各类操作系统安全基线配置及操作指南

Windows2000以上 Solaris8以上 AIX5.X HP-UNIX11i 内核版本2.6以上 Oracle8i以上MicrosoftSQLServer2000 MySQL5.x以上 IIS5.x以上 Apache2.x以上 Tomcat5.x以上 WebLogic8.X以上Windows 范 规范性引用文 缩略 安全配置要 账 口 授 补 防护软 防病毒软 日志安全要 不必要的服 启动 关闭自动播放功 共享文件 使用NTFS文件系 网络访 会话超时设 注册表设 附录A：端口及服 《 操作系统安全配置要求及操作指南》（本规范AIXHP-UX《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic适用于使用Windows操作系统的设备。在未特别说明的情况下，均适用于所WindowsWindows2000WindowsXP、Windows2003,Windows7,Windows2008Sever、ProfessionalWindowsWindows2003为例，给出参考配GB/T22239-2008YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008YD/T1736-2008YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语UDPUserDatagramProtocolTCPTransmissionControlProtocol New 操作指 1、参考配置操进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： 1、判定条件2进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：B）也可以通过net删除账号：netuser停用账号：netuser 重命名Administrator；禁用guest（来宾）帐号。 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：Administrator－>属性－>Guest帐号->属性－> Administrator名称已更改。Guest帐号已停用。2进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性 更改名Guest帐号->属性 已停要求内 密码长度要求：最少8 英语大写字母A,B,C,…Z 英语小写字母a,b,c,…z 阿拉伯数字0,1,2,… 非字母数字字符，如标点符号，@,$,&,*等操作指 1、参考配置操进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：检测方 1、判定条2进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：要求内 对于采用静态口令认证技术的设备，账户口令的生存期不长于操作指 1、参考配置操进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：“密码最长存留期”设置为“90天” “密码最长存留期”设置为“90天”进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码最长存留期”设置为“90天 使用最近5次（含5次）内已使用的口令。 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->策略”“强制密码历史”设置为“5个密码检测方 1、判定条“强制密码历史”设置为“5个密码”进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“强制密码历史”设置为“5个密码 数超过6次（不含6次），锁定该用户使用的账号。操作指 1、参考配置操进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：“账户锁定阀值”6次设置解锁阀值：30分钟检测方 1、判定条“账户锁定阀值”设置为小于或等于62进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看是否“账户锁定阀值”6次 本地、远端系统强制关机只指派给Administrators组。 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用“关闭系统”设置为“Administrators组“从远端系统强制关机”设置为“Administrators组检测方 1、判定条“关闭系统”设置为“Administrators组“从远端系统强制关机”设置为“Administrtors组”进入“控制面板->管理工具->本地安全策略”，在“本地策略->用查看“关闭系统”设置为“Administrators组”Administrators组”要求内 在本地安全设置中取得文件或其它对象的所有权仅指派操作指 1、参考配置操进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”：Administrators组”检测方 1、判定条Administrators组”2进入“控制面板->管理工具->本地安全策略”，在“本地策略->户权利指派”Administrators组” 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用检测方法1、判定条件进入“控制面板->管理工具->本地安全策略”，在“本地策略->用 在不影响业务的情况下，应安装最新的ServicePack补丁集。对操作指 1、参考配置操ServicePack2010WindowsXPServicePackSP3。Windows2000的ServicePack为SP4,Windows2003的ServicePack为 2进入控制面板->添加或删除程序->XPSP3，Win2000SP4，Win2003SP2 许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指 1、参考配置操作（以启动自带防火墙为例进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中启用Windows防火墙。在“例外” Windows“例外”2进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。查看是否在“例外” 1个月，各系统病毒码2 IP操作指 1、参考配置操 执行“控制面板->管理工具->本地安全策略->审核 2 执行“控制面板->管理工具->本地安全策略->审核 开始-运行-计算机配置-Windows设置-安全设置-本地策略- 审核系统登陆事 成功，失2检测方 1、判定条2 开始-运行-超过上限时的处理方式（90天）2、补充说明 2 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：可根据具体应用情况参考附录A，筛选不必要的服务。 进入“控制面板->管理工具->计算机管理”，进入“服务和应用程序”：编号： 如需启用SNMP服务，则修改默认的SNMPCommunityString设置。 界面中，可以修改communitystrings，也就是微软所说的“团体名检测方 1、判定条communitystrings已改，不是默认的“public”communitystrings，也就是微软所说的“团体名称”编号： 如对互联网开放WindowsTerminial服务(RemoteDesktop)，需修改 开始->运行Regedt32并转到此项“PortNumber”00000D3D检测方 1、判定条找到“PortNumber”00000D3D3389Regedt32, 操作指 1、参考配置操 2 关闭Windows自动播放功能 检测方 1、判定条“关闭自动播放” 在非域环境下，关闭Windows硬盘默认共享，例如C$，D$。 进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表下，增加REG_DWORD类型的 键，值为0 Services\LanmanServer\Parameters\REG_DWORD 0。进入“开始－>运行－>Regedit”，进入注册表编辑器，更改注册表，增加REG_DWORD类型的 键，值为0 操作指 1、参考配置操进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”： “everyone”2进入“控制面板->管理工具->计算机管理”，进入“系统工具－>共享文件夹”：NTFS FATNTFSCONVERTvolume/FS:NTFS[/V][/CvtArea:][/NoSecurity]Vol 指定驱动器号（后面加一个冒号） NTFS 指定 应该用详述模式运 NTFS系统文/NoSecurity Covert1NTFS分区，已上线系统在不损坏数据的2WIN系统访问、存在数据共享的情况下，不建议将 要求内 禁用匿名访问命名管道和共操作指 1、参考配置操“控制面板->管理工具->本地安全策略”，在“本地策略->安全选“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可匿名访问的命名管道设置为全部删除检测方 1、判定条2查看“控制面板->管理工具->本地安全策略”，在“本地策略->安 “控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:网络访问：可远程访问的注册表路径设置为全部删除“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:检测方 1、判定条3查看“控制面板->管理工具->本地安全策略”，在“本地策略->安对于远程登录的账户，设置不活动所连接时间15分钟 进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：“Microsoft 的空闲时间”为15分钟检测方 1、判定条 间”为15分钟2进入“控制面板—管理工具—本地安全策略”，在“安全策略—安全选项”：查看“Microsoft CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0 (REG_DWORD)2 将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD (REG_DWORD)1 Syn 点击开始->regedit，然后单击确定，查看相A echo7/TCP TCP/IPServices"服echo7/UDP discard9/UDP RFC863废除协议discard9/TCP RFC863废除协议daytime13/UDP RFC867白天协议daytime RFC867白天协qotdRFC865白天协议的qotdRFC865白天协议的chargen19/TCPRFC864字符产生协chargen19/UDPRFC864字符产生协Publishingsmtp25/TCP 关闭"SimpleMailTransportWINSInternetName关闭"DNSdhcps67/UDPDHCP/Internet连接共享TCP/IPServices"服dhcpc68/UDP DHCP协议客户端关闭"DHCPClient"httpHTTP万维网发布服关闭"WorldWideWebPublishingRPC服 系统基本服 netbios-ns137/UDP NetBIOS名称解析在网卡的TCP/IP选禁用TCP/IP上的netbios-dgm138/UDP NetBIOSnetbios-ssn NetBIOS会话服 系统基本服 无法关snmp161/UDP SNMP服务 关闭"SNMP"服务https关闭"WorldWideWebPublishingSMBregedit，打开ters添加名为dword0重新isakmp500/UDPIPSecISAKMP本地关闭"IPSECPolicyRADIUS旧式Internet身份验证服AccessConnectionRADIUS旧式Internet身份验证服radiusInternet身radacctInternet身份验MSMQ-RPC2105/TCPMSMQ-RPC消息队Termsrv3389/TCP ApacheHTTP服务ORACLE1521/TCP Famatechsybase5000/TCP Sybase公司数据库Symantec公司远程控HostService"字样AIXxxxx 范 规范性引用文 缩略 安全配置要 帐 口 授 补 日 不必要的服务、端 文件与目录权 系统Banner设 登陆超时时间设 内核调整设 SSH加密协 FTP设 附录A：端口及服 《 操作系统安全配置要求及操作指南AIX操作系统安全配置要求及操作指南》（本规范HP-UX《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogicAIX操作系统的设备。本规范明确了安全配置的基本要求，可作AIX5.X为例，给出参考配置操GB/T22239-2008YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语 SecureShellProtocolTransferProtocolUDPUserDatagramProtocol用户数据包协议TCPTransmissionControlProtocol传输控制协议4安全配置要求编号： 操作指南1、参考配置操作#useraddusername #passwdusername #chmod750directory #750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)2检测方法123编号：要求内 应删除或锁定与设备运行、维护等工作无关的账号操作指南1、参考配置操作删除用户：#userdelusername;修改/etc/shadow文件，用户名后加将/etc/passwdshell域设置成#passwd-l只有具备超级用户权限的使用者方可使用，#passwdlusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2检测方法1、判定条件23解锁时间：15分钟编号：要求内 限制具备超级管理员权限的用户远程登录操作指南1、参考配置操作root项上输入false作为rloginroottelnetssh登录，修改此2root从远程ssh登录，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服务。检测方法1、判定条件root远程登录不成功，提示“没有权限”root用户；root从远程使用telnettelnetroot从远程使用ssh普通用户从远程使用ssh3root从远程ssh登录，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。操作指南1把如下shell保存后，运行，会修改sshunaliascprmcase`find/usr/etc-typef|grep-cssh_config$`echo"CannotfindDIR=`find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config::"`cd$DIRcpssh_configawk'/^#?*Protocol/{print"Protocol2";next{print}'ssh_config.tmp>if["`grep-El^Protocolssh_config`"=""];thenecho'Protocol2'>>ssh_configrmssh_config.tmpchmod600ssh_config*)echo"Youhavemultiplesshd_configecho"before#ssh_config"Host*""Protocolcdcpsshd_configawk'/^#?*Protocol/{print"Protocol2";next/^#?*X11Forwarding/{print"X11Forwardingyes";next/^#?*IgnoreRhosts/{print"IgnoreRhostsyes";next/^#?*RhostsAuthentication/{print"RhostsAuthenticationno";next/^#?*RhostsRSAAuthentication/{print"RhostsRSAAuthenticationno";next/^#?*HostbasedAuthentication/{print"HostbasedAuthenticationno";next/^#?*PermitRootLogin/{print"PermitRootLoginno";next/^#?*PermitEmptyPasswords/{print"PermitEmptyPasswordsno";next/^#?*Banner/{print"Banner/etc/motd";next{print}'sshd_config.tmp>sshd_configrmsshd_config.tmpchmod600 2#使用ssh2X11Forwardingyes#允许窗口图形传输使用ssh加密 yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不设置使用基于rhosts的安全验证RhostsRSAAuthenticationnoRSArhosts的HostbasedAuthenticationno不允许基于主机白名单方式认证PermitRootLoginno#不允许root登录PermitEmptyPasswordsno#不允许空密码Banner/etc/motd #sshbannerSSH服务状态：#ps–elf|grepssh检测方法1#ps–elf|grep是否有ssh2SSH服务状态：#ps–elf|grepsshtelnet#ps–elf|grep 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-aminlen=8#密码长度最少8位minalpha=1#包含的字母最少1个mindiff=11个minother=1#包含的非字母最少1个pwdwarntime=55天发出修改密码的警告信息2检测方法1218位的口令，查看系统是否对编号：要求内 对于采用静态口令认证技术的设备，帐户口令的生存期不长于1chsec-f/etc/security/user-sdefault-avichsecf/etc/security/user文件如下histexpire=13密码可重复使用的星期为13周（91天2检测方法1、判定条件使用超过90编号： 使用最近5次（含5次）内已使用的口令。操作指南1chsec-f/etc/security/user-sdefault-avichsecf/etc/security/user文件如下histexpire=5可允许的密码重复次数检测方法1、判定条件2catetc/security/user3默认没有histsize编号： 数超过6次（不含6次），锁定该用户使用的账号。1、参考配置操作#lsuserusername设置6#chuserloginretries=6username备注：root账户不在锁定范围内检测方法1、判定条件运行lsuseruasename命令，查看帐户属性中是否设置了66次，编号： 操作指南1通过chmod2chown-Rroot:security/etc/passwd/etc/group/etc/securitychown-Rroot:audit/etc/security/auditchmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r/etc/passwdetc/groupetc/securityroot/etc/security/auditirootaudit/etc/passwd所有用户都可读，root–rw-r—/etc/shadowroot–r 必须所有用户都可读，root用户可写–rw-r—chmod644chmod644如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情执行命令#chmod-Rgo-w,o-r检测方法1221、利用管理员账号登录系统，并创建232个用户的权限差异应能够分42个新建的账号访问设备系统，并分别尝试访问允许3 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录操作指南1限制某些系统帐户不准ftp登录通过修 文件，增加帐#viFTPTelnet，假如用户为创建一个/etc/shells文件,添加一行/bin/true;修改/etc/passwdshell目录加入/etc/shells用户能够登录以上两个步骤可参考如下shelllsuser-cALL|grep-v^#name|cut-f1-d:|whilereadNAME;doif[`lsuser-f$NAME|grepid|cut-f2-d=`-lt200];thenecho"Adding$NAMEto/etc/"echo$NAME>>/etc/sort-u/etc/>/etc/rm/etc/chownroot:system/etc/chmod600/etc/限制ftprestricted-uid*(限制所有)，restricted-uidusername（特定用户）设置ftp noguest,anonymous noguest,anonymous noguest,anonymous noguest,anonymous noanonymous查看#cat说明 在这个列表里边的用户名是不允许ftp登陆的检测方法12#more #more/etc/3查看#说明 在这个列表里边的用户名是不允许ftp登陆的 操作指南1#smitSOFTWAREtoupdateCOMMITsoftware SAVEreplaced ACCEPTnewlicense 2检测方法12检查某一个补丁，比如LY59082#instfix–a–ivk检查文件集（）#lslpp–lbos.adt.libm IP操作指南1vi/etc/syslog.conf，加上这几行：touch/var/adm/authlog/var/adm/syslogchownroot:system/var/adm/authlog重新启动syslogstopsrc-ssyslogdstartsrc-sAIXsyslogd，以上配置增加了验证信息发送到/var/adm/authlog和/var/adm/syslog2检测方法1IP地址。catvar/adm/authlogcat/var/adm/syslog编号：2（可选 启用记录cron行为日志功能和cron/at的使用情况操作指南1、参考配置操作cron/At cron/var/spool/cron/cron.allowcrontab/var/spool/cron/cron.denycrontab at at at使用crontab和at命令可以分别对cron和at任务进行控制。#crontab-l 查看当前的cron任务#at-l at任务检测方法1、判定条件2 chmod600chmod640 2syslog.conf文件中配置的日志存放文件：more/etc/syslog.confls–l/var/adm查看的目录下日志文件的权限，如：authlogsyslog600、644。志、操作日志，具体文件查看syslog.conf中的配置。 1、参考配置操作#ps–e-在inetd.conf中关闭不用的服 首先复制/etc/inet/inetd.conf。/etc/inet/inetd.conf/etc/inet/inetd.conf.backup vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，inetd服务,即可。refresh–sforSVC shellkshellloginkloginexecechodiscardchargendaytimetimettdbserverdtspc;doecho"Disabling$SVCTCP"chsubserver-d-v$SVC-pforSVCinntalkrstatdrusersdrwalldspraydpcnfsd\echodiscardchargendaytimetimecmsd;doecho"Disabling$SVC

chsubserver-d-v$SVC-prefresh-s#shdis_server.shtcp来保护SSHD服务，用以登录操1、判定条件2查看所有开启的服务:cat/etc/inet/inetd.conf,catetc/inet/services在/etc/inetd.confTcpshellkshellloginkloginexecUDP服务如下：ntalkrstatdrusersdrwalldspraydtcp来保护 操作指南1、参考配置操作lsuser-ahomeALL|awk'{print$1}'|whilereaduser;dochuserumask=077$uservi/etc/default/loginumaskprofile，用编辑器打开文件/etc/security/user，找到umask这行，修改如下：2如果用户需要使用一个不同于默认全局系统设置的umask，可以在shell启动文件中配置。检测方法1、判定条件2#lsldirdir#cat/etc/default/loginumask0273umask的默认设置一般为022，这给新创建的文件默认权限（777-022=755）umaskumask是使用八进制数据代码设置的，对于目录，该值等于八进制777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八编号： 操作指南1、参考配置操作查看重要文件和目录权限：ls#chmod-R750这样只有root2检测方法1用root2查看重要文件和目录权限：lsroot外的其它帐户登录，对重要文件和目录进行删除、修改等操3Banner 修改系统banner，避免泄漏操作系统名称，版本号，主机名称等， 设置系统Banner的操作如下：在/etc/security/login.cfgdefaultherald="ATTENTION:Youhaveloggedontoasecuredserver..Allaccesseslogged.\n\nlogin:" 查看/etc/security/login.cfg文件中的配置是否按照以上要求 操作指南1、参考配置操作300秒，修改/etc/security/.profile文件，TMOUT＝300；TIMEOUT=300；exportreadonlyTMOUT2检测方法1查看/etc/security/.profile文件中的配置，是否存在登陆超时时 操作指南1、参考配置操作编辑/etc/security/limitscore0corecore_hard=echo"#AddedbyNsfocusSecurityBenchmark">>/etc/profileecho"ulimit-c0">>/etc/profilechdevlsys0afullcore=false1、补充操作说明应用程序在发生错误的时候会把自身的敏感信息从内存里检测方法1、判定条件能够防止core2查看/etc/security/limits /etc/security/limits是否有如下两行：core0core_hard=查看/etc/ 文件 /etc/security/limits是否有如下行：ulimit–c0SSH 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。操作指南1把如下shell保存后，运行，会修改sshunaliascprmcase`find/usr/etc-typef|grep-cssh_config$`echo"CannotfindDIR=`find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config::"`cd$DIRcpssh_configawk'/^#?*Protocol/{print"Protocol2";next{print}'ssh_config.tmp>if["`grep-El^Protocolssh_config`"=""];thenecho'Protocol2'>>ssh_configrmchmod600*)echo"Youhavemultiplesshd_configecho"before#ssh_config"Host*""Protocol2"，cd$DIRcpsshd_configawk'/^#?*Protocol/{print"Protocol2";next/^#?*X11Forwarding/{print"X11Forwardingyes";next/^#?*IgnoreRhosts/{print"IgnoreRhostsyes";next/^#?*RhostsAuthentication/{print"RhostsAuthenticationno";next/^#?*RhostsRSAAuthentication/{print"RhostsRSAAuthenticationno";next/^#?*HostbasedAuthentication/{print"HostbasedAuthenticationno";next/^#?*PermitRootLogin/{print"PermitRootLoginno";next/^#?*PermitEmptyPasswords/{print"PermitEmptyPasswordsno";next/^#?*Banner/{print"Banner/etc/motd";next{print}'sshd_config.tmp>sshd_configrmsshd_config.tmpchmod600 2#使用ssh2X11Forwardingyes#允许窗口图形传输使用ssh加密 yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不设置使用基于rhosts的安全验证RhostsRSAAuthenticationnoRSArhosts的HostbasedAuthenticationno不允许基于主机白名单方式认证PermitRootLoginno#不允许root登录PermitEmptyPasswordsno#不允许空密码Banner #设置ssh登录时显示的2SSH服务状态：#ps–elf|grepssh检测方法2#ps–elf|grep是否有ssh2SSH服务状态：#ps–elf|grepsshtelnet#ps–elf|grepFTP编号 禁止root登陆FTP Echoroot>>/etc/检测方 使用 登录编号要求内 禁止匿名操作指 1、参考配置操使用ftp 做匿名登录尝试，如能登录，则删除/etc/passwd下的ftp账号。检测方 检查方法使用ftp编号要求内 修改信 cat<<EOF>>/etc/Authorizedusesonly.Allactivitymaybemonitoredand检测方 1、判断依ftp登录尝试2A服务名 端 应用说 关闭方 处置建 RFC867白天协议 streamtcpnowaitrootinternal建议关 RFC867白天协 nowaitrootinternaltime streamtcpnowaitrootinternal7/tcpRFC862_回声协议 streamtcpnowaitrootinternal7/udpRFC862_ nowaitrootinternalRFC863 streamtcpnowaitrootinternal nowaitrootinternalRFC864 streamtcpnowaitrootinternal nowaitrootinternal文件传输协议(控制 streamtcpnowaitroot/usr/lbin/ftpdtelnet23/tcp streamtcpnowaitroot/usr/lbin/telnetdsendmail 简单邮件发送协 建议关 域名服 域名服 login513/tcp streamtcpnowaitroot/usr/lbin/rlogindshell514/tcp远程命令nopasswdused streamtcpnowaitroot/usr/lbin/remshdexec512/tcpremoteexecution,passwdrequired streamtcpnowaitroot/usr/lbin/rexecdntalk518/udpnewtalk, root/usr/lbin/ntalkdident113/tcp streamtcpwaitbin/usr/lbin/identdidentdlpd515/tcp streamtcpnowaitrootrlpdaemon-i nowaitrootinternalkshell544/tcpKerberosremoteshell-kfall#kshellstreamtcpnowait/usr/lbin/remshdremshd-klogin543/tcpKerberosrlogin-kfall#kloginstreamtcpnowaitroot/usr/lbin/rlogindrlogind-recserv7815/tcp X共享接收服务#recservstreamtcpnowaitroot/usr/lbin/recserv-displaydtspcd #dtspcstreamtcpnowait #registrarstreamtcpnowait #registrarstreamtcpnowait动态端口资源监控服务#registrarstreamtcpnowaitportmap 端口映 snmpsnmpsnmp-trap 启动图形控 X窗口服 动态端口启动图形控 syslogd 系统日志服 建议保 NFS远程文件系 强烈建议关 NFS远程文件系 强烈建议关 HP-UXToolTalkdatabaseserver#rpcxtitcpswait1000831 #rpcdgramudpwait/usr/dt/bin/rpc.cmsd2-5 HP-UXxxxx 范 规范性引用文 缩略 安全配置要 帐 口 授 远程维 补 日 不必要的服务、端 修改Banner信 登陆超时时间设 内核调整设 删除潜在危险文 FTP设 附录A：端口及服 《 操作系统安全配置要求及操作指南AIXHP-UX（本规范《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic适用于使用HP-UX操作系统的设备。本规范明确了安全配置的基本要求，适由于版本不同，配置操作有所不同，本规范以HP-UX11v2\11v3为例，给出参GB/T22239-2008YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语TransferProtocolUDPUserDatagramProtocolTCPTransmissionControlProtocol编号： 1、参考配置操作#useraddusername #passwdusername #chmod750directory #750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录2检测方法123编号： 操作指南1、参考配置操作删除用户：#userdel修改/etc/shadow将/etc/passwdshell域设置成#passwd-l只有具备超级用户权限的使用者方可使用，#passwdlusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2需要锁定的用户：lp,nuucp,hpdb,检测方法123需要锁定的用户：lp,nuucp,hpdb,编号： 1、参考配置操作#groupadd–gGIDgroupnameGID号，若不设GID，系统会自动为该组分配一个GID号；#usermod–ggroupusername #usernamegroup组中。查询被分配到的组的GID：#idusername2可以使用-g选项设定新组的GID。0到499 之间的值留给root、 这样的系统账号，因此最好指定该值大于499。如果新组名或者 已经存在，则返回错误信息group_namegroupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrpsys 即把当前用户以sys组身份运行；检测方法1、判定条件#idusername2查看组文件：cat/etc/group编号： 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1ch_rc–a-pMIN_PASSWORD_LENGTH=8/etc/default/securitych_rc–a-pPASSWORD_HISTORY_DEPTH=10\ch_rc–a–pPASSWORD_MIN_UPPER_CASE_CHARS=1ch_rc–a–pPASSWORD_MIN_DIGIT_CHARS=1ch_rc–a–pPASSWORD_MIN_SPECIAL_CHARS=1ch_rc–a–pPASSWORD_MIN_LOWER_CASE_CHARS=1modprdef-mnullpw=NOmodprdef-mrstrpw=YESMIN_PASSWORD_LENGTH=8#设定最小用户密码长度为8位PASSWORD_MIN_UPPER_CASE_CHARS=11个 #表示至少包括1个数字PASSWORD_MIN_SPECIAL_CHARS=1#表示至少包括1个特殊PASSWORD_MIN_LOWER_CASE_CHARS=11当用root2不同的HP-UX版本可能会有差异，请查阅当前系统的manpage 检测方法12128位的口令，查看系统是否对编号：要求内 对于采用静态口令认证技术的设备，帐户口令的生存期不长于操作指南1shellroot外的所有有效登录的账号密码过期logins-ox\|awk-F:'($8!="LK"&&$1!="root"){print$1}'|whilereadlogname;passwd–x91–n7–w28/usr/lbin/modprpw-mexptm=90,mintm=7,expwarn=30\echoPASSWORD_MAXDAYS=91>>/etc/default/securityechoPASSWORD_MINDAYS=7>>/etc/default/securityechoPASSWORD_WARNDAYS=28>>/etc/default/security/usr/lbin/modprdef-m用户将在密码过期前的30天收到警告信息 天没有运行 的 模式21、判定条件290天的帐户口令登录；测试时可以将90编号： 使用最近5次（含5次）内已使用的口令。操作指南1vi/etc/default/passwd2#HISTORYsetsthenumberofpriorpasswordchangestokeep#checkforauserwhenchangingpasswords. SettingtheHISTORY#valuetozero(0),orremoving/commentingouttheflagwill#causeallusers'priorpasswordhistorytobediscardedat#nextpasswordchangebyanyuser. Nopasswordhistorywill#becheckediftheflagisnotpresentorhaszerovalue.#ThemaximumvalueofHISTORYisNISNISNIS+系统能够生效。检测方法1、判定条件2catetc/default/passwd3HISTORYNISNISNIS+编号： 数超过6次（不含6次），锁定该用户使用的账号。操作指南1logins-ox|awk-F:'($8!="LK"&&$1!="root"){print$1}'|whilereadlogname;/usr/lbin/modprpw-mumaxlntr=6"$logname"modprdef-mechoAUTH_MAXTRIES=6>>root6检测方法12误的口令进行系统登录6次以上（不含6次）；1root编号： 操作指南1通过chmod2etc/passwd必须所有用户都可读，root–rw-r—/etc/shadowroot–r 必须所有用户都可读，root用户可写–rw-r—chmod644chmod600chmod644如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情执行命令#chmodRgo-w检测方法1221、利用管理员账号登录系统，并创建232个用户的权限差异应能够分42个新建的账号访问设备系统，并分别尝试访问允许3编号： 操作指南1、参考配置操作Vi/etc/default/securityumask#chmod444dirdir的权限为所有人都为只读。2如果用户需要使用一个不同于默认全局系统设置的umaskshell启动文件中配置。检测方法1、判定条件2#lsldirdir#cat/etc/default/loginumask0273umask的默认设置一般为022，这给新创建的文件默认权限（777-022=755）umaskumask是使用八进制数据代码设置的，对于目录，该值等于八进制777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八要求内 如果需要启用FTP服务，控制FTP进程缺省访问权限，当通过操作指南1if[["$(uname-r)"=B.10*]];thenfornameinrootdaemonbinsysadmlp\uucpnuucpnobodyhpdbuseradmechodone>>$sort–u$>$cp$$rm–fchownbin:bin$chmod600$2查看#说明 在这个列表里边的用户名是不允许ftp登陆的检测方法12#more/etc/[/ftpd]/ 查看#说明 在这个列表里边的用户名是不允许ftp登陆的 2chownroot:sys/etc/securettychmod600/etc/securettyroot用户远程使用telnet登录。用ssh2root从远程ssh登录，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服务。检测方法1、判定条件root远程登录不成功，提示“没有权限”root用户；2root从远程使用telnettelnetroot从远程使用ssh普通用户从远程使用ssh3限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyesPermitRootLoginnosshd服务。 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，禁止使用telnet等明文传输协议进行远程维护；操作指南1、下载和安装在网站上免费获取 并根据安装文件说明执行安装步 2cdcp-psshd_configsshd_config.tmpawk' {$2="2" {$2="yes" {$2="yes" {$2="no"/^RhostsRSAAuthentication/{$2="no" $1=$2="no" {$2="no" $1=$2="/etc/issue"{print}'sshd_config.tmp>sshd_configrm-fsshd_config.tmpchownroot:sysssh_configsshd_configchmodgo-wssh_configsshd_config先拷贝一份配置，再用awkssh_config，其中配置含义如下：Protocol=2#使用ssh2版本X11Forwarding#允许窗口图形传输使用ssh加密IgnoreRhosts=yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication=norhosts的安全验证RhostsRSAAuthentication=noRSArhosts的3SSH服务状态：#ps–elf|grepsshtelnet等明文传输协议进行远程维护；如特别需要，检测方法1#ps–ef|grep是否有ssh进程存在telnet进程存在SSH服务状态：#ps–ef|grepsshtelnetps–ef|greptelnet编号： 1#uname–a2检测方法1、判定条件uname–a 23编号： 打开syslog系统日志审计功能有助于系统的日常维护和故障排除，操作指南1vi/etc/syslog.conf， 2检测方法12vi/etc/syslog.conf， 3 awk</etc/syslog.conf$0!~/^#/&&$2~"^/"{print$2'|sort-u|whilereaddoif[-d"$file"-o-c"$file"-o-b"$file"-o-p"$file"]then:elif[!-f"$file"thenmkdir-p"$(dirname"$file")"touch"$file"chmod640elsechmodo-w"$file"hostname=`unamen`chmodo-w/tmp/snmpd.log21、判定条件使用ls 命令依次检查系统日志的读写权3编号：3（可选 操作指南1vi/etc/syslog.conf， 可以将"*.*"替换为你实际需要的日志信息。比如：kern.*/mail.* IP或域名。重新启动syslog服务，执行下列命令：/sbin/init.d/syslogdstop|start注意：*.*和@之间为一个检测方法123 操作指 1、参考配置操#ps–ef#chkconfig--list#cat在inetd.conf中关闭不用的服 首先复制/etc/inet/inetd.conf。/etc/inet/inetd.conf/etc/inet/inetd.conf.backup vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，inetd服务,即可。1、判定条件#ps–ef#chkconfiglist#cat/etc/inet/inetd.conf在/etc/inetd.conftcp来保护Banner 修改系统Banner信息操作指南1、参考配置操作UNIX/etc/motdbanner信息检测方法1检查/etc/motdbanner 操作指南2、参考配置操作可以在用户的.profile文件中"HIST"vi$TMOUT=300（可根据情况设定）;export2检测方法1查看/etc/profile 操作指南1、参考配置操作HP-UX11iv2kctune-Kexecutable_stack=0HP-UX11i版本用以下语句：/usr/sbin/kmtune-sexecutable_stack=0&&mk_kernel&& HP-UX11i2检测方法1、判定条件2 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，操作指南1Mv/.rhost/.rhost.bakMv/.netr/.netr.bakCdrootMv.rhost.rhost.bakMv.netr.netr.bak2检测方法1、判定条件CatFTP编号 禁止root登陆FTP 限制root帐户ftp登录:通过修 文件，增加帐 检测方 运行cat检查文件中内容是否包含编号要求内 禁止匿名操作指 1、参考配置操在/etc/passwd使用文本编辑器打开/etc/passwd文件，删除密码域为*ftp：*：500：21：Anonymous：/usr/bin/false 通过Anonymous登录会被拒绝。编号要求内 修改信 1）首先修改/etc/inetd.conf文件tcpnowaitroot/usr/lbin/ftpd ftpda/etc/ []login #suppresshostname #suppressversion #FTP#inetd-c检测方 1、判断依FTPbanner2、检查操作A服务名 端 应用说 关闭方 处置建 RFC867 tcpnowaitrootinternal RFC867 udpnowaitrootinternaltime tcpnowaitrootinternal tcpnowaitroot RFC862_ udpnowaitrootinternalRFC863废除协议 streamtcpnowaitrootinternal udpnowaitrootinternalRFC864字符产生 tcpnowaitrootinternal udpnowaitroot streamtcpnowaitroot/usr/lbin/ftpdtelnet23/tcp streamtcpnowaitroot sendmail 简单邮件发送协 S540sendmail 建议关nameserver 域名服 S370named 根据情况选择开 域名服 S370named 根据情况选择开apache80/tcpHTTP万维网发布S825apache login513/tcp streamtcpnowaitroot shell514/tcp远程命令nopasswdused streamtcpnowaitrootexec512/tcpremoteexecution,passwdrequired tcpnowaitroot ntalk518/udpnewtalk, udpwait ident113/tcp streamtcp printer streamtcpnowaitrootrlpdaemon-i tdpnowaitrootinternal udpnowaitrootinternal udpnowaitrootkshell544/tcpKerberosremoteshell-kfall#kshellstreamtcpnowaitroot/usr/lbin/remshdremshd-Kklogin543/tcpKerberosrlogin-#kloginstreamtcpnowaitroot/usr/lbin/rlogindrlogind-Krecserv7815/tcp X共享接收服务#recservstreamtcpnowait/usr/lbin/recserv-displaydtspcd #dtspcstreamtcpnowaitroot/usr/dt/bin/dtspcd #registrarstreamtcpnowaitroot #registrarstreamtcpnowaitroot#registrarstreamtcpnowaitrootportmap111/tcp端口映射S590Rpcdstopdced135/tcpDCERPCdaemonS570dcestop建议关闭dced135/udpDCERPCdaemonS570dcestop建议关闭snmp161/udpS560SnmpMasterstopS565OspfMibstopS565SnmpHpunixstopS565SnmpMib2stopsnmpdS560SnmpMasterstopS565OspfMibstopS565SnmpHpunixstopS565SnmpMib2stopsnmp-trapS565SnmpTrpDst S900dtlogin.rcstop X窗口服务 S990dtlogin.rcstop 动态端口启动图形控制 S900dtlogin.rcstop syslogd514/udp S220syslogdstop lpd 远程打印缓 S720lp 强烈建议关router S510gated 根据情况选择开nfs NFS远程文件系 S100nfs.server 强烈建议关 NFS远程文件系统 S100nfs.serverstop 动态端口rpc服务 rpc服务 动态端口rpc服务 rpc服务#rpcdgramudpwaitusersd1000021-2动态端 rpc服 S410nis.server 强烈建议关2121/tcpsw代理S870swagentdstop根据情况选择开放2121/udpsw代理S870swagentdstop根据情况选择开放68/udpremotebootserverSTART_RBOOTD01068/udpremotebootserverSTART_RBOOTD0bootstrapprotocol#instl_bootsdgramudpwaitrootbootstrapprotocol#instl_bootcdgramudpwaitrootsamd3275/tcpsystemmgmt systemmgmtdaemonswat901/tcpWeb-basedAdmin streamtcpnowait.400root/opt/samba/bin/swatxntpd123/udpHP-UXToolTalkdatabaseserver#rpcxtitcpswait1000831 #rpcdgramudpwait1000682-5rpc.cmsd diagmond1508/tcp S742diagnosticstop 动态端口硬件诊断程序 S742diagnosticstop 动态端口内存记录服务 S742diagnosticstop chassiscodeloggingdaemonS742diagnostic MemoryS742diagnostic S742diagnostic PeripheralStatusS742diagnostic PredictiveMonitorS742diagnostic PredictiveMonitorS742diagnostic hacl-hb5300/tcpHighAvailability(HA)ClusterS800cmcluster hacl-gs5301/tcpHAClusterGeneralS800cmcluster HAClusterTCPS800cmcluster HAClusterUDPS800cmcluster hacl-local5304/tcpHAClusterS800cmcluster clvm-cfg1476/tcpHALVMS800cmcluster Linuxxxxx 范 规范性引用文 缩略 安全配置要 账 口 授 远程登 补 日 不必要的服务、端 系统Banner设 登陆超时时间设 删除潜在危险文 FTP设 附录A：端口及服 《 操作系统安全配置要求及操作指南AIXHP-UX《Linux操作系统安全配置要求及操作指南》（本规范SolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic适用于使用Linux操作系统的设备。本规范明确了安全配置的基本要求，适用GB/T22239-2008YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语TransferProtocolUDPUserDatagramProtocolTCPTransmissionControlProtocol编号： 1、参考配置操作#useraddusername #passwdusername #chmod750directory #750