各类操作系统安全基线配置及操作指南.pdf-淘文阁

资源描述

《各类操作系统安全基线配置及操作指南.pdf》由会员分享，可在线阅读，更多相关《各类操作系统安全基线配置及操作指南.pdf（174页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX5.X 以上HP-UNIX HP-UNIXlli 以上L in u x 内核版本2.6以上Oracle Oracle 8i 以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x 以上IIS HS5.X 以上Apache Apache 2.x 以上Tomcat Tomcat 5.x 以上WebLogic WebLogic 8.X 以上Windows操作系统安全配置要求及操作指南目录目

2、录.I前言.II1范围.12规范性引用文件.13缩略语.14安全配置要求.24.1 账号.24.2 口令.34.3 授权.54.4 补丁.74.5 防护软件.84.6 防病毒软件.84.7 日志安全要求.94.8 不必要的服务.114.9 启动项.124.1 0 关闭自动播放功能.134.11 共享文件夹.134.12 使用 NTFS文件系统.144.13 网络访问.154.14 会话超时设置.164.15 注册表设置.17附录 A：端口及服务.18前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、

3、应用中间件在内的通用安全配置要求及参考操作。该系列安全配置要求及操作指南的结构及名称预计如下：（1）W indows操作系统安全配置要求及操作指南（本规范）（2）AIX操作系统安全配置要求及操作指南（3）HP-UX操作系统安全配置要求及操作指南（4）Linux操作系统安全配置要求及操作指南（5）Solaris操作系统安全配置要求及操作指南（6）MS SQL server数据库安全配置要求及操作指南（7）MySQL数据库安全配置要求及操作指南（8）Oracle数据库安全配置要求及操作指南（9）Apache安全配置要求及操作指南（10）IIS安全配置要求及操作指南（11）Tomcat安全配置要求及

4、操作指南（12）WebLogic安全配置要求及操作指南11 范围适受于使用Windows操作系统的设备。在未特别说明的情况下，均适用于所有运行的 Windows 操作系统，包括 Windows 2000、Windows XP、Windows2003,Windows7,Windows 2008 以及各版本中的 Sever、Professional 版本。本规范明确了 Windows操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以Windows 2003为例，给出参考配置操作。2 规范性引用

5、文件GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求YD/T 1732-2008 固定通信网安全防护要求YD/T 1734-2008 移动通信网安全防护要求YD/T 1736-2008 互联网安全防护要求YD/T 1738-2008 增值业务网一消息网安全防护要求YD/T 1740-2008YD/T 1758-2008YD/T 1742-2008YD/T 1744-2008YD/T 1746-2008YD/T 1748-2008YD/T 1750-2008YD/T 1752-2008YD/T 1756-20083 缩略语增值业务网一智能网安全防护要求非核心生产单元安全

6、防护要求接入网安全防护要求传送网安全防护要求 IP 承载网安全防护要求信令网安全防护要求同步网安全防护要求支撑网安全防护要求电信网和互联网管理安全等级保护要求UDP User Datagram Protocol 用户数据包协议TCP Transmission Control Protocol 传输控制协议2NTFS New Technology File System 新技术文件系统4 安全配置要求4.1 账号编号：1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南 1、参考配置操作进入“控制面板。管理工具-计

7、算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法 1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组2、检测操作进入“控制面板。管理工具-计算机管理”，在“系统工具-本地用户和组”：查看根据系统的要求，设定不同的账户和账户组编号：2要求内容应删除与运行、维护等工作无关的账号。操作指南1.参考配置操作A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过n e t命令：删除账号：net user account/del停用账号：net user account/activ

8、e:no检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。3注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上不用）等2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板。管理工具。计算机管理”，在“系统工具-本地用户和组”：Administrator属性一更改名称G uest帐号-属性一已停用检测方法判定条件缺省账户Administrator名称已更改。G uest帐号

9、已停用。2、检测操作进入“控制面板。管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户一属性一更改名称G uest帐号-属性一已停用4.2 口令编号：1要求内容密码长度要求：最少8位密码复杂度要求：至少包含以下四种类别的字符中的三种：z英语大写字母A,B,C,Zz英语小写字母a,b,c,zz阿拉伯数字0,1,2,-9z非字母数字字符，如标点符号，等4操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”，在“帐户策略。密码策略”：“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进

10、入“控制面板。管理工具。本地安全策略”，在“帐户策略。密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”编号：2要求内容对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。操作指南 1、参考配置操作进入“控制面板。管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“9 0 天”检测方法 1、判定条件“密码最长存留期”设置为“9 0 天”2、检测操作进入“控制面板。管理工具。本地安全策略”，在“帐户策略-密码策略”：查看是否“密码最长存留期”设置为“9 0 天”编号：3要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能

11、重复使用最近5 次（含 5 次）内已使用的口令。操作指南 1、参考配置操作5进入“控制面板。管理工具。本地安全策略”，在“帐户策略-密码策略”：“强制密码历史”设置为“记住 5 个密码”检测方法 1、判定条件“强制密码历史”设置为“记住 5 个密码”2、检测操作进入“控制面板。管理工具。本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住 5 个密码”编号：4要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6 次（不含 6 次），锁定该用户使用的账号。操作指南 1、参考配置操作进入“控制面板-管理工具。本地安全策

12、略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为6 次设置解锁阀值：3 0 分钟检测方法 1、判定条件“账户锁定阀值”设置为小于或等于6 次2、检测操作进入“控制面板。管理工具。本地安全策略”，在“帐户策略-帐户锁定策略”：查看是否“账户锁定阀值”设置为小于等于6次补充说明：设置不当可能导致账号大面积锁定，在域环境中应小心设置，Adm inistrator账号本身不会被锁定。4.3授权编号：16要求内容本地、远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板。管理工具。本地安全策略”，在“本地策略-用户权利指派”：“关闭系

13、统”设置为“只指派给Administrators组”“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板。管理工具。本地安全策略”，在“本地策略-用户权利指派”：查看“关闭系统”设置为“只指派给Administrators组”查看是否“从远端系统强制关机”设置为“只指派给Administrators 组”编号：2要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administratorso操

14、作指南1、参考配置操作进入“控制面板。管理工具。本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”2、检测操作进入“控制面板-管理工具。本地安全策略”，在“本地策略。用7户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators 组”编号：3要求内容在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。操作指南 1、参考配置操作进入“控制面板-管理工具。本

15、地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”检测方法 1、判定条件“从本地登陆此计算机”设置为“指定授权用户”“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板。管理工具。本地安全策略”，在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”查看是否“从网络访问此计算机”设置为“指定授权用户”4.4 补丁编号：1要求内容在不影响业务的情况下，应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作安装最

16、新的Service Pack补丁集。例如截止到2010年最新版本：Windows X P 的 Service Pack为 SP3。Windows2000 的 Service Pack 为 SP4,Windows 2003 的 ServicePack 为 SP2检测方法 1、判定条件82、检测操作进入控制面板-添加或删除程序-显示更新打钩，查看是否X P 系统已安装SP3,WM2000系统已安装SP4,Win2003系统已安装SP2。4.5 防护软件编号：1要求内容启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。操作指

17、南 1、参考配置操作（以启动自带防火墙为例）进入“控制面板一网络连接一本地连接，在高级选项的设置中启用 Windows防火墙。在“例外”中配置允许业务所需的程序接入网络。在“例外-编辑-更改范围”编辑允许接入的网络地址范围。说明：分为服务器和操作终端两种情况：服务器该项为可选，操作终端该项为必选检测方法 1、判定条件启用 Windows防火墙。“例外”中允许接入网络的程序均为业务所需。2、检测操作进入“控制面板一网络连接一本地连接，在高级选项的设置中，查看是否启用W indows防火墙。查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外-

18、编辑-更改范围”编辑允许接入的网络地址范围。4.6防病毒软件编号：1要求内容安装防病毒软件，并及时更新。操作指南1、参考配置操作9安装防病毒软件，并及时更新。检测方法1、判定条件已安装防病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。注：对于操作终端该项为必选项，对于服务器该项为可选项2、检测操作控制面板。添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。4.7日志安全要求编号：1要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地

19、址。操作指南1、参考配置操作开始-运行-执行“控制面板。管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。检测方法1、判定条件审核登录事件，设置为成功和失败都审核。2、检测操作开始。运行-执行控制面板-管理工具-本地安全策略。审核策略”审核登录事件，双击，查看是否设置为成功和失败都审核。编号：2要求内容开启审核策略，以便出现安全问题后进行追查操作指南1、参考配置操作对审核策略进行检查：10开始-运行-gpedit.msc计算机配置-W indows设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加：y审核系统登陆事件

20、成功，失败y审核帐户管理y审核登陆事件y审核对象访问y审核策略更改y审核特权使用y审核系统事件成功，失败成功，失败成功成功，失败成功，失败成功，失败2、补充说明可能会使日志量猛增检测方法 1、判定条件尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。2、检测操作编号：3要求内容设置日志容量和覆盖规则，保证日志存储操作指咆 1、参考配置操作开始-运行-eventvwr右键选择日志，属性，根据实际需求设置：日志文件大小：可根据需要制定超过上限时的处理方式（建议日志记录天数不

21、小于90天）2、补充说明建议对每个日志均进行如上操作，同时应保证磁盘空间检测方法 1、判定条件2、检测操作11开始-运行-eventvwr,右键选择日志，属性，查看日志上限及超过上线时的处理方式4.8 不必要的服务、端口编号：1要求内容关闭不必要的服务操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理”，进入“服务和应用程序”：可根据具体应用情况参考附录A,筛选不必要的服务。检测方法 1、判定条件系统管理员应出具系统所必要的服务列表。查看所有服务，不在此列表的服务需关闭。2、检测操作进入“控制面板。管理工具。计算机管理”，进入“服务和应用程序”：查看所有服

22、务，不在此列表的服务是否已关闭。编号：2要求内容如需启用SNMP服务，则修改默认的SNMP Community String设置。操作指南 1、参考配置操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService,单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings,也就是微软所说的“团体名称”。检测方法 1、判定条件community strings 已改，不是默认的public”2、检测操作打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMP12Service,单击右键打开“属性”面板中的“安

23、全”选项卡，在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。编号：3要求内容如对互联网开放WindowsTerminial服务(Remote Desktop),需修改默认服务端口。操作指审 1、参考配置操作开始-运行 Regedt32并转到此项：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-fcp找到“PortNumber”子项，会看到默认值00000D3D,它是 3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

24、检测方法 1、判定条件找到“PortNumber”子项，设定值非00000D3D,即十进制33892、检测操作运行 Regedt32,找到此项并判断。4.9 启动项要求内容关闭无效启动项操作指南 1、参考配置操作“开始-运行-MSconfig”启动菜单中，取消不必要的启动项。检测方法 1、判定条件2、检测操作系统管理员提供业务必须的自动加载进程和服务列表文档。查看“开始-运行。MSconfig”启动菜单：不需要的自动加载进程是否已禁用和取消。134.10关闭自动播放功能编号：1要求内容关闭 Windows自动播放功能操作指南 1、参考配置操作开始一运行一gp

25、edit.msc,打开组策略编辑器，浏览到计算机配置一管理模板一系统，在右边窗格中双击关闭自动播放”，对话框中选择所有驱动器，确定即可。检测方法 1、判定条件所有驱动器均“关闭自动播放”2、检测操作“关闭自动播放”配置已启用，启用范围：所有驱动器。4.11共享文件夹编号：1要求内容在非域环境下，关闭 Windows硬盘默认共享，例如 C$,D$。操作指南 1、参考配置操作进入“开始一运行一 Regedit”，进入注册表编辑器，更改注册表键值：HKLMSystemCurrentControlSetServicesLanmanServerParameters下，增加 REG_D

26、WORD 类型的 AutoShareServer 键，值为 0。检测方法 1、判定条件HKLMSystemCurrentControlSetServicesLanmanServerParameters增力 H了 REG_DWORD 类型的AutoShareServer 键，值为 0。2、检测操作进入“开始一运行一 Regedit”,进入注册表编辑器，更改注册表键值：14HKLMSystemCurrentControlSetServicesLanmanServerParameters,增加 REG DWORD 类型的 AutoShareServer 键，值为 0。编号：2要求内容设置共

27、享文件夹的访问权限，只允许授权的账户拥有权限共享此文件夹。操作指南 1、参考配置操作进入“控制面板-管理工具-计算机管理”，进入“系统工具一共享文件夹”：查看每个共享文件夹的共享权限，只将权限授权于指定账户。检测方法 1、判定条件查看每个共享文件夹的共享权限仅限于业务需要，不设置成为everyone2、检测操作进入“控制面板。管理工具。计算机管理”，进入“系统工具一共享文件夹”：查看每个共享文件夹的共享权限。4.1 2 使用 NTFS文件系统要求内容在不毁坏数据的情况下，将 F A T 分区改为N T F S 格式操作指南 1、参考配置操作将 FAT卷转换成

28、 N TFS分区CONVERT volume/FS:NTFS/V/CvtArea:filename/NoSecurity/XVo I u m e 指定驱动器号（后面加一个冒号）、装载点或卷名/FS:NTFS 指定要被转换成N TFS的卷/V 指定 CO N V ERT应该用详述模式运行/CvtArea:filename将根目录中的个接续文件指定为NTFS系统文件的占位符15/NoSecurity指定每个人都可以访问转换的文件和目录的安全设置/X 如果必要，先强行卸载卷，有打开的句柄则无效例如：Covert C：/FS:NTFS备注：1、新上线系统必须要求N TFS分区，已上线系统在不损坏数据

29、的情况下应用2、在有其他非W IN系统访问、存在数据共享的情况下，不建议将F A T 分区改为N T F S 格式检测方法 1、判定条件2、检测操作4.1 3 网络访问编号：1要求内容禁用匿名访问命名管道和共享16操作指南 1、参考配置操作“控制面板-管理工具。本地安全策略”，在“本地策略-安全选项”：网络访问：可匿名访问的共享设置为全部删除“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”：网络访问：可匿名访问的命名管道设置为全部删除检测方法 1、判定条件全部删除匿名访问命名管道和共享2、检测操作查看“控制面板。管理工具。本地安全策略”，在“本地策略-安全

30、选项”：网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除编号：2要求内容禁用可远程访问的注册表路径和子路径操作指南1、参考配置操作“控制面板-管理工具。本地安全策略”，在“本地策略-安全选项”：网络访问：可远程访问的注册表路径设置为全部删除“控制面板-管理工具。本地安全策略”，在“本地策略。安全选项”：网络访问：可远程访问的注册表路径和子路径设置为全部删除检测方法1、判定条件全部删除可远程访问的注册表路径和子路径3、检测操作查看“控制面板。管理工具。本地安全策略”，在“本地策略-安全选项”：网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子

31、路径是否设置为全部删除4.14会话超时设置编号：117要求内容对于远程登录的账户，设置不活动所连接时间1 5分钟操作指南1、参考配置操作进入“控制面板一管理工具一本地安全策略”，在“安全策略一安全选项”：“M icrosoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为1 5分钟检测方法1、判定条件M icrosoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为1 5分钟2、检测操作进入“控制面板一管理工具一本地安全策略”，在“安全策略一安全选项”：查看“M icrosoft网络服务器”设置4.15注册表设置编号：1要求内容在不影响系统稳定运行的前提下

32、，对注册表信息进行更新。操作指南1、参考配置操作y自动登录：HKLMSoftwareMicros oftW indowsNTCurrentVersionWinlogonAutoAdminLogon(REG_DWORD)0y源路由欺骗保护：HKLMSystemCurrentControlSetServicesTcpipParametersDisablelPSourceRouting(REG_DWORD)2y疝除匿名用户空链接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa将 restrictanonymous的值设置为1,若该值不存在，

33、可以自己创建，类型为REG_DWORD修改完成后重新启易系统生效y碎片攻击保护：HKLMSystemCurrentControlSet18ServicesTcpipParametersEnablePMTUDiscovery(REG_DWORD)1y Syn flo o d 攻击保护：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下，可设置：TcpMaxPortsExhaustedo 推荐值：5。TcpMaxHalfOpeno 推荐值数据:5000TcpMaxHalfOpenRetriedo 推荐值数据：400检测方法判定条件2

34、、检测操作点击开始-运行，然后在打开行里输入regedit,然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组附录 A：端口及服务服务名称端口服务说明关闭方法处置建议系统服务部分echo力 TCP RFC862_回声协议关闭SimpleTCP/IP Services月艮务。建议关闭echo力 UDP RFC862 回声协议discard 9/UDP RFC863 废除协议discard 9/TCP RFC863 废除协议daytime 1 岁 UDP RFC867 白天协议daytime 1 歹 TCP RFC867 白天

35、协议qotd TCPRFC865白天协议的引用qotd 17UDPRFC865白天协议的引用chargen 19/TCPRFC864字符产生协议19chargen 19/UDPRFC864字符产生协议ftp 21/TCP文件传输协议（控制）关闭FTPPublishing Service服务。根据情况选择开放smtp 2 7 T C P 简单邮件发送协议关闭Simple MailTransport Protocol,服务。建议关闭nameserver4如 CPW INS主机名服务关闭WindowsInternet NameService”服务。建议关闭4TUDPdomain5 夕 UDP域名服务

36、器关闭DNS Server服务。根据情况选择开放5 歹 TCP根据情况选择开放dhcps6%UDPDHCP服务器/Internet连接共享关闭SimpleTCP/IP Services月艮务。建议关闭dhcpc 68/UDP DHCP协议客户端关闭DHCP Client服务。建议关闭http 80/TCPHTTP万维网发布服务关闭World WideWeb PublishingService服务。根据情况选择开放epmap13%TCPRPC服务系统基本服务无法关闭135/UDP无法关闭netbios-ns 13/UDP NetBIOS 名称解析在网卡的TCP/IP选项中WINS页勾选禁用

37、TCP/IP上的NETBIOS根据情况选择开放netbios-dgm 138/UDP NetBIOS数据报服务根据情况选择开放netbios-ssn 139/TCP NetBIOS会话服务系统基本服务无法关闭snmp 163/UDP SNMP 服务关闭SNMP 服务根据情况选择开放https 44歹 TCP安全超文本传输协议关闭World WideWeb PublishingService服务根据情况选择开放20microsoft-ds445/UDPSM B服务器运行regedit,打开HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetB

38、TParameters添加名为SMBDeviceEnabled的子键，类型dword,值为0 重新启动计算机根据情况选择开放44/CPisakmp 500/UDPIPSec ISAKMP 本地安全机构关闭IPSEC PolicyAgent服务很少使用的服务，如不使用ipsec,建议关闭RADIUS 1649UDP旧式 RADIUSInternet身份验证服务关闭RemoteAccess ConnectionManager服务建议关闭RADIUS 1649UDP旧式 RADIUSInternet身份验证服务建议关闭radius 181MJDP身份验证Internet身份验证服务建议关闭rad

39、acct 181 3 UDP计帐 Internet身份验证服务建议关闭MSMQ-RPC210TCPMSMQ-RPC消息队列关闭MessageQueuing服务。建议关闭Termsrv 3389/TCP 终端服务关闭TerminalServices服务。根据情况选择开放其他常用服务Apache80/TCP8000/TCPApache HTTP 服务器关闭Apache2服务。根据情况选择开放ms-sql-s1433/TCP1434/UDP微软公司数据库关闭MSSQLServer服务。根据情况选择开放ORACLE 1523/TCP甲骨文公司数据库关闭OracleOraHome90TNSListen

40、er月艮务。根据情况选择开放21remoteadministrator4899/TCPFamatech公司远程控制软件关闭RemoteAdministratorService“服冬根据情况选择开放Sybase 5000/TCP Sybase 公司数据库关闭SybaseSQLServer字样开始的服务。根据情况选择开放pcAnywhere5633/TCP5632/UDPSymantec公司远程控制软件关闭pcAnywhereHost Service字样开始的服务。根据情况选择开放AIX操作系统安全配置要求及操作指南XXXX发布I目录目录.前言.II1范围.12规范性引用文件.13 缩略

41、语.14安全配置要求.1号令权丁志帐口授补日1234544.4.44.2.5.7.10.104.6 不必要的服务、端口.124.7 文件与目录权限.134.8 系统 Banner设置.144.9 登陆超时时间设置.154.1 0 内核调整设置.154.11 SSH加密协议.164.12 FTP 设置.18附录A：端口及服务.18前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。该系列安全配置要求及操作指南的结构及名称预计如下：（1）W indow s操作系统安全配置

42、要求及操作指南（2）AIX操作系统安全配置要求及操作指南（本规范）（3）HP-UX操作系统安全配置要求及操作指南（4）Linux操作系统安全配置要求及操作指南（5）Solaris操作系统安全配置要求及操作指南（6）MS SQL server数据库安全配置要求及操作指南（7）MySQL数据库安全配置要求及操作指南（8）Oracle数据库安全配置要求及操作指南（9）Apache安全配置要求及操作指南（10）IIS安全配置要求及操作指南（11）Tomcat安全配置要求及操作指南（12）WebLogic安全配置要求及操作指南11范围适用于使用A IX操作系统的设备。本规范明确了安全配置的基本要求，可作

43、为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以AIX 5.X为例，给出参考配置操作。2规范性引用文件GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求YD/T 1732-2008YD/T 1734-2008YD/T 1736-2008YD/T 1738-2008YD/T 1740-2008YD/T 1758-2008YD/T 1742-2008YD/T 1744-2008YD/T 1746-2008YD/T 1748-2008YD/T 1750-2008 固定通信网安全防护要求移动通信网安全防护要求互联网安全防护要

44、求增值业务网一消息网安全防护要求增值业务网一智能网安全防护要求非核心生产单元安全防护要求接入网安全防护要求传送网安全防护要求IP承载网安全防护要求信令网安全防护要求同步网安全防护要求YD/T 1752-2008 支撑网安全防护要求YD/T 1756-2008 电信网和互联网管理安全等级保护要求3 缩略语SSH Secure Shell Protocol 安全外壳协议.FTP File Transfer Protocol 文件传输协议UDP User Datagram Protocol 用户数据包协议TCP Transmission Control Protocol 传输控制协议4

45、安全配置要求24.1 帐号编号：1要求内容应按照不同的用户分配不同的账号。操作指南1、参考配置操作为用户创建账号：#useradd username#创建账号#passwd username#设置密码修改权限：#chmod 750 directory#其中 750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录）使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号：2要求内容应删除或锁定与设备运行、维护等工

46、作无关的账号。操作指南1、参考配置操作删除用户：#userdel username;锁定用户：1）修改/etc/shadow文件，用户名后加*LK*2）将/etc/passwd 文件中的 shell 域设置成/bin/false3）#passwd-I username只有具备超级用户权限的使用者方可使用，#passwd-I username锁定用户，用#passwd-d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4 noaccess0检测方法1

47、、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4 noaccesso解锁时间：1 5分钟3编号：3要求内容限制具备超级管理员权限的用户远程登录。需要远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/security/user,加上：在ro o t项上输入false作为rlogin的值此项只能限制ro o t用户远程使用telnet登录。用s s h登录，修改此

48、项不会看到效果的2、补充操作说明如果限制ro o t从远程s s h登录，修改/etc/ssh/sshd_config文件,将PermitRootLogin yes 改为 PermitRootLogin n o,重启 sshd 服务。检测方法1、判定条件ro o t远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作ro o t从远程使用telnet登录；普通用户从远程使用telnet登录；ro o t从远程使用s s h登录；普通用户从远程使用ssh登录；3、补充说明限制ro o t从远程s s h登录，修改/etc/ssh/sshd_conf

49、ig文件,将PermitRootLogin yes 改为 PermitRootLogin n o,重启 sshd 服务。编号：4要求内容对于使用IP协议进行远程维护的设备，设备应配置使用S S H等加密协议，并安全配置SSHD的设置。操作指南1、参考配置操作把如下shell保存后，运行，会修改s s h的安全设置项：unalias cp rm mvcase find/usr/etc-type f|grep-c ssh_config$in0)echo Cannot find ssh_confign1)DIR=find/usr/etc-type f 2/dev/null|grep ssh_con

50、fig$|sed-e s:/ssh_config:cd$DIRcp ssh_config ssh_config.tmpawk 7A#?*Protocol/printH Protocol 2;next;print ssh_config.tmp ssh_configif grep-El A Proto co I ssh_config=n;thenecho Protocol 2 ssh_configfi4rm ssh_config.tmpchmod 600 ssh_config/*)echo You have multiple sshd_config files.Resolveecho before

展开阅读全文