1.
應刪除或鎖定與設備運行、維護等工作無關的賬號。
加固建議
參考配置操作
刪除用戶:#userdel username;
鎖定用戶:
1)修改cat /etc/shadow文件,用戶名後加*LK*
2)將cat /etc/passwd文件中的shell域設置成/bin/false
3)#passwd -l username
只有具備超級用戶權限的使用者方可使用,#passwd -l username鎖定用戶,用#passwd –d
username解鎖後原有密碼失效,登錄需輸入新密碼,修改/etc/shadow能保留原有密碼。
禁止賬號交互式登錄:
修改/etc/shadow文件,用戶名後密碼列爲NP;
"
2.
配置可遠程訪問地址範圍
"
問題描述
對於通過IP協議進行遠程維護的設備,設備應支持對允許登陸到該設備的IP地址範圍進行設定
加固建議
參考配置操作
編輯/etc/default/inetd文件,將其中的ENABLE_TCPWRAPPERS行前的註釋去掉,並修改ENABLE_TCPWRAPPERS=NO爲ENABLE_TCPWRAPPERS=YES。
編輯/etc/hosts.allow和/etc/hosts.deny兩個文件
vi /etc/hosts.allow
增加一行 <service>: 允許訪問的IP;舉例如下:
sshd:192.168.1.:allow #允許192.168.1的整個網段使用ssh訪問
in.telnetd:192.168.1. #允許192.168.1網段的IP通過telnet登錄。
sshd:132.96.:allow #允許132.96的整個網段使用ssh訪問
in.telnetd:132.96. #允許132.96網段的IP通過telnet登錄
vi /etc/hosts.deny
增加如下:
in.telnetd:all #拒絕所有IP通過telnet訪問
sshd:all
#拒絕所有IP通過ssh訪問
重啓進程或服務:
#pkill -HUP inetd
#/etc/init.d/inetsvc stop
#/etc/init.d/inetsvc start
3.
禁止ICMP重定向
"問題描述
主機系統應該禁止ICMP重定向,採用靜態路由
加固建議
參考配置操作
禁止系統發送ICMP重定向包:
在/etc/rc2.d/S??inet中做如下參數調整,或在命令行中輸入:
ndd -set /dev/ip ip_send_redirects 0 # default is 1
ndd -set /dev/ip ip6_send_redirects 0
設置in.routed運行在靜態路由模式:
創建文件/usr/sbin/in.routed爲以下內容:
#! /bin/sh
/usr/sbin/in.routed –q
改變文件屬性:
chmod 0755 /usr/sbin/in.routed
"
4.
關閉不必要的數據包轉發功能
"問題描述
對於不做路由功能的系統,應該關閉數據包轉發功能
加固建議
參考配置操作
vi /etc/init.d/inetinit:
IP Forwarding (IP轉發)
a. 關閉IP轉發
ndd -set /dev/ip ip_forwarding 0
b. 嚴格限定多主宿主機,如果是多宿主機,還可以加上更嚴格的限定防止ip
spoof的攻擊
ndd -set /dev/ip ip_strict_dst_multihoming 1
c.
轉發包廣播由於在轉發狀態下默認是允許的,爲了防止被用來實施smurf攻擊,關閉這一特性
ndd -set /dev/ip ip_forward_directed_broadcasts 0
路由:
a. 關閉轉發源路由包
ndd -set /dev/ip ip_forward_src_routed 0
或在命令行中輸入:
ndd -set /dev/ip ip_forwarding 0
ndd -set /dev/ip ip_strict_dst_multihoming 1
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
"
5.
配置交互用戶登陸超時
"問題描述
對於具備字符交互界面的設備,應配置定時帳戶自動登出
加固建議
參考配置操作
可以在用戶的.profile文件中""HISTFILESIZE=""後面增加如下行:
vi /etc/profile
$ TMOUT=180;export TMOUT
改變這項設置後,重新登錄纔能有效。
"
6.
重要文件和目錄的權限設置
"問題描述
涉及賬號、賬號組、口令、服務等的重要文件和目錄的權限設置不能被任意人員刪除,修改。
加固建議
參考配置操作
查看重要文件和目錄權限:ls –l
更改權限:
對於重要目錄,建議執行如下類似操作:
# chmod -R 750 /etc/init.d/*
這樣只有root可以讀、寫和執行這個目錄下的腳本。
"
7.
設置eeprom 安全密碼
"問題描述
設置eeprom 安全密碼。
加固建議
參考配置操作
增加eeprom硬件口令保護:
# /usr/sbin/eeprom (顯示當前eeprom配置)
# /usr/sbin/eeprom security-mode=command ( 可選的有command, full,
none)
ASdfg_123
# eeprom security-password命令給openboot設置強壯口令
"
8.
關閉不必要的進程和服務
"問題描述
列出系統啓動時自動加載的進程和服務列表,不在此列表的需關閉
加固建議
參考配置操作
檢查/etc/rc2.d和/etc/rc3.d目錄下的所有""S""打頭的腳本文件,將那些啓動不必要服務的腳本文件改名,確認新文件名不以""S""打頭。
重啓動確認這些變動生效,檢查/var/adm/messages日誌文件,用ps -elf檢查是否還有無關進程啓動。
"
[root@GDN0C-ZHWG-04 rc2.d]# ls
K01tog-pegasus
K24irda
K68rpcidmapd
K89rdisc
S12syslog
K02cups-config-daemon
K25squid
K69rpcgssd
K90bluetooth
S15mdmonitor
K02haldaemon
K30sendmail
K72autofs
K94diskdump
S26apmd
K02NetworkManager
K30spamassassin
K73ypbind
K95firstboot
S40smartd
K03messagebus
K35smb
K74ipmi
K95kudzu
S50iprinit
K03rhnsd
K35vncserver
K74nscd
K99readahead
S50iprupdate
K05atd
K35winbind
K74ntpd
K99readahead_early S51iprdump
K05saslauthd
K36mysqld
K75netfs
S02lvm2-monitor