等保2级问题清单修复文档.docx
- 文档编号:8873562
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:16
- 大小:25.88KB
等保2级问题清单修复文档.docx
《等保2级问题清单修复文档.docx》由会员分享,可在线阅读,更多相关《等保2级问题清单修复文档.docx(16页珍藏版)》请在冰豆网上搜索。
等保2级问题清单修复文档
等保二级测评问题修复文档
1操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1.1Centos操作系统用户口令未有复杂度要求并定期更换
1.1.1提升系统口令复杂度
PASS_MAX_DAYS180
PASS_MIN_DAYS1
PASS_WARN_AGE28
PASS_MIN_LEN8
如下图:
1.1.2提升密码复杂度
/etc/pam.d/system-auth文件中配置密码复杂度:
passwordrequisitepam_cracklib.sominlen=8ucredit=-1lcredit=-3dcredit=-3ocredit=-1
说明:
密码最少minlen=8位,ucredit=-1密码中至少有1个大写字母,icredit=-3密码中至少有3个小写字母,dredit=3密码中至少有3个数字,oredit=-1密码中至少有1个其它字符
如下图:
1.2Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期
修改口令复杂度和更换周期如下:
1.3数据库系统用户口令未定期更换
ALTERUSER用户名PASSWORDEXPIREINTERVAL180DAY;
2应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
2.1Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
2.1.1修改远程登录用户
修改为登录三次锁定用户,锁定时间为:
一般用户5分钟,超级用户锁定10分钟配置如下:
修改/etc/pam.d/sshd(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=600
如下图:
2.1.2修改客户端登录用户
修改/etc/pam.d/login(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=600
如下图:
2.2Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
账户锁定策略:
复位帐户锁定计数器->3分钟帐户锁定时间->5分钟帐户锁定阀值->5次无效登录,设置设备登录失败超时时间(不大于10分钟)
2.3数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施
3当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
4应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
已删除数据库root账号,数据库中每个需要连接的主机对应一个账号
5Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问;
禁用PrintSpooler,禁用默认共享路径:
C$
如下图:
6应实现操作系统和数据库系统特权用户的权限分离
6.1Centos操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
在系统下分别添加不同较色的管理员:
系统管理员、安全管理员、安全审计员
6.1.1添加不同角色的人员
Useraddsysadmin
Useraddsafeadmin
Useraddsafecheck
6.1.2为sysadmin添加sudo权限
chmod740/etc/sudoers
vi/etc/sudoers
sysadminALL=(ALL)ALL
chmod440/etc/sudoers
6.2Window操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
添加:
系统管理员、安全管理员和安全审计员
权限分配:
6.3数据库账户和系统管理员账户的权限一致
数据库root账号已删除,数据库管理员账号为hqwnm和manager
7应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
7.1Centos操作系统未限制默认账户的访问权限,未重命名默认账户
删除多余的账号,只保留root默认账号
7.2Windows操作系统未限制默认账户的访问权限,未重命名默认账户
重命名administrator和guest默认用户名
如下图:
7.3数据库系统未限制默认账户的访问权限,未重命名默认账户
已删除root账号。
无其他默认账号
8应及时删除多余的、过期的帐户,避免共享帐户的存在
8.1Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、lp、sync、shutdown、halt、mail、operator、games)
8.1.1注释掉不需要的用户
修改:
/etc/passwd如下:
adm、lp、sync、shutdown、halt、mail、operator、games分别注释掉
root:
x:
0:
0:
root:
/root:
/bin/bash
bin:
x:
1:
1:
bin:
/bin:
/sbin/nologin
daemon:
x:
2:
2:
daemon:
/sbin:
/sbin/nologin
#adm:
x:
3:
4:
adm:
/var/adm:
/sbin/nologin
#lp:
x:
4:
7:
lp:
/var/spool/lpd:
/sbin/nologin
#sync:
x:
5:
0:
sync:
/sbin:
/bin/sync
#shutdown:
x:
6:
0:
shutdown:
/sbin:
/sbin/shutdown
#halt:
x:
7:
0:
halt:
/sbin:
/sbin/halt
#mail:
x:
8:
12:
mail:
/var/spool/mail:
/sbin/nologin
#operator:
x:
11:
0:
operator:
/root:
/sbin/nologin
#games:
x:
12:
100:
games:
/usr/games:
/sbin/nologin
ftp:
x:
14:
50:
FTPUser:
/var/ftp:
/sbin/nologin
nobody:
x:
99:
99:
Nobody:
/:
/sbin/nologin
dbus:
x:
81:
81:
Systemmessagebus:
/:
/sbin/nologin
polkitd:
x:
999:
998:
Userforpolkitd:
/:
/sbin/nologin
avahi:
x:
70:
70:
AvahimDNS/DNS-SDStack:
/var/run/avahi-daemon:
/sbin/nologin
avahi-autoipd:
x:
170:
170:
AvahiIPv4LLStack:
/var/lib/avahi-autoipd:
/sbin/nologin
libstoragemgmt:
x:
998:
997:
daemonaccountforlibstoragemgmt:
/var/run/lsm:
/sbin/nologin
ntp:
x:
38:
38:
:
/etc/ntp:
/sbin/nologin
abrt:
x:
173:
173:
:
/etc/abrt:
/sbin/nologin
postfix:
x:
89:
89:
:
/var/spool/postfix:
/sbin/nologin
sshd:
x:
74:
74:
Privilege-separatedSSH:
/var/empty/sshd:
/sbin/nologin
chrony:
x:
997:
996:
:
/var/lib/chrony:
/sbin/nologin
nscd:
x:
28:
28:
NSCDDaemon:
/:
/sbin/nologin
tcpdump:
x:
72:
72:
:
/:
/sbin/nologin
nginx:
x:
996:
995:
nginxuser:
/var/cache/nginx:
/sbin/nologin
sysadmin:
x:
1000:
1000:
:
/home/sysadmin:
/bin/bash
safeadmin:
x:
1001:
1001:
:
/home/safeadmin:
/bin/bash
safecheck:
x:
1002:
1002:
:
/home/safecheck:
/bin/bash
如下图:
8.1.2注释掉不需要的组
[root@iZ886zdnu5gZ~]#cat/etc/group
root:
x:
0:
bin:
x:
1:
daemon:
x:
2:
sys:
x:
3:
#adm:
x:
4:
tty:
x:
5:
disk:
x:
6:
#lp:
x:
7:
mem:
x:
8:
kmem:
x:
9:
wheel:
x:
10:
cdrom:
x:
11:
#mail:
x:
12:
postfix
man:
x:
15:
dialout:
x:
18:
floppy:
x:
19:
#games:
x:
20:
tape:
x:
30:
video:
x:
39:
ftp:
x:
50:
lock:
x:
54:
audio:
x:
63:
nobody:
x:
99:
users:
x:
100:
utmp:
x:
22:
utempter:
x:
35:
ssh_keys:
x:
999:
systemd-journal:
x:
190:
dbus:
x:
81:
polkitd:
x:
998:
avahi:
x:
70:
avahi-autoipd:
x:
170:
libstoragemgmt:
x:
997:
ntp:
x:
38:
dip:
x:
40:
abrt:
x:
173:
stapusr:
x:
156:
stapsys:
x:
157:
stapdev:
x:
158:
slocate:
x:
21:
postdrop:
x:
90:
postfix:
x:
89:
sshd:
x:
74:
chrony:
x:
996:
nscd:
x:
28:
tcpdump:
x:
72:
nginx:
x:
995:
sysadmin:
x:
1000:
safeadmin:
x:
1001:
safecheck:
x:
1002:
8.2Windows操作系统未限制默认账户的访问权限
对重要文件夹进行访问限制,没有权限的系统默认账号是无法访问的,例如:
8.3数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户
数据库已限制用户的访问,每个IP对应一个用户名
9审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
9.1Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用第三方安全审计产品实现审计要求
开启日志日记进程(audit),审计覆盖到每个用户
9.2Windows操作系统审计日志未覆盖到用户所有重要操作
开启系统审计日志,如下图:
9.3数据库系统未开启审计进程;未使用第三方审计系统对系统进行操作审计,审计范围未覆盖到抽查的用户
数据库安装了第三方的审计插件。
macfee公司基于percona开发的mysql audit 插件
10审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
10.1Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改audit.rules,使审计内容包括:
用户重要行为、系统资源调用、文件访问和用户登录等
-w/var/log/audit/-kLOG_audit
-w/etc/audit/-pwa-kCFG_audit
-w/etc/audisp/-pwa-kCFG_audisp
-w/etc/cups/-pwa-kCFG_cups
-w/etc/selinux/mls/-pwa-kCFG_MAC_policy
-w/usr/share/selinux/mls/-pwa-kCFG_MAC_policy
-w/etc/selinux/semanage.conf-pwa-kCFG_MAC_policy
-w/usr/sbin/stunnel-px
-w/etc/security/rbac-self-test.conf-pwa-kCFG_RBAC_self_test
-w/etc/crontab-pwa-kCFG_crontab
-w/var/spool/cron/root-kCFG_crontab_root
-w/etc/group-pwa-kCFG_group
-w/etc/passwd-pwa-kCFG_passwd
-w/etc/gshadow-kCFG_gshadow
-w/etc/shadow-kCFG_shadow
-w/etc/security/opasswd-kCFG_opasswd
-w/etc/securetty-pwa-kCFG_securetty
-w/var/log/faillog-pwa-kLOG_faillog
-w/var/log/lastlog-pwa-kLOG_lastlog
-w/var/log/tallylog-pwa-kLOG_tallylog
-w/etc/hosts-pwa-kCFG_hosts
-w/etc/sysconfig/network-scripts/-pwa-kCFG_network
-w/etc/inittab-pwa-kCFG_inittab
-w/etc/localtime-pwa-kCFG_localtime
-w/etc/security/limits.conf-pwa-kCFG_pam
-w/etc/security/pam_env.conf-pwa-kCFG_pam
-w/etc/security/namespace.conf-pwa-kCFG_pam
-w/etc/security/namespace.init-pwa-kCFG_pam
-w/etc/aliases-pwa-kCFG_aliases
-w/etc/postfix/-pwa-kCFG_postfix
-w/etc/ssh/sshd_config-kCFG_sshd_config
-aexit,always-Farch=b32-Ssethostname
-w/etc/issue-pwa-kCFG_issue
如:
用户登录信息:
用户重要行为信息:
10.2Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改如下图:
10.3数据库系统的审计内容未包括:
重要用户行为、系统资源的异常使用和重要系统命令的使用等
11审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
11.1Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等
开启日志监控:
Audit
11.2数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等
12应保护审计记录,避免受到未预期的删除、修改或覆盖等
12.1Centos审计记录未受到保护,未能避免受到未预期的删除、修改或覆盖等
在系统下修改日志保存文件文件如下:
#keep10weeksworthofbacklogs
rotate10
保存日志文件10周
12.2数据库系统未对审计记录进行保护
数据库审计日志存储在/var/lib/mysql/
定期1个月人工将该文件备份
13操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
13.1Centos操作系统未及时更新系统补丁,未禁用多余服务端口:
123
已关闭123端口对应的服务ntpd。
启用firewalld。
各主机只开放对应端口。
包括80,7008,9200,9300及3306
13.1.1更新openssl
[root@iZ886zdnu5gZ~]#opensslversion
OpenSSL1.0.1e-fips11Feb2021
更新后的版本为:
[root@iZ886zdnu5gZopenssl-1.0.2l]#opensslversion
OpenSSL1.0.2l25May2021
13.1.2更新openssh
[root@iZ886zdnu5gZ~]#ssh-V
OpenSSH_6.6.1p1,OpenSSL1.0.1e-fips11Feb2021
更新后的版本为:
[root@iZ886zdnu5gZopenssh-7.5p1]#ssh-V
OpenSSH_7.5p1,OpenSSL1.0.2l25May2021
13.2Windows操作系统未遵循最小安装原则,存在多余软件:
谷歌浏览器、notepad++,未及时更新系统补丁,未禁用多余服务:
PrintSpooler,未禁用多余端口:
135、137、139、445、123
删除多余的软件:
如谷歌浏览器、notepad++、禁止多余服务:
PrintSpooler
14应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
14.1Centos
由阿里云盾提供保护
14.2Windows
由阿里云提供:
15应支持防恶意代码软件的统一管理
15.1Centos
由阿里云盾提供
15.2Windows
由阿里云提供:
16应通过设定终端接入方式、网络地址范围等条件限制终端登录
16.1Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录
.allow添加网络拒绝和允许地址
在/etc/hosts.allow中只允许10.254.51开头的IP端进行连接和操作(包括SSH)
16.2数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录
每个账号对应一个IP地址。
限制用户%类型的无限制连接
17应根据安全策略设置登录终端的操作超时锁定
17.1Centos操作系统未根据安全策略设置登录终端的操作超时锁定
17.1.1修改ssh终端用户
添加:
/etc/ssh/sshd_conf内容:
ClientAliveInterval600//超过10分钟后退出
ClientAliveCountMax0
如下:
[root@iZ886zdnu5gZ~]#cat/etc/ssh/sshd_config|grepClientA
ClientAliveInterval600
ClientAliveCountMax0
17.1.2修改系统用户
在/etc/profile中添加如下内容:
TMOUT=600
如下:
[root@iZ886zdnu5gZ~]#cat/etc/profile|grepTMOUT
TMOUT=600
17.2windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间
17.2.1为断开的会话设置时间限制:
10分钟
17.2.2屏幕保护
17.3数据库系统未根据安全策略设置终端的操作超时锁定
已设置超时时间10分钟
setglobalwait_timeout=600;
setglobalinteractive_timeout=600;
18应限制单个用户对系统资源的最大或最小使用限度
已限制单个用户的最大连接数和查询
19应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用
20应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
已在单点登录上配置失败3次处理锁定3分钟
21应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;
有已删除多余的应用测试账号admin
22应授予不同账户为完成各自承当任务所需的最小权限,并在它们之间形成相互制约的关系;
23应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计
23.1应用系统未启用审计功能
已启用应用系统的审计日志功能
23.2中间件已提供覆盖到抽查用户的安全审计功能,未对增加用户、删除用户、修改用户权限、系统资源异常等操作进行记录
24应采用校验码技术保证通信过程中数据的完整性。
启用s。
由于申请的公网IP的443端口未开通,测试时使用80端口作为s端口
25中间件未提供登录超时退出功能,空闲20分钟,自动退出系统
sessionTimeout.空闲20分钟退出
26应用系统未对系统的最大并发会话连接数进行限制
maxConcurrentCount属性
27中间件未对系统的最大并发会话连接数进行限制
maxSessionCount属性
28应用系统同一台机器未对系统单个账号的多重并发会话进行限制,不同机器未对系统单个账号的多重并发会话进行限制
在nginx中启用连接会话限制。
每个IP只能有20个连接,
29系统通过SSH1、VPN和方式进行数据传输,部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏,未能够对数据在遭到传输完整性破
数据库启用SSL
30建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性
数据库启用SSL
31建议系统提供每天至少一次的数据完全备份,并对备份介质进行场外存放
32建议提供数据库系统硬件冗余,保证系统的高可用性
s数据库集群或热备
论大学生写作能力
写作能力是对自己所积累的信息进行选择、提取、加工、改造并将之形成为书面文字的能力。
积累是写作的基础,积累越厚实,写作就越有基础,文章就能根深叶茂开奇葩。
没有积累,胸无点墨,怎么也不会写出作文来的。
写作能力是每个大学生必须具备的能力。
从目前高校整体情况上看,大学生的写作能力较为欠缺。
一、大学生应用文写作能力的定义
那么,大学生的写作能力究竟是指什么呢?
叶圣陶先生曾经说过,“大学毕业生不一定能写小说诗歌,但是一定要写工作和生活中实用的文章,而且非写得既通顺又扎实不可。
”对于大学生的写作能力应包含什么,可能有多种理解,但从叶圣陶先生的谈话中,我认为:
大学生写作能力应包括应用写作能力和文学写作能力,而前者是必须的,后者是“不一定”要具备,能具备则更好。
众所周知,对于大学生来说,是要写毕业论文的,我认为写作论文的能力可以包含在应用写作能力之中。
大学生写作能力的体现,也往往是在撰写毕业论文中集中体现出来的。
本科毕业论文无论是对于学生个人还是对于院系和学校来说,都是十分重要的。
如何提高本科毕业论文的质量和水平,就成为教育行政部门和高校都很重视的一个重要课题。
如何提高大学生的写作能力的问题必须得到社会的广泛关注,并且提出对策去实施解决。
二、造成大学生应用文写作困境的原因:
(一)大学写作课开设结构不合理。
就目前中国多数高校的学科设置来看,除了中文专业会系统开设写作的系列课程外,其他专业的学生都只开设了普及性的《大
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 问题 清单 修复 文档