操作系统安全加固.ppt

* * * * * * * * * * * * * * 系统服务 inetd 一些轻量级的服务，由inetd集中处理 已不能满足现状 # inetd.conf echo stream tcp6 nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal ………… ………… 系统服务 加固要点 服务 → 进程 → 端口 ipfw TCPWrapper libwrap ; configure --with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的inetd服务 停止不必要的服务 /etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx Snmp配置 Snmp安全配置 如果打开了SNMP协议，snmp团体字设置不能使用默认的团体字。 查看配置文件/etc/snmp/snmpd.conf，应禁止使用public、private默认团体字，使用用户自定义的团体字。例如将以下设置中的public替换为用户自定义的团体字： com2sec notConfigUser default public 如无必要，管理员应禁止使用snmp服务 Openssh配置 检查系统openssh安全配置，禁止使用协议1和使用root直接登录 编辑sshd_config文件，设置： Protocol 2 StrictModes yes PermitRootLogin no PrintLastLog yes PermitEmptyPasswords no UNIX/Linux通用安全加固方案 帐号 文件权限 服务 日志审计 系统状态 启用syslog记录所有日志 配置文件：/etc/syslog.conf #vi /etc/syslog.conf authpriv.* /var/log/secure UNIX/Linux通用安全加固方案 帐号 文件权限 服务 日志审计 系统状态 系统状态 内核版本 执行命令uname -a 发行版 cat /proc/version 系统 core dump 状态 执行：more /etc/security/limits.conf 磁盘分区剩余空间 # df –k Grub密码 cat /etc/grub.conf|grep password 谢谢！ * * * * * * * * * * * * * * * * * * * * * * * Windows通用安全加固方案 补丁及防护软件 系统服务 安全策略 日志与审核策略 用户与文件系统 安全增强 密码策略 密码策略 长度 7 ≤ Windows 2003 ≤ 127 7 ≤ windows2008 ≤ 127 期限 定期修改密码 复杂性 ChinaMobile_NO.1 大小写 数字 特殊字符 密码策略 加固要点 密码策略: 开始 → 运行 → gpedit.msc 计算机配置 → Windows 设置 → 安全设置 → 帐户策略 → 帐户锁定策略-密码策略”： 帐户锁定策略 用户权利指派 检查用户权限策略是否设置： 开始 → 运行 → gpedit.msc 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 用户权利指派 本地安全策略配置 检查本地安全策略配置： 开始 → 运行 → gpedit.msc 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项 Windows通用安全加固方案 补丁及防护软件 系统服务 安全策略 日志与审核策略 用户与文件系统 安全增强 日志和审核策略 审核 了解Windows审核策略 审核策略并不完整 很多审核内容默认未开启 只有在 NTFS 磁盘上才能开启对象访问审核,日志量较大(考虑性能) 步骤 打开审核策略 编辑审核对象的审核项 日志和审核策略 审核 打开审核策略 要做什么审核？要审核什么？ 位置：gpedit.msc – 计算机配置 – Windows设置 – 安全设置 –审核设置 1 2 日志和审核策略 审核 查看审核日志 eventvwr（事件查