1、目 录第一部分 概 述 .3系统信息 .3第二部分 安全加固审计内容 .4一、系统安全审计内容 .41.1 禁用 apmd 服务 .41.2 禁用 autofs 服务 .41.3 禁用 cups 服务 .41.4 禁用 isdn 服务 .41.5 禁用 netfs 服务 .51.6 禁用 nfs 服务 .51.7 禁用 nfslock 服务 .51.8 禁用 pcmcia 服务 .51.9 禁用 portmap 服务 .61.10 禁用 sendmail 服务 .61.11 禁用 Xinetd 服务 .61.12 锁定不需要的帐号 .61.13 限制 FTP 访问 .81.14 设置登录超时时
2、间 .91.15 禁止 Control-Alt-Delete 键盘关闭命令 .91.16 防止 IP 欺骗 .91.17 口令策略设置 .101.18 内核参数设置 .101.19 修改 banner 信息 .111.20 CDE 限定任意用户 XDMCP 登录连接 .11第三部分 安全加固内容确认 .12签名确认 .12第一部分 概 述系统信息加 固 编 号 目标 IP 地址主 机 名操 作 系 统用 途备 注第二部分 安全加固审计内容一、系统安全审计内容1.1 禁用 apmd 服务 加固措施禁用 apmd 服务。使用的是台式电脑或一直开机的机型,就不需要使用这个守护程序。存在风险 必须确认
3、所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.2 禁用 autofs 服务加固措施禁用 autofs 服务。实现光盘、软盘的自动加载。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.3 禁用 cups 服务加固措施禁用 cups 服务。Common UNIX Printing System,公共 UNIX 打印支持,为 Linux 提供打印功能。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员
4、 网络安全中心 1.4 禁用 isdn 服务加固措施禁用 isdn 服务。提供对 isdn 设备的支持。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.5 禁用 netfs 服务加固措施禁用 netfs 服务。安装和卸载 NFS、SAMBA 和 NCP 网络文件系统。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.6 禁用 nfs 服务加固措施禁用 nfs 服务。网络文件系统。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统
5、产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.7 禁用 nfslock 服务加固措施禁用 nfslock 服务。一个流行的通过 TCP/IP 网络共享文件的协议,此服务提供了 NFS 文件锁定功能。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.8 禁用 pcmcia 服务加固措施禁用 pcmcia 服务。为 RPC 服务,如 NIS 和 NFS 提供动态端口的分配。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.
6、9 禁用 portmap 服务加固措施禁用 portmap 服务。为 RPC 服务,如 NIS 和 NFS 提供动态端口的分配。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.10禁用 sendmail 服务加固措施禁用 sendmail 服务。提供邮件服务功能。存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.11禁用 Xinetd 服务加固措施禁用 Xinetd 服务。先关闭 Xinetd 里的 auth、sgi-fam 服务。存在风
7、险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.12 锁定不需要的帐号加固措施锁定以下无用帐号: bin daemon adm lp sync shutdown halt mail news uucp operator games gopher ftp nobody vcsa rpm netdump nscd ident sshd rpc rpcuser nfsnobody mailnull smmsp pcap xfs ntp gdm desktop存在风险 必须确认所禁用的帐号是不在需要的,否则可能对应用系统产生影响
8、。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.13 限制 FTP 访问加固措施限制以下 FTP 用户访问: root bin daemon adm lp sync shutdown halt mail news uucp operator games gopher ftp nobody vcsa rpm netdump nscd ident sshd rpc rpcuser nfsnobody mailnull smmsp pcap xfs ntp gdm desktop存在风险 必须确认所限制的帐号是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员
9、网络安全中心 1.14设置登录超时时间加固措施设置登录超时时间为 5 分钟。编辑/etc/profile 文件,加入以下内容: TMOUT=300存在风险 必须确认所关闭的服务是不需要的,否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.15禁止 Control-Alt-Delete 键盘关闭命令加固措施 编辑/etc/inittab 文件,用“#” 注释以下内容:ca:ctrlaltdel:/sbin/shutdown -t3 -r now存在风险 无是否加固 执行加固 不执行加固执行人员 网络安全中心 1.16防止 IP 欺骗加固措施编辑/etc/hos
10、t.conf 文件并增加如下几行来防止 IP 欺骗攻击。 order bind,hosts multi onnospoof on存在风险 无是否加固 执行加固 不执行加固执行人员 网络安全中心 1.17 口令策略设置加固措施编辑/etc/login.defs 文件,设置口令策略: PASS_MAX_DAYS 9999 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 30存在风险必须确认已存在帐号符合以上设置的口令策略,否则可能对应用系统产生影响是否加固 执行加固 不执行加固执行人员 网络安全中心 1.18 内核参数设置加固措施编辑 sysctl.con
11、f 文件,加入以下内容: net.ipv4.conf.default.accept_source_route=0 net.ipv4.conf.default.send_redirects=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.ip_forward=0存在风险 系统内核安全参数设置,对系统及应用无影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.19 修改 banner 信息加固措施 清空文件/etc/issue 内容 清空文件/etc/ 内容存在风险 无是否加固 执行加固 不执行加固执行人员 网络安全中心 1.20 CDE 限定任意用户 XDMCP 登录连接加固措施 修改/etc/X11/xdm/Xaccess 文件和修改/etc/X11/gdm/gdm.conf 文件进行访问控制。存在风险 无是否加固 执行加固 不执行加固执行人员 网络安全中心
