针对SUSE操作系统的主机进行安全加固.docVIP

(SUSE Linux)_主机 安全加固操作指导 目录 1 文档使用说明 6 1.1 适用范围 6 2 实施前准备 6 2.2 系统检查 7 2.3 业务检查 7 2.4 备份 7 3 加固实施 9 3.1 帐号 10 3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 10 3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 11 3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 13 3.2 口令 14 3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 14 3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 15 3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 17 3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 18 3.3 服务 20 3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 20 3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 21 3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 22 3.3.4 SEC-SUSE-SVC-04-停用NFS服务 24 3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 26 3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 27 3.4 访问控制 29 3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 29 3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 30 3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 31 3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 32 3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 33 3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 35 3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 35 3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 37 3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 38 3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 39 3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 40 3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 41 3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del 42 3.5 日志审计 43 3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 43 3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 44 3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 45 3.5.4 SEC-SUSE-LOG-04-日志集中存放 47 3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 49 3.5.6 SEC-SUSE-LOG-06-系统服务日志 49 3.6 登陆显示 51 3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner 51 3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner 51 3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner 52 3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner 53 3.7 IP协议 55 3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 55 3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 56 3.8 内核参数 57 3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 57 3.9 补丁/软件 57 3.9.1 SEC-SUSE-SW-01-安装OS补丁 57 4 实施后验证 58 4.1 系统检查 58 4.2 启动双机和业务 59 4.3 业务检查 59 5 风险回退 59 5.1 故障信息收集： 60 5.2 系统恢复： 62 文档使用说明 适用范围 适用OS版本： SLES 9，SLES 10 SLES：SUSE Linux Enterprise Edition 适用人员： 一线维护工程师和安全专业服务工程师。要求使用人员熟悉Unix命令、系统管理和维护，熟悉安全加固流程。 实施前准备 预计操作时间: 30分钟，可提前完成 操作人员: 华为办事处业务维护工程师、华为专业安全服务工程师或交付合作方 操