1.目标
保证业务系统的安全,是业务系统的风险在可控范围之类
- 框架
- 业务层 –(目标业务系统)
- 功能支撑层 — (tomcat,weblogic,iis,apache ,Oracle,mysql)(出现问题更频繁的地方)
- 系统实现层 —windows,linux,交换机设备,防火墙设备
- 基线体系
- 组织机构
- 人与技术
- 策略标准
- 其他
- 内容
- 安全漏洞:操作系统,数据库,应用系统
- 安全配置:
- 系统状态
2.安全策略配置
2.1账户策略(/etc/login.defs)
- 账户密码最长使用期限:90
- 账户密码最小更改间隔天数:6
- 口令最小长度:8
- 口令过期前警告天数:30
- 不存在空口令的用户
- 设置密码的特殊字符的个数:/etc/pam.d/system-auth文件中是否存在ocredit=1,在此目录中password requisite pam_cracklib.so 后面添加ocredit = 1
2.2认证授权检查点
- /etc/rc.d/init.d文件权限,,文件权限小于等于750
- /tmp权限小于等于600
- /etc/xinetd.conf : 权限小于等于600(升级ssh服务之前打开,之后关闭):这是super daemon管理的各项服务的配置文件目录
- /etc/security:
- 系统引导其配置器文件权限:/etc/grub.conf&&boot
- /etc/services: 644
- /etc/gshadow和/etc/passwd :chattr +i 添加隐藏权限
- /etc/ssh/sshd_config Banner
- /etc/
- 检查icmp_echo ignore_broadcasts
- 检查密码重复使用次数限制
- 检查是否设置grub密码
- /etc/aliases下是否禁用不必要的别名
- 检查是否配置NTP服务和地址