《CRM加固操作步骤》由会员分享,可在线阅读,更多相关《CRM加固操作步骤(16页珍藏版)》请在金锄头文库上搜索。
1、 青海电信业务系统安全加固操作步骤声明以下操作均需要在系统做好备份的情况下(包括操作系统、业务数据、应用软件及配置文件等),确认备份结果的可恢复性并应在测试环境中进行测试确认加固步骤的正确性和操作结果对系统的影响,针对下述加固操作中的技术问题,可以咨询电信集成技术支持专家 赵士刚 电话:13311507286针对修改配置的加固操作,采用恢复配置文件的回退方案针对安装升级补丁的加固操作,采用卸载补丁、恢复原有应用软件版本和配置的回退方案1、Openssh漏洞修复步骤以下为Openssh进行升级加固时的步骤,适用于linux和Unix平台,要求在配置过程中准备console,以备出现故障时无法登陆
2、到主机系统。下载openssh 5.5(http:/ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-5.5p1.tar.gz),使用如下命令进行编译:tar xpvf openssh-5.5p1.tar.gz./configure prefix=/opt/ssh5.5makemake install安装后,修改sshd.init文件,将相应的目录修改到/opt/ssh5.5目录中。以下步骤建议要准备好Console后进行操作运行使用: killall sshd ; /etc/init.d/sshd start重启后,使用telnet 0
3、 22 命令测试当前ssh版本,如果版本为5.5,证明升级成功。 2、弱口令问题2.1 telnet弱口令:主机:计费系统中发现的telnet弱口令问题经过手工验证为误报,检测出的账号并不能登陆相关主机。在系统中检查是否存在test账号,如果存在,首先确认是否有程序使用这个帐号自动登陆调用程序,如果没有则考虑删除此账号或通过passwd命令设置高安全性密码。网络设备: SwitchenPassword: Switch#Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#l
4、ine vty 0 4Switch(config-line)#password xxxxxxxxx(强壮的密码)Switch(config-line)#exitSwitch(config)#wr2.2 Oracle弱口令/默认账户:ALTER USER IDENTIFIED BY ;如果账号被锁定使用以下命令解锁:ALTER USER ACCOUNT UNLOCK;不使用的账号,建议锁定帐号:ALTER USER ACCOUNT LOCK;或删除不使用的账号,命令:DROP USER CASCADE;2.3 Oracle tnslsnr空口令:切换到oracle的管理员,执行下列命令$ORAC
5、LE_HOME/bin/lsnrctlLSNRCTL change_passwordOld password: - 如果原来没有设置口令就直接回车,否则输入原来的口令New password: Reenter new password: Connecting to (ADDRESS=(PROTOCOL=ipc)(KEY=XXX)Password changed for LISTENERThe command completed successfully LSNRCTL set passwordPassword: LSNRCTL save_config (此步重要,保存当前设置)2.4 FTP弱
6、口令:使用管理员身份登陆使用passwd username命令进行修改2.5 SNMP弱口令主机:修改/etc/snmp/snmpd.conf,找到行:com2sec notConfigUser default publicpublic就是只读口令另外还可能有一行 com2sec ConfigUser default private这个private也是弱口令,这个更危险,因为第一行是只读的,这个是可写的把这两个字符串按要求修改后根据下边的重启snmpd 服务aix:refresh -s snmpdsolaris: /etc/init.d/snmpd reloadhp: /sbin/rc.d/
7、snmpd reload 网络设备:RouterenablePassword:Router#Router#show running-configBuilding configuration.snmp-server community public ROsnmp-server community manager RW.Router#configure terminalEnter configuration commands, one per line.? End with CNTL/Z.Router(config)#可以选用下面两种方法中的一种:(1) 如果不需要通过SNMP进行管理,可以禁止S
8、NMP Agent服务:将所有的只读、读写口令删除后,SNMP Agent服务就禁止a. 删除只读(RO)口令:Router(config)#no snmp-server community public ROb. 删除读写(RW)口令Router(config)#no snmp-server community manager RW(2) 如果需要使用SNMP,修改SNMP口令,使其不易被猜测:a. 删除原先的只读或者读写口令:Router(config)#no snmp-server community public RORouter(config)#no snmp-server comm
9、unity private RWb. 设置新的只读和读写口令,口令强度应该足够,不易被猜测。Router(config)#snmp-server community XXXXXXX RORouter(config)#snmp-server community YYYYYYY RW3、oracle数据库加固步骤3.1 由于针对数据库进行补丁升级风险较高,有可能对业务系统造成影响,因此建议使用如下设置,使数据库服务只向前端机提供,此方法实现简单,效果明显,风险小,回退简便,推荐使用:修改sqlnet.ora文件(在$ORACLE_HOMEnetworkadmin下) tcp.validnode_c
10、hecking=yes#允许访问的iptcp.invited_nodes =(ip1,ip2,.)tcp.excluded_nodes=(ip1,ip2,) 需要重启oracle服务 此时,除指定IP外,其他地址将无法访问数据库服务,防止了潜在的被攻击风险,扫描器也将无法扫描到数据库漏洞。3.2 关于oracle全面的加固建议补丁管理操作编号Oracle-01001操作名称补丁安装实施方案登陆http:/ 及http:/ USER IDENTIFIED BY ;实施目的防止渗透者通过默认的帐号口令登陆系统而带来的威胁。实施风险需要在修改前确认使用此帐号的真实情况。确保在应用程序的连接串、脚本中
11、此密码同步修改,否则可能导致某些应用无法连接。回退方案重置口令:sqlALTER USER IDENTIFIED BY ;实施主机操作编号Oracle-02002操作名称锁定暂时不使用的数据库用户实施方案用以下命令锁定暂时不使用的数据库用户:sqlALTER USER ACCOUNT LOCK;实施目的限制可以登陆数据库用户的个数,降低风险。实施风险和数据库管理员确认后,确定某些用户不需要具有DBA的权限再实施回退方案对锁定用户进行解锁:sqlALTER USER ACCOUNT UNLOCK;实施主机操作编号Oracle-02003操作名称删除确定不使用的数据库用户实施方案用以下命令删除确定
12、不使用的数据库用户:sqlDROP USER CASCADE;实施目的限制可以登陆数据库用户的个数,降低风险。实施风险和数据库管理员确认后,确定某些用户没有存在必要再实施。并对用户相关信息及所有对象备份。回退方案重新建立用户:sqlCREATE USER ;实施主机操作编号Oracle-02004操作名称设置口令安全策略实施方案下面是一个完整的创建概要文件的实例sql语句:sqlCREATE PROFILE LIMIT CPU_PER_SESSION 1000 CPU_PER_CALL 1000 CONNECT_TIME 30 COMPOSITE_LIMIT 1000000 FAILED_LOGIN_ATTEMPTS 10 PASSWORD_REUSE_MAX UNLIMITED PASSWORD_REUSE_TIME 120 PASSWORD_VERIFY_FUNCTION DEFAULT; 更改参数实例:sqlALTER PROFILE LIMIT FAILED_LOGIN_ATTEMPTS=3;为一个具体用户分配概要文件:sqlALTER USER PROFILE ;实施目的控制单个用户消耗的系统资源数量,并进行与密码有关的限制。实施风险口令到期后,普通帐号会不能登陆数据库,必须用SYS帐号解除锁定。当有人恶意尝试登陆某一用户到一定次数时,会导致该用户锁定,可能会对
