收藏 分享(赏)

AIX安全配置规范.doc

上传人:精品资料 文档编号:9237541 上传时间:2019-07-30 格式:DOC 页数:21 大小:259KB
下载 相关 举报
AIX安全配置规范.doc_第1页
第1页 / 共21页
AIX安全配置规范.doc_第2页
第2页 / 共21页
AIX安全配置规范.doc_第3页
第3页 / 共21页
AIX安全配置规范.doc_第4页
第4页 / 共21页
AIX安全配置规范.doc_第5页
第5页 / 共21页
点击查看更多>>
资源描述

1、AIX 操作系统安全配置规范2011 年 3 月第 1 章 概述1.1 适用范围适用于中国电信使用 AIX 操作系统的设备。本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同,本规范以 AIX 5.X 为例,给出参考配置操作。第 2 章 安全配置要求2.1 账号编号: 1要求内容 应按照不同的用户分配不同的账号。操作指南 1、参考配置操作为用户创建账号:#useradd username #创建账号#passwd username #设置密码修改权限:#chmod 750 directory #其中 750 为设置的权限,

2、可根据实际情况设置相应的权限,directory 是要更改权限的目录 )使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。2、补充操作说明检测方法 1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号: 2要求内容 应删除或锁定与设备运行、维护等工作无关的账号。操作指南 1、参考配置操作删除用户:#userdel username; 锁定用户:1)修改/etc/shadow 文件,用户名后加*LK*2)将/etc/passwd 文件中的 shell 域设置成/bin/false3)#passwd -l userna

3、me只有具备超级用户权限的使用者方可使用,#passwd -l username 锁定用户,用#passwd d username 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。2、补充操作说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess 。检测方法 1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess 。解锁时间: 15 分钟编号: 3要求内

4、容 限制具备超级管理员权限的用户远程登录。需要远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。操作指南 1、 参考配置操作编辑/etc/security/user,加上:在 root 项上输入 false 作为 rlogin 的值此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录,修改此项不会看到效果的2、补充操作说明如果限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。检测方

5、法 1、判定条件root 远程登录不成功,提示“没有权限” ;普通用户可以登录成功,而且可以切换到 root 用户;2、检测操作root 从远程使用 telnet 登录;普通用户从远程使用 telnet 登录;root 从远程使用 ssh 登录;普通用户从远程使用 ssh 登录;3、补充说明限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。编号:4要求内容 对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议,并安全配置 SS

6、HD 的设置。操作指南 1、参考配置操作把如下 shell 保存后,运行,会修改 ssh 的安全设置项:unalias cp rm mv case find /usr /etc -type f | grep -c ssh_config$ in 0) echo “Cannot find ssh_config“ ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e “s:/ssh_config:“ cd $DIR cp ssh_config ssh_config.tmp awk /#? *Protocol/ p

7、rint “Protocol 2“; next ; print ssh_config.tmp ssh_config if “grep -El Protocol ssh_config“ = “ ; then echo Protocol 2 ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo “You have multiple sshd_config files. Resolve“ echo “before continuing.“ ; esac #也可以手动编辑 ssh_config,在 “Host *“后输入 “Pro

8、tocol 2“,cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print “Protocol 2“; next ; /#? *X11Forwarding/ print “X11Forwarding yes“; next ; /#? *IgnoreRhosts/ print “IgnoreRhosts yes“; next ; /#? *RhostsAuthentication/ print “ RhostsAuthentication no“; next ; /#? *RhostsRSAAuthentication/ pr

9、int “RhostsRSAAuthentication no“; next ; /#? *HostbasedAuthentication/ print “HostbasedAuthentication no“; next ; /#? *PermitRootLogin/ print “PermitRootLogin no“; next ; /#? *PermitEmptyPasswords/ print “PermitEmptyPasswords no“; next ; /#? *Banner/ print “Banner /etc/motd“; next ; print sshd_confi

10、g.tmp sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用 ssh2 版本X11Forwarding yes #允许窗口图形传输使用 ssh 加密IgnoreRhosts yes#完全禁止 SSHD 使用.rhosts 文件RhostsAuthentication no #不设置使用基于 rhosts 的安全验证RhostsRSAAuthentication no #不设置使用 RSA 算法的基于 rhosts 的安全验证HostbasedAuthentication no #不允许基于主机白名单方式认证P

11、ermitRootLogin no #不允许 root 登录PermitEmptyPasswords no #不允许空密码Banner /etc/motd #设置 ssh 登录时显示的 banner2、补充操作说明查看 SSH 服务状态:# ps elf|grep ssh检测方法 1、 判定条件# ps elf|grep ssh是否有 ssh 进程存在2、检测操作查看 SSH 服务状态:# ps elf|grep ssh查看 telnet 服务状态:# ps elf|grep telnet2.2 口令编号:1要求内容 对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、

12、大写字母和特殊符号 4 类中至少 3 类。操作指南 1、参考配置操作chsec -f /etc/security/user -s default -a minlen=8chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec f /etc/security/user s default -a pwdwarntime=5minlen=8

13、 #密码长度最少 8 位minalpha=1 #包含的字母最少 1 个mindiff=1 #包含的唯一字符最少 1 个minother=1#包含的非字母最少 1 个pwdwarntime=5 #系统在密码过期前 5 天发出修改密码的警告信息给用户2、补充操作说明检测方法 1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i. 配置口令的最小长度;ii. 将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8 位的口令,查看系统是否对

14、口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。编号: 2要求内容 对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90天。操作指南 1、 参考配置操作方法一:chsec -f /etc/security/user -s default -a histexpire=13方法二:用 vi 或其他文本编辑工具修改 chsec -f /etc/security/user 文件如下值:histexpire=13histexpire=13 #密码可重复使用的星期为 13 周(91 天)2、补充操作说明检测方法 1、判定条件密码过期后登录不成功;2、检测操

15、作使用超过 90 天的帐户口令登录会提示密码过期;编号: 3要求内容 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。操作指南 1、参考配置操作方法一:chsec -f /etc/security/user -s default -a histsize=5方法二:用 vi 或其他文本编辑工具修改 chsec -f /etc/security/user 文件如下值:histsize=5histexpire=5 #可允许的密码重复次数检测方法 1、判定条件设置密码不成功2、检测操作cat /etc/security/user,设置如下hist

16、size=53、补充说明默认没有 histsize 的标记,即不记录以前的密码。编号: 4要求内容 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次) ,锁定该用户使用的账号。操作指南 1、参考配置操作查看帐户帐户属性: #lsuser username 设置 6 次登陆失败后帐户锁定阀值: #chuser loginretries=6 username检测方法 1、判定条件运行 lsuser uasename 命令,查看帐户属性中是否设置了 6次登陆失败后帐户锁定阀值的策略。如未设置或大于 6 次,则进行设置2.3 授权编号: 1要求内容 在设备权限配置

17、能力内,根据用户的业务需要,配置其所需的最小权限。操作指南 1、参考配置操作通过 chmod 命令对目录的权限进行实际设置。2、 补充操作说明chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security/etc/passwd /etc/group /etc/security 的所有者

18、必须是 root 和 security组成员/etc/security/audit 的所有者必须是 iroot 和 audit 组成员/etc/passwd 所有用户都可读,root 用户可写 rw-rr /etc/shadow 只有 root 可读 r- /etc/group 必须所有用户都可读,root 用户可写 rw-rr使用如下命令设置:chmod 644 /etc/passwdchmod 644 /etc/group如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊情况除外)执行命令#chmod -R go-w,o-r /etc检测方法 1、判定条件1、设备系统能够提供用

19、户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;2、记录能够配置的权限选项内容;3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统,并创建 2 个不同的用户;2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;3、为两个用户分别配置不同的权限,2 个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;4、分别利用 2 个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。3、补充说

20、明编号:2要求内容 控制 FTP 进程缺省访问权限,当通过 FTP 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南 1、参考配置操作a. 限制某些系统帐户不准 ftp 登录:通过修改 ftpusers 文件,增加帐户#vi /etc/ftpusers b.限制用户可使用 FTP 不能用 Telnet,假如用户为 ftpxll创建一个/etc/shells 文件, 添加一行 /bin/true;修改/etc/passwd 文件,ftpxll:x:119:1:/home/ftpxll:/bin/true注:还需要把真实存在的 shell 目录加入/etc/shells 文

21、件,否则没有用户能够登录 ftp以上两个步骤可参考如下 shell 自动执行:lsuser -c ALL | grep -v #name | cut -f1 -d: | while read NAME; do if lsuser -f $NAME | grep id | cut -f2 -d= -lt 200 ; then echo “Adding $NAME to /etc/ftpusers“ echo $NAME /etc/ftpusers.new fi done sort -u /etc/ftpusers.new /etc/ftpusers rm /etc/ftpusers.new ch

22、own root:system /etc/ftpusers chmod 600 /etc/ftpusersc. 限制 ftp 用户登陆后在自己当前目录下活动编辑 ftpaccess,加入如下一行 restricted-uid *(限制所有),restricted-uid username(特定用户) ftpaccess 文件与 ftpusers 文件在同一目录d. 设置 ftp 用户登录后对文件目录的存取权限,可编辑/etc/ftpaccess。chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anony

23、mous rename no guest,anonymous umask no anonymous2、补充操作说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许 ftp 登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法 1、判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#more /etc/ftpusers #more /etc/passwd#more /etc/ftpaccess 3、补充说明查看# cat ftpuse

24、rs说明: 在这个列表里边的用户名是不允许 ftp 登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody42.4 补丁安全编号:1要求内容 应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。操作指南 1、参考配置操作先把补丁集拷贝到一个目录,如/08update,然后执行#smit update_all选择安装目录/08update默认SOFTWARE to update _update_all选择不提交,保存被覆盖的文件,可以回滚操作,接受许可协议COMMIT software updates? noSAVE re

25、placed files? yesACCEPT new license agreements? yes然后回车执行安装。2、补充操作说明检测方法 1、判定条件查看最新的补丁号,确认已打上了最新补丁;2、检测操作检查某一个补丁,比如 LY59082 是否安装#instfix a ivk LY59082检查文件集(filesets)是否安装#lslpp l bos.adt.libm3、补充说明补丁下载 http:/ 2.5 日志安全要求编号:1要求内容 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。操作指南

26、1、参考配置操作修改配置文件 vi /etc/syslog.conf,加上这几行:auth.infott/var/adm/authlog*.info;auth.nonett/var/adm/syslogn“ 建立日志文件,如下命令: touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新启动 syslog 服务,依次执行下列命令:stopsrc -s syslogd startsrc -s syslogdAIX 系统默认不捕获登录信息到 syslogd,以上配置增加了验证信息发送到/var/adm

27、/authlog 和/var/adm/syslog2、补充操作说明检测方法 1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的 IP 地址。2、检测操作cat /var/adm/authlogcat /var/adm/syslog3、补充说明编号: 2(可选)要求内容 启用记录cron行为日志功能和cron/at的使用情况 操作指南 1、参考配置操作cron/At的相关文件主要有以下几个: /var/spool/cron/crontabs 存放cron任务的目录 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/

28、cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户 使用crontab和at命令可以分别对cron和at任务进行控制。 #crontab -l 查看当前的cron任务 #at -l 查看当前的 at 任务 检测方法 1、判定条件2、检测操作查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。 编号:3要求内容 设备应配置权限

29、,控制对日志文件读取、修改和删除等操作。操作指南 1、参考配置操作配置日志文件权限,如下命令:chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 并设置了权限为其他用户和组禁止读写日志文件。检测方法 1、判定条件没有相应权限的用户不能查看或删除日志文件2、检测操作查看 syslog.conf 文件中配置的日志存放文件:more /etc/syslog.conf使用 ls l /var/adm 查看的目录下日志文件的权限,如:authlog、 syslog 的权限应分别为 600、644。3、补充说明对于其他日志文件,也应该设置适当的权限,如

30、登录失败事件的日志、操作日志,具体文件查看 syslog.conf 中的配置。2.6 不必要的服务、端口编号:1要求内容 列出所需要服务的列表(包括所需的系统服务 ),不在此列表的服务需关闭。操作指南 1、 参考配置操作查看所有开启的服务:#ps e -f 方法一:手动方式操作在inetd.conf中关闭不用的服务 首先复制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记“#“字符,重启inetd 服务, 即可。

31、重新启用该服务,使用命令:refresh s inetd方法二:自动方式操作A.把以下复制到文本里:for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo “Disabling $SVC TCP“ chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime

32、 time cmsd; do echo “Disabling $SVC UDP“ chsubserver -d -v $SVC -p udp done refresh -s inetdB.执行命令:#sh dis_server.sh2、补充操作说明参考附表,根据具体情况禁止不必要的基本网络服务。注意:改变了“inetd.conf”文件之后 ,需要重新启动inetd。对必须提供的服务采用tcpwapper来保护并且为了防止服务取消后断线,一定要启用SSHD服务,用以登录操作和文件传输。检测方法 1、判定条件所需的服务都列出来;没有不必要的服务;2、检测操作查看所有开启的服务:cat /etc/i

33、net/inetd.conf,cat /etc/inet/services3、补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。Tcp服务如下:ftp telnet shell kshell login klogin execUDP服务如下:ntalk rstatd rusersd rwalld sprayd pcnfsd注意:改变了“inetd.conf ”文件之后,需要重新启动inetd。对必须提供的服务采用tcpwapper来保护2.7 文件与目录权限编号:1要求内容 控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同

34、属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南 1、 参考配置操作A.设置所有存在账户的权限:lsuser -a home ALL | awk print $1 | while read user; do chuser umask=077 $userdonevi /etc/default/login 在末尾增加 umask 027B.设置默认的 profile,用编辑器打开文件/etc/security/user,找到umask 这行,修改如下:Umask=0772、补充操作说明如果用户需要使用一个不同于默认全局系统设置的 umask,可以在需要的时候通过命令行设置,或者

35、在用户的 shell 启动文件中配置。检测方法 1、判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#ls -l dir ; #查看目录 dir 的权限#cat /etc/default/login 查看是否有 umask 027 内容3、补充说明umask 的默认设置一般为 022,这给新创建的文件默认权限755(777-022=755) ,这会给文件所有者读、写权限,但只给组成员和其他用户读权限。umask 的计算:umask 是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码 777 减去需要的默认权限对应的八进

36、制数据代码值;对于文件,该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。编号: 2要求内容 对文件和目录进行权限设置,合理设置重要目录和文件的权限操作指南 1、参考配置操作查看重要文件和目录权限:ls l更改权限:对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/init.d/*这样只有 root 可以读、写和执行这个目录下的脚本。2、补充操作说明检测方法 1、判定条件用 root 外的其它帐户登录,对重要文件和目录进行删除、修改等操作不能够成功即为符合。2、检测操作查看重要文件和目录权限:ls l用 root 外的其它帐户登录,对重要文件和

37、目录进行删除、修改等操作3、补充说明2.8 系统 Banner 设置 要求内容 修改系统 banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息操作指南 1、参考配置操作设置系统 Banner 的操作如下: 在/etc/security/login.cfg 文件中,在 default 小节增加: herald = “ATTENTION:You have logged onto a secured serverAll accesses logged.nnlogin:“检测方法 查看/etc/security/login.cfg 文件中的配置是否按照以上要求进行了配置2.9

38、登录超时时间设置要求内容 对于具备字符交互界面的设备,配置定时帐户自动登出操作指南 1、 参考配置操作设置登陆超时时间为 300 秒,修改/etc/security/.profile 文件,增加一行: TMOUT300; TIMEOUT=300;export readonly TMOUT TIMEOUT2、补充操作说明检测方法 1、判定条件查看/etc/security/.profile 文件中的配置,是否存在登陆超时时间的设置。如未设置,则建议应按照要求进行配置2.10 内核调整(可选)要求内容 防止堆栈缓冲溢出操作指南 1、参考配置操作编辑/etc/security/limits 并且改变

39、 core 值为 0,并增加一行在后面,如下:core 0core_hard = 0保存文件后退出,执行命令:echo “# Added by Nsfocus Security Benchmark“ /etc/profile echo “ulimit -c 0“ /etc/profile chdev -l sys0 -a fullcore=false1、 补充操作说明应用程序在发生错误的时候会把自身的敏感信息从内存里 DUMP到文件,一旦被攻击者获取容易引发攻击。检测方法 1、判定条件能够防止 core 文件产生2、检测操作查看/etc/security/limits 文件:cat /etc/

40、security/limits 是否有如下两行:core 0core_hard = 0查看/etc/ profile 文件:cat /etc/security/limits 是否有如下行:ulimit c 02.11 使用 SSH 加密协议要求内容 对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议,并安全配置 SSHD 的设置。操作指南 1、参考配置操作把如下 shell 保存后,运行,会修改 ssh 的安全设置项:unalias cp rm mv case find /usr /etc -type f | grep -c ssh_config$ in 0) echo

41、 “Cannot find ssh_config“ ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e “s:/ssh_config:“ cd $DIR cp ssh_config ssh_config.tmp awk /#? *Protocol/ print “Protocol 2“; next ; print ssh_config.tmp ssh_config if “grep -El Protocol ssh_config“ = “ ; then echo Protocol 2 ssh_config

42、 fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo “You have multiple sshd_config files. Resolve“ echo “before continuing.“ ; esac #也可以手动编辑 ssh_config,在 “Host *“后输入 “Protocol 2“,cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print “Protocol 2“; next ; /#? *X11Forwarding/ print “X11Forwa

43、rding yes“; next ; /#? *IgnoreRhosts/ print “IgnoreRhosts yes“; next ; /#? *RhostsAuthentication/ print “ RhostsAuthentication no“; next ; /#? *RhostsRSAAuthentication/ print “RhostsRSAAuthentication no“; next ; /#? *HostbasedAuthentication/ print “HostbasedAuthentication no“; next ; /#? *PermitRoot

44、Login/ print “PermitRootLogin no“; next ; /#? *PermitEmptyPasswords/ print “PermitEmptyPasswords no“; next ; /#? *Banner/ print “Banner /etc/motd“; next ; print sshd_config.tmp sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用 ssh2 版本X11Forwarding yes #允许窗口图形传输使用 ssh 加密IgnoreRhosts

45、 yes#完全禁止 SSHD 使用.rhosts 文件RhostsAuthentication no #不设置使用基于 rhosts 的安全验证RhostsRSAAuthentication no #不设置使用 RSA 算法的基于 rhosts 的安全验证HostbasedAuthentication no #不允许基于主机白名单方式认证PermitRootLogin no #不允许 root 登录PermitEmptyPasswords no #不允许空密码Banner /etc/motd #设置 ssh 登录时显示的 banner2、补充操作说明查看 SSH 服务状态:# ps elf|g

46、rep ssh检测方法 2、 判定条件# ps elf|grep ssh是否有 ssh 进程存在2、检测操作查看 SSH 服务状态:# ps elf|grep ssh查看 telnet 服务状态:# ps elf|grep telnet2.12 FTP 设置编号 1:要求内容 禁止 root 登陆 FTP操作指南 1、参考配置操作Echo root /etc/ftpusers检测方法 使用 root 登录 ftp编号 2:要求内容 禁止匿名 ftp操作指南 1、参考配置操作默认不支持匿名,需要做专门的配置。检查方法:使用ftp 做匿名登录尝试,如能登录,则删除/etc/passwd下的ftp账

47、号。检测方法 检查方法:使用 ftp 做匿名登录尝试编号 3:要求内容 修改FTP banner 信息操作指南 1、参考配置操作cat /etc/ftpmotd Authorized uses only. All activity may be monitored and reported EOF检测方法 1、 判断依据ftp登录尝试2、 检查操作附表:端口及服务服务名称 端口 应用说明 关闭方法 处置建议13/tcp RFC867 白天协议 #daytime stream tcp nowait root internaldaytime13/udp RFC867 白天协议 #daytime d

48、gram udp nowait root internaltime 37/tcp 时间协议 #time stream tcp nowait root internal7/tcp RFC862_回声协议 #echo stream tcp nowait root internalecho7/udp RFC862_回声协议 #echo dgram udp nowait root internal9/tcp #discard stream tcp nowait root internaldiscard9/udpRFC863 废除协议 #discard dgram udp nowait root internal19/tcp #chargen stream tcp nowait root internalchargen19/udpRFC864 字符产生协议 #chargen dgram udp nowait root internal建议关闭ftp 21/tcp 文件传输协议(控制) #ftp stream tcp nowait root /usr/lbin/ftpd 根据情况选择开放telnet 23/tcp 虚拟终端协议#telnet stream tcp nowa

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报