CRM加固操作步驟

1、聲明以下操作均需要在系統(tǒng)做好備份的情況下（包括操作系統(tǒng)、業(yè)務(wù)數(shù)據(jù)、應(yīng)用軟件及配置 文件等），確認(rèn)備份結(jié)果的可恢復(fù)性并應(yīng)在測試環(huán)境中進(jìn)行測試確認(rèn)加固步驟的正確性和操作 結(jié)果對(duì)系統(tǒng)的影響，針對(duì)下述加固操作中的技術(shù)問題，可以咨詢電信集成技術(shù)支持專家 趙士 剛 電話：針對(duì)修改配置的加固操作，采用恢復(fù)配置文件的回退方案 針對(duì)安裝升級(jí)補(bǔ)丁的加固操作，采用卸載補(bǔ)丁、恢復(fù)原有應(yīng)用軟件版本和配置的回退方 案1、Openssh 漏洞修復(fù)步驟以下為 Openssh 進(jìn)行升級(jí)加固時(shí)的步驟，適用于 linux 和 Unix 平臺(tái)，要求在配置過程 中準(zhǔn)備con sole，以備出現(xiàn)故障時(shí)無法登陸到主機(jī)系統(tǒng)。下載 opens

2、sh 5.5（），使用如下命令進(jìn)行編譯 :./configure -prefix=/opt/ssh5.5makemake install安裝后，修改 sshd.init 文件，將相應(yīng)的目錄修改到 /opt/ssh5.5 目錄中。以下步驟建議要準(zhǔn)備好 Console 后進(jìn)行操作運(yùn)行使用 : killall sshd ; /etc/init.d/sshd start重啟后，使用tel net 0 22命令測試當(dāng)前ssh版本，如果版本為 5.5,證明升級(jí)成功。2、弱口令問題2.1 telnet 弱口令：主機(jī)：計(jì)費(fèi)系統(tǒng)中發(fā)現(xiàn)的tel net弱口令問題經(jīng)過手工驗(yàn)證為誤報(bào)，檢測出的賬號(hào)并不能登陸相關(guān)主機(jī)。

3、在系統(tǒng)中檢查是否存在 test賬號(hào)，如果存在，首先確認(rèn)是否有程序使用這個(gè)帳號(hào)自動(dòng)登陸調(diào)用程序，如果沒有則考慮刪除此賬號(hào)或通過 passwd 命令設(shè)置高安全性密碼。 網(wǎng)絡(luò)設(shè)備：Switch>enPassword:Switch#Switch#conf tEnter configuration commands, one per line. End with CNTL/Z. Switch(config)#line vty 0 4Switch(config-line)#password xxxxxxxxx (強(qiáng)壯的密碼) Switch(config-line)#exitSwitch(config

4、)#wr2.2 Oracle 弱口令 /默認(rèn)賬戶：ALTER USER <username> IDENTIFIED BY <newpassword> 如果賬號(hào)被鎖定使用以下命令解鎖：ALTER USER <username> ACCOUNT UNLOCK; 不使用的賬號(hào)，建議鎖定帳號(hào)：ALTER USER <username> ACCOUNT LOCK; 或刪除不使用的賬號(hào)，命令： DROP USER <username> CASCADE;2.3 Oracle tnslsnr 空口令：切換到 oracle 的管理員，執(zhí)行下列命令 $O

5、RACLE_HOME/bin/lsnrctlLSNRCTL> change_passwordOld password: < 原來的口令 > <- 如果原來沒有設(shè)置口令就直接回車，否則輸入原來的口 令New password: < 新口令 >Reenter new password: < 新口令 >Connecting to (ADDRESS=(PROTOCOL=ipc)(KEY=XXX)Password changed for LISTENERThe command completed successfullyLSNRCTL> set pa

6、ssword Password: <輸入新口令 >LSNRCTL> save_config （ 此步重要，保存當(dāng)前設(shè)置 ）2.4 FTP 弱口令： 使用管理員身份登陸 使用 passwd username 命令進(jìn)行修改2.5 SNMP 弱口令主機(jī)：修改 /etc/snmp/snmpd.conf ，找到行： com2sec notConfigUser default public public 就是只讀口令另外還可能有一行 com2sec ConfigUser default private 這個(gè) private 也是弱口令，這個(gè)更危險(xiǎn)，因?yàn)榈谝恍惺侵蛔x的，這個(gè)是可寫的 把這兩

7、個(gè)字符串按要求修改后根據(jù)下邊的重啟 snmpd 服務(wù) aix ： refresh -s snmpd solaris: /etc/init.d/snmpd reload hp: /sbin/rc.d/snmpd reload 網(wǎng)絡(luò)設(shè)備：Router>enablePassword:Router# Router#show running-configBuilding configuration.snmp-server community public RO snmp-server community manager RWRouter#configure terminalEnter config

8、uration commands, one per line.? End with CNTL/Z.Router(config)#可以選用下面兩種方法中的一種：(1) 如果不需要通過 SNMP 進(jìn)行管理，可以禁止 SNMP Agent 服務(wù)： 將所有的只讀、讀寫口令刪除后， SNMP Agent 服務(wù)就禁止a. 刪除只讀 (RO) 口令：Router(config)#no snmp-server community public ROb. 刪除讀寫 (RW) 口令Router(config)#no snmp-server community manager RW(2) 如果需要使用 SNMP ，

9、修改 SNMP 口令，使其不易被猜測：a. 刪除原先的只讀或者讀寫口令：Router(config)#no snmp-server community public RORouter(config)#no snmp-server community private RWb. 設(shè)置新的只讀和讀寫口令，口令強(qiáng)度應(yīng)該足夠，不易被猜測。Router(config)#snmp-server community XXXXXXX RORouter(config)#snmp-server community YYYYYYY RW3、oracle 數(shù)據(jù)庫加固步驟3.1 由于針對(duì)數(shù)據(jù)庫進(jìn)行補(bǔ)丁升級(jí)風(fēng)險(xiǎn)較高， 有可

10、能對(duì)業(yè)務(wù)系統(tǒng)造成影響， 因此建議使用 如下設(shè)置，使數(shù)據(jù)庫服務(wù)只向前端機(jī)提供，此方法實(shí)現(xiàn)簡單，效果明顯，風(fēng)險(xiǎn)小，回退簡便， 推薦使用：修改 sqlnet.ora 文件(在 $ORACLE_HOMEnetworkadmin 下) tcp.validnode_checking=yes#允許訪問的 iptcp.i nvited_ no des =(ip1,ip2,.)tcp.excluded_ no des=(ip1,ip2, )需要重啟 oracle 服務(wù)此時(shí)，除指定IP夕卜，其他地址將無法訪問數(shù)據(jù)庫服務(wù)，防止了潛在的被攻擊風(fēng)險(xiǎn), 掃描器也將無法掃描到數(shù)據(jù)庫漏洞。3.2關(guān)于oracle全面的加固建議

11、補(bǔ)丁管理操作編號(hào)Oracle-01001操作名稱補(bǔ)丁安裝實(shí)施方案登陸及檢查當(dāng)前所用Oracle版本的補(bǔ)丁情況并更新至最新，以避免潛在的安 全威脅。實(shí)施目的安裝最新的補(bǔ)丁以解決低版本的漏洞問題。實(shí)施風(fēng)險(xiǎn)咼，某些補(bǔ)丁程序可能導(dǎo)致Oracle系統(tǒng)運(yùn)行不正常，其它依賴Oracle服務(wù)的應(yīng)用也會(huì)受到影響。注意：補(bǔ)丁在業(yè)務(wù)系統(tǒng)安裝前，需要首先在測試系統(tǒng)上進(jìn)行有關(guān)數(shù)據(jù)庫本身及相關(guān)連應(yīng)用系統(tǒng)全面測試確保正常?；赝朔桨感遁d相關(guān)補(bǔ)丁 /通過備份恢復(fù)系統(tǒng)至補(bǔ)丁安裝前。實(shí)施主機(jī)帳號(hào)策略管理操作編號(hào)Oracle-02001操作名稱修改數(shù)據(jù)庫默認(rèn)的帳號(hào)口令實(shí)施方案重置口令：sql>ALTER USER <us

12、ername> IDENTIFIED BY <n ewpassword>實(shí)施目的防止?jié)B透者通過默認(rèn)的帳號(hào)口令登陸系統(tǒng)而帶來的威脅。實(shí)施風(fēng)險(xiǎn)需要在修改前確認(rèn)使用此帳號(hào)的真實(shí)情況。確保在應(yīng)用程序的連接串、腳本 中此密碼同步修改，否則可能導(dǎo)致某些應(yīng)用無法連接?；赝朔桨钢刂每诹睿簊ql>ALTER USER <username> IDENTIFIED BY <oldpassword>實(shí)施主機(jī)操作編號(hào)Oracle-02002操作名稱鎖定暫時(shí)不使用的數(shù)據(jù)庫用戶實(shí)施方案用以下命令鎖定暫時(shí)不使用的數(shù)據(jù)庫用戶：sql>ALTER USER <usern

13、ame> ACCOUNT LOCK;實(shí)施目的限制可以登陸數(shù)據(jù)庫用戶的個(gè)數(shù)，降低風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫管理員確認(rèn)后，確定某些用戶不需要具有DBA的權(quán)限再實(shí)施回退方案對(duì)鎖定用戶進(jìn)行解鎖：sql>ALTER USER <username> ACCOUNT UNLOCK;實(shí)施主機(jī)操作編號(hào)Oracle-02003操作名稱刪除確定不使用的數(shù)據(jù)庫用戶實(shí)施方案用以下命令刪除確定不使用的數(shù)據(jù)庫用戶：sql>DROP USER <username> CASCADE;實(shí)施目的限制可以登陸數(shù)據(jù)庫用戶的個(gè)數(shù)，降低風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫管理員確認(rèn)后，確定某些用戶沒有存在必要再實(shí)施

14、。并對(duì)用戶相關(guān) 信息及所有對(duì)象備份?；赝朔桨钢匦陆⒂脩簦簊ql>CREATE USER <username> < 相關(guān)參數(shù) >實(shí)施主機(jī)操作編號(hào)Oracle-02004操作名稱設(shè)置口令安全策略實(shí)施方案下面是一個(gè)完整的創(chuàng)建概要文件的實(shí)例sql語句：sql>CREATE PROFILE <pro>LIMIT CPU_PER_SESSION 1000CPU_PER_CALL1000CONNECT_TIME 30COMPOSITE_LIMIT 1000000FAILED_LOGIN_A TTEMPTS 10PASSWORD_REUSE_MAX UNLIM

15、ITEDPASSWORD_REUSE_TIME 120PASSWORD_VERIFY_FUNCTION DEFAULT;更改參數(shù)實(shí)例：sql>ALTER PROFILE <pro> LIMIT FAILED_LOGIN_ATTEMPTS=3;為一個(gè)具體用戶分配概要文件 ：sql>ALTER USER <username> PROFILE <pro>實(shí)施目的控制單個(gè)用戶消耗的系統(tǒng)資源數(shù)量，并進(jìn)行與密碼有關(guān)的限制。實(shí)施風(fēng)險(xiǎn)口令到期后，普通帳號(hào)會(huì)不能登陸數(shù)據(jù)庫，必須用SYS帳號(hào)解除鎖定。當(dāng)有人惡意嘗試登陸某一用戶到一定次數(shù)時(shí)，會(huì)導(dǎo)致該用戶鎖定，可能會(huì)對(duì)

16、該用戶的正常使用造成威脅?；赝朔桨富謴?fù)默認(rèn)配置更改參數(shù)實(shí)例：sql>ALTER PROFILE <pro> LIMIT FAILED_LOGIN_ATTEMPTS=3;實(shí)施主機(jī)操作編號(hào)Oracle-02005操作名稱回收用戶多余的 DBA角色實(shí)施方案用以下命令回收用戶的 DBA角色：sql>REVOKE DBA FROM <username>實(shí)施目的對(duì)數(shù)據(jù)庫系統(tǒng)權(quán)限分配進(jìn)行控制。實(shí)施風(fēng)險(xiǎn)和數(shù)據(jù)庫管理員確認(rèn)后，確定某些用戶不需要具有DBA的權(quán)限再實(shí)施?；赝朔桨钢刂孟嚓P(guān)用戶：sql>GRANT DBA TO <username>實(shí)施主機(jī)操作編號(hào)

17、Oracle-02006操作名稱回收用戶不需要的權(quán)限實(shí)施方案用以下命令回收用戶不需要的權(quán)限：sql>REVOKE privs_name > ON <schema>.<object_nameFROM <username；實(shí)施目的對(duì)數(shù)據(jù)庫系統(tǒng)權(quán)限分配進(jìn)行控制。實(shí)施風(fēng)險(xiǎn)如沒有完全確認(rèn)，可能導(dǎo)致某些應(yīng)用功能失效?；赝朔桨钢刂孟嚓P(guān)用戶sql>GRANT privs_name > ON <schema>.<object_nameTO <username；實(shí)施主機(jī)網(wǎng)絡(luò)連接加固操作編號(hào)Oracle-03001操作名稱設(shè)置SQLPLUS登錄

18、認(rèn)證方式為口令認(rèn)證方式實(shí)施方案1、把 INIT.ORA 中 REMOTE_LOGIN_PASSWORD 設(shè)置為 EXCLUSIVE 或 SHARED.使用EXCLUSIVE 表示只有當(dāng)前INSTANCE使用這個(gè) password文 件。而且允許有別的用戶作為 sysdba登錄進(jìn)系統(tǒng)；選擇 SHARED，則表明不 止一個(gè)實(shí)例使用這個(gè)密碼文件， 同時(shí)sysdba權(quán)限只能授予sys和internal這兩 個(gè)用戶名。2、將 sqlnet.ora 文件中 SQLNET.AUTHENTICATION .SERVICES 設(shè)置為 NONE，默認(rèn)設(shè)置是NTS3、 用orapwd命令創(chuàng)建口令文件，如果不知參數(shù)如

19、何使用，直接鍵入orapwd 看幫助。這里說一下其中entries參數(shù)的含義：其表示有多少用戶要授予 sysdba 權(quán)限。實(shí)施目的限制獲得OS帳號(hào)的人員在沒有 ORACLE登陸密碼的時(shí)候，通過 SQLPLUS 直接連接數(shù)據(jù)庫。實(shí)施風(fēng)險(xiǎn)可能導(dǎo)致某些使用 SQLPLUS連接數(shù)據(jù)庫的腳本不可用，需要修改腳本。同 時(shí)腳本也會(huì)泄露數(shù)據(jù)庫用戶的密碼?；赝朔桨富謴?fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03002操作名稱設(shè)置TNS Listener的口令實(shí)施方案1、編輯listener.ora文件并加入下面一仃：PASSWORDS_<liste nername>=<apassword>

20、2、停止并重新啟動(dòng) Listener。$ps -fu $ORACLE_OWNER |grep Isnr |grep -v grep$ls nrctl stop $ORACLE_SID$ps -fu $ORACLE_OWNER |grep Isnr |grep -v grep$ls nrctl start $ORACLE_SID$ps -fu $ORACLE_OWNER |grep Isnr |grep -v grep3、 因?yàn)榇藭r(shí)的口令是明文的，為了安全應(yīng)進(jìn)行加密。為此，通過Liste nerControl Utility- Isnrctl 連接到 Listener:Isn rctl>s

21、et curre nt_liste ner <lis nten er_ip>Curre nt Liste ner is <liste ner>Ls nrctl>CHANGE PASSWORDOrd password:*New password:*Ree nter new password:*Lsn rctl>set passwordPassword:*Lsn rctl>save config實(shí)施目的防止其他人對(duì)Listener進(jìn)行管理。實(shí)施風(fēng)險(xiǎn)需要本地確認(rèn)后實(shí)施回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03003操作名稱修改 REMOTE_OS

22、_AUTHENT 的值為 FALSE實(shí)施方案修改參數(shù)值的方法如下：sql>ALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE;注意：需要重新啟動(dòng) ORACLE數(shù)據(jù)庫的實(shí)例才可以應(yīng)用。實(shí)施目的防止遠(yuǎn)程機(jī)器直接登陸。實(shí)施風(fēng)險(xiǎn)需要本地確認(rèn)后實(shí)施回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03004操作名稱設(shè)定IP連接限制實(shí)施方案在$ORACLE_HOMEnetworkadmi n 目錄下設(shè)置相關(guān)文件說明：8i是查看protocol.ora文件， 在9i中是sqlnet.ora文件； 文件格式：tcp.valid no de_check in g=yes#允許

23、訪問的iptcp.i nvited_ no des =(ip1,ip2,)#不允許訪問的iptcp.excluded_ no des=(ip1,ip2,)實(shí)施目的限制規(guī)定的IP范圍可以訪問數(shù)據(jù)庫系統(tǒng)。實(shí)施風(fēng)險(xiǎn)容易造成ORACLE與前臺(tái)程序無法連接，建議非獨(dú)立使用的數(shù)據(jù)庫不實(shí)施此項(xiàng)回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03005操作名稱設(shè)置傳輸方式加密實(shí)施方案在$ORACLE HOMEnetworkadmin目錄下編輯或建立 sqlnet.ora并加入類似如下內(nèi)容：sqln et.e ncrypti on _server=required | requested | accepted

24、 | rejectedsql net.e ncryption_types_server=(RC4_256, 3DES168, RC4_128, 3DES112,RC4_56, DES, RC4_40, DES40)sqlnet.crypto_seed= ” 2zOhslkdharUJCFtkwbjOLbgwsj7vkqt3bGoUylihnvkhgkdsb ds kkKGhdkl4p78hcpZr4 ”實(shí)施目的防止嗅探攻擊。實(shí)施風(fēng)險(xiǎn)無回退方案恢復(fù)默認(rèn)配置實(shí)施主機(jī)操作編號(hào)Oracle-03006操作名稱禁止網(wǎng)絡(luò)連接實(shí)施方案如果數(shù)據(jù)庫不需遠(yuǎn)程訪冋，可在本地安全策略里面禁止連接TCP 1521 端口

25、實(shí)施目的禁止網(wǎng)絡(luò)連接，防止猜解密碼攻擊，溢出攻擊和嗅探攻擊。實(shí)施風(fēng)險(xiǎn)可能導(dǎo)致某些備份軟件無法工作?；赝朔桨富謴?fù)默認(rèn)配置實(shí)施主機(jī)文件系統(tǒng)加固操作編號(hào)Oracle-04001操作名稱控制執(zhí)行文件及其目錄權(quán)限實(shí)施方案$ls - l $ORACLE_HOME|grep bin$ls - l $ORACLE_HOME/bin如果某執(zhí)行文件權(quán)限分配不嚴(yán)，則考慮執(zhí)行：$chmod 710 <>實(shí)施目的確保Oracle數(shù)據(jù)庫執(zhí)行文件不被未授權(quán)者利用、修改、刪除。實(shí)施風(fēng)險(xiǎn)如果因?yàn)樘厥庑枰獙?duì)文件權(quán)限進(jìn)行特殊設(shè)置，請?zhí)崆昂拖到y(tǒng)建立人員確認(rèn)?；赝朔桨富謴?fù)默認(rèn)權(quán)限實(shí)施主機(jī)操作編號(hào)Oracle-04002操作

26、名稱控制數(shù)據(jù)文件的權(quán)限實(shí)施方案$cd $ORACLE_HOME/dbs/ $ls l *.dbf檢查權(quán)限，如果不是 rw-,則Chmod 600 *.dbf實(shí)施目的確保Oracle數(shù)據(jù)文件不被未授權(quán)者利用、復(fù)制、修改、刪除。實(shí)施風(fēng)險(xiǎn)如果有特殊需要，改成 622回退方案恢復(fù)默認(rèn)權(quán)限實(shí)施主機(jī)操作編號(hào)Oracle-04003操作名稱米用加密備份文件的備份方式實(shí)施方案如果是采用直接復(fù)制數(shù)據(jù)庫文件的方式備份，建議采用工具RMAN ( RecoveryMan ager )進(jìn)行備份，以保證備份出來的文件是加密的。實(shí)施目的防止他人獲得備份文件后，查看其內(nèi)容。實(shí)施風(fēng)險(xiǎn)無，但是可能會(huì)有一疋的工作量?；赝朔桨钢匦虏?/p>

27、用以前的方式備份實(shí)施主機(jī)日志審核增強(qiáng)操作編號(hào)Oracle-05001操作名稱啟用數(shù)據(jù)庫審計(jì)功能實(shí)施方案修改系統(tǒng)參數(shù)如下記錄到數(shù)據(jù)庫：sql>ALTER SYSTEM AUDIT_TRAIL=DB; 或修改系統(tǒng)參數(shù)如下記錄到系統(tǒng)日志：sql>ALTER SYSTEM AUDIT_TRAIL=OS;實(shí)施目的記錄審計(jì)日志至數(shù)據(jù)庫或系統(tǒng)日志。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置sql>ALTER SYSTEM AUDIT_TRAIL=NONE;實(shí)施主機(jī)編號(hào)Oracle-05002名稱對(duì)失敗或成功的登陸記錄開啟審計(jì)實(shí)施方案sql>AUDIT SESSION WHEN

28、EVER NOT SUCCESSFUL;sql>AUDIT SESSION WHENEVER SUCCESSFUL;實(shí)施目的對(duì)系統(tǒng)的用戶登陸情況進(jìn)行記錄，作為查詢異常事件的線索。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置，使用禁止會(huì)話審核命令sql>NOAUDIT SESSION;實(shí)施主機(jī)操作編號(hào)Oracle-05003操作名稱保護(hù)審計(jì)操作記錄表實(shí)施方案sql>AUDIT ALL ON SYS.AUD$ BY ACCESS;實(shí)施目的對(duì)審計(jì)記錄本身的操作進(jìn)行記錄，防止?jié)B透者修改、刪除。實(shí)施風(fēng)險(xiǎn)會(huì)對(duì)系統(tǒng)性能有一定影響回退方案恢復(fù)默認(rèn)配置，使用禁止會(huì)話審核命令sql>

29、NOAUDIT ALL ON SYS.AUD$ BY ACCESS;實(shí)施主機(jī)4、Apache相關(guān)問題加固步驟4.1由于HP服務(wù)器在2301端口上開放用于管理的System Management Homepage，對(duì)于此類Apache問題，需要將相應(yīng)管理功能關(guān)閉，需要使用的時(shí)候再打開。4.2 對(duì)于 Apache tomcat 默認(rèn)賬戶，編輯 tomcat 安裝目錄下的 conf/users/admin-users.xml 文件，修改其中默認(rèn)賬戶的密碼即可4.3補(bǔ)丁安裝步驟：首先停止現(xiàn)有的 Apache服務(wù)，然后根據(jù)不同操作系統(tǒng)，按照下述步驟進(jìn)行新版本安裝, 并在安裝完后配置 Apache配置文件

30、Aix升級(jí)最新Apache下載地址：下載最新的源碼包 UNIX httpd.tar.gz# gun zip httpd.tar.gz# tat xvf httpd.tar# cd httpd# ./c on figure -e nable-module=shared -e nable-module=so -e nable-dav=shared -e nable-dav-fs=shared -prefix=/usr/local/apache2 -e nable-ma intain er-mode# make# make in stallSolaris 升級(jí)最新Apache下載地址：下載最新的源碼

31、包UNIX httpd.tar.gz# gun zip httpd.tar.gz# tar xvf httpd.tar# cd httpd# ./c on figure -prefix=/usr/local/apache2 -e nable-mods-shared=all -e nable-ssl=shared -e nable-ssl -with-ssl=/usr/local/ssl -e nable-proxy -e nable-proxy-c onnect -e nable-proxy-ftp -e nable-proxy-http# make# make in stallHP-UX升級(jí)

32、最新Apache下載地址：下載最新的源碼包UNIX httpd.tar.gz# tar xvf httpd.tar.gz# ./con figure-prefix=/home/p ntest3/app/apache2-e nable-so-e nable-dav# make# make in stallLinux升級(jí)最新Apache下載地址：下載最新的源碼包UNIX httpd.tar.gz# tar xvf httpd.tar.gz# ./con figure-prefix=/usr/local/apache2-e nable-so-e nable-ssl# make# make in st

33、allWin dows 升級(jí)最新Apache下載地址：下載最新的安裝文件httpd.msi運(yùn)行httpd.msi文件，通過安裝向?qū)нM(jìn)行安裝和升級(jí)5、關(guān)閉不安全的服務(wù)5.1 CDE dtspcd 服務(wù)通用桌面環(huán)境(CDE)是一個(gè)可在UNIX和Linux操作系統(tǒng)中運(yùn)行的綜合的圖形用戶界面, 加固前應(yīng)首先確認(rèn)目前系統(tǒng)是否不需要此服務(wù)。操作步驟如下：1. 轉(zhuǎn)變成root用戶$ su -#2. 關(guān)閉dtspcd服務(wù)打開/etc/inetd.conf文件，找到如下行：dtspc stream tcp no wait root /usr/dt/b in /dtspcd /usr/dt/b in /dtspc

34、d在該行的開始處增加"#"號(hào)來將其注釋：#dtspc stream tcp no wait root /usr/dt/b in/dtspcd /usr/dt/b in /dtspcd/保存修改，退出編輯器。3. 禁止dtspcd的執(zhí)行權(quán)限# chmod 000 /usr/dt/bi n/dtspcd4. 重新啟動(dòng) inetd# ps -ef|grep inetdroot 167 1 0 Oct 07 ? 0:07 /usr/sbin/inetd -s -t# kill -HUP 167 （ 上面的例子中， 167 是 inetd 的 pid）5.2 rlogin 服務(wù)/rlogin 服務(wù)的操作步驟參考 CDE dtspcd 服務(wù)操作步驟6、sendmail 加固步驟6.1 方法 1：如果 sendmail 服務(wù)不是系統(tǒng)運(yùn)行必須的， 建議關(guān)閉此服務(wù)， 并在 cron 中設(shè)置 定期運(yùn)行，步驟如下：停止服務(wù)（ HP-UX ） :mv /sbin/rc3.d/Sxxs