世界500强企业的主机系统安全配置标准(13)

世界500强企业的主机系统安全配置标准

Rexd daemon 必须禁止

Line Printer Daemon (lpd)设置

Lpd 禁止

Post Office Protocol (POP) 设置

POP服务 禁止

iFOR/LS 系统设置

/var/ifor/i4ls.ini 需要做如下设置

DisableRemoteAdmin = yes

DisableRemoteNdlAdmin = yes

防止DoS攻击的系统设置

如果没有要求，这些服务必须被禁止 ECHO, CHARGEN, RSTAT, TFTP, RWALLD, RUSERSD, DISCARD, DAYTIME, BOOTPS, FINGER, SPRAYD, PCNFSD, REXD, SYSTAT, NETSTAT, RWHOD,UUCP

SNMP 服务 如果SNMP 服务运行，Community names 'public' and 'private" 不允许使用

Network Information Services (NIS) 设置

NIS 不安装NIS相关文件。如果安装，删除NIS相关文件

yppasswd daemon 禁止

ypupdated daemon 禁止

5.5 /etc/hosts.deny和/etc/hosts.allow的配置规范

在/etc/hosts.deny文件的最后必须包含有如下配置行：

ALL:ALL

或

在/etc/hosts.allow的最后包含有如下配置行：

ALL:ALL:DENY

6 权限控制

6.1 用户文件和HOME目录属性

系统值/参数 描述 设置要求

系统默认UMASK 用户文件创建时缺省值

至少X27或027；

建议使用下x77或077。

Redhat Linux: 添加umask＝027到/root/.bash_profile文件；

Solaris：添加umask＝027到/.profile;

AIX：添加秒拾＝027到/etc/security/user文件root相关配置段。