【正文】 ，易造成操作和安全風(fēng)險。加固風(fēng)險需要 PAM 包的支持。對 pam 文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯誤會導(dǎo)致無法登陸。和管理員確認(rèn)哪些用戶需要 su。弱點嚴(yán)重程度賦值中檢查方法cat /etc/,查看是否有 auth required /lib/security/ 這樣的配置條目43 / 59加固操作備份方法：cp p /etc/ /etc/加固方法：vi /etc/在頭部添加：auth required /lib/security/ group=wheel這樣，只有 wheel 組的用戶可以 su 到 rootusermod G10 test 將 test 用戶加入到 wheel 組加固主機 IP 禁止 root 用戶遠程登陸加固項 禁止 root 用戶遠程登錄描述管理員需要使用普通用戶遠程登錄后 su 到 root 進行系統(tǒng)管理，防止root 遠程登錄時被嗅探到口令 。加固風(fēng)險 root 用戶無法直接遠程登錄，需要用普通賬號登陸后 su弱點嚴(yán)重程度賦值中檢查方法 cat /etc/ssh/sshd_config 查看 PermitRootLogin 是否為 no加固操作備份方法：cp p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak加固方法：vi /etc/ssh/sshd_configPermitRootLogin no保存后重啟 ssh 服務(wù)service sshd restart加固主機 IP 限定信任主機加固項 限定信任主機描述 ，則代表允許該主機通過rlogin等方式登錄本機；如果包含兩個加號，代表任何主機都可以無需用戶名44 / 59口令登錄本機 使用“cat /etc/”查看配置文件，若包含遠程主機名，則代表允許該主機遠程登錄本機加固風(fēng)險 在多機互備的環(huán)境中，需要保留其他主機的 IP 可信任。弱點嚴(yán)重程度賦值中檢查方法cat /etc/ 查看其中的主機cat /$HOME/.rhosts 查看其中的主機加固操作備份方法：cp p /etc/ /etc/cp p /$HOME/.rhosts /$HOME/.rhosts_bak加固方法：vi /etc/ 刪除其中不必要的主機vi /$HOME/.rhosts 刪除其中不必要的主機加固主機 IP . 低等級弱點限制 Alt+Ctrl+Del 命令加固項 限制 Alt+Ctrl+Del 命令描述 防止誤使用Ctrl+Alt+Del重啟系統(tǒng) 加固風(fēng)險 無可見風(fēng)險弱點嚴(yán)重程度賦值低檢查方法 使用命令“cat /etc/inittab|grep ctrlaltdel”查看輸入行是否被注釋 加固操作cp /etc/inittab /etc/使用命令“vi /etc/inittab”編輯配置文件，在行開頭添加注釋符號“” ca::ctrlaltdel:/sbin/shutdown t3 r now，再使用命令“init q”應(yīng)用設(shè)置 加固主機 IP 45 / 59. Windows 主機. 高等級弱點WINDOWS 服務(wù)器服務(wù)漏洞(MS08067)加固項 WINDOWS 服務(wù)器服務(wù)漏洞(MS08067)描述WINDOWS 系統(tǒng)上的服務(wù)器服務(wù)中存在一個遠程執(zhí)行代碼漏洞。 該漏洞是由于服務(wù)不正確地處理特制的 RPC 請求導(dǎo)致的。 成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。加固風(fēng)險 可能會影響業(yè)務(wù)系統(tǒng)的應(yīng)用。弱點嚴(yán)重程度賦值高加固操作更新補丁包：Windows Server 2022 SP1:Windows Server 2022 SP2:amp。FamilyID=F26D395D24594E408C923DE1C52C390DWindows Server 2022 for 32bit Systems: amp。FamilyID=25C17B071EFE43D79B013DFDF1CE0BD7加固主機 IP . 中等級弱點 刪除服務(wù)器上的管理員共享加固項 刪除服務(wù)器上的管理員共享描述Windows 機器在安裝后都缺省存在”管理員共享”,它們被限制只允許管理員使用，但是它們會在網(wǎng)絡(luò)上以 Admin$、c$、IPC$等來暴露每個卷的根目錄和%systemroot%目錄46 / 59加固風(fēng)險 不能使用默認(rèn)共享弱點嚴(yán)重程度賦值中加固操作刪除服務(wù)器上的管理員共享修改注冊表運行regedit server 版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer（DWORD）的鍵值改為:00000000。professional 版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareWks（DWORD）的鍵值改為:00000000。如果上面所述的主鍵不存在，就新建(右擊新建雙字節(jié)值）一個主健再改鍵值。 加固主機 IP 、禁止在任何驅(qū)動器上自動運行任何程序加固項 禁止在任何驅(qū)動器上自動運行任何程序描述 防止惡意代碼或特洛伊木馬自動運行加固風(fēng)險 無弱點嚴(yán)重程度賦值中加固操作用戶配置管理模板系統(tǒng)關(guān)閉自動播放或者設(shè)置 HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun (REG_DWORD) 255(十六進制 FF)加固主機 IP 、47 / 59禁用無關(guān)的 windows 服務(wù)加固項 禁用無關(guān)的 windows 服務(wù)描述系統(tǒng)中某些服務(wù)存在漏洞，如 Computer Browser 服務(wù)禁用可防止用戶通過網(wǎng)上鄰居來發(fā)現(xiàn)他不知道確切名字的共享資源，或不通過任何授權(quán)瀏覽這些資源。加固風(fēng)險 可能影響某些服務(wù)的正常運行弱點嚴(yán)重程度賦值中加固操作到 windows 服務(wù)項中 ,禁用 Remote Registry、Simple Network Management Protocol(SNMP) Service、Simple Network Management Protocol(SNMP) Trap 服務(wù)加固主機 IP 、設(shè)置密碼策略加固項 設(shè)置密碼策略描述設(shè)置密碼的最短長度以及密碼復(fù)雜度可以抵御基于密碼的攻擊，更好的保護帳號的安全。加固風(fēng)險 啟用密碼復(fù)雜度要求后，未滿足要求的賬戶可能會受到影響弱點嚴(yán)重程度賦值中加固操作 進入“計算機設(shè)置”“Windows 設(shè)置”“安全設(shè)置”“帳戶策略”“密碼策略” 。設(shè)置如下內(nèi)容：密碼策略：密碼必須符合復(fù)雜性要求（啟用）密碼策略：密碼長度最小值（8）密碼策略：密碼最長使用期限（90 天）密碼策略：密碼最短使用期限（1 天）密碼策略：強制密碼歷史（=5）48 / 59加固主機 IP 、設(shè)置審計和賬號策略加固項 設(shè)置審計和賬號策略描述系統(tǒng)針對帳號的管理，以及目錄服務(wù)訪問，對象訪問，策略更改，特權(quán)使用，進程跟蹤，系統(tǒng)事件的審計未做設(shè)置加固風(fēng)險 開啟審計策略后，系統(tǒng)日志會增多，需要實時檢查磁盤空間弱點嚴(yán)重程度賦值中加固操作設(shè)置審核策略以及帳號策略帳戶鎖定策略：帳戶鎖定時間（15 分鐘）帳戶鎖定策略：帳戶鎖定閥值（3 次無效登錄）審核策略：審核策略更改（成功和失?。徍瞬呗裕簩徍说卿浭录ǔ晒褪。徍瞬呗裕簩徍藢ο笤L問（失?。徍瞬呗裕簩徍颂貦?quán)使用（失?。徍瞬呗裕簩徍讼到y(tǒng)事件（成功和失?。徍瞬呗裕簩徍藥舻卿浭录ǔ晒褪。徍瞬呗裕簩徍藥艄芾恚ǔ晒褪。┘庸讨鳈C IP 、. 低等級弱點禁止 CD 自動運行加固項 禁止 CD 自動運行描述 可防止由于自動運行 CD 帶來的安全風(fēng)險，如病毒自動安裝等。加固風(fēng)險 CD 將不能自動運行弱點嚴(yán)重程度 低49 / 59賦值加固操作修改注冊表以下鍵值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDrom\ Autorun (REG_DWORD) 0加固主機 IP 、設(shè)置交互式登錄：不顯示上次用戶名加固項 設(shè)置交互式登錄：不顯示上次用戶名描述 避免泄露用戶名的信息加固風(fēng)險 在交互登錄的過程中，不再顯示上次登錄的用戶名弱點嚴(yán)重程度賦值低加固操作 修改系統(tǒng)安全選項中的設(shè)置，啟用該項。加固主機 IP 、設(shè)置關(guān)機：清除虛擬內(nèi)存頁面文件加固項 設(shè)置關(guān)機：清除虛擬內(nèi)存頁面文件描述 避免內(nèi)存頁面保存敏感的數(shù)據(jù)信息加固風(fēng)險 無弱點嚴(yán)重程度賦值低加固操作 修改系統(tǒng)安全選項中的設(shè)置，啟用“關(guān)機：清除虛擬內(nèi)存頁面文件”加固主機 IP 、. Oracle 數(shù)據(jù)庫. 高等級弱點無。50 / 59. 中等級弱點限制客戶端連接 IP加固項 限制客戶端連接 IP描述與數(shù)據(jù)庫服務(wù)器同一網(wǎng)段的 IP 可連接數(shù)據(jù)庫，降低了數(shù)據(jù)庫的安全性。加固風(fēng)險 未授權(quán)的客戶端將不能連接數(shù)據(jù)庫服務(wù)器弱點嚴(yán)重程度賦值中加固操作加固風(fēng)險規(guī)避的方法：備份原配置文件 具體加固方法：在 中增加：=yes 允許訪問的 IP=(ip1,ip2,161。amp。shy。161。amp。shy。) 不允許訪問的 IP=(ip1,ip2,161。amp。shy。161。amp。shy。)或者通過防火墻進行設(shè)置。加固主機 IP 設(shè)置 oracle 密碼策略加固項 設(shè)置 oracle 密碼策略描述Oracle 數(shù)據(jù)庫用戶的密碼策略未配置，使數(shù)據(jù)庫用戶及口令可能存在弱點，同時也可能受到非法者利用。設(shè)定密碼策略也可對失敗登陸次數(shù)和賬戶鎖定時間進行設(shè)置。加固風(fēng)險 未滿足密碼策略要求的賬戶可能會收到影響弱點嚴(yán)重程度賦值中51 / 59加固操作建立用戶配置文件 profile，并指定給相關(guān)用戶。設(shè)置資源限制時，設(shè)置數(shù)據(jù)庫系統(tǒng)啟動參數(shù) RESOURCE_LIMIT 為true；alter system set RESOURCE_LIMIT=true。創(chuàng)建 profile 文件：create profile 文件名 limit 參數(shù) value?？稍O(shè)置的參數(shù)如下 FAILED_LOGIN_ATTEMPTS：指定鎖定用戶的登錄失敗次數(shù) PASSWORD_LOCK_TIME：指定用戶被鎖定天數(shù) PASSWORD_LIFE_TIME：指定口令可用天數(shù) PASSWORD_REUSE_TIME：指定在多長時間內(nèi)口令不能重用PASSWORD_REUSE_MAX：指定在重用口令前口令需要改變的次數(shù) PASSWORD_VERIFY_FUNCTION：口令效驗函數(shù)更改用戶 profile 為新建的 profile：ALTER USER username PROFILE newprofilename。加固主機 IP . 低等級弱點無。. 互動 XX 安全加固操作. Linux 主機. 高等級弱點無。. 中等級弱點設(shè)置系統(tǒng)口令策略加固項 設(shè)置系統(tǒng)口令策略描述增加口令復(fù)雜度，建議使用數(shù)字+大、小寫字母+特殊字符設(shè)置系統(tǒng)口令，密碼長度至少 8 位。加固風(fēng)險 需要與管理員確認(rèn)此項操作不會影響到業(yè)務(wù)系統(tǒng)的登錄52 / 59弱點嚴(yán)重程度賦值中檢查方法使用命令cat /etc/|grep PASS 查看密碼策略設(shè)置加固操作備份 cp p /etc/ /etc/加固方法：vi /etc/ 修改配置文件PASS_MAX_DAYS 90 新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS 0 新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE 7 新建用戶的密碼到期提前提醒天數(shù)PASS_MIN_LEN 8 最小密碼長度 8加固主機 IP 、限制能 su 為 root 的用戶加固項 限制能 su 為 root 的用戶描述 能 su 為 root 的用戶權(quán)限過大，易造成操作和安全風(fēng)險。加固風(fēng)險需要 PAM 包的支持。對 pam 文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯誤會導(dǎo)致無法登陸。和管理員確認(rèn)哪些用戶需要 su。弱點嚴(yán)重程度賦值中檢查方法cat /etc/,查看是否有 auth required /lib/security/ 這樣的配置條目加固操作備份方法：cp p /etc/ /etc/加固方法：vi /etc/在頭部添加：auth required /lib/security/ group=wheel這樣，只有 wheel 組的用戶可以 su 到 rootusermod G10 test 將 test 用戶加入到 wheel 組53 / 59加固主機 IP 、禁止 root 用戶遠程登陸加固項 禁止 root 用戶遠程登錄描述管