收藏
下载资源

安全加固及漏洞扫描指导说明

上传人:我****海 文档编号:214952709 上传时间:2021-11-24 格式:DOCX 页数:85 大小:12.25MB
返回 下载 相关 举报
安全加固及漏洞扫描指导说明_第1页
第1页 / 共85页
安全加固及漏洞扫描指导说明_第2页
第2页 / 共85页
安全加固及漏洞扫描指导说明_第3页
第3页 / 共85页
安全加固及漏洞扫描指导说明_第4页
第4页 / 共85页
安全加固及漏洞扫描指导说明_第5页
第5页 / 共85页
点击查看更多>>
资源描述

《安全加固及漏洞扫描指导说明》由会员分享,可在线阅读,更多相关《安全加固及漏洞扫描指导说明(85页珍藏版)》请在金锄头文库上搜索。

1、安全加固指导说明安全加固指导说明1. 监控系统信息概述针对近期全国各地都有提及关于系统信息安全防护上面的要求,根据目前系统安全情况和系统中存在的各种安全风险,结合我们后台监控软件的实际情况,需对操作系统进行信息安全设置,以提高自动化系统的安全防护能力。在进行现场部署时,部分操作需按照对应国调手册中的加固方法进行操作,在此基础上我司针对现场实际情况增加了一些补充配置项,在本文档内进行详细描述。本文档适用于Windows、Solaris、CentOS7、Linux(RHEL5.9)等系统安全加固及漏洞扫描1.1. 变电站设备配置概述列出典型变电站的后台软件型号、后台操作系统后台软件型号:PRS-7

2、000、PRS-700U、ISA-300系列后台操作系统:Linux、Unix、Windows1.2. 变电站二次系统典型拓扑图2. 监控系统设备加固项目2.1. 监控主机监控主机包括操作员站、工程师站、数据服务X器、综合应用服务X器、图形网关机等。2.1.1. 硬件加固对于计算机的光驱,空余USB接口、以太网端口,均采取封条方式封闭。2.1.2. 操作系统加固详见各操作系统加固方案2.1.3. 数据库加固2.2. 应用软件加固后台程序:PRS-7000、PRS-700U、ISA-300+等2.2.1. 默认及多余账号删除后台程序默认带有2个默认账号“sznari”和“a”,由于初次打开数据库

3、需要进行用户权限的校验需要用到默认账号,不建议删除,可以修改密码。打开数据库-“系统参数”-“用户配置”, 选中需要删除的用户,鼠标右键选择“删除用户”,点击“删除用户”命令后,配置程序询问是否确认删除此用户:如果得到肯定的确认,则删除该用户;如果得到否定回答,则撤销删除操作。2.2.2. 账号弱口令修改打开数据库-“系统参数”-“用户配置”, 选中需要修改的用户,鼠标右键选择“修改密码”,将显示下图密码设置对话框。密码可以是任意符号和数字的组合,但不能为空。3. CentOS7系统安全加固方案3.1. 账户弱口令3.1.1. 说明账户弱口令易被未授权用户猜测或口令暴力破解,导致系统直接被侵入

4、。3.1.2. 要求 系统密码不小于8位,(字母+数字+特殊符号)组合;3.1.3. 加固方法在root权限下(普通用户切换成root用户输入su,然后输入root用户的密码),打开终端输入passwd,然后输入密码即可。3.1.4. 加固影响无3.2. 账设置密码复杂度策略3.2.1. 说明部分省份对厂站密码复杂度有特殊要求,可参考此章节。3.2.2. 加固方法 以下为本次加固采用的密码策略,若有其他策略要求,根据要求修改对应字段的值即可。密码最小长度为(minlen)8;新密码与旧密码至少有5个字符不一样(difok);新密码至少包含一个大写字母(ucredit);新密码至少包含一个小写字

5、母(lcredit);新密码至少包含一个数字(dcredit);新密码至少包含一个特殊字符(ocredit);先备份/etc/security/pwquality.conf文件为/etc/security/pwquality.conf.bak,再打开/etc/security/pwquality.conf,在文件的最末尾处添加如下内容,完成之后保存文件即可。验证:可通过以下命令查看设置是否成功:grep”minlen”/etc/security/pwquality.confgrep”difok”/etc/security/pwquality.conf3.3. 设置账户登录超时限制3.3.1.

6、加固说明本次安全加固策略中将账户登录超时时间设置成300秒,若需设置成其他时间,将300修改成要求的时间即可,单位为秒。3.3.2. 加固方法在桌面左上角的应用程序,然后点击系统工具中的设置,点击隐私,如下图:验证:重启系统使配置生效之后,使用任意用户登录系统,登录之后不要进行任何操作,等待5分钟之后,观察系统是否自动退出到登录界面。3.3.3. 加固影响无3.4. 设置用户密码安全策略3.4.1. 说明如果采用系统默认配置,root系统用户可用短长度的密码作密码或重复使用近期使用的密码,非法者就有更多的机会能够猜测出密码,从而增加了系统被攻击成功的可能性。3.4.2. 加固方法可通过在终端输

7、入, chage -l root查看root用户的密码规则。具体含义说明如下:修改方法如下:在终端输入chage -M 90 -m 6 -W 30 root 更改两次更改密码最大天数为90,最小天数为6天,密码过期提醒时间为30。修改密码复杂度:(该选项可不执行操作,在修改密码时按照字符+标点+数字修改即可)至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9修改/etc/pam.d/passwd文件:确保下面行未被注释,如没有,请按以下顺序添加:#%PAM-1.0auth include system-authaccount include system-authpassword

8、requisite pam_passwdqc.so enforce=everyonepassword requisite pam_cracklib.so minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1password include system-auth黄色加底行的参数含义如下:minlen=8 #密码最小长度为8lcredit=-1 #最少大写字母数量为1ucredit=-1 #最少小写字符数量为1ocredit=-1 #最少特殊字符数量为1dcredit=-1 #最少数字数量为13.4.3. 加固影响可能会导致管理员操作不便。3.

9、4.4. 备注密码修改期限根据现场需要进行配置,设置后即将到期系统会自动提示修改密码。密码过期时登录也会提醒修改密码,如下图:3.5. 删除系统多余账户3.5.1. 说明root用户是Linux系统的最高权限用户,该用户拥有系统的生杀大权;正因为此,root用户来执行一些对系统有重大影响的操作。但是,以普通用户登录系统后,普通用户权力受限,做不了一些基本操作,因此,推荐使用root用户而选择删除多余的普通用户。3.5.2. 加固方法(1)删除在系统中创建的多余账户如下图所示进行删除。(2)删除系统默认的无关账户将/etc/passwd备份为/etc/passwd_bak,然后打开终端,在终端执

10、行一下命令:usermod-s/bin/falsebinpasswd-lbin usermod-s/bin/falsedaemonpasswd-ldaemonusermod-s/bin/falseadmpasswd-ladmusermod-s/bin/falselppasswd-llpusermod-s/bin/falsegamespasswd-lgamesusermod-s/bin/falsenobodypasswd-lnobodyusermod-s/bin/falserpcpasswd-lrpcusermod-s/bin/falsegdmpasswd-lgdm若想恢复锁定的账户,在终端执行

11、如下命令即可:usermod-s/bin/bashxxx (xxx表示要恢复的账户名称)passwd-uxxx (xxx表示要恢复的账户名称)验证:执行后,打开/etc/passwd文件,查看每个账户最后一个“:”号之后的内容,如果为/bin/false说明已经设置成功,如图所示:3.5.3. 加固影响无3.5.4. 备注无3.6. 重命名root账户名3.6.1. 说明Root用户为Linux系统默认超级用户,为保持操作系统稳定运行,不建议对root用户进行更改。不建议重命名root账户名,因为我司监控后台系统需要用root账户,如果重命名root账户可能会给监控后台的运行带来影响。3.7.

12、 禁止root账户本地登录3.7.1. 说明监控后台目前支持在sunri用户下运行,确保其他业务程序如agent等是否允许非root用户运行。原则上不建议禁止root账户本地登录。若确认与业务相关的程序允许在非root用户下运行,请将该非root用户加入root用户组,以便给该用户提升权限,防止系统的某些重要命令无法执行。3.7.2. 加固方法将/etc/pam.d/login文件被分为/etc/pam.d/login.bak,然后打开/etc/pam.d/login文件,在该文件中添加如下内容,完成后保存即可:authrequiredpam_succeed_if.souser!=rootqu

13、ite3.8. 开启历史命令保留数目限制3.8.1. 加固说明本次加固策略将历史命令保留数目设置成100条,若需要设置成其他数目,修改成其他数目即可。3.8.2. 加固方法打开/etc/profile文件,在该文件中查找HISTSIZE,若文件中存在HISTSIZE,且HISTSIZE前面存在#号,先将#号删除后再将HISTSIZE的值修改成100,若不存在#,则直接将HISTSIZE的值修改成100,;若不存在HISTSIZE,则在该文件的末尾处添加HISTSIZE=100,完成后保存文件即可。重启系统后生效。如图所示:3.9. 禁止默认路由3.9.1. 加固说明本文采取禁止ip源路由方式禁

14、止路由。3.9.2. 加固方法将/etc/sysctl.conf备份为/etc/sysctl.conf.bak,然后打开/etc/sysctl.conf文件,在该文件中添加如下内容后保存:net.ipv4.ip_forwad = 0完成之后在终端执行:sysctl-p,是配置立即生效。验证:在终端执行:sysctl-a|grep”ip_forward”3.10. 禁止root通过telnet和SSH直接远程登录3.10.1. 说明root用户为特权用户,限制root用户远程登录,可提高系统安全并限制用户的操作权限。3.10.2. 加固方法1、 禁止或者启用SSH远程登录(1)查看22端口是否开放:netstat -tnl(2)查看SSH服务X是否启用:systemctl status sshd(3)如何启用SSH服务X:systemctl start ssh

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 网络安全

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号