云主机安全加固最佳实践指导书
1. 帐户密码设置及使用建议
- 密码应该长度不少于 10 位;
- 建议不要使用有一定特征和规律容易被破解的常用口令的密码(如:在常用彩虹表中的密码、滚键盘密码。如:!QAZxsw2,qazxsw,
1qaz@WSX,1q2w3e,123456789,password 等),且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种;
- 密码尽量不要包含账户如:adminstrator/administrator,test/test,root/root,oracle/oracle,mysql/mysql;
- 建议至少每 90 天更改一次密码,若账户已经处于失效状态, 则不要求修改;
- 建议不要重复使用最近 5 次(含 5 次)内已使用的密码;
- 建议根据不同应用设置不同的帐号密码,不建议多个应用使用同一套账户/密码;
- 帐号管理人员初次发放或者初始化密码给用户时,如果知道密码内容,建议强制用户首次使用修改密码,不能强制用户修改密码的则为密码设置过期期限(用户必须及时更改密码,否则密码应被强制失效);
- 建议为所有账户配置设置连续认证失败次数超过 5 次(不含 5次),锁定账号策略和 30 分钟自动解除锁定策略;
- 建议对所有账户设置不活动时间超过 10 分钟自动退出或锁定策略;
- 新建系统中的帐号缺省密码在首次使用前,建议强制用户更改;
- 建议开启账户登录记录日志功能,登录日志最少保存 180 天, 登录日志中不能保存用户的密码。
- 不使用个人的微博、QQ、论坛等口令 (各种数据泄露)
- 不建议以明文形式通过 Internet、无线设备传送密码,所有账号密码认证体系在技术支持条件下,建议使用加密协议安全登录(如SSH);
- 尽量使用密钥方式进行操作系统身份认证。
2. 操作系统安全加固
2.1. Linux 操作系统
2.1.1. 帐号口令设置
建议项:应按照不同的用户分配不同的账号和权限,禁用或删除其它不必要的账户;
检查是否存在空口令和 root 权限的账号;
建议项:对于采用口令认证的设备,口令长度建议不少于 10 位,并包括数字、
小写字母、大写字母和特殊符号 4 类中至少 3 类;
建议项:对于采用口令认证的设备,帐户口令的生存期建议不长于 90 天;
建议项:限制超级管理员用户远程登录;设置普通用户远程登录失败尝试次数;
建议项:修改默认的 SSH 服务端口;
建议项:建议设置可以 su 为 root 的账户为制定的用户组,其它账户不能 su 切
换至 root
建议项:配置系统历史命令操作记录和定时帐户自动登出时间;
2.1.2. 服务
建议项:关闭不必要的服务(普通服务和xinetd服务);
常见不必要服务:bootps,pure-ftpd,pppoe,sendmail,isdn,
zebra,cupsd,cups-config-daemon,hplip,hpiod,hpssd,bluetooth,hcid,
hidd,sdpd,dund,pand,rsh
2.1.3. 日志
建议项:启用 syslog 系统日志审计功能
建议项:系统日志文件由 root 创立并且其它用户不可读取(日志文件权限不高
于 600);
2.1.4 文件服务配置
建议项:安装最新的 vsftp 服务器
建议项: vsftp 不能匿名登录
建议项:禁止显示 vsftp banner 信息
建议项:开启 FTP 的日志记录功能
建议项:FTP 的最大连接数和传输速度必须限制
2.2. Windows 操作系统
2.2.1. 帐号口令设置
要求内容:重命名 Administrator,禁用 guest(来宾)帐号和其它不必要的账
户;
要求内容:应按照不同的用户分配不同的账号,避免不同用户间共享账号。避
免用户账号和设备间通信使用的账号共享
要求内容:不显示最后的用户名
要求内容:密码长度最少 10 位,不能使用有键盘规律的密码(键盘规律密码:
qazxsw,1qaz@WSX,1q2w3e 等),且密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等;
要求内容:对于采用口令登录的主机,口令的生存期不长于 90 天;
要求内容:对于采用静态口令登录的主机,应配置主机不能重复使用最近 5 次
(含 5 次)内已使用的口令;
要求内容: 在本地安全设置中取得文件或其它对象的所有权仅指派给
Administrators 组
要求内容:设备应启用日志记录功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时用户使用的 IP地址;
要求内容:开启审核策略,以便出现安全问题后进行追查;
要求内容:设置日志容量和覆盖规则,保证日志能正常存储;
要求内容:
禁用 TCP/IP 上的 NetBIOS 协议,可以关闭监听的 UDP 137(netbios-ns)、UDP
138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。
要求内容:对主机的通信信道进行数字签名;
要求内容:关闭不必要的系统服务;
要求内容:
非域环境中,关闭 Windows 硬盘默认共享,例如 C$,D$;
每个共享文件夹的共享权限,只允许授权帐户拥有权限共享此文件夹。
要求内容:
Windows 系统需要安装防病毒软件。
要求内容:
设置带密码的屏幕保护,并将时间设定为 5 分钟。
要求内容:开启主机防火墙,根据需要设置需要开放的端口;
要求内容:修改 Windows 远程桌面默认端口(3389),防止暴力破解等攻击;
要求内容:安装最新的 Hotfix 补丁;
转载于:https://www.cnblogs.com/zywu-king/p/10162661.html
云主机安全加固最佳实践指导书相关推荐
- OpenAPI实现云主机闪电交付最佳实践
简介:闪电交付最佳实践使用Alibaba Cloud Linux 2 镜像来快速创建大量的ECS云主机,满足客户在处理热点事件时大量且紧急的算力需求. 直达最佳实践:[OpenAPI实现云主机闪电交付 ...
- SAP(HANA+S/4)上云基础环境部署最佳实践
简介:为提高客户服务水平及集团管理效率,客户选择了SAP解决方案.但是同时也对客户的IT基础设施提出了更多的要求.对此我们针对SAP上云基础设施选型.云原生产品.灾备方案设计,云上安全环境设计总结出了 ...
- 基于阿里云 MaxCompute 构建企业云数据仓库CDW的最佳实践建议
简介: 通过我们背后的指导思想和我们给出的技术解决方案,希望与大家能够一起探索一些新的基于云上的数据仓库构建的最佳实践,从而尽量避免走弯路.这就是我今天想跟大家分享的内容与目的. 在本文中阿里云资深产 ...
- 如何选择最优路径完成云原生上云?听这场阿里云特别分享【云原生技术与最佳实践】
云原生是一个较为广义的概念.对于云原生,不同的企业有着不同的理解. 如何判断项目是否已经到了云原生上云的阶段:云原生上云的方式该怎样抉择:想要把云原生技术发挥到极致又需要考虑哪些因素? 面对诸如此类问 ...
- 向256 MB内存的Windows Phone提供应用的最佳实践指导
简介 为了使得应用能在256 MB的Windows Phone设备上运行需要进行一些改动. 首先,与512 MB的设备相比,256 MB手机上的内存使用/分配方式是不同的.运行在256 MB上的应用仍 ...
- 无影云电脑居家办公最佳实践(AD域账号)
简介:2020年初新冠肺炎疫情在全球迅速蔓延,突如其来的疫情让大多数企业不得不停工停产,企业在探索和实践各种新的办公方式,远程办公.居家办公的需求和市场规模呈现出爆发式增长,已成为企业的共识和全球趋势 ...
- 无影云电脑居家办公最佳实践(便捷账号)
简介:2020年初新冠肺炎疫情在全球迅速蔓延,突如其来的疫情让大多数企业不得不停工停产,企业在探索和实践各种新的办公方式,远程办公.居家办公的需求和市场规模呈现出爆发式增长,已成为企业的共识和全球趋势 ...
- AD管控下的弹性云桌面和文件共享最佳实践
简介:本最佳实践适用于员工通过弹性云桌面客户端连接到弹性云桌面进行日常操作.企业用户账户.共享文件服务.及IDC资源,通过微软ActiveDirectory(以下简称AD)集中管控.云桌面的创建和分配 ...
- linux云主机安全加固
环境情况: 百度智能云,ubuntu1804,系统盘20G,数据盘50G,数据盘挂载点:/opt 安全加固操作 1.禁止ping 目的:为防止网络中的不法分子使用Ping操作来试探云主机的端口,故禁止 ...
最新文章
- Python使用matplotlib可视化发散型条形图、发散条形图(Diverging Bars)是一种可以同时处理负值和正值的条形图、并按照大小排序区分数据(Diverging Bars)
- 【调侃】IOC前世今生
- href=#与href=javascriptvoid(0)的区别
- GideView 动态列模板
- NetBeans Weekly News - Issue # 446 - Jul 20, 2010
- ASP.NET Core 配置 - 创建自定义配置提供程序
- 第九篇:Spring Boot整合Spring Data JPA_入门试炼06
- CSS浮动(float)属性学习经验分享
- Java Web学习总结(23)——Distributed Configuration Management Platform(分布式配置管理平台)
- hashMap 和linkedHashMap
- pd虚拟机 17+win10、11懒人镜像 Mac
- schema中字段类型的定义
- Websocket Session 共享解决
- NVIDIA英伟达控制面板点击没反应解决方案
- 铺铜需要把agnd和dgnd分开_电路中的AGND 和DGND怎么处理
- AXI FULL协议学习与仿真
- win7磁盘清理_Win7系统使用久变慢怎么办?Windows7系统优化方法
- XShell下载安装及使用(免费版)
- ADSP21489 Target halted due to software breakpoint but no breakpoint found at address: 0x208c0b6 ()
- C# 图片格式转换的实例代码
热门文章
- 不让「数据孤岛」成为 AI 发展的绊脚石,「联邦学习」将成突破口?...
- OpenGL的图形渲染过程
- 8P8C 双绞线应用: Ethernet 586A/B, RS232 - EIA 561
- flex布局交叉轴方向对齐方式详解
- 微信小程序之网易云音乐(一)- uni-app的基本使用
- 《动手学深度学习》task3_3 循环神经网络进阶
- UG NX 12 坐标系
- QT5系列教程二---基于qcustomplot的QT5 GUI串口收发绘图软件实现
- 基于JAVA小型健身俱乐部网站计算机毕业设计源码+数据库+lw文档+系统+部署
- 华为P50用鸿蒙系统吗,华为P50Pro+采用鸿蒙系统么-搭载鸿蒙OS么