业务系统安全加固实施方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业务系统安全加固实施方案
目录
1加固目的 (4)
2加固范围 (4)
3加固前准备工作 (4)
3.1加固前检查 (4)
3.2加固前备份 (5)
3.3影响分析 (6)
3.4加固操作流程 (7)
4加固实施 (7)
4.1账号管理、认证授权 (7)
4.1.1账号 (7)
4.1.2口令 (11)
4.1.3授权 (13)
4.2日志审计 (17)
4.2.1登录日志(必选) (17)
4.2.2操作审计 (18)
4.2.3本地记录系统日志 (18)
4.2.4远程记录日志 (19)
4.2.5SU操作日志 (20)
4.2.6应用日志 (20)
4.3IP协议安全 (21)
4.3.1使用SSH协议登录 (21)
4.3.2关闭不需要的IP服务端口 (22)
4.3.3鉴权远程登录的主机IP (23)
4.3.4禁止ICMP重定向 (24)
4.4屏幕保护 (25)
4.4.1超时退出登录界面 (25)
4.4.2定时锁屏 (26)
4.5文件系统及访问权限 (27)
4.5.1重要文件权限加固 (27)
4.5.2限制FTP等应用的访问目录 (27)
4.6补丁管理 (28)
4.6.1软件包裁减 (28)
4.6.2补丁包 (29)
4.7服务 (29)
4.7.1关闭不需要的服务 (29)
Email Server (31)
4.7.2NTP服务的安全配置 (31)
4.7.3NFS服务的安全配置 (32)
4.8内核调整 (33)
4.8.1防止堆栈缓冲溢出 (33)
4.9启动项 (34)
4.9.1启动项的安全配置 (34)
5加固后检查验证 (35)
5.1操作系统健康检查 (35)
5.2业务检查 (36)
6失败处理 (36)
6.1失败定义 (36)
6.2回退操作 (36)
1加固目的
随着电信业务不断发展,系统信息安全方面的投入的不断增多,在信息系统各个层面都采取一些安全防护策略。而由于网络系统本身的复杂性,各种应用系统繁多,设备采用通用操作系统、数据库和IP协议,设备自身存在的安全问题日益突出。同时,一些现网设备不符合必要的安全要求,存在较大安全隐患。针对上述问题,中国移动集团根据设备的安全现状,制定了统一的《中国移动设备安全规范》,要求设备必须符合规范的相关要求。本次安全加固项目目的在于降低风险,提高系统的稳定性和安全性,符合中国移动通信集团与山东移动对业务系统设备的安全要求。
2加固范围
3加固前准备工作
3.1加固前检查
1)、检查需要加固的主机是否满足下列条件:
2)、检查需要加固的主机承载业务是否正常
3.2加固前备份
(时间点: 晚上10:00以后,具体时间点请和客户协商)
3.3影响分析
3.4加固操作流程
主机加固整体流程如下:
1)、检查当前需加固主机业务应用正常后,重启机器,再次确认业务状态正常。(对于双机类应用,检查主备机承担业务均正常后,重启备机,对备机执行加固)
2)、设备加固实施。
3)、加固后重启,业务验证。
提供相应的加固操作说明,脚本等等
4 加固实施
预计操作时间: 120分钟
操作人员:
操作影响:部分策略实施可能会造成业务中断, 在双机系统中,实施时需先实施备机,确保备机没问题后,再实施主机.
4.1 账号管理、认证授权
4.1.1账号
1.账号专人专用(必选)
编号:安全要求-设备-SOLARIS-ACCT-01
要求内容:
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作方法:
为用户创建账号:
#useradd -m username #创建账号
#passwd username #设置密码
修改权限:
#chmod 750 user directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
操作验证:
1.验证方法:以新增的用户登录
2.预期结果:登录成功,并能进行常用操作
2. 删除无关用户(必选)
编号:安全要求-设备-SOLARIS-ACCT-02
要求内容:
应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不
可删除的内置账号,包括root,bin等。
操作方法:
需要锁定的用户:daemon、bin、sys、adm、smmsp 、listen、gdm、webservd、nobody、、noaccess。
需要删除的用户:lp、uucp、nuucp、nobody4
删除用户:
#userdel username;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
#usermod -s /bin/false USERNAME
3)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用
#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。
操作验证: