日常运维过程中总结的安全基线

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: Redhat Linux操作系统口令复杂度:采用静态口令进行认证的,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号四类中至少三类。且5次以内不得设置相同的口令。参考配置:在/etc/pam.
Redhat Linux操作系统口令复杂度:
采用静态口令进行认证的,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号四类中至少三类。且5次以内不得设置相同的口令。参考配置:
在/etc/pam.d/system-auth 文件中配置:
password requisite pam_cracklib.so difok=3 minlen=6 ucredit=-1 lcredit=-1 dcredit=1
password sufficient pam_unix.so use_authtok md5 shadow remember=5
注:
difok为最少不同字符;
minlen为最小密码长度;
ucredit为最少大写字母个数;
Lcredit为最少小写字母个数;
Dcredit为最少数字个数。

Redhat Linux操作系统口令周期策略设置
采用静态口令进行认证的,密码应至少90天进行更换,提前15天提示密码到期。参考配置:
使用命令“vi /etc/login.defs”修改配置文件。
PASS_MAX_DAYS 90 #密码最长使用天数
PASS_WARN_AGE 15 #密码到期提前提醒天数

Redhat Linux操作系统登录设置
系统应禁止直接root登录,并使用SSH等加密协议进行远程登录维护,禁止使用TELENT进行远程登录维护。参考配置:
vi /etc/ssh/sshd_config #编辑配置文件。
设置“PermitRootLogin”值为“no” #不允许root直接登录。
设置“Protocol”的版本为“2” #使用ssh2

Redhat Linux多余账户锁定策略
应删除或锁定与设备运行、维护等工作无关的账号,建议通过锁定方式实现。参考配置:
修改/etc/passwd文件,将需要锁定的账户的shell域后添加nologin;
#vi /etc/passwd
test:x:1000:100: LINUX:/home/test:/bin/bash/nologin
注:一般情况下,LINUX系统需要锁定deamon,bin,sys,adm,uucp,
nuucp,printq,guest,nobody,lpd,sshd等内置用户,在实际操作中,还需与开发人员、运维人员共同确认多余账户。

Redhat Linux关闭不必要服务
应梳理开启的inetd服务,与有关人员进行确认,关闭无必要的服务,参考配置:
使用命令“who -r”查看当前init级别
使用命令“chkconfig --list <服务名>”查看所有服务的状态
使用命令“chkconfig --level <init级别> <服务名> on|off|reset”设置服务在个init级别下开机是否启动。
注:关闭服务内容需与相关人员进行确认。

Redhat Linux配置时钟同步服务
为了保证日志记录时间的准确性,配置时钟同步服务,与NTP服务器时间同步。参考配置:
以root账户登录系统,在/etc/ntp.conf文件中配置时间服务器。
#vi /etc/ntp.conf
在配置文件末尾可见如下行:
server 127.0.0.1 local clock
fudge 127.0.0.1 stratum 10
#server x.x.x.x minpoll 4 maxpoll 4
保存退出后,执行开机自启动命令。
# chkconfig ntpd on
利用date命令查看系统当前时间,与监控终端时间比较,若相差超过1000s,利用ntpdate命令与时间服务器强制同步。
#ntpdate x.x.x.x
配置完成后,启动ntp服务。
# /etc/init.d/ntpd start

Redhat Linux用户缺省权限设置
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。参考配置:
在/etc/profile中设置umask值,但具体看Linux的发行版本。
使用命令“vi /etc/profile”修改配置文件,添加行“umask 027”,即新创建的文件属主读写执行权限,同组用户读和执行权限,其他用户无权限。

AIX操作系统口令复杂度
采用静态口令进行认证的,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号四类中至少三类。且5次以内不得设置相同的口令。密码应至少每13周进行更换,提前15天提示密码到期。参考配置:
chsec -f /etc/security/user -s default -a minlen=6
#密码长度
chsec -f /etc/security/user -s default -a minalpha=2
#最少两个字母
chsec -f /etc/security/user -s default –a minother=2
#最少两个非字母字符
chsec -f /etc/security/user -s default –a histsize=5
#不能重复前五5次密码
chsec–f /etc/security/user –s default –a pwdwarntime=15
#提前15天提示密码到期
chsec–f /etc/security/user –s default –a maxage=13
#密码最长使用时间13周

AIX操作系统登录设置
系统应禁止直接root登录,并使用SSH等加密协议进行远程登录维护,禁止使用TELENT进行远程登录维护。参考配置:
vi /etc/ssh/sshd_config,编辑配置文件
设置“PermitRootLogin ”的值为“no”,不允许root直接登录。
设置“Protocol”的版本为“2”,使用ssh2。
注:查看SSH服务状态:# ps–elf |grep ssh ,若未安装OPENSSH服务则需进行安装。

AIX操作系统多余账户锁定策略
应删除或锁定与设备运行、维护等工作无关的账号,建议通过锁定方式实现。参考配置:
查看锁定用户:
#cat/etc/security/user,查看用户名后存在”account_locked=true”。
删除用户:
#rmuser –p username。
锁定用户:
#chuser account_locked=true username。
解锁用户:
#chuser account_locked=false username。
注:一般情况下,AIX系统需要锁定deamon,bin,sys,adm,uucp,
nuucp,printq,guest,nobody,lpd,sshd等内置用户,在实际操作中,还需与开发人员、运维人员共同确认多余账户

AIX操作系统关闭不必要inetd服务
应梳理开启的inetd服务,与有关人员进行确认,关闭无用的服务,参考配置:
#cat/etc/inetd.conf
查看以“telnet、finger、login(rlogin)、shell(rsh)、kshell、klogin”等是否关闭服务。
#vi/etc/inetd.conf
在“telnet”等不需要的服务行开头添加注释符号“#”。
#refresh -s inetd”
重新启动inetd服务。
注:关闭服务内容需与相关人员进行确认。

AIX操作系统配置时钟同步服务
为了保证日志记录时间的准确性,配置时钟同步服务,与NTP服务器时间同步。参考配置:
编辑:/etc/ntp.conf
添加:server 时钟同步服务器地址。

DB2数据库锁定不必要账号
需与相关人员确认用户列表,工作无关的账号会成为安全风险,如若被不适当授权的权限,存在安全隐患,应删除或锁定与数据库运行、维护等工作无关的账号。参考配置:
超级用户登录,输入命行,
# passwd -l username
Username为拟锁定账号。

DB2数据库口令复杂度设置
采用静态口令进行认证的数据库,密码遵循复杂度要求,账号口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号四类中至少三类。5次以内不得设置相同的口令。密码应至少每90天进行更换。如DB2用户认证与操作系统用户机制进行绑定,口令复杂度要求实现依靠对应的操作系统上的口令复杂度配置,根据操作系统的不同,参考具体操作系统的口令复杂度要求和配置指南。

DB2数据库默认密码修改
要求修改数据库默认密码,并满足复杂度要求,UNIX上DB2用户默认的口令为ibmdb2;WINDOWS NT上为db2admin。密码设置DB2数据库口令复杂度设置

DB2数据库跟踪隐式特权
当一个用户创建一个数据库对象时,数据库管理器会隐式地将一些特权授给用户,需要对相关权限进行检查,并根据实际需要评估权限是有必要。参考配置:
例如,将DBADM权限授予用户JEFF,而随后又决定撤销此权限。JEFF的DBADM权限,可以使用以下语句:
REVOKE DBADM ON DATABASE FROM USER jeff
执行上述语句后,用户JEFF不再拥有DBADM的权限,但仍然拥有数据库上的GRANT、BINDADD、CONNECT、CREATETAB、CREATE_EXTERNAL_ROUTINE、CREATE_NOT_FENCED_ROUTINE、IMPLICIT_SCHEMA、 LOAD和QUIESCE_CONNECT权限,这些权限是授予JEFF权限时隐式地授给该用户的。
这些权限需要根据实际情况进行评估,并确定是否撤销。

WebLogic账号锁定策略
配置账号锁定策略,在10分钟内,错误尝试登录5次后,封禁该IP登录10分钟,参考配置:
进入控制台。
1.[安全领域]-->领域选择-->[配置]-->[用户封锁]-->勾选"启用封锁",保存,激活更改。
2.[安全领域]-->领域选择-->[配置]-->[用户封锁]-->勾选"启用封锁",把“封锁阀值”设为5的值,保存,激活更改。
3.[安全领域]-->领域选择-->[配置]-->[用户封锁]-->勾选"启用封锁",封锁重置持续时间为10,保存,激活更改。
4、[安全领域]-->领域选择-->[配置]-->[用户封锁]-->勾选"启用封锁",把“封锁持续时间”设为10,保存,激活更改。
注:如果无法修改配置,可以在控制台左上角更改中心中点击“锁定并编辑”按钮开始修改配置,配置修改完成之后点击“释放配置”按钮完成修改。要重启后生效。

WebLogic口令设置策略
应设置口令复杂度的策略,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类,口令更新最长不超过90天。参考配置:
登录管理控制台,在[安全领域]->[myrealm]->[用户和组]->[提供程序]->[提供程序][DefaultAuthenticator]->[提供程序特定]中设置:
“最小口令长度”设为6;
“任意字符的最大出现次数”设为5。

WebLogic删除无用账号
应对WebLogic账号进行检查,并删除无用账号,参考配置:
以管理员身份登录控制台,进行检查。
在[安全领域]-->领域选择-->[用户和组]中删除不必要的账号,保存,激活更改。

WebLogic日志配置
置日志审计,启用审核登录功能,以及HTTP访问日志,并设置日志本地保存时间为60天(日志应保存180天)。参考配置:
1.[安全领域]->领域选择->[提供程序]->[审核],如无审核提供程序,新建;若存在,选择审计提供程序->[配置]->[提供程序特定],严重性:CUSTOM,选中启用警告审计严重性、启用错误审计严重性、启用成功审计严重性、启用失败审计严重性,保存,激活更改。
2.[安全领域]->领域选择->[提供程序]->[审核],如无审核提供程序,新建;若存在,选择审计提供程序->[配置]->[提供程序特定],严重性:CUSTOM,保存,激活更改。
3.[域名]->[配置]->[公用|一般信息]->[高级],配置审计类型选择"更改日志和审计",保存,激活更改。
4.[环境]->[服务器]->服务器选择->[日志记录]->[HTTP],勾选"启用HTTP访问日志文件",保存,激活更改。
5.[环境]->[服务器]->服务器选择->[日志记录]->[一般信息],“滚动类型”选“按时间”,“要保留的文件数”为“60”。

WebLogic设置登录限时登出
设置控制台会话、设置https超时以及http超时登出,参考配置:
1.[域名]->[配置]->[一般信息]->[高级],修改控制台会话超时为不大于600的值,保存,激活更改。

WebLogic目录列表访问限制
配置目录列表访问,禁止weblogic列表显示文件,参考配置:
登陆管理控制台:
控制台中选择"部署->控制->(应用名)->配置->一般信息",取消“已启用索引目录”勾选。




相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
7月前
|
运维 监控 安全
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
204 0
|
运维 安全 Ubuntu
kali 安全/运维 开源教程2022
kali 安全/运维 开源教程2022
135 0
|
2月前
|
运维 监控 安全
安全运维:入侵检测与防御实战指南
安全运维:入侵检测与防御实战指南 【10月更文挑战第9天】
132 3
|
3月前
|
消息中间件 运维 安全
云消息队列 ApsaraMQ Serverless 演进:高弹性低成本、更稳定更安全、智能化免运维
在 2024 年云栖大会上,阿里云智能集团产品专家刘尧全面介绍了云消息队列 ApsaraMQ Serverless 的落地成果和产品进展。此外,我们还邀请到杭州优行科技有限公司中间件消息研发负责人王智洋,分享了 ApsaraMQ for Kafka Serverless 助力曹操出行实现成本优化和效率提升的实践经验。
189 10
|
2月前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
53 1
|
4月前
|
运维 监控 安全
运维之道:构建高效、稳定和安全的系统
在数字化时代的浪潮中,运维(运营与维护)的重要性日益凸显。本文深入浅出地探讨了如何构建一个高效、稳定且安全的系统,从基础设施的搭建到日常的监控管理,再到安全防护的策略实施,每一个环节都是确保业务连续性和数据安全的关键。通过实例分析和最佳实践的分享,旨在为读者提供一套完整的运维解决方案,帮助团队提升运维效率,降低风险,保障业务的稳健发展。
|
4月前
|
运维 安全 网络安全
云端安全之盾:云计算与网络安全的协同演进运维自动化之路:从传统到现代化的转变
【8月更文挑战第23天】在数字化浪潮下,云计算以其灵活性和可扩展性成为企业数字化转型的重要推手。然而,随着云服务的快速发展,网络安全威胁也日益增多。本文将探讨云计算与网络安全如何相互促进,共同成长,以确保信息安全,并分析云服务提供商采取的安全策略以及企业在采用云服务时应注意的安全实践。
|
6月前
|
运维 安全 Linux
云服务器账号密码安全运维
确保云上Linux ECS安全,需强化账号密码策略。检查并更新`/etc/login.defs`,设置`PASS_MAX_DAYS`(如90天)、`PASS_MIN_DAYS`(如7天)和`PASS_WARN_AGE`(如7天),限制密码使用期限和修改间隔。在`/etc/pam.d/common-password`启用密码复杂度规则等等
158 0
|
7月前
|
运维 Cloud Native 安全
【专栏】随着信息技术发展,运维正向自动化、智能化转型,云原生运维成为主流,大数据驱动运维决策,而安全运维日益重要
【4月更文挑战第29天】随着信息技术发展,运维正向自动化、智能化转型,云原生运维成为主流,大数据驱动运维决策,而安全运维日益重要。面对技术更新快、人才短缺和复杂性增加的挑战,企业需建立培训体系,加强人才培养,优化运维管理,以适应未来运维需求。随着这些趋势,运维领域将迎来更广阔的发展前景。
211 2
|
7月前
|
存储 运维 监控
现代化运维管理:提升企业效率与安全
随着信息技术的快速发展,企业对于运维管理的需求日益增长。本文将探讨现代化运维管理在提升企业效率和安全方面的重要作用,介绍了一些最佳实践和工具,帮助企业更好地应对挑战。
下一篇
DataWorks