主设置为rootl 如果需要提供一些常见服务，如telnetd等，可以在此修改端口此文件为端口号和服务的对应关系，给此文件加上保护，避免没有授权的修改和删除[root@deep]# chattr +i /etc/services

4、7 /etc/aliasesl 修改/etc/aliases文件，注释掉"decode" "games,ingress,system,toor,manager,…、”、等l 使用/usr/bin/newaliases 命令激活新配置l 确保文件权限设置为755l 确保文件属主设置为root

4、8 NFSNFS文件系统应注意以下几方面的安全l 在外部路由上过滤端口1

11、2049 （TCP/UDP），不允许外部访问。l 检查ＰＡＴＣＨ更新情况。l 检查 /etc/exports 输出路径的权限,确定只有root能修改,all user只能readl 用exportfs 去增加或删除directoriesexportfsu /usrl 假如你的机器没有NIS(YP server)的服务,当更改资料时记得修改/etc/passwd/etc/group/etc/hosts/etc/ethersl 不允许export出去包含本地入口的目录l 确定对方机器是完全可信赖的。使用全名l 确保输出列表没有超过256个字符。l 使用showmount –e命令查看自己的export设置l 将/etc/exports权限设置为644，属主为rootl 使用noexec,nodev、nosuid等选项控制mount的文件系统，在/etc/fstab中设置。

4、9 Trivial ftp (tftp)无论何种情况下都不应该启动这个服务进程。 4、10 Sendmailsendmail提供了许多在编译期间选择的功能特性。通常情况下，按照其缺省配置，即可满足一般用户的需要。但是，了解研究其提供的特性，可以实现对sendmail许多功能的更为准确的配置使用。从网络安全的角度考虑，通过合理地配置有关特性，可以在提供服务和保证安全之间找到更为准确的平衡点(配置特性的方法是将需要的特性加入到相应系统的、mc文件中,然后利用工具m4生成最终的sendmail、cf文件。目前最新版本是sendmail

8、

11、1、(www、sendmail、org)l 最新的发行包l promiscuous_relay：该特性打开任意转发功能，也即关闭

8、9带来的邮件转发方面的安全增强控制。此特性的使用会对电子邮件服务的滥用留下许多隐患，建议除非特别情况，不要使用此特性。l accept_unqualified_senders：缺省情况下，该特性被关闭，即当MAIL FROM:参数中的地址表明属于网络连接,但是却不包含合法的主机地址时，sendmail将拒绝继续通信。打开此特性则不再根据MAIL FROM:参数拒绝接收邮件。建议不

可轻易使用该特性。l loose_relay_check ：通常情况下,当邮件使用了源路由功能,例如user%site@othersite,如果othersite属于转发邮件的范围,则sendmail将分离othersite,继续检查site是否属于转发范围、使用该特性将改变上述缺省操作、建议不要轻易使用该特性l accept_unresolvable_domains ：通常情况下,当MAIL FROM:参数中的主机地址部分无法解析,即无法判定为合法主机地址时,sendmail将拒绝连接、使用该特性将改变上述操作、在某些情况下,例如,邮件服务器位于防火墙后面,无法正常解析外部主机地址,但是仍然希望能够正常接收邮件时,可能需要利用该特性、l blacklist_recipients ：打开接收黑名单功能。接收黑名单可以包括用户名、主机名、或其它地址。l relay_entire_domain ：缺省配置下,sendmail只为在转发控制数据库(access db)中定义为RELAY的主机提供转发邮件服务、该特性的使用,将使sendmail 为本地域内（由$=m类定义）的所有主机上面的用户提供转发功能l sendmail 的受限shell程序smrsh可以防止内部用户恶意操作。l 防止系统信息泄漏，如修改banner,禁止expn,vrfy命令l 建议配置为需要smtp认证功能。l 其他相关的mailserverqmail: www、qmail、orgpostfix: www、postfix、orgqpop: http://www、qpopper、org/Imail：http://www、imailboxZZZ/

4、11 fingerl 不应该启动这个服务进程。l 如果一定要使用，请使用最新的版本。

4、12 UUCPl 建议不要使用l 删除所有的rhosts文件（ＵＵＣＰ目录下的）l 确保、cmds 文件属主为rootl 对ＵＵＣＰ登陆进行限制l 确保ＵＵＣＰ文件没有被设置为所有人可写

4、13 World Wide Web (WWW)

– httpdl 使用你选择的ＷＥＢＳＥＲＶＥＲ的最新版本l 不要使用ＲＯＯＴ用户运行httpdl 在chroot环境中运行httpdl 尽量不要使用ＣＧＩ脚本l 对ＣＧＩ脚本进行安全审计l 链接使用静态库l 过滤危险字符，如\n \r (、,/;~!)>|telnet stream tcp nowait root /usr/sbin/tcpd in、telnetd –h加上参数-h可以关闭telnet信息Red Hat

7、0中,编辑/etc/xinetd、d/telnet加上server_args =r)

on $a $(unamef /etc/issue /etc/issue、net#echo >> /etc/issue

5、4 /etc/securetty文件/etc/securetty文件规定root从哪个TTY设备登录,列出的是允许的tty设备,将不允许的tty设备行注释掉、5、5 /etc/host、conf文件/etc/host、conf定义主机名怎样解析,使用什么服务,什么顺序解析# Lookup names via DNS first then fall back to /etc/hosts、order bind,hosts# We have machines with multiple IP addresses、multi on# Check for IP address spoofing、nospoof onorder指定选择服务的顺序multi指定主机能不能有多个IP地址,ON代表允许nospoof指定不允许IP伪装,此参数必须设置为ON

5、6禁止IP源路径路由允许IP源路径路由(IP source routing)会使得黑客能够欺骗你的计算机,截取信息包、强烈建议禁止，使用如下命令：for f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 > $fdone将accept_source_route设置为0，并将上述命令加到/etc/rc、d/rc、local中去，每次重启动将自动执行

5、7资源限制为了避免拒绝服务攻击，需要对系统资源的使用做一些限制。首先，编辑/etc/security/limits、conf，加入或改变如下* hard core 0 （禁止创建core文件）* hard rss5000 （除root外，其他用户最多使用5M内存）* hard nproc20 （最多进程数限制为20）编辑/etc/pam、d/login,在文件末尾加上：session required /lib/security/pam_limits、so对TCP SYN Cookie 的保护：（防止SYN Flood攻击）[root@deep]# echo1 > /proc/sys/net/ipv4/tcp_syncookies

5、8 LILO安全在“/etc/lilo、conf”文件中添加3个参数：time-out、restricted 和 password。这些选项会在启动时间（如“linux single”）转到启动转载程序过程中，要求提供密码。步骤1编辑lilo、conf文件（/etc/lilo、conf），添加和更改这三个选项：boot=/dev/hda map=/boot/map install=/boot/boot、b time-out=00#change this line to 00prompt Default=linux restricted #add this linepassword= #add this line and put your password image=/boot/vmlinuz-

2、2、14-12 label=linux initrd=/boot/initrd-

2、2、14-

12、img root=/dev/hda6 read-only 步骤2由于其中的密码未加密，“/etc/lilo、conf”文件只对根用户为可读。

[root@kapil /]# chmod600 /etc/lilo、conf （不再为全局可读）步骤3作了上述修改后，更新配置文件“/etc/lilo、conf”。

[Root@kapil /]# /sbin/liloAlt-Delete 键盘关机命令编辑“/etc/inittab”文件，只要在下面行前面加“＃”，改为注释行。ca::ctrlaltdel:/sbin/shutdownr now 改为：#ca::ctrlaltdel:/sbin/shutdownr now 然后，为使更改生效，在提示符下输入：[root@kapil /]# /sbin/init q

5、10日志系统安全为了保证日志系统的完整性，防止黑客删除日志，需要对日志系统进行安全配置。本专题将有专门文档来讲述日志系统的安全。

5、11修正脚本文件在“/etc/rc、d/init、d”目录下的权限对脚本文件的权限进行修正，脚本文件用以决定启动时需要运行的所有正常过程的开启和停止。添加：[root@kapil/]# chmodtype f $04000permexec ls –lg {}\;通过下面的命令来去掉不需要的程序的‘s’位[root@deep]# chmod a-s /usr/bin/commandnamel 重要的配置文件如/etc/passwd,/etc/shadow,/etc/inetd、conf等设置为0755,并设置为不可更改l /etc, /usr/etc, /bin, /usr/bin, /sbin, /usr/sbin, /tmp and/var/tmp 的属主是root,并且设置粘滞。l /dev目录下没有特殊文件。l 查找任何人可写的文件和目录[root@deep]# find /permo20 $

lg {}置，比如：将/dev/sda11 /tmp ext2 defaults12/dev/sda6 /home ext2 defaults12改为：/dev/sda11 /tmp ext2 nosuid,nodev,noexec12/dev/sda6 /home ext2 nosuid,nodev12noexec表示不允许可执行，nodev表示不允许块设备，nosuid表示不允许suid位

6、3备份与恢复定期对文件系统进行备份，可以将损失减小到最小程度。Linux下有多种方法进行备份，如：dd, cpio, tar, dump等7 其它

7、1使用防火墙防火墙是网络安全的重要方面，我们将另有专题来详细阐述防火墙，包括防火墙的原理，linux

2、2内核下IPChains实现，linux

2、4内核下netfilter实现，商业防火墙产品应用等。

7、2使用第三方安全工具Linux下有很多很好的安全工具，比如：Tripwire, SSH, Sudo, Tcpdump, nmap, nessus, snort, sniffit……我们将安排专题来具体讲述这些非常实用的安全工具。

$` /proc/sys/net/ipv4/icmp_echo_ignore_all可以将这一行加到/etc/rc、d/rc、local文件中去，这样系统重启动后会自动执行恢复系统的Ping 响应：[root@deep]#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

5、3关闭或更改系统信息关闭telnet系统信息Red Hat

6、2中,编辑/etc/inetd、conftelnet stream tcp nowait root /usr/sbin/tcpd in、telnetd –h加上参数-h可以关闭telnet信息Red Hat

7、0中,编辑/etc/xinetd、d/telnet加上server_args =r)

on $a $(unamef /etc/issue /etc/issue、net#echo >> /etc/issue

5、7资源限制为了避免拒绝服务攻击，需要对系统资源的使用做一些限制。

首先，编辑/etc/security/limits、conf，加入或改变如下* hard core 0 （禁止创建core文件）* hard rss5000 （除root外，其他用户最多使用5M内存）* hard nproc20 （最多进程数限制为20）编辑/etc/pam、d/login,在文件末尾加上：session required /lib/security/pam_limits、so对TCP SYN Cookie 的保护：（防止SYN Flood攻击）[root@deep]# echo1 > /proc/sys/net/ipv4/tcp_syncookies

2、2、14-12 label=linux initrd=/boot/initrd-

2、2、14-

12、img root=/dev/hda6 read-only 步骤2由于其中的密码未加密，“/etc/lilo、conf”文件只对根用户为可读。

[root@kapil /]# chmod600 /etc/lilo、conf （不再为全局可读）步骤3作了上述修改后，更新配置文件“/etc/lilo、conf”。

5、10日志系统安全为了保证日志系统的完整性，防止黑客删除日志，需要对日志系统进行安全配置。本专题将有专门文档来讲述日志系统的安全。

5、11修正脚本文件在“/etc/rc、d/init、d”目录下的权限对脚本文件的权限进行修正，脚本文件用以决定启动时需要运行的所有正常过程的开启和停止。添加：[root@kapil/]# chmodtype f \(04000permexec ls –lg {}\;通过

下面的命令来去掉不需要的程序的‘s’位[root@deep]# chmod a-s /usr/bin/commandnamel 重要的配置文件如/etc/passwd,/etc/shadow,/etc/inetd、conf等设置为0755,并设置为不可更改l /etc, /usr/etc, /bin, /usr/bin, /sbin, /usr/sbin, /tmp and/var/tmp 的属主是root,并且设置粘滞。l /dev目录下没有特殊文件。l 查找任何人可写的文件和目录[root@deep]# find /permo20 \)

6、3备份与恢复定期对文件系统进行备份，可以将损失减小到最小程度。Linux下有多种方法进行备份，如：dd, cpio, tar, dump等7 其它

7、1使用防火墙防火墙是网络安全的重要方面，我们将另有专题来详细阐述防火墙，包括防火墙的原理，linux

2、2内核下IPChains实现，linux

2、4内核下netfilter实现，商业防火墙产品应用等。

Linux 系统主机安全加固

Linux主机安全加固 V1.0 hk有限公司二零一五年二月

一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 （用户的密码不过期最多的天数） PASS_MIN_DAYS 0 （密码修改之间最小的天数） PASS_MIN_LEN 8 （密码最小长度） PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是 022，如果不是用下面命令进行修改： cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp /etc/group /etc/group.bak

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

linux系统安全加固规范

Linux主机操作系统加固规范

目录第1章概述 (3) 1.1 目的............................................................................................................ 错误！未定义书签。 1.2 适用范围..................................................................................................... 错误！未定义书签。 1.3 适用版本..................................................................................................... 错误！未定义书签。 1.4 实施............................................................................................................ 错误！未定义书签。 1.5 例外条款..................................................................................................... 错误！未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误！未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)

Linu系统主机安全加固

L i n u系统主机安全加固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile.bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

Linu系统安全加固手册

密级：商业秘密LINUX评估加固手册安氏领信科技发展有限公司二〇二〇年八月

目录 1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件，和RH网站上发布的升级软件对照，检查其中的变化。

通过访问官方站点下载最新系统补丁，RedHat公司补丁地址如下： -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包（如果原先没有安装，则不安装） 2、帐户、口令策略的加固 2．1、删除或禁用系统无用的用户询问系统管理员，确认其需要使用的帐户如果下面的用户及其所在的组经过确认不需要，可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。 2．2、口令策略的设置 RedHat Linux总体口令策略的设定分两处进行，第一部分是在/etc/文件中定义，其中有四项相关内容： PASS_MAX_DAYS 密码最长时效（天） PASS_MIN_DAYS 密码最短时效（天） PASS_MIN_LEN 最短密码长度 PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户编辑/etc/文件，设定：

AIX安全加固操作手册

AIX安全加固操作手册作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下：一、系统推荐补丁升级加固 1．检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁）检查补丁版本命令：oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2．如果未安装补丁，使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行：mount /cdrom 2)执行：smitty update_all （选择/dev/cd0为安装介质）注意选择安装选项中： COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown –Fr 重起系统二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件，关闭所有服务。将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务： portmap syslog inetd sendmail snmpd 如关闭dpid2，则只要注销以下行：(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用： stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭用:注释服务，不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server

WindowsXP安全加固方案

WindowsXP 安全加固配置手册目录一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -

信息系统安全加固描述

一．安全加固概述网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●网络设备与操作系统的安全配置； ●系统安全风险防范； ●提供系统使用和维护建议； ●安装最新安全补丁（根据风险决定是否打补丁）；上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。（2）明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。（3）明确加固风险：网络设备与操作系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。二．加固和优化流程概述网络设备与操作系统加固和优化的流程主要由以下四个环节构成：

1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果： ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固对系统实施加固和优化主要内容包含以下两个方面： ●对系统进行加固 ●对系统进行测试对系统进行测试的目的是检验在对系统实施安全加固后，系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进行。对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。 4. 生成加固报告加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容：

linux系统安全加固方案

1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行，运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次，锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -

安全加固手册

安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示或者 DSPSYSVAL SYSV AL （system value） 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证，没有资源保护 20 用户使用密码认证，没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似，但是控制了特权指令和设备的接口（在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象，其他工作的数据和系统内部程序的直接访问） 50 增强型的安全访问控制，达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3（默认值）达到最大尝试次数措施 QMAXSGNACN 3（默认值） 1 禁用终端 2 禁用用户配置文件 3 全部

（注 :建议根据自己的情况选择，禁用终端后，可能会给别人的造成误解，怀疑设备损坏。管理员要十分清楚该参数的含义） 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆，有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上（主控制台除外），除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间（分钟）推荐 15 非授权用户在某个时间段无操作，系统将会根据该参数值决定是否断开当前的session。认证用户通过再次登陆，可以继续以前session 所保留的屏幕。当设置中断连接任务（*DSCJOB ）值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间从上次登陆以来的失败登陆密码 7 天或之内密码将要过期的警告

安全手册内部

安全手册 XXX科技发展有限公司编制：审核批准日期公司的安全愿景成为零工伤工厂公司的安全承诺确保使员工能以在安全的环境下以安全的方式进行工作。公司的安全政策 ·所有公司员工和来访者的安全都必须受到保护； ·没有比使员工避免受到伤害更重要的事情； ·预防工伤/职业病事故的发生是非常重要的道德和法律责任； 1.安全总则 1.1安全第一，预防为主； 1.2遵守安全的法律法规； 1.3在安全上不要有侥幸心理。 2.安全职责 1.1管理层安全职责 ·安全教育和培训； ·给员工提供充分的、符合要求的劳保用品； ·不断加强安全管理。 2.2员工安全职责 ·遵守所有安全规章制度； ·按规定穿戴劳保用品，并妥善保管，使其处于良好状况； ·采用安全的工作方式，预防事故发生。 3.安全培训 3.1企业必须开展安全教育，普及安全知识，倡导安全文化。 3.2安全培训由公司行政人力资源部和工艺部负责组织。 3.3生产岗位员工的安全培训： A.新入职员工上岗前必须进行公司级、部门级、车间班组级三级安全教育，并经考核合格后方可上岗；

B.公司级安全教育应包括劳动安全文化的基本知识，公司劳动安全卫生规章制度及状况、劳动纪律和有关事故案例等项内容； C.部门级安全教育应包括本部门劳动安全卫生状况和规章制度，主要危险危害因素及安全事项，预防工伤事故和职业病的主要措施，典型事故案例及事故应急处理措施等项内容； D.车间班组级安全教育应包括遵章守纪，岗位安全操作规程，岗位间工作衔接配合的安全卫生事项，典型事故案例，劳动防护用品（用具）的性能及正确使用方法等项内容； E.从事特种作业的人员必须经过专门的安全知识与安全操作技能培训，并以过考核，取得特种作业资格方可上岗工作。 3.4管理人员的安全培训： ·主管以上人员 A.必须进行安全培训经考核合格后方可上岗； B.培训内容应包括国家有关劳动安全卫生的方钍、政策、法律、法规及有关规章制度，工伤保险法律、法规，安全生产管理职责、企业劳动安全卫生管理知识及安全文化，有关事故案例及事故应急处理措施等内容。 ·工程技术及其他人员 A.培训时间不得少于十二学时； B.培训内容应包括劳动安全卫生法律、法规及本部门、本岗位安全卫生职责，安全技术、劳动卫生和安全文化的知识，有关事故案例及事故应急处理措施等项内容。 4.办公室安全 4.1保持行走区域和工作区域畅通无阻，及时排除或示示出绊倒隐患； 4.2保持工作区域清洁、光线充足、无水； 4.3办公室要求整理、整顿、清扫、清洁并养成习惯; 4.4严禁私拉乱按各种电线，未经许可，不得进行电器维修； 4.5操作任何机器前，要确保你已接受过适当的培训和指导； 4.6不要对任何处于开启状态的机器进行清洗工作； 4.7不在办公室使用电炉，快速热水器，加热器等。 5.吸烟规定 5.1公司内除了在规定的吸烟点外，一律禁止吸烟；特别禁止吸游烟 5.2吸烟点的设置：各部门根据实际需求提出申请，经审核批准后设置。 6.劳保用品 6.1遵守劳保用品相关的法律法规。

Linux系统主机安全加固

L i n u x系统主机安全加固集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

Linux主机安全加固 V1.0 hk有限公司二零一五年二月一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改： /etc/profile/etc/profile .bak vi/etc/profile 找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo

usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组：备份： cp/etc/group/etc/group.bak

信息安全加固手册-SQL-Server

数据库安全加固手册 SQL Server

目录一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)

SQL SERVER安全加固手册一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准，并以此标准为指导，配置和审视SQL Server数据库服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册，也可作为进行SQL Server数据库的定期风险评估的评估内容。二、适用范围 1本手册适用于SQL Server数据库服务器，包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册，SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护，对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写，即SELECT与Select以及select相同。三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前，应将所在的主机操作系统进行必要的安全加固，特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库，如非特殊需要，去掉以下不必要的安装选项：

linux系统安全加固技术方案

1概述- 1 - 1.1适用范围- 1 - 2用户账户安全加固- 1 - 2.1修改用户密码策略- 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户- 1 - 2.3锁定或删除系统中不使用的组- 2 - 2.4限制密码的最小长度- 2 - 3用户登录安全设置- 3 - 3.1禁止root用户远程登录- 3 - 3.2设置远程ssh登录超时时间- 4 - 3.3设置当用户连续登录失败三次，锁定用户30分钟- 5 - 3.4设置用户不能使用最近五次使用过的密码- 5 - 3.5设置登陆系统账户超时自动退出登陆- 6 - 4系统安全加固- 6 - 4.1关闭系统中与系统正常运行、业务无关的服务- 6 - 4.2禁用“CTRL+ALT+DEL”重启系统- 7 - 4.3加密grub菜单- 7 -

1概述 1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略（1）修改前备份配置文件：/etc/login.defs （2）修改编辑配置文件：vi /etc/login.defs，修改如下配置：（3）回退操作 2.2锁定或删除系统中与服务运行，运维无关的的用户（1）查看系统中的用户并确定无用的用户（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：

或删除不使用的账户：（3）回退操作用户锁定后当使用时可解除锁定，解除锁定命令为： 2.3锁定或删除系统中不使用的组（1）操作前备份组配置文件/etc/group （2）查看系统中的组并确定不使用的组（3）删除或锁定不使用的组锁定不使用的组：修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可删除不使用的组：（4）回退操作 2.4限制密码的最小长度

linux系统安全加固方法

1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -

1概述 1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行，运维无关的的用户（1）查看系统中的用户并确定无用的用户（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：

ORACLE 安全加固手册

ORACLE 安全加固手册安装ORACLE NET8 配置DB SCANNER 1.安装DB SCANNER软件 2.配置DB SCANNER (1)在DB SCANNER菜单scanner->configure connection->oracle中选择Add Server，出现如图信息： Server Name:连接符 Protocol:选择TCP/IP Sockets SID:ORACLE数据库SID Hostname or IP address:为ORACLE数据库IP地址 Port Oracle listens on:默认为1521 (2)选择scan database->network neighborhood->oracle中

oracle.world连接符 (3)点击Add Database 填写DBA 帐户和密码，选择所制订的策略，Host Account与Host Password为空 ORACLE版本信息检查当前所有已安装的数据库产品的版本信息 Oracle8 至 8.0: cd $ORACLE_HOME/orainst ./inspdver Oracle 8i 或更高: cd $ORACLE_HOME/install cat unix.rgs 8:version number 1:maintenance release number 5:patch release number 1:port-specific patch release number 补丁 1.数据库补丁安装

1）由上步操作获取数据库补丁安装情况 2）补丁下载 ORACLE最新补丁下载地址是：ftp://https://www.sodocs.net/doc/ba10787696.html, 3）补丁安装停止所有与数据库相关的服务数据库备份解压补丁文件插入数据库安装盘，或执行./runInstaller，进入交互式状态在Source栏选择解压后的补丁文件products.jar。详细操作请参照其中的readme文件数据库运行状态检查数据库当前运行状态 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba 4.sql>archive log list; -----显示结果 sql> archive log list 数据库记录模式无档案模式自动存档已禁用存档路径 D:\Oracle\Ora81\RDBMS 最旧的联机日志顺序 852 当前记录顺序 854 默认用户状态及口令更改情况 1.oracle数据库用户登陆 2.运行命令 sqlplus /nolog 3.sql> connect /as sysdba;

Linux加固方案

Linux加固方案 1加固目标 1.用户账号 2.权限分配 3.系统配置 1.1用户账号加固 1.1.1锁定系统中多余的自建帐号查看账户、口令文件，与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根据需要锁定登陆。使用cat /etc/passwd cat /etc/shadow查看加固：使用命令passwd -l <用户名>锁定不必要的账号。使用命令passwd -u <用户名>解锁需要恢复的账号。 1.1.2设置口令策略使用cat /etc/login.defs|grep PASS查看当前密码策略设置口令应该具有一定复杂度，定期更换口令，输入错误一定数量后锁定加固： #vi /etc/login.defs修改配置文件 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9 #vi /etc/pam.d/system-auth修改配置文件 auth required pam_env.so

auth required pam_tally2.so deny=3 unlock_time=300 连续输入错误3次，账户锁定5分钟。 1.1.3禁用root之外的超级用户 #cat /etc/passwd 查看口令文件，口令文件格式如下： login_name：password：user_ID：group_ID：comment：home_dir：command login_name：用户名 password：加密后的用户密码 user_ID：用户ID，(1 ~6000) 若用户ID=0，则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 group_ID：用户组ID comment：用户全名或其它注释信息 home_dir：用户根目录 command：用户登录后的执行命令加固：使用命令passwd -l <用户名>锁定不必要的账号。使用命令passwd -u <用户名>解锁需要恢复的账号。 1.1.4限制能够su为root的用户检查方法： #cat /etc/pam.d/su,查看是否有auth required/lib/security/pam_wheel.so这样的配置条目加固： #vi /etc/pam.d/su 在头部添加： auth required /lib/security/pam_wheel.so group=wheel 这样，只有wheel组的用户可以su到root #usermod -G10 test 将test用户加入到wheel组

os-安全加固手册-solaris-v1.0

1、应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。结果：现网已实现 2、应删除或锁定与设备运行、维护等工作无关的账号。结果：现网已实现 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。结果：可以实现编号：安全要求-设备-SOLARIS-配置-3 4、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。结果：现网已实现，可以按照下面配置修改策略编号：安全要求-设备-通用-配置-4

5、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-通用-配置-5 6、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5 次）内已使用的口令。结果：可以实现，不建议实现，应用账号无法单独设置，将会影响应用系统；编号：安全要求-设备-通用-配置-6-可选

7、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6 次），锁定该用户使用的账号。结果：可以实现，不建议实现。应用账号无法单独设置，账号锁定将会影响应用系统，root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。编号：安全要求-设备-通用-配置-7-可选

8、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。结果：现网已实现 9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。结果：现网已实现 10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。结果：可以实现，但是磁盘空间不足，不建议实现编号：安全要求-设备-SOLARIS-配置-15-可选 11、设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。结果：可以实现。但需要一台专用日志服务器（要求大容量磁盘空间）编号：安全要求-设备-通用-配置-14-可选

LINUX安全加固手册

Linux 系统主机安全加固

LINUX安全加固手册

linux系统安全加固规范

Linu系统主机安全加固

Linu系统安全加固手册

AIX安全加固操作手册

WindowsXP安全加固方案

信息系统安全加固描述

linux系统安全加固方案

安全加固手册

安全手册内部

Linux系统主机安全加固

信息安全加固手册-SQL-Server

linux系统安全加固技术方案

linux系统安全加固方法

ORACLE 安全加固手册

Linux加固方案

os-安全加固手册-solaris-v1.0

相关文档

最新文档