• 1 操作系统安全加固

    2019-05-05 00:42:17
    1操作系统安全加固 1.1 Linux安全加固 1.1.1对系统账号进行登录限制 1.1.2设置登录超时时间 1.1.3设置关键目录的权限 1.1.4设置关键文件的属性 1.1.5修改umask值 1.1.6记录用户登录信息 1.1.7记录系统安全事件 1.1.8...

    操作系统安全加固

    1.1 Linux安全加固

    1.1.1 对系统账号进行登录限制

    1.1.2 设置登录超时时间

    1.1.3 设置关键目录的权限

    1.1.4 设置关键文件的属性

    1.1.5 修改umask 

    1.1.6 记录用户登录信息

    1.1.7 记录系统安全事件

    1.1.8 记录系统服务日志

    1.1.9 更改主机解析地址的顺序

    1.1.10 打开 syncookie

    1.1.11 不响应ICMP请求

    1.1.12 syn 攻击优化

    1.1.13 禁止ICMP重定向

    1.1.14 关闭网络数据包转发

    1.1.15 补丁装载

    1.1.16 禁用无用inetd/xinetd服务

    1.1.17 为空口令用户设置密码

    1.1.18 删除root之外 UID 的用户

    1.1.19 缺省密码长度限制

    1.1.20 缺省密码生存周期限制

    1.1.21 口令过期提醒



    1.1 Linux安全加固

     1.1.1 对系统账号进行登录限制(风险高)

    实施目的

    对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用。

    问题影响

    可能利用系统进程默认账号登陆,账号越权使用。

    系统当前状态

    cat /etc/passwd 查看各账号状态。

    实施步骤

    一.执行命令

    # chsh username -s /bin/false

    举例:

    [root@localhost ~]# chsh sheng -s /sbin/nologin 

    Changing shell for sheng.

    Shell changed.

    [root@localhost ~]# cat /etc/passwd

    ......

    sheng:x:1002:1002::/home/sheng:/sbin/nologin

    imgDownload?uuid=add33cb3e78745b7bac6f47

    此命令通过修改用户的shell来禁止用户登录;

    对于suse操作系统使用/bin/false,其他操作系统使用/sbin/nologin

     

    二.补充操作说明

    1.禁止交互登录的系统账号,比如daemonbinsysadmlp

    uucpnuucpsmmsp等等

    2.数据库用户mysql需要禁止登录

    3.禁止所有用户登录。

    touch /etc/nologin

    root以外的用户不能登录了。

    回退方案

    将用户的shell修改成原来的。

    判断依据

    /etc/passwd 中的禁止登陆账号的shell  /bin/false


      1.1.2 设置登录超时时间(风险中)

    实施目的

    对于具备字符交互界面的设备,应配置定时帐户自动登出。

    问题影响

    管理员忘记退出被非法利用。

    系统当前状态

    查看/etc/profile 文件的配置状态,并记录。

    实施步骤

    编辑文件/etc/profile

    #vi /etc/profile

    文件末尾增加如下行:

    TMOUT=180

    export TMOUT

    改变这项设置后,重新登录才能有效。

    回退方案

    修改/etc/profile 的配置到加固之前的状态。

    判断依据

    TMOUT=180  imgDownload?uuid=add33cb3e78745b7bac6f47 TMOUT=180单位秒

     

     1.1.3 设置关键目录的权限(风险高)

    实施目的

    在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

    问题影响

    非法访问文件。

    系统当前状态

    运行ls -al /etc/ 记录关键目录的权限。

    实施步骤

    1、参考配置操作

    通过chmod 命令对目录的权限进行实际设置。

    2、补充操作说明

    /etc/passwd  必须所有用户都可读, root 用户可写

    –rw-r—r—

    /etc/shadow 只有root 可读 –r--------  

    /etc/group  必须所有用户都可读, root 用户可写

    –rw-r—r—

    使用如下命令设置:

    chmod 644 /etc/passwd

    chmod 400 /etc/shadow

    chmod 644 /etc/group

    如果是有写权限,就需移去组及其它用户对/etc 的写权限

    (特殊情况除外)

    执行命令#chmod -R go-w /etc

    回退方案

    通过chmod 命令还原目录权限到加固前状态。

    判断依据

    [root@localhost sysconfig]# ls -al /etc/passwd | grep '^...-.--.--'

    -rw-r--r-- 1 root root 720 Mar  8 15:45 /etc/passwd

    [root@localhost sysconfig]# ls -al /etc/group | grep '^...-.--.--'

    -rw-r--r-- 1 root root 347 Jan 27 19:25 /etc/group

    [root@localhost sysconfig]# ls -al /etc/shadow | grep '^...-------'

    -r-------- 1 root root 436 Mar  6 19:39 /etc/shadow

    举例:

    [root@localhost ~]# ls -al /etc/passwd

    -rw-r--r--. 1 root root 2378 Jan 24 19:42 /etc/passwd

    [root@localhost ~]# ls -al /etc/group

    -rw-r--r--. 1 root root 994 Jan 24 19:41 /etc/group

    [root@localhost ~]# ls -al /etc/shadow

    ----------. 1 root root 1337 Jan 24 19:42 /etc/shadow


     1.1.4 设置关键文件的属性(风险高)

    实施目的

    增强关键文件的属性,减少安全隐患。 使 messages文件只可追加。 使轮循的 messages文件不可更改。

    问题影响

    非法访问目录,或者删除日志。

    系统当前状态

    # lsattr /var/log/messages

    # lsattr /var/log/messages.*

    # lsattr /etc/shadow

    # lsattr /etc/passwd

    # lsattr /etc/group

    实施步骤

    # chattr +a /var/log/messages

    # chattr +i /var/log/messages.*

    # chattr +i /etc/shadow

    # chattr +i /etc/passwd

    # chattr +i /etc/group


    用chattr命令防止系统中某个关键文件被修改:

    chattr +i /etc/fstab

    然后试一下rm、mv、rename等命令操作于该文件,都是得到Operation not permitted的结果。


    让某个文件只能往里面追加内容,不能删除,一些日志文件适用于这种操作:

    chattr +a /data1/user_act.log


    建议管理员对关键文件进行特殊设置(不可更改或只能追加等)

    imgDownload?uuid=add33cb3e78745b7bac6f47

    /var/log/目录下有可能不存在message.*的文件。

    回退方案

    使用chattr 命令还原被修改权限的目录。

    chattr -i /etc/fstab

    chattr -a /data1/user_act.log

    判断依据

    # lsattr /var/log/messages

    # lsattr /var/log/messages.*

    # lsattr /etc/shadow

    # lsattr /etc/passwd

    # lsattr /etc/group

    判断属性

    imgDownload?uuid=65d86e88fe2b4b0e861dfe8

    linux的文件系统为Reiserfs,不支持使用lsattr命令


     1.1.5 修改umask 值(风险高)

    实施目的

    控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

    问题影响

    非法访问目录。

    系统当前状态

    more /etc/profile

    检查是否包含umask 

    实施步骤

    步骤 1   设置全局默认权限:

    /etc/profile修改或添加umask 077

    #vi /etc/profile

    umask 077

    步骤 2   设置单个用户默认权限:

    如果用户需要使用一个不同于默认全局系统设置的umask,可以编辑该用户目录下的.profile文件或.bash_profile文件:

    #vi $home/.profile (.bash_profile)

    修改或者添加umask 077             

             #具体值可以根据实际需要进行设置,umask 的默认设置一般为 022,这给新创建的文件默认权限755777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。

    imgDownload?uuid=add33cb3e78745b7bac6f47

    umask 的计算:

    umask 是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。

    回退方案

    修改  

    /etc/profile

    文件到加固前状态。

    判断依据


     1.1.6 记录用户登录信息(风险低)

    实施目的

    设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功、登录时间、以及远程登录时、用户使用的IP地址

    问题影响

    无法对用户的登陆进行日志记录

    系统当前状态

    cat /etc/login.defs,记录LASTLOG_ENAB当前配置。

    实施步骤

    编辑/etc/login.defs

    #vi /etc/login.defs

    修改LASTLOG_ENAB的属性:

    LASTLOG_ENAB            yes

    回退方案

    还原“LASTLOG_ENAB”的设置到加固之前配置。

    判断依据

    1.    验证方法:

    使用last命令察看登陆日志

    2.    预期结果:

    # last

    root     :0/10.164.10 10.164.104.73    Fri Feb 20 14:29 - 16:53  (02:24)   

    root     10.164.104.7 10.164.104.73    Fri Feb 20 14:29 - 16:53  (02:23)   

    root     pts/3                                         Fri Feb 20 14:21 - 14:28  (00:06)   

    rokay  pts/3         10.164.104.73         Fri Feb 20 14:16 - 14:19 


      1.1.7 记录系统安全事件(风险高)

    实施目的

    通过设置让系统记录安全事件,方便管理员分析

    问题影响

    无法记录系统的各种安全事件

    系统当前状态

    cat /etc/syslog-ng/syslog-ng.conf

    实施步骤

    # vi /etc/syslog-ng/syslog-ng.conf

    添加以下行:

    destination d_errors { file("/var/log/errors"); };

    filter f_errors { level(err); };

    log { source(src); filter(f_errors); destination(d_errors); };

     

    destination d_authpriv { file("/var/log/authpriv_info"); };

    filter f_authpriv { level(info) and facility(authpriv); };

    log { source(src); filter(f_authpriv); destination(d_authpriv); };

     

    destination d_auth { file("/var/log/auth_none"); };

    filter f_auth { level(none) and facility(auth); };

    log { source(src); filter(f_auth); destination(d_auth); };

     

    destination d_info { file("/var/log/info"); };

    filter f_info { level(info); };

    log { source(src); filter(f_info); destination(d_info); };

     

    重启syslog-ng服务

    # rcsyslog restart

    imgDownload?uuid=65d86e88fe2b4b0e861dfe8

    其中log { source(s_sys); filter(f_errors); destination(d_errors); }; “src”视其源不同可能会为“s_sys”,配置时需注意。

    1.    增加安全日志后,日志将会大大增加。要注意监控磁盘可用空间,及时备份清理安全日志文件。

    2.    对维护有要求,需询问客户后确定是否实施。

    回退方案

    还原/etc/syslog-ng/syslog-ng.conf的设置到加固之前配置,重启syslog-ng服务。

    判断依据

    1.    验证方法:

    查看/var/log/errors/var/log/messages

    #more /var/log/errors

    #more /var/log/authpriv_info

    #more /var/log/info

    #more /var/log/auth_none

    2.    预期结果:

    记录有需要的设备相关的安全事件


     1.1.8 记录系统服务日志(风险低)

    实施目的

    系统上运行的应用/服务也应该配置相应日志选项,比如cron

    问题影响

    无法记录 cron 服务(计划任务)

    系统当前状态

    cat /etc/syslog-ng/syslog-ng.conf

    实施步骤

    # vi /etc/syslog-ng/syslog-ng.conf

    添加以下行:

    destination d_cron { file("/var/log/cron"); };

    filter f_cron { level(info) and facility(cron); };

    log { source(src); filter(f_cron); destination(d_cron); };

    重启syslog-ng服务

    # rcsyslog restart

    imgDownload?uuid=add33cb3e78745b7bac6f47

    其中log { source(src); filter(f_cron); destination(d_cron); }; “src”视其源不同可能会为“s_sys”,配置时需注意。

    另外,实施此项需要开启cron服务

    回退方案

    还原/etc/syslog-ng/syslog-ng.conf的设置到加固之前配置,重启syslog-ng服务。

    判断依据

    1.    验证方法

    执行crontab -l命令,然后查看日志文件:#more /var/log/cron

    2.    预期结果:

    日志中能够列出cron服务的详细日志信息


     1.1.9 更改主机解析地址的顺序(风险高)

    实施目的

    更改主机解析地址的顺序,减少安全隐患。

    问题影响

    对本机未经许可的IP欺骗。

    系统当前状态

    cat /etc/host.conf

    实施步骤

    “/etc/host.conf”  说明了如何解析地址。编辑“/etc/host.conf”  文件( vi /etc/host.conf ),                        

    # Lookup names via DNS first then fall back to /etc/hosts.  

    order bind,hosts

    # We have machines with multiple IP addresses.  

      multi on  

    # Check for IP address spoofing

      nospoof on 

    第一项设置首先通过 DNS 解析 IP 地址,然后通过 hosts 

    件解析。第二项设置检测是否“/etc/hosts”文件中的主机是

    否拥有多个 IP 地址(比如有多个以太口网卡)。第三项设置

    说明要注意对本机未经许可的 IP欺骗。

    回退方案

    恢复/etc/host.conf 配置文件。

    判断依据

    查看/etc/host.conf 文件中的以下配置:

    order bind,hosts

    multi on

    nospoof on


      1.1.10 打开 syncookie(风险高)

    实施目的

    打开 syncookie 缓解 syn flood攻击。

    问题影响

    syn flood 攻击

    系统当前状态

    cat /proc/sys/net/ipv4/tcp_syncookies

    实施步骤

    # echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    可以加入/etc/rc.d/rc.local中。

    回退方案

    echo 0 > /proc/sys/net/ipv4/tcp_syncookies

    判断依据

    cat /proc/sys/net/ipv4/tcp_syncookies 值为  1

     

      1.1.11 不响应ICMP请求(风险高)

    实施目的

    不响应ICMP请求,避免信息泄露。

    问题影响

    信息泄露

    系统当前状态

    cat /proc/sys/net/ipv4/icmp_echo_ignore_all

    实施步骤

    不响应ICMP请求:

    # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    回退方案

    echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    判断依据

    cat /proc/sys/net/ipv4/icmp_echo_ignore_all  返回1


    本地计算机内系统原因,

    怀疑是信任关系或者注册表中某些键值

    本地计算机内系统原因,

    怀疑是信任关系或者注册表中某些键值


    本地计算机内系统原因,

    怀疑是


    本地计算机内系统原因,

    怀疑是信任关系或者注册表中某些键值

     1.1.12 syn 攻击优化(风险高)

    实施目的

    提高未连接队列大小

    问题影响

    SYN flood attack

    系统当前状态

    sysctl net.ipv4.tcp_max_syn_backlog

    实施步骤

    sysctl -w net.ipv4.tcp_max_syn_backlog="4096"

    回退方案

    sysctl -w net.ipv4.tcp_max_syn_backlog= 恢复加固之前的值

    判断依据

    sysctl net.ipv4.tcp_max_syn_backlog 值为 4096


      1.1.13 禁止ICMP重定向(风险高)

    实施目的

    主机系统应该禁止ICMP重定向,采用静态路由。

    问题影响

    系统当前状态

    sysctl -a,记录待修改属性的当前值。

    实施步骤

    禁止系统发送ICMP重定向包:

    # vi /etc/sysctl.conf

    只接受有可靠来源的重定向。

    net.ipv4.conf.default.secure_redirects=0

    net.ipv4.conf.all.secure_redirects=0

    net.ipv4.conf.default.send_redirects=0

    net.ipv4.conf.all.send_redirects=0

    net.ipv4.conf.default.accept_redirects = 0

    net.ipv4.conf.all.accept_redirects = 0

    执行以下命令使设置生效:

    # sysctl -p

    imgDownload?uuid=add33cb3e78745b7bac6f47

    根据业务需求情况确定是否禁止ICMP重定向。

    回退方案

    编辑/etc/sysctl.conf,恢复原设置,执行sysctl -p使设置生效。

    判断依据

    1.    验证方法:

    使用sysctl -a查看配置:

    #sysctl -a

    2.    预期结果:

    相关设置符合预期


     1.1.14 关闭网络数据包转发(风险高)

    实施目的

    对于不做路由功能的系统,应该关闭数据包转发功能。

    问题影响

    系统当前状态

    sysctl -a,记录待修改属性的当前值。

    实施步骤

    关闭数据包转发功能:

    # vi /etc/sysctl.conf

    关闭IP转发:

    net.ipv4.ip_forward = 0

    关闭转发源路由包:

    net.ipv4.conf.all.accept_source_route = 0

    net.ipv4.conf.default.accept_source_route = 0

    执行以下命令使设置生效:

    # sysctl -p

    回退方案

    编辑/etc/sysctl.conf,恢复原设置,执行sysctl –p使设置生效。

    判断依据

    1.    验证方法:

    使用sysctl -a查看配置:

    #sysctl -a

    2.    预期结果:

    相关设置符合预期


     1.1.15 补丁装载(风险高)

    实施目的

    可以使系统版本为最新并解决安全问题。

    问题影响

    系统存在严重的安全漏洞

    系统当前状态

    uname -a

    rpm -qa

    cat /proc/version

    实施步骤

    可以使用Online UpdatePatch CD Update等方式升级系统补丁。

    回退方案

    patchrm

    判断依据

    1.    验证方法:

    # uname -a

    2.    预期结果:

    系统安装必要的补丁。

    重要等级

    imgDownload?uuid=add33cb3e78745b7bac6f47

    应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。

      

     1.1.16 禁用无用inetd/xinetd服务(风险高)

    实施目的

    关闭无效的服务,提高系统性能,增加系统安全性。

    imgDownload?uuid=add33cb3e78745b7bac6f47

    ISOVHD安装包不需要执行该加固项目。

    问题影响

    不用的服务会带来很多安全隐患。

    系统当前状态

    chkconfig -l记录当前状态。

    实施步骤

    步骤 1   关闭inetd服务

    # chkconfig 服务名 off

    步骤 2   关闭xinetd服务

    修改其配置文件,在其属性中修改Disable yes,如没有,请添加

    #vi /etc/xinetd.d/服务名

    disable       =  yes

    步骤 3   重启inetd服务

    # /etc/init.d/xinetd restart

    回退方案

    恢复记录的原inetd/xinetd服务状态。

    判断依据

    1.    验证方法:

    # chkconfig -l

    2.    预期结果:

    仅有允许的服务处于开启状态

    重要等级

    imgDownload?uuid=add33cb3e78745b7bac6f47

    建议关闭的服务:

    chargenchargen-udpcups-lpdcvsdaytimedaytime-udpechoecho-udpfamnetstatrsyncserversservicessystattimetime-udp

    请根据需要开启相应的服务


      1.1.17 为空口令用户设置密码(风险高)

    实施目的

    禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。

    问题影响

    用户被非法利用。

    系统当前状态

    awk -F: '($2 == ""){print $1}' /etc/passwd

    实施步骤

    awk -F: '($2 == ""){print $1}' /etc/passwd ,查询空口令用户

    root 用户登陆Linux 系统,执行passwd 命令,给用户增加口令。

    例如:passwd test test

    回退方案

    root 身份设置用户口令,取消口令

    如做了口令策略则失败

    判断依据

    awk -F: '($2 == ""){print $1}' /etc/passwd

    返回值为空

     

      1.1.18 删除root之外 UID 的用户(风险高)

    实施目的

    帐号与口令-检查是否存在除 root 之外 UID 的用户。

    问题影响

    账号权限过大,容易被非法利用。

    系统当前状态

    awk -F: '($3 == 0) { print $1 }' /etc/passwd

    实施步骤

    删除 root 以外的 UID   0 的用户。

    回退方案

    判断依据

    返回值包括“root”以外的条目,则低于安全要求。

    重要等级

    imgDownload?uuid=add33cb3e78745b7bac6f47

    UID 的任何用户都拥有系统的最高特权,保证只有 root用户的 UID 0


     1.1.19 缺省密码长度限制(风险低)

    实施目的

    防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少 8 位。

    问题影响

    增加密码被暴力破解的成功率。

    系统当前状态

    cat /etc/login.defs

    实施步骤

    # vi /etc/login.defs

    按如下设置

    PASS_MIN_LEN  8

    退出root用户重新登录,密码设置生效。

    回退方案

    vi /etc/login.defs ,修改设置到系统加固前状态。

    判断依据

    PASS_MIN_LEN  8

    重要等级


     1.1.20 缺省密码生存周期限制

    实施目的

    对于采用静态口令认证技术的设备,帐户口令的生存期不长于90 天,减少口令安全隐患。

    问题影响

    密码被非法利用,并且难以管理。

    系统当前状态

    运行 cat /etc/login.defs  查看状态,并记录。

    实施步骤

    # vi /etc/login.defs

    按如下设置

    PASS_MAX_DAYS  90

    PASS_MIN_DAYS  0

    回退方案

    vi /etc/login.defs ,修改设置到系统加固前状态。

    判断依据

    PASS_MAX_DAYS  90

    PASS_MIN_DAYS  0

    实施风险

    低  

      1.1.21 口令过期提醒

    实施目的

    口令到期前多少天开始通知用户口令即将到期。

    问题影响

    密码被非法利用,并且难以管理。

    系统当前状态

    运行 cat /etc/login.defs  查看状态,并记录。

    实施步骤

    # vi /etc/login.defs

    按如下设置

    PASS_WARN_AGE  7

    回退方案

    vi /etc/login.defs ,修改设置到系统加固前状态。

    判断依据

    PASS_WARN_AGE  7

    实施风险



    本文转自 Mr_sheng 51CTO博客,原文链接:http://blog.51cto.com/sf1314/2064733


    展开全文
  • 操作系统安全加固

    2013-06-25 11:00:39
    操作系统从概念上可分为两部分:内核(Kernel)和壳(Shell),壳程序封装了与硬件直接交互的内核。 有些操作系统(如Unix和Liunx等)的内核和壳完全分开,用户可以在一个内核上使用不同的壳。而Windows的内核和壳关系...

    操作系统从概念上可分为两部分:内核(Kernel)和壳(Shell),壳程序封装了与硬件直接交互的内核。

    有些操作系统(如Unix和Liunx等)的内核和壳完全分开,用户可以在一个内核上使用不同的壳。而Windows的内核和壳关系紧密,内核和壳只是操作系统层次上的不同而已。

    Microsoft Windows XP的体系结构

    Windows XP操作系统通过硬件机制实现了核心态(Kernel Mode)和用户态(User Mode)两个特权级别。


    核心态进程

    核心态组件包括:

    1. 核心Kernel

       核心包含了最低级的操作系统功能,如线程调度, 中断和异常调试以及多处理器同步等,它同时以提供了执行体来实现高级结构中的一组线程和基本对象。

    2. 执行体Executive

        执行体包括基本的操作系统服务。例如内存管理,进程和线程管理、安全控制和I/O及进程间通信。

    3. 硬件抽象层Hardware Abstraction Layer

        该层将内核、驱动设备程序以及执行体同硬件隔离开来,使它们可以适合多种平台。

    4. 设备驱动程序

        设备驱动程序包括文件系统和硬件设备驱动程序等,其中硬件设备驱动程序将用户的I/O函数调用转换为对特定硬件设备的I/O请求。

    5. 图形引擎

        图形引擎包括实现图形用户界面(GUI)的基本函数。

    用户态进程

    包含四类基本类型:

    1. 系统支持进程(System Support Process)

        如登录进程(winlogin.exe)和会话管理器(smss.exe),它们不是Windows XP的服务,不由服务控制器启动。

    2.  服务进程(Service Process)

         如事件日志服务。

    3. 环境子系统(Environment Subsystem)

        Windows XP有三个环境子系统---Win32,POSIX和OS/2.1.2, 它们向应用程序提供运行环境(操作系统功能调用接口)。

    4.  用户应用进程(User Application)

         它们是Win32,Windows3.1,MS-DOS,POSIX和OS/2.1.2 这5种类型之一。


    Windows XP的安全结构分析

    按照可信计算机系统评估准则(TCSEC),Windows XP是C2 级别的操作系统。

    TCSEC是由美国国防部(DoD)公布的技术标准,也是公认的第一个计算机信息系统评估标准。

    TCSEC把操作系统的安全等级分成了:D1,C1,C2,B1,B2,B3和A级共7个级别,其安全等级由低到高。

    目前,TCSEC已经被更先进的CC(通用准则)所取代,CC标准把系统划分为EAL1~EAL7级,Windows XP SP2和Windows 2003都达到EAL4+级。



    Windows XP 安全子系统的组件

    Windows XP 安全子系统包含5个关键组件:

    1. 安全标识符(Security Indentifiers)

    2. 访问令牌(Access Tokens)

    3. 安全描述符(Security Descriptions)

    4. 访问控制表(Access Control Lists)

    5. 访问控制项(Access Control Entries)


    安全 地配置操作系统

    1. 配置安全的服务项目

         遵循两个基本原则:一是运行尽可能少的服务;另一个是使得可以运行的服务的用户可能的少。

         1.1 关闭指定服务

         1.2 禁用服务还是删除服务

         1.3 服务的依存关系

    2. 账户的安全加固

    3. 账户口令的安全加固

        3.1 安全的密码策略

        3.2 安全的账户锁定策略

        3.3 启用Syskey命令

        3.4 禁止光盘的自动运行功能

    4. 文件系统安全特性

        4.1 目录和文件权限的管理

        4.2 文件和文件夹的加密

    展开全文
  • Windows操作系统安全加固策略,使用目前所有Windows服务器系统
  • 1.判断用户是否存在if id -u username > /dev/null 2>&1 2.wheel组的作用 ...4./etc/issue.net 5./etc/security/opasswd;/etc/pam.d/ 6./etc/systemd/system/ctrl-alt-del.target ##禁用ctrl+alt+del组合重启...

    1.判断用户是否存在if id -u username > /dev/null 2>&1
    2.wheel组的作用

    ~]# usermod -G wheel username
    将用户加入wheel组后,使用sudo可以基本完成root用户的所有操作
    

    3./etc/login.defs:密码使用周期,修改周期

    # 只对普通用户有效,对wheel组和root来说形同虚设
    # 因此,wheel组加用户时需要慎重再慎重,wheel组的用户执行命令时也要慎重再慎重
    [python@docker ~]$ cat /etc/login.defs | grep '^[A-Z].*$'
    MAIL_DIR	/var/spool/mail
    PASS_MAX_DAYS	99999 #密码的最长使用时间
    PASS_MIN_DAYS	7 #密码的最小修改间隔
    PASS_MIN_LEN	5 #密码最小长度
    PASS_WARN_AGE	7
    UID_MIN                  1000 #创建用户时,用户的最小ID
    UID_MAX                 60000
    SYS_UID_MIN               201
    SYS_UID_MAX               999
    GID_MIN                  1000
    GID_MAX                 60000
    SYS_GID_MIN               201
    SYS_GID_MAX               999
    CREATE_HOME	yes #新建用户时,默认会创建家目录,使用-M选项从而不创建家目录
    UMASK           077
    USERGROUPS_ENAB yes
    ENCRYPT_METHOD MD5
    MD5_CRYPT_ENAB yes
    
    

    4./etc/issue.net

    在使用本地终端登录(非ssh)时,在输入密码前所展示的信息
    比如,你可以把用户密码放在信息里,当然,完成这种操作的前提是你觉得你的系统无关紧要
    

    5.查看用户的密码规则

    chage -l username
    [python@docker ~]$ chage -l python
    Last password change					: Jun 15, 2020
    Password expires					: never
    Password inactive					: never
    Account expires						: never
    Minimum number of days between password change		: 0
    Maximum number of days between password change		: 99999
    Number of days of warning before password expires	: 7
    

    6./etc/systemd/system/system.conf

    ##禁用ctrl+alt+del组合重启,将CtrlAltDelBurstAction=reboot-force改为CtrlAltDelBurstAction=none
    

    7.export TMOUT=600,输入超时时间,在/etc/profile中设置
    8./etc/profile,/etc/bashrc,设置umask
    9.find / -xdev -nouser -o -nogroup -print 找出没属主或属组的文件或目录
    可定期扫描系统,防止此类文件或目录被利用
    10./var/log/{wtmp,lastlog,faillog}

    (1)/var/log/messages用于存储系统的日志信息,记录一些系统事件
    (2)/var/log/secure记录着用户登录系统的一些信息,不管失败或成功都会记录。因此,定时扫描此文件,如果突然持续增大,那很有可能有人正在对你的系统进行爆破;也可以定时扫描登录信息中是否出现陌生用户
    (3)/var/log/wtmp用于记录用户成功登录的记录,包括登陆时间、持续时长等信息
    (4)/var/log/lastlog用于记录用户最近的一次登录信息,如果用户从未登陆过也会记录
    

    11.stat filename | md5sum(避免黑客修改文件后还原文件修改时间)

    或者用于监控某些不会改动但是很重要的文件文件,比如可以监控/etc/passwd,通常情况下不怎么改变。
    在安装redis,haproxy等第三方软件的时候会改变/etc/passwd
    

    12./etc/pam.d/

    # 目录下包含多个系统文件
    包括su和sshd等文件,用于配置
    

    13./etc/security/access.conf

    控制用户访问某些文件或者服务
    #禁止非root用户通过tty1访问相关服务
    -:ALL EXCEPT root:tty1
    #禁止除了wheel、shutdown以及sync之外的所有用户访问相关服务
    -:ALL EXCEPT wheel shutdown sync:LOCAL
    #禁止wheel用户通过.win.tue.nl之外的其它它终端访问相关服务
    -:wheel:ALL EXCEPT LOCAL .win.tue.nl
    # 禁止下面的用户从任何主机登录。其它用户可以从任意地方访问相关服务
    -:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL
    # root用户允许通过cron来使用tty1到tty6终端访问相关服务
    + : root : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6
    # 用户root允许从下面的地址访问相关服务
    + : root : 192.168.99.1 192.168.99.4 192.168.99.9
    + : root : 127.0.0.1
    # 用户root可以从192.168.201.网段访问相关服务
    + : root : 192.168.99.
    # 用户root可以从.foo.bar.org中任何主机访问相关服务
    + : root : .foo.bar.org
    # 用户root不允许从任何主机访问相关服务
    - : root : ALL
    # 用户@nis_group和foo可以从任何主机访问相关服务
    + : @nis_group foo : ALL 
    

    14.扫描/etc/passwd从而监控未知用户

    15.echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    打开TCP同步标签(syncookie),内核必须打开了 CONFIG_SYN_COOKIES项进行编译
    同步标签(syncookie)可以防止一个套接字在有过多试图连接到达时引起过载
    

    16.防止ip欺骗攻击

    关注/etc/hosts.equiv, ~/.hosts等文件,通常系统下是没有这些文件的
    

    17.重新设置/etc/rc.d/init.d/目录下所有文件的许可权限检查命令

    最好只将执行权限赋值给相应的服务用户,其他用户都不允许执行
    

    18.保护/etc/services文件chattr +i /etc/services

    记录网络服务和其对应的端口以及协议
    

    19.禁用nfs,xinetd

    systemctl disable xinetd
    

    20.另外还有一些

    Sendmail设置检查
    SSH配置
    删除不必要的用户和组
    检查路由.
    开启历史记录时间显示
    
    # 安全重定向,开启时只接受来自网关的重定向包
    net.ipv4.conf.default.secure_redirects = 0
    net.ipv4.conf.all.secure_redirects = 0
    # 开启时,忽略广播的ping包
    net.ipv4.icmp_echo_ignore_broadcasts = 1
    # 不接受重定向
    net.ipv4.conf.all.accept_redirects = 0
    net.ipv4.conf.default.accept_redirects = 0
    # 见上面的条目15
    net.ipv4.tcp_syncookies = 1
    #对于那些依然还未获得客户端确认的连接请求,需要保存在队列中最大数目。
    # 对于超过 128Mb 内存的系统,默认值是 1024,低于 128Mb 的则为 128。
    # 如果服务器经常出现过载,可以尝试增加这个数字。
    net.ipv4.tcp_max_syn_backlog = 4096
    # 反省过滤技术,在网口接收到了某个程序的ip包,如果正常情况下应用不是通过此端口发送数据包时,本机会拒绝
    net.ipv4.conf.all.rp_filter = 1
    net.ipv4.conf.default.rp_filter = 1
    # 不接收含有源路由信息的包,充当网关时可打开,正常情况下应关闭
    net.ipv4.conf.all.accept_source_route = 0
    net.ipv4.conf.default.accept_source_route = 0
    # 关闭转发功能
    net.ipv4.ip_forward = 0
    # 关闭重定向
    net.ipv4.conf.all.send_redirects = 0
    net.ipv4.conf.default.send_redirects = 0
    # 忽略错误应答
    net.ipv4.icmp_ignore_bogus_error_responses = 1
    
    展开全文
  • Windows操作系统安全加固 本页目录 1. 账户管理和认证授权 2. 日志配置操作 3. IP协议安全配置 4. 文件权限 5. 服务安全 6.安全选项 7. 其他安全配置 本文档旨在指导系统管理人员或安全检查人员进行...

    Windows操作系统安全加固

       

    本页目录

    本文档旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。


    1. 账户管理和认证授权

    1.1 账户

    默认账户安全

    • 禁用Guest账户。
    • 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)

    操作步骤

    打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定

    按照用户分配帐户

    按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。

    操作步骤

    打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,根据您的业务要求设定不同的用户和用户组,包括管理员用户、数据库用户、审计用户、来宾用户等。

    定期检查并删除与无关帐户

    定期删除或锁定与设备运行、维护等与工作无关的帐户。

    操作步骤

    打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,删除或锁定与设备运行、维护等与工作无关的帐户。

    不显示最后的用户名

    配置登录登出后,不显示用户名称。

    操作步骤:

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用并单击 确定

    log

    1.2 口令

    密码复杂度

    密码复杂度要求必须满足以下策略:

    • 最短密码长度要求八个字符。
    • 启用本机组策略中密码必须符合复杂性要求的策略。
      即密码至少包含以下四种类别的字符中的两种:
      • 英语大写字母 A, B, C, … Z
      • 英语小写字母 a, b, c, … z
      • 西方阿拉伯数字 0, 1, 2, … 9
      • 非字母数字字符,如标点符号,@, #, $, %, &, *等

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,确认 密码必须符合复杂性要求 策略已启用。

    密码最长留存期

    对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。

    操作步骤打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,配置 密码最长使用期限 不大于90天。pwd

    帐户锁定策略

    对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。

    配置样例:

    con

    1.3 授权

    远程关机

    在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从远端系统强制关机 权限只分配给Administrators组。

    本地关机

    在本地安全设置中关闭系统权限只分配给Administrators组。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 关闭系统 权限只分配给Administrators组。

    用户权限指派

    在本地安全设置中,取得文件或其它对象的所有权权限只分配给Administrators组。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 取得文件或其它对象的所有权 权限只分配给Administrators组。

    授权帐户登录

    在本地安全设置中,配置指定授权用户允许本地登录此计算机。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 允许本地登录 权限给指定授权用户。

    授权帐户从网络访问

    在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从网络访问此计算机 权限给指定授权用户。

    au1

    2. 日志配置操作

    2.1 日志配置

    审核登录

    设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件

    审核策略

    启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核策略更改

    审核对象访问

    启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核对象访问

    审核事件目录服务访问

    启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核目录服务器访问

    审核特权使用

    启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用

    审核系统事件

    启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件

    审核帐户管理

    启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理

    审核过程追踪

    启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪au

    日志文件大小

    设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。

    操作步骤

    打开 控制面板 > 管理工具 > 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
    log

    3. IP协议安全配置

    3.1 IP协议安全

    启用SYN攻击保护

    启用SYN攻击保护。

    • 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。
    • 指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。
    • 指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

    操作步骤

    打开 注册表编辑器,根据推荐值修改注册表键值。

    Windows Server 2012

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
      推荐值:2
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
      推荐值:500

    Windows Server 2008

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
      推荐值:2
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
      推荐值:5
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
      推荐值:500
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
      推荐值:400

    4. 文件权限

    4.1 共享文件夹及访问权限

    关闭默认共享

    非域环境中,关闭Windows硬盘默认共享,例如C$,D$。

    操作步骤

    打开 注册表编辑器,根据推荐值修改注册表键值。

    注意: Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。

    • HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
      推荐值: 0

    共享文件夹授权访问

    每个共享文件夹的共享权限,只允许授权的帐户拥有共享此文件夹的权限。

    操作步骤

    每个共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone。打开 控制面板 > 管理工具 > 计算机管理,在 共享文件夹 中,查看每个共享文件夹的共享权限。

    5. 服务安全

    5.1 禁用TCP/IP上的NetBIOS

    禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。

    操作步骤

    1. 在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。
    2. 在网络连接属性中,双击 Internet协议版本4(TCP/IPv4),单击 高级。在 WINS 页签中,进行如下设置:
      bios

    禁用不必要的服务

    禁用不必要的服务,请参考:
    ser

    6.安全选项

    6.1 启用安全选项

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,进行如下设置:
    audit

    6.2 禁用未登录前关机

    服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,禁用 关机: 允许系统在未登录前关机 策略。
    sg

    7. 其他安全配置

    7.1 防病毒管理

    Windows系统需要安装防病毒软件。

    操作步骤

    安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

    7.2 设置屏幕保护密码和开启时间

    设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

    操作步骤

    启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护

    7.3 限制远程登录空闲断开时间

    对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。

    操作步骤

    打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft网络服务器:暂停会话前所需的空闲时间数量 属性为15分钟。

    7.4 操作系统补丁管理

    安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

    操作步骤

    安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

    注意:对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。
    update

    展开全文
  • linux操作系统安全加固方法(最全,项目亲测有效)
  • 1为什么要进行安全加固安全加固的重要性不言而喻。我这里把操作系统同马斯洛需求层次做了个类比,如有不恰当之处,还请指教。同人一样,操作系统也有自己的生...
        

    640?wxfrom=5&wx_lazy=1


    640?wx_fmt=png&wxfrom=5&wx_lazy=1

    1为什么要进行安全加固?


              安全加固的重要性不言而喻。我这里把操作系统同马斯洛需求层次做了个类比,如有不恰当之处,还请指教。同人一样,操作系统也有自己的生理需求,对于人来说生理需求无非吃喝拉撒等,而对于操作系统来说它的生理需求又是什么了?我个人认为应该是底层硬件的配置,内核的驱动,操作系统基本配置以及设备加电。那么机器加了电,读取硬件信息,驱动内核,启动操作系统后,随之而来最重要事当然是安全需求。人类的安全需求主要包括人身安全,生活稳定以及心灵上追求的安全感等,对于操作系统而言,它的安全需求则需要通过配置合理的权限、参数以及防火墙,关闭不必要的端口,及时修补漏洞等等技术来增加系统的安全性。由此,我整理了一篇简短的linux加固文章,仅适用于linux初学者,希望能够对大家有所帮助。网络安全一直是互联网中最重要、缺口最大的领域,保障网民上网的安全刻不容缓。


    2操作系统安全加固是什么?


              操作系统安全加固就是使操作系统安全稳定的各种技术以及各种方案。安全加固可从操作系统内外来看,对内就是是操作系统配置以及内核参数的调整,这就和人类习武习文是一个道理,自身强大了,别人也就不敢欺负你了。对外,操作系统可以通过建立防火墙,关闭不必要开放的端口,开启漏洞扫描技术等等,建立一座抵御外网攻击的长城。安装操作系统以及应用程序的安全补丁、安全配置,风险防范,风险预测,安全防范规划都属于操作系统安全加固的内容,保证业务的安全稳定离不开操作系统的安全加固。


    3如何实现linux操作系统的安全加固?


    第一点:用户权限管理

              合理分配用户账号以及用户权限。根据用户的业务需求配置其最小的用户权限。对于一些重要的文件应该设置合理的权限,避免没有经验的管理员执行误操作而造成巨大的损失。对于用户的密码应该设置复杂,长度至少大于8位。以下是有关用户权限管理以及密码策略的一些命令和配置文件,可根据实际情况作出相应的更改。


    640?wx_fmt=png


    第二点:日志分析

              启用日志记录功能,记录系统安全事件,方便管理员分析日志文件及及时处理系统故障。


    640?wx_fmt=png


    第三点:端口管理:

    关闭不必要的端口


    640?wx_fmt=png


    第四点:日常巡检

              定期对操作系统基础运行情况进行巡检,有助于了解设备的运行情况以及发现故障隐患。


    640?wx_fmt=png

    Linux云计算5月免费课程火热抢先中5天免费课程抢先听,运维干货内容免费听点击文末“阅读原文”即可免费听运维课火速抢先~~~~

    PS:记得查收小编送你的免费大礼包呦~

    福利 | 一万多套PPT模板等你免费来拿!无条件领取!

    免费送 | 1000多套简历模板免费拿,附赠简历制作教程!

    免费领 | 《Shell脚本 100例》电子书免费拿,运维必备干货~

    640?640?wx_fmt=jpeg

    ▼▼点击【阅读原文】,免费听5天Linux运维干货分享课,火热开讲中,速来抢!

    展开全文
  • 1、如果是新安装系统, 一、对磁盘分区应考虑安全性: 1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区; 2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些...
  • 操作系统安全加固 顾名思义:将操作系统的安全环境,提升至尽可能安全的状态。 系统通用的安全加固可以从下面几个方面进行考虑: 通用软件的加固,如openssh,实现方式就是将修改其配置文件,让openssh 运行时,...
  • 三问:linux操作系统安全加固1.为什么要进行安全加固?安全加固的重要性不言而喻。我这里把操作系统同马斯洛需求层次做了个类比,如有不恰当之处,还请指教。同人一样,操作系统也有自己的生理需求,对于人来说生理...
  • 近年来,国内外因Windows操作系统涓洞而产生的网络安全 事件频发, 巳造成较大的...《Windows操作系统安全加固指导手册》, 现予印发。 请各单位据此做好Windows主机的安全加固工作,确保电力监控系统安全可靠运行。
  • 本文档是HP-UX 操作系统的对于HP-UX操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共29项,对系统的安全配置审计、加固操作起到指导性作用。
  • 本脚本为本人根据单位任务和个人兴趣编写,具有较好的交互操作,无需担心点击后会直接运行,运行前会对注册表和组策略等信息进行备份,现上传分享给大家,如需对Windows操作系统安全进行加固,该脚本能帮你大大提高...
  • Windows主机操作系统安全加固规范
  • AIX操作系统安全加固

    2019-09-02 21:26:00
    最近综合自己以往保存的资料,整理了一份AIX操作系统安全加固文档,比较基础,对于要求不高的环境可以应对。 1 基线 ...
  • Linux操作系统安全加固总结 1、修改umask的默认值 设置并修改umask的默认值可以限制用户对文件或目录的权限。一般将umask的默认值修改为027。在/etc/profile中添加umask 027。 2、修改历史命令保存条数 使用history...
  • suse linux操作系统安全加固(服务关闭)Suse Linux 操作系统安装完成以后,需要安全扫描,把没有使用的端口关闭,加强操作系统的安全一、系统默认启动服务:shelly:/etc/init.d # nmap -P0 127.0.0.1Starting Nmap ...
  • Suse Linux 操作系统安装完成以后,需要安全扫描,把没有使用的端口关闭,加强操作系统安全 一、系统默认启动服务: shelly:/etc/init.d # nmap -P0 127.0.0.1 Starting Nmap 4.00 ( [url]...
  • 本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。对系统的安全配置审计、加固操作起到指导性作用。
1 2 3 4 5 ... 20
收藏数 10,710
精华内容 4,284