1、目 录第一部分 概 述3系统信息3第二部分 安全加固审计内容4一、系统安全审计内容41.1禁用apmd服务41.2禁用autofs服务41.3禁用cups服务41.4禁用isdn服务41.5禁用netfs服务51.6禁用nfs服务51.7禁用nfslock服务51.8禁用pcmcia服务51.9禁用portmap服务61.10禁用sendmail服务61.11禁用Xinetd服务61.12锁定不需要的帐号61.13限制FTP访问81.14设置登录超时时间91.15禁止Control-Alt-Delete键盘关闭命令91.16防止IP欺骗91.17口令策略设置101.18内核参数设置101.192、修改banner信息111.20CDE限定任意用户XDMCP登录连接11第三部分 安全加固内容确认12签名确认12第一部分 概 述系统信息加 固 编 号目标IP地址主 机 名操 作 系 统用 途备 注第二部分 安全加固审计内容一、系统安全审计内容1.1 禁用apmd服务 加固措施禁用apmd服务。使用的是台式电脑或一直开机的机型，就不需要使用这个守护程序。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.2 禁用autofs服务加固措施禁用autofs服务。实现光盘、软盘的自动加载。存在风险必须确认所关闭的服务是不需要3、的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.3 禁用cups服务加固措施禁用cups服务。Common UNIX Printing System，公共UNIX打印支持，为Linux提供打印功能。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.4 禁用isdn服务加固措施禁用isdn服务。提供对isdn设备的支持。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.5 禁用netfs服务加固措施禁用n4、etfs服务。安装和卸载NFS、SAMBA和NCP网络文件系统。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.6 禁用nfs服务加固措施禁用nfs服务。网络文件系统。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.7 禁用nfslock服务加固措施禁用nfslock服务。一个流行的通过TCP/IP网络共享文件的协议，此服务提供了NFS文件锁定功能。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执5、行加固执行人员 网络安全中心 1.8 禁用pcmcia服务加固措施禁用pcmcia服务。为RPC服务，如NIS和NFS提供动态端口的分配。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.9 禁用portmap服务加固措施禁用portmap服务。为RPC服务，如NIS和NFS提供动态端口的分配。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.10 禁用sendmail服务加固措施禁用sendmail服务。提供邮件服务功能。存在风险必须确认所关6、闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.11 禁用Xinetd服务加固措施禁用Xinetd服务。先关闭Xinetd里的auth、sgi-fam服务。存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.12 锁定不需要的帐号加固措施锁定以下无用帐号： bin daemon adm lp sync shutdown halt mail news uucp operator games gopher ftp nobody vcsa rpm netdump nsc7、d ident sshd rpc rpcuser nfsnobody mailnull smmsp pcap xfs ntp gdm desktop存在风险必须确认所禁用的帐号是不在需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.13 限制FTP访问加固措施限制以下FTP用户访问： root bin daemon adm lp sync shutdown halt mail news uucp operator games gopher ftp nobody vcsa rpm netdump nscd ident sshd rpc rpcuser 8、nfsnobody mailnull smmsp pcap xfs ntp gdm desktop存在风险必须确认所限制的帐号是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.14 设置登录超时时间加固措施设置登录超时时间为5分钟。编辑/etc/profile文件，加入以下内容： TMOUT=300存在风险必须确认所关闭的服务是不需要的，否则可能对应用系统产生影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.15 禁止Control-Alt-Delete键盘关闭命令加固措施编辑/etc/inittab文件，用“#”注释以下内容：ca9、:ctrlaltdel:/sbin/shutdown -t3 -r now存在风险无是否加固 执行加固 不执行加固执行人员 网络安全中心 1.16 防止IP欺骗加固措施编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击。 order bind，hosts multi onnospoof on存在风险无是否加固 执行加固 不执行加固执行人员 网络安全中心 1.17 口令策略设置加固措施编辑/etc/login.defs文件，设置口令策略： PASS_MAX_DAYS 9999 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 30存在风险10、必须确认已存在帐号符合以上设置的口令策略，否则可能对应用系统产生影响是否加固 执行加固 不执行加固执行人员 网络安全中心 1.18 内核参数设置加固措施编辑sysctl.conf文件，加入以下内容： net.ipv4.conf.default.accept_source_route=0 net.ipv4.conf.default.send_redirects=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.ip_forward=0存在风险系统内核安全参数设置，对11、系统及应用无影响。是否加固 执行加固 不执行加固执行人员 网络安全中心 1.19 修改banner信息加固措施 清空文件/etc/issue 内容 清空文件/etc/ 内容存在风险无是否加固 执行加固 不执行加固执行人员 网络安全中心 1.20 CDE限定任意用户XDMCP登录连接加固措施 修改/etc/X11/xdm/Xaccess文件和修改/etc/X11/gdm/gdm.conf文件进行访问控制。存在风险无是否加固 执行加固 不执行加固执行人员 网络安全中心 第三部分 安全加固内容确认签名确认经双方充分协商沟通，并针对以上确认后的安全审计进行安全加固。首都之窗签字年 月 日网络安全中心签字年 月 日