服务器系统安全加固.doc

Linux操作系统 合理配置应用帐号或用户自建帐号权限； 删除系统中多余的自建帐号； 修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求； 禁用或删除非root的超级用户； 禁止系统伪帐户登录； 限制能够su为root的用户 在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务屏蔽与承载业务无关的网络端口 配置系统重要文件的访问控制策略，严格限制访问权限（如读、写、执行），避免被普通修改和删除设置合理的初始文件权限 关闭多余的远程管理方式使用安全的远程管理方式设置访问控制策略限制能够访问本机的用户或 IP 地址禁止 root 用户远程登陆在主机信任关系配置文件中，删除远程信任主机禁止 root 用户远程登陆屏蔽登录 banner 信息 开启口令复杂性要求，设置口令长度8位； 开启口令复杂性要求 设置帐户锁定登录失败锁定次数、锁定时间； 修改帐户 TMOUT 值，设置自动注销时间 配置系统日志策略配置文件，使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计对审计产生的数据分配合理的存储空间和存储时间设置合适的日志配置文件的访问控制避免被普通修改和删除 关闭存在漏洞的与承载业务无关的服务安装系统安全补丁通过访问控制限制对漏洞程序的访问 Unix系统 序号 检查项 评价指标 标准分值 评分标准 实际得分 扣分问题记录 1 帐号管理 应对操作系统用户、用户组进行权限设置，应用系统用户和系统普通用户权限的定义遵循最小权限原则，删除系统多余用户，不能出现空口令或弱口令 7 未合理配置应用帐号或用户自建帐号权限（扣1分） 未删除系统中多余的自建帐号（扣1分） 未修改帐号口令，系统帐号口令长度和复杂度未满足安全要求，存在弱口令（此项不得分） 未禁用或删除root之外的超级用户（扣1分） 未禁止系统伪帐户登录（扣1分） 未限制能够su为root的用户（扣1分） 6 未限制能够su为root的用户 2 网络服务 应关闭系统中不安全的服务，确保操作系统只开启承载业务所必需的网络服务和网络端口 1．5 未停止或禁用与承载业务无关的服务（扣1分） 未屏蔽承载业务无关的网络端口（扣0.5分） 1.5 3 数据访问控制 应只授予必要的用户必需的访问权限 2 未配置系统重要文件的访问控制策略，严格限制访问权限（如读、写、执行），避免被普通修改和删除（扣1分） 未设置合理的初始文件权限（扣1分） 2 4 网络访问控制 应限制能够访问本机的用户或IP地址 5.5 未关闭多余的远程管理方式（扣1分） 未使用安全的远程管理方式（扣1分） 未设置访问控制策略限制能够访问本机的用户或IP地址（扣1分） 未禁止root用户远程登陆（扣1分） 未在信任关系配置文件中，限定远程信任主机（扣1分） 未屏蔽登录banner信息（扣0.5分） 3.5 1.未禁止root用户远程登陆（扣1分） 2.未在信任关系配置文件中，限定远程信任主机 5 口令策略 应对操作系统设置口令策略，设置口令复杂性要求，为所有用户设置强壮的口令 1 未设开启口令复杂性要求，设置口令长度，重要系统的用户口令长度大于8位；一般系统的用户口令长度大于6位（扣0.5分） 未开启口令复杂性要求（扣0.5分） 1 6 用户鉴别 应配置操作系统用户鉴别失败阀值及达到阀值所采取的措施，设置操作系统用户交互登录失败、管理控制台自锁，设置系统超时自动注销功能 3 未设置帐户锁定登录失败锁定次数、锁定时间（扣2分） 未修改帐户TMOUT值，设置自动注销时间（扣1分） 3 7 审计策略 应配置操作系统的日志功能，使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计，确保系统在发生安全事件时有日志可供分析 1.5 未配置系统日志策略配置文件，使系统对鉴权事件、登录事件、重要的系统管理、系统软硬件故障等进行审计（扣0.5分） 未对审计产生的数据分配合理的存储空间和存储时间（扣0.5分） 未设置合适的日志配置文件的访问控制避免被普通修改和删除（扣0.5分） 1 未对审计产生的数据分配合理的存储空间和存储时间 8 漏洞补丁 应安装系统安全补丁程序，对扫描或手工检查发现的系统漏洞进行修补 3.5 未关闭存在漏洞的与承载业务无关的服务（扣0.5分） 未安装系统安全补丁（扣2分） 未通过访问控制限制对漏洞程序的访问（扣1分） 3.5 Apache 禁止非授权用户和组对 Apache 启动文件、配置文件、根目录的写和执行权限； 使用 .htaccess 设置敏感目录或文件的访问权限； 编辑 Apache 配置文件，限制域、IP 地址或者IP网段对敏感目录访问 应用部 网络部 删除 Apache 不必要