Linux项目加固清单.doc-道客多多

资源描述

1、红科网安（北京）科技有限公司 Linux主机加固清单一、加固主机列表本次安全加固服务的对象包括：编号 IP地址操作系统用途或服务服务器填写规则：编号统一使用“型号_地址缩写_数字”型号（H主机；D设备），数字使用三位数字顺序号。二、加固方案2.1 H-YT-001基本信息设备所在地正式域名/主机名外部IP地址内部IP地址红科网安（北京）科技有限公司网关域名服务器操作系统版本号硬件信息中央处理器内存外部存储设备应用服务信息名称应用服务及版本情况其他信息安全补丁情况其他情况红科网安（北京）科技有限公司 2.1.1操作系统加固方案2.1.1.1补丁安装编号： Linux-0

2、1002 Linux-01005 Linux-02001名称：补丁安装系统当前状态：实施方案：补丁地址：https:/ rpm -Fvh 文件名实施目的：可以使系统版本为最新并解决安全问题实施风险：请慎重对系统打补丁，补丁安装应当先在测试机上完成。补丁安装可能导致系统或摹写服务无法工作正常。在下载补丁包时，一定要对签名进行核实，防止执行特洛伊木马。是否实施：（客户填写）是否2.1.1.2帐号、口令策略修改编号： Linux-03001 Linux-03002 Linux-03003Linux-03004 Linux-03005名称：去除不需要的帐号、修改默认帐号的shell变量系统

3、当前状态：实施方案： # userdel lp# groupdel lp如果下面这些系统默认帐号不需要的话，建议删除。lp, sync, shutdown, halt, news, uucp, operator,games, gopher 修改一些系统帐号的shell变量，例如 uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash 或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false 或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改

4、username的shell 为/dev/null。实施目的：删除系统不需要的默认帐号、更改危险帐号缺省的shell变量实施风险：首先应当明确系统的角色，避免误删除默认帐号。是否实施：（客户填写）是否红科网安（北京）科技有限公司编号： Linux-03008名称：使root PATH环境变量中不包含当前目录“.”系统当前状态：实施方案：如果root PATH环境变量中包含当前目录“.”# vi /etc/profile去除“:.”部分实施目的：防止root执行恶意特洛伊木马，减少安全隐患。实施风险：无是否实施：（客户填写）是否编号： Linux-03008名称：对root

5、为ls、rm设置别名系统当前状态：未为ls、rm设置别名实施方案：查看当前shell：# echo $SHELL如果是csh：# vi /.cshrc如果是bash：# vi /.bashrc加入alias ls ls -aolalias rm rm -i重新登录之后查看是否生效。实施目的：为ls设置别名使得root 可以清楚的查看文件的属性（包括不可更改等特殊属性）。为rm设置别名使得 root在删除文件时进行确认，避免误操作。实施风险：无是否实施：（客户填写）是否编号： Linux-03006名称：缺省密码长度限制系统当前状态：实施方案： # vi /etc/login.de

6、fs把下面这行PASS_MIN_LEN 5 改为PASS_MIN_LEN 8实施目的：防止系统弱口令的存在，减少安全隐患。实施风险：无是否实施：（客户填写）是否红科网安（北京）科技有限公司编号： Linux-03007名称：超时自动注销登录系统当前状态：实施方案：在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑profile文件（vi /etc/profile），在“HISTFILESIZE=”后面加入下面这行：

7、 TMOUT=300 300，表示300秒，也就是表示5分钟。这样，如果系统中登录的用户在5分钟内都没有动作，那么系统会自动注销这个账户。也可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。改变这项设置后，必须先注销用户，再用该用户登录才能激活这个功能。实施目的：避免管理员忘记注销登录，减少安全隐患。实施风险：无是否实施：（客户填写）是否编号： Linux-03012名称：限制用户对主机资源的使用系统当前状态：实施方案： # vi /etc/security/limits.conf如果限制limitu用户组对主机资源的使用，加入：limitu

8、soft core 0limitu hard nproc 30limitu - maxlogins 5具体限制请于管理员确认后再进行实施。实施目的： Linux可以限制用户对主机资源的使用，比如限制用户使用的CPU或内存等，可以有效的防止本地DoS攻击。实施风险：无是否实施：（客户填写）是否编号： Linux-03005名称：使用pasword shadowing系统当前状态：实施方案： # /usr/sbin/pwconv5实施目的：确保系统中帐号密码存在于/etc/shadow，而不直接存在于/etc/passwd。实施风险：无红科网安（北京）科技有限公司是否实施：（客户填写

9、）是否编号： Linux-03011名称：保证bash shell保存少量的（或不保存）命令系统当前状态：实施方案： “/etc/profile”文件中的 “HISTFILESIZE”和“HISTSIZE ”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。建议把“/etc/profile ”文件中的 “HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数，比如30。编辑profile文件（vi /etc/profile ），把下面这行改为： HISTFILESIZE=30 HISTSIZE=30在“/etc/skel/.bash_logout”

10、文件中添加下面这行“rm -f $HOME/.bash_history” 。这样，当用户每次注销时，.bash_history文件都会被删除。编辑.bash_logout文件(vi /etc/skel/.bash_logout) ，添加下面这行：rm -f $HOME/.bash_history实施目的：保存较少的命令条数，减少安全隐患。实施风险：不要把HISTSIZE置零，那样就无法使用上下健来调用历史命令了。是否实施：（客户填写）是否编号： Linux-03010名称：使用PAM禁止任何人 su为root系统当前状态：实施方案：编辑su文件(vi /etc/pam.d/su)，

11、在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su 命令成为root 用户。你可以把用户添加到wheel组，以使它可以使用su 命令成为root用户。添加方法为：# chmod G10 username实施目的：避免任何人可以su为root，减少安全隐患。实施风险：无是否实施：（客户填写）是否红科网安（北京）科技有限公司 2.1.1.3网络与服务加固编号： Linux-04007名称

12、：禁止/etc/rc.d/init.d下某些脚本的执行系统当前状态：实施方案： # cd /etc/rc.d/init.d在不需要开机自动运行的脚本第一行写入 exit 0。则开机时该脚本exit 0之后的内容不会执行。需要更改的服务包括：identd lpd linuxconf netfsportmap routed rstatdrwalld rwhodsendmail ypbind yppasswdd ypserv具体操作时根据主机的角色请于管理员确认后再实施。实施目的：禁止系统开机时不需要启动的服务，减少安全隐患。防止黑客获取更多的系统信息。实施风险：无是否实施：（客户填写）是否

13、编号： Linux-04009 Linux-04011名称：禁止/etc/rc.d/rc0-9.d下不需要运行的脚本系统当前状态：实施方案：进入相应目录，将脚本开头大写S改为小写s即可。如：# cd /etc/rc.d/rc6.d# mv S45dhcpd s45dhcpd实施目的：禁止系统不需要启动的服务，减少安全隐患。防止黑客获取更多的系统信息。实施风险：无是否实施：（客户填写）是否编号： Linux-04004 Linux-04008名称： (x)inetd服务系统当前状态：实施方案：取消所有不需要的服务，编辑“/etc/inetd.conf”文件，通过注释取消所有你不需要的

14、服务（在该服务项目之前加一个“#” ）。第一步：更改“/etc/inetd.conf”权限为600，只允许root来读写该文件。# chmod 600 /etc/inetd.conf 红科网安（北京）科技有限公司第二步：确定“/etc/inetd.conf”文件所有者为root。 # chown root /etc/inetd.conf第三步：编辑 /etc/inetd.conf文件（vi /etc/inetd.conf），取消不需要的服务，如：ftp, telnet, shell, login, exec, talk, ntalk,imap, pop-2, pop-3, fi

15、nger, auth等等。把不需要的服务关闭可以使系统的危险性降低很多。第四步：给inetd进程发送一个HUP 信号： # killall -HUP inetd 第五步：用chattr命令把/ec/inetd.conf文件设为不可修改。 # chattr +i /etc/inetd.conf /etc/inetd.conf文件中只开放需要的服务。对于启用的网络服务，使用TCP Wrapper增强访问控制和日志审计功能。建议使用xinetd代替inetd，前者在访问控制和日志审计方面有较大的增强。实施目的：禁止系统不需要的服务，减少安全隐患。实施风险：这样可以防止对inetd.conf

16、的任何修改（以外或其他原因）。唯一可以取消这个属性的只有root。如果要修改inetd.conf文件，首先要取消不可修改属性： # chattr -i /etc/inetd.conf是否实施：（客户填写）是否编号： Linux-04004名称： TCP Wrapper系统当前状态：实施方案：使用TCP_Wrappers可以使你的系统安全面对外部入侵。最好的策略就是阻止所有的主机（在“/etc/hosts.deny”文件中加入“ALL:ALLALL, PARANOID”），然后再在“/etc/hosts.allow”文件中加入所有允许访问的主机列表。第一步：编辑hosts.deny文件（

17、vi /etc/hosts.deny），加入下面该行：# Deny access to everyone. ALL: ALLALL, PARANOID第二步：编辑hosts.allow 文件（vi /etc/hosts.allow ），加入允许访问的主机列表，比如： ftp: 202.54.15.99 202.54.15.99和是允许访问ftp服务的IP地址和主机名称。第三步： tcpdchk程序是TCP_ Wrapper设置检查程序。它用来检查你的TCP_Wrapper 设置，并报告发现的潜在的和真实的问题。设置完后，运行下面这个命令： # tcpdchk红科网安（北京）科技有限公

18、司实施目的：设置访问控制列表，使得只有可信主机才能访问服务器在/etc/(x)inetd.conf 中启用的特定网络服务。实施风险：不是所有的网络服务可以使用TCP_Wrappers是否实施：（客户填写）是否编号： Linux-04004名称： telnetd服务系统当前状态：实施方案：建议不要使用telnetd，但是非要使用的话，稍微的调整可以提高telnetd 的安全性。# vi /etc/inetd.conftelnet stream tcp nowait root /usr/libexec/telnetd telnetd -h其中：-h 隐藏主机相关信息实施目的：减少信息

19、泄漏，增强telnetd安全性。实施风险：建议使用ssh 代替 telnetd。telnet 会话中用户名、密码是明文传输的，如果被窃听将会造成敏感信息泄漏，对服务器造成威胁。是否实施：（客户填写）是否编号： Linux-04004 Linux-04012名称： ftpd服务系统当前状态：实施方案： # vi /etc/inetd.confftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -r -A -S其中：-l 成功/失败的ftp会话被syslog记录-r 使ftpd为只读模式，任何命令都不能更改文件系统-A 允许anonymou

20、s用户登录，/etc/ftpwelcome是欢迎信息-S 对anonymous ftp传输进行记录在/etc/syslog.conf 中，增加ftp.*/var/log/ftpd使日志产生到/var/log/ftpd文件重新启动inetd进程：红科网安（北京）科技有限公司 # kill -1 cat /var/run/inetd.pid实施目的：增加ftpd 审计功能，增强 ftpd安全性。实施风险：无是否实施：（客户填写）是否编号： Linux-04004名称： fingerd服务系统当前状态：实施方案：建议关闭fingerd。如果确实需要的话，# vi /etc/inetd.c

21、onffingerstreamtcpnowaitnobody/usr/libexec/fingerdfingerd -s -l在/etc/syslog.conf 中，增加daemon.notice /var/log/fingerd使日志产生到/var/log/fingerd文件重新启动inetd进程：# kill -1 cat /var/run/inetd.pid实施目的：增加fingerd审计功能，增强fingerd安全性。实施风险：无是否实施：（客户填写）是否编号： Linux-04005名称：更改主机解析地址的顺序系统当前状态：实施方案： “/etc/host.conf” 说明了

22、如何解析地址。编辑“/etc/host.conf” 文件（vi /etc/host.conf），加入下面该行： # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts# We have machines with multiple IP addresses. multi on # Check for IP address spoofingnospoof on红科网安（北京）科技有限公司第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否“/etc/hosts ”

23、文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的IP欺骗。实施目的：更改主机解析地址的顺序，减少安全隐患。实施风险：无是否实施：（客户填写）是否编号： Linux-04010名称：打开syncookie缓解syn flood攻击不响应ICMP请求禁止IP源路由系统当前状态：实施方案： # echo 1 /proc/sys/net/ipv4/tcp_syncookies可以加入/etc/rc.d/rc.local 中。不响应ICMP请求：# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all禁止IP

24、源路由：# cat disable-source_route.shfor f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 $fdone# ./disable-source_route.sh实施目的：调整内核安全参数，增强系统安全性。实施风险：无是否实施：（客户填写）是否2.1.1.4文件系统加固编号： Linux-05001名称：初始文件创建权限系统当前状态：实施方案：对于root，应该设置 umask为077# vi /etc/profileumask 077实施目的：严格限制root初始文件创建权限。实施

25、风险：无红科网安（北京）科技有限公司是否实施：（客户填写）是否编号： Linux-05002名称：设置关键文件的属性系统当前状态：实施方案： # chattr +a /var/log/messages# chattr +i /var/log/messages.*# chattr +i /etc/shadow建议管理员对关键文件进行特殊设置（不可更改或只能追加等）。实施目的：增强关键文件的属性，减少安全隐患。使messages文件只可追加。使轮循的messages文件不可更改。实施风险：无是否实施：（客户填写）是否编号： Linux-05003 Linux-05004名称：增

26、强部分文件的执行权限控制系统当前状态：实施方案： # chmod +t /tmp# chmod 644 /var/log/wtmp# chmod 644 /var/run/utmp# chmod -R 700 /etc/rc.d/init.d/*编辑/etc/groups，增加 wheel组：# vi /etc/groups# chgrp wheel /bin/su# chmod 47500 /bin/su# /bin/touch /root/.rhosts /root/.netrc /etc/hosts.equiv# /bin/chmod 0 /root/.rhosts /root/.net

27、rc /etc/hosts.equiv实施目的：使得关键文件不可更改，增加系统安全性。同时防止root误操作造成关键文件的损坏。实施风险：对/kernel 等文件增加特殊属性，在更新文件系统时将会报错。在更新文件系统时，要将关键文件的特殊属性去掉。是否实施：（客户填写）是否编号： Linux-05005名称：为不同的挂载点指派不同的属性系统当前状态：红科网安（北京）科技有限公司实施方案： # cat /etc/fstab #Device Mountpoint FStype Options Dump Pass#/dev/ad0s1b none swap sw 0 0/dev/ad0s

28、1a / ufs rw 1 1/dev/ad0s1f /tmp ufs rw,nodev,nosuid 2 2/dev/ad0s1g /usr ufs rw 2 2/dev/ad0s1h /home ufs rw,userquota 2 2 /dev/ad0s1e /var ufs rw,noexec 2 2/dev/fd /floppy MSDOS rw,noauto,noexec,nosuid,nodev,noatime 0 0/dev/acd0c /cdrom cd9660 ro,noauto 0 0proc /proc procfs rw,noauto 0 0其中：ro：只读rw：可读

29、写（默认）sw：swapnosuid：禁止suid文件noexec：文件不可执行nodev：不允许文件为设备文件noauto：启动时不自动挂载noatime：不允许文件系统记录文件的访问时间userquota：使用磁盘配额实施目的：对个分区赋予不同的属性，增强文件系统的安全性。实施风险：如果为某分区指派了noexec的属性，此分区下的程序将不能执行。是否实施：（客户填写）是否2.1.1.5日志审核增强编号： Linux-06001名称：对ssh、su登录日志进行记录系统当前状态：实施方案： # vi /etc/syslog.conf加入# The authpriv file has r

30、estricted access.authpriv.* /var/log/secure重新启动syslogd：# /etc/rc.d/init.d/syslog restart 实施目的：对ssh、su尝试进行记录实施风险：无红科网安（北京）科技有限公司是否实施：（客户填写）是否2.1.1.6安全性增强编号： Linux-07001名称：启动LILO 时需要密码系统当前状态：实施方案：第一步：编辑lilo.conf文件（vi /etc/lilo.conf），加入或改变这三个参数（加#的部分）： boot=/dev/hdaprompttimeout=00 # 把该行改为00，系统

31、启动时将不再等待，而直接启动LINUXmessage=/boot/messagelinear default=linux restricted # 加入该行 password= nsf0cus # 加入该行并设置自己的密码（明文） image=/boot/vmlinuz-2.4.18 label=linux root=/dev/hda6 read-only 第二步：因为“/etc/lilo.conf”文件中包含明文密码，所以要把它设置为root权限读取。 # chmod 0600 /etc/lilo.conf 第三步：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 # /

32、sbin/lilo -v 第四步：使用“chattr”命令使“/etc/lilo.conf”文件不可改变。 # chattr +i /etc/lilo.conf 这样可以在一定程度上防止对“/etc/lilo.conf”任何改变（意外或其他原因）最后将/etc/lilo.conf文件权限改为600# chmod 600 /etc/lilo.conf实施目的： password用于系统启动时应当输入密码；restricted用于命令行启动系统时（如：进入单用户模式）需红科网安（北京）科技有限公司要输入密码。实施风险：通过对“/etc/lilo.conf”加i属性使文件不可更改。如果要对文件

33、作修改的话，先去掉i属性，即# chattr -i /etc/lilo.conf为LILO设置密码不能防止黑客从软盘、CD-ROM启动系统、加载根分区，需要在BIOS中设置密码。是否实施：（客户填写）是否编号： Linux-07005名称：设置系统启动时运行等级系统当前状态：实施方案： # vi /etc/inittab将下面一行id:5:initdefault:改为id:3:initdefault:实施目的： 3表示系统启动后进入多用户模式，5表示系统启动后进入X windows模式。实施风险：根据生产机的角色看主机是否有必要运行X-windows。是否实施：（客户填写）是否编号：

34、Linux-07003名称：隐藏系统提示信息系统当前状态：实施方案：在缺省情况下，当你登录到linux系统，它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。应该尽可能的隐藏系统信息。首先编辑“/etc/rc.d/rc.local ” 文件，在下面显示的这些行前加一个“#” ，把输出信息的命令注释掉。# This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you re

35、boot. #echo “ /etc/issue#echo “$R“ /etc/issue#echo “Kernel $(uname -r) on $a $(uname -m)“ /etc/issue #cp -f /etc/issue /etc/#echo /etc/issue其次删除“/etc“目录下的和 issue文件： # rm -f /etc/issue # rm -f /etc/实施目的：减少系统提示信息，降低安全隐患。红科网安（北京）科技有限公司实施风险：无是否实施：（客户填写）是否编号： Linux-07002名称：禁止Ctrl-Alt-Delete 键盘关闭命令

36、系统当前状态：实施方案：在“/etc/inittab” 文件中注释掉下面这行（使用#）： ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改为： #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 为了使此改动生效，输入下面这个命令： # /sbin/init q实施目的：增加系统安全性，降低安全隐患。实施风险：禁止ctrl-alt-del使得在控制台直接按ctrl-alt-del 不能重新启动计算机。是否实施：（客户填写）是否2.1.1.7推荐安装安全工具工具名称 TCP Wrapper工具用途该软件为大多数网络服务提供

37、访问控制与日志记录的功能。相关信息 ftp:/ftp.porcupine.org/pub/security/工具名称 Tripwire工具用途该工具为关键文件创建检验值数据库，当这些关键文件发生变化时，给root以提示信息。相关信息 ftp:/coast.cs.purdue.edu/pub/tools/unix/ids/tripwire/工具名称 lsof工具用途该工具报告进程打开的文件、进程侦听的端口等信息。相关信息 ftp:/coast.cs.purdue.edu/pub/tools/unix/sysutils/lsof/工具名称 SSH工具用途该工具为主机间远程通讯提供加密通道。用

38、来代替rsh、rlogin 、telnet等远程登录工具。相关信息 http:/ 三、 Web安全服务编号： Apache-001名称：隐藏Apache的版本号及其它敏感信息系统当前状态：实施方案： Vi编译httpd.conf文件添加如下两行命令：ServerSignature OffServerTokens Prod实施目的：安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的模块。这些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。实施风险：无是否实施：（客户填写）是否编号： Apache-002名称：确保Apache以其自

39、身的用户账号和组运行系统当前状态：实施方案：修改httpd文件，将nobody替换User ApacheGroup Apache实施目的：有的Apache安装过程使得服务器以nobody的用户运行，所以，假定Apache和你的邮件服务器都是以nobody的账号运行的，那么通过Apache发起的攻击就可能同时攻击到邮件服务器，反之亦然。实施风险：无是否实施：（客户填写）是否编号： Apache-003名称：确保web根目录之外的文件没有提供服务系统当前状态：实施方案：设置：红科网安（北京）科技有限公司 ?/POrder Deny,AllowDeny from allOptions

40、NoneAllowOverride None?/P?/POrder Allow,DenyAllow from all?/P注意，因为我们设置Opitins None 和AllowOverride None，这将关闭服务器的所有Option和Override。你现在必须明确把每个目录设置成Option或者Override。实施目的：让Apache访问web根目录之外的任何文件。假设你的所以web站点文件都放在一个目录下实施风险：无是否实施：（客户填写）是否编号： Apache-004名称：关闭目录浏览系统当前状态：实施方案：在Directory标签内用Option命令来实现这个功能。设

41、置Option为None或者Indexes。Options -Indexes实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：是否实施：（客户填写）是否红科网安（北京）科技有限公司编号： Apache-005名称：关闭includes系统当前状态：实施方案：在Directory标签内使用Option命令来实现。设置Option为None或者Includes。Options -Includes实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：无是否实施：（客户填写）是否编号： Apache-006名称：禁止遵循符号链接系统当前状态：实施方案

42、： Options -FollowSymLinks实施目的：禁止Apache遵循符号链接实施风险：是否实施：（客户填写）是否编号： Apache-007名称：关闭对.htaccess文件的支持系统当前状态：实施方案：在一个目录标签中实现：AllowOverride None如果需要重载，则保证这些文件不能够被下载，或者把文件名改成非.htaccess文件。比如，我们可以改成.httpdoverride文件，然后像下面这样阻止所有以.ht打头的文件：AccessFileName .httpdoverride?/POrder allow,denyDeny from all红科网安（北京）科

43、技有限公司 Satisfy All实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：可能会屏蔽一些Apache功能，运作无影响是否实施：（客户填写）是否编号： Apache-008名称：关闭任何不必要的模块系统当前状态：实施方案：找到httpd.conf中包含LoadModule的代码。要关闭这些模块，只需要在代码行前添加一个#号。要找到正在运行的模块，可以用以下语句：grep LoadModule httpd.conf以下模块通常被激活而并无大用：mod_imap, mod_include, mod_info, mod_userdir, mod_status,

44、mod_cgi, mod_autoindex。实施目的：修改Apache配置可有效阻止黑客嗅探和目录遍历实施风险：是否实施：（客户填写）是否编号： Php-001名称： Php打开安全模式系统当前状态：实施方案：在php.ini文件中使用如下safe_mode = On (使用安全模式)Mod_rewrite URLDiscuz php?id= Discuz NT! 2.5 aspx?id=或者：在Apache的httpd.conf中VirtualHost的相应设置方法php_admin_value safe_mode 1 (使用安全模式)实施目的：对Php开启安全验证可确保页面头信息

45、不被劫持实施风险：是否实施：（客户填写）是否编号： Php-002红科网安（北京）科技有限公司名称：隐藏PHP系统当前状态：实施方案：在php.ini里使用 expose_php 选项来防止Web服务器泄露PHP的报告信息。如下：expose_php = On在 httpd.conf 中找到如下这行：AddType application/x-httpd .php修改 .php 文件扩展名。实施目的：有效阻止黑客嗅探php的文件头信息实施风险：是否实施：（客户填写）是否编号： Php-003名称：函数访问控制系统当前状态：实施方案：在 disable_functions 选项

46、中使用逗号分割来设定函数名，那么这些函数将在PHP脚本中被关闭。这个设置能够工作在安全模式之外。disable_functions = dl实施目的：禁止非法调用脚本实施风险：是否实施：（客户填写）是否四数据库服务器安全编号： Oracle、Sql-001名称：密码控制系统当前状态：实施方案： FAILED_LOGIN_ATTEMPTS ：指定锁定用户的登录失败次数 PASSWORD_LOCK_TIME：指定用户被锁定天数 PASSWORD_LIFE_TIME：指定口令红科网安（北京）科技有限公司可用天数 PASSWORD_REUSE_TIME：指定在多长时间内口令不能重用 PASS

47、WORD_REUSE_MAX：指定在重用口令前口令需要改变的次数 PASSWORD_GRACE_TIME：指定口令失效后可以修改的天数 PASSWORD_VERIFY_FUNCTION：指定验证函数对口令进行长度、复杂度等校验实施目的：修改账户密码提高黑客暴力猜解难度，有效防止弱口令扫描等工具。实施风险：是否实施：（客户填写）是否编号： Sql-002名称：安全检查系统当前状态：实施方案：、登录验证也就是最常用的用户名和密码验证。一旦你输入了正确的用户名和密码，这个验证就可通过。、清理缺省用户首先，查看数据库中有哪些缺省用户：SQL select username,created fromdba_users;对于sys 、 system、 perfstat、 dbsnmp、rman等需要使用的系统缺省用户，我们应该使用密码规范对其进行控制。对于演示用户scott和缺省表空间为example的PM、QS等用户，我们直接删除而不影响数据库的正常运行。对于其他不需要使用的

展开阅读全文