云主机安全加固最佳实践指导书
1. 帐户密码设置及使用建议
- 密码应该长度不少于 10 位;
- 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码。如:!QAZxsw2,qazxsw,
1qaz@WSX,1q2w3e,123456789,password 等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种;
- 密码尽量不要包含账户如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql;
- 建议至少每 90 天更改一次密码,若账户已经处于失效状态, 则不要求修改;
- 建议不要重复使用最近 5 次(含 5 次)内已使用的密码;
- 建议根据不同应用设置不同的帐号密码,不建议多个应用使用同一套账户/密码;
- 帐号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,不能强制用户修改密码的则为密码设置过期期限(用户必须及时更改密码,否则密码应被强制失效);
- 建议为所有账户配置设置连续认证失败次数超过 5 次(不含 5次),锁定账号策略和 30 分钟自动解除锁定策略;
- 建议对所有账户设置不活动时间超过 10 分钟自动退出或锁定策略;
- 新建系统中的帐号缺省密码在首次使用前,建议强制用户更改;
- 建议开启账户登录记录日志功能,登录日志最少保存 180 天, 登录日志中不能保存用户的密码。
- 不使用个人的微博、QQ、论坛等口令 (各种数据泄露)
- 不建议以明文形式通过 Internet、无线设备传送密码,所有账号密码认证体系在技术支持条件下,建议使用加密协议安全登录(如SSH);
- 尽量使用密钥方式进行操作系统身份认证。
2. 操作系统安全加固
2.1. Linux 操作系统
建议项:应按照不同的用户分配不同的账号和权限,禁用或删除其它不必要的账户;
检查是否存在空口令和 root 权限的账号;
建议项:对于采用口令认证的设备,口令长度建议不少于 10 位,并包括数字、
小写字母、大写字母和特殊符号 4 类中至少 3 类;
建议项:对于采用口令认证的设备,帐户口令的生存期建议不长于 90 天;
建议项:限制超级管理员用户远程登录;设置普通用户远程登录失败尝试次数;
建议项:修改默认的 SSH 服务端口;
建议项:建议设置可以 su 为 root 的账户为制定的用户组,其它账户不能 su 切
换至 root
建议项:配置系统历史命令操作记录和定时帐户自动登出时间;
2.1.2. 服务
建议项:关闭不必要的服务(普通服务和xinetd服务);
常见不必要服务:bootps,pure-ftpd,pppoe,sendmail,isdn,
zebra,cupsd,cups-config-daemon,hplip,hpiod,hpssd,bluetooth,hcid,
hidd,sdpd,dund,pand,rsh
2.1.3. 日志
建议项:启用 syslog 系统日志审计功能
建议项:系统日志文件由 root 创立并且其它用户不可读取(日志文件权限不高
于 600);
2.1.4 文件服务配置
建议项:安装最新的 vsftp 服务器
建议项: vsftp 不能匿名登录
建议项:禁止显示 vsftp banner 信息
建议项:开启 FTP 的日志记录功能
建议项:FTP 的最大连接数和传输速度必须限制
2.2. Windows 操作系统
2.2.1. 帐号口令设置
要求内容:重命名 Administrator,禁用 guest(来宾)帐号和其它不必要的账
户;
要求内容:应按照不同的用户分配不同的账号,避免不同用户间共享账号。避
免用户账号和设备间通信使用的账号共享
要求内容:不显示最后的用户名
要求内容:密码长度最少 10 位,不能使用有键盘规律的密码(键盘规律密码:
qazxsw,1qaz@WSX,1q2w3e 等),且密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等;
要求内容:对于采用口令登录的主机,口令的生存期不长于 90 天;
要求内容:对于采用静态口令登录的主机,应配置主机不能重复使用最近 5 次
(含 5 次)内已使用的口令;
要求内容: 在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators 组
要求内容:设备应启用日志记录功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时用户使用的 IP地址;
要求内容:开启审核策略,以便出现安全问题后进行追查;
要求内容:设置日志容量和覆盖规则,保证日志能正常存储;
要求内容:
禁用 TCP/IP 上的 NetBIOS 协议,可以关闭监听的 UDP 137(netbios-ns)、UDP
138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。
要求内容:对主机的通信信道进行数字签名;
要求内容:关闭不必要的系统服务;
要求内容:
非域环境中,关闭 Windows 硬盘默认共享,例如 C$,D$;
每个共享文件夹的共享权限,只允许授权帐户拥有权限共享此文件夹。
要求内容:
Windows 系统需要安装防病毒软件。
要求内容:
设置带密码的屏幕保护,并将时间设定为 5 分钟。
要求内容:开启主机防火墙,根据需要设置需要开放的端口;
要求内容:修改 Windows 远程桌面默认端口(3389),防止暴力破解等攻击;
要求内容:安装最新的 Hotfix 补丁;