CRM加固操作步驟

1、聲明以下操作均需要在系統(tǒng)做好備份的情況下包括操作系統(tǒng)、業(yè)務(wù)數(shù)據(jù)、應(yīng)用軟件及配置 文件等，確認(rèn)備份結(jié)果的可恢復(fù)性并應(yīng)在測(cè)試環(huán)境中進(jìn)展測(cè)試確認(rèn)加固步驟的正確性和操作 結(jié)果對(duì)系統(tǒng)的影響，針對(duì)下述加固操作中的技術(shù)問(wèn)題，可以咨詢(xún)電信集成技術(shù)支持專(zhuān)家 趙士 剛：針對(duì)修改配置的加固操作，采用恢復(fù)配置文件的回退方案針對(duì)安裝升級(jí)補(bǔ)丁的加固操作，采用卸載補(bǔ)丁、恢復(fù)原有應(yīng)用軟件版本和配置的回退方案1、Openssh 漏洞修復(fù)步驟以下為 Openssh 進(jìn)展升級(jí)加固時(shí)的步驟，適用于 linux 和 Unix 平臺(tái)，要求在配置過(guò)程中準(zhǔn)備con sole，以備出現(xiàn)故障時(shí)無(wú)法登陸到主機(jī)系統(tǒng)。下載 openssh 5.5，使

2、用如下命令進(jìn)展編譯 :./configure -prefix=/opt/ssh5.5makemake install安裝后，修改 sshd.init 文件，將相應(yīng)的目錄修改到 /opt/ssh5.5 目錄中。以下步驟建議要準(zhǔn)備好Con sole后進(jìn)展操作運(yùn)行使用 : killall sshd ; /etc/init.d/sshd start重啟后，使用tel net 0 22命令測(cè)試當(dāng)前ssh版本，如果版本為 5.5，證明升級(jí)成功。2、弱口令問(wèn)題2.1 telnet 弱口令：主機(jī)：計(jì)費(fèi)系統(tǒng)中發(fā)現(xiàn)的tel net弱口令問(wèn)題經(jīng)過(guò)手工驗(yàn)證為誤報(bào)，檢測(cè)出的賬號(hào)并不能登陸相關(guān)第 1 頁(yè) 共 16 頁(yè)主機(jī)

3、。在系統(tǒng)中檢查是否存在 test賬號(hào)，如果存在，首先確認(rèn)是否有程序使用這個(gè)帳號(hào)自動(dòng)登 陸調(diào)用程序，如果沒(méi)有那么考慮刪除此賬號(hào)或通過(guò) passwd 命令設(shè)置高平安性密碼。網(wǎng)絡(luò)設(shè)備：SwitchenPassword:Switch#Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#line vty 0 4Switch(config-line)#password xxxxxxxxx 強(qiáng)壯的密碼Switch(config-line)#exitSwitch(config)#wr2.

4、2 Oracle 弱口令 /默認(rèn)賬戶(hù)：ALTER USER IDENTIFIED BY ; 如果賬號(hào)被鎖定使用以下命令解鎖：ALTER USER ACCOUNT UNLOCK;不使用的賬號(hào)，建議鎖定帳號(hào)：ALTER USER ACCOUNT LOCK; 或刪除不使用的賬號(hào)，命令：DROP USER CASCADE;2.3 Oracle tnslsnr 空口令：切換到 oracle 的管理員，執(zhí)行以下命令$ORACLE_HOME/bin/lsnrctlLSNRCTL change_passwordOld password: - 如果原來(lái)沒(méi)有設(shè)置口令就直接回車(chē)，否那么輸入原來(lái)的 口令New pas

5、sword: Reenter new password: Connecting to (ADDRESS=(PROTOCOL=ipc)(KEY=XXX)The command completed successfullyLSNRCTL set passwordPassword: LSNRCTL save_config （ 此步重要，保存當(dāng)前設(shè)置 ）2.4 FTP 弱口令： 使用管理員身份登陸 使用 passwd username 命令進(jìn)展修改2.5 SNMP 弱口令主機(jī)：修改 /etc/snmp/snmpd.conf ，找到行： com2sec notConfigUser default pub

6、lic public 就是只讀口令另外還可能有一行 com2sec ConfigUser default private 這個(gè) private 也是弱口令，這個(gè)更危險(xiǎn)，因?yàn)榈谝恍惺侵蛔x的，這個(gè)是可寫(xiě)的 把這兩個(gè)字符串按要求修改后根據(jù)下邊的重啟 snmpd 效勞 aix ： refresh -s snmpd solaris: /etc/init.d/snmpd reload hp: /sbin/rc.d/snmpd reload 網(wǎng)絡(luò)設(shè)備：RouterenablePassword:Router# Router#show running-configBuilding configuration.s

7、nmp-server community public RO snmp-server community manager RWRouter#configure terminalEnter configuration commands, one per line.? End with CNTL/Z.Router(config)#可以選用下面兩種方法中的一種：(1) 如果不需要通過(guò) SNMP 進(jìn)展管理，可以制止 SNMP Agent 效勞： 將所有的只讀、讀寫(xiě)口令刪除后， SNMP Agent 效勞就制止a. 刪除只讀 (RO) 口令：Router(config)#no snmp-server c

8、ommunity public ROb. 刪除讀寫(xiě) (RW) 口令Router(config)#no snmp-server community manager RW(2) 如果需要使用 SNMP ，修改 SNMP 口令，使其不易被猜想：a. 刪除原先的只讀或者讀寫(xiě)口令：Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWb. 設(shè)置新的只讀和讀寫(xiě)口令，口令強(qiáng)度應(yīng)該足夠，不易被猜想。Router(config)#snmp-server communit

9、y XXXXXXX RORouter(config)#snmp-server community YYYYYYY RW3、oracle 數(shù)據(jù)庫(kù)加固步驟3.1 由于針對(duì)數(shù)據(jù)庫(kù)進(jìn)展補(bǔ)丁升級(jí)風(fēng)險(xiǎn)較高， 有可能對(duì)業(yè)務(wù)系統(tǒng)造成影響， 因此建議使用 如下設(shè)置，使數(shù)據(jù)庫(kù)效勞只向前端機(jī)提供，此方法實(shí)現(xiàn)簡(jiǎn)單，效果明顯，風(fēng)險(xiǎn)小，回退簡(jiǎn)便， 推薦使用：修改 sqlnet.ora 文件在 $ORACLE_HOMEnetworkadmin 下 tcp.validnode_checking=yes#允許訪問(wèn)的 iptcp.i nvited_ no des =(ip1,ip2,.)tcp.excluded_ no des=

10、(ip1,ip2, )需要重啟 oracle 效勞此時(shí)，除指定ip夕卜，其他地址將無(wú)法訪問(wèn)數(shù)據(jù)庫(kù)效勞，防止了潛在的被攻擊風(fēng)險(xiǎn), 掃描器也將無(wú)法掃描到數(shù)據(jù)庫(kù)漏洞。3.2關(guān)于oracle全面的加固建議補(bǔ)丁管理操作編號(hào)Oracle-01001操作名稱(chēng)補(bǔ)丁安裝實(shí)施方案登陸及檢查當(dāng)前所用Oracle版本的補(bǔ)丁情況并更新至最新，以防止?jié)撛诘钠?安威脅。實(shí)施目的安裝最新的補(bǔ)丁以解決低版本的漏洞問(wèn)題。實(shí)施風(fēng)險(xiǎn)咼，某些補(bǔ)丁程序可能導(dǎo)致Oracle系統(tǒng)運(yùn)行不正常，其它依賴(lài)Oracle效勞的應(yīng)用也會(huì)受到影響。注意：補(bǔ)丁在業(yè)務(wù)系統(tǒng)安裝前，需要首先在測(cè)試系統(tǒng)上進(jìn)展有關(guān)數(shù)據(jù)庫(kù)本身及相關(guān)連應(yīng)用系統(tǒng)全面測(cè)試確保正常?；赝朔桨?/p>

11、卸載相關(guān)補(bǔ)丁 /通過(guò)備份恢復(fù)系統(tǒng)至補(bǔ)丁安裝前。實(shí)施主機(jī)帳號(hào)策略管理操作編號(hào)Oracle-02001操作名稱(chēng)修改數(shù)據(jù)庫(kù)默認(rèn)的帳號(hào)口令實(shí)施方案重置口令：sqlALTER USER IDENTIFIED BY ;實(shí)施目的防止?jié)B透者通過(guò)默認(rèn)的帳號(hào)口令登陸系統(tǒng)而帶來(lái)的威脅。實(shí)施風(fēng)險(xiǎn)需要在修改前確認(rèn)使用此帳號(hào)的真實(shí)情況。確保在應(yīng)用程序的連接串、腳本 中此密碼同步修改，否那么可能導(dǎo)致某些應(yīng)用無(wú)法連接?；赝朔桨钢刂每诹睿簊qlALTER USER IDENTIFIED BY ;實(shí)施主機(jī)操作編號(hào)Oracle-02002操作名稱(chēng)鎖定暫時(shí)不使用的數(shù)據(jù)庫(kù)用戶(hù)實(shí)施方案用以下命令鎖定暫時(shí)不使用的數(shù)據(jù)庫(kù)用戶(hù)：sqlALTE

12、R USER ACCOUNT LOCK;實(shí)施目的限制可以登陸數(shù)據(jù)庫(kù)用戶(hù)的個(gè)數(shù)，降低風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)管理員確認(rèn)后，確定某些用戶(hù)不需要具有DBA的權(quán)限再實(shí)施回退方案對(duì)鎖定用戶(hù)進(jìn)展解鎖：sqlALTER USER ACCOUNT UNLOCK;實(shí)施主機(jī)操作編號(hào)Oracle-02003操作名稱(chēng)刪除確定不使用的數(shù)據(jù)庫(kù)用戶(hù)實(shí)施方案用以下命令刪除確定不使用的數(shù)據(jù)庫(kù)用戶(hù)：sqlDROP USER CASCADE;實(shí)施目的限制可以登陸數(shù)據(jù)庫(kù)用戶(hù)的個(gè)數(shù)，降低風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)管理員確認(rèn)后，確定某些用戶(hù)沒(méi)有存在必要再實(shí)施。并對(duì)用戶(hù)相關(guān) 信息及所有對(duì)象備份。回退方案重新建立用戶(hù)：sqlCREATE USER

13、 ;實(shí)施主機(jī)操作編號(hào)Oracle-02004操作名稱(chēng)設(shè)置口令平安策略實(shí)施方案下面是一個(gè)完整的創(chuàng)立概要文件的實(shí)例sql語(yǔ)句：sqlCREATE PROFILE LIMIT CPU_PER_SESSION 1000CPU_PER_CALL1000CONNECT_TIME 30COMPOSITE_LIMIT 1000000FAILED_LOGIN_A TTEMPTS 10PASSWORD_REUSE_MAX UNLIMITEDPASSWORD_REUSE_TIME 120PASSWORD_VERIFY_FUNCTION DEFAULT;更改參數(shù)實(shí)例：sqlALTER PROFILE LIMIT FA

14、ILED_LOGIN_ATTEMPTS=3;為一個(gè)具體用戶(hù)分配概要文件 ：sqlALTER USER PROFILE ;實(shí)施目的控制單個(gè)用戶(hù)消耗的系統(tǒng)資源數(shù)量，并進(jìn)展與密碼有關(guān)的限制。實(shí)施風(fēng)險(xiǎn)口令到期后，普通帳號(hào)會(huì)不能登陸數(shù)據(jù)庫(kù)，必須用SYS帳號(hào)解除鎖定。當(dāng)有人惡意嘗試登陸某一用戶(hù)到一定次數(shù)時(shí)，會(huì)導(dǎo)致該用戶(hù)鎖定，可能會(huì)對(duì)該用戶(hù)的正常使用造成威脅。回退方案恢復(fù)默認(rèn)配置更改參數(shù)實(shí)例：sqlALTER PROFILE LIMIT FAILED_LOGIN_ATTEMPTS=3;實(shí)施主機(jī)操作編號(hào)Oracle-02005操作名稱(chēng)回收用戶(hù)多余的 DBA角色實(shí)施方案用以下命令回收用戶(hù)的 DBA角色：sqlR

15、EVOKE DBA FROM ;實(shí)施目的對(duì)數(shù)據(jù)庫(kù)系統(tǒng)權(quán)限分配進(jìn)展控制。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫(kù)管理員確認(rèn)后，確定某些用戶(hù)不需要具有DBA的權(quán)限再實(shí)施?；赝朔桨钢刂孟嚓P(guān)用戶(hù)：sqlGRANT DBA TO ;實(shí)施主機(jī)操作編號(hào)Oracle-02006操作名稱(chēng)回收用戶(hù)不需要的權(quán)限實(shí)施方案用以下命令回收用戶(hù)不需要的權(quán)限：sqlREVOKE privs_name ON .object_nameFROM GRANT privs_name ON .object_nameTO username；實(shí)施主機(jī)網(wǎng)絡(luò)連接加固操作編號(hào)Oracle-03001操作名稱(chēng)設(shè)置SQLPLUS登錄認(rèn)證方式為口令認(rèn)證方式實(shí)施方案1、把 IN

16、IT.ORA 中 REMOTE_LOGIN_PASSWORD 設(shè)置為 EXCLUSIVE 或SHARED.使用EXCLUSIVE 表示只有當(dāng)前INSTANCE使用這個(gè) password文 件。而且允許有別的用戶(hù)作為sysdba登錄進(jìn)系統(tǒng)；選擇 SHARED，那么說(shuō)明不止一個(gè)實(shí)例使用這個(gè)密碼文件，同時(shí)sysdba權(quán)限只能授予sys和internal這兩個(gè)用戶(hù)名。2、將 sqlnet.ora 文件中 SQLNET.AUTHENTICATION .SERVICES 設(shè)置為 NONE，默認(rèn)設(shè)置是NTS3、 用orapwd命令創(chuàng)立口令文件，如果不知參數(shù)如何使用，直接鍵入orapwd 看幫助。這里說(shuō)一下其

17、中entries參數(shù)的含義：其表示有多少用戶(hù)要授予 sysdba 權(quán)限。實(shí)施目的限制獲得OS帳號(hào)的人員在沒(méi)有 ORACLE登陸密碼的時(shí)候，通過(guò) SQLPLUS 直接連接數(shù)據(jù)庫(kù)。實(shí)施風(fēng)險(xiǎn)可能導(dǎo)致某些使用 SQLPLUS連接數(shù)據(jù)庫(kù)的腳本不可用，需要修改腳本。同 時(shí)腳本也會(huì)泄露數(shù)據(jù)庫(kù)用戶(hù)的密碼?；赝朔桨富謴?fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03002操作名稱(chēng)設(shè)置TNS Listener的口令實(shí)施方案1、編輯listener.ora文件并參加下面一仃：PASSWORDS_=2、停頓并重新啟動(dòng) Listener。$ps -fu $ORACLE_OWNER |grep Isnr |grep -v gr

18、ep$ls nrctl stop $ORACLE_SID$ps -fu $ORACLE_OWNER |grep Isnr |grep -v grep$ls nrctl start $ORACLE_SID$ps -fu $ORACLE_OWNER |grep Isnr |grep -v grep3、 因?yàn)榇藭r(shí)的口令是明文的，為了平安應(yīng)進(jìn)展加密。為此，通過(guò)Liste nerControl Utility- Isnrctl 連接到 Listener:Isn rctlset curre nt_liste ner Curre nt Liste ner is Ls nrctlCHANGE PASSWORD

19、Ord password:*New password:*Ree nter new password:*Lsn rctlset passwordPassword:*Lsn rctlsave config實(shí)施目的防止其他人對(duì)Listener進(jìn)展管理。實(shí)施風(fēng)險(xiǎn)需要本地確認(rèn)后實(shí)施回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03003操作名稱(chēng)修改 REMOTE_OS_AUTHENT 的值為 FALSE實(shí)施方案修改參數(shù)值的方法如下：sqlALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE;注意：需要重新啟動(dòng) ORACLE數(shù)據(jù)庫(kù)的實(shí)例才可以應(yīng)用。實(shí)施目的防止遠(yuǎn)程機(jī)器直接登

20、陸。實(shí)施風(fēng)險(xiǎn)需要本地確認(rèn)后實(shí)施回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03004操作名稱(chēng)設(shè)定IP連接限制實(shí)施方案在$ORACLE_HOMEnetworkadmi n 目錄下設(shè)置相關(guān)文件說(shuō)明：8i是查看protocol.ora文件， 在9i中是sqlnet.ora文件； 文件格式：tcp.valid no de_check in g=yes#允許訪問(wèn)的iptcp.i nvited_ no des =(ip1,ip2,)#不允許訪問(wèn)的iptcp.excluded_ no des=(ip1,ip2,)實(shí)施目的限制規(guī)定的IP范圍可以訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)。實(shí)施風(fēng)險(xiǎn)容易造成ORACLE與前臺(tái)程序無(wú)法連

21、接，建議非獨(dú)立使用的數(shù)據(jù)庫(kù)不實(shí)施此項(xiàng)回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03005操作名稱(chēng)設(shè)置傳輸方式加密實(shí)施方案在$ORACLE HOMEnetworkadmin目錄下編輯或建立 sqlnet.ora并參加類(lèi)似如下內(nèi)容：sqln et.e ncrypti on _server=required | requested | accepted | rejectedsql net.e ncryption_types_server=(RC4_256, 3DES168, RC4_128, 3DES112,RC4_56, DES, RC4_40, DES40)sqln et.crypto_

22、seed=2z0hslkdharUJCFtkwbjOLbgwsj7vkqt3bGoUylih nvkhgkdsbdskkKGhdkl4p78hcpZr4 ”實(shí)施目的防止嗅探攻擊。實(shí)施風(fēng)險(xiǎn)無(wú)回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03006操作名稱(chēng)制止網(wǎng)絡(luò)連接實(shí)施方案如果數(shù)據(jù)庫(kù)不需遠(yuǎn)程訪問(wèn)，可在本地平安策略里面制止連接TCP 1521 端口實(shí)施目的制止網(wǎng)絡(luò)連接，防止猜解密碼攻擊，溢出攻擊和嗅探攻擊。實(shí)施風(fēng)險(xiǎn)可能導(dǎo)致某些備份軟件無(wú)法工作?；赝朔桨富謴?fù)默認(rèn)配置實(shí)施主機(jī)文件系統(tǒng)加固操作編號(hào)Oracle-04001操作名稱(chēng)控制執(zhí)行文件及其目錄權(quán)限實(shí)施方案$ls - l $ORACLE_HOME

23、|grep bin$ls - l $ORACLE_HOME/bin如果某執(zhí)行文件權(quán)限分配不嚴(yán)，那么考慮執(zhí)行：$chmod 710 實(shí)施目的確保Oracle數(shù)據(jù)庫(kù)執(zhí)行文件不被未授權(quán)者利用、修改、刪除。實(shí)施風(fēng)險(xiǎn)如果因?yàn)樘厥庑枰獙?duì)文件權(quán)限進(jìn)展特殊設(shè)置，請(qǐng)?zhí)崆昂拖到y(tǒng)建立人員確認(rèn)。回退方案恢復(fù)默認(rèn)權(quán)限實(shí)施主機(jī)操作編號(hào)Oracle-04002操作名稱(chēng)控制數(shù)據(jù)文件的權(quán)限實(shí)施方案$cd $ORACLE_HOME/dbs/$ls l *.dbf檢查權(quán)限，如果不是 rw-,那么Chmod 600 *.dbf實(shí)施目的確保Oracle數(shù)據(jù)文件不被未授權(quán)者利用、復(fù)制、修改、刪除。實(shí)施風(fēng)險(xiǎn)如果有特殊需要，改成 622回退

24、方案恢復(fù)默認(rèn)權(quán)限實(shí)施主機(jī)操作編號(hào)Oracle-04003操作名稱(chēng)米用加密備份文件的備份方式實(shí)施方案如果是米用直接復(fù)制數(shù)據(jù)庫(kù)文件的方式備份，建議米用工具RMAN RecoveryMa nager進(jìn)展備份，以保證備份出來(lái)的文件是加密的。實(shí)施目的防止他人獲得備份文件后，查看其內(nèi)容。實(shí)施風(fēng)險(xiǎn)無(wú)，但是可能會(huì)有一疋的工作量?；赝朔桨钢匦虏捎靡郧暗姆绞絺浞輰?shí)施主機(jī)日志審核增強(qiáng)操作編號(hào)Oracle-05001操作名稱(chēng)啟用數(shù)據(jù)庫(kù)審計(jì)功能實(shí)施方案修改系統(tǒng)參數(shù)如下記錄到數(shù)據(jù)庫(kù)：sqlALTER SYSTEM AUDIT_TRAIL=DB; 或修改系統(tǒng)參數(shù)如下記錄到系統(tǒng)日志：sqlALTER SYSTEM AUDIT

25、_TRAIL=OS;實(shí)施目的記錄審計(jì)日志至數(shù)據(jù)庫(kù)或系統(tǒng)日志。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置sqlALTER SYSTEM AUDIT_TRAIL=NONE;實(shí)施主機(jī)編號(hào)Oracle-05002名稱(chēng)對(duì)失敗或成功的登陸記錄開(kāi)啟審計(jì)實(shí)施方案sqlAUDIT SESSION WHENEVER NOT SUCCESSFUL;sqlAUDIT SESSION WHENEVER SUCCESSFUL;實(shí)施目的對(duì)系統(tǒng)的用戶(hù)登陸情況進(jìn)展記錄，作為查詢(xún)異常事件的線索。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置，使用制止會(huì)話審核命令sqlNOAUDIT SESSION;實(shí)施主機(jī)操作編號(hào)O

26、racle-05003操作名稱(chēng)保護(hù)審計(jì)操作記錄表實(shí)施方案sqlAUDIT ALL ON SYS.AUD$ BY ACCESS;實(shí)施目的對(duì)審計(jì)記錄本身的操作進(jìn)展記錄，防止?jié)B透者修改、刪除。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置，使用制止會(huì)話審核命令sqlNOAUDIT ALL ON SYS.AUD$ BY ACCESS;實(shí)施主機(jī)4、Apache相關(guān)問(wèn)題加固步驟4.1由于HP效勞器在2301端口上開(kāi)放用于管理的System Management Homepage，對(duì)于此類(lèi)Apache問(wèn)題，需要將相應(yīng)管理功能關(guān)閉，需要使用的時(shí)候再翻開(kāi)。4.2 對(duì)于 Apache tomcat 默認(rèn)賬戶(hù)，

27、編輯 tomcat 安裝目錄下的 conf/users/admin-users.xml 文件，修改其中默認(rèn)賬戶(hù)的密碼即可4.3補(bǔ)丁安裝步驟：首先停頓現(xiàn)有的 Apache效勞，然后根據(jù)不同操作系統(tǒng)，按照下述步驟進(jìn)展新版本安裝, 并在安裝完后配置 Apache配置文件Aix升級(jí)最新Apache下載地址：下載最新的源碼包# tat xvf d.tar# cd d# ./c on figure -e nable-module=shared -e nable-module=so -e nable-dav=shared -e nable-dav-fs=shared -prefix=/usr/local/a

28、pache2 -e nable-ma intain er-mode# make# make in stallSolaris 升級(jí)最新Apache下載地址：下載最新的源碼包 # tar xvf d.tar# cd d# ./c on figure -prefix=/usr/local/apache2 -e nable-mods-shared=all -e nable-ssl=shared -e nable-ssl -with-ssl=/usr/local/ssl -e nable-proxy -e nable-proxy-c onnect -e nable-proxy-ftp -e nable-

29、proxy-# make# make in stallHP-UX升級(jí)最新Apache下載地址：下載最新的源碼包# tar # ./con figure-prefix=/home/p ntest3/app/apache2-e nable-so-e nable-dav# make# make in stallLinux升級(jí)最新Apache下載地址：下載最新的源碼包# tar # ./con figure-prefix=/usr/local/apache2-e nable-so-e nable-ssl# make# make in stallWin dows 升級(jí)最新Apache下載地址：下載最新的

30、安裝文件d.msi運(yùn)行 d.msi文件，通過(guò)安裝向?qū)нM(jìn)展安裝和升級(jí)5、關(guān)閉不平安的效勞5.1 CDE dtspcd 效勞通用桌面環(huán)境(CDE)是一個(gè)可在UNIX和Linux操作系統(tǒng)中運(yùn)行的綜合的圖形用戶(hù)界面, 加固前應(yīng)首先確認(rèn)目前系統(tǒng)是否不需要此效勞。操作步驟如下：1. 轉(zhuǎn)變成root用戶(hù)$ su -#2. 關(guān)閉dtspcd效勞翻開(kāi)/etc/inetd.conf文件，找到如下行：dtspc stream tcp no wait root /usr/dt/b in /dtspcd /usr/dt/b in /dtspcd在該行的開(kāi)場(chǎng)處增加#號(hào)來(lái)將其注釋?zhuān)?dtspc stream tcp no

31、wait root /usr/dt/b in/dtspcd /usr/dt/b in /dtspcd/保存修改，退出編輯器。3. 制止dtspcd的執(zhí)行權(quán)限# chmod 000 /usr/dt/bin/dtspcd4. 重新啟動(dòng) inetd# ps -ef|grep inetdroot 167 1 0 Oct 07 ? 0:07 /usr/sbin/inetd -s -t# kill -HUP 167 ( 上面的例子中， 167 是 inetd 的 pid)5.2 rlogin 效勞/rlogin 效勞的操作步驟參考 CDE dtspcd 效勞操作步驟6、sendmail 加固步驟6.1 方法 1：如果 sendmail 效勞不是系統(tǒng)運(yùn)行必須的， 建議關(guān)閉此效勞， 并在 cron 中設(shè)置 定期運(yùn)行，步驟如下：停頓效勞 HP-UX :mv /sbin/rc3.d/Sxxsendmail /etc/rc3.d/Kxxsendmail/設(shè)置制止啟動(dòng)/sbin/init.d/sendmail stop/ 停頓當(dāng)前 SENDMAILcrontab -e 添加一行 :1 0 * * * /usr/sbin/sendmail -bf /var/adm/sendmailcron.log 2&1 / 設(shè)置每天 0點(diǎn) 1分 運(yùn)行 sendmail