Windows2000以上 Solaris8以上 AIX5.X HP-UNIX11i 內核版本2.6以上 Oracle8i以上MicrosoftSQLServer2000 MySQL5.x以上 IIS5.x以上 Apache2.x以上 Tomcat5.x以上 WebLogic8.X以上Windows 范 規范性引用文 縮略 安全配置要 賬 口 授 補 防護軟 防病毒軟 日志安全要 不必要的服 啟動 關閉自動播放功 共享文件 使用NTFS文件系 網絡訪 會話超時設 注冊表設 附錄A：端口及服 《 操作系統安全配置要求及操作指南》（本規范AIXHP-UX《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic適用于使用Windows操作系統的設備。在未特別說明的情況下，均適用于所WindowsWindows2000WindowsXP、Windows2003,Windows7,Windows2008Sever、ProfessionalWindowsWindows2003為例，給出參考配GB/T22239-2008YD/T1732-2008《固定通信網安全防護要求》YD/T1734-2008YD/T1736-2008YD/T1738-2008《增值業務網—消息網安全防護要求》YD/T1740-2008《增值業務網—智能網安全防護要求》YD/T1758-2008《非核心生產單元安全防護要求》YD/T1742-2008《接入網安全防護要求》YD/T1744-2008《傳送網安全防護要求》YD/T1746-2008《IP承載網安全防護要求》YD/T1748-2008《信令網安全防護要求》YD/T1750-2008《同步網安全防護要求》YD/T1752-2008《支撐網安全防護要求》YD/T1756-2008《電信網和互聯網管理安全等級保護要求》3縮略語UDPUserDatagramProtocolTCPTransmissionControlProtocol New 操作指 1、參考配置操進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”： 1、判定條件2進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：B）也可以通過net刪除賬號：netuser停用賬號：netuser 重命名Administrator；禁用guest（來賓）帳號。 進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：Administrator－>屬性－>Guest帳號->屬性－> Administrator名稱已更改。Guest帳號已停用。2進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：缺省帳戶－>屬性 更改名Guest帳號->屬性 已停要求內 密碼長度要求：最少8 英語大寫字母A,B,C,…Z 英語小寫字母a,b,c,…z 阿拉伯數字0,1,2,… 非字母數字字符，如標點符號，@,$,&,*等操作指 1、參考配置操進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：檢測方 1、判定條2進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：要求內 對于采用靜態口令認證技術的設備，賬戶口令的生存期不長于操作指 1、參考配置操進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：“密碼最長存留期”設置為“90天” “密碼最長存留期”設置為“90天”進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼最長存留期”設置為“90天 使用最近5次（含5次）內已使用的口令。 進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->策略”“強制密碼歷史”設置為“5個密碼檢測方 1、判定條“強制密碼歷史”設置為“5個密碼”進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“強制密碼歷史”設置為“5個密碼 數超過6次（不含6次），鎖定該用戶使用的賬號。操作指 1、參考配置操進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：“賬戶鎖定閥值”6次設置解鎖閥值：30分鐘檢測方 1、判定條“賬戶鎖定閥值”設置為小于或等于62進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看是否“賬戶鎖定閥值”6次 本地、遠端系統強制關機只指派給Administrators組。 進入“控制面板->管理工具->本地安全策略”，在“本地策略->用“關閉系統”設置為“Administrators組“從遠端系統強制關機”設置為“Administrators組檢測方 1、判定條“關閉系統”設置為“Administrators組“從遠端系統強制關機”設置為“Administrtors組”進入“控制面板->管理工具->本地安全策略”，在“本地策略->用查看“關閉系統”設置為“Administrators組”Administrators組”要求內 在本地安全設置中取得文件或其它對象的所有權僅指派操作指 1、參考配置操進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”：Administrators組”檢測方 1、判定條Administrators組”2進入“控制面板->管理工具->本地安全策略”，在“本地策略->戶權利指派”Administrators組” 進入“控制面板->管理工具->本地安全策略”，在“本地策略->用檢測方法1、判定條件進入“控制面板->管理工具->本地安全策略”，在“本地策略->用 在不影響業務的情況下，應安裝最新的ServicePack補丁集。對操作指 1、參考配置操ServicePack2010WindowsXPServicePackSP3。Windows2000的ServicePack為SP4,Windows2003的ServicePack為 2進入控制面板->添加或刪除程序->XPSP3，Win2000SP4，Win2003SP2 許訪問網絡的應用程序，和允許遠程登陸該設備的IP地址范圍。操作指 1、參考配置操作（以啟動自帶防火墻為例進入“控制面板－>網絡連接－>本地連接”，在高級選項的設置中啟用Windows防火墻。在“例外” Windows“例外”2進入“控制面板－>網絡連接－>本地連接”，在高級選項的設置中，查看是否啟用Windows防火墻。查看是否在“例外” 1個月，各系統病毒碼2 IP操作指 1、參考配置操 執行“控制面板->管理工具->本地安全策略->審核 2 執行“控制面板->管理工具->本地安全策略->審核 開始-運行-計算機配置-Windows設置-安全設置-本地策略- 審核系統登陸事 成功，失2檢測方 1、判定條2 開始-運行-超過上限時的處理方式（90天）2、補充說明 2 進入“控制面板->管理工具->計算機管理”，進入“服務和應用程序”：可根據具體應用情況參考附錄A，篩選不必要的服務。 進入“控制面板->管理工具->計算機管理”，進入“服務和應用程序”：編號： 如需啟用SNMP服務，則修改默認的SNMPCommunityString設置。 界面中，可以修改communitystrings，也就是微軟所說的“團體名檢測方 1、判定條communitystrings已改，不是默認的“public”communitystrings，也就是微軟所說的“團體名稱”編號： 如對互聯網開放WindowsTerminial服務(RemoteDesktop)，需修改 開始->運行Regedt32并轉到此項“PortNumber”00000D3D檢測方 1、判定條找到“PortNumber”00000D3D3389Regedt32, 操作指 1、參考配置操 2 關閉Windows自動播放功能 檢測方 1、判定條“關閉自動播放” 在非域環境下，關閉Windows硬盤默認共享，例如C$，D$。 進入“開始－>運行－>Regedit”，進入注冊表編輯器，更改注冊表下，增加REG_DWORD類型的 鍵，值為0 Services\LanmanServer\Parameters\REG_DWORD 0。進入“開始－>運行－>Regedit”，進入注冊表編輯器，更改注冊表，增加REG_DWORD類型的 鍵，值為0 操作指 1、參考配置操進入“控制面板->管理工具->計算機管理”，進入“系統工具－>共享文件夾”： “everyone”2進入“控制面板->管理工具->計算機管理”，進入“系統工具－>共享文件夾”：NTFS FATNTFSCONVERTvolume/FS:NTFS[/V][/CvtArea:][/NoSecurity]Vol 指定驅動器號（后面加一個冒號） NTFS 指定 應該用詳述模式運 NTFS系統文/NoSecurity Covert1NTFS分區，已上線系統在不損壞數據的2WIN系統訪問、存在數據共享的情況下，不建議將 要求內 禁用匿名訪問命名管道和共操作指 1、參考配置操“控制面板->管理工具->本地安全策略”，在“本地策略->安全選“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”:網絡訪問：可匿名訪問的命名管道設置為全部刪除檢測方 1、判定條2查看“控制面板->管理工具->本地安全策略”，在“本地策略->安 “控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”:網絡訪問：可遠程訪問的注冊表路徑設置為全部刪除“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”:檢測方 1、判定條3查看“控制面板->管理工具->本地安全策略”，在“本地策略->安對于遠程登錄的賬戶，設置不活動所連接時間15分鐘 進入“控制面板—管理工具—本地安全策略”，在“安全策略—安全選項”：“Microsoft 的空閑時間”為15分鐘檢測方 1、判定條 間”為15分鐘2進入“控制面板—管理工具—本地安全策略”，在“安全策略—安全選項”：查看“Microsoft CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0 (REG_DWORD)2 將restrictanonymous 的值設置為1，若該值不存在，可以自己創建，類型為REG_DWORD (REG_DWORD)1 Syn 點擊開始->regedit，然后單擊確定，查看相A echo7/TCP TCP/IPServices"服echo7/UDP discard9/UDP RFC863廢除協議discard9/TCP RFC863廢除協議daytime13/UDP RFC867白天協議daytime RFC867白天協qotdRFC865白天協議的qotdRFC865白天協議的chargen19/TCPRFC864字符產生協chargen19/UDPRFC864字符產生協Publishingsmtp25/TCP 關閉"SimpleMailTransportWINSInternetName關閉"DNSdhcps67/UDPDHCP/Internet連接共享TCP/IPServices"服dhcpc68/UDP DHCP協議客戶端關閉"DHCPClient"httpHTTP萬維網發布服關閉"WorldWideWebPublishingRPC服 系統基本服 netbios-ns137/UDP NetBIOS名稱解析在網卡的TCP/IP選禁用TCP/IP上的netbios-dgm138/UDP NetBIOSnetbios-ssn NetBIOS會話服 系統基本服 無法關snmp161/UDP SNMP服務 關閉"SNMP"服務https關閉"WorldWideWebPublishingSMBregedit，打開ters添加名為dword0重新isakmp500/UDPIPSecISAKMP本地關閉"IPSECPolicyRADIUS舊式Internet身份驗證服AccessConnectionRADIUS舊式Internet身份驗證服radiusInternet身radacctInternet身份驗MSMQ-RPC2105/TCPMSMQ-RPC消息隊Termsrv3389/TCP ApacheHTTP服務ORACLE1521/TCP Famatechsybase5000/TCP Sybase公司數據庫Symantec公司遠程控HostService"字樣AIXxxxx 范 規范性引用文 縮略 安全配置要 帳 口 授 補 日 不必要的服務、端 文件與目錄權 系統Banner設 登陸超時時間設 內核調整設 SSH加密協 FTP設 附錄A：端口及服 《 操作系統安全配置要求及操作指南AIX操作系統安全配置要求及操作指南》（本規范HP-UX《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogicAIX操作系統的設備。本規范明確了安全配置的基本要求，可作AIX5.X為例，給出參考配置操GB/T22239-2008YD/T1732-2008《固定通信網安全防護要求》YD/T1734-2008《移動通信網安全防護要求》YD/T1736-2008《互聯網安全防護要求》YD/T1738-2008《增值業務網—消息網安全防護要求》YD/T1740-2008《增值業務網—智能網安全防護要求》YD/T1758-2008《非核心生產單元安全防護要求》YD/T1742-2008《接入網安全防護要求》YD/T1744-2008《傳送網安全防護要求》YD/T1746-2008《IP承載網安全防護要求》YD/T1748-2008《信令網安全防護要求》YD/T1750-2008《同步網安全防護要求》YD/T1752-2008YD/T1756-2008《電信網和互聯網管理安全等級保護要求》3縮略語 SecureShellProtocolTransferProtocolUDPUserDatagramProtocol用戶數據包協議TCPTransmissionControlProtocol傳輸控制協議4安全配置要求編號： 操作指南1、參考配置操作#useraddusername #passwdusername #chmod750directory #750為設置的權限，可根據實際情況設置相應的權限，directory是要更改權限的目錄)2檢測方法123編號：要求內 應刪除或鎖定與設備運行、維護等工作無關的賬號操作指南1、參考配置操作刪除用戶：#userdelusername;修改/etc/shadow文件，用戶名后加將/etc/passwdshell域設置成#passwd-l只有具備超級用戶權限的使用者方可使用，#passwdlusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2檢測方法1、判定條件23解鎖時間：15分鐘編號：要求內 限制具備超級管理員權限的用戶遠程登錄操作指南1、參考配置操作root項上輸入false作為rloginroottelnetssh登錄，修改此2root從遠程ssh登錄，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務。檢測方法1、判定條件root遠程登錄不成功，提示“沒有權限”root用戶；root從遠程使用telnettelnetroot從遠程使用ssh普通用戶從遠程使用ssh3root從遠程ssh登錄，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd 對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議，并安全配置SSHD的設置。操作指南1把如下shell保存后，運行，會修改sshunaliascprmcase`find/usr/etc-typef|grep-cssh_config$`echo"CannotfindDIR=`find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config::"`cd$DIRcpssh_configawk'/^#?*Protocol/{print"Protocol2";next{print}'ssh_config.tmp>if["`grep-El^Protocolssh_config`"=""];thenecho'Protocol2'>>ssh_configrmssh_config.tmpchmod600ssh_config*)echo"Youhavemultiplesshd_configecho"before#ssh_config"Host*""Protocolcdcpsshd_configawk'/^#?*Protocol/{print"Protocol2";next/^#?*X11Forwarding/{print"X11Forwardingyes";next/^#?*IgnoreRhosts/{print"IgnoreRhostsyes";next/^#?*RhostsAuthentication/{print"RhostsAuthenticationno";next/^#?*RhostsRSAAuthentication/{print"RhostsRSAAuthenticationno";next/^#?*HostbasedAuthentication/{print"HostbasedAuthenticationno";next/^#?*PermitRootLogin/{print"PermitRootLoginno";next/^#?*PermitEmptyPasswords/{print"PermitEmptyPasswordsno";next/^#?*Banner/{print"Banner/etc/motd";next{print}'sshd_config.tmp>sshd_configrmsshd_config.tmpchmod600 2#使用ssh2X11Forwardingyes#允許窗口圖形傳輸使用ssh加密 yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不設置使用基于rhosts的安全驗證RhostsRSAAuthenticationnoRSArhosts的HostbasedAuthenticationno不允許基于主機白名單方式認證PermitRootLoginno#不允許root登錄PermitEmptyPasswordsno#不允許空密碼Banner/etc/motd #sshbannerSSH服務狀態：#ps–elf|grepssh檢測方法1#ps–elf|grep是否有ssh2SSH服務狀態：#ps–elf|grepsshtelnet#ps–elf|grep 對于采用靜態口令認證技術的設備，口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少3類。操作指南1chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-aminlen=8#密碼長度最少8位minalpha=1#包含的字母最少1個mindiff=11個minother=1#包含的非字母最少1個pwdwarntime=55天發出修改密碼的警告信息2檢測方法1218位的口令，查看系統是否對編號：要求內 對于采用靜態口令認證技術的設備，帳戶口令的生存期不長于1chsec-f/etc/security/user-sdefault-avichsecf/etc/security/user文件如下histexpire=13密碼可重復使用的星期為13周（91天2檢測方法1、判定條件使用超過90編號： 使用最近5次（含5次）內已使用的口令。操作指南1chsec-f/etc/security/user-sdefault-avichsecf/etc/security/user文件如下histexpire=5可允許的密碼重復次數檢測方法1、判定條件2catetc/security/user3默認沒有histsize編號： 數超過6次（不含6次），鎖定該用戶使用的賬號。1、參考配置操作#lsuserusername設置6#chuserloginretries=6username備注：root賬戶不在鎖定范圍內檢測方法1、判定條件運行lsuseruasename命令，查看帳戶屬性中是否設置了66次，編號： 操作指南1通過chmod2chown-Rroot:security/etc/passwd/etc/group/etc/securitychown-Rroot:audit/etc/security/auditchmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r/etc/passwdetc/groupetc/securityroot/etc/security/auditirootaudit/etc/passwd所有用戶都可讀，root–rw-r—/etc/shadowroot–r 必須所有用戶都可讀，root用戶可寫–rw-r—chmod644chmod644如果是有寫權限，就需移去組及其它用戶對/etc的寫權限（特殊情執行命令#chmod-Rgo-w,o-r檢測方法1221、利用管理員賬號登錄系統，并創建232個用戶的權限差異應能夠分42個新建的賬號訪問設備系統，并分別嘗試訪問允許3 控制FTP進程缺省訪問權限，當通過FTP服務創建新文件或目錄操作指南1限制某些系統帳戶不準ftp登錄通過修 文件，增加帳#viFTPTelnet，假如用戶為創建一個/etc/shells文件,添加一行/bin/true;修改/etc/passwdshell目錄加入/etc/shells用戶能夠登錄以上兩個步驟可參考如下shelllsuser-cALL|grep-v^#name|cut-f1-d:|whilereadNAME;doif[`lsuser-f$NAME|grepid|cut-f2-d=`-lt200];thenecho"Adding$NAMEto/etc/"echo$NAME>>/etc/sort-u/etc/>/etc/rm/etc/chownroot:system/etc/chmod600/etc/限制ftprestricted-uid*(限制所有)，restricted-uidusername（特定用戶）設置ftp noguest,anonymous noguest,anonymous noguest,anonymous noguest,anonymous noanonymous查看#cat說明 在這個列表里邊的用戶名是不允許ftp登陸的檢測方法12#more #more/etc/3查看#說明 在這個列表里邊的用戶名是不允許ftp登陸的 操作指南1#smitSOFTWAREtoupdateCOMMITsoftware SAVEreplaced ACCEPTnewlicense 2檢測方法12檢查某一個補丁，比如LY59082#instfix–a–ivk檢查文件集（）#lslpp–lbos.adt.libm IP操作指南1vi/etc/syslog.conf，加上這幾行：touch/var/adm/authlog/var/adm/syslogchownroot:system/var/adm/authlog重新啟動syslogstopsrc-ssyslogdstartsrc-sAIXsyslogd，以上配置增加了驗證信息發送到/var/adm/authlog和/var/adm/syslog2檢測方法1IP地址。catvar/adm/authlogcat/var/adm/syslog編號：2（可選 啟用記錄cron行為日志功能和cron/at的使用情況操作指南1、參考配置操作cron/At cron/var/spool/cron/cron.allowcrontab/var/spool/cron/cron.denycrontab at at at使用crontab和at命令可以分別對cron和at任務進行控制。#crontab-l 查看當前的cron任務#at-l at任務檢測方法1、判定條件2 chmod600chmod640 2syslog.conf文件中配置的日志存放文件：more/etc/syslog.confls–l/var/adm查看的目錄下日志文件的權限，如：authlogsyslog600、644。志、操作日志，具體文件查看syslog.conf中的配置。 1、參考配置操作#ps–e-在inetd.conf中關閉不用的服 首先復制/etc/inet/inetd.conf。/etc/inet/inetd.conf/etc/inet/inetd.conf.backup vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務在相應行開頭標記"#"字符，inetd服務,即可。refresh–sforSVC shellkshellloginkloginexecechodiscardchargendaytimetimettdbserverdtspc;doecho"Disabling$SVCTCP"chsubserver-d-v$SVC-pforSVCinntalkrstatdrusersdrwalldspraydpcnfsd\echodiscardchargendaytimetimecmsd;doecho"Disabling$SVC

chsubserver-d-v$SVC-prefresh-s#shdis_server.shtcp來保護SSHD服務，用以登錄操1、判定條件2查看所有開啟的服務:cat/etc/inet/inetd.conf,catetc/inet/services在/etc/inetd.confTcpshellkshellloginkloginexecUDP服務如下：ntalkrstatdrusersdrwalldspraydtcp來保護 操作指南1、參考配置操作lsuser-ahomeALL|awk'{print$1}'|whilereaduser;dochuserumask=077$uservi/etc/default/loginumaskprofile，用編輯器打開文件/etc/security/user，找到umask這行，修改如下：2如果用戶需要使用一個不同于默認全局系統設置的umask，可以在shell啟動文件中配置。檢測方法1、判定條件2#lsldirdir#cat/etc/default/loginumask0273umask的默認設置一般為022，這給新創建的文件默認權限（777-022=755）umaskumask是使用八進制數據代碼設置的，對于目錄，該值等于八進制777減去需要的默認權限對應的八進制數據代碼值；對于文件，該值等于八進制數據代碼666減去需要的默認權限對應的八編號： 操作指南1、參考配置操作查看重要文件和目錄權限：ls#chmod-R750這樣只有root2檢測方法1用root2查看重要文件和目錄權限：lsroot外的其它帳戶登錄，對重要文件和目錄進行刪除、修改等操3Banner 修改系統banner，避免泄漏操作系統名稱，版本號，主機名稱等， 設置系統Banner的操作如下：在/etc/security/login.cfgdefaultherald="ATTENTION:Youhaveloggedontoasecuredserver..Allaccesseslogged.\n\nlogin:" 查看/etc/security/login.cfg文件中的配置是否按照以上要求 操作指南1、參考配置操作300秒，修改/etc/security/.profile文件，TMOUT＝300；TIMEOUT=300；exportreadonlyTMOUT2檢測方法1查看/etc/security/.profile文件中的配置，是否存在登陸超時時 操作指南1、參考配置操作編輯/etc/security/limitscore0corecore_hard=echo"#AddedbyNsfocusSecurityBenchmark">>/etc/profileecho"ulimit-c0">>/etc/profilechdevlsys0afullcore=false1、補充操作說明應用程序在發生錯誤的時候會把自身的敏感信息從內存里檢測方法1、判定條件能夠防止core2查看/etc/security/limits /etc/security/limits是否有如下兩行：core0core_hard=查看/etc/ 文件 /etc/security/limits是否有如下行：ulimit–c0SSH 對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議，并安全配置SSHD的設置。操作指南1把如下shell保存后，運行，會修改sshunaliascprmcase`find/usr/etc-typef|grep-cssh_config$`echo"CannotfindDIR=`find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config::"`cd$DIRcpssh_configawk'/^#?*Protocol/{print"Protocol2";next{print}'ssh_config.tmp>if["`grep-El^Protocolssh_config`"=""];thenecho'Protocol2'>>ssh_configrmchmod600*)echo"Youhavemultiplesshd_configecho"before#ssh_config"Host*""Protocol2"，cd$DIRcpsshd_configawk'/^#?*Protocol/{print"Protocol2";next/^#?*X11Forwarding/{print"X11Forwardingyes";next/^#?*IgnoreRhosts/{print"IgnoreRhostsyes";next/^#?*RhostsAuthentication/{print"RhostsAuthenticationno";next/^#?*RhostsRSAAuthentication/{print"RhostsRSAAuthenticationno";next/^#?*HostbasedAuthentication/{print"HostbasedAuthenticationno";next/^#?*PermitRootLogin/{print"PermitRootLoginno";next/^#?*PermitEmptyPasswords/{print"PermitEmptyPasswordsno";next/^#?*Banner/{print"Banner/etc/motd";next{print}'sshd_config.tmp>sshd_configrmsshd_config.tmpchmod600 2#使用ssh2X11Forwardingyes#允許窗口圖形傳輸使用ssh加密 yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不設置使用基于rhosts的安全驗證RhostsRSAAuthenticationnoRSArhosts的HostbasedAuthenticationno不允許基于主機白名單方式認證PermitRootLoginno#不允許root登錄PermitEmptyPasswordsno#不允許空密碼Banner #設置ssh登錄時顯示的2SSH服務狀態：#ps–elf|grepssh檢測方法2#ps–elf|grep是否有ssh2SSH服務狀態：#ps–elf|grepsshtelnet#ps–elf|grepFTP編號 禁止root登陸FTP Echoroot>>/etc/檢測方 使用 登錄編號要求內 禁止匿名操作指 1、參考配置操使用ftp 做匿名登錄嘗試，如能登錄，則刪除/etc/passwd下的ftp賬號。檢測方 檢查方法使用ftp編號要求內 修改信 cat<<EOF>>/etc/Authorizedusesonly.Allactivitymaybemonitoredand檢測方 1、判斷依ftp登錄嘗試2A服務名 端 應用說 關閉方 處置建 RFC867白天協議 streamtcpnowaitrootinternal建議關 RFC867白天協 nowaitrootinternaltime streamtcpnowaitrootinternal7/tcpRFC862_回聲協議 streamtcpnowaitrootinternal7/udpRFC862_ nowaitrootinternalRFC863 streamtcpnowaitrootinternal nowaitrootinternalRFC864 streamtcpnowaitrootinternal nowaitrootinternal文件傳輸協議(控制 streamtcpnowaitroot/usr/lbin/ftpdtelnet23/tcp streamtcpnowaitroot/usr/lbin/telnetdsendmail 簡單郵件發送協 建議關 域名服 域名服 login513/tcp streamtcpnowaitroot/usr/lbin/rlogindshell514/tcp遠程命令nopasswdused streamtcpnowaitroot/usr/lbin/remshdexec512/tcpremoteexecution,passwdrequired streamtcpnowaitroot/usr/lbin/rexecdntalk518/udpnewtalk, root/usr/lbin/ntalkdident113/tcp streamtcpwaitbin/usr/lbin/identdidentdlpd515/tcp streamtcpnowaitrootrlpdaemon-i nowaitrootinternalkshell544/tcpKerberosremoteshell-kfall#kshellstreamtcpnowait/usr/lbin/remshdremshd-klogin543/tcpKerberosrlogin-kfall#kloginstreamtcpnowaitroot/usr/lbin/rlogindrlogind-recserv7815/tcp X共享接收服務#recservstreamtcpnowaitroot/usr/lbin/recserv-displaydtspcd #dtspcstreamtcpnowait #registrarstreamtcpnowait #registrarstreamtcpnowait動態端口資源監控服務#registrarstreamtcpnowaitportmap 端口映 snmpsnmpsnmp-trap 啟動圖形控 X窗口服 動態端口啟動圖形控 syslogd 系統日志服 建議保 NFS遠程文件系 強烈建議關 NFS遠程文件系 強烈建議關 HP-UXToolTalkdatabaseserver#rpcxtitcpswait1000831 #rpcdgramudpwait/usr/dt/bin/rpc.cmsd2-5 HP-UXxxxx 范 規范性引用文 縮略 安全配置要 帳 口 授 遠程維 補 日 不必要的服務、端 修改Banner信 登陸超時時間設 內核調整設 刪除潛在危險文 FTP設 附錄A：端口及服 《 操作系統安全配置要求及操作指南AIXHP-UX（本規范《LinuxSolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic適用于使用HP-UX操作系統的設備。本規范明確了安全配置的基本要求，適由于版本不同，配置操作有所不同，本規范以HP-UX11v2\11v3為例，給出參GB/T22239-2008YD/T1732-2008《固定通信網安全防護要求》YD/T1734-2008《移動通信網安全防護要求》YD/T1736-2008《互聯網安全防護要求》YD/T1738-2008《增值業務網—YD/T1740-2008《增值業務網—智能網安全防護要求》YD/T1758-2008《非核心生產單元安全防護要求》YD/T1742-2008《接入網安全防護要求》YD/T1744-2008《傳送網安全防護要求》YD/T1746-2008《IP承載網安全防護要求》YD/T1748-2008《信令網安全防護要求》YD/T1750-2008《同步網安全防護要求》YD/T1752-2008《支撐網安全防護要求》YD/T1756-2008《電信網和互聯網管理安全等級保護要求》3縮略語TransferProtocolUDPUserDatagramProtocolTCPTransmissionControlProtocol編號： 1、參考配置操作#useraddusername #passwdusername #chmod750directory #750為設置的權限，可根據實際情況設置相應的權限，directory是要更改權限的目錄2檢測方法123編號： 操作指南1、參考配置操作刪除用戶：#userdel修改/etc/shadow將/etc/passwdshell域設置成#passwd-l只有具備超級用戶權限的使用者方可使用，#passwdlusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2需要鎖定的用戶：lp,nuucp,hpdb,檢測方法123需要鎖定的用戶：lp,nuucp,hpdb,編號： 1、參考配置操作#groupadd–gGIDgroupnameGID號，若不設GID，系統會自動為該組分配一個GID號；#usermod–ggroupusername #usernamegroup組中。查詢被分配到的組的GID：#idusername2可以使用-g選項設定新組的GID。0到499 之間的值留給root、 這樣的系統賬號，因此最好指定該值大于499。如果新組名或者 已經存在，則返回錯誤信息group_namegroupadd命令會執行失敗；當用戶希望以其他用戶組成員身份出現時，需要使用newgrp命令進行更改，如#newgrpsys 即把當前用戶以sys組身份運行；檢測方法1、判定條件#idusername2查看組文件：cat/etc/group編號： 對于采用靜態口令認證技術的設備，口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少3類。操作指南1ch_rc–a-pMIN_PASSWORD_LENGTH=8/etc/default/securitych_rc–a-pPASSWORD_HISTORY_DEPTH=10\ch_rc–a–pPASSWORD_MIN_UPPER_CASE_CHARS=1ch_rc–a–pPASSWORD_MIN_DIGIT_CHARS=1ch_rc–a–pPASSWORD_MIN_SPECIAL_CHARS=1ch_rc–a–pPASSWORD_MIN_LOWER_CASE_CHARS=1modprdef-mnullpw=NOmodprdef-mrstrpw=YESMIN_PASSWORD_LENGTH=8#設定最小用戶密碼長度為8位PASSWORD_MIN_UPPER_CASE_CHARS=11個 #表示至少包括1個數字PASSWORD_MIN_SPECIAL_CHARS=1#表示至少包括1個特殊PASSWORD_MIN_LOWER_CASE_CHARS=11當用root2不同的HP-UX版本可能會有差異，請查閱當前系統的manpage 檢測方法12128位的口令，查看系統是否對編號：要求內 對于采用靜態口令認證技術的設備，帳戶口令的生存期不長于操作指南1shellroot外的所有有效登錄的賬號密碼過期logins-ox\|awk-F:'($8!="LK"&&$1!="root"){print$1}'|whilereadlogname;passwd–x91–n7–w28/usr/lbin/modprpw-mexptm=90,mintm=7,expwarn=30\echoPASSWORD_MAXDAYS=91>>/etc/default/securityechoPASSWORD_MINDAYS=7>>/etc/default/securityechoPASSWORD_WARNDAYS=28>>/etc/default/security/usr/lbin/modprdef-m用戶將在密碼過期前的30天收到警告信息 天沒有運行 的 模式21、判定條件290天的帳戶口令登錄；測試時可以將90編號： 使用最近5次（含5次）內已使用的口令。操作指南1vi/etc/default/passwd2#HISTORYsetsthenumberofpriorpasswordchangestokeep#checkforauserwhenchangingpasswords. SettingtheHISTORY#valuetozero(0),orremoving/commentingouttheflagwill#causeallusers'priorpasswordhistorytobediscardedat#nextpasswordchangebyanyuser. Nopasswordhistorywill#becheckediftheflagisnotpresentorhaszerovalue.#ThemaximumvalueofHISTORYisNISNISNIS+系統能夠生效。檢測方法1、判定條件2catetc/default/passwd3HISTORYNISNISNIS+編號： 數超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1logins-ox|awk-F:'($8!="LK"&&$1!="root"){print$1}'|whilereadlogname;/usr/lbin/modprpw-mumaxlntr=6"$logname"modprdef-mechoAUTH_MAXTRIES=6>>root6檢測方法12誤的口令進行系統登錄6次以上（不含6次）；1root編號： 操作指南1通過chmod2etc/passwd必須所有用戶都可讀，root–rw-r—/etc/shadowroot–r 必須所有用戶都可讀，root用戶可寫–rw-r—chmod644chmod600chmod644如果是有寫權限，就需移去組及其它用戶對/etc的寫權限（特殊情執行命令#chmodRgo-w檢測方法1221、利用管理員賬號登錄系統，并創建232個用戶的權限差異應能夠分42個新建的賬號訪問設備系統，并分別嘗試訪問允許3編號： 操作指南1、參考配置操作Vi/etc/default/securityumask#chmod444dirdir的權限為所有人都為只讀。2如果用戶需要使用一個不同于默認全局系統設置的umaskshell啟動文件中配置。檢測方法1、判定條件2#lsldirdir#cat/etc/default/loginumask0273umask的默認設置一般為022，這給新創建的文件默認權限（777-022=755）umaskumask是使用八進制數據代碼設置的，對于目錄，該值等于八進制777減去需要的默認權限對應的八進制數據代碼值；對于文件，該值等于八進制數據代碼666減去需要的默認權限對應的八要求內 如果需要啟用FTP服務，控制FTP進程缺省訪問權限，當通過操作指南1if[["$(uname-r)"=B.10*]];thenfornameinrootdaemonbinsysadmlp\uucpnuucpnobodyhpdbuseradmechodone>>$sort–u$>$cp$$rm–fchownbin:bin$chmod600$2查看#說明 在這個列表里邊的用戶名是不允許ftp登陸的檢測方法12#more/etc/[/ftpd]/ 查看#說明 在這個列表里邊的用戶名是不允許ftp登陸的 2chownroot:sys/etc/securettychmod600/etc/securettyroot用戶遠程使用telnet登錄。用ssh2root從遠程ssh登錄，修改/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務。檢測方法1、判定條件root遠程登錄不成功，提示“沒有權限”root用戶；2root從遠程使用telnettelnetroot從遠程使用ssh普通用戶從遠程使用ssh3限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyesPermitRootLoginnosshd服務。 對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議，禁止使用telnet等明文傳輸協議進行遠程維護；操作指南1、下載和安裝在網站上免費獲取 并根據安裝文件說明執行安裝步 2cdcp-psshd_configsshd_config.tmpawk' {$2="2" {$2="yes" {$2="yes" {$2="no"/^RhostsRSAAuthentication/{$2="no" $1=$2="no" {$2="no" $1=$2="/etc/issue"{print}'sshd_config.tmp>sshd_configrm-fsshd_config.tmpchownroot:sysssh_configsshd_configchmodgo-wssh_configsshd_config先拷貝一份配置，再用awkssh_config，其中配置含義如下：Protocol=2#使用ssh2版本X11Forwarding#允許窗口圖形傳輸使用ssh加密IgnoreRhosts=yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication=norhosts的安全驗證RhostsRSAAuthentication=noRSArhosts的3SSH服務狀態：#ps–elf|grepsshtelnet等明文傳輸協議進行遠程維護；如特別需要，檢測方法1#ps–ef|grep是否有ssh進程存在telnet進程存在SSH服務狀態：#ps–ef|grepsshtelnetps–ef|greptelnet編號： 1#uname–a2檢測方法1、判定條件uname–a 23編號： 打開syslog系統日志審計功能有助于系統的日常維護和故障排除，操作指南1vi/etc/syslog.conf， 2檢測方法12vi/etc/syslog.conf， 3 awk</etc/syslog.conf$0!~/^#/&&$2~"^/"{print$2'|sort-u|whilereaddoif[-d"$file"-o-c"$file"-o-b"$file"-o-p"$file"]then:elif[!-f"$file"thenmkdir-p"$(dirname"$file")"touch"$file"chmod640elsechmodo-w"$file"hostname=`unamen`chmodo-w/tmp/snmpd.log21、判定條件使用ls 命令依次檢查系統日志的讀寫權3編號：3（可選 操作指南1vi/etc/syslog.conf， 可以將"*.*"替換為你實際需要的日志信息。比如：kern.*/mail.* IP或域名。重新啟動syslog服務，執行下列命令：/sbin/init.d/syslogdstop|start注意：*.*和@之間為一個檢測方法123 操作指 1、參考配置操#ps–ef#chkconfig--list#cat在inetd.conf中關閉不用的服 首先復制/etc/inet/inetd.conf。/etc/inet/inetd.conf/etc/inet/inetd.conf.backup vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務在相應行開頭標記"#"字符，inetd服務,即可。1、判定條件#ps–ef#chkconfiglist#cat/etc/inet/inetd.conf在/etc/inetd.conftcp來保護Banner 修改系統Banner信息操作指南1、參考配置操作UNIX/etc/motdbanner信息檢測方法1檢查/etc/motdbanner 操作指南2、參考配置操作可以在用戶的.profile文件中"HIST"vi$TMOUT=300（可根據情況設定）;export2檢測方法1查看/etc/profile 操作指南1、參考配置操作HP-UX11iv2kctune-Kexecutable_stack=0HP-UX11i版本用以下語句：/usr/sbin/kmtune-sexecutable_stack=0&&mk_kernel&& HP-UX11i2檢測方法1、判定條件2 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潛在的危險，操作指南1Mv/.rhost/.rhost.bakMv/.netr/.netr.bakCdrootMv.rhost.rhost.bakMv.netr.netr.bak2檢測方法1、判定條件CatFTP編號 禁止root登陸FTP 限制root帳戶ftp登錄:通過修 文件，增加帳 檢測方 運行cat檢查文件中內容是否包含編號要求內 禁止匿名操作指 1、參考配置操在/etc/passwd使用文本編輯器打開/etc/passwd文件，刪除密碼域為*ftp：*：500：21：Anonymous：/usr/bin/false 通過Anonymous登錄會被拒絕。編號要求內 修改信 1）首先修改/etc/inetd.conf文件tcpnowaitroot/usr/lbin/ftpd ftpda/etc/ []login #suppresshostname #suppressversion #FTP#inetd-c檢測方 1、判斷依FTPbanner2、檢查操作A服務名 端 應用說 關閉方 處置建 RFC867 tcpnowaitrootinternal RFC867 udpnowaitrootinternaltime tcpnowaitrootinternal tcpnowaitroot RFC862_ udpnowaitrootinternalRFC863廢除協議 streamtcpnowaitrootinternal udpnowaitrootinternalRFC864字符產生 tcpnowaitrootinternal udpnowaitroot streamtcpnowaitroot/usr/lbin/ftpdtelnet23/tcp streamtcpnowaitroot sendmail 簡單郵件發送協 S540sendmail 建議關nameserver 域名服 S370named 根據情況選擇開 域名服 S370named 根據情況選擇開apache80/tcpHTTP萬維網發布S825apache login513/tcp streamtcpnowaitroot shell514/tcp遠程命令nopasswdused streamtcpnowaitrootexec512/tcpremoteexecution,passwdrequired tcpnowaitroot ntalk518/udpnewtalk, udpwait ident113/tcp streamtcp printer streamtcpnowaitrootrlpdaemon-i tdpnowaitrootinternal udpnowaitrootinternal udpnowaitrootkshell544/tcpKerberosremoteshell-kfall#kshellstreamtcpnowaitroot/usr/lbin/remshdremshd-Kklogin543/tcpKerberosrlogin-#kloginstreamtcpnowaitroot/usr/lbin/rlogindrlogind-Krecserv7815/tcp X共享接收服務#recservstreamtcpnowait/usr/lbin/recserv-displaydtspcd #dtspcstreamtcpnowaitroot/usr/dt/bin/dtspcd #registrarstreamtcpnowaitroot #registrarstreamtcpnowaitroot#registrarstreamtcpnowaitrootportmap111/tcp端口映射S590Rpcdstopdced135/tcpDCERPCdaemonS570dcestop建議關閉dced135/udpDCERPCdaemonS570dcestop建議關閉snmp161/udpS560SnmpMasterstopS565OspfMibstopS565SnmpHpunixstopS565SnmpMib2stopsnmpdS560SnmpMasterstopS565OspfMibstopS565SnmpHpunixstopS565SnmpMib2stopsnmp-trapS565SnmpTrpDst S900dtlogin.rcstop X窗口服務 S990dtlogin.rcstop 動態端口啟動圖形控制 S900dtlogin.rcstop syslogd514/udp S220syslogdstop lpd 遠程打印緩 S720lp 強烈建議關router S510gated 根據情況選擇開nfs NFS遠程文件系 S100nfs.server 強烈建議關 NFS遠程文件系統 S100nfs.serverstop 動態端口rpc服務 rpc服務 動態端口rpc服務 rpc服務#rpcdgramudpwaitusersd1000021-2動態端 rpc服 S410nis.server 強烈建議關2121/tcpsw代理S870swagentdstop根據情況選擇開放2121/udpsw代理S870swagentdstop根據情況選擇開放68/udpremotebootserverSTART_RBOOTD01068/udpremotebootserverSTART_RBOOTD0bootstrapprotocol#instl_bootsdgramudpwaitrootbootstrapprotocol#instl_bootcdgramudpwaitrootsamd3275/tcpsystemmgmt systemmgmtdaemonswat901/tcpWeb-basedAdmin streamtcpnowait.400root/opt/samba/bin/swatxntpd123/udpHP-UXToolTalkdatabaseserver#rpcxtitcpswait1000831 #rpcdgramudpwait1000682-5rpc.cmsd diagmond1508/tcp S742diagnosticstop 動態端口硬件診斷程序 S742diagnosticstop 動態端口內存記錄服務 S742diagnosticstop chassiscodeloggingdaemonS742diagnostic MemoryS742diagnostic S742diagnostic PeripheralStatusS742diagnostic PredictiveMonitorS742diagnostic PredictiveMonitorS742diagnostic hacl-hb5300/tcpHighAvailability(HA)ClusterS800cmcluster hacl-gs5301/tcpHAClusterGeneralS800cmcluster HAClusterTCPS800cmcluster HAClusterUDPS800cmcluster hacl-local5304/tcpHAClusterS800cmcluster clvm-cfg1476/tcpHALVMS800cmcluster Linuxxxxx 范 規范性引用文 縮略 安全配置要 賬 口 授 遠程登 補 日 不必要的服務、端 系統Banner設 登陸超時時間設 刪除潛在危險文 FTP設 附錄A：端口及服 《 操作系統安全配置要求及操作指南AIXHP-UX《Linux操作系統安全配置要求及操作指南》（本規范SolarisMSSQLserver《MySQL《Oracle《ApacheIISTomcatWebLogic適用于使用Linux操作系統的設備。本規范明確了安全配置的基本要求，適用GB/T22239-2008YD/T1732-2008《固定通信網安全防護要求》YD/T1734-2008《移動通信網安全防護要求》YD/T1736-2008《互聯網安全防護要求》YD/T1738-2008《增值業務網—消息網安全防護要求》YD/T1740-2008《增值業務網—智能網安全防護要求》YD/T1758-2008《非核心生產單元安全防護要求》YD/T1742-2008《接入網安全防護要求》YD/T1744-2008《傳送網安全防護要求》YD/T1746-2008《IP承載網安全防護要求》YD/T1748-2008《信令網安全防護要求》YD/T1750-2008《同步網安全防護要求》YD/T1752-2008《支撐網安全防護要求》YD/T1756-2008《電信網和互聯網管理安全等級保護要求》3縮略語TransferProtocolUDPUserDatagramProtocolTCPTransmissionControlProtocol編號： 1、參考配置操作#useraddusername #passwdusername #chmod750directory #750