各類操作系統(tǒng)安全基線配置

......配南檢查模塊本號(hào)WindowsWindows2000以上SolarisSolaris8以上AIXAIX5.X以上HP-UNIX11i以上內(nèi)核本上OracleOracle8i以上SQLMicrosoftSQLServer2000以上MySQLMySQL5.x以上IISIIS5.x以上Apache2.x以上TomcatTomcat以上WebLogicWebLogic8.X以上學(xué)習(xí)好手......s操系統(tǒng)安全配置要求操作指南I目錄目前II范圍1規(guī)范引用件1縮略語1安全置要求2賬號(hào)2口令3授權(quán)5補(bǔ)丁7防護(hù)軟件8防病毒件8日志全要求9不必的服務(wù)11啟動(dòng)項(xiàng)124.10關(guān)閉自動(dòng)播放功能134.11共享文件夾134.12使用文件系統(tǒng)144.13網(wǎng)絡(luò)訪問154.14會(huì)話超時(shí)設(shè)置16學(xué)習(xí)好手......4.15注冊(cè)表設(shè)置17附錄口及服務(wù)18II前言為了工程收、運(yùn)行維護(hù)、安全檢等環(huán)節(jié)，范并實(shí)安配置求，編制一系的安全配置要求及操作南明確了操作系統(tǒng)數(shù)據(jù)庫應(yīng)用中間件在的通用安配置求及參考操作。該系安全置要求及操作指南的結(jié)及名稱預(yù)如下：（1）《Windows操作系統(tǒng)全配置求及作指南》本規(guī)）（2）《AIX操系統(tǒng)安配置求及操指南》《HP-UX操作系統(tǒng)安全配置要求及操作指南》《操作系統(tǒng)安全配置要及操作指南》《Solaris操作系統(tǒng)安全置要求及操指南》《MSSQLserver數(shù)據(jù)庫安全置要求及操指南》《MySQL數(shù)據(jù)庫安全配置要及操作指》《Oracle數(shù)據(jù)庫安全配要求及操指》《安全配置要及操作指南》《IIS安全配置要求及作指》《Tomcat安全配置要及操作指南》《WebLogic安配要求及操作指南》11范圍適用于操作系統(tǒng)的設(shè)備在未特說明的況下均適用所有運(yùn)的Windows操系統(tǒng)括Windows7,Windows2008以及各版本中的、Professional版本。本范明確了操作系統(tǒng)在安全配置方面的基本求適用所有安全等級(jí)，可作為編制設(shè)入網(wǎng)測(cè)試、安全驗(yàn)收、安檢查規(guī)范等文檔的參考。由于版本不同配置操作有所不同本規(guī)范以Windows2003為例給出參考置操作。2規(guī)范引用GB/T22239-2008《信息全技術(shù)信息統(tǒng)安全等保護(hù)基本要求》YD/T《固定通信安全防護(hù)求》YD/T1734-2008《動(dòng)通信網(wǎng)安防護(hù)要求》學(xué)習(xí)好手......YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)要求》YD/T1738-2008《值業(yè)網(wǎng)消息網(wǎng)全防要求》YD/T1740-2008增值務(wù)網(wǎng)智網(wǎng)安防護(hù)求》YD/T1758-2008非核心生單元安全防要求》YD/T1742-2008《接入安全防要求》YD/T1744-2008《送網(wǎng)安防護(hù)要》YD/T1746-2008《IP承載安全防護(hù)要求》YD/T1748-2008《令網(wǎng)安防護(hù)要》YD/T1750-2008《步網(wǎng)安防護(hù)要》YD/T1752-2008《撐網(wǎng)安防護(hù)要》YD/T1756-2008《電網(wǎng)和互聯(lián)網(wǎng)管安全等級(jí)保護(hù)要求》3縮語User用戶數(shù)包協(xié)議TransmissionControlProtocol傳輸控制協(xié)議2NTFSNewTechnologyFile新技術(shù)文件系統(tǒng)4安配置求賬號(hào)編號(hào)：1要求容用戶配不的賬，避不同戶間享賬。避免用賬號(hào)設(shè)備通信用的號(hào)共。操作南置操作進(jìn)入“面板>管理具-計(jì)算機(jī)”，在工具-本用戶和組”：根據(jù)系的要求，設(shè)定不同的賬戶和賬戶組。檢測(cè)方法1、條件結(jié)合要和實(shí)際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬和賬戶組2、檢操作進(jìn)入“制面板管理工具>計(jì)管理”在系統(tǒng)工具本用戶和組”：查看根系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組編號(hào)：2要求容應(yīng)刪除運(yùn)行維等工無關(guān)賬號(hào)。操作南1．考配操作A）用：開始-行-compmgmt.msc-本用戶和組戶B）也可通過net命令：刪除賬號(hào)：useraccount/de1學(xué)習(xí)好手......停用賬號(hào)netuser檢測(cè)法條件結(jié)合和實(shí)務(wù)情況判符合，刪除或定與備運(yùn)維護(hù)等與無關(guān)號(hào)。3注：的賬要指測(cè)試戶、帳號(hào)、長(zhǎng)不用號(hào)（以上不用等操作開始運(yùn)行本地用戶和組戶編號(hào)：3要求容名Administrator；用（來賓）帳號(hào)。操作指南置作進(jìn)入“制面板->管理工-計(jì)算機(jī)管，在工具>本用戶和組”：Administrator－>屬性－更改稱號(hào)->屬－>已用檢測(cè)方法件缺省賬戶名稱已更改。Guest帳號(hào)已停用。2、檢測(cè)作進(jìn)入“控制面板>管理工具>計(jì)，在具本地用戶和組”：缺省帳－屬－更名稱Guest帳號(hào)屬性－已用口令編號(hào)：1要求容：最少位密碼復(fù)度求：至包含下種類字符中三種：z英A,B,…Zz英b,c,…zz阿1,…9z非符，如標(biāo)點(diǎn)符號(hào)@,&,等4操作南操作進(jìn)入“面板>管理具-本地安全，在策略-密碼策略”：“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”檢測(cè)方法件“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”學(xué)習(xí)好手......2、檢操作進(jìn)入“控制面板-管工具->本，在“帳戶策-密碼策略”：查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”編號(hào)：2要求內(nèi)對(duì)于靜態(tài)令認(rèn)技術(shù)設(shè)備賬戶令的存期長(zhǎng)于天。操作指1參配置作進(jìn)入“制面板管理工具本，在“略密碼策略”：“密碼最長(zhǎng)存留期”設(shè)置為90天檢測(cè)方1判條件“密碼存留設(shè)置“天”2檢測(cè)作進(jìn)入“面板管理工具本，在略-密碼策略”：查看是否“密碼最長(zhǎng)存留期”設(shè)置為90天”編號(hào)：3要求內(nèi)對(duì)于靜態(tài)令認(rèn)技術(shù)設(shè)備應(yīng)配設(shè)備使用不能復(fù)使用最5次（次內(nèi)已使用口令操作指1參配置作5進(jìn)入“面板管理工具本，在略-密碼策略”：“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”檢測(cè)方法1、定條件“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼”2、測(cè)作進(jìn)入“控制面管理工具本，在“略密碼策略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)碼”編號(hào)：要求內(nèi)對(duì)于靜態(tài)令認(rèn)技術(shù)設(shè)備應(yīng)配當(dāng)用連續(xù)證失次數(shù)超過次（含6次，鎖定用戶使用賬號(hào)操作指1參配置作進(jìn)入“面板管理工具本，在略-帳戶鎖定策略”：“賬戶鎖定閥值”設(shè)置為6次設(shè)置解閥值：30分鐘檢測(cè)方法1、定條件“賬戶鎖定閥值”設(shè)置為小于或等于6次學(xué)習(xí)好手......2、檢操作進(jìn)入“控制面板-管理具-本，在略-帳戶鎖定策略”：查看是否“賬戶鎖定閥值”設(shè)置為小于等于6次補(bǔ)充說明：設(shè)置不當(dāng)可能導(dǎo)致賬號(hào)大面積鎖定，在域環(huán)境中應(yīng)小心設(shè)置，Administrator賬號(hào)本身不會(huì)被定。授權(quán)編號(hào)：16要求內(nèi)本地、遠(yuǎn)端系統(tǒng)強(qiáng)制機(jī)只派給Administrators組。操作指南1、參配置操作進(jìn)入“控制面板-管理具-本，在略-用戶”“關(guān)系”置“指給Administrators組“從端系統(tǒng)制關(guān)機(jī)設(shè)置“只指給組”檢測(cè)方1、判定條件“關(guān)閉系統(tǒng)”設(shè)置為只指派給Administrators組”“從端系統(tǒng)制關(guān)機(jī)設(shè)置“只指給Administrtors組”2、檢操作進(jìn)“制板->管工具-本地安全，在略-用戶”查看關(guān)系”置“指給Administrators組”查看是否“從遠(yuǎn)系統(tǒng)強(qiáng)制關(guān)機(jī)”置為“只指派給Administrators組編號(hào)：要求內(nèi)在本全設(shè)中取文件其它象的有權(quán)指派。操作指1、參考配置操作進(jìn)入“控制面板管理工具>本，在略用戶“Administrators組檢測(cè)方法1、判條“取得文件或其對(duì)象的所有權(quán)”設(shè)置為“只指給Administrators組2、檢測(cè)作進(jìn)入“控制面板-管理具-本，在略-用7戶權(quán)利”查看是取得或其對(duì)象有權(quán)設(shè)置只指Administrators組編號(hào)：學(xué)習(xí)好手......要求內(nèi)容設(shè)中只允許授權(quán)帳號(hào)本地、遠(yuǎn)程問登陸此計(jì)算機(jī)。操作指南置操作進(jìn)入“控制面板-管理具-策，“本地策-用戶利指派“”設(shè)置為“指定授權(quán)用戶“訪問此計(jì)算機(jī)”設(shè)置為定授權(quán)用戶”檢1判“”設(shè)置為“指定授權(quán)用戶“訪問此計(jì)算機(jī)”設(shè)置為定授權(quán)用戶”2檢作“板-管理具-本地安策，“本地策-用戶利指派查”為定用查”為定用補(bǔ)丁編號(hào)：1要求容情況，應(yīng)裝最新ServicePack補(bǔ)丁集。對(duì)服務(wù)器系應(yīng)先進(jìn)行兼容性測(cè)試。操作指南操作安裝最新的ServicePack補(bǔ)丁集。例如止到年新版：sXP的ServicePack為SP3。s2000的ServicePack為s2003的ServicePack為SP2檢測(cè)方1判定條件82檢測(cè)作進(jìn)入控板>添加或除程序顯示更新打，查看否XP系統(tǒng)已裝SP3，Win2000系統(tǒng)已安裝SP4Win2003系統(tǒng)安裝SP2。防護(hù)軟編號(hào)：1要求容或裝第三威脅護(hù)軟。根據(jù)業(yè)務(wù)需要限定允許訪網(wǎng)絡(luò)的用序，和遠(yuǎn)程陸該備的地址圍。操作南操作以啟動(dòng)帶防墻為例）進(jìn)入控制面－>網(wǎng)連接－>本連接”，在級(jí)選項(xiàng)設(shè)置中啟用s防火墻。在“外”中置允許務(wù)所需程序接網(wǎng)絡(luò)。在“外->編輯-更接的址。說終服終檢1、判啟s防火?！袄敝性式尤刖W(wǎng)的程序?yàn)闃I(yè)務(wù)需。學(xué)習(xí)好手......2、檢操作進(jìn)入“控制面板－網(wǎng)絡(luò)接－本連接”，高選項(xiàng)的設(shè)置中，查看是否啟用s防墻。查看否在“外”中置允許務(wù)所需程序接網(wǎng)絡(luò)。查看否在“外編輯>更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。防病毒件編號(hào)：1要求內(nèi)安裝毒軟，并時(shí)更。操作指1參配置作9安裝防軟件及時(shí)新。檢測(cè)方1判條件已安裝毒軟病毒更新不早1個(gè)月系統(tǒng)毒碼升級(jí)時(shí)求參系統(tǒng)關(guān)規(guī)注：對(duì)終端該為必，對(duì)務(wù)器該項(xiàng)可選2檢測(cè)作控制面板>添毒日志安要求編號(hào)：1要求內(nèi)設(shè)備置日功能對(duì)用登錄行記錄錄內(nèi)容包戶登錄使用賬號(hào)登錄否成，登間，以及登錄時(shí)，使用的IP地址。操作南1、參考配置操作開始-運(yùn)行-執(zhí)行控制面板>管具>本略>策審方1、判審2作開始-運(yùn)行-執(zhí)行控制面板>管具>本略>策審編：要求內(nèi)開啟策略以便現(xiàn)安問題進(jìn)行查操作指1參配置作對(duì)審核略行查：10開始-行-gpedit.msc計(jì)算機(jī)置-s設(shè)置-全設(shè)置-本地策略審核策略學(xué)習(xí)好手......以下審核是必須開啟，其他的可以根據(jù)需要增加：y審系登事件成，敗y審帳管理成功，失敗y審登事件成功，失敗y審對(duì)訪問成功y審策更改成功，失敗y審特使用成功，失敗y審系事件成功，失敗2、補(bǔ)說明可能會(huì)使日志量猛增檢測(cè)方法1、判條件嘗試對(duì)被添加了訪問核的對(duì)象進(jìn)行訪問，然后查看安全日志是否會(huì)有相關(guān)記錄，或過其他手段激化以配置的審核策略，并察日志中的記錄情況，果存在記錄條目，則配置成功。2、檢操作編號(hào)：要求內(nèi)設(shè)置日容量覆蓋則，證日儲(chǔ)操作指1、配置操開始-行右鍵選擇日志屬性，根據(jù)實(shí)際需求設(shè)置：日志文件大小可根據(jù)需要制定超過上限時(shí)的理方式（建議日志記錄天不小于）2、補(bǔ)充說明建議對(duì)日志進(jìn)行如操作，應(yīng)保證空間檢測(cè)方1、條件2、檢操作11開始-行，右鍵選日志，屬，查看日志上及超過上線時(shí)的理方式不必要服、端口編號(hào)：1要求內(nèi)關(guān)必要的務(wù)操作指1、配置操進(jìn)“控面板>管理具-計(jì)算機(jī)管，“服務(wù)和應(yīng)用程序：可用考附，篩選必。檢1、判定條系出服務(wù)列表。查，不在需。2、檢測(cè)操作學(xué)習(xí)好手......進(jìn)入“控制面板-管理具-計(jì)，進(jìn)入“服務(wù)和應(yīng)序：查編要求內(nèi)如需啟用SNMP服，則改默的CommunityString設(shè)置。操作指1參考置操打開“制面管理具”的“務(wù)“Service擊右打開屬性面板的“全”項(xiàng)卡在這配置界面中可以改communitystrings，也就是微軟所的“團(tuán)體名稱檢測(cè)方法1、判定條件已改，不是認(rèn)的“”2、檢測(cè)作打開控面開管工”的服到“12Service擊右打開屬性面板的“全”項(xiàng)卡在這配置界面中查看strings，也就是微軟所說“團(tuán)體名稱編號(hào)：3要求內(nèi)如對(duì)互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(Desktop)，需修改默認(rèn)服務(wù)口。操作指南1、參配置操作開始-運(yùn)Regedt32并轉(zhuǎn)到項(xiàng):HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal找到“PortNumber”子項(xiàng)，看到默值00000D3D，它是3389的十六制表示。使十六制數(shù)值改此號(hào)，存新值。檢測(cè)方1、條件找到“PortNumber子項(xiàng)，定值非00000D3D，即十進(jìn)制33892、檢測(cè)操作運(yùn)行找到此項(xiàng)并斷。啟動(dòng)項(xiàng)要求內(nèi)關(guān)閉無效動(dòng)項(xiàng)操作指1、考配置操作“開始-運(yùn)行->MSconfig”啟動(dòng)單中，取消不必要的啟動(dòng)項(xiàng)。檢測(cè)法1、判定件2、檢測(cè)作系統(tǒng)理員供業(yè)必須自動(dòng)載進(jìn)和服列表檔。查看開始->行-”啟動(dòng)單：學(xué)習(xí)好手......不需要的自動(dòng)加載進(jìn)是否已禁用和取消。134.10關(guān)閉自播放功能編號(hào)：1要求容Windows自動(dòng)播放功能操作指南置操作開始→運(yùn)行→gpedit.msc，打開組略編輯，瀏覽計(jì)算機(jī)置→管理模板→統(tǒng)，在邊窗格雙擊“閉自動(dòng)放話框中選擇所有驅(qū)動(dòng)，確定可。檢測(cè)方法1、判條件所有驅(qū)動(dòng)器均關(guān)閉自播放”2、檢測(cè)操作“關(guān)閉自動(dòng)播”配置啟用，用范圍所有驅(qū)器。4.11共享文件夾編號(hào)：1要求容關(guān)閉硬盤認(rèn)共享，例如，D$。南置操作入開>－>Regedit”，進(jìn)入注表編輯器，更改注冊(cè)表鍵值：下，增加類型的鍵，為0。檢測(cè)法1、判定條件stem\CurrentControlSet\Services\LanmanServer\Parameters\增加了REG_DWORD類型的AutoShareServer鍵值為。2、檢測(cè)操作進(jìn)入“開始－運(yùn)行－”，進(jìn)入注表編輯器，改注冊(cè)表鍵值：14，增加類型的鍵，為0。編號(hào)：2要求容的訪權(quán)限只允許權(quán)賬戶擁限共享此件夾。操作南置操作進(jìn)入“制面板->管理具-計(jì)算機(jī)”，入系統(tǒng)工具－共享：查共，只指定。檢1、判查共需要，不設(shè)置成為學(xué)習(xí)好手......“everyone”。2、檢測(cè)操作進(jìn)入控制面板>管理工-計(jì)算機(jī)管，進(jìn)入“系統(tǒng)工具－共享查4.12使用NTFS文件系統(tǒng)要求內(nèi)容在毀壞數(shù)據(jù)的情況下，將ＦＡＴ分區(qū)改為ＮＦＳ格式操作指南1、參配置操作將卷轉(zhuǎn)換成分區(qū)CONVERTvolume/FS:NTFS[/V][/CvtArea:filename][/NoSecurity]Voume指定驅(qū)器號(hào)（后面一個(gè)冒號(hào)）、裝載點(diǎn)或卷名/FS:NTFS指定要被轉(zhuǎn)換成NTFS的卷/V指定應(yīng)該用詳述模式運(yùn)行/CvtArea:filename將根目錄中的一個(gè)接續(xù)件指定為NTFS系統(tǒng)文件的占位符15/NoSecurity指定每個(gè)人都以訪問轉(zhuǎn)的文件和目錄的安全設(shè)置/X如果要先強(qiáng)行卸載，打開的句柄無例如C：備注：新上線統(tǒng)必須求NTFS分區(qū)，上線系統(tǒng)在損壞數(shù)據(jù)的情況下應(yīng)用在有其他非WIN系統(tǒng)訪問、存數(shù)據(jù)共享的況下，不建將ＦＡＴ分區(qū)改為ＮＴＦ格式檢測(cè)方法1、判定條件2、檢測(cè)操作4.13網(wǎng)絡(luò)訪問編號(hào)：1要求內(nèi)禁用訪問名管和共16操作指1、配置“控制板管具>本地全策略”，在本地略-安項(xiàng)”:網(wǎng)絡(luò)訪問“板管具>本地安全策略”，在本地策略安項(xiàng)”:網(wǎng)絡(luò)訪問設(shè)置檢1、判定條件全部刪除匿訪問命名管道和共享2、檢操作學(xué)習(xí)好手......查看“控制面板-管理具-本，在略-安全”網(wǎng)絡(luò)訪問是編：要求內(nèi)禁用程訪的注表路和子徑操作指1、配置作“控制板管具>本地全策略”，在本地略-安項(xiàng)”:網(wǎng)絡(luò)訪問設(shè)“板管具>本地安全策略”，在本地策略安項(xiàng)”:網(wǎng)絡(luò)訪問除檢1、全3、檢“板-管理具-本，在略-安全”網(wǎng)絡(luò)訪問，訪4.14會(huì)話超時(shí)設(shè)編號(hào)：117要求內(nèi)對(duì)于遠(yuǎn)錄的，設(shè)不活連接間15分操作指1、配置進(jìn)入“面板管具本地安略”“安策略安全選項(xiàng)：Microsoft網(wǎng)絡(luò)服器”設(shè)置為“在掛起會(huì)之前所需的空閑時(shí)間為分鐘檢測(cè)方法1、定條件“Microsoft網(wǎng)絡(luò)服器”設(shè)置為“在掛起會(huì)話之前所的空閑時(shí)間”為15分鐘2、檢作進(jìn)入“面板管具本地安略”“安策略安全選項(xiàng)：查“Microsoft網(wǎng)絡(luò)服務(wù)器”設(shè)置4.15注冊(cè)表設(shè)置編號(hào)：1要求內(nèi)在不系統(tǒng)定運(yùn)的前下，注冊(cè)信息行更。操作指1、配置作y自登錄：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon0y源路由欺騙保：學(xué)習(xí)好手......HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2刪除名用空鏈接HKEY_LOCAL_MACHINESYSTEM\Current\Control\Set\Control\Lsa將的值設(shè)置為該不存在，可以自己創(chuàng)建，類型為修改完后重新啟動(dòng)系統(tǒng)生效碎片攻擊保護(hù)：HKLM\System\CurrentControlSet\18Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)1Synflood攻擊保護(hù)：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下可設(shè)：。薦：。TcpMaxHalfOpen。薦值據(jù)：。TcpMaxHalfOpenRetried。推值數(shù)據(jù)：檢測(cè)法件2、操作點(diǎn)開始>運(yùn)行，然后在打行里輸入regedit，然后擊確定，看相關(guān)冊(cè)項(xiàng)行看；使空接描具無法遠(yuǎn)枚用名和用戶組附錄：端及務(wù)服名稱端口服務(wù)說明關(guān)閉方法系服部分echo7/TCPRFC862_回協(xié)議關(guān)閉SimpleTCP/IPServices"服務(wù)。建關(guān)閉echo7/UDPRFC862_聲協(xié)議discard9/UDP廢除協(xié)議9/TCP廢除協(xié)議daytime13/UDPRFC867白天議daytime13/TCP白天協(xié)議qotd17/TCPRFC865白天協(xié)的引用qotd17/UDP學(xué)習(xí)好手......RFC865白天協(xié)的引用chargen19/TCPRFC864字符產(chǎn)協(xié)議19chargen19/UDPRFC864字符產(chǎn)協(xié)議ftp21/TCP文傳輸議控制)關(guān)Publishing服。根情況選擇開放smtp25/TCP簡(jiǎn)單郵件發(fā)送協(xié)議關(guān)閉"SimpleMailTransport服務(wù)。建議閉nameserver42/TCP主名服務(wù)關(guān)閉sInternetNameService"服務(wù)。建議閉42/UDP域名務(wù)器關(guān)閉服。根據(jù)況擇開放53/TCP根據(jù)況選擇開放dhcpsDHCP服務(wù)器/Internet連接享關(guān)閉"SimpleTCP/IPServices"服務(wù)。學(xué)習(xí)好手......建議關(guān)閉dhcpc68/UDPDHCP協(xié)議客戶端關(guān)閉"DHCPClient"服務(wù)。建議關(guān)閉http80/TCP萬維服務(wù)閉WideWebService"服務(wù)。根據(jù)情選擇開放RPC服務(wù)務(wù)無法關(guān)閉無關(guān)閉名稱解析在網(wǎng)卡的選項(xiàng)中頁選"禁用TCP/IP上的NETBIOS"根據(jù)情況選擇開放NetBIOS數(shù)據(jù)報(bào)服務(wù)情況選擇開放netbios-ssn139/TCP會(huì)話服務(wù)務(wù)閉SNMP服務(wù)"服務(wù)根據(jù)情況選擇開放https443/TCP安全文傳協(xié)議關(guān)閉WideWebService"服務(wù)根據(jù)情選擇開放20microsoft-dsSMB服務(wù)器運(yùn)行regedit，開HKEY_LOCAL_MA學(xué)習(xí)好手......ices\NetBT\Parameters添加名為型dword，值為重新啟動(dòng)機(jī)根據(jù)選擇開放isakmpISAKMP本地安全機(jī)構(gòu)關(guān)閉"IPSECPolicyAgent"服務(wù)很少使用的服務(wù)，如不使用ipsec建議關(guān)閉RADIUS1645/UDP舊式RADIUSInternet身份證服務(wù)關(guān)閉"RemoteAccessConnection服務(wù)建議關(guān)閉RADIUS舊式RADIUSInternet身份證服務(wù)建議關(guān)閉radius1812/UDP身份驗(yàn)證Internet身份驗(yàn)證服務(wù)建議關(guān)閉radacct1813/UDP計(jì)帳Internet身份驗(yàn)證服務(wù)建議關(guān)閉MSMQ-RPC2105/TCPMSMQ-RPC消息隊(duì)列學(xué)習(xí)好手......關(guān)閉"Message服務(wù)。建議閉Termsrv終端服務(wù)關(guān)閉Services"服務(wù)。根據(jù)情況擇開放其他常用務(wù)80/TCP8000/TCP服務(wù)器關(guān)閉服務(wù)。根據(jù)情選擇開放/TCP/UDP微軟公司數(shù)據(jù)庫關(guān)閉"MSSQLServer"服務(wù)。根據(jù)情況選擇開放ORACLE1521/TCP甲骨文司數(shù)據(jù)庫關(guān)閉"OracleOraHome90TNSListener"服務(wù)。根據(jù)情選擇開放21remoteadministrator4899/TCP公遠(yuǎn)程控制軟件關(guān)閉AdministratorService"服務(wù)。根據(jù)情選擇學(xué)習(xí)好手......開放sybase5000/TCPSybase公數(shù)據(jù)庫關(guān)閉"SybaseSQLServer"字樣開始的服務(wù)。根據(jù)情況選擇開放/TCP/UDP公司遠(yuǎn)程控制軟件關(guān)Host字樣開始的服務(wù)。根據(jù)情況選擇開放AIX操作統(tǒng)安全配置要求及操作指南xxxx發(fā)布I目錄目前II1范圍1規(guī)范引用件1縮略語1安全置要求1帳號(hào)2口令5授權(quán)7補(bǔ)丁10日志10不必的服、端口12文件與錄權(quán)限13系統(tǒng)設(shè)置14登陸超時(shí)間置15學(xué)習(xí)好手......4.10內(nèi)核調(diào)整置15SSH加協(xié)議16FTP設(shè)置18附錄口服務(wù)18II前言為了工程收、運(yùn)行維護(hù)、安全檢等環(huán)節(jié)，范并實(shí)安配置求，編制一系的安全配置要求及操作南明確了操作系統(tǒng)數(shù)據(jù)庫應(yīng)用中間件在的通用安配置求及參考操作。該系安全置要求及操作指南的結(jié)及名稱預(yù)如下：《Windows操作系統(tǒng)全配置求及操指南》《AIX操系統(tǒng)安配置要及操作南》（本規(guī)范）《HP-UX操作系統(tǒng)安全配置要求及操作指南》《操作系統(tǒng)安全配置要及操作指南》《Solaris操作系統(tǒng)安全置要求及操指南》《MSSQLserver數(shù)據(jù)庫安全置要求及操指南》《MySQL數(shù)據(jù)庫安全配置要及操作指》《Oracle數(shù)據(jù)庫安全配要求及操指》《安全配置要及操作指南》《IIS安全配置要求及作指》《Tomcat安全配置要及操作指南》《WebLogic安配要求及操作指南》11范圍適用于操統(tǒng)的備。本范明安配的基本，可為編制備入網(wǎng)、安收、安查規(guī)范等檔的。由于版同置操作所不規(guī)范以為例出考配置作。2規(guī)范引用GB/T22239-2008《信息全技術(shù)信息統(tǒng)安全等保護(hù)基本要求》YD/T《固定通信安全防護(hù)求》YD/T1734-2008《動(dòng)通信網(wǎng)安防護(hù)要求》YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)求》YD/T1738-2008《值業(yè)網(wǎng)消網(wǎng)安防護(hù)求》YD/T1740-2008增值務(wù)網(wǎng)智網(wǎng)安防護(hù)求》YD/T1758-2008非核心生單元安全防要求》YD/T1742-2008《接入安全防要求》YD/T1744-2008《送網(wǎng)安防護(hù)要》YD/T1746-2008《IP承載安全防護(hù)要求》YD/T1748-2008《信令網(wǎng)全防護(hù)要求》學(xué)習(xí)好手......YD/T1750-2008《同步網(wǎng)安全防護(hù)要求》YD/T1752-2008《撐網(wǎng)安防護(hù)要》YD/T1756-2008《電網(wǎng)和互聯(lián)網(wǎng)管安全等級(jí)保護(hù)要求》3縮語SecureShell安全外殼協(xié)議FTPFileTransfer文傳輸協(xié)議User用戶數(shù)包協(xié)議TransmissionControlProtocol傳輸控制協(xié)議4安配置求2帳號(hào)編號(hào)：要求容戶分不同號(hào)。操作南操作為戶創(chuàng)建號(hào)：#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#其中為設(shè)置的權(quán)，可根據(jù)實(shí)情況設(shè)置相應(yīng)權(quán)限，directory是要更改權(quán)限的目錄使該命令為不同用戶分配不同的號(hào)，設(shè)置不同的令及權(quán)限信等。2、補(bǔ)充操作說明檢方法1、判定條件能登錄成功并且以進(jìn)行常用操作；2、檢測(cè)操作使不同的賬號(hào)進(jìn)登錄并進(jìn)行一些用操作；3、補(bǔ)充說明編：要求容與設(shè)行、等工無的賬號(hào)。操作南操作刪除：#userdel鎖定：修改etc/shadow文件，用戶名后加LK*將/文件中的域設(shè)置成/bin/false-lusername只具備超級(jí)用戶限的使用者方可用#passwd-lusername鎖學(xué)習(xí)好手......定用,用#passwd–dusername解鎖后原有密碼失效，錄需輸入新密碼，修改能保留原密碼。2、充操作說明需要鎖的用戶listen,gdm,webservd,nobody,nobody4、noaccess。檢測(cè)方法定條件被刪除或鎖定的賬號(hào)無法錄成功；2、檢測(cè)操作使用刪除或鎖定的與工作關(guān)的賬號(hào)登錄系統(tǒng)；3、補(bǔ)充說明需要鎖定的用戶listen,gdm,webservd,nobody,nobody4、noaccess。解鎖時(shí)間：鐘3編號(hào)：要求容理員限的遠(yuǎn)程。需要執(zhí)行員權(quán)限操，應(yīng)普通權(quán)限戶遠(yuǎn)登錄，再切超級(jí)員權(quán)限賬后執(zhí)應(yīng)操作。操作南、置操作編輯/etc/security/user，加上：在項(xiàng)上輸入作為的值此項(xiàng)能限制用遠(yuǎn)程用登錄。用登錄修改此項(xiàng)不會(huì)看效果的2補(bǔ)充操作說明如果限制從程登錄，修改/etc/ssh/sshd_config文件，將yes改為PermitRootLoginno，重啟服務(wù)。檢測(cè)方法定件root遠(yuǎn)程登錄不成功提示“沒有限”；普通用戶可以登錄成功而且可以切換到用；2、檢測(cè)作root從遠(yuǎn)使用登；普通戶遠(yuǎn)使用登；root從遠(yuǎn)使用登錄；普通用戶遠(yuǎn)程使用登錄；3、補(bǔ)充說明限制從程登錄，修改/etc/ssh/sshd_config文件，將yes改為PermitRootLoginno，重啟服務(wù)。編號(hào)：要求容用協(xié)進(jìn)遠(yuǎn)程維設(shè)備，設(shè)應(yīng)配置使用等加密協(xié)議并全置設(shè)。操作南置操作把下shell保存后，運(yùn)行，會(huì)修改的安全設(shè)置：學(xué)習(xí)好手......unaliascpmvcase`find/usr/etc-typef|-cssh_config$`0)"Cannotfindssh_config";;1)f|\grepssh_config$|sed"s:/ssh_config::"`cd$DIRcpssh_configssh_config.tmpawk'/^#?*Protocol/"Protocol2";next};{print}'ssh_config.tmp>ssh_configif["`grep^Protocolssh_config`"""];thenecho'Protocol>>ssh_configfi4rmssh_config.tmpchmodssh_config;;*)echohavesshd_configfiles.Resolve"echo"beforecontinuing.";;#也以動(dòng)編ssh_config，在"Host*"后輸入2"，cd$DIRcpsshd_configsshd_config.tmpawk'/^#?*Protocol/"Protocol2";next};/^#?*X11Forwarding/\{yes";next/^#?*IgnoreRhosts/\{};/^#?*RhostsAuthentication/\{print"RhostsAuthenticationno";next};/^#?*RhostsRSAAuthentication/\{"RhostsRSAAuthenticationno";};/^#?*HostbasedAuthentication/\{print"HostbasedAuthenticationno";next};/^#?*PermitRootLogin/\{no";};/^#?*PermitEmptyPasswords/\{printno";next};\{};學(xué)習(xí)好手......{print}'sshd_config.tmp>sshd_configrmsshd_config.tmp600sshd_configProtocol2#使用版本yes#允許窗圖形傳輸使用加密IgnoreRhostsyes#完全禁止使用.rhosts文件RhostsAuthenticationno#不設(shè)置使用基于的安全驗(yàn)證RhostsRSAAuthenticationno不設(shè)使用算的基于的安全驗(yàn)證HostbasedAuthentication不允許于主機(jī)白名方式認(rèn)證PermitRootLoginno#不允許登錄PermitEmptyPasswordsno不允許密碼/etc/motd#置登錄顯示的2、補(bǔ)充操作說5查看SSH服務(wù)態(tài)：#pself|grepssh檢測(cè)法定條件#pself|grepssh是否有ssh進(jìn)程存在2、檢測(cè)操作查看SSH服務(wù)狀：#pself|grepssh查看telnet服務(wù)狀態(tài)#pself|greptelnet口令編號(hào)：1要求內(nèi)對(duì)采靜態(tài)令證技術(shù)設(shè)備，令度至位，并包括數(shù)字、小字母大寫母和殊符4類中少3類。操作指1、考配操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/userdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsecf/etc/security/usersdefault-a#密碼度最少位包含的字母最少1個(gè)包含的唯一字符最少1個(gè)包含的非字最少1個(gè)pwdwarntime=5#系統(tǒng)在密碼期前5天發(fā)出改的警告學(xué)習(xí)好手......給用戶2、補(bǔ)操作說明檢測(cè)方法1、判定條件不符合密碼強(qiáng)度的時(shí)，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候可以成功設(shè)置；2、檢操作1、檢口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：配置口令的最小長(zhǎng)度；將口令配置為強(qiáng)口令。2、創(chuàng)一個(gè)普通賬號(hào)，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口以及長(zhǎng)度短于8位的口令，看系是否6口令強(qiáng)求進(jìn)示；入帶殊符的復(fù)令、復(fù)雜口令，系統(tǒng)可以功設(shè)編號(hào)：要求內(nèi)對(duì)于采用靜口令技術(shù)設(shè)備口令的存期于天。操作指1、考配置操方法一chsec-f-s-a方法：用或他文本編輯工具修改chsec-f/etc/security/user文件如下值：histexpire=13histexpire=13#密碼重復(fù)使用星期為13（91天）2、補(bǔ)操作檢測(cè)方1、定條密碼過后登不成；2、檢操作使超過90天的帳戶口令登錄會(huì)示密碼過期；編號(hào)：3要求內(nèi)對(duì)于采用靜口令技術(shù)設(shè)備配置備，不能重使最近5次（含5次內(nèi)已的令。操作指1、考配作方法一學(xué)習(xí)好手......chsec-f-s-a方法二：用或其他文本編輯工具修改-f/etc/security/user文件如下值：histexpire=5#可允許的密碼重復(fù)次數(shù)檢測(cè)方法定條件設(shè)置密不成功2、檢測(cè)操作cat/etc/security/user，置如下73、補(bǔ)充說明默認(rèn)沒有histsize的標(biāo)記即不記錄以前的密碼。編號(hào)：要求內(nèi)對(duì)于采用靜口令技術(shù)設(shè)，應(yīng)當(dāng)戶連續(xù)失敗次數(shù)超過次（含6），鎖用戶的賬號(hào)操作指1、考配作查看帳戶屬：設(shè)置次登失敗戶鎖值：備注：root賬戶不在鎖定范圍內(nèi)檢測(cè)方法定條件運(yùn)行l(wèi)suseruasename命令，查看帳屬性中是否設(shè)置了6次登陸后帳定閥策略。未設(shè)置或大6次，則進(jìn)行置授權(quán)編號(hào)：要求內(nèi)在設(shè)備權(quán)限配置力內(nèi)據(jù)戶業(yè)務(wù)需配置其所最小權(quán)限。操作指1、考配作通過chmod命令對(duì)錄的權(quán)限進(jìn)實(shí)際設(shè)置。2、補(bǔ)充操說明-R/etc/passwd/etc/group/etc/securitychown-Rroot:auditchmod644/etc/passwd/etc/group750chmod-Rgo-w,o-r/etc/security學(xué)習(xí)好手....../etc/passwd/etc/group/etc/security的所有者必須是和組成員/etc/security/audit的所有者必須是和組成員/etc/passwd所用都讀root用可寫r/etc/shadow只有可讀必須所用戶都可，root用戶寫r使用如下令設(shè)置：/etc/passwdchmod644/etc/group8如果寫權(quán)就需移去及其戶對(duì)/etc的寫權(quán)限（特殊情況除外）執(zhí)行命令#chmod-Rgo-w,o-r/etc檢測(cè)方法定條件設(shè)備系統(tǒng)能夠提供用戶權(quán)的配置選項(xiàng)，并記錄對(duì)用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng)時(shí)進(jìn)行記錄能夠配置的權(quán)限選項(xiàng)容所配置的權(quán)限規(guī)則應(yīng)能夠確應(yīng)用，即用戶無法訪問授權(quán)范圍之外的系統(tǒng)資源，而可以問授權(quán)范圍之內(nèi)的系統(tǒng)資源。2、檢操利用管理員賬號(hào)登錄系統(tǒng)并創(chuàng)建2個(gè)同用戶；創(chuàng)建時(shí)查看是否供了戶權(quán)級(jí)別以可訪問資源令的選3、為兩個(gè)戶分別不同限，戶的差異應(yīng)分別在權(quán)限級(jí)可訪系統(tǒng)以可用等面予以現(xiàn)；4、分用個(gè)新建的賬號(hào)訪問備系統(tǒng)并別嘗問允訪問內(nèi)不允許問內(nèi)查看限配策否生效3、補(bǔ)明編號(hào)：要求內(nèi)控制FTP進(jìn)程缺訪問限，當(dāng)過FTP服務(wù)創(chuàng)建新件或目錄時(shí)應(yīng)屏掉新文件或目不應(yīng)有的訪問許權(quán)限。操作指南1、參考配置操作a.限制某些系統(tǒng)帳戶不準(zhǔn)登錄通過改ftpusers文件，增加帳戶#vi限制用戶使用能用，假如用戶為ftpxll創(chuàng)建個(gè)/etc/shells文件添一行修改etc/passwd文，ftpxll:x:119:1::/home/ftpxll:/bin/true注：還需要真實(shí)存在的目錄加入/文件，否則沒有用戶能登ftp學(xué)習(xí)好手......以上兩個(gè)步驟可參考下自動(dòng)執(zhí)行：lsuser-cALL|grep-v^#namecut-f1-d:whilereaddoif[`lsuser-f$NAMEgrepid|cut-f2-d=`-lt200];thenecho$NAMEto/etc/ftpusers"echo$NAME>>/etc/ftpusers.newfisort-u/etc/ftpusers.new>/etc/ftpusers.newroot:system/etc/ftpusers/etc/ftpusers9c.限制用戶登陸在自己當(dāng)前錄下活動(dòng)編輯，加入如下一行*(限制所有，restricted-uidusername（特定用）ftpaccess文件與文件在同目錄設(shè)置用戶登錄后對(duì)文目錄存取權(quán)限，可編輯/etc/ftpaccess。noguest,anonymousdeletenoguest,anonymousoverwritenoguest,anonymousrenamenoguest,anonymousumasknoanonymous2、補(bǔ)充操作說明查看#ftpusers說明:在這個(gè)列表里邊的用戶名是不允ftp登陸的。rootdaemonsyslpnuucplisten檢測(cè)方1、判定條件權(quán)限置符合際需；不有訪問允權(quán)被屏蔽；2、檢測(cè)操作查看新的件或錄的限，操舉例下：學(xué)習(xí)好手......#more/etc/passwd#more3、補(bǔ)充說明查看#ftpusers說明:在這個(gè)列表里邊的用戶名是不允ftp登陸的。rootdaemonsyslp10nuucplisten補(bǔ)丁編號(hào)：1要求內(nèi)應(yīng)根要及進(jìn)行丁裝。對(duì)務(wù)器統(tǒng)應(yīng)進(jìn)行容性試。操作指1、考配操作先把補(bǔ)集拷到一目錄如08update，然后執(zhí)行#smitupdate_all選擇安目錄/08update默認(rèn)toupdate選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協(xié)議COMMITreplacedfiles?yesACCEPTnewlicenseagreements?yes然后回執(zhí)安。2、補(bǔ)充操作說明檢測(cè)方法1、判定條件查看最的丁，認(rèn)打了新丁；2、檢測(cè)操作檢查某個(gè)丁比如LY59082是否安裝#instfix–a–ivkLY59082檢查件集（）是安裝#lslpp–lbos.adt.libm學(xué)習(xí)好手......3、補(bǔ)說明補(bǔ)丁下載日志編號(hào)：1要求內(nèi)設(shè)備置日功能對(duì)用登錄行記，記內(nèi)容括用登錄使用賬號(hào)登錄否成，登間，以及登錄時(shí)，使用的IP地址。操作南1、參考配置操作修改置文件/etc/syslog.conf，加上幾行：11建立日志文件如下命令：touch/var/adm/authlog/var/adm/syslogroot:system/var/adm/authlog重新動(dòng)syslog服務(wù)，依執(zhí)行下列命令：stopsrc-ssyslogdstartsrc-ssyslogdAIX系默不捕獲登錄信息到，上配置增加了驗(yàn)證信息發(fā)送到var/adm/authlog和/var/adm/syslog2、補(bǔ)充操作說明檢測(cè)方1、判定件列出用戶賬號(hào)、登錄是否成功登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。2、檢測(cè)操作catcat/var/adm/syslog3、補(bǔ)說明編：2（可選）要內(nèi)容啟用記錄行為日志功能和cron/at的用情況操作指南1、參考配操作cron/At的相關(guān)文件要有以下個(gè)：存放任務(wù)的目錄/var/spool/cron/cron.allow允使用crontab命令的戶不允許使用命令的用戶/var/spool/cron/atjobs存放任的目錄/var/spool/cron/at.allow允使用的戶/var/spool/cron/at.deny不允使at的戶使crontab和at命令可以別對(duì)和at任進(jìn)控制。學(xué)習(xí)好手......#crontab-l查看前的任務(wù)#at查看當(dāng)前的任務(wù)檢測(cè)方法定件2、檢測(cè)操作查看/var/spool/cron/目錄的文件配置是按以要進(jìn)行了安全置如配則議按照要求進(jìn)配。編：3要求內(nèi)設(shè)備置權(quán)，控對(duì)日文件取、改和除等作。操作指1、配置作12配置日件權(quán)如下令：600/var/adm/authlogchmod640/var/adm/syslog并設(shè)置了權(quán)限為其他用戶和禁止讀寫日志文件。檢測(cè)方法件沒有相應(yīng)權(quán)限的用戶不能查或刪除日志文件2、檢測(cè)操作查看文中置日存放件：more/etc/syslog.conf使用ls–l/var/adm查看目錄日志件的限，如：authlog、syslog的限應(yīng)分別為、644。3、補(bǔ)說明對(duì)于其他志件，也該置適當(dāng)權(quán)限，如登錄敗件的日志、操作志具體文查看中的配。不必要服務(wù)、口編號(hào)：1要求內(nèi)列出要服的列表包需系統(tǒng)服務(wù)，此列表服務(wù)需關(guān)閉操作指1、參考配置操查看所開啟服：-f方法一動(dòng)方式作在inetd.conf中關(guān)不用的服務(wù)。#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用編輯編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記#"字符，重啟服務(wù),即可。重新啟用該服務(wù)，使用命令：–sinetd方法二：自動(dòng)方式操作學(xué)習(xí)好手......以下本里：forSVCinshellkshellloginkloginexecechodiscardchargentimettdbserverdtspc;doecho"Disabling$SVCTCP"chsubserver-v$SVC-ptcpforinntalkrstatdrusersdrwalldspraydpcnfsdechodiscarddaytimetimecmsd;echo"Disabling$SVCUDP"13chsubserver-d-v$SVC-pudp-sB.執(zhí)行命：#sh2、補(bǔ)充操作說明參考附錄，根據(jù)具體情況禁止必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了“inetd.conf”文件之后需要重新啟動(dòng)。對(duì)必須提供的服務(wù)采用tcpwapper來保護(hù)并且為了防止服務(wù)取消后斷線，一定要啟用SSHD服務(wù)，用以登錄操作和文件傳輸。檢測(cè)方法、判定條件所需的服務(wù)都列出來；沒有不必要的服務(wù)；2、檢測(cè)操作查看所有開啟的服務(wù)/etc/inet/inetd.conf,cat/etc/inet/services3、補(bǔ)說明在/etc/inetd.conf文件中禁止下不要基網(wǎng)絡(luò)服務(wù)。服如下：ftptelnetshellloginkloginexecUDP服務(wù)如：ntalkrusersdrwalldpcnfsd注：變“”件之后需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來保護(hù)文件與錄權(quán)編號(hào)：1要求內(nèi)控用缺省問權(quán)，當(dāng)創(chuàng)建文件目時(shí)應(yīng)掉新文件或目應(yīng)有訪問允權(quán)限防同屬于組其它用及別的組用戶修該戶文件或高限。學(xué)習(xí)好手......操作指南參配置操作設(shè)所有的權(quán)l(xiāng)suser-ahomeALLawk'{print$1}'|whilereaduser;dochuserumask=077$uservi在末增加umask027B.設(shè)置默的profile，用編輯器打開文件etc/security/user，找到這行，修改如：142、補(bǔ)說明如果用要使個(gè)不于默局系設(shè)置umask，可以在需要的候通過命令行設(shè)置或者用戶的啟動(dòng)文件中配置。檢測(cè)方法1、定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的問允許權(quán)限屏蔽掉；2、檢測(cè)操作查看新建的文件或目錄的權(quán)限，作舉例如下：#ls-ldir;#查看目錄dir的權(quán)限/etc/default/login查看是否有umask內(nèi)容3、補(bǔ)充說明的認(rèn)置一為這給新創(chuàng)的文件默權(quán)限（777-022=755），這會(huì)給文件所有者讀、寫權(quán)限，但只給組成員和其他用戶權(quán)限。umask的計(jì)算：umask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄該值等于八進(jìn)制數(shù)據(jù)代碼減要的權(quán)限應(yīng)的制數(shù)碼值；對(duì)文件，等于制數(shù)代碼666減去需要的默認(rèn)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)碼值。編號(hào)：2要求內(nèi)對(duì)文件和目錄進(jìn)權(quán)限，合理設(shè)重要錄和的權(quán)操作南置作查看重件和權(quán)限：更改權(quán)限：對(duì)于重要目錄，建議行如下似操：#-R750/etc/init.d/*這樣只有root可以讀、寫和執(zhí)這個(gè)目錄下的本。2、補(bǔ)充操作說明檢測(cè)方法1、判定條件用root外的它帳戶登錄，對(duì)重要文件和目錄進(jìn)行刪除、修改等操作不能夠成功即為符合。學(xué)習(xí)好手......2、檢操作查看重要文件和目錄限ls–l用root外的它帳戶登錄，對(duì)重要文件和目錄進(jìn)行刪除、修改等操作3、補(bǔ)充說明系統(tǒng)設(shè)置15要求內(nèi)修改系統(tǒng)，避免漏作統(tǒng)名稱版號(hào)，主機(jī)名稱等，并且出登陸告警信操作南1參配置操作設(shè)置統(tǒng)Banner的操作如下：在/etc/security/login.cfg文中在default小增加：herald="ATTENTION:Youhaveloggedontoasecuredaccesseslogged.\n\nlogin:"檢測(cè)方法查看etc/security/login.cfg文中的配置是否按照以上要求進(jìn)行了置登陸超時(shí)間置要求內(nèi)對(duì)于具備符交界面的設(shè)備，配置時(shí)帳自動(dòng)登出操作指1、參考配置操設(shè)置登超時(shí)時(shí)間為300秒，改etc/security/.profile文，增加一行：TMOUT300；exportTMOUTTIMEOUT2、補(bǔ)充操作明檢測(cè)方法1、判定條件查看/etc/security/.profile文中的配置，是存在登超時(shí)時(shí)間的設(shè)置。如設(shè)置，建議應(yīng)照要求行配置4.10內(nèi)核調(diào)整設(shè)要求內(nèi)容防止堆棧緩沖溢出操作指南1、考配置作編輯/etc/security/limits并且改變core值為0，增加一在后面，如下：學(xué)習(xí)好手......core0core_hard=0保存件后出，行命：echo"#byNsfocusSecurityBenchmark">>/etc/profileecho"ulimit-c0">>/etc/profilechdev-lsys0-afullcore=false1、補(bǔ)充操作說明應(yīng)用序在生錯(cuò)的時(shí)會(huì)把身的敏感信息從內(nèi)存里DUMP16到件，一攻擊獲取引發(fā)。注內(nèi)核參動(dòng)需要重務(wù)器效。檢測(cè)方1、定條件能夠防core文產(chǎn)生2、檢測(cè)作查看文件：cat/etc/security/limits是否有如下兩行：core0core_hard=0查看/文：cat/etc/security/limits是否有如下行：ulimitc0加密議要求內(nèi)對(duì)于使用IP協(xié)議行遠(yuǎn)維護(hù)設(shè)備設(shè)備應(yīng)配置使用等加密協(xié)議并安全配置SSHD的設(shè)。操作指1、參考配操作把如下shell保存，運(yùn)行會(huì)修改ssh的安全設(shè)置項(xiàng)：unaliascpmvcase`find/usr/etc-typef|-cssh_config$`0)"Cannotfindssh_config";;1)f|\grepssh_config$|sed"s:/ssh_config::"`cd$DIRcpssh_configssh_config.tmpawk'/^#?*Protocol/"Protocol2";next};{printssh_config.tmpssh_configif["`grep^Protocolssh_config`"""];thenecho'Protocol>>ssh_configfirmssh_config.tmpchmodssh_config學(xué)習(xí)好手......;;*)echohavemultiplefiles.Resolve"echo"beforecontinuing.";;#可手動(dòng)輯，在*"后輸入2"，cd$DIR17cpsshd_configsshd_config.tmpawk'/^#?{print"Protocol2";};/^#?*X11Forwarding/\{yes";next/^#?*IgnoreRhosts/\{};/^#?*RhostsAuthentication/\{print"RhostsAuthenticationno";next};/^#?*RhostsRSAAuthentication/\{"RhostsRSAAuthenticationno";};/^#?*HostbasedAuthentication/\{print"HostbasedAuthenticationno";next};/^#?*PermitRootLogin/\{no";};/^#?*PermitEmptyPasswords/\{printno";next};\{};{print}'sshd_config.tmpsshd_configrmsshd_config.tmp600sshd_configProtocol2#使用版本yes#允許窗圖形傳輸使用加密IgnoreRhostsyes#完全禁止使用.rhosts文件RhostsAuthenticationno#不設(shè)置使用基于的安全驗(yàn)證RhostsRSAAuthenticationno#不設(shè)置使用算法的基于的安全驗(yàn)證HostbasedAuthentication不允許于主機(jī)白名方式認(rèn)證PermitRootLoginno#不允許登錄PermitEmptyPasswordsno不允許密碼/etc/motd#置登錄顯示的2、補(bǔ)充操作說學(xué)習(xí)好手......查看服務(wù)狀態(tài)：#ps–elf|grepssh檢測(cè)法定條件#ps–elf|grepssh是否有ssh進(jìn)程存在2、檢測(cè)操作查看服務(wù)狀態(tài)：#ps–elf|grepssh查看服務(wù)狀：18#ps–elf|greptelnet4.12FTP設(shè)置編號(hào)1：要求容禁止root登陸FTP操作指1、考配置操作Echoroot>>/etc/ftpusers檢測(cè)法登錄編2：要禁名操作指南1、考配置作默認(rèn)不支持匿名，需做專門配置。檢查方法使用做匿名錄嘗試，如能登錄，則除/etc/passwd下的ftp賬法使用ftp做匿登錄嘗試編號(hào)3：要求容修改FTPbanner信息操作南1、參考配操作cat<<EOF>>usesonly.AllactivitybeandreportedEOF檢測(cè)方法斷依據(jù)ftp登2、檢操附端服務(wù)名端應(yīng)用說關(guān)方法daytime學(xué)習(xí)好手......13/tcpRFC867白天協(xié)議#daytimestreamnowaitinternal建議關(guān)閉白天議#daytimeudpnowaitinternal37/tcp時(shí)協(xié)議#timestreamtcpnowaitinternal19echo7/tcpRFC862_回聲協(xié)議#echostreamtcpnowaitinternalRFC862_回聲議#echodgramudpnowaitinternal9/tcpRFC863廢除協(xié)議#discardstreamtcpnowaitinternal#discardnowaitinternalchargen19/tcpRFC864字符產(chǎn)生協(xié)議#chargenstreamnowaitinternal#chargenudpnowaitrootinternalftp21/tcp文件傳輸協(xié)議控制)#ftpstreamtcpnowaitroot/usr/lbin/ftpd根據(jù)情況選開放telnet23/tcp虛擬端協(xié)議#telnetstreamnowaitroot/usr/lbin/telnetdtelnetd學(xué)習(xí)好手......根據(jù)情況選擇開放sendmail25/tcp簡(jiǎn)單郵件發(fā)送協(xié)議names域名務(wù)/etc/rc.tcpip根據(jù)況選開放53/tcp域名服務(wù)/etc/rc.tcpip根據(jù)情選開放login513/tcp遠(yuǎn)程錄#loginstreamtcpnowaitroot/usr/lbin/rlogind根據(jù)情況選擇開放shell遠(yuǎn)程命令#shellstreamtcpnowaitroot/usr/lbin/remshdremshd根據(jù)情況選開放exec512/tcpremoteexecution,passwdrequiredecstreamtcpnowaitroot/usr/lbin/rexecdrexecd根據(jù)情況選擇開放ntalk518/udpnewconversation#ntalkdgramwait/usr/lbin/ntalkdntalkd建議關(guān)閉ident113/tcpauth#identstreamtcpwait/usr/lbin/identdidentd建議閉lpd515/tcp遠(yuǎn)程印緩存學(xué)習(xí)好手

rc.tcpip/sendmail

建關(guān)閉......#printerstreamtcpnowait/usr/sbin/rlpdaemon-i強(qiáng)烈建議閉tftp69/udp普通文傳輸協(xié)議nowaitinternal強(qiáng)烈建議關(guān)閉20kshell544/tcpKerberosremoteshell-kfallstreamtcpnowaitrootremshd建議關(guān)閉klogin543/tcpKerberosrlogin-kfallstreamtcpnowaitroot-K建議關(guān)閉7815/tcpX共享收服務(wù)tcpnowaitroot/usr/lbin/recservrecserv-display:0建議關(guān)閉dtspcd6112/tcp子進(jìn)控制#dtspcstreamtcpnowaitroot強(qiáng)烈建議閉registrar1712/tcp資源監(jiān)服務(wù)#registrartcpnowaitroot/etc/opt/resmon/lbin/registrar#/etc/opt/resmon/lbin/registrar根據(jù)況選擇開放1712/udp資源監(jiān)控服務(wù)#registrartcpnowaitroot/etc/opt/resmon/lbin/registrar/etc/opt/resmon/lbin/registrar學(xué)習(xí)好手......根據(jù)情況選擇開放動(dòng)態(tài)端口資源監(jiān)控服務(wù)#registrartcpnowaitroot/etc/opt/resmon/lbin/registrar#/etc/opt/resmon/lbin/registrar根據(jù)況選擇開放portmap111/tcp端口映射根據(jù)情況選擇開放161/udp簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Agent）rc.tcpip/snmpd根情況選擇開放snmp7161/tcp簡(jiǎn)網(wǎng)絡(luò)管理協(xié)議（Agent）rc.tcpip/snmpd根情況選擇開放snmp-trap162/udp簡(jiǎn)單網(wǎng)管理協(xié)議（）rc.tcpip/snmpd根情況選擇開放dtlogin177/udp啟動(dòng)圖形控制根據(jù)況選開放6000/tcpX窗口服務(wù)usr/dt/config/Xaccess根據(jù)情況選擇開放動(dòng)態(tài)端口啟動(dòng)圖形控制usr/dt/config/Xaccess根據(jù)情況選擇開放slogd系統(tǒng)日志服務(wù)/etc/rc.tcpip建議留nfs2049/tcp遠(yuǎn)程文件系統(tǒng)強(qiáng)建議關(guān)閉2049/udpNFS遠(yuǎn)程件系統(tǒng)強(qiáng)建議關(guān)閉學(xué)習(xí)好手......rpc.ttdbserver動(dòng)態(tài)口databaseserver#rpcxtcproot/usr/dt/bin/rpc.ttdbserver1000831強(qiáng)烈議關(guān)閉21/usr/dt/bin/rpc.ttdbserverrpc.cmsd動(dòng)端口程管理服務(wù)#rpcdgramudpwaitroot1000682-5rpc.cmsd強(qiáng)烈建議關(guān)閉22寫指南

技術(shù)準(zhǔn)編HP-UX操作系統(tǒng)安全配置要求及作指南xxx發(fā)布I目錄目前II1范圍1規(guī)范引用件1縮略語1安全置要求2帳號(hào)2口令3授權(quán)6遠(yuǎn)程護(hù)9補(bǔ)丁11日志12不必的服、端口14學(xué)習(xí)好手......修改信息15登陸時(shí)置154.10內(nèi)核調(diào)整置154.11刪除潛在危險(xiǎn)文件4.12FTP設(shè)置16附錄口及服務(wù)17II前言為了工程收、運(yùn)行維護(hù)、安全檢等環(huán)節(jié)，范并實(shí)安配置求，編制一系的安全配置要求及操作南明確了操作系統(tǒng)數(shù)庫應(yīng)中間件在的通用安配置求及參考操作。該系安全置要求及操作指南的結(jié)及名稱預(yù)如下：《Windows操作系統(tǒng)全配置求及操指南》《AIX操系統(tǒng)安配置要及操作南》《HP-UX操作系統(tǒng)安全配置要求及操作指南》（本規(guī)范）《操作系統(tǒng)安全配置要及操作指南》《Solaris操作系統(tǒng)安全置要求及操指南》《MSSQLserver數(shù)據(jù)庫安全置要求及操指南》《MySQL數(shù)據(jù)庫安全配置要及操作指》《Oracle數(shù)據(jù)庫安全配要求及操指》《安全配置要及操作指南》《IIS安全配置要求及作指》《Tomcat安全配置要及操作指南》《WebLogic安配要求及操作指南》11范圍適用于HP-UX操系統(tǒng)的備。本范明確了安全配的基本要求，適用于所有的安全級(jí)可為編制設(shè)備入網(wǎng)試安全收安全檢查規(guī)范等文檔的參考。由于版不同，配置操作有所不同，本規(guī)范以HP-UX11v2\11v3為例，給出考配置操作。2規(guī)范引用件GB/T22239-2008《信息全技術(shù)信息統(tǒng)安全等保護(hù)基本要求》YD/T《固定通信安全防護(hù)求》YD/T1734-2008《動(dòng)通信網(wǎng)安防護(hù)要求》YD/T1736-2008《互聯(lián)網(wǎng)安全防護(hù)求》YD/T1738-2008《值業(yè)網(wǎng)消網(wǎng)安防護(hù)求》YD/T1740-2008增值務(wù)網(wǎng)智網(wǎng)安防護(hù)求》學(xué)習(xí)好手......YD/T1758-2008《非核心產(chǎn)單元安全防護(hù)要求》YD/T1742-2008《接入安全防要求》YD/T1744-2008《送網(wǎng)安防護(hù)要》YD/T1746-2008《IP承載安全防護(hù)要求》YD/T1748-2008《令網(wǎng)安防護(hù)要》YD/T1750-2008《步網(wǎng)安防護(hù)要》YD/T1752-2008《撐網(wǎng)安防護(hù)要》YD/T1756-2008《電網(wǎng)和互聯(lián)網(wǎng)管安全等級(jí)保護(hù)要求》3縮語FTPFileTransfer文傳輸協(xié)議User用戶數(shù)包協(xié)議TransmissionControlProtocol傳輸控制協(xié)議24安配置求帳號(hào)編號(hào)：要求容戶分不同號(hào)，不同戶間賬號(hào)避免用號(hào)和間通信使的賬享。操作南操作為戶創(chuàng)建號(hào)：#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#其中為設(shè)置的權(quán)，可根據(jù)實(shí)情況設(shè)置相應(yīng)權(quán)限directory是要更改權(quán)限的錄使用該命令為不同的用戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說檢測(cè)方法、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作；3、補(bǔ)充說編號(hào)：要求容與運(yùn)行、等工無的賬號(hào)。操作南操作刪除：#userdel鎖定：學(xué)習(xí)好手......修改/etc/shadow文件用戶名加將/etc/passwd文中的域設(shè)置成/bin/noshell-lusername只有具備超級(jí)用戶權(quán)限的使用者可使用，-lusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失，登錄需輸入新密碼，修改能保留原密碼。2、充操作說明需要鎖的用戶：lp,nuucp,hpdb,www,demon。注無的號(hào)要指測(cè)試戶共帳號(hào)、長(zhǎng)不賬號(hào)（半年以未）等檢方法、判定件被除鎖的號(hào)無法登成；2、檢操作3使用刪定的與作無賬錄系統(tǒng)；3、補(bǔ)明需要的用。編：3要求內(nèi)根據(jù)系統(tǒng)要求及的業(yè)務(wù)求建多帳組用戶賬配到相應(yīng)帳組。操作指1、考配操作創(chuàng)建帳組：#groupadd–ggroupname創(chuàng)一個(gè)組，為其設(shè)置號(hào)，若不設(shè)，系統(tǒng)會(huì)自動(dòng)為該組分配一個(gè)號(hào)；#usermodgroupusername#將用戶分配到組中。查詢被配到的組的#idusername可以據(jù)實(shí)際需求用如命令進(jìn)行設(shè)。2、補(bǔ)充操說明可以用選項(xiàng)定新組的。到499之間的值留給root、這樣的系統(tǒng)賬號(hào)，此最好指定該大于如新組或者已經(jīng)存在則返回誤信。當(dāng)group_name字段長(zhǎng)度大八個(gè)字，命令會(huì)執(zhí)行失；當(dāng)用戶望以其用戶組成員身份出時(shí)，需使用命令進(jìn)行更改如#newgrpsys即把當(dāng)用戶以組身份運(yùn)行；檢測(cè)方法1、定條件可以查看到用戶賬號(hào)分配相應(yīng)的帳戶組中；或都通過命令檢查賬號(hào)是屬于應(yīng)有的組：#idusername2、測(cè)作查看組文件：cat/etc/group3、充說明文件的格式明：學(xué)習(xí)好手......group_name::GID:user_list口令編號(hào)：要求容令認(rèn)技術(shù)備，長(zhǎng)度少位包括數(shù)字、小母、大字母特殊號(hào)中少類操作指1參考配置操ch_rc–a-pMIN_PASSWORD_LENGTH=8/etc/default/securitych_rc–a-pPASSWORD_HISTORY_DEPTH=10\/etc/default/securitych_rc–a–pPASSWORD_MIN_UPPER_CASE_CHARS=1\/etc/default/security4ch_rc–a\/etc/default/security–a–p\/etc/default/security–a–pPASSWORD_MIN_LOWER_CASE_CHARS=1/etc/default/securitymodprdefnullpw=NOrstrpw=YES#設(shè)最小用戶碼長(zhǎng)度為8位表示至少包括大寫母PASSWORD_MIN_DIGIT_CHARS=1#表示至少包括個(gè)字PASSWORD_MIN_SPECIAL_CHARS=1表示少包括個(gè)殊字符（殊符可以控制符及諸星和斜杠類符）#表示少包括個(gè)小寫母當(dāng)用帳給用戶設(shè)口令的時(shí)候不受任何限，只要不超長(zhǎng)。2、補(bǔ)充操作說明不同的版本可能會(huì)有異，請(qǐng)閱當(dāng)前統(tǒng)的pagesecurity(5)詳細(xì)說明檢測(cè)方法1、判定條件不符合密強(qiáng)度的時(shí)候，系統(tǒng)對(duì)令強(qiáng)度要求進(jìn)行示；符合密碼度的時(shí)候，可以成功置；2、檢測(cè)操作1、檢查口令強(qiáng)度配置項(xiàng)是否可進(jìn)行如下配置：配置口令最小長(zhǎng)度；將口令配為強(qiáng)口令。2、創(chuàng)建一個(gè)普通賬號(hào)為用戶配與用戶名相同的口、只包含字符或數(shù)的簡(jiǎn)單口令以及長(zhǎng)度于的口，查看統(tǒng)是對(duì)學(xué)習(xí)好手......口令強(qiáng)度要求進(jìn)行提；輸入帶有特殊符號(hào)的復(fù)雜口令、普通雜口令，查看系統(tǒng)是否以成功設(shè)置。編號(hào)：