@[TOC]服务器加固安全指导书
服务器加固安全指导书
加固对象:WINDOWS类操作系统、加固对象:LINUX类操作系统
加固建议:
加固建议:
配置主机登录口令策略,避免使用缺省口令,口令长度大于8位,且为字母、数字或特殊字符组合,口令加密存储。
加固步骤:
1)打开“控制面板”->“管理工具”-> “计算机管理”。
选择“本地用户和组”的“用户”,可设置口令。
2)打开“控制面板”->“管理工具”,进入“本地安全策略”。
选择“帐户策略”的“密码策略”,开启复杂性要求,设置口令最小长度等。
最短密码长度:8个字符;
密码最短期限:2天;
密码最长期限:90天;
密码必须符合复杂度要求:启用;
强制执行密码历史记录:记住2个密码;
为域中所有用户使用可还原的加密来存储密码:禁用;
说明:无
加固对象:LINUX类操作系统
加固建议:
配置主机登录口令策略,避免使用缺省口令,口令长度大于8位,且为字母、数字或特殊字符组合,口令加密存储。
加固步骤:
1)在root权限下,输入passwd,然后输入密码即可。修改普通用户的密码:passwd 普通用户名。
2)在root权限下输入命令“vi /etc/login.defs”修改相关策略。
PASS_MAX_DAYS 80//密码最长使用期限(天)
PASS_MIN_DAYS 2//密码最短使用期限(天)
PASS_MIN_LEN 8//密码最短长度(位)
PASS_WARN_AGE 7//口令失效前多少天开始通知用户更改密码(天)
说明:无
加固安全策略说明
1.2帐户锁定策略
加固对象:WINDOWS类操作系统
加固建议:
配置合理的帐户锁定策略,锁定5次,10分钟后可再次登录。
加固步骤:
打开“控制面板”->“管理工具”,进入“本地安全策略”。
选择“帐户策略”的账户锁定策略”,设置帐户锁定相关设置。
账户锁定时间:10min;
账户锁定阈值:5次无效登录;
重置账户锁定计数器:10min;
说明:无
加固对象:LINUX类操作系统
加固建议:
配置合理的帐户锁定策略,锁定5次,普通账号 10分钟后可再次登录,root帐户锁定5分钟可再次登录。
加固步骤:
在root权限下输入命令“vi /etc/pam.d/system-auth”,修改相关策略。
在 auth required pam_env.so 下一行添加
auth required pam_tally2.so deny=5 lock_time=600 even_deny_root root_unlock_time=300
说明:无
1.3删除或禁用多余帐户
加固对象:WINDOWS类操作系统
加固建议:
删除主机系统存在缺省帐户或用户不使用的帐户。
加固步骤:
打开“控制面板”->“管理工具”-> “计算机管理”。
选择“本地用户和组”的“用户”,可设删除或禁用非必需账户或禁用Guest账户。
说明:无
加固对象:LINUX类操作系统
加固建议:
删除主机系统存在缺省帐户或用户不使用的帐户。
加固步骤:
1)在root权限下,输入userdel 帐户或在vi /etc/passwd下面将不用帐户前添加#注释。
说明:无
1.4重命名默认帐户
加固对象:WINDOWS类操作系统
加固建议:
重命名Administrator默认帐户。
加固步骤:
1)打开“控制面板”->“管理工具”-> “计算机管理”。
选择“本地用户和组”的“用户”,可设重命名默认帐户。
说明:无
1.5安全审计策略
加固对象:WINDOWS类操作系统
加固建议:
开启审核策略。
加固步骤:
打开“控制面板”-> “管理工具”-> “计算机管理”-> “本地安全策略”-> “审核策略”
双击需要修改的选项,进行相关设置。
审核策略更改 成功
审核登录事件 成功, 失败
审核对象访问 成功, 失败
审核过程追踪 无审核
审核目录服务访问 无审核
审核特权使用 无审核
审核系统事件 成功, 失败
审核帐户登录事件 成功, 失败
审核帐户管理 成功, 失败
说明:无
1.6关闭不必要服务
加固对象:WINDOWS类操作系统
加固建议:
关闭不必要的服务。
加固步骤:
打开“控制面板”-> “管理工具”,进入“服务”。
点击相应的服务,选择启动类型为“已禁用”,设置服务状态为“停止”。
非必要服务如下:
remote Registry 远程管理注册表,开启此服务带来一定的风险
Print Spooler 如果相应服务器没有打印机,可以关闭此服务
SNMP 简单网管协议,如启用网管应用则不关闭。
说明:无
加固对象:LINUX类操作系统
加固建议:
关闭不必要的服务,如sendmail 、ftp、telnet、rsh、rlogin。
加固步骤:
service sendmail stop//关闭sendmail服务
service vsftpd stop//关闭ftp服务
查看有哪些服务开启:chkconfig --list,将不用的服务(telnet、rsh、rlogin)禁用。
关闭telnet服务
chkconfig --level 0123456 telnet或krb5-telnet off 或输入命令“vi /etc/xinetd.d/telnet或krb5-telnet”在service telnet中把“disable=no”改成“disable=yes”,重启xinetd服务service xinetd restart
关闭rlogin、rsh服务
chkconfig --level 0123456 klogin off
说明:无
1.7屏蔽之前用户登录信息
加固对象:WINDOWS类操作系统
加固建议:
启用不显示上次的用户名。
加固步骤:
打开“控制面板”-> “管理工具”,进入“本地安全策略”。
打开“安全选项”,选择“交互登录:不显示上次的用户名”,选择“已启用”。
说明:无
1.8设置自动屏保锁定
加固对象:WINDOWS类操作系统
加固建议:
设置屏幕保护10-15分钟,自动锁屏。
加固步骤:
在桌面空白处,右击——>“属性”——>“屏幕保护程序”,设定等待时间,同时选择“在恢复时使用密码保护”。
说明:无
1.9*关闭远程桌面连接
加固对象:WINDOWS类操作系统
加固建议:
关闭远程桌面连接。
加固步骤:
鼠标右击“我的电脑”—>“属性”—>“远程”,选择“不允许连接这台计算机”。
说明:视业务情况而定。
1.10关闭非必要的网络连接
加固对象:WINDOWS类操作系统
加固建议:
对于存在多个网口的主机,应在系统中禁用不使用的网络连接。
加固步骤:
打开“控制面板”->“网络连接”,选择不使用的网络连接,右击选择停用。
说明:无
1.11卸载不必要的组件和应用程序
加固对象:WINDOWS类操作系统
加固建议:
卸载游戏等不必要的软件,禁止安装与工作无关的其他软件和文件。
加固步骤:
打开“控制面板”->“添加删除程序”,可删除不必要的软件。
说明:无
1.12禁止root用户直接远程登录
加固对象:LINUX类操作系统
加固建议:
禁止root用户远程通过SSH直接登录。
加固步骤:
在root权限下,输入命令“vi /etc/ssh/sshd_config”,修改相关策略。
将“PermitRootLogin yes”前的#去掉,并将“PermitRootLogin yes” 改为“PermitRootLogin no”。
说明:无
1.13设置超时自动退出
加固对象:LINUX类操作系统
加固建议:
设置600秒超时退出。
加固步骤:
在root权限下,输入命令“vi /etc/proflile”,修改相关配置
在HISTSIZE=1000下面添加
export TMOUT=600//600秒退出
设置后执行 source /etc/profile方可生效。
说明:无
1.14设置文件权限
加固对象:LINUX类操作系统
加固建议:
初始文件权限。
加固步骤:
在root权限下,输入命令“vi /etc/proflile”,添加如下行:
UMASK=027
配置完毕后,需source /etc/profile
其他文件权限不高于644
1.15禁用匿名帐户登录FTP服务。
加固对象:LINUX类操作系统
加固建议:
禁用匿名帐户anonymous登录。
加固步骤:
在root权限下,输入命令“vi /etc/vsftpd/vsftpd.conf” 修改相关配置。
把“anonymous_enable=YES”改成“ anonymous_enable=NO”。
1.16SNMP服务安全
加固对象:LINUX类操作系统
加固建议:
关闭SNMP服务,如需要使用SNMP服务,修改默认community。
加固步骤:
1)在root权限下,修改/etc/sma/snmp/snmpd.conf中缺省的口令public,然后执行下列命令使之生效:
#/etc/init.d/init.snmpdx stop
#/etc/init.d/init.snmpdx start
2)在root权限下,执行下列命令可以禁止SNMP服务:
/etc/init.d/init.snmpdx stop
说明:无
扫一扫
1488
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
