1. 程式人生 > >雲主機安全加固最佳實踐指導書

雲主機安全加固最佳實踐指導書

1. 帳戶密碼設定及使用建議

  • 密碼應該長度不少於 10 位;
  • 建議不要使用有一定特徵和規律容易被破解的常用口令的密碼(如:在常用彩虹表中的密碼、滾鍵盤密碼。如:!QAZxsw2,qazxsw,

      [email protected],1q2w3e,123456789,password 等),且密碼複雜度至少包含大寫字母、小寫字元、數字、特殊字元四類中的三種;

  • 密碼儘量不要包含賬戶如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql;
  • 建議至少每 90 天更改一次密碼,若賬戶已經處於失效狀態, 則不要求修改;
  • 建議不要重複使用最近 5 次(含 5 次)內已使用的密碼;
  • 建議根據不同應用設定不同的帳號密碼,不建議多個應用使用同一套賬戶/密碼;
  • 帳號管理人員初次發放或者初始化密碼給使用者時,如果知道密碼內容,建議強制使用者首次使用修改密碼,不能強制使用者修改密碼的則為密碼設定過期期限(使用者必須及時更改密碼,否則密碼應被強制失效);
  • 建議為所有賬戶配置設定連續認證失敗次數超過 5 次(不含 5次),鎖定賬號策略和 30 分鐘自動解除鎖定策略;
  • 建議對所有賬戶設定不活動時間超過 10 分鐘自動退出或鎖定策略;
  • 新建系統中的帳號預設密碼在首次使用前,建議強制使用者更改;
  • 建議開啟賬戶登入記錄日誌功能,登入日誌最少儲存 180 天, 登入日誌中不能儲存使用者的密碼。
  • 不使用個人的微博、QQ、論壇等口令 (各種資料洩露)
  • 不建議以明文形式通過 Internet、無線裝置傳送密碼,所有賬號密碼認證體系在技術支援條件下,建議使用加密協議安全登入(如SSH);
  • 儘量使用金鑰方式進行作業系統身份認證。

2. 作業系統安全加固

2.1. Linux 作業系統

2.1.1. 帳號口令設定

建議項:應按照不同的使用者分配不同的賬號和許可權,禁用或刪除其它不必要的賬戶;

檢查是否存在空口令和 root 許可權的賬號;

建議項:對於採用口令認證的裝置,口令長度建議不少於 10 位,幷包括數字、

小寫字母、大寫字母和特殊符號 4 類中至少 3 類;

建議項:對於採用口令認證的裝置,帳戶口令的生存期建議不長於 90 天;

建議項:限制超級管理員使用者遠端登入;設定普通使用者遠端登入失敗嘗試次數;

建議項:修改預設的 SSH 服務埠;

建議項:建議設定可以 su 為 root 的賬戶為制定的使用者組,其它賬戶不能 su 切

換至 root

建議項:配置系統歷史命令操作記錄和定時帳戶自動登出時間;

2.1.2. 服務

建議項:關閉不必要的服務(普通服務和xinetd服務);

常見不必要服務:bootps,pure-ftpd,pppoe,sendmail,isdn,

zebra,cupsd,cups-config-daemon,hplip,hpiod,hpssd,bluetooth,hcid,

hidd,sdpd,dund,pand,rsh

2.1.3. 日誌

建議項:啟用 syslog 系統日誌審計功能

建議項:系統日誌檔案由 root 創立並且其它使用者不可讀取(日誌檔案許可權不高

於 600);

2.1.4 檔案服務配置

建議項:安裝最新的 vsftp 伺服器

建議項: vsftp 不能匿名登入

建議項:禁止顯示 vsftp banner 資訊

建議項:開啟 FTP 的日誌記錄功能

建議項:FTP 的最大連線數和傳輸速度必須限制

2.2. Windows 作業系統

2.2.1. 帳號口令設定

要求內容:重新命名 Administrator,禁用 guest(來賓)帳號和其它不必要的賬

戶;

要求內容:應按照不同的使用者分配不同的賬號,避免不同使用者間共享賬號。避

免使用者賬號和裝置間通訊使用的賬號共享

要求內容:不顯示最後的使用者名稱

要求內容:密碼長度最少 10 位,不能使用有鍵盤規律的密碼(鍵盤規律密碼:

qazxsw,[email protected],1q2w3e 等),且密碼複雜度至少包含以下四種類別的字元中的三種:

英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 阿拉伯數字 0, 1, 2, … 9

非字母數字字元,如標點符號,@, #, $, %, &, *等;

要求內容:對於採用口令登入的主機,口令的生存期不長於 90 天;

要求內容:對於採用靜態口令登入的主機,應配置主機不能重複使用最近 5 次

(含 5 次)內已使用的口令;

要求內容: 在本地安全設定中取得檔案或其它物件的所有權僅指派給

Administrators 組

要求內容:裝置應啟用日誌記錄功能,對使用者登入進行記錄,記錄內容包括使用者登入使用的賬號,登入是否成功,登入時間,以及遠端登入時使用者使用的 IP地址;

要求內容:開啟稽核策略,以便出現安全問題後進行追查;

要求內容:設定日誌容量和覆蓋規則,保證日誌能正常儲存;

要求內容:

禁用 TCP/IP 上的 NetBIOS 協議,可以關閉監聽的 UDP 137(netbios-ns)、UDP

138(netbios-dgm)以及 TCP 139(netbios-ssn)埠。

要求內容:對主機的通訊通道進行數字簽名;

要求內容:關閉不必要的系統服務;

要求內容:

非域環境中,關閉 Windows 硬碟預設共享,例如 C$,D$;

每個共享資料夾的共享許可權,只允許授權帳戶擁有許可權共享此資料夾。

要求內容:

Windows 系統需要安裝防病毒軟體。

要求內容:

設定帶密碼的螢幕保護,並將時間設定為 5 分鐘。

要求內容:開啟主機防火牆,根據需要設定需要開放的埠;

要求內容:修改 Windows 遠端桌面預設埠(3389),防止暴力破解等攻擊;

要求內容:安裝最新的 Hotfix 補丁;