系统安全加固手册

《系统安全加固手册》由会员分享，可在线阅读，更多相关《系统安全加固手册（32页珍藏版）》请在装配图网上搜索。

1、系统安全加固手册1帐户安全配置要求1.1创建/etc/shadow影子口令文件配置项名称设置影子口令模式检查方法执行：#more /etc/shadow查看是否存在该文件操作步骤1、执行备份：#cp - p /etc/passwd /etc/passwd_bak2、切换到影子口令模式：#pwc onv回退操作执行：#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户治理失效1.2建立多帐户组，将用户账号分配到相应的帐户组配置项名称建立多帐户组，将用户账号分配到相应的帐户组检查方法1、执行：#more /et

2、c/group#more /etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份：#cp - p /etc/group /etc/group_bak2、修改用户所属组：# usermod - g group username回退操作执行：#cp /etc/group_bak /etc/group风险说明修改用户所属组可能导致某些应用无法正常运行1.3删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检査方法1、执行：#more /etc/passwd查看是否存在以下可能无用的帐户：hpsmh、named、uucp、nuucp、adm

3、、daemon、bin、Ip2、与治理员确认需要锁定的帐户操作步骤1、执行备份：#cp - p /etc/passwd /etc/passwd_bak2、锁定无用帐户：#passwd -l username回退操作执行：#cp /etc/passwd_bak /etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行1.4删除可能无用的用户组配置项名称删除可能无用的用户组检査方法1、执行：#more /etc/group查看是否存在以卜可能无用的用户组：lp nu ucp no group2、与治理员确认需要删除的用户组操作步骤1、执行备份：#cp - p /etc/group /

4、etc/group_bak2、删除无用的用户组：#groupdel group name回退操作执行：#cp /etc/group_bak /etc/group风险说明删除某些组可能导致某些应用无法正常运行1.5检查是否存在空密码的帐户配置项名称检查是否存在空密码的帐户检査方法执行下列命令，检查是否存在空密码的帐户logins - p应无回结果操作步骤1、执行备份：#cp - p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd - l user name

5、回退操作执行：#cp - p /etc/passwd_bak /etc/passwd#cp -p /etc/shadow_bak /etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行1.6设置令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检查方法1、执行下列命令，检查是否存在空密码的帐户#logins - p应无返回结果2、执行:#more /etc/default/security检查是否满足以下各项复杂度参数：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_C

6、HARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份：#cp 一 p /etc/default/security /etc/default/security_bak#cp - p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/security修改以下各项复杂度参数：MIN_PASSW0RD_LENGTH=6PASSW0RD_MIN_UPPER_CASE_CHARS=1PASSW0RD_MIN_L0WER

7、_CASE_CHARS=1PASSW0RD_MIN_DIGIT_CHARS=1PASSW0RD_MIN_SPECIAL_CHARS=1回退操作执行：#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能导致非root用户修改自己的密码时多次不成功1.7设置帐户令生存周期配置项名称设置帐户口令生存周期检査方法执行：#more /etc/default/security查看是否存在以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步

8、骤1、执行备份：#cp 一 p /etc/default/security /etc/default/security_bak#cp - p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行：#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能在密

9、码过期后阻碍正常使用及爱护1.8设定密码历史，不能重复使用最近5次（含5次）内已使用的口令配置项名称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检査方法执行：#more /etc/default/security查看是否存在以下参数：PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份：#cp 一 p /etc/default/security /etc/default/security_bak#cp - p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/

10、security修改以下参数：PASSWORD_HISTORY_DEPTH=5回退操作执行：#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明低风险1.9限制root用户远程登录配置项名称root用户远稈登录限制检査方法执行：#more /etc/securetty检查是否有下列行：Con sole执行：#more /opt/ssh/etc/sshd_c onfig检查是否有 PermitRootLogin no操作步骤1、执行备份：#cp - p /etc/securet

11、ty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_c onfig /opt/ssh/etc/sshd_c on fig_bak2、新建一个一般用户并设置高强度密码：#useradd username#passwd username3、禁止root用户远程登录系统：#vi /etc/securetty去掉con sole前面的注释，储存退出#vi /opt/ssh/etc/sshd_c onfig将 PermitRootLogin 后的 yes 改为 no回退操作执行：#cp /etc/securetty_bak /etc/securetty#cp -

12、p /opt/ssh/etc/sshd_c on fig_bak /opt/ssh/etc/sshd_c onfig风险说明严峻改变爱护人员操作适应，必须新建一个能够执行交互式登录的一般用户 并能够通过su提升权限，可能带来新的威逼1.10 检查passwd、group文件权限设置配置项名称检杳passwd、group文件权限设置检査方法执行：#ls - l /etc/passwd /etc/group操作步骤1、执行备份：#cp - p /etc/passwd /etc/passwd_bak#cp - p /etc/group /etc/group_bak2、修改文件权限：#chmod 64

13、4 /etc/passwd#chmod 644 /etc/group回退执行：#cp /etc/passwd_bak /etc/passwd#cp /etc/group_bak /etc/group风险说明权限设置不当可能导致无法执行用户治理，并可能造成某些应用运行专门1.11 系统umask设置配置项名称系统umask设置检査方法执行：#more /etc/profile 检杳系统umask值操作步骤1、执行备份：#cp -p /etc/profile /etc/profile_bak2、修改umask设置：#vi /etc/profile将umask值修改为027,储存退出回退操作执行：#

14、cp /etc/profile_bak /etc/profile风险说明umask设置不当可能导致某些应用无法正确自动创建名目或文件，从而运行 专门2访问、认证安全配置要求2.1远程登录用消telnet采纳ssh配置项名称远稈登录用消telnet采纳ssh检査方法查看SSH、telnet服务状态：#ps - elf | grep ssh#ps - elf | grep telnetSSH服务状态查看结果为：online telnet服务状态查看结果为：disabled操作步骤1、备份#cp - p /etc/inetd.conf /etc/inetd.conf_bak2、修 改/etc/i n

15、etd.c onf 文件，将 telnet 行注释掉#telnet stream tcp no wait root /usr/lb in/teln etd teln etd3、重启服务# inetd -c4、安装 ssh 软件包，通过#/opt/ssh/sbin/sshd start来启动 SSH。回退操作执行：#cp - p /etc/inetd.conf_bak /etc/inetd.conf启动tel net#/usr/lb in/teln etd start停止SSH#/opt/ssh/sb in/sshd stop风险说明阻碍爱护人员操作适应，需要重启服务2.2限制系统帐户FTP登录

16、配置项名称限制 root、daemon、bin、sys、adm、Ip、uucp、nuucp、nobody、hpdb、 useradm等系统帐户FTP登录检査方法执行：#cat /etc/ftpd/ftpusers查看具体的禁止FTP登陆系统的用户名单操作步骤1、执行备份：#cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak2、禁止用户FTP登录系统：#vi /etc/ftpd/ftpusers每一个帐户一行，添加以下帐户禁止FTP登录root、daemon、bin、sys、adm、Ip、uucp、nuucp、nobody、hpdb、useradm回退

17、操作执行：#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers风险说明禁止某些帐户登录FTP可能导致某些应用无法正常运行2.3配置承诺专访问inetd服务的IP范畴或主机名配置项名称配置承诺访问inetd服务的IP范畴或主机名检査方法执行：#cat /var/adm/in etd.sec查看有无类似 log in de ny 192.54.24.5 cory.berkeley.edu testlan 配置操作步骤1、执行备份：#cp -p /var/adm/in etd.sec /var/adm/in etd.sec_bak2、添加承诺访问inetd服务的

18、IP范畴或主机名：#vi /var/adm/i netd.sec按照如下格式添加IP范畴或主机名service n ame allow | deny hostaddrs | host names |n etaddrs | netn ames 回退操作执行：#cp /var/adm/in etd.sec_bak /var/adm/in etd.sec风险说明需确认IP信任范畴，设置不当会导致网络服务通信专门2.4 禁止除root外帐户使用at/cron配置项名称禁止除root外帐户使用at/cron检査方法执行：# cd /var/adm/cr on#cat cron. allow#cat at

19、.allow查看是否存在root；执行：#cat cron.deny#cat at.de ny检查是否存在cron .de ny和at.de ny文件，若存在，应删除。操作步骤1、执行备份# cd /var/adm/cr on#cp -p cron.deny cron.den y_bak#cp -p at.de ny at.de ny_bak#cp -p cron. allow cron. allow_bak#cp -p at.allow at.allow _bak2、添力口 root 到 cron.allow 和 at.allow，并删除 cron.deny 和 at.deny。#cd /v

20、ar/adm/cr on#rm -f cron.deny at.de ny#echo root cr on .allow#echo root at.allow#chow n root:sys cro n. allow at.allow#chmod 400 cron .allow at.allow回退操作# cd /var/adm/cr on#cp -p cron.den y_bak cron.deny#cp -p at.de ny_bak at.de ny#cp -p cron. allow_bak cron. allow#cp -p at.allow_bak at.allow风险说明除roo

21、t外帐户不能使用at/cron,可能阻碍某些应用。2.5设定连续认证失败次数超过6次（不含6次）锁定该账号配置项名称配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检查方法执行：#cat /etc/default/security检杳是否存在AUTH MAXTRIES=6操作步骤1、执行备份#cp -p /etc/default/security /etc/default/security_bak2、执行下列命令，设置最大登录认证重试次数锁定帐户为6次echo AUTH_MAXTRIES=6 /etc/default/security回退操作#cp -p /etc/def

22、ault/security_bak /etc/default/security风险说明root账号也在锁定的限制范畴内，一旦root被锁定，就需要光盘引导，因此 该配置要慎用。3文件系统安全配置要求3.1重要名目和文件的权限设置配置项名称重要名目和文件的权限设置检查方法执行以下命令检查名目和文件的权限设置情形：#ls - l /etc/#ls - l /tmp/#ls - l /etc/default/#ls -l /etc/rc.c on fig.d/操作步骤1、执行备份：使用cp命令备份需要修改权限的文件或名目2、权限修改：使用chmod命令修改文件或名目权限回退操作使用cp命令复原被修改

23、权限的文件或名目或使用chmod命令复原权限风险说明修改某些重要的配置文件的权限可能导致系统功能或应用专门3.2检查没有所有者的文件或名目配置项名称检查没有所有者的文件或名目检査方法执行：#find / ( -no user -o -no group ) -exec Is -al ;咨询治理员找到的文件或名目是否应用所需操作步骤1、执行备份：使用cp命令备份没有所有者的文件或名目2、使用chmod命令添加属主或删除没有所有者的文件或名目：#rm - rf file name回退操作使用cp命令复原被删除的没有所有者的文件或名目风险说明执行检查会大量消耗系统资源，需要确认无所有者的文件的具体用途

24、4网络服务安全配置要求4.1禁止NIS/NIS+服务以守护方式运行配置项名称禁止NIS/NIS+服务以守护方式运行Network In formation System检査方法执行：#more /etc/rc.c on fig.d/namesvrs 查看该文件中是否存在以下参数：NIS_MASTER_SERVER=ONIS_SLAVE_SERVER=ONIS_CLIENT=ONISPLUS_SERVER=ONISPLUS_CLIENT=O操作步骤1、执行备份：#cp -p /etc/rc.c on fig.d/ namesvrs /etc/rc.c on fig.d/namesvrs_bak2

25、、编辑/etc/rc.co nfig.d/ namesvrs 文件，设置参数：#ch rc -a -p NIS MASTER SERVER=O -p NIS SLAVE SERVER=O -pNIS_CLIENT=O -p NISPLUS_SERVER=O -p NISPLUS_CLIENT=O /etc/rc.c on fig.d/namesvrs回退操作#cp -p /etc/rc.config.d/namesvrs_bak /etc/rc.config.d/namesvrs风险说明NIS/NIS+服务无法自动启动4.2禁用打印服务以守护方式运行配置项名称禁止打印服务以守护方式运行检査方法

26、执行：#more /etc/rc.c on fig.d/tps查看该文件中是否存在XPRINTSERVERS=“#more /etc/rc.c on fig.d/lp查看该文件中是否存在LP=0#more /etc/rc.c on fig.d/pd查看该文件中是否存在PD_CLIENT=O操作步骤1、执行备份：#cp -p /etc/rc.c on fig.d/tps /etc/rc.c on fig.d/tps_bak#cp -p /etc/rc.c on fig.d/lp /etc/rc.c on fig.d/lp_bak#cp -p /etc/rc.c on fig.d/pd /etc/

27、rc.c on fig.d/pd_bak2、设置参数：#ch_rc -a -p XPRINTSERVERS=” /etc/rc.c on fig.d/tps#ch_rc -a -p LP=0 /etc/rc.c on fig.d/lp#ch_rc -a -p PD_CLIENT=0 /etc/rc.co nfig.d/pd回退操作#cp -p /etc/rc.c on fig.d/ namesvrs_bak /etc/rc.c on fig.d/ namesvrs风险说明打印服务无法自动启动4.3禁用SENDMAIL服务以守护方式运行配置项名称禁止SENDMAIL服务以守护方式运行检查方法执行

28、：#more /etc/rc.c on fig.d/mailservs查看该文件中是否存在SENDMAIL_SERVER=O操作步骤1、执行备份：#cp -p /etc/rc.c on fig.d/mailservs /etc/rc.con fig.d/mailservs_bak#cp -p /var/spool/cro n/cro ntabs/root /var/spool/cron/cr on tabs/root_bak2、设置参数：#ch_rc -a -p SENDMAIL_SERVER=0 /etc/rc.c on fig.d/mailservs#cd /var/spool/cro n

29、/cron tabs#cron tab -l root.tmp#echo 0 * * * * /usr/lib/se ndmail -q root.tmp#cron tab root.tmp#rm -f root.tmp回退操作#cp -p /etc/rc.c on fig.d/mailservs /etc/rc.c on fig.d/mailservs_bak#cp -p /var/spool/cro n/cro ntabs/root /var/spool/cron/cr on tabs/root_bak风险说明导致无法收发邮件，需确认服务器用途4.4禁用不必要的标准启动服务配置项名称禁用不

30、必要的标准启动服务检查方法检查SNAplus2服务，执行：#more /etc/rc.c on fig.d/s naplus2查看该文件中是否存在 START_SNAPLUS=O、START_SNANODE=0、START_SNAINETD=O检查多播路由服务，执行：#more /etc/rc.c on fig.d/netdaem ons查看该文件中是否存在 MROUTED=0、RWHOD=0、DDFA=0、START_RBOOTD=0检查DFS分布式文件系统服务，执行：#more /etc/rc.c on fig.d/dfs查看该文件中是否存在 DCE_KRPC=0、DFS_CORE=O、D

31、FS_CLIENT=0、 DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、 BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、 DISKCACHEFORDFS=0检查逆地址解析服务，执行：#more /etc/rc.c on fig.d/netc onf查看该文件中是否存在RARPD=0、RDPD=0检查响应PTY （伪终端）要求守护进程，执行：#more /etc/rc.c on fig.d/ptydaem on查看该文件中是否存在PTYDAEMON_START=0检查响应VT （通过LAN登录其

32、他系统）要求守护进程，执行：#more /etc/rc.c on fig.d/vt查看该文件中是否存在VTDAEMON_START=0检查域名守护进程服务，执行：#more /etc/rc.c on fig.d/namesvrs查看该文件中是否存在NAMED=0检查SNMP代理进程服务，执行：#more /etc/rc.c on fig.d/peer.s nmpd查看该文件中是否存在PEER_SNMPD_START=0检查授权治理守护进程服务，执行：#more /etc/rc.c on fig.d/i4lmd查看该文件中是否存在START_I4LMD=0检查SNAplus2服务，执行：#mor

33、e /etc/rc.c on fig.d/s naplus2查看该文件中是否存在 START_SNAPLUS=O、START_SNANODE=0、 START_SNAINETD=O检查X字体服务，执行：#more /etc/rc.c on fig.d/xfs查看该文件中是否存在RUN_X_FONT_SERVER=0检查语音服务，执行：#more /etc/rc.c on fig.d/audio查看该文件中是否存在AUDIO_SERVER=0检查 SLSD (Single-Logical-Screen-Daemon)服务，执行：#more /etc/rc.c on fig.d/slsd查看该文件

34、中是否存在SLSD_DAEMON=0检查SAMBA服务，执行：#more /etc/rc.c on fig.d/samba查看该文件中是否存在RUN_SAMBA=0检查CIFS客户端服务，执行：#more /etc/rc.c on fig.d/cifsclie nt查看该文件中是否存在RUN_CIFSCLIENT=0检查NFS启动服务，执行：#more /etc/rc.c on fig.d/nfsconf查看该文件中是否存在NFS_SERVER=O、NFS_CLIENT=0检查 Netscape FastTrack Server服务，执行：#more /etc/rc.c on fig.d/ns

35、-ftrack查看该文件中是否存在NS_FTRACK=0检查APACHE服务，执行：#more /etc/rc.c on fig.d/apachec onf查看该文件中是否存在APACHE_START=O检查基于RPC的服务，执行：#ls /sbin/rc2.d/.NOS400nfs.core查看是否存在该文件1、执行备份：使用cp命令备份需要修改的文件2、设置参数：执行下列命令，禁用SNAplus2服务#ch_rc -a -p START_SNAPLUS=O -p START_SNANODE=0 -p START_SNAINETD=O /etc/rc.c on fig.d/s naplus2

36、执行下列命令，禁用多播路由服务#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -p START_RBOOTD=O /etc/rc.c on fig.d/netdaem ons操作步骤执行下列命令，禁用DFS分布式文件系统服务#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=O -p DFS_SERVER=0 -p DFS_EPISODE=O -p EPIINIT=0 -p DFSEXPORT=O -p BOSSERVER=O -p DFSBIND=0 -p FXD=0 -p MEMCACHE=O -p

37、 DFSGWD=0 -p DISKCACHEFORDFS=O /etc/rc.co nfig.d/dfs执行下列命令，禁用逆地址解析服务#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.co nfig.d/netco nf执行下列命令，禁用响应PTY （伪终端）要求守护进程#ch_rc -a -p PTYDAEMON_START=O /etc/rc.co nfig.d/ptydaem on执行下列命令，禁用响应VT （通过LAN登录其他系统）要求守护进程#ch_rc -a -p VTDAEMON_START=O /etc/rc.c on fig.d/vt执行下列命令

38、，禁用域名守护进程#ch_rc -a -p NAMED=O /etc/rc.c on fig.d/namesvrs执行下列命令，禁用SNMP代理进程#ch_rc -a -p PEER_SNMPD_START=O /etc/rc.co nfig.d/pee.s nmpd执行下列命令，禁用授权治理守护进程#ch_rc -a -p START_I4LMD=0 /etc/rc.co nfig.d/i4lmd执行下列命令，禁用X字体服务#ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.c on fig.d/xfs执行下列命令，禁用语音服务#ch_rc -a -p AUDI

39、O_SERVER=0 /etc/rc.c on fig.d/audio执彳丁下列命令，禁用 SLSD (Single-Logical-Screen-Daemon)服务#ch_rc -a -p SLSD_DAEMON=0 /etc/rc.co nfig.d/slsd执行下列命令，禁用SAMBA服务#ch_rc -a -p RUN_SAMBA=0 /etc/rc.c on fig.d/samba执行下列命令，禁用CIFS客户端服务#ch_rc -a -p RUN_CIFSCLIENT=O /etc/rc.co nfig.d/cifsclie nt执行下列命令，禁用NFS服务#ch_rc -a -p

40、 NFS_SERVER=0 -p NFS_CLIENT=0 /etc/rc.co nfig.d/nfsconf 执彳丁下列命令，禁用Netscape FastTrack Server服务#ch_rc -a -p NS_FTRACK=0 /etc/rc.c on fig.d/ns-ftrack执行下列命令，禁用APACHE服务#ch_rc -a -p APACHE_START=O /etc/rc.co nfig.d/apacheco nf执行下列命令，禁用基于RPC的服务#mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core回退操作

41、使用cp命令复原被修改的文件风险说明禁用服务会阻碍某些应用运行4.5禁用不必要的inetd服务配置项名称inetd中差不多网络服务配置检査方法执行：#more /etc/i netd.c onf检查差不多的网络服务的开启或禁止情形操作步骤1、执行备份：#cp - p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要服务：#vi /etc/i netd.conf在非必要服务前面加#注释3、重新启动inetd：#/sbin/i nit.d/i netd stop|start回退操作执行：#cp /etc/ in etd.c on f_bak /etc/ in e

42、td.c onf#/sbin/i nit.d/i netd stop|start风险说明关闭某些网络服务可能导致应用显现问题，重启inetd服务可能导致业务中断5IP协议安全配置要求5.1关闭IP转发配置项名称关闭IP转发检查方法执行：#ndd -get /dev/ip ip_forward ing查看是否关闭IP转发，返回值应为0操作步骤1、执行备份记录需要修改的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_f

43、orward ing 0建立启动项，使参数重启后永久生效：#cd /etc/rc.c on fig.d#cat vvEOF n ddc onf# Dont ip forwardi ngTRANSPORT_NAME0=ipNDD_NAME0= ip_forwardi ngNDD_VALUE0=0EOF回退操作1、使用ndd -set复原修改前的参数2、执行:#cp -p /etc/rc.c on fig.d/ nddcon f_bak /etc/rc.c on fig.d/nddconf风险说明可能导致路由错误，无法通信。5.2关闭转发源路由包配置项名称关闭转发源路由包检査方法执行：#ndd -

44、get /dev/ip ip_forward_src_routed查看是否关闭转发源路由包，返回值应为0操作步骤1、执行备份记录需要修改的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_forward_src_routed 0建立启动项，使参数重启后永久生效：#cd /etc/rc.c on fig.d#cat vvEOF n ddc onf# Drop source-routed packetsTRANSPORT

45、_NAME1=ipNDD_NAME1=ip_forward_src_routedNDD_VALUE1=0EOF回退操作1、使用ndd -set复原修改前的参数2、执行:#cp -p /etc/rc.c on fig.d/ nddcon f_bak /etc/rc.c on fig.d/nddconf风险说明可能导致路由错误，无法通信。5.3增大最大半连接数防范SYN攻击配置项名称增人取人半连接数检査方法执行：# ndd -get /dev/tcp tcp_s yn _rcvd_max查看返回值应最小为4096操作步骤1、执行备份记录需要修改的可调参数值#cp -p /etc/rc.config

46、.d/nddconf /etc/rc.config.d/nddconf_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/tcp tcp_s yn _rcvd_max 4096建立启动项，使参数重启后永久生效：#cd /etc/rc.c on fig.d#cat vvEOF n ddc onf# In crease size of half-ope n conn ecti on queueTRANSPORT_NAME2=tcpNDD_NAME2=tcp_syn_rcvd_maxNDD_VALUE2=4096EOF回退操作1、使用ndd -set复原修

47、改前的参数2、执行:#cp -p /etc/rc.c on fig.d/ nddcon f_bak /etc/rc.c on fig.d/nddconf风险说明可能阻碍网络应用5.4关闭ICMP重定向配置项名称关闭ICMP重定向检査方法执行：#ndd -get /dev/ip ip_se nd_redirects查看是否关闭ICMP重定向，返回值应为0操作步骤1、执行备份记录需要修改的可调参数值#cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /d

48、ev/ip ip_se nd_redirects 0建立启动项，使参数重启后永久生效：#cd /etc/rc.c on fig.d#cat vvEOF n ddc onf# Dont send ip redirectsTRANSPORT_NAME3=ipNDD_NAME3= ip_se nd_redirectsNDD_VALUE3=0EOF回退操作1、使用ndd -set复原修改前的参数2、执行:#cp -p /etc/rc.c on fig.d/ nddcon f_bak /etc/rc.c on fig.d/nddconf风险说明可能导致路由错误，无法通信。5.5关闭响应echo广播配置项

49、名称关闭响应echo广播检査方法执行：#ndd -get /dev/ip ip_forward_directed_broadcasts#ndd -get /dev/ip ip_resp on d_to_echo_broadcast查看是否关闭IP转发，返回值应为0操作步骤1、执行备份记录需要修改的可调参数值#cp -p /etc/rc.c on fig.d/ nddc onf /etc/rc.c on fig.d/nddc on f_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_forward_directed_broadcasts

50、0#ndd -set /dev/ip ip_resp on d_to_echo_broadcast 0建立启动项，使参数重启后永久生效：#cd /etc/rc.c on fig.d#cat vvEOF n ddc onf# Dont forward directed broadcastsTRANSPORT_NAME4=ipNDD_NAME4=ip_forward_directed_broadcasts NDD_VALUE4=0# Don t resp ond to broadcast echo requestsTRANSPORT_NAME5=ipNDD_NAME5=ip_resp on d_t

51、o_echo_broadcastNDD_VALUE5=0EOF#chow n root:sys n ddc onf#chmod go-w,ug-s n ddc onf回退操作1、使用ndd -set复原修改前的参数2、执行:#cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf风险说明需确认服务器用途5.6关闭响应地址掩码和时刻戳广播防止探测配置项名称关闭响应地址掩码和时刻戳广播防止探测检查方法执行：#ndd -get /dev/ip ip_resp on d_to_address_mask_broadcast#ndd -get

52、 /dev/ip ip_resp on d_to_timestamp_broadcast返回值应为0操作步骤1、执行备份记录需要修改的可调参数值#cp -p /etc/rc.c on fig.d/ nddconf /etc/rc.c on fig.d/nddcon f_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：#ndd -set /dev/ip ip_resp on d_to_address_mask_broadcast 0#ndd -set /dev/ip ip_resp on d_to_timestamp_broadcast 0建立启动项，使参数重启后永久生效：#cd

53、 /etc/rc.c on fig.d#cat vvEOF n ddc onf# Dont respond to ICMP address mask requestsTRANSPORT_NAME6=ipNDD_NAME6=ip_respo nd_to_address_mask_broadcast NDD_VALUE6=0# Dont respond to broadcast ICMP tstamp reqsTRANSPORT_NAME7=ipNDD_NAME7=ip_resp on d_to_timestamp_broadcastNDD_VALUE7=0EOF#chow n root:sys

54、n ddc onf#chmod go-w,ug-s n ddc onf回退操作1、使用ndd -set复原修改前的参数2、执行:#cp -p /etc/rc.c on fig.d/ nddcon f_bak /etc/rc.c on fig.d/nddconf风险说明可能阻碍网络通信6日志安全配置要求6.1 非日志服务器禁止接收syslog配置项名称非日志服务器禁止接收syslog检査方法执行：#cat /etc/rc.c on fig.d/syslogd检杳是否存在SYSLOGD OPTS=-N操作步骤1、执行备份#cp -p /etc/rc.c on fig.d/syslogd /etc/

55、rc.c on fig.d/syslogd_bak2、执行下列命令，添加SYSLOGD_OPTS=-N#ch_rc -a -p SYSLOGD_OPTS=-N /etc/rc.c on fig.d/syslogd3、重启 syslogd#/sbin/i nit.d/syslogd stop#/sbin/i nit.d/syslogd start回退操作#cp -p /etc/rc.c on fig.d/syslogd_bak /etc/rc.c on fig.d/syslogd风险说明低风险6.2 启用inetd日志记录配置项名称启用inetd日志记录检査方法执行：#cat /etc/rc.c

56、o nfig.d/netdaemo ns | grep INETD_ARGS=-I查看该文件是否存在INETD_ARGS=-l操作步骤1、执行备份#cp -p /etc/rc.c on fig.d/ netdaem ons /etc/rc.c on fig.d/netdaem on s_bak2、执行下列命令，设置参数# ch_rc -a -p INETD_ARGS=-l /etc/rc.co nfig.d/netdaemo ns3、重新启动inetd服务#/sbin/i nit.d/i netd stop|start回退操作#cp -p /etc/rc.c on fig.d/ netdaem

57、 on s_bak /etc/rc.c on fig.d/netdaem ons风险说明大量的日志记录可能阻碍系统性能并占用大量磁盘空间，需要重启服务6.3 配置 SYSLOG配置项名称syslogd的运行和配置安全检查方法执行：#ps -eaf | grep syslog检查syslogd进程是否运行#cat /etc/syslog.c onf检查配置文件的内容操作步骤1、执行备份：#cp - p /etc/syslog.conf /etc/syslog.conf_bak2、配置 syslog：确保syslog的运行配置文件的内容应包括以下信息：mail.debug/usr/spool/mq

58、ueue/syslog*.i nfo,mail. none/var/adm/syslog/syslog*.alert/dev/c on sole*.alertroot*.emerg*3、重启syslog服务：#/sbin/i nit.d/syslogd stop#/sbin/i nit.d/syslogd start回退操作执行：#cp /etc/syslog.c on f_bak /etc/syslog.c onf#/sbin/i nit.d/syslogd stop#/sbin/i nit.d/syslogd start风险说明大量的日志记录可能阻碍系统性能并占用大量磁盘空间，需要重启服务

59、6.4检查系统日志文件权限配置项名称检查系统日志文件权限检査方法执行：#ls -l /var/adm/#ls -l /var/adm/syslog查看系统日志文件权限设置情形操作步骤1、执行备份记录需要修改的文件权限2、执行下列命令，设置文件权限为640#chmod 640 vfile name回退操作使用chmod命令复原被修改文件的权限。风险说明低风险7其他安全配置要求7.1字符交互界面帐户超时自动退出配置项名称关于具备字符交互界面的设备，应配置定时帐户自动登出。检査方法执行：#cat /etc/profile查看/etc/profile文件中是否有TMOUT操作步骤1、执行备份#cp -p /etc/profile /etc/profile_bak2、设置自动锁定时刻为180秒#vi /etc/profile增加一行export TMOUT=180回退操作#cp -p /etc/profile_bak /etc/profile风险说明低风险7.2图形界面设置默认自动锁屏时刻为10分钟配置项名称关于具备图形界面