• 云主机安全加固最佳实践指导书


    1. 帐户密码设置及使用建议

    • 密码应该长度不少于 10 位;
    • 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码。如:!QAZxsw2,qazxsw,

          1qaz@WSX,1q2w3e,123456789,password 等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种;

    • 密码尽量不要包含账户如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql;
    • 建议至少每 90 天更改一次密码,若账户已经处于失效状态, 则不要求修改;
    • 建议不要重复使用最近 5 次(含 5 次)内已使用的密码;
    • 建议根据不同应用设置不同的帐号密码,不建议多个应用使用同一套账户/密码;
    • 帐号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,不能强制用户修改密码的则为密码设置过期期限(用户必须及时更改密码,否则密码应被强制失效);
    • 建议为所有账户配置设置连续认证失败次数超过 5 次(不含 5次),锁定账号策略和 30 分钟自动解除锁定策略;
    • 建议对所有账户设置不活动时间超过 10 分钟自动退出或锁定策略;
    • 新建系统中的帐号缺省密码在首次使用前,建议强制用户更改;
    • 建议开启账户登录记录日志功能,登录日志最少保存 180 天, 登录日志中不能保存用户的密码。
    • 不使用个人的微博、QQ、论坛等口令 (各种数据泄露)
    • 不建议以明文形式通过 Internet、无线设备传送密码,所有账号密码认证体系在技术支持条件下,建议使用加密协议安全登录(如SSH);
    • 尽量使用密钥方式进行操作系统身份认证。

    2. 操作系统安全加固

    2.1. Linux 操作系统

    2.1.1. 帐号口令设置

    建议项:应按照不同的用户分配不同的账号和权限,禁用或删除其它不必要的账户;

    检查是否存在空口令和 root 权限的账号;

    建议项:对于采用口令认证的设备,口令长度建议不少于 10 位,并包括数字、

    小写字母、大写字母和特殊符号 4 类中至少 3 类;

    建议项:对于采用口令认证的设备,帐户口令的生存期建议不长于 90 天;

    建议项:限制超级管理员用户远程登录;设置普通用户远程登录失败尝试次数;

    建议项:修改默认的 SSH 服务端口;

    建议项:建议设置可以 su 为 root 的账户为制定的用户组,其它账户不能 su 切

    换至 root

    建议项:配置系统历史命令操作记录和定时帐户自动登出时间;

    2.1.2. 服务

    建议项:关闭不必要的服务(普通服务和xinetd服务);

    常见不必要服务:bootps,pure-ftpd,pppoe,sendmail,isdn,

    zebra,cupsd,cups-config-daemon,hplip,hpiod,hpssd,bluetooth,hcid,

    hidd,sdpd,dund,pand,rsh

    2.1.3. 日志

    建议项:启用 syslog 系统日志审计功能

    建议项:系统日志文件由 root 创立并且其它用户不可读取(日志文件权限不高

    于 600);

    2.1.4 文件服务配置

    建议项:安装最新的 vsftp 服务器

    建议项: vsftp 不能匿名登录

    建议项:禁止显示 vsftp banner 信息

    建议项:开启 FTP 的日志记录功能

    建议项:FTP 的最大连接数和传输速度必须限制

    2.2. Windows 操作系统

    2.2.1. 帐号口令设置

    要求内容:重命名 Administrator,禁用 guest(来宾)帐号和其它不必要的账

    户;

    要求内容:应按照不同的用户分配不同的账号,避免不同用户间共享账号。避

    免用户账号和设备间通信使用的账号共享

    要求内容:不显示最后的用户名

    要求内容:密码长度最少 10 位,不能使用有键盘规律的密码(键盘规律密码:

    qazxsw,1qaz@WSX,1q2w3e 等),且密码复杂度至少包含以下四种类别的字符中的三种:

    英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 阿拉伯数字 0, 1, 2, … 9

    非字母数字字符,如标点符号,@, #, $, %, &, *等;

    要求内容:对于采用口令登录的主机,口令的生存期不长于 90 天;

    要求内容:对于采用静态口令登录的主机,应配置主机不能重复使用最近 5 次

    (含 5 次)内已使用的口令;

    要求内容: 在本地安全设置中取得文件或其它对象的所有权仅指派给

    Administrators 组

    要求内容:设备应启用日志记录功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时用户使用的 IP地址;

    要求内容:开启审核策略,以便出现安全问题后进行追查;

    要求内容:设置日志容量和覆盖规则,保证日志能正常存储;

    要求内容:

    禁用 TCP/IP 上的 NetBIOS 协议,可以关闭监听的 UDP 137(netbios-ns)、UDP

    138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。

    要求内容:对主机的通信信道进行数字签名;

    要求内容:关闭不必要的系统服务;

    要求内容:

    非域环境中,关闭 Windows 硬盘默认共享,例如 C$,D$;

    每个共享文件夹的共享权限,只允许授权帐户拥有权限共享此文件夹。

    要求内容:

    Windows 系统需要安装防病毒软件。

    要求内容:

    设置带密码的屏幕保护,并将时间设定为 5 分钟。

    要求内容:开启主机防火墙,根据需要设置需要开放的端口;

    要求内容:修改 Windows 远程桌面默认端口(3389),防止暴力破解等攻击;

    要求内容:安装最新的 Hotfix 补丁;

  • 相关阅读:
    CTE SQL Server 转
    论坛搜索网站技术概述 供参考
    SQL 存储过程 数据分页源代码
    sql server中使用convert来取得datetime数据类型样式(全)
    SQL Server 2008系统信息查询常用命令 查看表大小、记录数等
    用正则表达式匹配HTML\XML等文件中的标签
    使用.Net访问Office编程接口
    不显示某字段有重复的记录 SQL语句
    操作XMLC#(转)
    关于CASE中使用聚合函数时的一点经验
  • 原文地址:https://www.cnblogs.com/zywu-king/p/10162661.html
Copyright © 2020-2023  润新知