安全加固方案
交换机安全加固
查看是否关闭未使用的接口
| 25GE1/0/1、25GE1/0/47、25GE1/0/48需要使用,暂不关闭 |
| system-view # interface Eth-Trunk99 shutdown quit interface Eth-Trunk100 shutdown quit interface Eth-Trunk110 shutdown quit interface 25GE1/0/2 shutdown interface 25GE1/0/3 shutdown interface 25GE1/0/4 shutdown interface 25GE1/0/5 shutdown interface 25GE1/0/6 shutdown interface 25GE1/0/7 shutdown interface 25GE1/0/8 shutdown interface 25GE1/0/9 shutdown interface 25GE1/0/10 shutdown interface 25GE1/0/11 shutdown interface 25GE1/0/12 shutdown interface 25GE1/0/13 shutdown interface 25GE1/0/14 shutdown interface 25GE1/0/15 shutdown interface 25GE1/0/16 shutdown interface 25GE1/0/17 shutdown interface 25GE1/0/18 shutdown interface 25GE1/0/19 shutdown interface 25GE1/0/20 shutdown interface 25GE1/0/21 shutdown interface 25GE1/0/22 shutdown interface 25GE1/0/23 shutdown interface 25GE1/0/24 shutdown interface 25GE1/0/25 shutdown interface 25GE1/0/26 shutdown interface 25GE1/0/27 shutdown interface 25GE1/0/28 shutdown interface 25GE1/0/29 shutdown interface 25GE1/0/30 shutdown interface 25GE1/0/31 shutdown interface 25GE1/0/32 shutdown interface 25GE1/0/33 shutdown interface 25GE1/0/34 shutdown interface 25GE1/0/35 shutdown interface 25GE1/0/36 shutdown interface 25GE1/0/37 shutdown interface 25GE1/0/38 shutdown interface 25GE1/0/39 shutdown interface 25GE1/0/40 shutdown interface 25GE1/0/41 shutdown interface 25GE1/0/42 shutdown interface 25GE1/0/43 shutdown interface 25GE1/0/44 shutdown interface 25GE1/0/45 shutdown interface 25GE1/0/46 shutdown interface 100GE1/0/1 shutdown interface 100GE1/0/2 shutdown interface 100GE1/0/3 shutdown interface 100GE1/0/4 shutdown interface 100GE1/0/5 shutdown interface 100GE1/0/6 shutdown interface 100GE1/0/7 shutdown interface 100GE1/0/8 shutdown quit # commit quit save Y |
检查是否配置远程访问IP地址限制
| ssh 放行全部地址进来,后面需要网管老师去限定ssh的入向源地址 |
| system-view # acl number 2000 rule 200 permit source any quit # user-interface vty 0 4 acl 2000 inbound quit # commit quit save Y |
检查是否配置防地址欺骗攻击
| 目前使用端口都为2层口,暂不支持该功能 |
Ubunut20.04安全加固
| 需使用root账号配置 cmcc登录后使用su - root 切换 |
设置重复登录失败后锁定时间限制、查口令锁定策略
内容:设置密码输入错误5次后锁定账户15分钟(900秒)、帐户被锁定,不再提示让再次登录;
vim /etc/pam.d/common-auth
在图中位置添加如下命令
auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=900
验证
解锁账户
设置用户缺省UMASK、登录超时
内容:设置umask 027、登陆超时30分钟
步骤:
vim /etc/profile
在末尾添加
| Plain Text |
保存退出
生效配置
root@cmcc:~# source /etc/profile
验证
设置限制su命令用户组
内容:添加wheel组并将cmcc添加到改组,启用su命令控制
步骤:
vim /etc/pam.d/su
在打开的配置文件的中,添加以下参数:
auth required pam_wheel.so
保存退出
创建 wheel 组 并添加用户
| Shell |
验证
cmcc添加到wheel组后可以切换root
非wheel组用户无法切换
设置SSH是否使用业界认可的加密算法
内容:ssh添加指定算法
步骤:
使用文本编辑器(如vim)编辑/etc/ssh/sshd_config文件。
vi /etc/ssh/sshd_config
在打开的配置文件中,如图位置添加如下参数:
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
MACs umac-128-etm@openssh.com,umac-64-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
保存并退出
在vim编辑器中,按Esc键,然后输入:wq并回车以保存更改并退出编辑器。
生效配置
root@cmcc:/etc/ssh# sshd -T #检查配置有无问题
Missing privilege separation directory: /run/sshd
root@cmcc:/etc/ssh# systemctl restart sshd
root@cmcc:/etc/ssh# systemctl status sshd
限制root远程登陆
内容:root远程登录不成功
步骤:
| Shell |
修改PermitRootLogin设置为no并不被注释,保存退出。
生效配置
| Shell |
验证
尝试使用ssh登录root,回显不通过。
检查登录提示-是否设置ssh警告
内容:ssh登录时 提示 Authorized users only. All activity may be monitored and reported
步骤:
echo " Authorized users only. All activity may be monitored and reported " >/etc/sshbanner
vim /etc/ssh/sshd_config文件
在打开的配置文件的中,添加以下参数并保存退出:
| Shell |
重启服务
systemctl restart sshd
验证
检查系统是否不存开发编译及网络嗅探类工具
| Shell |
检查是否关闭IP转发功能、是否开启反向路径过滤、禁止icmp重定向
| 系统默认没开IP转发功能 |
| Shell |
如果要修改
vim /etc/sysctl.conf文件
并在/etc/sysctl.conf中添加如下内容:
| Bash |
修改后,运行sysctl -p来应用更改。
| 配置文件仲该设置被注释了取消注释即可 |
vim /etc/sysctl.conf 把 # 去掉 然后保存退出
生效配置
日志大小进行配置
内容:修改日志大小位10M
步骤:
Vim /etc/logrotate.d/rsyslog
在打开的配置文件的中,添加以下参数并保存退出:
size 10M
重启服务
systemctl restart rsyslog.service
检查帐号文件权限设置
内容:修改文件权限
步骤:
| Shell |
返回如下
| Shell |
开启命令及登录失败记录
内容:开启登录失败记录
步骤:
vim /etc/login.defs
找到 LASTLOG_ENAB 项 ,取消注释 并添加yes
找到 FAILLOG_ENAB 取消注释 并添加yes (如果已经修改则无需变动)
保存文件并退出 wq
口令重复次数限制、口令生存周期要求
内容:强制密码历史”设置为“记住5个密码;口令生存周期最大90天,最小8天,不足7天告警
口令重复次数限制
创建文件/etc/security/opasswd,并设置权限: #
touch /etc/security/opasswd
chown root:root /etc/security/opasswd
chmod 600 /etc/security/opasswd 3、修改策略设置: #vi /etc/pam.d/common-passwd 在password required pam_unix.so所在行增加remember=5,保存退出。
口令生存周期要求
- 编辑/etc/login.defs文件,设置密码的过期策略,保存退出:
| Shell |
修改cmcc用户密码生成周期
| Shell |
配置ntp时间同步
使用Mobaxterm 上传ntp离线包
dpkg -i ntp_4.2.8p10+dfsg-5ubuntu7_arm64.deb
systemctl restart ntp
systemctl status ntp
漏扫工具的使用
离线检查操作使用说明
一、概述:
所有离线检查,均可通过Secure CRT执行vbs脚本进行,检查脚本执行完毕后,自动生成签名加密的result结果文件,将生成的result结果文件导入离线新建计划生成扫描报告。请勿私自打开修改result结果文件内容,否则将无法生成结果报告并计算合规率。
二、注意事项:
在进行离线检查前,请仔细阅读以下注意事项:
1、务必使用Version 8.1.0版本及以上的SecureCRT进行离线合规检查。
2、务必将SecureCRT设置成仿真Linux环境,具体设置方法如下:
通过SecureCRT(Version 6.5.0以上)登录设备,设置SecureCRT仿真终端为”Linux”,设置过程为:“选项”->“会话选项”->“终端”->“仿真”,选择“Linux”,如果已经连接远程设备,需要重新连接,更改的设置才会生效
3、务必使用最高权限用户执行离线检查脚本,用SecureCRT登录后,先设置仿真终端为Linux,然后切换到最高权限用户,(主机系统为root,网络设备为super或enable用户),保证有足够权限执行脚本;
4、务必取消SecureCRT记录会话日志选项,即取消记录“会话日志”和“会话原始日志”。“文件”—“会话日志”、“文件”—“会话原始日志”。
5、对于语系为中文的操作系统,建议将CRT默认字符编码修改为UTF-8,即“选项”—“会话选项”—“终端”—“外观”,右边“字符编码”修改为“UTF-8”。
在实际执行过程中发现个别设备的结果文件里报‘无效的过程调用或参数’错误,可以切换字符编码为default或gb2312再重新执行脚本,看是否正常返回结果。
6、离线检查过程中,同时只能打开一个SecureCRT标签即每次只检查一台设备,为加快效率,可以启动SecureCRT打开多个CRT窗口同时进行多个设备检查。
7、如果离线检查脚本执行过程中,弹出以下窗口
点击“运行”,即可继续执行离线合规检查。
8、Windows支持本机直接运行bat脚本方式,将脚本文件分别上传到待检查Windows主机上,选择bat文件夹下面的start.bat进行检查,建议使用该方法检查。若以SecureCRT方式执行.vbs检查,需要本机开启telnet服务。
9、 Oracle数据库在检查执行过程中,需要切换到Oracle安装用户和输入oracle数据库安装路径(listener.ora和sqlnet.ora文件路径,输入到/network/admin前面截止即可),才可以继续往下执行。弹出相应对话框,按照要求输入后,点击确定即可。
10、Sybase数据库在检查执行过程中,需要登陆数据库,才可以继续往下执行。这时会弹出Logon窗口,分别输入用户名及密码,进行登陆。其他类型数据库,根据提示,输入相应数据即可,就不逐一举例。
11、Informix数据库离线合规检查,主要检查其依赖主机的合规性配置。同时,如果数据库默认配置文件onconfig、adtcfg已经重命名,请电联河北公司要求提供定制性脚本。
12、中间件设备类型在离线合规检查过程中,会弹出Path对话框,提示输入中间件安装路径,输入后,点击“确定”按钮,继续执行。中间件所在的各种操作系统下,输入的路径都由根目录开始,到中间件目录为止,最后不需要分隔符。如:
Windows:c:\midware\tomcat-6.0.35
Linux: /opt/apache-6.0.35
三、离线检查示例:
https://tdsmartcloud.feishu.cn/drive/folder/FeNYfkuORlPXlDdcFUAcEcoMnzb
使用CRT SSH连接机器后
选择vbs文件
运行过程需要输入机器
扫描完成
扫描后会在生成一个result目录
将扫描结果发送给客户
相关文章:
安全加固方案
交换机安全加固 查看是否关闭未使用的接口 25GE1/0/1、25GE1/0/47、25GE1/0/48需要使用,暂不关闭 system-view # interface Eth-Trunk99 shutdown quit interface Eth-Trunk100 shutdown quit interface Eth-Trunk110 shutdown quit interface 25GE1/…...
Linux firewall防火墙规则
官网 https://firewalld.org/ 查看所有防火墙规则: firewall-cmd --list-all-zones查看当前区域防火墙规则: firewall-cmd --list-all添加一个开放服务规则: firewall-cmd --add-servicessh删除一个开放服务规则: firewall-cmd…...
速盾:CDN缓存的工作原理是什么?
CDN(内容分发网络)是一种将内容分发到全球不同地理位置的网络架构,以提供更快速、可靠的内容传输。其核心原理是利用缓存技术,将数据内容分布到离用户最近的边缘节点上。当用户请求内容时,CDN将根据用户的IP地址&#…...
日常开发记录-正确的prop传参,reduce搭配promise的使用
日常开发记录-正确的prop传参,reduce搭配promise的使用 1.正确的prop传参2.reduce搭配promise的使用 1.正确的prop传参 一般会的父组件传参子组件 //父组件 <A :demodata.sync"testData" :listData.sync"testData2"></A> data ()…...
Hyper-V配置-cnblog
启用Hyper-V以在 Windows 10上创建虚拟机 (1)控制面板检查系统要求: 确保您的计算机符合 Hyper-V 的系统要求。通常情况下,您的计算机需要运行 Windows 10 专业版、企业版或教育版,并且具有启用了虚拟化技术的处理器。…...
运维Tips:Docker或K8s集群拉取Harbor私有容器镜像仓库配置指南
[ 知识是人生的灯塔,只有不断学习,才能照亮前行的道路 ] Docker与Kubernetes集群拉取Harbor私有容器镜像仓库配置 描述:在现在微服务、云原生的环境下,通常我们会在企业中部署Docker和Kubernetes集群,并且会在企业内部搭建Harbor私有镜像仓库以保证开发源码安全,以及加快…...
openssl颁发包含主题替代名的证书–SAN
原文地址:openssl颁发包含主题替代名的证书–SAN – 无敌牛 欢迎参观我的个人博客:无敌牛 – 技术/著作/典籍/分享等 在 X.509 证书中,commonName(CN)字段只能有一个值。如果让证书支持多个域名和IP地址,…...
Stable Diffusion入门教程
要入门Stable Diffusion,你可以按照以下步骤进行: 1. 安装Stable Diffusion 获取安装包:你可以从GitHub上的 Stable Diffusion Web UI开源地址获取安装包。 一键启动程序包:如果你是小白不会装,可以使用国内秋葉aaaki开…...
H.265流媒体播放器EasyPlayer.js无插件H5播放器关于移动端(H5)切换网络的时候,播放器会触发什么事件
EasyPlayer.js无插件H5播放器作为一款功能全面的H5流媒体播放器,凭借其多种协议支持、多种解码方式、丰富的渲染元素和强大的应用功能,以及出色的跨平台兼容性,为用户提供了高度定制化的选项和优化的播放体验。无论是视频直播还是点播&#x…...
conan2 c/c++包管理入门之--------------------------conanfile.py
书接上回,用过使用cmake去手动指定CMAKE_TOOLCHAINE_FILE和CMAKE_BUILD_TYPE太麻烦,有没有更简单的办法了,经过我的大量探索下终于发现,使用conan build和conanfile.py。大致原理是conan在构建时会自动调用conanfile.py里面定义数据和函数。举个例子: from conan import …...
DICOM图像深入解析:为何部分DR/CR图像默认显示为反色?
概述 在数字医学影像处理中,CR(Computed Radiography,计算机放射摄影)和DR(Digital Radiography,数字放射摄影)技术广泛应用于医疗影像获取与分析。然而,临床实践中常常遇到这样一个问题:部分CR/DR图像在默认打开时呈现为反色(即负片效果),需手动反色后才能正常阅片…...
重新定义社媒引流:AI社媒引流王如何为品牌赋能?
在社交媒体高度竞争的时代,引流已经不再是单纯追求流量的数字游戏,而是要找到“对的用户”,并与他们建立真实的连接。AI社媒引流王通过技术创新和智能策略,重新定义了社媒引流的方式,帮助品牌在精准触达和高效互动中脱…...
【FPGA】Verilog:利用 4 个串行输入- 串行输出的 D 触发器实现 Shift_register
0x00 什么是寄存器 寄存器(Register)是顺序逻辑电路中使用的基本组成部分之一。寄存器用于在数字系统中存储和处理数据。寄存器通常由位(bit)构成,每个位可以存储一个0或1的值。通过寄存器,可以设计出计数器、加法器等各种数据处理电路。 0x01 寄存器的种类 基于 D 触发…...
《硬件架构的艺术》笔记(五):低功耗设计
介绍 能量以热量形式消耗,温度升高芯片失效率也会增加,增加散热片或风扇会增加整体重量和成本,在SoC级别对功耗进行控制就可以减少甚至可能消除掉这些开支,产品也更小更便宜更可靠。本章描述了减少动态功耗和静态功耗的各种技术。…...
Hive离线数仓结构分析
Hive离线数仓结构 首先,在数据源部分,包括源业务库、用户日志、爬虫数据和系统日志,这些都是数据的源头。这些数据通过Sqoop、DataX或 Flume 工具进行提取和导入操作。这些工具负责将不同来源的数据传输到基于 Hive 的离线数据仓库中。 在离线…...
鱼眼相机模型-MEI
参考文献: Single View Point Omnidirectional Camera Calibration from Planar Grids 1. 相机模型如下: // 相机坐标系下的点投影到畸变图像// 输入:相机坐标系点坐标cam 输出: 畸变图像素点坐标disPtvoid FisheyeCamAdapter::…...
GPT系列文章
GPT系列文章 GPT1 GPT1是由OpenAI公司发表在2018年要早于我们之前介绍的所熟知的BERT系列文章。总结:GPT 是一种半监督学习,采用两阶段任务模型,通过使用无监督的 Pre-training 和有监督的 Fine-tuning 来实现强大的自然语言理解。在 Pre-t…...
微软Ignite 2024:建立一个Agentic世界!
在今年的Microsoft Ignite 2024上,AI Agent无疑成为本次大会的重点,已经有十万家企业通过Copilot Studio创建智能体了。微软更是宣布:企业可以在智能体中,使用Azure目录中1800个LLM中的任何一个模型了! 建立一个Agent…...
windows C#-属性
属性提供了一种将元数据或声明性信息与代码(程序集、类型、方法、属性等)关联的强大方法。将属性与程序实体关联后,可以使用称为反射的技术在运行时查询该属性。 属性具有以下属性: 属性将元数据添加到您的程序中。元数据是有关程序中定义的类型的信息…...
深入浅出:JVM 的架构与运行机制
一、什么是JVM 1、什么是JDK、JRE、JVM JDK是 Java语言的软件开发工具包,也是整个java开发的核心,它包含了JRE和开发工具包JRE,Java运行环境,包含了JVM和Java的核心类库(Java API)JVM,Java虚拟…...
Vim 调用外部命令学习笔记
Vim 外部命令集成完全指南 文章目录 Vim 外部命令集成完全指南核心概念理解命令语法解析语法对比 常用外部命令详解文本排序与去重文本筛选与搜索高级 grep 搜索技巧文本替换与编辑字符处理高级文本处理编程语言处理其他实用命令 范围操作示例指定行范围处理复合命令示例 实用技…...
web vue 项目 Docker化部署
Web 项目 Docker 化部署详细教程 目录 Web 项目 Docker 化部署概述Dockerfile 详解 构建阶段生产阶段 构建和运行 Docker 镜像 1. Web 项目 Docker 化部署概述 Docker 化部署的主要步骤分为以下几个阶段: 构建阶段(Build Stage):…...
装饰模式(Decorator Pattern)重构java邮件发奖系统实战
前言 现在我们有个如下的需求,设计一个邮件发奖的小系统, 需求 1.数据验证 → 2. 敏感信息加密 → 3. 日志记录 → 4. 实际发送邮件 装饰器模式(Decorator Pattern)允许向一个现有的对象添加新的功能,同时又不改变其…...
在鸿蒙HarmonyOS 5中实现抖音风格的点赞功能
下面我将详细介绍如何使用HarmonyOS SDK在HarmonyOS 5中实现类似抖音的点赞功能,包括动画效果、数据同步和交互优化。 1. 基础点赞功能实现 1.1 创建数据模型 // VideoModel.ets export class VideoModel {id: string "";title: string ""…...
Objective-C常用命名规范总结
【OC】常用命名规范总结 文章目录 【OC】常用命名规范总结1.类名(Class Name)2.协议名(Protocol Name)3.方法名(Method Name)4.属性名(Property Name)5.局部变量/实例变量(Local / Instance Variables&…...
成都鼎讯硬核科技!雷达目标与干扰模拟器,以卓越性能制胜电磁频谱战
在现代战争中,电磁频谱已成为继陆、海、空、天之后的 “第五维战场”,雷达作为电磁频谱领域的关键装备,其干扰与抗干扰能力的较量,直接影响着战争的胜负走向。由成都鼎讯科技匠心打造的雷达目标与干扰模拟器,凭借数字射…...
【笔记】WSL 中 Rust 安装与测试完整记录
#工作记录 WSL 中 Rust 安装与测试完整记录 1. 运行环境 系统:Ubuntu 24.04 LTS (WSL2)架构:x86_64 (GNU/Linux)Rust 版本:rustc 1.87.0 (2025-05-09)Cargo 版本:cargo 1.87.0 (2025-05-06) 2. 安装 Rust 2.1 使用 Rust 官方安…...
Linux nano命令的基本使用
参考资料 GNU nanoを使いこなすnano基础 目录 一. 简介二. 文件打开2.1 普通方式打开文件2.2 只读方式打开文件 三. 文件查看3.1 打开文件时,显示行号3.2 翻页查看 四. 文件编辑4.1 Ctrl K 复制 和 Ctrl U 粘贴4.2 Alt/Esc U 撤回 五. 文件保存与退出5.1 Ctrl …...
【Linux】自动化构建-Make/Makefile
前言 上文我们讲到了Linux中的编译器gcc/g 【Linux】编译器gcc/g及其库的详细介绍-CSDN博客 本来我们将一个对于编译来说很重要的工具:make/makfile 1.背景 在一个工程中源文件不计其数,其按类型、功能、模块分别放在若干个目录中,mak…...
libfmt: 现代C++的格式化工具库介绍与酷炫功能
libfmt: 现代C的格式化工具库介绍与酷炫功能 libfmt 是一个开源的C格式化库,提供了高效、安全的文本格式化功能,是C20中引入的std::format的基础实现。它比传统的printf和iostream更安全、更灵活、性能更好。 基本介绍 主要特点 类型安全:…...