CRM加固操作步驟

1、聲明以下操作均需要在系統(tǒng)做好備份的情況下（包括操作系統(tǒng)、業(yè)務(wù)數(shù)據(jù)、應(yīng)用軟件及配置文件等），確認(rèn)備份結(jié)果的可恢復(fù)性并應(yīng)在測(cè)試環(huán)境中進(jìn)行測(cè)試確認(rèn)加固步驟的正確性和操作結(jié)果對(duì)系統(tǒng)的影響，針對(duì)下述加固操作中的技術(shù)問(wèn)題，可以咨詢(xún)電信集成技術(shù)支持專(zhuān)家 針對(duì)修改配置的加固操作，采用恢復(fù)配置文件的回退方案針對(duì)安裝升級(jí)補(bǔ)丁的加固操作，采用卸載補(bǔ)丁、恢復(fù)原有應(yīng)用軟件版本和配置的回退方案1、Openssh漏洞修復(fù)步驟以下為Openssh進(jìn)行升級(jí)加固時(shí)的步驟，適用于linux和Unix平臺(tái)，要求在配置過(guò)程中準(zhǔn)備console，以備出現(xiàn)故障時(shí)無(wú)法登陸到主機(jī)系統(tǒng)。下載openssh 5.5（），使用如下命令進(jìn)行編譯:ta

2、r xpvf ./configure prefix=/opt/ssh5.5makemake install安裝后，修改sshd.init文件，將相應(yīng)的目錄修改到/opt/ssh5.5目錄中。以下步驟建議要準(zhǔn)備好Console后進(jìn)行操作運(yùn)行使用: killall sshd ; /etc/init.d/sshd start重啟后，使用telnet 0 22 命令測(cè)試當(dāng)前ssh版本，如果版本為5.5，證明升級(jí)成功。 2、弱口令問(wèn)題2.1 telnet弱口令：主機(jī)：計(jì)費(fèi)系統(tǒng)中發(fā)現(xiàn)的telnet弱口令問(wèn)題經(jīng)過(guò)手工驗(yàn)證為誤報(bào)，檢測(cè)出的賬號(hào)并不能登陸相關(guān)主機(jī)。在系統(tǒng)中檢查是否存在test賬號(hào)，如果存在，首先

3、確認(rèn)是否有程序使用這個(gè)帳號(hào)自動(dòng)登陸調(diào)用程序，如果沒(méi)有則考慮刪除此賬號(hào)或通過(guò)passwd命令設(shè)置高安全性密碼。網(wǎng)絡(luò)設(shè)備： Switch>enPassword: Switch#Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#line vty 0 4Switch(config-line)#password xxxxxxxxx（強(qiáng)壯的密碼）Switch(config-line)#exitSwitch(config)#wr2.2 Oracle弱口令/默認(rèn)賬戶(hù)：ALTER

4、USER <username> IDENTIFIED BY <newpassword>如果賬號(hào)被鎖定使用以下命令解鎖：ALTER USER <username> ACCOUNT UNLOCK;不使用的賬號(hào)，建議鎖定帳號(hào)：ALTER USER <username> ACCOUNT LOCK;或刪除不使用的賬號(hào)，命令：DROP USER <username> CASCADE;2.3 Oracle tnslsnr空口令：切換到oracle的管理員，執(zhí)行下列命令$ORACLE_HOME/bin/lsnrctlLSNRCTL> chang

5、e_passwordOld password: <原來(lái)的口令> <- 如果原來(lái)沒(méi)有設(shè)置口令就直接回車(chē)，否則輸入原來(lái)的口令New password: <新口令>Reenter new password: <新口令>Connecting to (ADDRESS=(PROTOCOL=ipc)(KEY=XXX)Password changed for LISTENERThe command completed successfully LSNRCTL> set passwordPassword: <輸入新口令>LSNRCTL> save

6、_config (此步重要，保存當(dāng)前設(shè)置)2.4 FTP弱口令：使用管理員身份登陸使用passwd username命令進(jìn)行修改2.5 SNMP弱口令主機(jī)：修改/etc/snmp/snmpd.conf，找到行：com2sec notConfigUser default publicpublic就是只讀口令另外還可能有一行 com2sec ConfigUser default private這個(gè)private也是弱口令，這個(gè)更危險(xiǎn)，因?yàn)榈谝恍惺侵蛔x的，這個(gè)是可寫(xiě)的把這兩個(gè)字符串按要求修改后根據(jù)下邊的重啟snmpd 服務(wù)aix：refresh -s snmpdsolaris: /etc/init.

7、d/snmpd reloadhp: /sbin/rc.d/snmpd reload 網(wǎng)絡(luò)設(shè)備：Router>enablePassword:Router#Router#show running-configBuilding configuration.snmp-server community public ROsnmp-server community manager RW.Router#configure terminalEnter configuration commands, one per line.? End with CNTL/Z.Router(config)#可以選用下面兩

8、種方法中的一種：(1) 如果不需要通過(guò)SNMP進(jìn)行管理，可以禁止SNMP Agent服務(wù)：將所有的只讀、讀寫(xiě)口令刪除后，SNMP Agent服務(wù)就禁止a. 刪除只讀(RO)口令：Router(config)#no snmp-server community public ROb. 刪除讀寫(xiě)(RW)口令Router(config)#no snmp-server community manager RW(2) 如果需要使用SNMP，修改SNMP口令，使其不易被猜測(cè)：a. 刪除原先的只讀或者讀寫(xiě)口令：Router(config)#no snmp-server community public ROR

9、outer(config)#no snmp-server community private RWb. 設(shè)置新的只讀和讀寫(xiě)口令，口令強(qiáng)度應(yīng)該足夠，不易被猜測(cè)。Router(config)#snmp-server community XXXXXXX RORouter(config)#snmp-server community YYYYYYY RW3、oracle數(shù)據(jù)庫(kù)加固步驟3.1 由于針對(duì)數(shù)據(jù)庫(kù)進(jìn)行補(bǔ)丁升級(jí)風(fēng)險(xiǎn)較高，有可能對(duì)業(yè)務(wù)系統(tǒng)造成影響，因此建議使用如下設(shè)置，使數(shù)據(jù)庫(kù)服務(wù)只向前端機(jī)提供，此方法實(shí)現(xiàn)簡(jiǎn)單，效果明顯，風(fēng)險(xiǎn)小，回退簡(jiǎn)便，推薦使用：修改sqlnet.ora文件（在$ORACLE_H

10、OMEnetworkadmin下）  tcp.validnode_checking=yes#允許訪問(wèn)的iptcp.invited_nodes =(ip1,ip2,.)tcp.excluded_nodes=(ip1,ip2,)  需要重啟oracle服務(wù) 此時(shí)，除指定IP外，其他地址將無(wú)法訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)，防止了潛在的被攻擊風(fēng)險(xiǎn)，掃描器也將無(wú)法掃描到數(shù)據(jù)庫(kù)漏洞。3.2 關(guān)于oracle全面的加固建議補(bǔ)丁管理操作編號(hào)Oracle-01001操作名稱(chēng)補(bǔ)丁安裝實(shí)施方案登陸 及ity/alerts.htm檢查當(dāng)前所用Oracle版本的補(bǔ)丁情況并更新至最新，以避免潛在的安全威脅。實(shí)施目的

11、安裝最新的補(bǔ)丁以解決低版本的漏洞問(wèn)題。實(shí)施風(fēng)險(xiǎn)高，某些補(bǔ)丁程序可能導(dǎo)致Oracle系統(tǒng)運(yùn)行不正常，其它依賴(lài)Oracle服務(wù)的應(yīng)用也會(huì)受到影響。注意：補(bǔ)丁在業(yè)務(wù)系統(tǒng)安裝前，需要首先在測(cè)試系統(tǒng)上進(jìn)行有關(guān)數(shù)據(jù)庫(kù)本身及相關(guān)連應(yīng)用系統(tǒng)全面測(cè)試確保正常?；赝朔桨感遁d相關(guān)補(bǔ)丁/通過(guò)備份恢復(fù)系統(tǒng)至補(bǔ)丁安裝前。實(shí)施主機(jī)帳號(hào)策略管理操作編號(hào)Oracle-02001操作名稱(chēng)修改數(shù)據(jù)庫(kù)默認(rèn)的帳號(hào)口令實(shí)施方案重置口令：sql>ALTER USER <username> IDENTIFIED BY <newpassword>實(shí)施目的防止?jié)B透者通過(guò)默認(rèn)的帳號(hào)口令登陸系統(tǒng)而帶來(lái)的威脅。實(shí)施風(fēng)險(xiǎn)需

12、要在修改前確認(rèn)使用此帳號(hào)的真實(shí)情況。確保在應(yīng)用程序的連接串、腳本中此密碼同步修改，否則可能導(dǎo)致某些應(yīng)用無(wú)法連接?；赝朔桨钢刂每诹睿簊ql>ALTER USER <username> IDENTIFIED BY <oldpassword>實(shí)施主機(jī)操作編號(hào)Oracle-02002操作名稱(chēng)鎖定暫時(shí)不使用的數(shù)據(jù)庫(kù)用戶(hù)實(shí)施方案用以下命令鎖定暫時(shí)不使用的數(shù)據(jù)庫(kù)用戶(hù)：sql>ALTER USER <username> ACCOUNT LOCK;實(shí)施目的限制可以登陸數(shù)據(jù)庫(kù)用戶(hù)的個(gè)數(shù)，降低風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)管理員確認(rèn)后，確定某些用戶(hù)不需要具有DBA的權(quán)限再實(shí)施

13、回退方案對(duì)鎖定用戶(hù)進(jìn)行解鎖：sql>ALTER USER <username> ACCOUNT UNLOCK;實(shí)施主機(jī)操作編號(hào)Oracle-02003操作名稱(chēng)刪除確定不使用的數(shù)據(jù)庫(kù)用戶(hù)實(shí)施方案用以下命令刪除確定不使用的數(shù)據(jù)庫(kù)用戶(hù)：sql>DROP USER <username> CASCADE;實(shí)施目的限制可以登陸數(shù)據(jù)庫(kù)用戶(hù)的個(gè)數(shù)，降低風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)管理員確認(rèn)后，確定某些用戶(hù)沒(méi)有存在必要再實(shí)施。并對(duì)用戶(hù)相關(guān)信息及所有對(duì)象備份?；赝朔桨钢匦陆⒂脩?hù)：sql>CREATE USER <username> <相關(guān)參數(shù)>實(shí)施主機(jī)

14、操作編號(hào)Oracle-02004操作名稱(chēng)設(shè)置口令安全策略實(shí)施方案下面是一個(gè)完整的創(chuàng)建概要文件的實(shí)例sql語(yǔ)句:sql>CREATE PROFILE <profile_name> LIMIT CPU_PER_SESSION 1000 CPU_PER_CALL 1000 CONNECT_TIME 30 COMPOSITE_LIMIT 1000000 FAILED_LOGIN_ATTEMPTS 10 PASSWORD_REUSE_MAX UNLIMITED PASSWORD_REUSE_TIME 120 PASSWORD_VERIFY_FUNCTION DEFAULT; 更改參數(shù)實(shí)

15、例：sql>ALTER PROFILE <profile_name> LIMIT FAILED_LOGIN_ATTEMPTS=3;為一個(gè)具體用戶(hù)分配概要文件:sql>ALTER USER <username> PROFILE <profile_name>實(shí)施目的控制單個(gè)用戶(hù)消耗的系統(tǒng)資源數(shù)量，并進(jìn)行與密碼有關(guān)的限制。實(shí)施風(fēng)險(xiǎn)口令到期后，普通帳號(hào)會(huì)不能登陸數(shù)據(jù)庫(kù)，必須用SYS帳號(hào)解除鎖定。當(dāng)有人惡意嘗試登陸某一用戶(hù)到一定次數(shù)時(shí)，會(huì)導(dǎo)致該用戶(hù)鎖定，可能會(huì)對(duì)該用戶(hù)的正常使用造成威脅?；赝朔桨富謴?fù)默認(rèn)配置更改參數(shù)實(shí)例：sql>ALTER PROFI

16、LE <profile_name> LIMIT FAILED_LOGIN_ATTEMPTS=3;實(shí)施主機(jī)操作編號(hào)Oracle-02005操作名稱(chēng)回收用戶(hù)多余的DBA角色實(shí)施方案用以下命令回收用戶(hù)的DBA角色：sql>REVOKE DBA FROM <username>實(shí)施目的對(duì)數(shù)據(jù)庫(kù)系統(tǒng)權(quán)限分配進(jìn)行控制。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)管理員確認(rèn)后，確定某些用戶(hù)不需要具有DBA的權(quán)限再實(shí)施?；赝朔桨钢刂孟嚓P(guān)用戶(hù)：sql>GRANT DBA TO <username>實(shí)施主機(jī)操作編號(hào)Oracle-02006操作名稱(chēng)回收用戶(hù)不需要的權(quán)限實(shí)施方案用以下命令回收用戶(hù)不需

17、要的權(quán)限：sql>REVOKE privs_nameON <schema>.<object_name> FROM <username>實(shí)施目的對(duì)數(shù)據(jù)庫(kù)系統(tǒng)權(quán)限分配進(jìn)行控制。實(shí)施風(fēng)險(xiǎn)如沒(méi)有完全確認(rèn)，可能導(dǎo)致某些應(yīng)用功能失效?；赝朔桨钢刂孟嚓P(guān)用戶(hù)sql>GRANTprivs_nameON <schema>.<object_name> TO <username>實(shí)施主機(jī)網(wǎng)絡(luò)連接加固操作編號(hào)Oracle-03001操作名稱(chēng)設(shè)置SQLPLUS登錄認(rèn)證方式為口令認(rèn)證方式實(shí)施方案1、把INIT.ORA中REMOTE_LOGI

18、N_PASSWORD設(shè)置為EXCLUSIVE 或SHARED.使用EXCLUSIVE表示只有當(dāng)前INSTANCE使用這個(gè)password文件。而且允許有別的用戶(hù)作為sysdba登錄進(jìn)系統(tǒng)；選擇SHARED，則表明不止一個(gè)實(shí)例使用這個(gè)密碼文件，同時(shí)sysdba權(quán)限只能授予sys和internal這兩個(gè)用戶(hù)名。2、將sqlnet.ora文件中SQLNET.AUTHENTICATION _SERVICES設(shè)置為NONE，默認(rèn)設(shè)置是NTS3、用orapwd命令創(chuàng)建口令文件，如果不知參數(shù)如何使用，直接鍵入orapwd看幫助。這里說(shuō)一下其中entries參數(shù)的含義:其表示有多少用戶(hù)要授予sysdba權(quán)限。

19、實(shí)施目的限制獲得OS帳號(hào)的人員在沒(méi)有ORACLE登陸密碼的時(shí)候，通過(guò)SQLPLUS直接連接數(shù)據(jù)庫(kù)。實(shí)施風(fēng)險(xiǎn)可能導(dǎo)致某些使用SQLPLUS連接數(shù)據(jù)庫(kù)的腳本不可用，需要修改腳本。同時(shí)腳本也會(huì)泄露數(shù)據(jù)庫(kù)用戶(hù)的密碼?；赝朔桨富謴?fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03002操作名稱(chēng)設(shè)置TNS Listener的口令實(shí)施方案1、 編輯listener.ora文件并加入下面一行：PASSWORDS_<listenername>=<apassword>2、 停止并重新啟動(dòng)Listener。$ps -fu $ORACLE_OWNER |grep lsnr |grep -v grep$

20、lsnrctl stop $ORACLE_SID $ps -fu $ORACLE_OWNER |grep lsnr |grep -v grep $lsnrctl start $ORACLE_SID$ps -fu $ORACLE_OWNER |grep lsnr |grep -v grep3、 因?yàn)榇藭r(shí)的口令是明文的，為了安全應(yīng)進(jìn)行加密。為此，通過(guò)Listener Control Utility lsnrctl連接到Listener:lsnrctl>set current_listener <lisntener_ip>Current Listener is <listen

21、er>Lsnrctl>CHANGE_PASSWORDOrd password:*New password:*Reenter new password:*Lsnrctl>set passwordPassword:*Lsnrctl>save config實(shí)施目的防止其他人對(duì)Listener進(jìn)行管理。實(shí)施風(fēng)險(xiǎn)需要本地確認(rèn)后實(shí)施回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03003操作名稱(chēng)修改REMOTE_OS_AUTHENT的值為FALSE實(shí)施方案修改參數(shù)值的方法如下：sql>ALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE;注意：

22、需要重新啟動(dòng)ORACLE數(shù)據(jù)庫(kù)的實(shí)例才可以應(yīng)用。實(shí)施目的防止遠(yuǎn)程機(jī)器直接登陸。實(shí)施風(fēng)險(xiǎn)需要本地確認(rèn)后實(shí)施回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03004操作名稱(chēng)設(shè)定IP連接限制實(shí)施方案在$ORACLE_HOMEnetworkadmin目錄下設(shè)置相關(guān)文件說(shuō)明：8i是查看protocol.ora文件， 在9i中是sqlnet.ora文件;文件格式：tcp.validnode_checking=yes#允許訪問(wèn)的iptcp.invited_nodes =(ip1,ip2,)#不允許訪問(wèn)的iptcp.excluded_nodes=(ip1,ip2,)實(shí)施目的限制規(guī)定的IP范圍可以訪問(wèn)數(shù)據(jù)庫(kù)

23、系統(tǒng)。實(shí)施風(fēng)險(xiǎn)容易造成ORACLE與前臺(tái)程序無(wú)法連接，建議非獨(dú)立使用的數(shù)據(jù)庫(kù)不實(shí)施此項(xiàng)回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03005操作名稱(chēng)設(shè)置傳輸方式加密實(shí)施方案在$ORACLE_HOMEnetworkadmin目錄下編輯或建立sqlnet.ora并加入類(lèi)似如下內(nèi)容：sqlnet.encryption_server=required | requested | accepted | rejected sqlnet.encryption_types_server=(RC4_256, 3DES168, RC4_128, 3DES112, RC4_56, DES, RC4_40, D

24、ES40) sqlnet.crypto_seed=”2z0hslkdharUJCFtkwbjOLbgwsj7vkqt3bGoUylihnvkhgkdsbds kkKGhdkl4p78hcpZr4”實(shí)施目的防止嗅探攻擊。實(shí)施風(fēng)險(xiǎn)無(wú)回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03006操作名稱(chēng)禁止網(wǎng)絡(luò)連接實(shí)施方案如果數(shù)據(jù)庫(kù)不需遠(yuǎn)程訪問(wèn)，可在本地安全策略里面禁止連接TCP 1521端口實(shí)施目的禁止網(wǎng)絡(luò)連接，防止猜解密碼攻擊，溢出攻擊和嗅探攻擊。實(shí)施風(fēng)險(xiǎn)可能導(dǎo)致某些備份軟件無(wú)法工作?；赝朔桨富謴?fù)默認(rèn)配置實(shí)施主機(jī)文件系統(tǒng)加固操作編號(hào)Oracle-04001操作名稱(chēng)控制執(zhí)行文件及其目錄權(quán)限實(shí)施方案$

25、ls l $ORACLE_HOME|grep bin$ls l $ORACLE_HOME/bin如果某執(zhí)行文件權(quán)限分配不嚴(yán)，則考慮執(zhí)行：$chmod 710 <filename>實(shí)施目的確保Oracle數(shù)據(jù)庫(kù)執(zhí)行文件不被未授權(quán)者利用、修改、刪除。實(shí)施風(fēng)險(xiǎn)如果因?yàn)樘厥庑枰獙?duì)文件權(quán)限進(jìn)行特殊設(shè)置，請(qǐng)?zhí)崆昂拖到y(tǒng)建立人員確認(rèn)?；赝朔桨富謴?fù)默認(rèn)權(quán)限實(shí)施主機(jī)操作編號(hào)Oracle-04002操作名稱(chēng)控制數(shù)據(jù)文件的權(quán)限實(shí)施方案$cd $ORACLE_HOME/dbs/$ls l *.dbf檢查權(quán)限，如果不是rw-,則Chmod 600 *.dbf實(shí)施目的確保Oracle數(shù)據(jù)文件不被未授權(quán)者利用、復(fù)

26、制、修改、刪除。實(shí)施風(fēng)險(xiǎn)如果有特殊需要，改成622回退方案恢復(fù)默認(rèn)權(quán)限實(shí)施主機(jī)操作編號(hào)Oracle-04003操作名稱(chēng)采用加密備份文件的備份方式實(shí)施方案如果是采用直接復(fù)制數(shù)據(jù)庫(kù)文件的方式備份，建議采用工具RMAN（Recovery Manager）進(jìn)行備份，以保證備份出來(lái)的文件是加密的。實(shí)施目的防止他人獲得備份文件后，查看其內(nèi)容。實(shí)施風(fēng)險(xiǎn)無(wú)，但是可能會(huì)有一定的工作量?；赝朔桨钢匦虏捎靡郧暗姆绞絺浞輰?shí)施主機(jī)日志審核增強(qiáng)操作編號(hào)Oracle-05001操作名稱(chēng)啟用數(shù)據(jù)庫(kù)審計(jì)功能實(shí)施方案修改系統(tǒng)參數(shù)如下記錄到數(shù)據(jù)庫(kù)：sql>ALTER SYSTEM AUDIT_TRAIL=DB;或修改系統(tǒng)參數(shù)

27、如下記錄到系統(tǒng)日志：sql>ALTER SYSTEM AUDIT_TRAIL=OS;實(shí)施目的記錄審計(jì)日志至數(shù)據(jù)庫(kù)或系統(tǒng)日志。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置sql>ALTER SYSTEM AUDIT_TRAIL=NONE;實(shí)施主機(jī)編號(hào)Oracle-05002名稱(chēng)對(duì)失敗或成功的登陸記錄開(kāi)啟審計(jì)實(shí)施方案sql>AUDIT SESSION WHENEVER NOT SUCCESSFUL; sql>AUDIT SESSION WHENEVER SUCCESSFUL;實(shí)施目的對(duì)系統(tǒng)的用戶(hù)登陸情況進(jìn)行記錄，作為查詢(xún)異常事件的線索。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回

28、退方案恢復(fù)默認(rèn)配置，使用禁止會(huì)話審核命令sql>NOAUDIT SESSION;實(shí)施主機(jī)操作編號(hào)Oracle-05003操作名稱(chēng)保護(hù)審計(jì)操作記錄表實(shí)施方案sql>AUDIT ALL ON SYS.AUD$ BY ACCESS;實(shí)施目的對(duì)審計(jì)記錄本身的操作進(jìn)行記錄，防止?jié)B透者修改、刪除。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置，使用禁止會(huì)話審核命令sql>NOAUDIT ALL ON SYS.AUD$ BY ACCESS;實(shí)施主機(jī)4、Apache相關(guān)問(wèn)題加固步驟4.1 由于HP服務(wù)器在2301端口上開(kāi)放用于管理的System Management Homepage，對(duì)

29、于此類(lèi)Apache問(wèn)題，需要將相應(yīng)管理功能關(guān)閉，需要使用的時(shí)候再打開(kāi)。4.2 對(duì)于Apache tomcat默認(rèn)賬戶(hù)，編輯tomcat安裝目錄下的conf/users/admin-users.xml文件，修改其中默認(rèn)賬戶(hù)的密碼即可4.3 補(bǔ)丁安裝步驟：首先停止現(xiàn)有的Apache服務(wù)，然后根據(jù)不同操作系統(tǒng)，按照下述步驟進(jìn)行新版本安裝，并在安裝完后配置Apache配置文件Aix升級(jí)最新Apache下載地址：# # tat xvf httpd.tar# cd httpd# ./configure -enable-module=shared -enable-module=so -enable-dav=

30、shared -enable-dav-fs=shared -prefix=/usr/local/apache2 -enable-maintainer-mode# make# make installSolaris升級(jí)最新Apache下載地址：# gunzip httpd.tar.gz # tar xvf httpd.tar# cd httpd# ./configure -prefix=/usr/local/apache2 -enable-mods-shared=all -enable-ssl=shared -enable-ssl -with-ssl=/usr/local/ssl -enable

31、-proxy -enable-proxy-connect -enable-proxy-ftp -enable-proxy-http# make# make installHP-UX升級(jí)最新Apache下載地址：# tar xvf httpd.tar.gz# ./configure -prefix=/home/pntest3/app/apache2 -enable-so -enable-dav# make# make installLinux升級(jí)最新Apache下載地址：# tar xvf httpd.tar.gz# ./configure -prefix=/usr/local/apache2

32、-enable-so -enable-ssl# make# make installWindows升級(jí)最新Apache下載地址：下載最新的安裝文件 httpd.msi運(yùn)行httpd.msi文件，通過(guò)安裝向?qū)нM(jìn)行安裝和升級(jí)5、關(guān)閉不安全的服務(wù)5.1 CDE dtspcd服務(wù)通用桌面環(huán)境(CDE)是一個(gè)可在UNIX和Linux操作系統(tǒng)中運(yùn)行的綜合的圖形用戶(hù)界面，加固前應(yīng)首先確認(rèn)目前系統(tǒng)是否不需要此服務(wù)。操作步驟如下：1. 轉(zhuǎn)變成root用戶(hù)$ su -#2. 關(guān)閉dtspcd服務(wù)/打開(kāi)/etc/inetd.conf文件，找到如下行：dtspc stream tcp nowait root /usr

33、/dt/bin/dtspcd /usr/dt/bin/dtspcd/在該行的開(kāi)始處增加"#"號(hào)來(lái)將其注釋?zhuān)?dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd/保存修改，退出編輯器。 3. 禁止dtspcd的執(zhí)行權(quán)限# chmod 000 /usr/dt/bin/dtspcd4. 重新啟動(dòng)inetd# ps -ef|grep inetdroot 167 1 0 Oct 07 ? 0:07 /usr/sbin/inetd -s -t# kill -HUP 167 (上面的例子中，167是inetd的pid)5.2 rlogin服務(wù)/rlogin服務(wù)的操作步驟參考CDE dtspcd服務(wù)操作步驟6、sendmail加固步驟6.1 方法1：如果sendmail服務(wù)不是系統(tǒng)運(yùn)行必須的，建議關(guān)閉此服務(wù)，并在cron中設(shè)置定期運(yùn)行，步驟如下： 停止服務(wù)（HP-UX）: mv /sbin/rc3.d/Sxxsendmail /etc/rc3.d/Kxxs