UNIX系统安全培训课件

操作系统安全

v1.0.0.0

操作系统安全

v1.0.0.0

版本控制版本日期参与人员更新说明1.0.0.02009-4-20郭强拟制和创建版本控制版本控制版本日期参与人员更新说明1.0.0.02009-4-目录第一章安全基础知识第二章主机安全运行第三章主机安全运行第四章主机安全运行第五章主机安全运行第六章常见应用服务安全第七章异常检查目录第一章安全基础知识第一章 安全基础知识第一章 安全基础知识目录1.1文件完整性审计1.3安全补丁审计 1.4端口审计 1.5进程审计 1.2帐户、口令审计 1.6系统日志审计 目录1.1文件完整性审计1.3安文件完整性审计-原理通过函数计算得到每个文件的数字文摘5每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较不同，则文件已被修改，若相同，文件则未发生变化。

文件完整性审计-原理通过函数计算得到每个文件的数字文摘文件完整性审计-意义检测系统关键文件变化情况检测各种误操作导致的系统变化在事件发生后，快速恢复系统的依据发现系统隐藏的后门文件完整性审计-意义检测系统关键文件变化情况文件完整性审计-安全周期文件完整性审计-安全周期文件完整性审计-手段最成熟的商业文件完整性审计工具支持各种操作系统甚至网络设备结构方便集中管理和配置结果存放于数据库5最通用的免费的完整性审计工具简单易用只能对单一文件进行审计,支持各种操作系统文件完整性审计-手段文件完整性审计-部署逻辑图文件完整性审计-部署逻辑图文件完整性审计-其他工具5$5*98343c75586195319c44f3d5*322260615d34d7d46392e21b82b195b4*8975f7180e8f8735867e4935c3*a365057397c1994c2d*717a6573617471041c45580*4370896176909780c98b8712*b007728c6e7d3e9a3784147983*5d67813238c58b01a3e6888*文件完整性审计-其他工具5文件完整性审计-其他工具网站提供5提交、验证页面文件完整性审计-其他工具网站提供5提交、验证页面文件完整性审计-其他工具–i文件完整性审计-其他工具文件完整性审计-注意事项完整性检查的工具本身完整性检查的数据库只读介质异地存储文件完整性审计-注意事项完整性检查的工具本身用户、弱口令审计-原理系统用户数据库加密后的用户密码5

's's5's用户、弱口令审计-原理系统用户数据库用户、弱口令审计-意义发现系统中无用、默认的用户发现使用弱密码的用户检查密码策略实施情况发现系统中的后门帐户用户、弱口令审计-意义发现系统中无用、默认的用户用户、弱口令审计-手段手工直接查看系统用户数据库，人工简单判断最通用的密码破解软件有各种常见操作系统下的版本可以破解各种常见操作系统的用户数据库外加软件也可以实现分布式用户、弱口令审计-手段手工用户、弱口令审计-手段手工检查

（）x为用户未锁定，::为空密码，*/**为锁定0为常见可登陆:加密过的密码:::::用户、弱口令审计-手段手工检查系统帐号安全文件剖析

7个域中的每一个由冒号隔开。—给用户分配的用户名。—经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（:*:）代替。该域通常不手工编辑。—用户的唯一标识号。习惯上，小于100的是为系统帐号保留的。系统帐号安全文件剖析系统帐号安全—用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。—习惯上它包括用户的全名。邮件系统和这样的工具习惯使用该域中的信息。—该域指明用户的起始目录，它是用户登录进入后的初始工作目录。—该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个值，这将阻止用户登录。系统帐号安全帐号安全（文件）帐号安全（文件）系统帐号安全上一次修改口令的日期，以从1970年1月1日开始的天数表示。口令在两次修改间的最小天数。口令在建立后必须更改的天数。口令更改之前向用户发出警告的天数。口令终止后帐号被禁用的天数。自从1970年1月1日起帐号被禁用的天数。保留域。系统帐号安全系统帐号安全缺省帐号系统帐号安全缺省帐号系统帐号安全禁用和删除帐号：禁用帐号最快的方式是在或影子口令文件中用户加密口令的开始加一个星号（*）。该用户将不能再次登录。#系统帐号安全禁用和删除帐号：用户、弱口令审计-手段 一般运行 加字典、自定义策略 查看已破解密码– 恢复上次运行用户、弱口令审计-手段用户、弱口令审计-注意事项密码文件要注意保存有的系统用户数据库文件不是标准模式，需要手工或脚本进行转换不要轻易删除帐户、建议先锁定帐户可能跟应用系统有关用户、弱口令审计-注意事项密码文件要注意保存安全补丁审计-原理当前系统/应用的补丁升级，绝大部分是安全方面的升级系统/应用补丁后，即可修补当前已知的安全问题定期（基本每周）会发布补丁集和包，包含所有补丁以+方式提供最新为14？安全补丁审计-原理当前系统/应用的补丁升级，绝大部分是安全方安全补丁审计-意义得到系统/应用准确版本信息判断系统是否存在安全漏洞为下一步安全补丁的实施提供准确的依据安全补丁审计-意义安全补丁审计-手段系统版本

系统本身支持补丁查看命令–p

–r‘*’应用补丁/版本

安全补丁审计-手段系统版本安全补丁审计-手段最新补丁列表取得方式安全补丁审计-手段最新补丁列表取得方式安全补丁审计-手段安全补丁审计-手段安全补丁审计-手段安全补丁审计-手段安全补丁审计-注意事项补丁可能引起系统/应用的问题补丁时要注意文件的备份除系统补丁外，应用的补丁也很重要安全补丁审计-注意事项补丁可能引起系统/应用的问题端口审计-原理系统开启的网络服务，均会导致开放特定的端口开放端口后，网络即可对此端口进行访问，如果此端口的应用存在安全漏洞，则可能导致系统的安全问题大部分的黑客留下的后门，均开放端口实现

端口审计-原理系统开启的网络服务，均会导致开放特定的端口端口审计-意义发现系统开放的不必要的服务发现系统可能存在的后门为下一步加固关闭服务提供依据端口审计-意义发现系统开放的不必要的服务端口审计-手段系统本身命令系统外部工具端口扫描工具可以扫描开放的、端口可以进行端口-服务识别–i:3306查看系统打开的文件端口审计-手段系统本身命令端口审计-手段

a显示所有端口n数字显示地址和端口（不进行反向解析）举例–端口审计-手段端口审计-手段()端口扫描端口扫描服务版本识别指纹判断系统类型0不预先主机端口扫描范围示例127.0.0.1端口审计-手段端口审计-手段<>列举打开此文件的程序列举所有打开的程序<>列举此程序打开的文件<>列举此进程打开的文件端口审计-手段端口审计-注意事项启动时打开端口的服务可能的位置*部分端口为系统默认必须开放111端口关闭，将不能运行、等后门程序会隐藏开放的特定端口端口审计-注意事项启动时打开端口的服务可能的位置进程审计-原理服务器启动后运行的程序，均可以以查看进程的方式看到黑客留下的后门程序，除了对系统本身文件进行修改的，大部分均会增添运行进程进程审计-原理服务器启动后运行的程序，均可以以查看进程的方式进程审计-意义发现系统运行的不必要服务发现黑客留下来的后门程序为下一步加固提供依据进程审计-意义发现系统运行的不必要服务进程审计-手段 列出所有用户进程 列出进程的 列出进程的,,, 列出某用户进程举例：

进程审计-手段进程审计-手段<>列举打开此文件的程序列举所有打开的程序<>列举此程序打开的文件<>列举此进程打开的文件进程审计-手段进程审计-手段其他相关系统命令{|} 查看进程的身份（有效的和真实的用户和组）[] 查看进程打开的文件[]{|} 查看进程的跟踪标志和信号状态[]{|} 查看链接到进程上的动态链接[]{|} 查看进程的地址空间映射表（详细检查进程占用了多少虚拟内存） 查看进程的信号[]{|} 查看进程的十六进制/符号形式的堆栈记录[...] 高精度地统计进程占用的时间 分层查看进程的所有子进程[] 等待指定的进程终止 查看进程的当前工作目录进程审计-手段其他相关系统命令系统日志审计-原理系统日志记帐的两个最主要守护进程会监视基本上所有的系统动作。其中主要记录一些系统内核动作。，它可以接收访问系统的日志信息并且根据配置文件中的指令处理这些信息。任何希望生成日志信息的程序都可向接口呼叫来生成改信息。其他的一些日志，这两个进程来进行记帐的，然后通过这个管道文件向这个文件写数据系统日志审计-原理系统日志记帐的两个最主要守护进程会监视系统日志审计-意义观察系统的运行状态发现系统运行中出现的错误报警观察程序的运行情况和用户的登陆情况，甚至运行的命令。发现系统被黑客攻击后残留的痕迹。系统日志审计-意义观察系统的运行状态系统日志审计-手段* 系统核心的各种运行日志（认证、） 普通用户尝试成为其它用户的纪录 不具可读性的，记录着当前登录在主机上的用户,用w，等命令来看， 记录着所有登录过主机的用户，时间，来源等内容,也是不具可读性的用命令来看 一般记录事件系统日志审计-手段*系统日志审计-手段如果使用，则可查看用户运行过的命令额外的记帐功能需要执行目录下的文件格式如下系统日志审计-手段如果使用，则可查看用户运行过的命令系统日志审计-注意事项日志可能被伪造最好系统配置为网络统一接收日志可以使用一些日志分析软件进行深入挖掘系统日志审计-注意事项日志可能被伪造系统日志审计-附加网络日志发送服务器作如下配置*@202.*.*.*接收服务器作如下配置确定文件有修改文件（＝“－r”）修改文件，添加*.**推荐使用商业或是系统上使用的收集软件系统日志审计-附加网络日志文件权限文件权限文件权限的8进制表示属主,组,其它分别以一个8进制位表示,其中:r-4w-2x-1例子:“”8进制表示为0750

0400 0200 0100 0040 0000 0010＋0000

0750文件权限的8进制表示属主,组,其它分别以一个8进制位表示,其文件权限八进制数表示文件权限文件权限八进制数表示文件权限文件权限(改变权限）

(用户（u）、分组（g）、其他（0）)（改变拥有权） 1（改变分组） 1文件权限文件权限值当创建了一个新文件或目录时，它基于用户的权限屏蔽“”来确定缺省的权限设置。命令用来声明要打开的权限，而命令用来指明要禁止的权限。它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限—或被屏蔽的。主要在系统范围及个人的登录文件或中建立。文件权限值文件权限应该设置用户的为077，这使其它用户不能读写新创建的文件。在多数系统中，umask的缺省值是022。文件权限应该设置用户的为077，这使其它用户不能读写新创建的和文件表示“设置用户”，表示“设置组”。当用户执行一个文件时，用户在程序运行过程中被置为文件拥有者的用户。如果文件属于，那用户就成为超级用户。同样，当一个用户执行文件时，用户的组被置为文件的组。实际上有两种类型的用户。“”是在登录过程中建立的用户。""是在登录后的会话过程中通过和位来修改。和文件表示“设置用户”，表示“设置组”。当用户执行一个文件时文件权限 f\(-4000-2000\)– 这告诉列出所有设置了（“4000”）或（“2000”）位的普通文件（“f”）。应该在每个本地系统中运行它。文件权限 f\(-4000-2000\)–使用基于的命令命令查询文件并报告当前每个登录的用户。使用基于的命令命令查询文件并报告当前每个登录的用户。使用基于的命令w命令查询文件并显示当前系统中每个用户和他所运行的进程信息。标题栏显示当前时间、系统已运行了多长时间、当前有多少用户登录以及过去1、5和15分钟内的系统平均负载。使用基于的命令w命令查询文件并显示当前系统中每个用户和他所运日志子系统命令 命令用单独一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。 $

日志子系统命令日志子系统命令往回搜索来显示自从文件第一次创建后登录过的用户。它还报告终端类型和日期。日志子系统命令往回搜索来显示自从文件第一次创建后日志子系统命令根据当前文件中的登录进入和退出来报告用户连接的时间（小时）。如果不使用标志，则报告总的时间。 $ 136.25 “-d”标志产生每天的总的连接时间。 “-p”标志报告每个用户的总的连接时间日志子系统命令根据当前文件中的登录进入和退出来报告用户连接的日志子系统命令报告以前执行的命令。不带变元时，命令显示当前统计文件生命周期内记录的所有命令的有关信息，包括命令名、用户、、命令花费的时间和一个时间戳。日志子系统命令报告以前执行的命令。不带变元时，命令显示当前第二章主机安全运行第二章主机安全运行目录2.1帐号、口令2.2网络与服务2.3日志2.4其他目录2.1帐号、口令2.2网络与账号、口令账号要求内容清除或锁定系统账号:操作指南1、参考配置操作:'($30){$1}‘

账号、口令账号要求内容清除或锁定系统账号:操作指南1、参考配账号、口令账号要求内容为用户设置合适的缺省值:操作指南1、参考配置操作

[`$`0];"022">>$$444$账号、口令账号要求内容为用户设置合适的缺省值:操作指南1、参账号、口令口令要求内容中设置口令策略操作指南1、参考配置操作在文件中定义，其中有四项相关内容：密码最长时效（天）密码最短时效（天）最短密码长度密码过期前天警告用户编辑文件，设定：900830账号、口令口令要求内容中设置口令策略操作指南1、参考配置操作网络与服务网络要求内容网络参数调整:操作指南1、参考配置操作<<>>4=04=04=40964=1<<>>4=04=04=0

0600网络与服务网络要求内容网络参数调整:操作指南1、参考配置操作网络与服务网络连接访问控制要求内容网络连接访问控制的设置操作指南设置方法：1、使用或进行网络访问控制2、使用本身的访问控制机制对启动的服务进行网络访问控制；可以在其配置文件中使用和指令限制可以访问该服务的主机，的配置文件是和；具体配置方法参见。使用自带的访问控制机制控制对服务的访问#:#:;\#.

{======

#172.16.0.0/24=172.16.0.0/24#192.168.0.159192.168.0.159##=网络与服务网络连接访问控制要求内容网络连接访问控制的设置操作网络与服务网络连接访问控制要求内容网络连接访问控制的设置操作指南设置方法：3、使用系统中的模块提供的访问控制机制；配置文件是，该文件中提供了该文件的语法。使用进行网络访问控制在文件中添加模块（以文件为例）1.0#.#.

341212215w

网络与服务网络连接访问控制要求内容网络连接访问控制的设置操作网络与服务服务要求内容中的服务设置操作指南1、参考配置操作的服务主要由和*文件启动，事实上，的主要任务是为每一个指定启动文件，从而启动*文件。例如，在默认的运行级别3中系统将运行3目录中所有S打头的文件。检查当前运行级别（第一项是，第二项是当前的）–检查所有级别中启动的服务情况–3检查某一级别（例如级别3）中启动的服务将从启动目录中除去网络与服务服务要求内容中的服务设置操作指南1、参考配置操作网络与服务服务要求内容中服务设置操作指南1、参考配置操作编辑中的配置文件，在不需要启动的服务配置文件中添加。建议关闭所有服务，如果管理需要，则可以打开和服务。使用编辑文件，控制服务的启动状态#:#:(1).\#a\#.

{====

=网络与服务服务要求内容中服务设置操作指南1、参考配置操作网络与服务服务要求内容服务设置操作指南1、参考配置操作显示服务是否在系统启动时启动启动|停止服务显示本机输出的文件系统显示本机加载的文件系统（包括文件系统）网络与服务服务要求内容服务设置操作指南1、参考配置操作网络与服务服务要求内容服务设置操作指南1、参考配置操作显示服务是否在系统启动时启动将服务从启动目录中去掉启动|停止服务2、补充说明如果系统不需要服务，可以关闭该服务（使用命令）；如果不能关闭，需要在中指定不同的。网络与服务服务要求内容服务设置操作指南1、参考配置操作网络与服务服务要求内容服务设置操作指南1、参考配置操作显示服务是否在系统启动时启动将服务从启动目录中去掉启动|停止服务2、补充说明如果系统不需要服务，可以关闭该服务（使用命令）；如果不能关闭，将服务升级到最新，并在其配置文件中指定不同网络与服务服务要求内容服务设置操作指南1、参考配置操作网络与服务（）服务要求内容服务设置操作指南1、参考配置操作显示服务是否在系统启动时启动将服务从启动目录中去掉启动|停止服务2、补充说明如果系统不需要服务，可以关闭该服务（使用命令）；如果不能关闭，将服务升级到最新，并在其配置文件修改版本号网络与服务（）服务要求内容服务设置操作指南1、参考配置操作日志文件要求内容文件设置操作指南1、参考配置操作对、登录日志进行记录：#加入以下信息，使和登陆验证有关的日志信息记录到文件中#..*重新启动：#日志文件要求内容文件设置操作指南1、参考配置操作日志日志系统要求内容日志系统设置操作指南1、参考配置操作捕捉发送给和的消息到日志文件:[`'\.'`0]".*\t\t\t\"\>>[`'\.'`0]".*\t\t\t\"\>>

600日志日志系统要求内容日志系统设置操作指南1、参考配置操作其它文件/目录访问许可权限要求内容设置中的可移动介质增加””选项操作指南1、参考配置操作'($2~/^\.*\/()$/\$3"")\{$4=("",$4)};\{}'>

0644其它文件/目录访问许可权限要求内容设置中的可移动介质增加”其它文件/目录访问许可权限要求内容禁止普通用户来可移动文件系统设置操作指南1、参考配置操作

'()'\>

>

06000644其它文件/目录访问许可权限要求内容禁止普通用户来可移动文件其它文件/目录访问许可权限要求内容设置,,和文件正确的许可权限操作指南1、参考配置操作

644400其它文件/目录访问许可权限要求内容设置,,和文件正确的其它系统访问,认证和授权要求内容设置文件中删除支持操作指南1、参考配置操作`*`;$>${}${}$$644$其它系统访问,认证和授权要求内容设置文件中删除支持操作其它系统访问,认证和授权要求内容文件限制访问权限操作指南1、参考配置操作

400

.*.*其它系统访问,认证和授权要求内容文件限制访问权限操作指其它系统访问,认证和授权要求内容限制登录到系统控制台操作指南1、参考配置操作<<>

400其它系统访问,认证和授权要求内容限制登录到系统控制台操其它系统的环境变量要求内容系统环境变量设置操作指南1、参考配置操作系统的环境变量在下列文件中设置：：：或查看用户的环境变量检查环境变量，确保其中不包含本地目录（.）。其它系统的环境变量要求内容系统环境变量设置操作指南1、参考其它系统补丁要求内容补丁安装操作指南1、参考配置操作查看系统当前安装的包1安装包1升级包1升级包（如果原先没有安装，则不安装）

其它系统补丁要求内容补丁安装操作指南1、参考配置操作第三章 主机安全运行第三章 主机安全运行目录3.1帐号管理、认证授权3.2日志配置要求3.3协议安全配置要求3.4设备其他安全配置要求目录3.1帐号管理、认证授权3.2帐号管理、认证授权-帐号帐号-安全要求-设备配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#创建账号#设置密码修改权限：750#其中755为设置的权限，可根据实际情况设置相应的权限，是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；帐号管理、认证授权-帐号帐号-安全要求-设备配置-1要求内容帐号管理、认证授权帐号-安全要求-设备配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括等。操作指南1、参考配置操作删除用户：;锁定用户：1)修改文件，用户名后加**2)将文件中的域设置成3)只有具备超级用户权限的使用者方可使用，锁定用户,用–d解锁后原有密码失效，登录需输入新密码，修改能保留原有密码。2、补充操作说明需要锁定的用户：4、。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：4、。帐号管理、认证授权帐号-安全要求-设备配置-2要求内容应删除帐号管理、认证授权帐号-安全要求-设备配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南参考配置操作编辑，加上：#,.此项只能限制用户远程使用登录。用登录，修改此项不会看到效果的2、补充操作说明如果限制从远程登录，修改文件，将改为，重启服务。8上没有该路径下有该文件9上有该路径/文件检测方法1、判定条件远程登录不成功，提示“”；普通用户可以登录成功，而且可以切换到用户；2、检测操作从远程使用登录；普通用户从远程使用登录；从远程使用登录；普通用户从远程使用登录；3、补充说明限制从远程登录，修改文件，将改为，重启服务。帐号管理、认证授权帐号-安全要求-设备配置-3要求内容限制具帐号管理、认证授权帐号-安全要求-设备配置-4要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组操作指南1、参考配置操作创建帐户组：–g#创建一个组，并为其设置号，若不设，系统会自动为该组分配一个号；–g#将用户分配到组中。查询被分配到的组的：可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用选项设定新组的。0到499之间的值留给、、这样的系统账号，因此最好指定该值大于499。如果新组名或者已经存在，则返回错误信息。当字段长度大于八个字符，命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用命令进行更改，如即把当前用户以组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：

2、检测操作查看组文件：帐号管理、认证授权帐号-安全要求-设备配置-4要求内容根据系帐号管理、认证授权帐号-安全要求-设备配置-5要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号操作指南1、参考配置操作禁止账号交互式登录：修改文件，用户名后密码列为；删除账号：;2、补充操作说明禁止交互登录的系统账号，比如、、、、、等等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示，如果用户没设密码没有任何提示信息直接退出；帐号管理、认证授权帐号-安全要求-设备配置-5要求内容对系统帐号管理、认证授权-口令口令-安全要求-设备配置-1要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类操作指南1、参考配置操作，修改设置如下=6#设定最小用户密码长度为6位2；1#表示至少包括两个字母和一个非字母；具体设置可以参看补充说明。当用帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明10默认如下各行都被注释掉，并且数值设置和解释如下：3#a.2#.1#().0#.0#.0#.0#().0#.8默认没有这部分的数值设置需要手工添加系统无法生效，非系统或系统能够生效。帐号管理、认证授权-口令口令-安全要求-设备配置-1要求内容帐号管理、认证授权-口令口令-安全要求-设备配置-2检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：配置口令的最小长度；将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明对于8以前的版本，对应等，需根据文件说明确定。系统无法生效，非系统或系统能够生效。帐号管理、认证授权-口令检测方法1、判定条件帐号管理、认证授权-口令口令-安全要求-设备配置-3要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天操作指南1、参考配置操作文件：13密码的最大生存周期为13周；（8&10）90#密码的最大生存周期；（其它版本）2、补充操作说明对于8以前的版本，对应对应等，需根据文件说明确定。系统无法生效，非系统或系统能够生效。检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；系统无法生效，非系统或系统能够生效。帐号管理、认证授权-口令口令-安全要求-设备配置-3要求内容帐号管理、认证授权-口令口令-安全要求-设备配置-4要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令操作指南1、参考配置操作，修改设置如下＝52、补充操作说明

#a.#(0),#'#.#.#26.系统无法生效，非系统或系统能够生效检测方法1、判定条件设置密码不成功2、检测操作，设置如下＝53、补充说明默认没有的标记，即不记录以前的密码系统无法生效，非系统或系统能够生效。帐号管理、认证授权-口令口令-安全要求-设备配置-4要求内容帐号管理、认证授权-口令口令-安全要求-设备配置-5要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：

设置设置重试的次数：

在文件中将行前的#去掉，并将其值修改为＝7。保存文件退出。2、补充操作说明默认值为：＝＝5，即等于或大于5次时被锁定。账号也在锁定的限制范围内，一旦被锁定，就需要光盘引导，因此该配置要慎用。系统无法生效，非系统或系统能够生效。检测方法1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；帐号管理、认证授权-口令口令-安全要求-设备配置-5要求内容帐号管理、认证授权-授权授权-安全要求-设备配置-1要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过命令对目录的权限进行实际设置。2、补充操作说明必须所有用户都可读，用户可写–—r—只有可读–必须所有用户都可读，用户可写–—r—使用如下命令设置：644600644如果是有写权限，就需移去组及其它用户对的写权限（特殊情况除外）执行命令检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。帐号管理、认证授权-授权授权-安全要求-设备配置-1要求内容帐号管理、认证授权-授权授权-安全要求-设备配置-2要求内容控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南参考配置操作设置默认权限：在末尾增加027修改文件或目录的权限，操作举例如下：444;#修改目录的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的，可以在需要的时候通过命令行设置，或者在用户的启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：;#查看目录的权限查看是否有027内容3、补充说明的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。的计算：是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。帐号管理、认证授权-授权授权-安全要求-设备配置-2要求内容帐号管理、认证授权-授权授权-安全要求-设备配置-3要求内容控制进程缺省访问权限，当通过服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南1、参考配置操作限制某些系统帐户不准登录:通过修改文件，增加帐户810限制用户可使用不能用，假如用户为创建一个文件,添加一行;修改文件，:119:1注：还需要把真实存在的目录加入文件，否则没有用户能够登录限制用户登陆后在自己当前目录下活动编辑，加入如下一行*(限制所有)，（特定用户）文件与文件在同一目录d.设置用户登录后对文件目录的存取权限，可编辑。

2、补充操作说明查看#说明:在这个列表里边的用户名是不允许登陆的。、、、、、、、、、、、4帐号管理、认证授权-授权授权-安全要求-设备配置-3要求内容帐号管理、认证授权-授权授权-安全要求-设备配置-3（续）检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：810

8103、补充说明查看#说明:在这个列表里边的用户名是不允许登陆的。4帐号管理、认证授权-授权授权-安全要求-设备配置-3（续）检日志配置要求日志配置要求-安全要求-设备配置-1要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的地址。操作指南1、参考配置操作修改文件：，设置。,10是文件8是,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用命令来看。检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的地址。2、检测操作查看文件：中的或者文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用命令来看。#3、补充说明如果或者文件会增长很快，大小达到2G以上，可先压缩，出来后，删除该文件，再创建空文件，一定要创建空文件，否则可能出现系统无法启动。日志配置要求日志配置要求-安全要求-设备配置-1要求内容设备日志配置要求日志配置要求-安全要求-设备配置-2要求内容设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行目录下的文件，格式如下，执行读取命令[]。检测方法1、判定条件能够显示出包含配置内容中所要求的全部内容。2、检测操作#[]日志配置要求日志配置要求-安全要求-设备配置-2要求内容设备日志配置要求日志配置要求-安全要求-设备配置-3要求内容设备应配置日志功能，记录对与设备相关的安全事件操作指南1、参考配置操作修改配置文件，配置如下类似语句：*;定义为需要保存的设备相关安全事件。2、补充操作说明检测方法1、判定条件查看，记录有需要的设备相关的安全事件。2、检测操作修改配置文件，配置如下类似语句：*;定义为需要保存的设备相关安全事件。3、补充说明日志配置要求日志配置要求-安全要求-设备配置-3要求内容设备日志配置要求日志配置要求-安全要求-设备配置-4要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器操作指南1、参考配置操作修改配置文件，加上这一行：

*.*

@192.168.0.1可以将"*.*"替换为你实际需要的日志信息。比如：.*/.*等等。

可以将此处192.168.0.1替换为实际的或域名。重新启动服务，依次执行下列命令：

2、补充操作说明注意：

*.*和@之间为一个适用于9之前版本，10测试未成功；检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。日志配置要求日志配置要求-安全要求-设备配置-4要求内容设备日志配置要求日志配置要求-安全要求-设备配置-5要求内容设备应配置日志功能，记录用户使用命令的情况，记录不良的尝试记录操作指南1、参考配置操作修改文件：设置.使用以下方法使尝试登录失败记录有效：;查看日志，记载着普通用户尝试成为其它用户的纪录，

2、补充操作说明它的格式为：发生时间(成功/失败)号当前用户欲成的用户检测方法1、判定条件有类似如下格式记录：01/0100:30+或08/2013:44+22、检测操作查看日志，记载着普通用户尝试成为其它用户的纪录

3、补充说明它的格式为：发生时间(成功/失败)号当前用户欲成的用户日志配置要求日志配置要求-安全要求-设备配置-5要求内容设备日志配置要求日志配置要求-安全要求-设备配置-6要求内容系统上运行的应用/服务也应该配置相应日志选项，比如。操作指南1、参考配置操作对所有的行为进行审计：在里设置""来记录的动作。检测方法1、判定条件日志中能够列出相应的应用/服务的详细日志信息；2、检测操作查看日志存放文件，如的日志：日志配置要求日志配置要求-安全要求-设备配置-6要求内容系统协议安全配置要求协议安全协议安全-安全要求-设备配置-1要求内容对于使用协议进行远程维护的设备，设备应配置使用等加密协议操作指南1、参考配置操作10以前的版本需另外安装，才能使用。10启用的命令：10禁用的命令：8如果安装正常可以通过来启动;通过来停止2、补充操作说明查看服务状态：#–10还可以通过命令：#若为，即为生效。协议安全配置要求协议安全要求内容对于使用协议进行远程维护的设协议安全配置要求协议安全协议安全-安全要求-设备配置-2检测方法判定条件#–是否有进程存在10还可以通过命令#服务状态查看结果为：服务状态查看结果为：2、检测操作查看服务状态：#–查看服务状态：#–3、补充说明查看服务状态：10还可以使用#查看服务状态：10还可以使用#协议安全配置要求协议安全检测方法判定条件协议安全配置要求协议安全协议安全-安全要求-设备配置-3要求内容设备应支持列出对外开放的服务端口和设备内部进程的对应表操作指南1、参考配置操作开放的服务列表8&9命令:#10命令开放的端口列表命令:#服务端口和进程对应表：命令：2、补充操作说明20、21、22、23、25、2109、3110、143、389、69、77、79、87、95、102、x400103、x400104、123、513、514、514协议安全配置要求协议安全协议安全-安全要求-设备配置-3要求协议安全配置要求协议安全协议安全-安全要求-设备配置-4检测方法1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令:#开放的端口列表命令:#服务端口和进程对应表：命令：协议安全配置要求协议安全检测方法1、判定条件协议安全配置要求协议安全协议安全-安全要求-设备配置-5要求内容对于通过协议进行远程维护的设备，设备应支持对允许登陆到该设备的地址范围进行设定操作指南参考配置操作编辑和两个文件

增加一行<>:允许访问的；举例如下：:192.168.4.44#允许单个；:192.168.1#允许192.168.1的整个网段增加一行重启进程：2、补充操作说明9x86下，更改文件后，重启的命令是：

10X86下，可以用如下命令重启:

检测方法1、判定条件被允许的服务和范围可以登录到该设备，其它的都被拒绝。2、检测操作查看和两个文件

协议安全配置要求协议安全协议安全-安全要求-设备配置-5要求协议安全配置要求-路由协议安全路由协议安全-安全要求-设备配置-1要求内容主机系统应该禁止重定向，采用静态路由操作指南1、参考配置操作禁止系统发送重定向包：在2中做如下参数调整，0#1设置运行在静态路由模式：创建文件为以下内容:#!–q改变文件属性：0755检测方法1、判定条件在2搜索看是否有0内容269中包含的是602、检测操作查看当前的路由信息：

协议安全配置要求-路由协议安全路由协议安全-安全要求-设备协议安全配置要求-路由协议安全路由协议安全-安全要求-设备配置-2要求内容对于不做路由功能的系统，应该关闭数据包转发功能操作指南1、参考配置操作

(转发)

a.关闭转发

0

b.严格限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止的攻击

1

c.转发包广播由于在转发状态下默认是允许的，为了防止被用来实施攻击，关闭这一特性

0

路由：

a.关闭转发源路由包

02、补充操作说明注意：启动过程中转发功能关闭前主机依旧可以在多块网卡之间进行转发,存在小小的潜在安全隐患。对于2.4(或者更低版本)，在文件的最后增加一行

0对于2.5(或者更高版本),在目录下创建一个叫的空文件，

检测方法1、判定条件2、检测操作查看文件

3、补充说明注意：启动过程中转发功能关闭前主机依旧可以在多块网卡之间进行转发,存在小小的潜在安全隐患协议安全配置要求-路由协议安全路由协议安全-安全要求-设备配设备其他安全要求-屏幕保护屏幕保护-安全要求-设备配置-1要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出操作指南1、参考配置操作可以在用户的文件中""后面增加如下行：

$180

改变这项设置后，重新登录才能有效。2、补充操作说明若修改了文件，如下：

#(0900)

#a.

180

这里的超时设置针对登录过程，而不是登录成功后的会话超时设置检测方法1、判定条件若在设定时间内没有操作动作，能够自动退出，即为符合；2、检测操作用帐户登录后，在设定时间内不进行任何操作，检查帐户是否登出。设备其他安全要求-屏幕保护屏幕保护-安全要求-设备配置-1要设备其他安全要求-屏幕保护屏幕保护-安全要求-设备配置-2要求内容对于具备图形界面（含界面）的设备，应配置定时自动屏幕锁定操作指南1、参考配置操作在面板中(打印机右边)，打开；或者使用命令可以调出；选中

2、补充操作说明手动锁屏幕方法：直接点击桌面上的锁图标。检测方法1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作登录后，在设定时间内不进行任何操作，检查屏幕是否被锁定。设备其他安全要求-屏幕保护屏幕保护-安全要求-设备配置-2要设备其他安全要求-文件系统及访问权限文件系统及访问权限-安全要求-设备配置-1要求内容涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改操作指南1、参考配置操作查看重要文件和目录权限：–l更改权限：对于重要目录，建议执行如下类似操作：#750*这样只有可以读、写和执行这个目录下的脚本。检测方法1、判定条件用外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。2、检测操作查看重要文件和目录权限：–l用外的其它帐户登录，对重要文件和目录进行删除、修改等操作设备其他安全要求-文件系统及访问权限文件系统及访问权限-安全设备其他安全要求-文件系统及访问权限文件系统及访问权限-安全要求-设备配置-2要求内容应该从应用层面进行必要的安全访问控制，比如服务器应该限制可以使用的目录范围操作指南1、参考配置操作限制用户登陆后在自己当前目录下活动编辑，加入如下一行*(限制所有用户)，（特定用户）2、补充操作说明文件与文件在同一目录8为,10为3、补充说明检测方法1、判定条件访问被禁止或被限制；2、检测操作帐户从远程访问设备其他安全要求-文件系统及访问权限文件系统及访问权限-安全设备其他安全要求-物理安全及物理端口及的口令设置-安全要求-设备配置-1要求内容对于具备口的设备，限制用户只能从口本地登录操作指南1、参考配置操作连接物理端口,使用命令(菜单式操作),根据提示设置,即可.2、补充操作说明此项只能对产品系列生效，对于产品系列不适用检测方法1、判定条件登录提示需要输入用户及密码2、检测操作连接物理端口，需输入用户及密码才能进入。3、补充说明此项只能对产品系列生效，对于产品系列不适用设备其他安全要求-物理安全及物理端口及的口令设置-安全要求-设备其他安全要求-物理安全及物理端口及的口令设置-安全要求-设备配置-2要求内容设置安全密码操作指南1、参考配置操作增加硬件口令保护：#(显示当前配置)#(可选的有,,)#命令给设置强壮口令2、补充操作说明警告：安全模式设置到，至少可以正常启动系统。于是只要记得口令或者还有其他机会获得权限，就可以通过设置安全模式为而挽救回来。如果设置了为，设置了保护口令而又忘记，会带来很多麻烦，务必小心。说明：不需要任何口令；除了和之外的所有命令都需要口令；除了命令之外的所有命令都需要口令检测方法1、判定条件显示的级别配置为：对于一般用户，从硬盘启动，不需要输入密码；

如果选择从光盘启动，则需要密码。2、检测操作#(显示当前配置)设备其他安全要求-物理安全及物理端口及的口令设置-安全要求-设备其他安全要求-补丁管理补丁管理-安全要求-设备配置-1要求内容在系统安装时建议只安装基本的部份，其余的软件包则以必要为原则，非必需的包就不装操作指南参考配置操作查询文件，看版本发布日期。执行下列命令，查看版本及大补丁号。–a执行下列命令，查看各包的补丁号

检测方法判定条件查询文件，看版本发布日期。#–a查看版本及大补丁号–p命令检补丁号2、检测操作在系统安装时建议只安装基本的部份，其余的软件包则以必要为原则，非必需的包就不装。设备其他安全要求-补丁管理补丁管理-安全要求-设备配置-1要设备其他安全要求-补丁管理补丁管理-安全要求-设备配置-2要求内容应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试操作指南1、参考配置操作–p命令检补丁号；命令给系统打补丁；更新更安全的补丁在

检测方法1、判定条件查看最新的补丁号，确认已打上了最新补丁；2、检测操作–p命令检补丁号设备其他安全要求-补丁管理补丁管理-安全要求-设备配置-2要设备其他安全要求-服务服务-安全要求-设备配置-1要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭操作指南1、参考配置操作查看所有开启的服务：––a‘10在中关闭不用的服务首先复制。然后用编辑器编辑文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启服务,即可。对于10，直接关闭某个服务，如,可用如下命令:

重新启用该服务，使用命令：

8修改和文件,注释掉对应的服务以及端口重启进程>–<>2、补充操作说明在文件中禁止下列不必要的基本网络服务。5注意：改变了“”文件之后，需要重新启动。对必须提供的服务采用来保护设备其他安全要求-服务服务-安全要求-设备配置-1要求内容列设备其他安全要求-服务服务-安全要求-设备配置-1（续）检测方法1、判定条件所需的服务都列出来；没有不必要的服务；2、检测操作10查看所有开启的服务：–a8查看所有开启的服务3、补充说明在文件中禁止下列不必要的基本网络服务。5注意：改变了“”文件之后，需要重新启动。对必须提供的服务采用来保护设备其他安全要求-服务检测方法1、判定条件设备其他安全要求-服务服务-安全要求-设备配置-2要求内容如果网络中存在信任的服务器，应该配置系统使用服务保持时间同步操作指南1、参考配置操作的配置文件：

地址（提供服务的机器）（建文件及相关目录，这个文件是用于在重起的时候快速的和服务器进行同步）8启动进程

10：检查依赖：#然后###2、补充操作说明默认是没有的，需要做的话，就把拷贝一份成。如果做的话，就把拷贝一份到检测方法1、判定条件与服务器保持时间同步；2、检测操作查看的配置文件：查看进程：–检查依赖：#(适用于10)设备其他安全要求-服务服务-安全要求-设备配置-2要求内容如设备其他安全要求-服务服务-安全要求-设备配置-3要求内容服务：如果没有必要，需要停止服务；如果需要服务，需要限制能够访问服务的范围操作指南1、参考配置操作禁止服务杀掉如下进程:

,

,

,

是由文件控制，为了禁止服务的后台程序

将215文件改名

K15

将273文件改名

K13

文件有几个选项

–F

–o

[]

/目录名

端有读写权限，

是端只有读权限

[建议使用选项]

如必须使用，则设置特殊端口

2049

2049或者限制能够访问服务的范围：编辑文件：增加一行::允许访问的检测方法1、判定条件状态显示为：；或者只有规定的范围可以访问服务；2、检测操作查看服务：–10还可以#

若需要服务，查看能够访问服务的范围：查看文件：设备其他安全要求-服务服务-安全要求-设备配置-3要求内容服设备其他安全要求-内核调整内核调整-安全要求-设备配置-1要求内容防止堆栈缓冲溢出操作指南1、参考配置操作对文件做备份。用编辑器编辑文件，在文件的最后加如下2行内容。1

=1

保存文件，退出编辑器。然后改变文件权限：

750

2、补充操作说明系统的内核参数都在此，一但改错系统无法正常启动，需要光盘引到。内核参数改动后需要重启服务器才生效检测方法1、判定条件能够防止堆栈缓冲溢出2、检测操作查看文件：；是否有如下两行：1

=1

查看文件权限：

750

设备其他安全要求-内核调整内核调整-安全要求-设备配置-1要设备其他安全要求-启动项启动项-安全要求-设备配置-1要求内容列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭操作指南1、参考配置操作检查2和3目录下的所有"S"打头的脚本文件，将那些启动不必要服务的脚本文件改名，确认新文件名不以"S"打头。重启动确认这些变动生效，检查日志文件，用检查是否还有无关进程启动。2、补充操作说明

在一般需要关闭的服务有：、、、、、、、、、、检测方法1、判定条件所列进程和服务都是必需的；2、检测操作检查2和3目录下的所有"S"打头的脚本文件，确认不必要启动的服务的脚本文件名不以"S"打头；检查日志文件；用检查是否还有无关进程启动。3、补充说明在一般需要关闭的服务有：、、、、、、、、设备其他安全要求-启动项启动项-安全要求-设备配置-1要求内第四章 主机安全运行第四章 主机安全运行目录4.1帐号、口令4.2网络与服务4.3日志4.4其他目录4.1帐号、口令4.2网络与账号、口令账号要求内容查看账号属性操作指南1、参考配置操作检查是否有空口令的帐户：

386–d:\检查除了还有没有0帐户::'($30){$1}‘锁定除了以外所有的系统用户（默认无法登录）如：锁定1用户1删除无用的缺省帐户:1账号、口令账号要求内容查看账号属性操作指南1、参考配置操作账号、口令口令策略要求内容查看账号属性，设置口令属性操作指南1、参考配置操作使用命令：–f1261设置用户1密码的最长有效期为26周对用户的以下属性进行配置：8口令最长有效期为8周0口令最短有效期为04口令过期后4周内用户可以更改3口令中某一字符最多只能重复3次8口令最短为8个字符4口令中最少包含4个字母字符1口令中最少包含一个非字母数字字符4新口令中最少有4个字符和旧口令不同5连续5次登录失败后锁定用户26同一口令在26周内不能重复使用0同一口令与前0个口令不能重复账号、口令口令策略要求内容查看账号属性，设置口令属性操作指南账号、口令登陆策略要求内容设置登陆策略操作指南1、参考配置操作登录策略主要在中定义使用命令：列出默认的端口登录策略03三次连续失败登录后锁定端口02、补充说明2失败登录后延迟2秒显示提示符33次失败登录后锁定端口60在60秒内3次失败登录才锁定端口＝15端口锁定15分钟后解锁账号、口令登陆策略要求内容设置登陆策略操作指南1、参考配置操账号、口令用户远程登录要求内容设置用户远程登录操作指南1、参考配置操作用户远程登录的限制可在文件中指定。使用和命令：查看的属性（默认为，允许远程登录，或）禁止远程登录设置的用户属性。账号、口令用户远程登录要求内容设置用户远程登录操作指南1、账号、口令用户的环境变量要求内容用户的环境变量设置操作指南1、参考配置操作用户的环境变量主要在以下文件中设置：全局的用户登录配置文件，其中可以设置环境变量($)单独用户的登录配置文件，其中可以设置环境变量全局的环境变量设置文件可以在其中对单独用户设置环境变量因此，对的环境变量进行设置可以通过文件进行2、补充说明检查环境变量，确保其中不包含本地目录（.）。查看当前的环境变量设置，如果有则通过："****"去掉的环境变量中的（.）账号、口令用户的环境变量要求内容用户的环境变量设置操作指南网络与服务

要求内容配置操作指南1、参考配置操作通过1防止的攻击；

通过20设置表的清空时间；

通过0防止网络地址掩码的泄漏；

通过0防止攻击；

通过0；0；6=0防止源路由攻击；

通过1和0防止重定向；

通过–a禁用非信任的，，，，，，等程序和守护进程；

利用或者直接编辑，检查所有其中的内容，去除信任主机和用户；

利用或者直接编辑来设定不能通过登录系统的用户。网络与服务要求内容配置操作指南1、参考配置操作网络与服务中的服务要求内容设置中的服务操作指南1、参考配置操作系统中的服务主要在文件和.*（包括，）等文件中启动，事实上，.*系列文件主要也是由启动。同时，中所有启动的服务都可以同过（）进行管理。使用和命令；列出所有管理的服务的状态列出所有由启动的信息。网络与服务中的服务要求内容设置中的服务操作指南1、参考配置网络与服务中服务要求内容设置中服务操作指南1、参考配置操作由启动的服务在文件定义（本身在中由启动）。使用命令：查看的状态以及由启动的服务的状态查看的状态更改文件后重启。建议关闭由启动的所有服务；如果有管理上的需要，可以打开、、、等服务。网络与服务中服务要求内容设置中服务操作指南1、参考配置操作网络与服务服务要求内容配置服务操作指南1、参考配置操作显示系列服务的运行状态启动服务，并在启动文件中（）添加的启动项停止服务，并从启动文件中（）删除的启动项显示本机输出的文件系统显示本机加载的文件系统（包括文件系统）网络与服务服务要求内容配置服务操作指南1、参考配置操作网络与服务（）服务要求内容配置（）操作指南1、参考配置操作显示服务的运行状态启动服务停止服务2、补充说明如果系统不需要服务，可以关闭该服务（停止服务并在中注释掉）；如果不能关闭，将服务升级到最新，并在其配置文件修改版本号。网络与服务（）服务要求内容配置（）操作指南1、参考配置操作网络与服务服务要求内容配置服务操作指南1、参考配置操作显示服务的运行状态启动服务停止服务2.补充说明如果系统不需要服务，可以关闭该服务（使用停止服务并在中注释掉）；如果不能关闭，需要在中指定不同的。网络与服务服务要求内容配置服务操作指南1、参考配置操作日志日志要求内容日志配置操作指南1、参考配置操作

[]不能使用空格

日志日志要求内容日志配置操作指南1、参考配置操作其它系统远程访问、认证、授权要求内容创建操作指南1、参考配置操作–F:‘{$1}’>2、将需要用到功能的账号从()文件中删除其它系统远程访问、认证、授权要求内容创建操作指南1、参考其它系统远程访问、认证、授权要求内容删除空并限制权限操作指南1、参考配置操作

*;`'^[\t]*#'$||''`[$0];"$"$

770其它系统远程访问、认证、授权要求内容删除空并限制权限操其它系统远程访问、认证、授权要求内容限制给授权用户操作指南1、参考配置操作

>>|>>|>>

400

#其它系统远程访问、认证、授权要求内容限制给授权用户操作其它系统内核要求内容加强系统内核操作指南1、参考配置操作系统网络参数可以通过命令进行配置，比较重要的网络参数有：0忽略地址掩码请求0不进行包转发1忽略重定向包0不发送重定向包0不转发源路由包0不接收源路由包0不发送源路由包–o0其它系统内核要求内容加强系统内核操作指南1、参考配置操作其它系统补丁要求内容补丁安装操作指南补丁安装如下:1．解压缩推荐维护包建议将推荐维护包解压缩至

*

\*{}\;–2．用检查系统硬盘空间大小，确保/，，，等目录有足够的空间。3．用下指令检查当前已安装的程序和升级：–4．如果有可能，重新建立新的启动引导镜像，并重新启动系统––r其它系统补丁要求内容补丁安装操作指南补丁安装如下:其它系统补丁要求内容补丁安装操作指南补丁安装如下:5．按照以下步骤确定安装空间以身份运行在“/”中输入升级包的具体位置设定“？”选项为“”设定“?”