文档编号 XX_3_SYS_POS平台系统安全配置手册 版 本 号 V1. 密 级 内部公开 PSO平台系统安全配置手册 XXX信息技术有限公司 文档信息 发布版本：V1. 最后发布时间：XX 编写人：XX 审核人：XX 版本控制 编号 修订人 修订时间 版本号 修订内容说明  目录 一. LINUX系统安全加固 1.1 补丁更新 1.2 帐号、口令策略 1.3 网络与服务加固 1 1.4 文件系统加固 1 1.5 日志审核增强 1 1.6 安全性增强 1 1.7 iptables 设置 1 Linux系统安全加固 补丁更新 编号 Linux-0100 名称 系统补丁 实施方案 使用yast进行在线更新： Yast -> 软件-> 在线升级 实施目的 可以使系统版本为最新并解决安全问题 实施风险 请慎重对系统打补丁，补丁安装应当先在测试机上完成。补 丁安装可能导致系统或摹写服务无法工作正常。 如果手动下载补丁包安装，一定要对签名进行核实，防止执 行特洛伊木马。 回退方案 帐号、口令策略 编号 Linux-0200 名称 去除不需要的帐号、修改默认帐号的shell变量 实施方案 概述：系统存在多余并可以关闭用户如下： IP、news、uucp、games、mial cat /etc/password （查看系统存在的用） cd /etc/、cp password password.bak（备份password文件） 删除用户： # groupdel （IP、news、uucp、games、mial） # userdel （IP、news、uucp、games、mial） 更改一些用户shell Vi /etc/passwore 修改例如： ftp:x:40:49:FTP account:/srv/ftp:/bin/bash ftp:x:40:49:FTP account:/srv/ftp:/bin/nologin或者/bin/null 备注：jboos禁止登陆、只有JBOOS调用Java程序, 实施目的 删除系统不需要的默认帐号、更改危险帐号缺省的shell变量。 实施风险 首先应当明确系统的角色，避免误删除默认帐号。 回退方案 恢复默认配置 编号 Linux-0200 名称 设置密码过期策略 实施方案 Cat /etc/login.defs |grep PASS_MAX_DAYS(查看当前最大使用天数) Cd /etc、cp login.defs login.defs.bak(备份login.defs文件) Vi /etc/login.defs文件，修改如下行 将PASS_MAX_DAYS值设置为90（天） 实施目的 定期更换密码，保护口令安全 实施风险 口令过期会提示更改密码 回退方案 恢复默认配置 编号 Linux-0200 名称 超时自动注销登录 实施方案 概述：在Linux系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统自动注销。 cat /etc/profile |grep TMOUT(查看系统当前超时登出设置) cd /etc、cp profile profile.bak(备份profile.bak