智能站一体化UNIX监控系统加固方案.doc

Unix监控系统安全加固 技术方案 2016年7月13日 监控系统信息概述 变电站设备配置概述 列出典型变电站的后台软件型号、后台操作系统、远动机、前置机、交换机、正反向隔离装置、防火墙、PMU装置等装置型号。 后台软件型号：PRS-7000 后台操作系统：Unix 远动机：PRS-7910G 前置机：PRS-7911G 交换机：PRS-7961B 正反向隔离装置：SysKeeper-2000 防火墙：DPtech-FW1000-MA-D PMU装置：PRS-7746 变电站二次系统典型拓扑图 监控系统设备加固项目 监控主机 监控主机包括操作员站、工程师站、数据服务器、综合应用服务器、图形网关机等。 硬件加固 对于计算机的光驱，空余USB接口、以太网端口，均采取封条方式封闭。 操作系统 UNIX系统 加固方案如下： 系统帐户优化 备份/etc/passwd： cp /etc/passwd /etc/passwd_back 加固 如果系统默认账户、测试账户不需要的话，建议删除。使用命令gedit /etc/passwd，打开/etc/passwd文件，删除非必须账户，如：lp、uucp、nuucp、unknow、nobody4、aiuser。 若出现异常，回退 将文件名/etc/passwd_back改为 /etc/passwd： mv /etc/passwd_back /etc/passwd 增强口令策略 cp /etc/default/passwd /etc/default/passwd_bak 加固 使用命令gedit /etc/default/passwd，打开/etc/default/passwd文件进行修改，设置参数： #MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。 MAXWEEKS=8 密码最长有效时间 PASSLENGTH=8 最短密码长度 MINWEEKS= 最短改变时间 WARNWEEKS=5 密码失效前几天通知用户 MINALPHA=1 #最少字母要多少 MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写 #MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字 #WHITESPACE=YES #能使用空格吗？ 若出现异常，回退 将文件名/etc/default/passwd_bak改为 /etc/default/passwd： mv /etc/default/passwd _bak /etc/default/passwd 消除系统弱口令 设置密码最短长度为8，要求大小字母与数字混排。 终端里面输入sudo passwd root回车，按要求修改root的密码，修改后注销用户重新登录，检查密码已生效；终端里面输入sudo passwd oracle回车，按要求修改oracle密码，修改后注销用户重新登录，检查密码已生效 禁用root远程登录 备份 /etc/default/login： cp /etc/default/login /etc/default/login_bak 加固 使用命令gedit /etc/default/login，打开/etc/default/login文件进行修改，增加或修改/etc/default/login文件中如下行： CONSOLE=/dev/console 若出现异常，回退 将文件名/etc/default/ login_bak改为 /etc/default/login： mv /etc/default/login_bak /etc/default/login 登录超时设置 备份 /etc/default/login： cp /etc/default/login /etc/default/login_bak 加固 使用命令gedit /etc/default/login，打开/etc/default/login文件进行修改，增加或修改/etc/default/login文件中如下行： TIMEOUT=600 若出现异常，回退 将文件名/etc/default/ login_bak 改为 /etc/default/login： mv /etc/default/login_bak /etc/default/login 非必需系统服务关闭 备份 查看加固服务是否开启（以加固sendmail为例） 打开终端输入：svcs sendmail，回车，显示如下 STATE STIME FMRI disabled 7月20