云主机安全加固最佳实践指导书

1. 帐户密码设置及使用建议

密码应该长度不少于 10 位；
建议不要使用有一定特征和规律容易被破解的常用口令的密码（如：在常用彩虹表中的密码、滚键盘密码。如：!QAZxsw2，qazxsw，

1qaz@WSX，1q2w3e，123456789，password 等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种；

密码尽量不要包含账户如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql；
建议至少每 90 天更改一次密码，若账户已经处于失效状态，则不要求修改；
建议不要重复使用最近 5 次（含 5 次）内已使用的密码；
建议根据不同应用设置不同的帐号密码，不建议多个应用使用同一套账户/密码；
帐号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，不能强制用户修改密码的则为密码设置过期期限（用户必须及时更改密码，否则密码应被强制失效）；
建议为所有账户配置设置连续认证失败次数超过 5 次（不含 5次），锁定账号策略和 30 分钟自动解除锁定策略；
建议对所有账户设置不活动时间超过 10 分钟自动退出或锁定策略；
新建系统中的帐号缺省密码在首次使用前，建议强制用户更改；
建议开启账户登录记录日志功能，登录日志最少保存 180 天，登录日志中不能保存用户的密码。
不使用个人的微博、QQ、论坛等口令（各种数据泄露）
不建议以明文形式通过 Internet、无线设备传送密码，所有账号密码认证体系在技术支持条件下，建议使用加密协议安全登录（如SSH）；
尽量使用密钥方式进行操作系统身份认证。

2. 操作系统安全加固

2.1. Linux 操作系统

2.1.1. 帐号口令设置

建议项：应按照不同的用户分配不同的账号和权限，禁用或删除其它不必要的账户；

检查是否存在空口令和 root 权限的账号；

建议项：对于采用口令认证的设备，口令长度建议不少于 10 位，并包括数字、

小写字母、大写字母和特殊符号 4 类中至少 3 类；

建议项：对于采用口令认证的设备，帐户口令的生存期建议不长于 90 天；

建议项：限制超级管理员用户远程登录；设置普通用户远程登录失败尝试次数；

建议项：修改默认的 SSH 服务端口；

建议项：建议设置可以 su 为 root 的账户为制定的用户组，其它账户不能 su 切

换至 root

建议项：配置系统历史命令操作记录和定时帐户自动登出时间；

2.1.2. 服务

建议项：关闭不必要的服务（普通服务和xinetd服务）；

常见不必要服务：bootps，pure-ftpd，pppoe，sendmail，isdn，

zebra，cupsd，cups-config-daemon，hplip，hpiod，hpssd，bluetooth，hcid，

hidd，sdpd，dund，pand，rsh

2.1.3. 日志

建议项：启用 syslog 系统日志审计功能

建议项：系统日志文件由 root 创立并且其它用户不可读取（日志文件权限不高

于 600）；

2.1.4 文件服务配置

建议项：安装最新的 vsftp 服务器

建议项： vsftp 不能匿名登录

建议项：禁止显示 vsftp banner 信息

建议项：开启 FTP 的日志记录功能

建议项：FTP 的最大连接数和传输速度必须限制

2.2. Windows 操作系统

2.2.1. 帐号口令设置

要求内容：重命名 Administrator，禁用 guest（来宾）帐号和其它不必要的账

户；

要求内容：应按照不同的用户分配不同的账号，避免不同用户间共享账号。避

免用户账号和设备间通信使用的账号共享

要求内容：不显示最后的用户名

要求内容：密码长度最少 10 位，不能使用有键盘规律的密码（键盘规律密码：

qazxsw,1qaz@WSX,1q2w3e 等），且密码复杂度至少包含以下四种类别的字符中的三种：

英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 阿拉伯数字 0, 1, 2, … 9

非字母数字字符，如标点符号，@, #, $, %, &, *等；

要求内容：对于采用口令登录的主机，口令的生存期不长于 90 天；

要求内容：对于采用静态口令登录的主机，应配置主机不能重复使用最近 5 次

（含 5 次）内已使用的口令；

要求内容：在本地安全设置中取得文件或其它对象的所有权仅指派给

Administrators 组

要求内容：设备应启用日志记录功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时用户使用的 IP地址；

要求内容：开启审核策略，以便出现安全问题后进行追查；

要求内容：设置日志容量和覆盖规则，保证日志能正常存储；

要求内容：

禁用 TCP/IP 上的 NetBIOS 协议，可以关闭监听的 UDP 137（netbios-ns）、UDP

138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。

要求内容：对主机的通信信道进行数字签名；

要求内容：关闭不必要的系统服务；

要求内容：

非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$；

每个共享文件夹的共享权限，只允许授权帐户拥有权限共享此文件夹。

要求内容：

Windows 系统需要安装防病毒软件。

要求内容：

设置带密码的屏幕保护，并将时间设定为 5 分钟。

要求内容：开启主机防火墙，根据需要设置需要开放的端口；

要求内容：修改 Windows 远程桌面默认端口（3389），防止暴力破解等攻击；

要求内容：安装最新的 Hotfix 补丁；

转载于:https://www.cnblogs.com/zywu-king/p/10162661.html