各類操作系統(tǒng)安全基線配置及操作指南

Windows2000以上 Solaris8以上 AIX5.X HP-UNIX11i 內(nèi)核版本2.6以上 Oracle8i以上MicrosoftSQLServer2000 MySQL5.x以上 IIS5.x以上 Apache2.x以上 Tomcat5.x以上 WebLogic8.X以上Windows 范 規(guī)范性引用文 縮略 安全配置要 賬 口 授 補(bǔ) 防護(hù)軟 防病毒軟 日志安全要 不必要的服 啟動(dòng) 關(guān)閉自動(dòng)播放功 共享文件 使用NTFS文件系 網(wǎng)絡(luò)訪 會(huì)話超時(shí)設(shè) 注冊(cè)表設(shè) 附錄A：端口及服 《 操作系統(tǒng)安全配置要求及操作指南》（本規(guī)范AIXHP-UX《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic適用于使用Windows操作系統(tǒng)的設(shè)備。在未特別說明的情況下，均適用于所WindowsWindows2000WindowsXP、Windows2003,Windows7,Windows2008Sever、ProfessionalWindowsWindows2003為例，給出參考配GB/T22239-2008YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》YD/T1734-2008YD/T1736-2008YD/T1738-2008《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》YD/T1740-2008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》YD/T1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》YD/T1742-2008《接入網(wǎng)安全防護(hù)要求》YD/T1744-2008《傳送網(wǎng)安全防護(hù)要求》YD/T1746-2008《IP承載網(wǎng)安全防護(hù)要求》YD/T1748-2008《信令網(wǎng)安全防護(hù)要求》YD/T1750-2008《同步網(wǎng)安全防護(hù)要求》YD/T1752-2008《支撐網(wǎng)安全防護(hù)要求》YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》3縮略語UDPUserDatagramProtocolTCPTransmissionControlProtocol New 操作指 1、參考配置操進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”： 1、判定條件2進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：B）也可以通過net刪除賬號(hào)：netuser停用賬號(hào)：netuser 重命名Administrator；禁用guest（來賓）帳號(hào)。 進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：Administrator－>屬性－>Guest帳號(hào)->屬性－> Administrator名稱已更改。Guest帳號(hào)已停用。2進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，在“系統(tǒng)工具->本地用戶和組”：缺省帳戶－>屬性 更改名Guest帳號(hào)->屬性 已停要求內(nèi) 密碼長度要求：最少8 英語大寫字母A,B,C,…Z 英語小寫字母a,b,c,…z 阿拉伯?dāng)?shù)字0,1,2,… 非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@,$,&,*等操作指 1、參考配置操進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：檢測方 1、判定條2進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：要求內(nèi) 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于操作指 1、參考配置操進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“密碼最長存留期”設(shè)置為“90天” “密碼最長存留期”設(shè)置為“90天”進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼最長存留期”設(shè)置為“90天 使用最近5次（含5次）內(nèi)已使用的口令。 進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->策略”“強(qiáng)制密碼歷史”設(shè)置為“5個(gè)密碼檢測方 1、判定條“強(qiáng)制密碼歷史”設(shè)置為“5個(gè)密碼”進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“5個(gè)密碼 數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。操作指 1、參考配置操進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：“賬戶鎖定閥值”6次設(shè)置解鎖閥值：30分鐘檢測方 1、判定條“賬戶鎖定閥值”設(shè)置為小于或等于62進(jìn)入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看是否“賬戶鎖定閥值”6次 本地、遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)只指派給Administrators組。 進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用“關(guān)閉系統(tǒng)”設(shè)置為“Administrators組“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“Administrators組檢測方 1、判定條“關(guān)閉系統(tǒng)”設(shè)置為“Administrators組“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“Administrtors組”進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用查看“關(guān)閉系統(tǒng)”設(shè)置為“Administrators組”Administrators組”要求內(nèi) 在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派操作指 1、參考配置操進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”：Administrators組”檢測方 1、判定條Administrators組”2進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->戶權(quán)利指派”Administrators組” 進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用檢測方法1、判定條件進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用 在不影響業(yè)務(wù)的情況下，應(yīng)安裝最新的ServicePack補(bǔ)丁集。對(duì)操作指 1、參考配置操ServicePack2010WindowsXPServicePackSP3。Windows2000的ServicePack為SP4,Windows2003的ServicePack為 2進(jìn)入控制面板->添加或刪除程序->XPSP3，Win2000SP4，Win2003SP2 許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠(yuǎn)程登陸該設(shè)備的IP地址范圍。操作指 1、參考配置操作（以啟動(dòng)自帶防火墻為例進(jìn)入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，在高級(jí)選項(xiàng)的設(shè)置中啟用Windows防火墻。在“例外” Windows“例外”2進(jìn)入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，在高級(jí)選項(xiàng)的設(shè)置中，查看是否啟用Windows防火墻。查看是否在“例外” 1個(gè)月，各系統(tǒng)病毒碼2 IP操作指 1、參考配置操 執(zhí)行“控制面板->管理工具->本地安全策略->審核 2 執(zhí)行“控制面板->管理工具->本地安全策略->審核 開始-運(yùn)行-計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略- 審核系統(tǒng)登陸事 成功，失2檢測方 1、判定條2 開始-運(yùn)行-超過上限時(shí)的處理方式（90天）2、補(bǔ)充說明 2 進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：可根據(jù)具體應(yīng)用情況參考附錄A，篩選不必要的服務(wù)。 進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“服務(wù)和應(yīng)用程序”：編號(hào)： 如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMPCommunityString設(shè)置。 界面中，可以修改communitystrings，也就是微軟所說的“團(tuán)體名檢測方 1、判定條communitystrings已改，不是默認(rèn)的“public”communitystrings，也就是微軟所說的“團(tuán)體名稱”編號(hào)： 如對(duì)互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop)，需修改 開始->運(yùn)行Regedt32并轉(zhuǎn)到此項(xiàng)“PortNumber”00000D3D檢測方 1、判定條找到“PortNumber”00000D3D3389Regedt32, 操作指 1、參考配置操 2 關(guān)閉Windows自動(dòng)播放功能 檢測方 1、判定條“關(guān)閉自動(dòng)播放” 在非域環(huán)境下，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。 進(jìn)入“開始－>運(yùn)行－>Regedit”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表下，增加REG_DWORD類型的 鍵，值為0 Services\LanmanServer\Parameters\REG_DWORD 0。進(jìn)入“開始－>運(yùn)行－>Regedit”，進(jìn)入注冊(cè)表編輯器，更改注冊(cè)表，增加REG_DWORD類型的 鍵，值為0 操作指 1、參考配置操進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”： “everyone”2進(jìn)入“控制面板->管理工具->計(jì)算機(jī)管理”，進(jìn)入“系統(tǒng)工具－>共享文件夾”：NTFS FATNTFSCONVERTvolume/FS:NTFS[/V][/CvtArea:][/NoSecurity]Vol 指定驅(qū)動(dòng)器號(hào)（后面加一個(gè)冒號(hào)） NTFS 指定 應(yīng)該用詳述模式運(yùn) NTFS系統(tǒng)文/NoSecurity Covert1NTFS分區(qū)，已上線系統(tǒng)在不損壞數(shù)據(jù)的2WIN系統(tǒng)訪問、存在數(shù)據(jù)共享的情況下，不建議將 要求內(nèi) 禁用匿名訪問命名管道和共操作指 1、參考配置操“控制面板->管理工具->本地安全策略”，在“本地策略->安全選“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可匿名訪問的命名管道設(shè)置為全部刪除檢測方 1、判定條2查看“控制面板->管理工具->本地安全策略”，在“本地策略->安 “控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑設(shè)置為全部刪除“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項(xiàng)”:檢測方 1、判定條3查看“控制面板->管理工具->本地安全策略”，在“本地策略->安對(duì)于遠(yuǎn)程登錄的賬戶，設(shè)置不活動(dòng)所連接時(shí)間15分鐘 進(jìn)入“控制面板—管理工具—本地安全策略”，在“安全策略—安全選項(xiàng)”：“Microsoft 的空閑時(shí)間”為15分鐘檢測方 1、判定條 間”為15分鐘2進(jìn)入“控制面板—管理工具—本地安全策略”，在“安全策略—安全選項(xiàng)”：查看“Microsoft CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0 (REG_DWORD)2 將restrictanonymous 的值設(shè)置為1，若該值不存在，可以自己創(chuàng)建，類型為REG_DWORD (REG_DWORD)1 Syn 點(diǎn)擊開始->regedit，然后單擊確定，查看相A echo7/TCP TCP/IPServices"服echo7/UDP discard9/UDP RFC863廢除協(xié)議discard9/TCP RFC863廢除協(xié)議daytime13/UDP RFC867白天協(xié)議daytime RFC867白天協(xié)qotdRFC865白天協(xié)議的qotdRFC865白天協(xié)議的chargen19/TCPRFC864字符產(chǎn)生協(xié)chargen19/UDPRFC864字符產(chǎn)生協(xié)Publishingsmtp25/TCP 關(guān)閉"SimpleMailTransportWINSInternetName關(guān)閉"DNSdhcps67/UDPDHCP/Internet連接共享TCP/IPServices"服dhcpc68/UDP DHCP協(xié)議客戶端關(guān)閉"DHCPClient"httpHTTP萬維網(wǎng)發(fā)布服關(guān)閉"WorldWideWebPublishingRPC服 系統(tǒng)基本服 netbios-ns137/UDP NetBIOS名稱解析在網(wǎng)卡的TCP/IP選禁用TCP/IP上的netbios-dgm138/UDP NetBIOSnetbios-ssn NetBIOS會(huì)話服 系統(tǒng)基本服 無法關(guān)snmp161/UDP SNMP服務(wù) 關(guān)閉"SNMP"服務(wù)https關(guān)閉"WorldWideWebPublishingSMBregedit，打開ters添加名為dword0重新isakmp500/UDPIPSecISAKMP本地關(guān)閉"IPSECPolicyRADIUS舊式Internet身份驗(yàn)證服AccessConnectionRADIUS舊式Internet身份驗(yàn)證服radiusInternet身radacctInternet身份驗(yàn)MSMQ-RPC2105/TCPMSMQ-RPC消息隊(duì)Termsrv3389/TCP ApacheHTTP服務(wù)ORACLE1521/TCP Famatechsybase5000/TCP Sybase公司數(shù)據(jù)庫Symantec公司遠(yuǎn)程控HostService"字樣AIXxxxx 范 規(guī)范性引用文 縮略 安全配置要 帳 口 授 補(bǔ) 日 不必要的服務(wù)、端 文件與目錄權(quán) 系統(tǒng)Banner設(shè) 登陸超時(shí)時(shí)間設(shè) 內(nèi)核調(diào)整設(shè) SSH加密協(xié) FTP設(shè) 附錄A：端口及服 《 操作系統(tǒng)安全配置要求及操作指南AIX操作系統(tǒng)安全配置要求及操作指南》（本規(guī)范HP-UX《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogicAIX操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，可作AIX5.X為例，給出參考配置操GB/T22239-2008YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》YD/T1734-2008《移動(dòng)通信網(wǎng)安全防護(hù)要求》YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)要求》YD/T1738-2008《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》YD/T1740-2008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》YD/T1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》YD/T1742-2008《接入網(wǎng)安全防護(hù)要求》YD/T1744-2008《傳送網(wǎng)安全防護(hù)要求》YD/T1746-2008《IP承載網(wǎng)安全防護(hù)要求》YD/T1748-2008《信令網(wǎng)安全防護(hù)要求》YD/T1750-2008《同步網(wǎng)安全防護(hù)要求》YD/T1752-2008YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》3縮略語 SecureShellProtocolTransferProtocolUDPUserDatagramProtocol用戶數(shù)據(jù)包協(xié)議TCPTransmissionControlProtocol傳輸控制協(xié)議4安全配置要求編號(hào)： 操作指南1、參考配置操作#useraddusername #passwdusername #chmod750directory #750為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄)2檢測方法123編號(hào)：要求內(nèi) 應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)操作指南1、參考配置操作刪除用戶：#userdelusername;修改/etc/shadow文件，用戶名后加將/etc/passwdshell域設(shè)置成#passwd-l只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwdlusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2檢測方法1、判定條件23解鎖時(shí)間：15分鐘編號(hào)：要求內(nèi) 限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄操作指南1、參考配置操作root項(xiàng)上輸入false作為rloginroottelnetssh登錄，修改此2root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務(wù)。檢測方法1、判定條件root遠(yuǎn)程登錄不成功，提示“沒有權(quán)限”root用戶；root從遠(yuǎn)程使用telnettelnetroot從遠(yuǎn)程使用ssh普通用戶從遠(yuǎn)程使用ssh3root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd 對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1把如下shell保存后，運(yùn)行，會(huì)修改sshunaliascprmcase`find/usr/etc-typef|grep-cssh_config$`echo"CannotfindDIR=`find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config::"`cd$DIRcpssh_configawk'/^#?*Protocol/{print"Protocol2";next{print}'ssh_config.tmp>if["`grep-El^Protocolssh_config`"=""];thenecho'Protocol2'>>ssh_configrmssh_config.tmpchmod600ssh_config*)echo"Youhavemultiplesshd_configecho"before#ssh_config"Host*""Protocolcdcpsshd_configawk'/^#?*Protocol/{print"Protocol2";next/^#?*X11Forwarding/{print"X11Forwardingyes";next/^#?*IgnoreRhosts/{print"IgnoreRhostsyes";next/^#?*RhostsAuthentication/{print"RhostsAuthenticationno";next/^#?*RhostsRSAAuthentication/{print"RhostsRSAAuthenticationno";next/^#?*HostbasedAuthentication/{print"HostbasedAuthenticationno";next/^#?*PermitRootLogin/{print"PermitRootLoginno";next/^#?*PermitEmptyPasswords/{print"PermitEmptyPasswordsno";next/^#?*Banner/{print"Banner/etc/motd";next{print}'sshd_config.tmp>sshd_configrmsshd_config.tmpchmod600 2#使用ssh2X11Forwardingyes#允許窗口圖形傳輸使用ssh加密 yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不設(shè)置使用基于rhosts的安全驗(yàn)證RhostsRSAAuthenticationnoRSArhosts的HostbasedAuthenticationno不允許基于主機(jī)白名單方式認(rèn)證PermitRootLoginno#不允許root登錄PermitEmptyPasswordsno#不允許空密碼Banner/etc/motd #sshbannerSSH服務(wù)狀態(tài)：#ps–elf|grepssh檢測方法1#ps–elf|grep是否有ssh2SSH服務(wù)狀態(tài)：#ps–elf|grepsshtelnet#ps–elf|grep 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類。操作指南1chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-aminlen=8#密碼長度最少8位minalpha=1#包含的字母最少1個(gè)mindiff=11個(gè)minother=1#包含的非字母最少1個(gè)pwdwarntime=55天發(fā)出修改密碼的警告信息2檢測方法1218位的口令，查看系統(tǒng)是否對(duì)編號(hào)：要求內(nèi) 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于1chsec-f/etc/security/user-sdefault-avichsecf/etc/security/user文件如下histexpire=13密碼可重復(fù)使用的星期為13周（91天2檢測方法1、判定條件使用超過90編號(hào)： 使用最近5次（含5次）內(nèi)已使用的口令。操作指南1chsec-f/etc/security/user-sdefault-avichsecf/etc/security/user文件如下histexpire=5可允許的密碼重復(fù)次數(shù)檢測方法1、判定條件2catetc/security/user3默認(rèn)沒有histsize編號(hào)： 數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。1、參考配置操作#lsuserusername設(shè)置6#chuserloginretries=6username備注：root賬戶不在鎖定范圍內(nèi)檢測方法1、判定條件運(yùn)行l(wèi)suseruasename命令，查看帳戶屬性中是否設(shè)置了66次，編號(hào)： 操作指南1通過chmod2chown-Rroot:security/etc/passwd/etc/group/etc/securitychown-Rroot:audit/etc/security/auditchmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r/etc/passwdetc/groupetc/securityroot/etc/security/auditirootaudit/etc/passwd所有用戶都可讀，root–rw-r—/etc/shadowroot–r 必須所有用戶都可讀，root用戶可寫–rw-r—chmod644chmod644如果是有寫權(quán)限，就需移去組及其它用戶對(duì)/etc的寫權(quán)限（特殊情執(zhí)行命令#chmod-Rgo-w,o-r檢測方法1221、利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建232個(gè)用戶的權(quán)限差異應(yīng)能夠分42個(gè)新建的賬號(hào)訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許3 控制FTP進(jìn)程缺省訪問權(quán)限，當(dāng)通過FTP服務(wù)創(chuàng)建新文件或目錄操作指南1限制某些系統(tǒng)帳戶不準(zhǔn)ftp登錄通過修 文件，增加帳#viFTPTelnet，假如用戶為創(chuàng)建一個(gè)/etc/shells文件,添加一行/bin/true;修改/etc/passwdshell目錄加入/etc/shells用戶能夠登錄以上兩個(gè)步驟可參考如下shelllsuser-cALL|grep-v^#name|cut-f1-d:|whilereadNAME;doif[`lsuser-f$NAME|grepid|cut-f2-d=`-lt200];thenecho"Adding$NAMEto/etc/"echo$NAME>>/etc/sort-u/etc/>/etc/rm/etc/chownroot:system/etc/chmod600/etc/限制ftprestricted-uid*(限制所有)，restricted-uidusername（特定用戶）設(shè)置ftp noguest,anonymous noguest,anonymous noguest,anonymous noguest,anonymous noanonymous查看#cat說明 在這個(gè)列表里邊的用戶名是不允許ftp登陸的檢測方法12#more #more/etc/3查看#說明 在這個(gè)列表里邊的用戶名是不允許ftp登陸的 操作指南1#smitSOFTWAREtoupdateCOMMITsoftware SAVEreplaced ACCEPTnewlicense 2檢測方法12檢查某一個(gè)補(bǔ)丁，比如LY59082#instfix–a–ivk檢查文件集（）#lslpp–lbos.adt.libm IP操作指南1vi/etc/syslog.conf，加上這幾行：touch/var/adm/authlog/var/adm/syslogchownroot:system/var/adm/authlog重新啟動(dòng)syslogstopsrc-ssyslogdstartsrc-sAIXsyslogd，以上配置增加了驗(yàn)證信息發(fā)送到/var/adm/authlog和/var/adm/syslog2檢測方法1IP地址。catvar/adm/authlogcat/var/adm/syslog編號(hào)：2（可選 啟用記錄cron行為日志功能和cron/at的使用情況操作指南1、參考配置操作cron/At cron/var/spool/cron/cron.allowcrontab/var/spool/cron/cron.denycrontab at at at使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。#crontab-l 查看當(dāng)前的cron任務(wù)#at-l at任務(wù)檢測方法1、判定條件2 chmod600chmod640 2syslog.conf文件中配置的日志存放文件：more/etc/syslog.confls–l/var/adm查看的目錄下日志文件的權(quán)限，如：authlogsyslog600、644。志、操作日志，具體文件查看syslog.conf中的配置。 1、參考配置操作#ps–e-在inetd.conf中關(guān)閉不用的服 首先復(fù)制/etc/inet/inetd.conf。/etc/inet/inetd.conf/etc/inet/inetd.conf.backup vi編輯器編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記"#"字符，inetd服務(wù),即可。refresh–sforSVC shellkshellloginkloginexecechodiscardchargendaytimetimettdbserverdtspc;doecho"Disabling$SVCTCP"chsubserver-d-v$SVC-pforSVCinntalkrstatdrusersdrwalldspraydpcnfsd\echodiscardchargendaytimetimecmsd;doecho"Disabling$SVC

chsubserver-d-v$SVC-prefresh-s#shdis_server.shtcp來保護(hù)SSHD服務(wù)，用以登錄操1、判定條件2查看所有開啟的服務(wù):cat/etc/inet/inetd.conf,catetc/inet/services在/etc/inetd.confTcpshellkshellloginkloginexecUDP服務(wù)如下：ntalkrstatdrusersdrwalldspraydtcp來保護(hù) 操作指南1、參考配置操作lsuser-ahomeALL|awk'{print$1}'|whilereaduser;dochuserumask=077$uservi/etc/default/loginumaskprofile，用編輯器打開文件/etc/security/user，找到umask這行，修改如下：2如果用戶需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在shell啟動(dòng)文件中配置。檢測方法1、判定條件2#lsldirdir#cat/etc/default/loginumask0273umask的默認(rèn)設(shè)置一般為022，這給新創(chuàng)建的文件默認(rèn)權(quán)限（777-022=755）umaskumask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄，該值等于八進(jìn)制777減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對(duì)于文件，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八編號(hào)： 操作指南1、參考配置操作查看重要文件和目錄權(quán)限：ls#chmod-R750這樣只有root2檢測方法1用root2查看重要文件和目錄權(quán)限：lsroot外的其它帳戶登錄，對(duì)重要文件和目錄進(jìn)行刪除、修改等操3Banner 修改系統(tǒng)banner，避免泄漏操作系統(tǒng)名稱，版本號(hào)，主機(jī)名稱等， 設(shè)置系統(tǒng)Banner的操作如下：在/etc/security/login.cfgdefaultherald="ATTENTION:Youhaveloggedontoasecuredserver..Allaccesseslogged.\n\nlogin:" 查看/etc/security/login.cfg文件中的配置是否按照以上要求 操作指南1、參考配置操作300秒，修改/etc/security/.profile文件，TMOUT＝300；TIMEOUT=300；exportreadonlyTMOUT2檢測方法1查看/etc/security/.profile文件中的配置，是否存在登陸超時(shí)時(shí) 操作指南1、參考配置操作編輯/etc/security/limitscore0corecore_hard=echo"#AddedbyNsfocusSecurityBenchmark">>/etc/profileecho"ulimit-c0">>/etc/profilechdevlsys0afullcore=false1、補(bǔ)充操作說明應(yīng)用程序在發(fā)生錯(cuò)誤的時(shí)候會(huì)把自身的敏感信息從內(nèi)存里檢測方法1、判定條件能夠防止core2查看/etc/security/limits /etc/security/limits是否有如下兩行：core0core_hard=查看/etc/ 文件 /etc/security/limits是否有如下行：ulimit–c0SSH 對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1把如下shell保存后，運(yùn)行，會(huì)修改sshunaliascprmcase`find/usr/etc-typef|grep-cssh_config$`echo"CannotfindDIR=`find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config::"`cd$DIRcpssh_configawk'/^#?*Protocol/{print"Protocol2";next{print}'ssh_config.tmp>if["`grep-El^Protocolssh_config`"=""];thenecho'Protocol2'>>ssh_configrmchmod600*)echo"Youhavemultiplesshd_configecho"before#ssh_config"Host*""Protocol2"，cd$DIRcpsshd_configawk'/^#?*Protocol/{print"Protocol2";next/^#?*X11Forwarding/{print"X11Forwardingyes";next/^#?*IgnoreRhosts/{print"IgnoreRhostsyes";next/^#?*RhostsAuthentication/{print"RhostsAuthenticationno";next/^#?*RhostsRSAAuthentication/{print"RhostsRSAAuthenticationno";next/^#?*HostbasedAuthentication/{print"HostbasedAuthenticationno";next/^#?*PermitRootLogin/{print"PermitRootLoginno";next/^#?*PermitEmptyPasswords/{print"PermitEmptyPasswordsno";next/^#?*Banner/{print"Banner/etc/motd";next{print}'sshd_config.tmp>sshd_configrmsshd_config.tmpchmod600 2#使用ssh2X11Forwardingyes#允許窗口圖形傳輸使用ssh加密 yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不設(shè)置使用基于rhosts的安全驗(yàn)證RhostsRSAAuthenticationnoRSArhosts的HostbasedAuthenticationno不允許基于主機(jī)白名單方式認(rèn)證PermitRootLoginno#不允許root登錄PermitEmptyPasswordsno#不允許空密碼Banner #設(shè)置ssh登錄時(shí)顯示的2SSH服務(wù)狀態(tài)：#ps–elf|grepssh檢測方法2#ps–elf|grep是否有ssh2SSH服務(wù)狀態(tài)：#ps–elf|grepsshtelnet#ps–elf|grepFTP編號(hào) 禁止root登陸FTP Echoroot>>/etc/檢測方 使用 登錄編號(hào)要求內(nèi) 禁止匿名操作指 1、參考配置操使用ftp 做匿名登錄嘗試，如能登錄，則刪除/etc/passwd下的ftp賬號(hào)。檢測方 檢查方法使用ftp編號(hào)要求內(nèi) 修改信 cat<<EOF>>/etc/Authorizedusesonly.Allactivitymaybemonitoredand檢測方 1、判斷依ftp登錄嘗試2A服務(wù)名 端 應(yīng)用說 關(guān)閉方 處置建 RFC867白天協(xié)議 streamtcpnowaitrootinternal建議關(guān) RFC867白天協(xié) nowaitrootinternaltime streamtcpnowaitrootinternal7/tcpRFC862_回聲協(xié)議 streamtcpnowaitrootinternal7/udpRFC862_ nowaitrootinternalRFC863 streamtcpnowaitrootinternal nowaitrootinternalRFC864 streamtcpnowaitrootinternal nowaitrootinternal文件傳輸協(xié)議(控制 streamtcpnowaitroot/usr/lbin/ftpdtelnet23/tcp streamtcpnowaitroot/usr/lbin/telnetdsendmail 簡單郵件發(fā)送協(xié) 建議關(guān) 域名服 域名服 login513/tcp streamtcpnowaitroot/usr/lbin/rlogindshell514/tcp遠(yuǎn)程命令nopasswdused streamtcpnowaitroot/usr/lbin/remshdexec512/tcpremoteexecution,passwdrequired streamtcpnowaitroot/usr/lbin/rexecdntalk518/udpnewtalk, root/usr/lbin/ntalkdident113/tcp streamtcpwaitbin/usr/lbin/identdidentdlpd515/tcp streamtcpnowaitrootrlpdaemon-i nowaitrootinternalkshell544/tcpKerberosremoteshell-kfall#kshellstreamtcpnowait/usr/lbin/remshdremshd-klogin543/tcpKerberosrlogin-kfall#kloginstreamtcpnowaitroot/usr/lbin/rlogindrlogind-recserv7815/tcp X共享接收服務(wù)#recservstreamtcpnowaitroot/usr/lbin/recserv-displaydtspcd #dtspcstreamtcpnowait #registrarstreamtcpnowait #registrarstreamtcpnowait動(dòng)態(tài)端口資源監(jiān)控服務(wù)#registrarstreamtcpnowaitportmap 端口映 snmpsnmpsnmp-trap 啟動(dòng)圖形控 X窗口服 動(dòng)態(tài)端口啟動(dòng)圖形控 syslogd 系統(tǒng)日志服 建議保 NFS遠(yuǎn)程文件系 強(qiáng)烈建議關(guān) NFS遠(yuǎn)程文件系 強(qiáng)烈建議關(guān) HP-UXToolTalkdatabaseserver#rpcxtitcpswait1000831 #rpcdgramudpwait/usr/dt/bin/rpc.cmsd2-5 HP-UXxxxx 范 規(guī)范性引用文 縮略 安全配置要 帳 口 授 遠(yuǎn)程維 補(bǔ) 日 不必要的服務(wù)、端 修改Banner信 登陸超時(shí)時(shí)間設(shè) 內(nèi)核調(diào)整設(shè) 刪除潛在危險(xiǎn)文 FTP設(shè) 附錄A：端口及服 《 操作系統(tǒng)安全配置要求及操作指南AIXHP-UX（本規(guī)范《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic適用于使用HP-UX操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，適由于版本不同，配置操作有所不同，本規(guī)范以HP-UX11v2\11v3為例，給出參GB/T22239-2008YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》YD/T1734-2008《移動(dòng)通信網(wǎng)安全防護(hù)要求》YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)要求》YD/T1738-2008《增值業(yè)務(wù)網(wǎng)—YD/T1740-2008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》YD/T1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》YD/T1742-2008《接入網(wǎng)安全防護(hù)要求》YD/T1744-2008《傳送網(wǎng)安全防護(hù)要求》YD/T1746-2008《IP承載網(wǎng)安全防護(hù)要求》YD/T1748-2008《信令網(wǎng)安全防護(hù)要求》YD/T1750-2008《同步網(wǎng)安全防護(hù)要求》YD/T1752-2008《支撐網(wǎng)安全防護(hù)要求》YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》3縮略語TransferProtocolUDPUserDatagramProtocolTCPTransmissionControlProtocol編號(hào)： 1、參考配置操作#useraddusername #passwdusername #chmod750directory #750為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄2檢測方法123編號(hào)： 操作指南1、參考配置操作刪除用戶：#userdel修改/etc/shadow將/etc/passwdshell域設(shè)置成#passwd-l只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwdlusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2需要鎖定的用戶：lp,nuucp,hpdb,檢測方法123需要鎖定的用戶：lp,nuucp,hpdb,編號(hào)： 1、參考配置操作#groupadd–gGIDgroupnameGID號(hào)，若不設(shè)GID，系統(tǒng)會(huì)自動(dòng)為該組分配一個(gè)GID號(hào)；#usermod–ggroupusername #usernamegroup組中。查詢被分配到的組的GID：#idusername2可以使用-g選項(xiàng)設(shè)定新組的GID。0到499 之間的值留給root、 這樣的系統(tǒng)賬號(hào)，因此最好指定該值大于499。如果新組名或者 已經(jīng)存在，則返回錯(cuò)誤信息group_namegroupadd命令會(huì)執(zhí)行失?。划?dāng)用戶希望以其他用戶組成員身份出現(xiàn)時(shí)，需要使用newgrp命令進(jìn)行更改，如#newgrpsys 即把當(dāng)前用戶以sys組身份運(yùn)行；檢測方法1、判定條件#idusername2查看組文件：cat/etc/group編號(hào)： 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類。操作指南1ch_rc–a-pMIN_PASSWORD_LENGTH=8/etc/default/securitych_rc–a-pPASSWORD_HISTORY_DEPTH=10\ch_rc–a–pPASSWORD_MIN_UPPER_CASE_CHARS=1ch_rc–a–pPASSWORD_MIN_DIGIT_CHARS=1ch_rc–a–pPASSWORD_MIN_SPECIAL_CHARS=1ch_rc–a–pPASSWORD_MIN_LOWER_CASE_CHARS=1modprdef-mnullpw=NOmodprdef-mrstrpw=YESMIN_PASSWORD_LENGTH=8#設(shè)定最小用戶密碼長度為8位PASSWORD_MIN_UPPER_CASE_CHARS=11個(gè) #表示至少包括1個(gè)數(shù)字PASSWORD_MIN_SPECIAL_CHARS=1#表示至少包括1個(gè)特殊PASSWORD_MIN_LOWER_CASE_CHARS=11當(dāng)用root2不同的HP-UX版本可能會(huì)有差異，請(qǐng)查閱當(dāng)前系統(tǒng)的manpage 檢測方法12128位的口令，查看系統(tǒng)是否對(duì)編號(hào)：要求內(nèi) 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于操作指南1shellroot外的所有有效登錄的賬號(hào)密碼過期logins-ox\|awk-F:'($8!="LK"&&$1!="root"){print$1}'|whilereadlogname;passwd–x91–n7–w28/usr/lbin/modprpw-mexptm=90,mintm=7,expwarn=30\echoPASSWORD_MAXDAYS=91>>/etc/default/securityechoPASSWORD_MINDAYS=7>>/etc/default/securityechoPASSWORD_WARNDAYS=28>>/etc/default/security/usr/lbin/modprdef-m用戶將在密碼過期前的30天收到警告信息 天沒有運(yùn)行 的 模式21、判定條件290天的帳戶口令登錄；測試時(shí)可以將90編號(hào)： 使用最近5次（含5次）內(nèi)已使用的口令。操作指南1vi/etc/default/passwd2#HISTORYsetsthenumberofpriorpasswordchangestokeep#checkforauserwhenchangingpasswords. SettingtheHISTORY#valuetozero(0),orremoving/commentingouttheflagwill#causeallusers'priorpasswordhistorytobediscardedat#nextpasswordchangebyanyuser. Nopasswordhistorywill#becheckediftheflagisnotpresentorhaszerovalue.#ThemaximumvalueofHISTORYisNISNISNIS+系統(tǒng)能夠生效。檢測方法1、判定條件2catetc/default/passwd3HISTORYNISNISNIS+編號(hào)： 數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。操作指南1logins-ox|awk-F:'($8!="LK"&&$1!="root"){print$1}'|whilereadlogname;/usr/lbin/modprpw-mumaxlntr=6"$logname"modprdef-mechoAUTH_MAXTRIES=6>>root6檢測方法12誤的口令進(jìn)行系統(tǒng)登錄6次以上（不含6次）；1root編號(hào)： 操作指南1通過chmod2etc/passwd必須所有用戶都可讀，root–rw-r—/etc/shadowroot–r 必須所有用戶都可讀，root用戶可寫–rw-r—chmod644chmod600chmod644如果是有寫權(quán)限，就需移去組及其它用戶對(duì)/etc的寫權(quán)限（特殊情執(zhí)行命令#chmodRgo-w檢測方法1221、利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建232個(gè)用戶的權(quán)限差異應(yīng)能夠分42個(gè)新建的賬號(hào)訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許3編號(hào)： 操作指南1、參考配置操作Vi/etc/default/securityumask#chmod444dirdir的權(quán)限為所有人都為只讀。2如果用戶需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umaskshell啟動(dòng)文件中配置。檢測方法1、判定條件2#lsldirdir#cat/etc/default/loginumask0273umask的默認(rèn)設(shè)置一般為022，這給新創(chuàng)建的文件默認(rèn)權(quán)限（777-022=755）umaskumask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄，該值等于八進(jìn)制777減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對(duì)于文件，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八要求內(nèi) 如果需要啟用FTP服務(wù)，控制FTP進(jìn)程缺省訪問權(quán)限，當(dāng)通過操作指南1if[["$(uname-r)"=B.10*]];thenfornameinrootdaemonbinsysadmlp\uucpnuucpnobodyhpdbuseradmechodone>>$sort–u$>$cp$$rm–fchownbin:bin$chmod600$2查看#說明 在這個(gè)列表里邊的用戶名是不允許ftp登陸的檢測方法12#more/etc/[/ftpd]/ 查看#說明 在這個(gè)列表里邊的用戶名是不允許ftp登陸的 2chownroot:sys/etc/securettychmod600/etc/securettyroot用戶遠(yuǎn)程使用telnet登錄。用ssh2root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務(wù)。檢測方法1、判定條件root遠(yuǎn)程登錄不成功，提示“沒有權(quán)限”root用戶；2root從遠(yuǎn)程使用telnettelnetroot從遠(yuǎn)程使用ssh普通用戶從遠(yuǎn)程使用ssh3限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyesPermitRootLoginnosshd服務(wù)。 對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，禁止使用telnet等明文傳輸協(xié)議進(jìn)行遠(yuǎn)程維護(hù)；操作指南1、下載和安裝在網(wǎng)站上免費(fèi)獲取 并根據(jù)安裝文件說明執(zhí)行安裝步 2cdcp-psshd_configsshd_config.tmpawk' {$2="2" {$2="yes" {$2="yes" {$2="no"/^RhostsRSAAuthentication/{$2="no" $1=$2="no" {$2="no" $1=$2="/etc/issue"{print}'sshd_config.tmp>sshd_configrm-fsshd_config.tmpchownroot:sysssh_configsshd_configchmodgo-wssh_configsshd_config先拷貝一份配置，再用awkssh_config，其中配置含義如下：Protocol=2#使用ssh2版本X11Forwarding#允許窗口圖形傳輸使用ssh加密IgnoreRhosts=yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication=norhosts的安全驗(yàn)證RhostsRSAAuthentication=noRSArhosts的3SSH服務(wù)狀態(tài)：#ps–elf|grepsshtelnet等明文傳輸協(xié)議進(jìn)行遠(yuǎn)程維護(hù)；如特別需要，檢測方法1#ps–ef|grep是否有ssh進(jìn)程存在telnet進(jìn)程存在SSH服務(wù)狀態(tài)：#ps–ef|grepsshtelnetps–ef|greptelnet編號(hào)： 1#uname–a2檢測方法1、判定條件uname–a 23編號(hào)： 打開syslog系統(tǒng)日志審計(jì)功能有助于系統(tǒng)的日常維護(hù)和故障排除，操作指南1vi/etc/syslog.conf， 2檢測方法12vi/etc/syslog.conf， 3 awk</etc/syslog.conf$0!~/^#/&&$2~"^/"{print$2'|sort-u|whilereaddoif[-d"$file"-o-c"$file"-o-b"$file"-o-p"$file"]then:elif[!-f"$file"thenmkdir-p"$(dirname"$file")"touch"$file"chmod640elsechmodo-w"$file"hostname=`unamen`chmodo-w/tmp/snmpd.log21、判定條件使用ls 命令依次檢查系統(tǒng)日志的讀寫權(quán)3編號(hào)：3（可選 操作指南1vi/etc/syslog.conf， 可以將"*.*"替換為你實(shí)際需要的日志信息。比如：kern.*/mail.* IP或域名。重新啟動(dòng)syslog服務(wù)，執(zhí)行下列命令：/sbin/init.d/syslogdstop|start注意：*.*和@之間為一個(gè)檢測方法123 操作指 1、參考配置操#ps–ef#chkconfig--list#cat在inetd.conf中關(guān)閉不用的服 首先復(fù)制/etc/inet/inetd.conf。/etc/inet/inetd.conf/etc/inet/inetd.conf.backup vi編輯器編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記"#"字符，inetd服務(wù),即可。1、判定條件#ps–ef#chkconfiglist#cat/etc/inet/inetd.conf在/etc/inetd.conftcp來保護(hù)Banner 修改系統(tǒng)Banner信息操作指南1、參考配置操作UNIX/etc/motdbanner信息檢測方法1檢查/etc/motdbanner 操作指南2、參考配置操作可以在用戶的.profile文件中"HIST"vi$TMOUT=300（可根據(jù)情況設(shè)定）;export2檢測方法1查看/etc/profile 操作指南1、參考配置操作HP-UX11iv2kctune-Kexecutable_stack=0HP-UX11i版本用以下語句：/usr/sbin/kmtune-sexecutable_stack=0&&mk_kernel&& HP-UX11i2檢測方法1、判定條件2 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潛在的危險(xiǎn)，操作指南1Mv/.rhost/.rhost.bakMv/.netr/.netr.bakCdrootMv.rhost.rhost.bakMv.netr.netr.bak2檢測方法1、判定條件CatFTP編號(hào) 禁止root登陸FTP 限制root帳戶ftp登錄:通過修 文件，增加帳 檢測方 運(yùn)行cat檢查文件中內(nèi)容是否包含編號(hào)要求內(nèi) 禁止匿名操作指 1、參考配置操在/etc/passwd使用文本編輯器打開/etc/passwd文件，刪除密碼域?yàn)?ftp：*：500：21：Anonymous：/usr/bin/false 通過Anonymous登錄會(huì)被拒絕。編號(hào)要求內(nèi) 修改信 1）首先修改/etc/inetd.conf文件tcpnowaitroot/usr/lbin/ftpd ftpda/etc/ []login #suppresshostname #suppressversion #FTP#inetd-c檢測方 1、判斷依FTPbanner2、檢查操作A服務(wù)名 端 應(yīng)用說 關(guān)閉方 處置建 RFC867 tcpnowaitrootinternal RFC867 udpnowaitrootinternaltime tcpnowaitrootinternal tcpnowaitroot RFC862_ udpnowaitrootinternalRFC863廢除協(xié)議 streamtcpnowaitrootinternal udpnowaitrootinternalRFC864字符產(chǎn)生 tcpnowaitrootinternal udpnowaitroot streamtcpnowaitroot/usr/lbin/ftpdtelnet23/tcp streamtcpnowaitroot sendmail 簡單郵件發(fā)送協(xié) S540sendmail 建議關(guān)nameserver 域名服 S370named 根據(jù)情況選擇開 域名服 S370named 根據(jù)情況選擇開apache80/tcpHTTP萬維網(wǎng)發(fā)布S825apache login513/tcp streamtcpnowaitroot shell514/tcp遠(yuǎn)程命令nopasswdused streamtcpnowaitrootexec512/tcpremoteexecution,passwdrequired tcpnowaitroot ntalk518/udpnewtalk, udpwait ident113/tcp streamtcp printer streamtcpnowaitrootrlpdaemon-i tdpnowaitrootinternal udpnowaitrootinternal udpnowaitrootkshell544/tcpKerberosremoteshell-kfall#kshellstreamtcpnowaitroot/usr/lbin/remshdremshd-Kklogin543/tcpKerberosrlogin-#kloginstreamtcpnowaitroot/usr/lbin/rlogindrlogind-Krecserv7815/tcp X共享接收服務(wù)#recservstreamtcpnowait/usr/lbin/recserv-displaydtspcd #dtspcstreamtcpnowaitroot/usr/dt/bin/dtspcd #registrarstreamtcpnowaitroot #registrarstreamtcpnowaitroot#registrarstreamtcpnowaitrootportmap111/tcp端口映射S590Rpcdstopdced135/tcpDCERPCdaemonS570dcestop建議關(guān)閉dced135/udpDCERPCdaemonS570dcestop建議關(guān)閉snmp161/udpS560SnmpMasterstopS565OspfMibstopS565SnmpHpunixstopS565SnmpMib2stopsnmpdS560SnmpMasterstopS565OspfMibstopS565SnmpHpunixstopS565SnmpMib2stopsnmp-trapS565SnmpTrpDst S900dtlogin.rcstop X窗口服務(wù) S990dtlogin.rcstop 動(dòng)態(tài)端口啟動(dòng)圖形控制 S900dtlogin.rcstop syslogd514/udp S220syslogdstop lpd 遠(yuǎn)程打印緩 S720lp 強(qiáng)烈建議關(guān)router S510gated 根據(jù)情況選擇開nfs NFS遠(yuǎn)程文件系 S100nfs.server 強(qiáng)烈建議關(guān) NFS遠(yuǎn)程文件系統(tǒng) S100nfs.serverstop 動(dòng)態(tài)端口rpc服務(wù) rpc服務(wù) 動(dòng)態(tài)端口rpc服務(wù) rpc服務(wù)#rpcdgramudpwaitusersd1000021-2動(dòng)態(tài)端 rpc服 S410nis.server 強(qiáng)烈建議關(guān)2121/tcpsw代理S870swagentdstop根據(jù)情況選擇開放2121/udpsw代理S870swagentdstop根據(jù)情況選擇開放68/udpremotebootserverSTART_RBOOTD01068/udpremotebootserverSTART_RBOOTD0bootstrapprotocol#instl_bootsdgramudpwaitrootbootstrapprotocol#instl_bootcdgramudpwaitrootsamd3275/tcpsystemmgmt systemmgmtdaemonswat901/tcpWeb-basedAdmin streamtcpnowait.400root/opt/samba/bin/swatxntpd123/udpHP-UXToolTalkdatabaseserver#rpcxtitcpswait1000831 #rpcdgramudpwait1000682-5rpc.cmsd diagmond1508/tcp S742diagnosticstop 動(dòng)態(tài)端口硬件診斷程序 S742diagnosticstop 動(dòng)態(tài)端口內(nèi)存記錄服務(wù) S742diagnosticstop chassiscodeloggingdaemonS742diagnostic MemoryS742diagnostic S742diagnostic PeripheralStatusS742diagnostic PredictiveMonitorS742diagnostic PredictiveMonitorS742diagnostic hacl-hb5300/tcpHighAvailability(HA)ClusterS800cmcluster hacl-gs5301/tcpHAClusterGeneralS800cmcluster HAClusterTCPS800cmcluster HAClusterUDPS800cmcluster hacl-local5304/tcpHAClusterS800cmcluster clvm-cfg1476/tcpHALVMS800cmcluster Linuxxxxx 范 規(guī)范性引用文 縮略 安全配置要 賬 口 授 遠(yuǎn)程登 補(bǔ) 日 不必要的服務(wù)、端 系統(tǒng)Banner設(shè) 登陸超時(shí)時(shí)間設(shè) 刪除潛在危險(xiǎn)文 FTP設(shè) 附錄A：端口及服 《 操作系統(tǒng)安全配置要求及操作指南AIXHP-UX《Linux操作系統(tǒng)安全配置要求及操作指南》（本規(guī)范SolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic適用于使用Linux操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，適用GB/T22239-2008YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》YD/T1734-2008《移動(dòng)通信網(wǎng)安全防護(hù)要求》YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)要求》YD/T1738-2008《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》YD/T1740-2008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》YD/T1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》YD/T1742-2008《接入網(wǎng)安全防護(hù)要求》YD/T1744-2008《傳送網(wǎng)安全防護(hù)要求》YD/T1746-2008《IP承載網(wǎng)安全防護(hù)要求》YD/T1748-2008《信令網(wǎng)安全防護(hù)要求》YD/T1750-2008《同步網(wǎng)安全防護(hù)要求》YD/T1752-2008《支撐網(wǎng)安全防護(hù)要求》YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》3縮略語TransferProtocolUDPUserDatagramProtocolTCPTransmissionControlProtocol編號(hào)： 1、參考配置操作#useraddusername #passwdusername #chmod750directory #750