雲主機安全加固最佳實踐指導書

1. 賬戶密碼設置及使用建議

• 密碼應該長度很多於 10 位；
• 建議不要使用有必定特徵和規律容易被破解的經常使用口令的密碼（如：在經常使用彩虹表中的密碼、滾鍵盤密碼。如：!QAZxsw2，qazxsw，

      1qaz@WSX，1q2w3e，123456789，password 等），且密碼複雜度至少包含大寫字母、小寫字符、數字、特殊字符四類中的三種；

• 密碼儘可能不要包含帳戶如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql；
• 建議至少每 90 天更改一次密碼，若帳戶已經處於失效狀態， 則不要求修改；
• 建議不要重複使用最近 5 次（含 5 次）內已使用的密碼；
• 建議根據不一樣應用設置不一樣的賬號密碼，不建議多個應用使用同一套帳戶/密碼；
• 賬號管理人員初次發放或者初始化密碼給用戶時，若是知道密碼內容，建議強制用戶首次使用修改密碼，不能強制用戶修改密碼的則爲密碼設置過時期限（用戶必須及時更改密碼，不然密碼應被強制失效）；
• 建議爲全部帳戶配置設置連續認證失敗次數超過 5 次（不含 5次），鎖定帳號策略和 30 分鐘自動解除鎖定策略；
• 建議對全部帳戶設置不活動時間超過 10 分鐘自動退出或鎖定策略；
• 新建系統中的賬號缺省密碼在首次使用前，建議強制用戶更改；
• 建議開啓帳戶登陸記錄日誌功能，登陸日誌最少保存 180 天， 登陸日誌中不能保存用戶的密碼。
• 不使用我的的微博、QQ、論壇等口令 （各類數據泄露）
• 不建議以明文形式經過 Internet、無線設備傳送密碼，全部帳號密碼認證體系在技術支持條件下，建議使用加密協議安全登陸（如SSH）；
• 儘可能使用密鑰方式進行操做系統身份認證。

2. 操做系統安全加固

2.1. Linux 操做系統

2.1.1. 賬號口令設置

建議項：應按照不一樣的用戶分配不一樣的帳號和權限，禁用或刪除其它沒必要要的帳戶；

檢查是否存在空口令和 root 權限的帳號；

建議項：對於採用口令認證的設備，口令長度建議很多於 10 位，幷包括數字、

小寫字母、大寫字母和特殊符號 4 類中至少 3 類；

建議項：對於採用口令認證的設備，賬戶口令的生存期建議不長於 90 天；

建議項：限制超級管理員用戶遠程登陸；設置普通用戶遠程登陸失敗嘗試次數；

建議項：修改默認的 SSH 服務端口；

建議項：建議設置能夠 su 爲 root 的帳戶爲制定的用戶組，其它帳戶不能 su 切

換至 root

建議項：配置系統歷史命令操做記錄和定時賬戶自動登出時間；

2.1.2. 服務

建議項：關閉沒必要要的服務（普通服務和xinetd服務）；

常見沒必要要服務：bootps，pure-ftpd，pppoe，sendmail，isdn，

zebra，cupsd，cups-config-daemon，hplip，hpiod，hpssd，bluetooth，hcid，

hidd，sdpd，dund，pand，rsh

2.1.3. 日誌

建議項：啓用 syslog 系統日誌審計功能

建議項：系統日誌文件由 root 創立而且其它用戶不可讀取（日誌文件權限不高

於 600）；

2.1.4 文件服務配置

建議項：安裝最新的 vsftp 服務器

建議項： vsftp 不能匿名登陸

建議項：禁止顯示 vsftp banner 信息

建議項：開啓 FTP 的日誌記錄功能

建議項：FTP 的最大鏈接數和傳輸速度必須限制

2.2. Windows 操做系統

2.2.1. 賬號口令設置

要求內容：重命名 Administrator，禁用 guest（來賓）賬號和其它沒必要要的帳

戶；

要求內容：應按照不一樣的用戶分配不一樣的帳號，避免不一樣用戶間共享帳號。避

免用戶帳號和設備間通訊使用的帳號共享

要求內容：不顯示最後的用戶名

要求內容：密碼長度最少 10 位，不能使用有鍵盤規律的密碼（鍵盤規律密碼：

qazxsw,1qaz@WSX,1q2w3e 等），且密碼複雜度至少包含如下四種類別的字符中的三種：

英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 阿拉伯數字 0, 1, 2, … 9

非字母數字字符，如標點符號，@, #, $, %, &, *等；

要求內容：對於採用口令登陸的主機，口令的生存期不長於 90 天；

要求內容：對於採用靜態口令登陸的主機，應配置主機不能重複使用最近 5 次

（含 5 次）內已使用的口令；

要求內容： 在本地安全設置中取得文件或其它對象的全部權僅指派給

Administrators 組

要求內容：設備應啓用日誌記錄功能，對用戶登陸進行記錄，記錄內容包括用戶登陸使用的帳號，登陸是否成功，登陸時間，以及遠程登陸時用戶使用的 IP地址；

要求內容：開啓審覈策略，以便出現安全問題後進行追查；

要求內容：設置日誌容量和覆蓋規則，保證日誌能正常存儲；

要求內容：

禁用 TCP/IP 上的 NetBIOS 協議，能夠關閉監聽的 UDP 137（netbios-ns）、UDP

138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。

要求內容：對主機的通訊信道進行數字簽名；

要求內容：關閉沒必要要的系統服務；

要求內容：

非域環境中，關閉 Windows 硬盤默認共享，例如 C$，D$；

每一個共享文件夾的共享權限，只容許受權賬戶擁有權限共享此文件夾。

要求內容：

Windows 系統須要安裝防病毒軟件。

要求內容：

設置帶密碼的屏幕保護，並將時間設定爲 5 分鐘。

要求內容：開啓主機防火牆，根據須要設置須要開放的端口；

要求內容：修改 Windows 遠程桌面默認端口（3389），防止暴力破解等攻擊；

要求內容：安裝最新的 Hotfix 補丁；