服务器安全设置(等保二级)

1、密码策略配置

Windows操作系统: 1、查看控制面板-管理工具-本地安全策略-帐户策略-密码策略; 1)、密码复杂性要求:已启用; 2)、密码长度最小值:8; 3)、密码最长使用期限:90; 4)、密码最短使用期限:2; 5)、强制密码历史:5; 2、查看控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户(每个用户)-右键-属性-去除勾选“密码永不过期”。

Linux操作系统: 1、/etc/login.defs下设置: PASS_MAX_DAYS:90 PASS_MIN_DAYS:2 PASS_MIN_LENS:8 PASS_WARN_AGE:7 2、/etc/pam.d/system-auth下设置密码复杂度: Password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1; 3、当前所设密码长度应不少于8位,且具有一定的复杂的并且定期更换

SQLserver数据库: 在SQL 查询分析器中执行 Use master;Select name,Password from syslogins where password is null and deneylogin=1或使用数据库扫描软件,扫描结果中不可存在空口令/弱口令的用户。

Oracle数据库: 执行select profile ,resource_name,limit from dba_profiles where resource_type='PASSWORD'; 各limited应设置为:

PROFILE RESOURCE_NAME LIMIT


MONITORING_PROFILE FAILED_LOGIN_ATTEMPTS UNLIMITED DEFAULT FAILED_LOGIN_ATTEMPTS 3 MONITORING_PROFILE PASSWORD_LIFE_TIME 90 DEFAULT PASSWORD_LIFE_TIME 180 MONITORING_PROFILE PASSWORD_REUSE_TIME DEFAULT DEFAULT PASSWORD_REUSE_TIME 1800 MONITORING_PROFILE PASSWORD_REUSE_MAX DEFAULT DEFAULT PASSWORD_REUSE_MAX 6 MONITORING_PROFILE PASSWORD_VERIFY_FUNCTION DEFAULT DEFAULT PASSWORD_VERIFY_FUNCTION VERIFY_FUNCTION MONITORING_PROFILE PASSWORD_LOCK_TIME DEFAULT DEFAULT PASSWORD_LOCK_TIME 1/1440 MONITORING_PROFILE PASSWORD_GRACE_TIME DEFAULT DEFAULT PASSWORD_GRACE_TIME 10 【注意:主要设置正在使用的profile的各参数值,可执行: “Select username,account_status,profile from dba_users;”查看正在使用的profile】

2、登录失败处理功能

Windows操作系统: 控制面板--管理工具--本地安全设置--帐户策略--账户锁定策略: (1)、复位帐号锁定计数器:30min; (2)、账户锁定时间:30min; (3)、账户锁定阀值:5。

Linux操作系统: 在/etc/pam.d/system-auth手动添加: Account required /lib/security/pamtally.so deny=5 no_magic_root reset

SQLserver数据库: 打开Microsoft SQL Server Management Studio,对象资源管理器中--安全性--登录名(每个),右键各个用户--属性--常规--勾选强制实施密码策略;

Oracle数据库: 方法同“1、密码策略配置”

3、开启审计

Windows操作系统: 控制面板-管理工具-本地安全策略-本地策略-审核策略。 所有审核都开启成功、失败的审计。

Linux操作系统: 开启rsyslog或syslog进程、开启auditd进程。

Oracle数据库: 执行show parameter audit_sys_operations; 设置audit_sys_operations=TRUE; 执行show parameter audit_trail; 设置audit_trail=OS或者DB;

SQLserver数据库: 打开Microsoft SQL Server Management Studio,对象资源管理器中,右键服务器--属性--安全性 1、登录审核:失败和成功的登录; 2、启用C2审核跟踪:勾选“启用C2审核跟踪”。

IIS中间件: 开始->管理工具->Internet 信息服务(IIS)管理器:启用日志记录(W3C扩展文件日志格式)。

Tomcat中间件: 1、Tomcat安装目录/conf/logging.properties文件中设置(级别至少为FINE): 1catalina.org.apache.juli.FileHandler.level = FINE 2localhost.org.apache.juli.FileHandler.level = FINE 3manager.org.apache.juli.FileHandler.level = FINE java.util.logging.ConsoleHandler.level = FINE 2、Tomcat安装目录/conf/server.xml中 将以下内容的注释标记取消

Nginx中间件: Nginx安装目录下/conf/nginx.conf文件中 配置access日志、error日志

4、关闭危险端口

Windows操作系统: 控制面板->管理工具->高级防火墙策略->入站规则中,配置阻止危险端口入站连接

5、关闭默认共享

Windows操作系统: http://www.win7china.com/html/23205.html

6、删除Tomcat管理控制台方法

Tomcat安装目录下/webapps/ROOT中,替换或删除ROOT文件夹中全部内容

7、剩余信息保护

Windows操作系统: 查看控制面板-管理工具-本地安全策略(或运行中输入gpedit.msc打开)-安全选项: 1、“关机:清楚虚拟内存页面文件:已启用”; 2、“交互式登录:不显示最后的用户名:已启用”。

8、限制登录终端范围

Mysql数据库: Use mysql; select host,user, from user; host不可为”%”,限定可登录数据库的IP

9、登录终端超时

Windows操作系统: 1、桌面右键-个性化-屏幕保护程序; 启用屏保并勾选“在恢复时显示登录屏幕” 2、在运行中输入gpedit.msc打开“组策略”,在计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-会话时间限制中,设置“活动但空闲的远程桌面服务会话时间的限制”。(推荐值设置15分钟左右)。

Linux操作系统: 在/etc/profile文件末尾增加:export TMOUT=600

Oracle数据库: 执行:select resource_name,limit from dba_profiles where profile='DEAFAULT' and resource_type = 'KERNEL' ; 查看idle_time的值,设置idle_time值为10;