当前位置：首页 > news >正文

安全加固方案

news 2026/2/7 23:28:54

交换机安全加固

查看是否关闭未使用的接口

25GE1/0/1、25GE1/0/47、25GE1/0/48需要使用，暂不关闭

system-view

interface Eth-Trunk99

shutdown

quit

interface Eth-Trunk100

shutdown

quit

interface Eth-Trunk110

shutdown

quit

interface 25GE1/0/2

shutdown

interface 25GE1/0/3

shutdown

interface 25GE1/0/4

shutdown

interface 25GE1/0/5

shutdown

interface 25GE1/0/6

shutdown

interface 25GE1/0/7

shutdown

interface 25GE1/0/8

shutdown

interface 25GE1/0/9

shutdown

interface 25GE1/0/10

shutdown

interface 25GE1/0/11

shutdown

interface 25GE1/0/12

shutdown

interface 25GE1/0/13

shutdown

interface 25GE1/0/14

shutdown

interface 25GE1/0/15

shutdown

interface 25GE1/0/16

shutdown

interface 25GE1/0/17

shutdown

interface 25GE1/0/18

shutdown

interface 25GE1/0/19

shutdown

interface 25GE1/0/20

shutdown

interface 25GE1/0/21

shutdown

interface 25GE1/0/22

shutdown

interface 25GE1/0/23

shutdown

interface 25GE1/0/24

shutdown

interface 25GE1/0/25

shutdown

interface 25GE1/0/26

shutdown

interface 25GE1/0/27

shutdown

interface 25GE1/0/28

shutdown

interface 25GE1/0/29

shutdown

interface 25GE1/0/30

shutdown

interface 25GE1/0/31

shutdown

interface 25GE1/0/32

shutdown

interface 25GE1/0/33

shutdown

interface 25GE1/0/34

shutdown

interface 25GE1/0/35

shutdown

interface 25GE1/0/36

shutdown

interface 25GE1/0/37

shutdown

interface 25GE1/0/38

shutdown

interface 25GE1/0/39

shutdown

interface 25GE1/0/40

shutdown

interface 25GE1/0/41

shutdown

interface 25GE1/0/42

shutdown

interface 25GE1/0/43

shutdown

interface 25GE1/0/44

shutdown

interface 25GE1/0/45

shutdown

interface 25GE1/0/46

shutdown

interface 100GE1/0/1

shutdown

interface 100GE1/0/2

shutdown

interface 100GE1/0/3

shutdown

interface 100GE1/0/4

shutdown

interface 100GE1/0/5

shutdown

interface 100GE1/0/6

shutdown

interface 100GE1/0/7

shutdown

interface 100GE1/0/8

shutdown

quit

commit

quit

save

检查是否配置远程访问IP地址限制

ssh 放行全部地址进来，后面需要网管老师去限定ssh的入向源地址

system-view

acl number 2000

rule 200 permit source any

quit

user-interface vty 0 4

acl 2000 inbound

quit

commit

quit

save

检查是否配置防地址欺骗攻击

目前使用端口都为2层口，暂不支持该功能

Ubunut20.04安全加固

需使用root账号配置

cmcc登录后使用su - root 切换

设置重复登录失败后锁定时间限制、查口令锁定策略

内容：设置密码输入错误5次后锁定账户15分钟（900秒）、帐户被锁定，不再提示让再次登录；

vim /etc/pam.d/common-auth

在图中位置添加如下命令

auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=900

验证

解锁账户

设置用户缺省UMASK、登录超时

内容：设置umask 027、登陆超时30分钟

步骤：

vim /etc/profile

在末尾添加

Plain Text
umask 027
TMOUT=1800
export TMOUT

保存退出

生效配置

root@cmcc:~# source /etc/profile

验证

设置限制su命令用户组

内容：添加wheel组并将cmcc添加到改组，启用su命令控制

步骤：

vim /etc/pam.d/su

在打开的配置文件的中，添加以下参数：
auth required pam_wheel.so

保存退出

创建 wheel 组 并添加用户

Shell
groupadd wheel
usermod -G wheel cmcc

验证

cmcc添加到wheel组后可以切换root

非wheel组用户无法切换

设置SSH是否使用业界认可的加密算法

内容：ssh添加指定算法

步骤：

使用文本编辑器（如vim）编辑/etc/ssh/sshd_config文件。
vi /etc/ssh/sshd_config

在打开的配置文件中，如图位置添加如下参数：

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256

MACs umac-128-etm@openssh.com,umac-64-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

保存并退出

在vim编辑器中，按Esc键，然后输入:wq并回车以保存更改并退出编辑器。

生效配置

root@cmcc:/etc/ssh# sshd -T #检查配置有无问题

Missing privilege separation directory: /run/sshd

root@cmcc:/etc/ssh# systemctl restart sshd

root@cmcc:/etc/ssh# systemctl status sshd

限制root远程登陆

内容：root远程登录不成功

步骤：

Shell
vi /etc/ssh/sshd_config
#添加如下内容
PermitRootLogin no

修改PermitRootLogin设置为no并不被注释，保存退出。

生效配置

Shell
root@cmcc:/etc/ssh# systemctl restart sshd
root@cmcc:/etc/ssh# systemctl status sshd

验证

尝试使用ssh登录root,回显不通过。

检查登录提示-是否设置ssh警告

内容：ssh登录时 提示 Authorized users only. All activity may be monitored and reported

步骤：

echo " Authorized users only. All activity may be monitored and reported " >/etc/sshbanner

vim /etc/ssh/sshd_config文件

在打开的配置文件的中，添加以下参数并保存退出：

Shell
Banner /etc/sshbanner

重启服务

systemctl restart sshd

验证

检查系统是否不存开发编译及网络嗅探类工具

Shell
#查看安装的软件包
root@cmcc:~# apt list --installed Tcpdump
Listing... Done
root@cmcc:~# apt list --installed Gdb
Listing... Done
root@cmcc:~# apt list --installed strace
Listing... Done
strace/focal,now 4.26-0.2ubuntu3 amd64 [installed,upgradable to: 5.5-3ubuntu1]
root@cmcc:~# apt list --installed dexdump
Listing... Done
root@cmcc:~# apt list --installed cpp
Listing... Done
root@cmcc:~# apt list --installed gcc
Listing... Done
root@cmcc:~# apt list --installed tcpdump
Listing... Done
root@cmcc:~# apt list --installed ethereal
Listing... Done
root@cmcc:~# apt list --installed wireshark
Listing... Done
#卸载安装的软件包
root@cmcc:~# apt autoremove strace
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages will be REMOVED:
libunwind8 strace ubuntu-standard
0 upgraded, 0 newly installed, 3 to remove and 310 not upgraded.
After this operation, 1,798 kB disk space will be freed.
Do you want to continue? [Y/n] y
(Reading database ... 70747 files and directories currently installed.)
Removing ubuntu-standard (1.450) ...
Removing strace (4.26-0.2ubuntu3) ...
Removing libunwind8:amd64 (1.2.1-9build1) ...
Processing triggers for man-db (2.9.1-1) ...
Processing triggers for libc-bin (2.31-0ubuntu9) ...

检查是否关闭IP转发功能、是否开启反向路径过滤、禁止icmp重定向

系统默认没开IP转发功能

Shell
sysctl net.ipv4.ip_forward
sysctl net.ipv4.conf.all.forwarding
sysctl net.ipv4.conf.all.forwarding

如果要修改

vim /etc/sysctl.conf文件

并在/etc/sysctl.conf中添加如下内容：

Bash
net.ipv4.ip_forward = 0
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.default.forwarding = 0

修改后，运行sysctl -p来应用更改。

配置文件仲该设置被注释了取消注释即可

vim /etc/sysctl.conf 把 # 去掉然后保存退出

生效配置

日志大小进行配置

内容：修改日志大小位10M

步骤：

Vim /etc/logrotate.d/rsyslog

在打开的配置文件的中，添加以下参数并保存退出：

size 10M

重启服务

systemctl restart rsyslog.service

检查帐号文件权限设置

内容：修改文件权限

步骤：

Shell
root@cmcc:~# ls -la /etc/passwd
-rw-r--r-- 1 root root 2016 Oct 31 05:52 /etc/passwd # 文件权限 644
root@cmcc:~# ls -la /etc/group
-rw-r--r-- 1 root root 861 Nov 4 02:28 /etc/group # 文件权限 644
root@cmcc:~# ls -la /etc/shadow
-rw-r----- 1 root shadow 1928 Oct 31 05:52 /etc/shadow # 文件权限 400 不符合要求

返回如下

Shell
chmod 400 /etc/shadow
chmod 644 /etc/group
chmod 644 /etc/shadow

开启命令及登录失败记录

内容：开启登录失败记录

步骤：

vim /etc/login.defs

找到 LASTLOG_ENAB 项，取消注释并添加yes

找到 FAILLOG_ENAB 取消注释并添加yes （如果已经修改则无需变动）

保存文件并退出 wq

口令重复次数限制、口令生存周期要求

内容：强制密码历史”设置为“记住5个密码；口令生存周期最大90天，最小8天，不足7天告警

口令重复次数限制

创建文件/etc/security/opasswd，并设置权限： #

touch /etc/security/opasswd

chown root:root /etc/security/opasswd

chmod 600 /etc/security/opasswd 3、修改策略设置： #vi /etc/pam.d/common-passwd 在password required pam_unix.so所在行增加remember=5，保存退出。

口令生存周期要求

编辑/etc/login.defs文件，设置密码的过期策略，保存退出：

Shell
PASS_MAX_DAYS   90
PASS_MIN_DAYS   7
PASS_WARN_AGE   7

修改cmcc用户密码生成周期

Shell
root@cmcc:~# chage -M 90 -m 8 -W 7 cmcc
root@cmcc:~# chage -l cmcc
Last password change                                    : Nov 04, 2024
Password expires                                        : Feb 02, 2025
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 7
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 7
root@cmcc:~#

配置ntp时间同步

使用Mobaxterm 上传ntp离线包

dpkg -i ntp_4.2.8p10+dfsg-5ubuntu7_arm64.deb

systemctl restart ntp

systemctl status ntp

漏扫工具的使用

离线检查操作使用说明

一、概述：

所有离线检查，均可通过Secure CRT执行vbs脚本进行，检查脚本执行完毕后，自动生成签名加密的result结果文件，将生成的result结果文件导入离线新建计划生成扫描报告。请勿私自打开修改result结果文件内容，否则将无法生成结果报告并计算合规率。

二、注意事项：

在进行离线检查前，请仔细阅读以下注意事项：

1、务必使用Version 8.1.0版本及以上的SecureCRT进行离线合规检查。

2、务必将SecureCRT设置成仿真Linux环境，具体设置方法如下：

通过SecureCRT（Version 6.5.0以上）登录设备，设置SecureCRT仿真终端为”Linux”，设置过程为：“选项”->“会话选项”->“终端”->“仿真”，选择“Linux”，如果已经连接远程设备，需要重新连接，更改的设置才会生效

3、务必使用最高权限用户执行离线检查脚本，用SecureCRT登录后，先设置仿真终端为Linux，然后切换到最高权限用户，（主机系统为root，网络设备为super或enable用户），保证有足够权限执行脚本；

4、务必取消SecureCRT记录会话日志选项，即取消记录“会话日志”和“会话原始日志”。“文件”—“会话日志”、“文件”—“会话原始日志”。

5、对于语系为中文的操作系统，建议将CRT默认字符编码修改为UTF-8，即“选项”—“会话选项”—“终端”—“外观”，右边“字符编码”修改为“UTF-8”。

在实际执行过程中发现个别设备的结果文件里报‘无效的过程调用或参数’错误，可以切换字符编码为default或gb2312再重新执行脚本，看是否正常返回结果。

6、离线检查过程中，同时只能打开一个SecureCRT标签即每次只检查一台设备，为加快效率，可以启动SecureCRT打开多个CRT窗口同时进行多个设备检查。

7、如果离线检查脚本执行过程中，弹出以下窗口

点击“运行”，即可继续执行离线合规检查。

8、Windows支持本机直接运行bat脚本方式,将脚本文件分别上传到待检查Windows主机上，选择bat文件夹下面的start.bat进行检查，建议使用该方法检查。若以SecureCRT方式执行.vbs检查，需要本机开启telnet服务。

9、 Oracle数据库在检查执行过程中，需要切换到Oracle安装用户和输入oracle数据库安装路径（listener.ora和sqlnet.ora文件路径，输入到/network/admin前面截止即可），才可以继续往下执行。弹出相应对话框，按照要求输入后，点击确定即可。

10、Sybase数据库在检查执行过程中，需要登陆数据库，才可以继续往下执行。这时会弹出Logon窗口，分别输入用户名及密码，进行登陆。其他类型数据库，根据提示，输入相应数据即可，就不逐一举例。

11、Informix数据库离线合规检查，主要检查其依赖主机的合规性配置。同时，如果数据库默认配置文件onconfig、adtcfg已经重命名，请电联河北公司要求提供定制性脚本。

12、中间件设备类型在离线合规检查过程中，会弹出Path对话框，提示输入中间件安装路径，输入后，点击“确定”按钮，继续执行。中间件所在的各种操作系统下，输入的路径都由根目录开始，到中间件目录为止，最后不需要分隔符。如：

Windows：c:\midware\tomcat-6.0.35

Linux: /opt/apache-6.0.35

三、离线检查示例：

https://tdsmartcloud.feishu.cn/drive/folder/FeNYfkuORlPXlDdcFUAcEcoMnzb

使用CRT SSH连接机器后

选择vbs文件

运行过程需要输入机器

扫描完成

扫描后会在生成一个result目录

将扫描结果发送给客户

安全加固方案

相关文章：

安全加固方案

Linux firewall防火墙规则

速盾：CDN缓存的工作原理是什么？

日常开发记录-正确的prop传参，reduce搭配promise的使用

Hyper-V配置-cnblog

运维Tips：Docker或K8s集群拉取Harbor私有容器镜像仓库配置指南

openssl颁发包含主题替代名的证书–SAN

Stable Diffusion入门教程

H.265流媒体播放器EasyPlayer.js无插件H5播放器关于移动端（H5）切换网络的时候，播放器会触发什么事件

conan2 c/c++包管理入门之--------------------------conanfile.py

DICOM图像深入解析：为何部分DR/CR图像默认显示为反色？

重新定义社媒引流：AI社媒引流王如何为品牌赋能？

【FPGA】Verilog：利用 4 个串行输入- 串行输出的 D 触发器实现 Shift_register

《硬件架构的艺术》笔记（五）：低功耗设计

Hive离线数仓结构分析

鱼眼相机模型-MEI

GPT系列文章

微软Ignite 2024：建立一个Agentic世界！

windows C#-属性

深入浅出：JVM 的架构与运行机制

springboot 百货中心供应链管理系统小程序

java 实现excel文件转pdf | 无水印 | 无限制

STM32标准库-DMA直接存储器存取

自然语言处理——Transformer

Docker 本地安装 mysql 数据库

基于Java+MySQL实现（GUI）客户管理系统

Netty从入门到进阶（二）

API网关Kong的鉴权与限流：高并发场景下的核心实践

用递归算法解锁「子集」问题 —— LeetCode 78题解析

Mysql故障排插与环境优化