淺析服務器操作系統的安全加固

柴育峰

（1.華北電力大學，中國北京102206；2.寧夏電力公司信息通信分公司，寧夏銀川750001）

0 引言

隨著信息技術的飛速發展，國有大中型企業的信息化建設速度也是越來越快，但是在快速建設的同時，也不能忽視信息安全，服務器數量的不斷增加是信息化飛速發展的特征之一，而服務器作為企業信息系統數據和應用的重要存放源，服務器的安全加固顯得尤為重要。

1 現狀分析

1.1 服務器操作系統分類

現在流行的服務器操作系統有Windows Server2003/2008、Linux、UNIX 等操作系統， 其中Windows Server 系列操作系統和Linux 操作系統均可在普通PC 服務器上安裝， 而UNIX 操作系統需在小型機上安裝。

1.2 服務器的應用現狀

一般來說，小型機的運行穩定性和安全性要高于普通的PC 服務器，常用來安裝信息系統的數據庫服務，或交互能力較強的應用，而普通的PC 服務器常被用來安裝信息系統的應用服務，有的也會用來擔當數據庫服務器，存儲信息系統的數據。

現在的企業在信息化建設的時候，往往是重建設、輕安全，服務器在安裝完操作系統之后直接使用，未作任何加固，無論是否與互聯網連接，均留下了很多漏洞，很容易被攻擊者攻擊，造成服務器的癱瘓，甚至是數據丟失。

1.3 服務器安全加固的意義

服務器操作系統的安全加固， 將極大的增強服務器的安全性，能夠防止外來用戶及木馬病毒等對服務器的攻擊，保障信息系統應用及數據庫服務的安全運行，保障信息系統數據的安全，為信息系統的安全運行提供有力保障，促進企業信息化的快速發展。

2 Windows 操作系統安全加固

2.1 安裝最新補丁

2.1.1 問題描述

未及時安裝Windows 操作系統的最新安全補丁，將使得已知漏洞仍然存在于系統中。 由于這些已知漏洞都已經通過Internet 公布而被非法者獲悉，非法者就有可能利用這些已知漏洞攻擊系統。

2.1.2 加固方法

個別服務器可以通過微軟官方網站下載補丁程序并在實驗機上充分測試后進行安裝，如果服務器數量眾多，且無法都和互聯網連接時可使用微軟公司的WSUS、補丁管理系統或其他工具進行補丁的集中下載和分發。

2.2 操作系統賬戶密碼安全策略

2.2.1 問題描述

維護人員在安裝Windows Server 操作系統后如果不設置合理的密碼策略，如使用空密碼、簡單密碼、長期不更改密碼等，就可能被攻擊者利用。

2.2.2 加固方法

在密碼策略中設置相應策略，啟用“密碼復雜度”，“密碼長度最小值”設為8 個字符，“最長存留期”設為42 天，“賬戶鎖定策略”中設置“賬戶鎖定閾值”為3 次無效登陸，“賬戶鎖定時間”設置為20 分鐘，啟用“密碼最長存留期”等。

2.3 審核策略配置

2.3.1 問題描述

Windows 系統自身有較強的審核功能，能對內部的各項活動進行審核，方便事后的審計，該功能沒有得到很好的應用使系統缺乏有效的審計功能，很難在系統發生問題后及時找出原因。

2.3.2 加固方法

進入控制面板在審核策略中設置相應的審核，將策略更改、登陸事件、賬戶登陸事件、賬戶管理等策略的成功和失敗進行審核。

2.4 服務最小化

2.4.1 問題描述

系統安裝之后，默認開啟的一些服務，如果未對服務進行優化，實現操作系統服務最小化原則，不利用操作系統的運行，也容易被攻擊者利用。

2.4.2 加固方法

在Windows Server 操作系統的服務中將Messager、Computer Browser、Remote Registry、Telnet、Alert、Clipbook 等不需要的服務禁用或設置為手動之后重啟服務器。

2.5 Windows 系統默認共享

2.5.1 問題描述

Windows Server 系統默認會共享print$、ADMIN$、C$、D$，攻擊者利用用戶名和密碼能連接并獲取主機共享文件夾，會竊取到服務器上的資料。

2.5.2 加固方法

服務器上盡量不要開啟共享，通過修改注冊表值的方法關閉默認共享，在注冊表HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanmanServerParameters 下， 將AutoShareServer 的鍵值改為0， 如果不存在則添加一個REG_DWORD 類型的AutoShareServer，值為0。

2.6 操作系統賬戶策略

2.6.1 問題描述

Windows 操作系統默認的管理員賬戶是Administrator， 且開啟Guest 來賓賬戶，容易被攻擊者猜測到。

2.6.2 加固方法操作系統在安裝完成后應將默認的系統管理員Administrator 賬戶更名，并禁用來賓賬戶。

2.7 設置屏幕保護口令

2.7.1 問題描述

當管理員忘記鎖定計算機離開后，未選定密碼保護，非法用戶可能在這段時間內直接操縱計算機進行惡意破壞。 設置屏幕保護密碼，以便當計算機空閑指定時間后啟動屏幕保護程序并自動鎖定計算機，保護計算機不受到非授權用戶的訪問。

2.7.2 加固方法

修改啟動屏幕保護程序之前系統必須等待的分鐘數為10 分鐘，并設置恢復時使用密碼保護。

3 UNIX 操作系統加固

3.1 安裝操作系統安全補丁

3.1.1 問題描述

UNIX 操作系統當前主機的AIX 操作系統未安裝最新安全補丁。

3.1.2 加固方法

可從相應操作系統廠商的官方網站下載相應系統安全補丁程序，經過測試后安裝。 但UNIX 操作系統安裝補丁前應充分考慮補丁程序與應用程序的兼容性，需在測試后謹慎更新，否則可能會引入新的漏洞，也可能會導致系統不可用。

3.2 關閉Telnet 服務

3.2.1 問題描述

Telnet 服務使用明文傳輸用戶名和用戶密碼，能夠被攻擊者通過網絡監聽的方式截獲戶名和用戶密碼，存在密碼嗅探的安全威脅。

3.2.2 加固方法

UNIX 操作系統在安裝完成應安裝SSH 包，使用SSH 等安全工具取代明文傳輸的ftp 和Telnet，并停止Telnet 服務，保證傳輸數據的安全性。

3.3 服務最小化

3.3.1 問題描述

和Windows 操作系統一樣，UNIX 操作系統默認會啟用多個不需要的服務，如kshell、klogin、comsat、bootps、discard、echo、chargen、discard、imap2、pop3 等， 非法攻擊者可以通過嘗試攻擊不需要的服務而攻擊系統。

3.3.2 加固方法

維護人員對服務器本身承載業務的應用程序所需的服務和端口進行確認后，通過編輯/etc/inetd.conf 配置文件關閉多余的服務，使用refresh -s inetd 命令刷新后即可。

3.4 SNMP 更名

3.4.1 問題描述

UNIX 系統默認開啟了SNMP 服務并使用默認的SNMP 通訊字符串“public”，攻擊者可以利用SNMP 協議取得有關主機所有的有用信息。

3.4.2 加固方法

在/etc/snmpd.conf 找到community 下的public，把public 改成安全的團體名后重啟snmp 服務。

3.5 限制at/cron 授權使用

3.5.1 問題描述

如果未對at/cron 進行授權使用， 攻擊者可以利用普通用戶賬號后臺調度運行木馬程序。

3.5.2 加固方法

可以增加/var/adm/cron/cron.allow、at.allow 文件， 每行為一個授權用戶登錄名稱，以此提高安全性。

3.6 限制root 賬戶遠程登錄

3.6.1 問題描述

遠程使用root 登錄容易被監聽，為保護root 帳號，應該避免使用root 直接遠程登錄，以減少針對root 賬戶口令的威脅。

3.6.2 加固方法

編輯/etc/default/login 文件，增加CONSOLE = /dev/tty01，或者執行chuser rlogin=false root 命令，實施后root 用戶將不能遠程登錄，只能以普通用戶登錄后切換到root 用戶。

3.7 操作系統的密碼策略加固

3.7.1 問題描述

系統口令策略配置文件未進行必要的安全配置，不能通過系統口令策略配置文件的口令強壯性要求確保系統中的賬號口令長度達到安全要求。

3.7.2 加固方法

通過修改操作系統密碼策略配置文件/etc/security/user 的minlen、maxage、account_locked 等字段，可以設定密碼的最小長度、密碼最大壽命、密碼鎖定等策略，防止外來用戶多次嘗試破譯密碼，達到攫取權限并控制服務器的目的。

4 總結

企業在飛速加快信息化建設的同時， 不能忽視信息安全的重要性。對所有服務器而言，都應該在操作系統安裝完成后進行安全加固、風險評估后方投入使用，對于不同的操作系統，可按照該操作系統的加固方案進行安全加固，只有服務器安全可靠運行，才能保障信息系統的安全運行，才能為企業的信息化建設保駕護航。

［1］巫廣彥.WIN2003 服務器安全加固方案[J].計算機安全，2007（11）.

［2］支阿龍.操作系統安全解決方案淺析[J].信息網絡安全，2008（2）.

［3］卿斯漢.Unix/Linux 操作系統安全[J].計算機系統應用，2002（8）.

［4］吳岳.WEB 服務器的安全加固措施研究[J].科技創新導報，2010（1）.