以下几个方面进行完善:
1) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户; 2) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使
用等系统内重要的安全相关事件;
3) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等; 4) 保护审计记录,避免受到未预期的删除、修改或覆盖等。 整改措施:
1) 审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库
用户。 操作系统 1. 开启syslog功能: 正在审查 开 bin 处理 开 操作方式 审查事件 开 审查目标 开 审核 启用 AIX 2. ftp审计。缺省情况下,系统不会记录使用ftp连接和传输文件的日志,这会对系统造成安全隐患,尤其在用户使用匿名ftp方式时。为了避免这种情况发生,可用如下的步骤使系统记录ftp的日志: 1)修改/etc/syslog.conf文件,并加入一行: daemon.info ftplog 其中FileName是日志文件的名字, 它会跟踪FTP的活动,包括匿名和其他用户ID。FileName文件必须在做下一步骤前创建。 2)运行\命令刷新syslogd 后台程序。 3)修改/etc/inetd.conf文件,修改下面的数据行: ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l 4)运行“refresh -s inetd”命令刷新inetd后台程序。 WINDOWS 1. 开启日志审计功能;
24
2. 修改普通用户对日志等安全审计方式的权限配置,只有管理员用户有查看、修改、删除等权限; 2) 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使
用等系统内重要的安全相关事件。 操作系统 AIX 操作方式 1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置: 将su=true更改为su=false 1. 修改安全审计策略: 审核策略更改 审核登录事件 审核对象访问 WINDOWS 审核过程追踪 审核目录服务访问 审核特权使用 审核系统事件 审核帐户登录事件 审核帐户管理 成功 成功, 失败 成功, 失败 无审核 无审核 无审核 成功, 失败 成功, 失败 成功, 失败
3) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等; 操作系统 AIX 操作方式 1. 修改日志文件,审核记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; 1. 修改“事件查看器”的属性配置: 日志类型 大小 WINDOWS 应用日志 16384K 安全日志 16384K 覆盖方式 覆盖早于30天的事件 覆盖早于30天的事件 系统日志 16384K 覆盖早于30天的事件 2. 修改“事件类型”、“事件来源”等属性为 “全部”; 4) 保护审计记录,避免受到未预期的删除、修改或覆盖等。
25
操作系统 AIX 操作方式 1. 利用chmod命令修改审计记录文件的操作权限,以保证日志记录文件仅root用户可访问和修改。 1. 修改“事件查看器”的安全属性配置: “组或用户名称”:修改为只有系统管理用户,删除Everyone; WINDOWS “用户权限” :根据需要进行“完全控制”、“修改”、“写入”等权限的配置; 5.3.5
入侵防范
省公司及地市公司主机入侵防范现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过
设置升级服务器等方式保持系统补丁及时得到更新。
2) 检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的
类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。 整改措施:
1) 操作系统需遵循最小安装的原则,仅安装需要的组件和应用程序,并通
过设置升级服务器等方式保持系统补丁及时得到更新。 操作系统 操作方式 1. 最新补丁可以在下面的URL里找到: http://techsupport.services.ibm.com/rs6k/fixdb.html 利用smit工具安装补丁。 2. 禁用TCP/UDP 小服务: 在 /etc/inetd.conf 中,对不需要的服务前加#,表示注释此行,格式如下: #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal AIX
26
#discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal 按上述方法,注释fingerd、uucp、tftp、talk、ntalk、rquotad、rexd、rstatd、rusersd、rwalld、sprayd、pcnfsd、ttdbserver、cmsd等服务。 最后重启服务:refresh -s inetd 3. 禁用Sendmail、SNMP服务: 编辑文件/etc/rc.tcpip 中,在Sendmail、SNMP服务前加#,表示注释此行,格式如下: #start /usr/lib/sendmail \#start up snmp #start /usr/sbin/snmp \1. 安装最新的补丁。 使用WSUS或从http://www.microsoft.com/china 下载最新的安装补丁进行安装。 2. 关闭非必需服务: 常见的非必需服务有: Alerter 远程发送警告信息 Computer Browser 计算机浏览器:维护网络上更新的计算机清单 Messenger 允许网络之间互相传送提示信息的功能,如 net send WINDOWS remote Registry 远程管理注册表,开启此服务带来一定的风险 Print Spooler 如果相应服务器没有打印机,可以关闭此服务 Task Scheduler 计划任务,查看“控制面板”的“任务计划”中是否有计划,若有,则不关闭。 SNMP 简单网管协议,如启用网管应用则不关闭。 3. 关闭空连接: 编辑注册表如下键值:HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa“restrictanonymous”的值修改为“1”,类型为REG_DWORD。
27