HP-Unix主机操作系统加固规范

服务器主机加固正文：1、服务器主机加固概述服务器主机加固是一系列措施的集合，通过加强服务器主机的安全性能，减少遭受网络攻击的风险。

本文档旨在提供一个详细的服务器主机加固范本，供参考使用。

2、硬件配置加固2.1 安装可靠的硬件设备：选择具有良好口碑和信誉的硬件供应商，确保服务器主机的硬件设备是可靠的。

2.2 安全存储：对服务器主机的硬盘进行加密，以防止数据泄露。

同时，及时备份重要数据，并存储在安全的位置。

3、操作系统加固3.1 及时更新操作系统：确保服务器主机的操作系统是最新版本，并及时更新安全补丁以修复已知漏洞。

3.2 关闭不需要的服务和端口：仅开启必要的服务和端口，并且限制访问权限，减少潜在的攻击面。

3.3 强化访问控制：通过设置强密码策略、启用防火墙和配置访问控制列表等方式，加强对服务器主机的访问控制。

3.4 安装安全软件：安装杀毒软件、防火墙和入侵检测系统等安全软件，对服务器主机进行实时保护。

4、应用软件加固4.1 及时更新应用软件：保持应用软件是最新版本，并及时更新安全补丁以修复已知漏洞。

4.2 禁用不必要的功能和插件：仅开启必要的功能和插件，禁用不安全或不需要的功能，减少攻击风险。

4.3 强制访问控制：对应用软件进行访问控制的配置，限制用户的权限和访问范围。

5、数据安全加固5.1 加密敏感数据：对服务器主机中的敏感数据进行加密存储，确保数据在传输和储存过程中的安全性。

5.2 定期备份数据：定期备份重要数据，并将备份数据存储在安全的位置，以防止数据丢失。

5.3 网络传输加密：通过使用加密协议（如SSL/TLS）保证数据在网络传输过程中的安全性。

6、监控与审计6.1 配置日志记录：启用服务器主机的日志记录功能，并设置适当的日志级别和日志存储策略，以便及时发现异常行为和安全事件。

6.2 异常行为检测：使用入侵检测系统（IDS）或安全信息和事件管理系统（SIEM）等工具来检测服务器主机上的异常行为。

一、HP-UX 11.00系统安全补丁升级加固1．PHNE_26096；修补telnetd服务器安全弱点2．PHNE_23949；修补ftpd服务器安全弱点3．PHCO_26089；修补passwd文件被破坏安全弱点4．PHNE_27886；修补TCP/IP堆栈安全弱点5．PHKL_27180；修补Ptrace拒绝服务攻击安全弱点6．PHCO_27132；修补Lp缓冲区溢出系列安全弱点7．PHSS_27869；修补CDE系列安全弱点8．PHSS_26138；修补HP-UX OpenView SNMP agent相关安全弱点9．检查补丁情况swlist –l product二、HP-UX系统配置安全加固1．加固系统TCP/IP配置编辑/etc/rc.config.d/nddconfig文件：TRANSPORT_NAME[1]=ipNDD_NAME[1]=ip_forward_directed_broadcastsNDD_VALUE[1]=0TRANSPORT_NAME[2]=ipNDD_NAME[2]=ip_forward_src_routedNDD_VALUE[2]=0TRANSPORT_NAME[3]=ipNDD_NAME[3]=ip_forwardingNDD_VALUE[3]=0TRANSPORT_NAME[4]=ipNDD_NAME[4]=ip_pmtu_strategyNDD_VALUE[4]=1TRANSPORT_NAME[5]=ipNDD_NAME[5]=ip_send_redirectsNDD_VALUE[5]=0TRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_send_source_quenchNDD_VALUE[6]=0TRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_check_subnet_addressNDD_VALUE[7]=0TRANSPORT_NAME[8]=ipNDD_NAME[8]=ip_respond_to_echo_broadcastNDD_VALUE[8]=0文件保存后运行ndd –c。

主机加固技术标准Securing a host environment is crucial in ensuring the confidentiality, integrity, and availability of information stored on a computer system. Host hardening techniques help organizations protect their infrastructure from potential cyber threats and unauthorized access. By implementing a set of security measures and controls, organizations can reduce the risk of security breaches and data breaches.主机加固是保护计算机系统上存储的信息的机密性、完整性和可用性的关键措施。

主机加固技术有助于组织保护基础设施免受潜在的网络威胁和未经授权的访问。

通过实施一套安全措施和控制措施，组织可以降低安全漏洞和数据泄露的风险。

Host hardening involves configuring a host operating system, applications, and services to reduce security vulnerabilities and potential attack surfaces. This process typically includes disabling unnecessary services, applying security patches, and configuring access controls. By following host hardening best practices,organizations can improve their overall security posture and mitigate the risk of cyber attacks.主机加固涉及配置主机操作系统、应用程序和服务，以减少安全漏洞和潜在的攻击面。

一、HPUX设备安全加固项目1、检查是否禁止ip路由转发1、执行备份记录需要修改的可调参数值cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行下列命令，设置参数使参数在当前系统状态下临时生效：ndd -set /dev/ip ip_forwarding 0建立启动项，使参数重启后永久生效：cd /etc/rc.config.dcat<<EOF >> nddconf# Don't ip forwardingTRANSPOR T_NAME[0]=ipNDD_NAME[0]= ip_forwardingNDD_V A LUE[0]=0EOFchown root:sys nddconfchmod go-w,ug-s nddconf2、检查口令生存周期要求1、执行备份：cp -p /etc/default/security /etc/default/security_bakcp -p /etc/passwd /etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi /etc/default/security修改以下各项参数：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28或者采用如下方法：以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置：logins -ox \ | awk -F: '($8 != "LK" && $1 != "root") { print $1 }' \ | while read logname; do passwd –x 91 –n 7 –w 28 "$logname" /usr/lbin/modprpw -mexptm=90,mintm=7,expwarn=30 \ "$logname" done echoPASSWORD_MAXDAYS=91 >> /etc/default/security echo PASSWORD_MINDAYS=7 >> /etc/default/security echo PASSWORD_WARNDAYS=28 >> /etc/default/security/usr/lbin/modprdef -m exptm=90,mintm=7,expwarn=30用户将在密码过期前的30天收到警告信息（28 天没有运行在HP-UX 的Trusted 模式）不建议操作3、检查是否关闭inetd中不必要服务1、执行备份：#cp -p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要服务：#vi /etc/inetd.conf在非必要服务前面加#注释3、重新启动inetd：#/sbin/init.d/inetd restart执行，关闭的服务需确认4、检查用户缺省UMASK设置默认权限：cd /etcfor file in profile csh.login d.profile d.logindo echo umask 027 >> "$file"donech_rc -a -p UMASK=027 /etc/default/security在/etc目录下的profile csh.login d.profile d.login文件尾部增加umask 027修改文件或目录的权限，操作举例如下：#chmod 444 dir #修改目录dir的权限为所有人都为只读。

1系统加固概述系统加固和优化服务是实现客户信息系统安全的关键环节。

通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。

1.1系统加固的对象安全隐患1.安装、配置不符合安全需求；2.参数配置错误；3.使用、维护不符合安全需求；4.系统完整性被破坏；5.被注入木马程序；6.帐户/口令问题；7.安全漏洞没有及时修补；8.应用服务和应用程序滥用；9.应用程序开发存在安全问题等。

1.2系统加固和优化服务的目的系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作：1.正确的安装；2.安装最新和全部OS和应用软件的安全补丁；3.操作系统和应用软件的安全配置；4.系统安全风险防范；5.提供系统使用和维护建议；6.系统功能测试；7.系统安全风险测试；8.系统完整性备份；9.必要时重建系统等。

1.3系统加固的准备工作系统加固和优化是一项十分复杂的工作，要经历几个过程的反复，为保证系统加固和化能够顺利进行并圆满完成，必须做好以下准备工作：1.明确系统加固目标;2.明确系统运行状况;3.明确加固风险4.做好系统备份以规避加固风险；上述工作的结果决定了系统加固和优化的流程、实施的内容、步骤和复杂程度。

具体说，则可以归纳为：1.明确加固目标也就确定系统在做过加固和优化后，达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同. 明确加固目标的结果必须能够明确做加固和优化的系统如何在功能性与安全性之间寻求平衡，即加固后能达到的安全程度可以满足用户需求2.明确系统运行状况的内容包括:●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。

●系统上运行的应用系统及其正常所必需的服务。

3.明确加固风险:系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。

系统安全加固手册1帐户安全配置要求1.1创建/etc/shadow影子口令文件1.2建立多帐户组，将用户账号分配到相应的帐户组1.3删除或锁定可能无用的帐户1.4删除可能无用的用户组1.5检查是否存在空密码的帐户1.6设置口令策略满足复杂度要求1.7设置帐户口令生存周期1.8设定密码历史，不能重复使用最近5次（含5次）内已使用的口令1.9限制root用户远程登录1.10 检查passwd、group文件权限设置1.11系统umask设置2访问、认证安全配置要求2.1远程登录取消telnet采用ssh2.2限制系统帐户FTP登录2.3配置允许访问inetd服务的IP范围或主机名2.4禁止除root外帐户使用at/cron2.5设定连续认证失败次数超过6次（不含6次）锁定该账号3文件系统安全配置要求3.2检查没有所有者的文件或目录4网络服务安全配置要求4.1禁止NIS/NIS+服务以守护方式运行4.2禁用打印服务以守护方式运行4.3禁用SENDMAIL服务以守护方式运行4.4禁用不必要的标准启动服务1执行备份：使用cp命令备份需要修改的文件2、设置参数：执行下列命令，禁用SNAplus2服务#ch_rc -a -p START_SNAPLUS=O -p START_SNANODE=0 -pSTART_SNAINETD=O /etc/rc.co nfig.d/s naplus2执行下列命令，禁用多播路由服务#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -pSTART_RBOOTD=0 /etc/rc.co nfig.d/netdaemo ns执行下列命令，禁用DFS分布式文件系统服务#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -pDFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.co nfig.d/dfs执行下列命令，禁用逆地址解析服务操作步骤#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.co nfig.d/netc onf 执行下列命令，禁用响应PTY （伪终端）请求守护进程#ch_rc -a -p PTYDAEMON_START=0 /etc/rc.co nfig.d/ptydaem on 执行下列命令，禁用响应VT （通过LAN登录其他系统）请求守护进程#ch rc -a -p VTDAEMON START=0 /etc/rc.config.d/vt 执行下列命令，禁用域名守护进程#ch_rc -a -p NAMED=0 /etc/rc.co nfig.d/namesvrs执行下列命令，禁用SNMP代理进程#ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.co nfig.d/peer.s nmpd 执行下列命令，禁用授权管理守护进程#ch_rc -a -p START_I4LMD=0 /etc/rc.co nfig.d/i4lmd执行下列命令，禁用X字体服务#ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.co nfig.d/xfs 执行下列命令，禁用语音服务#ch_rc -a -p AUDIO_SERVER=0 /etc/rc.c on fig.d/audio 执行下列命令，禁用SLSD（Single-Logical-Screen-Daemon）服务#ch_rc -a -p SLSD_DAEMON=0 /etc/rc.co nfig.d/slsd 执行下列命令，禁用SAMBA服务4.5禁用不必要的inetd服务5 IP协议安全配置要求5.1关闭IP转发5.2关闭转发源路由包5.3增大最大半连接数防范SYN攻击5.4关闭ICMP重定向5.5关闭响应echo广播5.6关闭响应地址掩码和时间戳广播防止探测6日志安全配置要求6.1非日志服务器禁止接收syslog6.2启用inetd日志记录6.3 配置SYSLOG6.4检查系统日志文件权限7其他安全配置要求7.1字符交互界面帐户超时自动退出7.2图形界面设置默认自动锁屏时间为10分钟。

主机加固及安全评估主机加固是指对计算机主机进行一系列安全配置和设置，以增强主机的安全性和防护能力。

主机加固可以通过以下几个方面来实施：1. 操作系统安全配置：对主机操作系统进行安全配置，包括禁用不必要的服务和端口、启用防火墙、更新操作系统补丁等。

2. 安全策略设置：制定合理的安全策略，包括密码策略、账号锁定策略、访问控制策略等，保障主机的访问安全。

3. 强化系统权限控制：设置合理的用户权限和访问控制列表（ACL），限制非授权用户对系统资源的访问。

4. 安全审计和日志管理：启用系统的审计功能，对主机安全事件进行监控和记录，及时发现和应对安全威胁。

5. 恶意软件防护：安装并定期更新杀毒软件、防火墙等安全工具，及时发现和清除恶意软件。

6. 数据备份和恢复：定期备份重要数据，并保证备份数据的安全性，以防止数据丢失或被破坏。

安全评估是指对主机的安全状况进行全面的、系统的评估和测试。

安全评估主要包括以下几个方面：1. 威胁分析：评估主机可能面临的各种潜在威胁，包括外部攻击、内部威胁、物理威胁等。

2. 风险评估：对主机的风险进行评估，包括确定潜在风险的概率和影响程度，为加固提供依据。

3. 漏洞扫描和渗透测试：利用专业的工具对主机进行扫描和测试，发现系统中存在的漏洞和弱点，以及验证安全措施的有效性。

4. 安全策略评估：评估主机上已实施的安全策略的合理性和有效性，发现潜在的安全问题和隐患。

5. 日志分析和安全事件响应：对主机上的日志进行分析，及时发现和处理异常活动和安全事件，提升安全事件响应能力。

综合主机加固和安全评估，可以全面提升主机的安全性，保护系统资源和数据的机密性、完整性和可用性。

H P-U N I X操作系统安全配置规范目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明.......................................................................................................... 错误！未定义书签。

1.3外部引用说明.............................................................................................................. 错误！未定义书签。

1.4术语和定义.................................................................................................................. 错误！未定义书签。

1.5符号和缩略语 (1)2HP-UX设备安全配置要求 (1)2.1账号管理、认证授权 (2)2.1.1账号 (2)2.1.2口令 (5)2.1.3授权 (7)2.2日志配置要求 (10)2.3IP协议安全配置要求 (12)2.3.1IP协议安全 (12)2.3.2路由协议安全 (15)2.4设备其他安全配置要求 (17)2.4.1屏幕保护 (17)2.4.2文件系统及访问权限 (18)2.4.3物理端口及EEPROM的口令设置 (19)2.4.4补丁管理 (19)2.4.5服务 (20)2.4.6内核调整 (23)2.4.7启动项 (24)1概述1.1 适用范围本规范适用于使用HP-UX操作系统的设备。

本规范明确了HP-UX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的HP-UX 操作系统版本。

本规范还针对直接引用《通用规范》的配置要求，给出了在HP-UX操作系统上的具体配置方法和检测方法。

HP-Unix主机操作系统加固规范HP-Unix主机操作系统加固规范1 账号管理、认证授权1.1 账号1.1.1 SHG-HP-UX-01-01-01编号 SHG-HP-UX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。

问题影响账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态 cat /etc/passwd 记录当前用户列表实施步骤 1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

回退方案删除新增加的帐户判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注1.1.2 SHG-HP-UX-01-01-02编号 SHG-HP-UX-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。

问题影响允许非法利用系统默认账号系统当前状态cat /etc/passwd 记录当前用户列表，cat /etc/shadow 记录当前密码配置实施步骤参考配置操作删除用户：#userdel username;锁定用户：1) 修改/etc/shadow文件，用户名后加*LK*2) 将/etc/passwd文件中的shell域设置成/bin/false3) #passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

回退方案新建删除用户判断依据如上述用户不需要，则锁定。

操作系统加固手册目录1.1 Windows系统 (3)1.1.1 设置帐号口令策略 (3)1.1.2 系统账户优化 (4)1.1.3 关闭非必需服务 (6)1.1.4 设置安全审计策略 (7)1.1.5 设置合理的日志文件大小 (8)1.1.6 屏蔽之前登录的用户信息 (10)1.1.7 默认共享未关闭 (11)1.1.8 设置自动屏保锁定 (12)1.1.9 关闭autorun自动播放功能 (13)1.1.10 卸载与工作无关的软件 (14)1.2 AIX主机 (14)1.2.1 消除系统弱口令 (15)1.2.2 系统账户优化 (15)1.2.3 修改口令策略 (16)1.2.4 系统未设置登录会话时间 (17)1.2.5 禁用TCP/UDP小服务 (17)1.2.6 禁用Sendmail、SNMP服务 (18)1.2.7 采用SSH代替telnet管理维护主机 (19)1.3 HP-UX主机 (20)1.3.1 消除系统弱口令 (20)1.3.2 系统账户优化 (20)1.3.3 修改口令策略 (21)1.3.4 系统未设置登录会话时间 (22)1.3.5 关闭非必需的服务 (22)1.3.6 修改SNMP服务默认读写口令串 (24)1.3.7 采用SSH代替telnet管理维护主机 (24)1.4 Linux主机 (25)1.4.1 消除系统弱口令 (25)1.4.2 系统账户优化 (25)1.4.3 增强口令策略 (26)1.4.4 登录超时设置 (27)1.4.5 关闭非必需的服务 (28)1.4.6 采用SSH代替telnet管理维护主机 (28)1.1 Windows系统加固说明：1、加固前，备份加固中涉及的配置文件；2、加固后，测试业务应用是否正常；3、每加固一台填写一个加固记录表（在“Windows加固记录表”文件夹）1.1.1 设置帐号口令策略安全建议：打开“控制面板”－>“管理工具”，进入“本地安全策略”。

服务器操作系统安全加固在当今数字化时代，服务器的安全性是至关重要的。

服务器操作系统作为承载着企业和个人敏感数据的核心系统，安全加固是确保服务器免受外部威胁的关键措施之一。

本文将介绍一些服务器操作系统安全加固的方法，以保护服务器免受恶意攻击和数据泄露的威胁。

1. 更新操作系统服务器操作系统供应商会定期发布安全更新和补丁程序，以修复已知的漏洞和弱点。

及时应用这些更新非常重要，因为黑客往往会利用已知漏洞入侵系统。

管理员应当建立一个自动更新系统的流程，确保服务器始终运行最新版本的操作系统和相关组件。

2. 配置强密码策略强密码是服务器安全的基石。

管理员应要求用户使用长、复杂的密码，并定期更换密码。

此外，禁用默认用户名和密码，尽量避免使用常见用户名和密码组合，以提高服务器的安全性。

3. 启用防火墙防火墙是服务器安全的第一道屏障，可以监控和过滤网络流量。

管理员应确保服务器上的防火墙已正确配置，只允许必要的端口和协议通过。

定期审查和更新防火墙规则，确保服务器始终受到适当的保护。

4. 安装安全更新和防病毒软件安全更新和防病毒软件可以帮助防止恶意软件和病毒感染服务器。

定期更新这些软件非常重要，以确保其能够及时识别和阻止新的威胁。

管理员还应当定期扫描服务器，以检查潜在的安全风险和恶意软件。

5. 配置访问控制策略服务器上的访问控制策略应当仔细配置，以限制对敏感数据和系统资源的访问。

管理员应当实施最小权限原则，仅赋予用户所需的权限。

此外，应定期审查和更新访问控制策略，以适应组织内部和外部的变化。

6. 使用加密传输使用加密传输可以有效保护服务器和用户之间的敏感数据传输。

管理员应当配置服务器以使用安全协议，如SSL/TLS，以确保数据在传输过程中得到加密。

此外，还应当禁用不安全的协议和加密算法，以防止潜在的安全漏洞。

7. 定期备份数据定期备份数据是防止数据丢失和恶意攻击的重要手段。

管理员应制定定期备份策略，并确保备份的数据存储在安全的地方。

服务器和网站安全加固技术规范1.1 安全加固原理服务器安全加固是针对服务器系统（包含运行在主机上的各种软件系统）的脆弱性进行分析并修补。

另外，安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。

1.2 安全加固的目标安全加固的主要目标包括以下两点：●对系统性能进行优化配置，杜绝系统配置不当而出现的弱点；●解决目标系统在安全评估中发现的技术性安全问题。

在修补加固完全成后，所有被加固的目标系统不应存在高风险漏洞和中风险漏洞（高风险漏洞和中风险漏洞，根据CVE：Common Vulnerabilities & Exposures公共漏洞和暴露标准定义）。

如果对相关的漏洞修补加固与现有应用冲突或会导致不良后果应另行处理。

1.3 安全加固的原则安全加固的基本原则如下：●安全加固内容不能影响目标系统所承载的业务运行；●安全加固不能严重影响目标系统的自身性能；●加固操作不能影响与目标系统以及与之相连的其它系统的安全性，也不能造成性能的明显下降。

1.4 操作系统安全加固1.4.1 Windows（2003 Server）系统安全加固将Windows自动更新更改为使用校内WSUS服务器：服务器地址：192.168.32.180：8530更新命令：wuauclt /detectnow1.4.2 Linux（RedHat AS）操作系统安全加固1.5 Web服务软件安全加固1.5.1 IIS安全加固1.5.2 Apache安全加固1.5.3 Tomcat安全加固1.5.4 PHP安全加固1.6 安全加固风险规避措施安全加固过程的最大的风险在于测试过程中对业务产生影响，采取以下措施来减小风险：在安全加固中不使用有潜在风险的加固建议。

安全加固时间尽量安排在业务量不大的时段或者晚上。

在安全加固过程中如果出现被加固系统没有响应的情况，应当立即停止加固工作，并且进行详细分析。

操作人员对本次安全加固过程中的数据进行完整记录：操作、响应、分析。

竭诚为您提供优质文档/双击可除中国移动hp-unix操作系统安全配置规范,pan.baidu篇一：hp-unix安全配置基线hp-unix系统安全配置基线中国移动通信有限公司管理信息系统部20xx年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述................................................. ................................................... .....................................51.11.21.31.41.5目的................................................. ................................................... .....................................5适用范围................................................. ................................................... .............................5适用版本................................................. ................................................... .............................5实施................................................. ................................................... .....................................5例外条款................................................. ................................................... .. (5)第2章帐户管理、认证授权................................................. ................................................... .........62.1帐户................................................. ................................................... (6)2.1.1默认帐户*.................................................. ................................................... ..........................62.1.2远程登录限制................................................. ................................................... .....................62.1.3帐户清理*.................................................. ................................................... ..........................62.1.4帐户用户共享限制*.................................................. ................................................... ..........72.1.5帐户组管理*.................................................. ................................................... ......................72.2口令................................................. ................................................... .....................................82.2.1口令强度要................................................... .....................82.2.2口令生存周期要求................................................. ................................................... .............92.2.3口令历史安全要求................................................. ................................................... .............92.2.4登录失败安全要求*.................................................. ................................................... ........102.2.5默认访问权限安全要求................................................. ................................................... ...102.2.6Ftp访问安全要求*.................................................. ................................................... ........11第3章审计功能配置................................................. ................................................... ...................123.1审计日................................................... (12)3.1.1审计日志功能*.................................................. ................................................... ................123.1.2远程日志要求*.................................................. ................................................... ................12第4章ip协议安全配置要求................................................. ................................................... ......144.1ip协议................................................. ................................................... . (14)4.1.1远程维护协议安全................................................. ................................................... ...........144.1.2开放服务及进程限制*......................................................144.1.3远程维护地址限制*.................................................. ................................................... ........154.1.4网络参数优化要求................................................. ................................................... ...........174.1.5非路由设备转发限制*.................................................. ................................................... ....18第5章设备其他安全配置要求................................................. ................................................... ...205.15.25.3访问控制................................................. ................................................... ...........................20服务................................................. ................................................... ...................................20其他................................................. (21)5.1.1引导身份验证................................................. ................................................... ..................205.2.1服务安全要求*.................................................. ................................................... ...............205.3.1屏幕锁定要求*.................................................. ................................................... . (21)5.3.2重要文件及目录访问权限控制................................................. ..........................................215.3.3系统补丁要求*.................................................. ................................................... ................225.3.4服务器时间同步................................................. ................................................... ...............235.3.5nFs服................................................... ............................245.3.6防止堆栈缓冲溢出................................................. ................................................... ...........245.3.7系统加载服务及进程控制*.................................................. ...............................................25第6章评审与修订................................................. ................................................... .. (28)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的hp-unix操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行hp-unix操作系统的安全合规性检查和配置。

服务器操作系统安全设置与加固指南服务器操作系统是构建互联网基础设施的重要组成部分，它承载着存储、计算和分发数据的重要责任。

保护服务器操作系统的安全性对于保护网站和应用程序的正常运行至关重要。

本文将详细介绍服务器操作系统的安全设置与加固指南，以帮助您提高服务器的安全性并保护敏感数据。

I. 密码安全1. 使用强密码服务器操作系统的密码应该是强密码，包含足够的字符数、数字、字母和特殊字符，并且不易被猜测到。

2. 定期更换密码建议定期更换服务器操作系统的密码，例如每个月或每个季度更换一次，以降低密码泄漏的风险。

II. 用户权限管理1. 最小权限原则为了减少系统被攻击的潜在危险，应仅为需要的用户分配最低权限。

只有在必要的情况下，使用管理员权限。

2. 用户账户管理定期审查已注册用户账户，删除不再需要的账户，并确保每个账户都有独立密码。

III. 更新与补丁1. 定期更新操作系统和应用程序定期更新服务器操作系统和相关应用程序，以获取最新的安全补丁和功能改进。

2. 自动更新机制启用自动更新机制，确保服务器操作系统在可用更新发布后能够及时进行更新。

IV. 防火墙与网络安全1. 启用防火墙通过启用安全防火墙来保护服务器，只允许必要的进出流量，并拒绝未经授权的连接。

2. 权限限制限制服务器上网卡的使用权限和端口的访问权限，仅允许必要的网络连接。

V. 安全审计与监控1. 日志记录启用服务器操作系统的安全日志记录，并设置为将日志信息保存至安全服务器，以便进行后续审计与分析。

2. 实时监控使用实时监控工具对服务器操作系统进行监控，及时发现异常行为和潜在威胁，并采取相应的对策。

VI. 数据备份与恢复1. 定期备份数据定期备份服务器上的重要数据，并将其保存在安全的位置，以防止数据丢失或意外删除。

2. 测试数据恢复定期测试数据备份的可用性，并确保能够成功恢复服务器数据。

VII. 软件限制与审查1. 软件限制限制服务器上可运行的软件，仅允许经过安全审查和授权的软件运行。

SUSE Linux主机操作系统安全加固操作规范V1.0SUSE Linux主机操作系统安全加固操作规范SUSE Linux主机操作系统安全加固操作规范 2021年6月1SUSE Linux主机操作系统安全加固操作规范1 文档使用说明 ........................................................................... . (8)1.1 适用范围 ........................................................................... ................................................. 8 1.2 适用人员 ........................................................................... ................................................. 8 2 帐号 ........................................................................... . (8)2.1 SUSE-ACCT-01-设置专用维护帐号 ........................................................................... (8)2.1.1 安全要求： ......................................................................... .................................... 8 2.1.2 通用策略： ......................................................................... .................................... 8 2.1.3 风险说明： ......................................................................... .................................... 8 2.1.4 操作方法： ......................................................................... .................................... 9 2.1.5 操作验证： ......................................................................... .................................. 10 2.2 SUSE-ACCT-02-锁定/删除无用帐号 ........................................................................... (10)2.2.1 安全要求： ........................................................................................................... 10 2.2.2 通用策略： ......................................................................... .................................. 10 2.2.3 风险说明： ......................................................................... .................................. 10 2.2.4 操作方法： ......................................................................... .................................. 10 2.2.5 操作验证： ......................................................................... .................................. 11 2.3 SUSE-ACCT-03-用户帐号分组 ........................................................................... ............ 11 2.3.1 要求内容： ......................................................................... .................................. 11 2.3.2 通用策略： ......................................................................... .................................. 11 2.3.3 风险说明： ......................................................................... .................................. 11 2.3.4 操作方法： ......................................................................... .................................. 11 2.3.5 操作验证: .......................................................................... (12)3 口令 ........................................................................... ................................................................. 12 3.1 SUSE-PWD-01-配置用户口令复杂度 ............................................................................12 3.1.1 安全要求： ......................................................................... .................................. 12 3.1.2 通用策略： ......................................................................... .................................. 12 3.1.3 风险说明： ......................................................................... .................................. 12 3.1.4 操作方法： ......................................................................... .................................. 13 3.1.5 操作验证： ......................................................................... .................................. 13 3.2 SUSE-PWD-02-配置用户口令期限 ........................................................................... .. (14)3.2.1 安全要求： ......................................................................... .................................. 14 3.2.2 通用策略： ......................................................................... .................................. 14 3.2.3 风险说明： ......................................................................... .................................. 14 3.2.4 操作方法： ......................................................................... .................................. 14 3.2.5 操作验证： ......................................................................... .................................. 15 3.3 SUSE-PWD-03-配置用户口令重复使用次数 . (15)3.3.1 安全要求： ......................................................................... .................................. 15 3.3.2 通用策略： ......................................................................... .................................. 15 3.3.3 风险说明： ......................................................................... .................................. 15 3.3.4 操作方法： ......................................................................... .................................. 15 3.3.5 操作验证： ......................................................................... . (16)2SUSE Linux主机操作系统安全加固操作规范 3.4 SUSE-PWD-04-配置用户认证失败锁定策略 (16)3.4.1 安全要求： ......................................................................... .................................. 16 3.4.2 通用策略： ......................................................................... .................................. 16 3.4.3 风险说明： ......................................................................... .................................. 16 3.4.4 操作方法： ......................................................................... . (17)4 服务 ........................................................................... .. (19)4.1 SUSE-SVC-01-查看开放系统服务端口 (19)4.1.1 安全要求： ......................................................................... .................................. 19 4.1.2 通用策略： ......................................................................... .................................. 19 4.1.3 风险说明： ......................................................................... .................................. 19 4.1.4 操作方法： ......................................................................... .................................. 19 4.1.5 操作验证： ......................................................................... .................................. 19 4.2 SUSE-SVC-02-禁用无用inetd/xinetd服务 .. (20)4.2.1 安全要求： ......................................................................... .................................. 20 4.2.2 通用策略： ......................................................................... .................................. 20 4.2.3 风险说明： ......................................................................... .................................. 20 4.2.4 操作方法： ......................................................................... .................................. 20 4.2.5 操作验证： ......................................................................... .................................. 20 4.3 SUSE-SVC-03-配置NTP时间同步 ........................................................................... .. (21)4.3.1 安全要求： ......................................................................... .................................. 21 4.3.2 通用策略： ......................................................................... .................................. 21 4.3.3 风险说明： ........................................................................................................... 21 4.3.4 操作方法： ......................................................................... .................................. 21 4.3.5 操作验证： ......................................................................... .................................. 22 4.4 SUSE-SVC-04-停用NFS服务 ........................................................................... . (22)4.4.1 安全要求： ......................................................................... .................................. 22 4.4.2 通用策略： ......................................................................... .................................. 22 4.4.3 风险说明： ......................................................................... .................................. 22 4.4.4 操作方法： ......................................................................... .................................. 23 4.4.5 操作验证： ......................................................................... .................................. 24 4.5 SUSE-SVC-05-禁用无关启动服务 ........................................................................... (24)4.5.1 安全要求： ......................................................................... .................................. 24 4.5.2 通用策略： ......................................................................... .................................. 24 4.5.3 风险说明： ......................................................................... .................................. 25 4.5.4 操作方法： ......................................................................... .................................. 25 4.5.5 操作验证： ......................................................................... .................................. 25 4.6 SUSE-SVC-06-修改SNMP默认团体名 (25)4.6.1 安全要求： ......................................................................... .................................. 25 4.6.2 通用策略： ......................................................................... .................................. 25 4.6.3 风险说明： ......................................................................... .................................. 26 4.6.4 操作方法： ......................................................................... .................................. 26 4.7 SUSE-AUTH-01-限制关键文件和目录访问权限 (27)4.7.1 安全要求： ......................................................................... .................................. 27 4.7.2 通用策略： ......................................................................... . (27)3SUSE Linux主机操作系统安全加固操作规范4.7.3 风险说明： ......................................................................... .................................. 27 4.7.4 操作方法： ......................................................................... .................................. 27 4.7.5 操作验证： ......................................................................... .................................. 28 4.8 SUSE-AUTH-02-设置用户文件默认访问权限 (28)4.8.1 安全要求： ......................................................................... .................................. 28 4.8.2 通用策略： ......................................................................... .................................. 28 4.8.3 风险说明： ......................................................................... .................................. 28 4.8.4 操作方法： ......................................................................... .................................. 29 4.8.5 操作验证： ......................................................................... .................................. 29 4.9 SUSE-AUTH-03-设置EEPROM密码 (29)求： ......................................................................... .................................. 29 4.9.2 通用策略： ......................................................................... .................................. 29 4.9.3 风险说明： ......................................................................... .................................. 29 4.9.4 操作方法： ......................................................................... .................................. 30 4.9.5 操作验证： ......................................................................... .................................. 30 4.10 SUSE-AUTH-04-使用SSH代替TELNET远程登陆 .. (30)4.10.1 安全要求： ......................................................................... ................................ 30 4.10.2 通用策略： ......................................................................... ................................ 30 4.10.3 风险说明： ......................................................................... ................................ 30 4.10.4 操作方法： ......................................................................... ................................ 30 4.10.5 操作验证： ......................................................................... ................................ 31 4.11 SUSE-AUTH-05-限制ROOT远程登录 (31)4.11.1 安全要求： ......................................................................... ................................ 31 4.11.2 通用策略： ......................................................................... ................................ 31 4.11.3 风险说明： ......................................................................... ................................ 31 4.11.4 操作方法： ......................................................................... ................................ 31 4.11.5 操作验证： ......................................................................... ................................ 32 4.12 SEC-SUSE-AUTH-06-限制用户FTP登录 (33)求： ......................................................................... ................................ 33 4.12.2 通用策略： ......................................................................... ................................ 33 4.12.3 风险说明： ......................................................................... ................................ 33 4.12.4 操作方法： ......................................................................... ................................ 33 4.12.5 操作验证： ......................................................................... ................................ 33 4.13 SUSE-AUTH-07-限制FTP用户登录后能访问的目录 .. (34)4.13.1 安全要求： ......................................................................... ................................ 34 4.13.2 通用策略： ......................................................................... ................................ 34 4.13.3 风险说明： ......................................................................... ................................ 34 4.13.4 操作方法： ......................................................................... ................................ 34 4.13.5 操作验证： ......................................................................... ................................ 35 4.14 SUSE-AUTH-08-设置终端超时退出时间 (35)4.14.1 要求内容： ......................................................................... ................................ 35 4.14.2 通用策略： ......................................................................... ................................ 35 4.14.3 风险说明： ......................................................................... ................................ 35 4.14.4 操作方法： ......................................................................... .. (35)4SUSE Linux主机操作系统安全加固操作规范4.14.5 操作验证: .......................................................................... .................................. 36 4.15 SUSE-AUTH-09-设置图形界面超时退出时间 (36)4.15.1 要求内容： ......................................................................... ................................ 36 4.15.2 通用策略： ......................................................................... ................................ 36 4.15.3 风险说明： ......................................................................... ................................ 36 4.15.4 操作方法： ......................................................................... ................................ 36 4.15.5 操作验证: .......................................................................... .................................. 37 4.16 SUSE-AUTH-10-限制允许登录到设备的IP 地址范围 .. (37)4.16.1 安全要求： ......................................................................... ................................ 37 4.16.2 通用策略： ......................................................................... ................................ 37 4.16.3 风险说明： ......................................................................... ................................ 37 4.16.4 操作验证： ......................................................................... ................................ 38 4.17 SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 (38)4.17.1 安全要求： ......................................................................... ................................ 38 4.17.2 通用策略： ......................................................................... ................................ 38 4.17.3 风险说明： ......................................................................... ................................ 38 4.17.4 操作方法： ......................................................................... ................................ 38 4.17.5 操作验证： ......................................................................................................... 39 4.18 SUSE-AUTH-12-取消所有文件“系统文件”属性 . (40)4.18.1 安全要求： ......................................................................... ................................ 40 4.18.2 通用策略： ......................................................................... ................................ 40 4.18.3 风险说明： ......................................................................... ................................ 40 4.18.4 操作方法： ......................................................................... ................................ 40 4.18.5 操作验证： ......................................................................... ................................ 40 4.19 SUSE-AUTH-13-禁止ctrl+alt+del ................................................................. (41)4.19.1 安全要求： ......................................................................... ................................ 41 4.19.2 通用策略： ......................................................................... ................................ 41 4.19.3 风险说明： ......................................................................... ................................ 41 4.19.4 操作方法： ......................................................................... ................................ 41 4.19.5 操作验证： ......................................................................... ................................ 41 4.20 SUSE-LOG-01-记录用户登录信息 ........................................................................... . (41)4.20.1 安全要求： ......................................................................... ................................ 41 4.20.2 通用策略： ......................................................................... ................................ 42 4.20.3 风险说明： ......................................................................... ................................ 42 4.20.4 操作验证： ......................................................................... ................................ 42 4.21 SUSE-LOG-02-开启系统记帐功能 ........................................................................... . (42)4.21.1 安全要求： ......................................................................... ................................ 42 4.21.2 通用策略： ......................................................................... ................................ 42 4.21.3 风险说明： ......................................................................... ................................ 43 4.21.4 操作方法： ......................................................................... ................................ 43 4.21.5 操作验证： ......................................................................... ................................ 43 4.22 SUSE-LOG-03-记录系统安全事件 ........................................................................... . (44)4.22.1 安全要求： ......................................................................... ................................ 44 4.22.2 通用策略： ......................................................................... .. (44)5感谢您的阅读，祝您生活愉快。