欢迎来到天天文库
浏览记录
ID:29081869
大小:63.50 KB
页数:8页
时间:2018-12-16
《服务器系统安全加固.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、Linux操作系统合理配置应用帐号或用户自建帐号权限;删除系统中多余的自建帐号;修改帐号口令,确保系统帐号口令长度和复杂度满足安全要求;禁用或删除非root的超级用户;禁止系统伪帐户登录;限制能够su为root的用户在不影响业务系统正常运行情况下,停止或禁用与承载业务无关的服务;屏蔽与承载业务无关的网络端口配置系统重要文件的访问控制策略,严格限制访问权限(如读、写、执行),避免被普通修改和删除;设置合理的初始文件权限关闭多余的远程管理方式;使用安全的远程管理方式;设置访问控制策略限制能够访问本机的用户或IP地址;禁止root用户远程登陆;在主机信任关系配置文件中,删除远程信任主机;禁止root
2、用户远程登陆;屏蔽登录banner信息开启口令复杂性要求,设置口令长度>8位;开启口令复杂性要求设置帐户锁定登录失败锁定次数、锁定时间;修改帐户TMOUT值,设置自动注销时间配置系统日志策略配置文件,使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计;对审计产生的数据分配合理的存储空间和存储时间;设置合适的日志配置文件的访问控制避免被普通用户修改和删除关闭存在漏洞的与承载业务无关的服务;安装系统安全补丁;通过访问控制限制对漏洞程序的访问Unix系统序号检查项评价指标标准分值评分标准实际得分扣分问题记录1帐号管理应对操作系统用户、用户组进行权限设置,应用系统用户和系统普通用户权
3、限的定义遵循最小权限原则,删除系统多余用户,不能出现空口令或弱口令7l未合理配置应用帐号或用户自建帐号权限(扣1分)l未删除系统中多余的自建帐号(扣1分)l未修改帐号口令,系统帐号口令长度和复杂度未满足安全要求,存在弱口令(此项不得分)l未禁用或删除root之外的超级用户(扣1分)l未禁止系统伪帐户登录(扣1分)l未限制能够su为root的用户(扣1分)6未限制能够su为root的用户2网络服务应1.5l未停止或禁用与承载业务无关的服务(扣1分)1.5关闭系统中不安全的服务,确保操作系统只开启承载业务所必需的网络服务和网络端口l未屏蔽承载业务无关的网络端口(扣0.5分)3数据访问控制应只授予必
4、要的用户必需的访问权限2l未配置系统重要文件的访问控制策略,严格限制访问权限(如读、写、执行),避免被普通修改和删除(扣1分)l未设置合理的初始文件权限(扣1分)24网络访问控制应限制能够访问本机的用户或IP地址5.5l未关闭多余的远程管理方式(扣1分)l未使用安全的远程管理方式(扣1分)l未设置访问控制策略限制能够访问本机的用户或IP地址(扣1分)l未禁止root用户远程登陆(扣1分)l未在信任关系配置文件中,限定远程信任主机(扣1分)l未屏蔽登录banner信息(扣0.5分)3.51.未禁止root用户远程登陆(扣1分)2.未在信任关系配置文件中,限定远程信任主机5口令策略应对操作系统设置
5、口令策略,设置口令复杂性要求,为所有用户设置强壮的口令1l未设开启口令复杂性要求,设置口令长度,重要系统的用户口令长度大于8位;一般系统的用户口令长度大于6位(扣0.5分)1l未开启口令复杂性要求(扣0.5分)6用户鉴别应配置操作系统用户鉴别失败阀值及达到阀值所采取的措施,设置操作系统用户交互登录失败、管理控制台自锁,设置系统超时自动注销功能3l未设置帐户锁定登录失败锁定次数、锁定时间(扣2分)l未修改帐户TMOUT值,设置自动注销时间(扣1分)37审计策略应配置操作系统的日志功能,使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计,确保系统在发生安全事件时有日志可供分析1.5l未
6、配置系统日志策略配置文件,使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计(扣0.5分)l未对审计产生的数据分配合理的存储空间和存储时间(扣0.5分)l未设置合适的日志配置文件的访问控制避免被普通修改和删除(扣0.5分)1未对审计产生的数据分配合理的存储空间和存储时间8漏洞补丁应安装系统安全补丁程序,对扫描或手工检查发现的系统漏洞进行修补3.5l未关闭存在漏洞的与承载业务无关的服务(扣0.5分)l未安装系统安全补丁(扣2分)l未通过访问控制限制对漏洞程序的访问(扣1分)3.5Apache禁止非授权用户和组对Apache启动文件、配置文件、根目录的写和执行权限;使用.htac
7、cess设置敏感目录或文件的访问权限;编辑Apache配置文件,限制域、IP地址或者IP网段对敏感目录访问应用部网络部删除Apache不必要服务组件;删除不需要的模块开启Apahce的日志记录功能,并设置适合的日志文件等级与格式;修改Apache日志的存放路径保证日志存放的地点的安全可靠;修改日志访问权限,设置为只有属主和系统管理员才能访问启用Apache的连接超时中断功能,并设置恰当的超时时间安
此文档下载收益归作者所有