2025年智能站一体化UNIX监控系统加固方案.doc

Unix监控系统安全加固

技术方案

7月13曰

监控系统信息概述

变電站设备配置概述

列出經典变電站的後台软件型号、後台操作系统、遠動机、前置机、互换机、正反向隔离装置、防火墙、PMU装置等装置型号。

後台软件型号：PRS-7000

後台操作系统：Unix

遠動机：PRS-7910G

前置机：PRS-7911G

互换机：PRS-7961B

正反向隔离装置：SysKeeper-

防火墙：DPtech-FW1000-MA-D

PMU装置：PRS-7746

变電站二次系统經典拓扑图

监控系统设备加固项目

监控主机

监控主机包括操作员站、工程師站、数据服务器、综合应用服务器、图形网关机等。

硬件加固

對于计算机的光驱，空余USB接口、以太网端口，均采用封条方式封闭。

操作系统

UNIX系统

加固方案如下：

系统帐户优化

备份/etc/passwd：

cp/etc/passwd/etc/passwd_back

加固

假如系统默认账户、测试账户不需要的话，提议删除。使用命令gedit/etc/passwd，打開/etc/passwd文献，删除非必须账户，如：lp、uucp、nuucp、unknow、nobody4、aiuser。

若出現异常，回退

将文献名/etc/passwd_back改為/etc/passwd：

mv/etc/passwd_back/etc/passwd

增强口令方略

备份/etc/default/passwd：

cp/etc/default/passwd/etc/default/passwd_bak

加固

使用命令gedit/etc/default/passwd，打開/etc/default/passwd文献進行修改，设置参数：

#MINDIFF=3#最小的差异数，新密码和旧密码的差异数。

MAXWEEKS=8密码最長有效時间

PASSLENGTH=8最短密码長度

MINWEEKS=最短变化時间

WARNWEEKS=5密码失效前几天告知顾客

MINALPHA=1#至少字母要多少

MINNONALPHA=1#至少的非字母，包括了数字和特殊字符。

#MINUPPER=0#至少大写

#MINLOWER=0#至少小写

#MAXREPEATS=0#最大的反复数目

#MINSPECIAL=0#最小的特殊字符

#MINDIGIT=0#至少的数字

#WHITESPACE=YES#能使用空格吗？

若出現异常，回退

将文献名/etc/default/passwd_bak改為/etc/default/passwd：

mv/etc/default/passwd_bak/etc/default/passwd

消除系统弱口令

设置密码最短長度為8，规定大小字母与数字混排。

终端裏面输入sudopasswdroot回車，按规定修改root的密码，修改後注销顾客重新登录，检查密码已生效；终端裏面输入sudopasswdoracle回車，按规定修改oracle密码，修改後注销顾客重新登录，检查密码已生效

禁用root遠程登录

备份/etc/default/login：

cp/etc/default/login/etc/default/login_bak

加固

使用命令gedit/etc/default/login，打開/etc/default/login文献進行修改，增長或修改/etc/default/login文献中如下行：

CONSOLE=/dev/console

若出現异常，回退

将文献名/etc/default/login_bak改為/etc/default/login：

mv/etc/default/login_bak/etc/default/login

登录超時设置

备份/etc/default/login：

cp/etc/default/login/etc/default/login_bak

加固

使用命令gedit/etc/default/login，打開/etc/default/login文献進行修改，增長或修改/etc/default/login文献中如下行：

TIMEOUT=600

若出現异常，回退

将文献名/etc/default/login_bak改為/etc/default/login：

mv/etc/default/login_bak/etc/default/login

非必需系统服务关闭

备份

查看加固服务与否启動（以加固sendmail為例）

打開终端输入：svcssendmail，回車，显示如下

STATESTIMEFMRI

disabled