@[TOC]服务器强化安全指导书
服务器增强安全指导文件增强对象:WINDOWS操作系统、增强对象:LINUX操作系统
加固建议:加固建议:
设置主机登录密码策略,以避免使用默认密码。 密码长度超过8位,以字符、数字或特殊字符的组合加密存储密码。
加固步骤:
1 )打开“控制面板”-“管理工具”-“计算机管理”。
在本地用户和组中,选择用户并设置密码。
2 )打开“控制面板”-“管理工具”,进入“本地安全策略”。
在“帐户策略”下,选择“密码策略”,打开复杂性要求,并设置最小密码长度等。
密码最短长度: 8个字符;
密码最短期限: 2天;
密码最长期限: 90天
密码必须满足复杂性要求。 启用;
强制密码历史记录:记住两个密码;
使用可恢复的加密保存域中所有用户的密码:禁用;
说明:无
加固对象:LINUX类操作系统
加强建议:
设置主机登录密码策略,以避免使用默认密码。 密码长度超过8位,以字符、数字或特殊字符的组合加密存储密码。
加固步骤:
1 )用root权限,输入passwd,输入密码即可。 更改普通用户的密码: passwd普通用户名。
2 )以root权限输入命令" vi /etc/login.defs "修改相关策略。
PASS_MAX_DAYS 80//密码最长使用期限(日) ) ) ) ) ) ) ) ) ) )密码) )。
PASS_MIN_DAYS 2//密码最短使用期限(天)
PASS_MIN_LEN 8//密码的最短长度(位) ) ) ) ) ) ) ) ) )。
PASS_WARN_AGE 7//密码失效前几天开始通知用户更改密码(
说明:无
增强的安全策略说明1.2帐户锁定策略
加固对象:WINDOWS操作系统
加强建议:
设置相应的帐户锁定策略,锁定五次,以便10分钟后重新登录。
加固步骤:
打开“控制面板”-“管理工具”并进入“本地安全策略”。
在“帐户策略”下选择帐户锁定策略,并设置帐户锁定相关设置。
账户锁定时间: 10min;
帐户锁定阈值: 5次无效登录;
账户锁定计数器复位: 10min;
说明:无
加固对象:LINUX类操作系统
加强建议:
设置合理的帐户锁定策略,锁定5次,普通帐户10分钟后可以重新登录,根帐户锁定5分钟后可以重新登录。
加固步骤:
输入具有root权限的vi /etc/pam.d/system-auth命令以修改相关策略。
添加到auth required pam_env.so的以下行
authrequiredpam _ tally2. sodeny=5lock _ time=600 even _ deny _ root root _ unlock _ time=300
说明:无
1.3删除或禁用多余的帐户
加固对象:WINDOWS操作系统
加强建议:
如果主机系统上有默认帐户或用户未使用的帐户,请将其删除。
加固步骤:
打开“控制面板”-“管理工具”-“计算机管理”。
在本地用户和组中,选择用户以设置删除或禁用不需要的帐户或禁用来宾帐户。
说明:无
加固对象:LINUX类操作系统
加强建议:
如果主机系统上有默认帐户或用户未使用的帐户,请将其删除。
加固步骤:
1 )以root权限输入userdel帐户,或者在不使用帐户之前在vi /etc/passwd下添加#注释。
说明:无
1.4重命名默认帐户
加固对象:WINDOWS操作系统
加强建议:
重命名管理员默认帐户。
加固步骤:
1 )打开“控制面板”-“管理工具”-“计算机管理”。
在本地用户和组中,选择用户以设置默认帐户的重命名。
说明:无
1.5安全审计策略
加固对象:WINDOWS操作系统
加强建议:
打开审阅策略。
加固步骤:
“控制面板”“管理工具”“计算机管理”“本地安全策略”“审计策略”
双击要修改的选项以设置相关设置。
审计策略更改成功
登录事件成功,失败
对对象的访问成功,失败
审计过程跟踪无审计
无审计对目录服务的访问
审计特权的使用无审计
系统事件确认成功,失败
帐户登录事件成功,失败
帐户管理成功,失败
说明:无
1.6停止不必要的服务
加固对象:WINDOWS操作系统
加强建议:
关闭不必要的服务。
加固步骤:
打开“控制面板”-“管理工具”并进入“服务”。
单击相应的服务,将启动类型设置为“禁用”,并将服务状态设置为“停止”。
非必需的服务包括
远程注册表远程管理注册表并启动此服务存在风险
打印s
pooler 如果相应服务器没有打印机,可以关闭此服务SNMP 简单网管协议,如启用网管应用则不关闭。
说明:无
加固对象:LINUX类操作系统
加固建议:
关闭不必要的服务,如sendmail 、ftp、telnet、rsh、rlogin。
加固步骤:
service sendmail stop//关闭sendmail服务
service vsftpd stop//关闭ftp服务
查看有哪些服务开启:chkconfig --list,将不用的服务(telnet、rsh、rlogin)禁用。
关闭telnet服务
chkconfig --level 0123456 telnet或krb5-telnet off 或输入命令“vi /etc/xinetd.d/telnet或krb5-telnet”在service telnet中把“disable=no”改成“disable=yes”,重启xinetd服务service xinetd restart
关闭rlogin、rsh服务
chkconfig --level 0123456 klogin off
说明:无
1.7屏蔽之前用户登录信息
加固对象:WINDOWS类操作系统
加固建议:
启用不显示上次的用户名。
加固步骤:
打开“控制面板”-> “管理工具”,进入“本地安全策略”。
打开“安全选项”,选择“交互登录:不显示上次的用户名”,选择“已启用”。
说明:无
1.8设置自动屏保锁定
加固对象:WINDOWS类操作系统
加固建议:
设置屏幕保护10-15分钟,自动锁屏。
加固步骤:
在桌面空白处,右击——>“属性”——>“屏幕保护程序”,设定等待时间,同时选择“在恢复时使用密码保护”。
说明:无
1.9*关闭远程桌面连接
加固对象:WINDOWS类操作系统
加固建议:
关闭远程桌面连接。
加固步骤:
鼠标右击“我的电脑”—>“属性”—>“远程”,选择“不允许连接这台计算机”。
说明:视业务情况而定。
1.10关闭非必要的网络连接
加固对象:WINDOWS类操作系统
加固建议:
对于存在多个网口的主机,应在系统中禁用不使用的网络连接。
加固步骤:
打开“控制面板”->“网络连接”,选择不使用的网络连接,右击选择停用。
说明:无
1.11卸载不必要的组件和应用程序
加固对象:WINDOWS类操作系统
加固建议:
卸载游戏等不必要的软件,禁止安装与工作无关的其他软件和文件。
加固步骤:
打开“控制面板”->“添加删除程序”,可删除不必要的软件。
说明:无
1.12禁止root用户直接远程登录
加固对象:LINUX类操作系统
加固建议:
禁止root用户远程通过SSH直接登录。
加固步骤:
在root权限下,输入命令“vi /etc/ssh/sshd_config”,修改相关策略。
将“PermitRootLogin yes”前的#去掉,并将“PermitRootLogin yes” 改为“PermitRootLogin no”。
说明:无
1.13设置超时自动退出
加固对象:LINUX类操作系统
加固建议:
设置600秒超时退出。
加固步骤:
在root权限下,输入命令“vi /etc/proflile”,修改相关配置
在HISTSIZE=1000下面添加
export TMOUT=600//600秒退出
设置后执行 source /etc/profile方可生效。
说明:无
1.14设置文件权限
加固对象:LINUX类操作系统
加固建议:
初始文件权限。
加固步骤:
在root权限下,输入命令“vi /etc/proflile”,添加如下行:
UMASK=027
配置完毕后,需source /etc/profile
其他文件权限不高于644
1.15禁用匿名帐户登录FTP服务。
加固对象:LINUX类操作系统
加固建议:
禁用匿名帐户anonymous登录。
加固步骤:
在root权限下,输入命令“vi /etc/vsftpd/vsftpd.conf” 修改相关配置。
把“anonymous_enable=YES”改成“ anonymous_enable=NO”。
1.16SNMP服务安全
加固对象:LINUX类操作系统
加固建议:
关闭SNMP服务,如需要使用SNMP服务,修改默认community。
加固步骤:
1)在root权限下,修改/etc/sma/snmp/snmpd.conf中缺省的口令public,然后执行下列命令使之生效:
#/etc/init.d/init.snmpdx stop
#/etc/init.d/init.snmpdx start
2)在root权限下,执行下列命令可以禁止SNMP服务:
/etc/init.d/init.snmpdx stop
说明:无