1.
应删除或锁定与设备运行、维护等工作无关的账号。
加固建议
参考配置操作
删除用户:#userdel username;
锁定用户:
1)修改cat /etc/shadow文件,用户名后加*LK*
2)将cat /etc/passwd文件中的shell域设置成/bin/false
3)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP;
"

2.
配置可远程访问地址范围
"
问题描述
对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定
加固建议
参考配置操作
编辑/etc/default/inetd文件,将其中的ENABLE_TCPWRAPPERS行前的注释去掉,并修改ENABLE_TCPWRAPPERS=NO为ENABLE_TCPWRAPPERS=YES。
编辑/etc/hosts.allow和/etc/hosts.deny两个文件
vi /etc/hosts.allow
增加一行 <service>: 允许访问的IP;举例如下:
sshd:192.168.1.:allow #允许192.168.1的整个网段使用ssh访问
in.telnetd:192.168.1. #允许192.168.1网段的IP通过telnet登录。
sshd:132.96.:allow #允许132.96的整个网段使用ssh访问
in.telnetd:132.96. #允许132.96网段的IP通过telnet登录

vi /etc/hosts.deny
增加如下:
in.telnetd:all  #拒绝所有IP通过telnet访问
sshd:all      #拒绝所有IP通过ssh访问
重启进程或服务:
#pkill -HUP inetd
#/etc/init.d/inetsvc stop
#/etc/init.d/inetsvc start

3.
 禁止ICMP重定向
 "问题描述
主机系统应该禁止ICMP重定向,采用静态路由
加固建议
参考配置操作
禁止系统发送ICMP重定向包:
在/etc/rc2.d/S??inet中做如下参数调整,或在命令行中输入:
ndd -set /dev/ip ip_send_redirects 0 # default is 1
ndd -set /dev/ip ip6_send_redirects 0
设置in.routed运行在静态路由模式:
创建文件/usr/sbin/in.routed为以下内容:
#! /bin/sh
/usr/sbin/in.routed –q
改变文件属性:
chmod 0755 /usr/sbin/in.routed
"

4.
关闭不必要的数据包转发功能
"问题描述
对于不做路由功能的系统,应该关闭数据包转发功能
加固建议
参考配置操作
vi /etc/init.d/inetinit:
IP Forwarding (IP转发)
 a. 关闭IP转发
ndd -set /dev/ip ip_forwarding 0
 b. 严格限定多主宿主机,如果是多宿主机,还可以加上更严格的限定防止ip spoof的***
ndd -set /dev/ip ip_strict_dst_multihoming 1
 c. 转发包广播由于在转发状态下默认是允许的,为了防止被用来实施smurf***,关闭这一特性
ndd -set /dev/ip ip_forward_directed_broadcasts 0
 路由:
      a. 关闭转发源路由包
         ndd -set /dev/ip ip_forward_src_routed 0
或在命令行中输入:
ndd -set /dev/ip ip_forwarding 0
ndd -set /dev/ip ip_strict_dst_multihoming 1
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
"

5.
配置交互用户登陆超时
"问题描述
对于具备字符交互界面的设备,应配置定时帐户自动登出
加固建议
参考配置操作
可以在用户的.profile文件中""HISTFILESIZE=""后面增加如下行:
vi /etc/profile
$ TMOUT=180;export TMOUT
改变这项设置后,重新登录才能有效。
"

6.
 重要文件和目录的权限设置
"问题描述
涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。
加固建议
参考配置操作
查看重要文件和目录权限:ls –l
更改权限:
对于重要目录,建议执行如下类似操作:
# chmod -R 750 /etc/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。
"

7.
设置eeprom 安全密码
"问题描述
设置eeprom 安全密码。
加固建议
参考配置操作
增加eeprom硬件口令保护:
# /usr/sbin/eeprom (显示当前eeprom配置)
# /usr/sbin/eeprom security-mode=command ( 可选的有command, full, none)
ASdfg_123
# eeprom security-password命令给openboot设置强壮口令
"

8.
关闭不必要的进程和服务
"问题描述
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭
加固建议
参考配置操作
检查/etc/rc2.d和/etc/rc3.d目录下的所有""S""打头的脚本文件,将那些启动不必要服务的脚本文件改名,确认新文件名不以""S""打头。
重启动确认这些变动生效,检查/var/adm/messages日志文件,用ps -elf检查是否还有无关进程启动。
"
[root@GDN0C-ZHWG-04 rc2.d]# ls
K01tog-pegasus         K24irda          K68rpcidmapd       K89rdisc            S12syslog
K02cups-config-daemon  K25squid         K69rpcgssd         K90bluetooth        S15mdmonitor
K02haldaemon           K30sendmail      K72autofs          K94diskdump         S26apmd
K02NetworkManager      K30spamassassin  K73ypbind          K95firstboot        S40smartd
K03messagebus          K35smb           K74ipmi            K95kudzu            S50iprinit
K03rhnsd               K35vncserver     K74nscd            K99readahead        S50iprupdate
K05atd                 K35winbind       K74ntpd            K99readahead_early  S51iprdump
K05saslauthd           K36mysqld        K75netfs