梦网Linux主机安全加固建议报告.doc

编号：

湖南移动平安加固工程

梦网Linux系统平安加固建议报告

V1.0

北京启明星辰信息技术

VenusInformationTechnology(Beijing)

2006年7月

声明：本文档是启明星辰信息技术M2S中心为湖南移动平安效劳工程提交文档的一局部，文档的所有权归启明星辰公司所有，任何对本文档的修改、发布、传播等行为都需要获得启明星辰公司的授权，启明星辰公司保存对违反以上声明的组织或个人追究责任，直至诉诸法律的权力。

概述

资产编号

梦网系统平安加固设备及邮件系统设备表23－41、44

目标IP地址

详见《梦网系统平安加固设备及邮件系统设备表》

操作系统

Linux

用途

详见《梦网系统平安加固设备及邮件系统设备表》

备注

平安加固措施

关闭不需要的效劳

加固措施

关闭以下效劳：

portmap

nfslock

named

sendmail

nfs

autofs

存在风险

必须确认所关闭的效劳是不需要的，否那么可能对应用系统产生影响。

是否加固

□执行加固□不执行加固

执行人员

□启明星辰□湖南移动

锁定不需要的帐号

加固措施

锁定以下无用帐号：

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

gopher

ftp

nobody

vcsa

rpm

netdump

nscd

ident

sshd

rpc

rpcuser

nfsnobody

mailnull

smmsp

pcap

xfs

ntp

gdm

desktop

存在风险

必须确认所禁用的帐号是不在需要的，否那么可能对应用系统产生影响。

是否加固

□执行加固□不执行加固

执行人员

□启明星辰□湖南移动

限制FTP访问

加固措施

限制以下FTP用户访问：

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

gopher

ftp

nobody

vcsa

rpm

netdump

nscd

ident

sshd

rpc

rpcuser

nfsnobody

mailnull

smmsp

pcap

xfs

ntp

gdm

desktop

存在风险

必须确认所限制的帐号是不需要的，否那么可能对应用系统产生影响。

是否加固

□执行加固□不执行加固

执行人员

□启明星辰□湖南移动

口令策略设置

加固措施

编辑/etc/login.defs文件，设置口令策略：

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

PASS_MIN_LEN 8

PASS_WARN_AGE 30

存在风险

必须确认已存在帐号符合以上设置的口令策略，否那么可能对应用系统产生影响

是否加固

□执行加固□不执行加固

执行人员

□启明星辰□湖南移动

内核参数设置

加固措施

编辑sysctl.conf文件，参加以下内容：

oute=0

net.ipv4.conf.default.send_redirects=0

net.ipv4.conf.default.accept_redirects=0

net.ipv4.icmp_echo_ignore_broadcasts=1

net.ipv4.ip_forward=0

存在风险

系统内核平安参数设置，对系统及应用无影响。

是否加固

□执行加固□不执行加固

执行人员

□启明星辰□湖南移动

修改banner信息

加固措施

清空文件/etc/issue内容

清空文件/etc/内容

存在风险

无

是否加固

□执行加固□不执行加固

执行人员

□启明星辰□湖南移动

CDE限定任意用户XDMCP登录连接

加固措施

修改/etc/X11/xdm/Xaccess文件和修改/etc/X11/gdm/gdm.conf文件进行访问控制。

存在风险

必须确认所关闭的效劳是不需要的，否那么可能对应用系统产生影响。

是否加固

□执行加固