當前已經進入了互聯網+的時代,幾乎絕大部分商家、企業、甚至國企央企都在拓展互聯網業務,經濟的飛速發展,人民生活水平提高,人們都忙於工作沒有時間和精力去享受經濟帶來的福利,而網絡業務能夠給大衆提供更加方便快捷的服務,所以引得互聯網更加的火熱。但是快捷背後時候存在着諸多的安全隱患,在巨大利益的引誘下許多商家大量的投入人力、財力去發展互聯網業務,卻極少重視它的安全穩定,千里之堤毀於蟻穴,信息安全的建設不是一朝一夕,而是循序漸進,防微杜漸。
那麼本篇文章主要介紹的就是從最基本的安全角度出發,來規範和完善系統的安全問題,主要針對的是Cisco交換機、Juniper防火牆、mysql數據庫、linux服務器,本篇文章主要介紹的Cisco核心交換機、寫的不好,後續還會繼續更新,請大家多多指導。
安全基線(BaseLine):是保持信息系統安全的機密性、完整性、可用性的最小安全控制,是系統的最小安全保證,最基本的安全要求。安全基線 的根本目的是保障業務系統的安全,使業務系統的風險維持在可控範圍內,爲了避免人爲疏忽或錯誤,或使用默認的安全配置,給業務系統安全造成風險,而制定安全檢查標準,並且採取必要的安全檢查措施,使業務系統達到相對的安全指標要求。安全基線檢查工具是採用技術手段,自動完成安全配置檢查的產品,並提供詳盡的解決方案。
第一、思科核心交換機安全基線整改建議
一、口令策略
總結:用戶登錄是否啓用AAA認證,本地用戶是否有lever,snmp是否有ip訪問限制,遠程登錄限制ip
1.使用認證服務器認證
#show running-config | include aaa
判定依據
1、已配置aaa認證服務器,實現用戶認證。
2、已配置aaa認證服務器,實現enable認證。
以上條件需同時滿足。
參考配置操作
1、Cisco(config)#aaa new-model
2、Cisco(config)#aaa authentication login default group <server> local #<server>爲認證服務器名稱(首先通過認證服務器認證,認證服務器認證失敗的情況下通過本地認證。)
3、Cisco(config)#aaa authentication enable default group <server> enable
4、Cisco(config)#end
5、Cisco#write
2.VTY端口訪問的認證
檢測方法
執行如下命令檢測遠程登陸認證
#show running-config | include aaa
判定依據
登陸認證未設置爲none則合規,否則不合規
3.遠程主機IP地址段限制
檢測方法
執行如下命令檢測vty口配置信息
#show running-config | begin line vty
判定依據
vty端口已綁定ACL則合規,否則不合規。
參考配置操作
1、Cisco(config)#access-list <tag> <access-list> #<tag>表示access-list標號,<access-list>表示ACL規則內容。
2、Cisco(config)#line vty <num1> [<num2>] #<num1>、<num2>(可選)表示要配置的vty起止序號。
3、Cisco(config-line)#access-class <tag> <in/out> #<in/out>表示要過濾的連接的類型。
4、Cisco(config-line)#end
5、Cisco#write
4.限制可發起SNMP的源IP
檢測方法
執行如下命令檢測snmp團體名配置信息
#show running-config | include snmp-server community
判定依據
所有SNMP community均已綁定ACL則合規,否則不合規。
參考配置操作
1、Cisco(config)#access-list <tag> <access-list> #<tag>表示access-list標號,<access-list>表示acl規則內容。
2、Cisco(config)#snmp-server community <name> <ro/rw> <tag> #<name>表示community名稱,<ro/rw>表示分配的權限。
3、Cisco(config)#end
4、Cisco#write
5.對用戶設置授權等級
#show running-config | include username
參考配置操作
1、Switch(config)#username <username> privilege <level> #<username>用戶名,<level>權限級別。
2、Switch(config)#end
3、Switch#write
6.已對命令設置授權等級
檢測方法
執行如下命令,檢測命令授權信息
#show running-config | include ^privilege
判定依據
1、對命令"snmp-server"設置了授權等級
2、對命令"ping"設置了授權等級
3、對命令"configure"設置了授權等級
以上三個條件均滿足則合規,否則不合規。
參考配置操作
1、Cisco(config)#privilege configure level 7 snmp-server #對snmp-server命令設置授權等級
2、Cisco(config)#privilege exec level 7 ping #對ping命令設置授權等級
3、Cisco(config)#privilege exec level 7 configure #對configure命令設置授權等級
4、Cisco(config)#end
5、Cisco#write
二、認證授權
總結:禁止ip-mask-reply不返回ping值,log日誌服務器,log發送的source-interface,log緩衝區禁止向控制檯溢出,啓用aaa審計功能
1.關閉不必要的功能-禁用IP mask-reply(掩碼應答)
#show running-config interface <interface_name>
判定依據
已禁用IP mask-reply則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> # <InterfaceName> 表示接口名稱。
2、Ciscoconfig-if)#no ip mask-reply
3、Cisco(config-if)#end
4、Cisco#write
2.日誌存儲位置
檢測方法
執行如下命令檢測系統日誌配置
#show running-config | include logging
判定依據
已禁止系統日誌向控制檯輸出則合規,否則不合規。
參考配置操作
1、Cisco(config)#logging host <ip地址> #<ip地址>爲遠程日誌服務器地址。
2、Cisco(config)#end
3、Cisco#write
3.調整系統日誌的緩衝區大小
檢測方法
執行如下命令檢測日誌緩衝區大小配置
#show running-config | include logging buffered
判定依據
系統日誌緩衝區大小,不小於2048000則合規,否則不合規。
參考配置操作
1、Cisco(config)#logging buffered <size> #其中<size>表示緩衝區大小。
2、Cisco(config)#end
3、Cisco#write
4.配置發送系統日誌的源地址
檢測方法
執行如下命令檢測系統日誌中的源地址配置
#show running-config | include logging source-interface
判定依據
系統日誌中的源地址配置爲loopback地址則合規,否則不合規。
參考配置操作
1、Cisco(config)#logging source-interface loopback0
2、Cisco(config)#end
3、Cisco#write
5.禁止系統日誌向控制檯輸出
檢測方法
執行如下命令檢測系統日誌設置
#show running-config | include logging console
判定依據
禁止系統日誌向控制檯輸出則合規,否則不合規。
參考配置操作
1、Cisco(config)#no logging console
2、Cisco(config)#end
3、Cisco#write
6.使用認證服務器審計系統行爲
檢測方法
執行如下命令檢測認證服務器審計行爲
#show running-config | include aaa accounting
判定依據
已配置使用認證服務器對系統行爲進行審計則合規,否則不合規。
參考配置操作
1、Cisco(config)#aaa accounting system default start-stop group <server> #<server>爲認證服務器名稱。
2、Cisco(config)#end
3、Cisco#write
三、文件權限
總結:啓用ntp服務,ntp做acl,關閉TCP Small,UDP Small服務,配置對SQL slammer蠕蟲的防護,配置對Della蠕蟲的防護,配置對震盪波端口及Blaster端口的防護,關閉的端口禁用cdp協議,PROXYARP,
全局禁用HTTP Server,禁用DNS查詢服務,會話超時配置(console和vty),禁用Finger服務(默認關閉),IPUnreachables(不顯示不可達,顯示超時,損!!!),禁用IP Redirects(必須經過網關)
禁用IP source-route(默認關閉),關閉IP直接廣播(默認關閉),開啓的端口配置報文速率限制,開啓STP功能,未關閉的端口指定 switchport 模式,配置爲trunk口的VLAN都有允許列表
配置預防源地址僞造***(默認關閉,否啓用uRPF),對設備引擎直接處理的流量進行控制(contro-plane下是否配置service-policy,ip receive access-list比較複雜),關閉LACP,pagp
關閉flowcontrol,配置ARP***防護(mac 認證),典型協議報文防護(hsrp,vrry認證有祕鑰)
1.配置啓用NTP服務
檢測方法
執行如下命令檢測ntp配置
#show running-config | include ntp
判定依據
已配置NTP同步時鐘則合規,否則不合規。
參考配置操作
1、Cisco(config)#ntp server <ip> #<ip>表示NTP服務器IP
2、Cisco(config)#end
3、Cisco#write
2.關閉不必要的服務-禁用TCP Small服務
檢測方法
執行如下命令檢測UDP Small服務狀態
#show running-config | include tcp-small-servers
判定依據
TCP Small服務被關閉則合規,否則不合規。
參考配置操作
1、Cisco(config)#no service tcp-small-servers
2、Cisco(Config-if)#end
3、Cisco#write
3.已知典型***防護
檢測方法
1、執行如下命令檢測ACL規則配置信息
(1)、#show access-lists
2、執行如下命令檢測 vlan 和物理接口配置信息
(1)、#show running-config | begin interface
判定依據
1、已配置對SQL slammer蠕蟲的防護
2、已配置對Della蠕蟲的防護
3、已配置對震盪波端口及Blaster端口的防護
以上三個條件同時滿足時則合規,否則不合規。
參考配置操作
1、配置對SQL slammer蠕蟲的防護
(1)、Cisco(config)#access-list <tag> deny udp any any eq 1434 #<tag>表示access-list標號
2、應配置對Della蠕蟲的防護
(1)、Cisco(config)#access-list <tag> deny tcp any any eq 445 #<tag>表示access-list標號
(2)、Cisco(config)#access-list <tag> deny tcp any any eq 5800
(3)、Cisco(config)#access-list <tag> deny tcp any any eq 5900
3、應配置對震盪波端口及Blaster端口的防護
(1)、Cisco(config)#access-list <tag> deny tcp any any eq 5554 #<tag>表示access-list標號
(2)、Cisco(config)#access-list <tag> deny tcp any any eq 9996
(3)、Cisco(config)#access-list <tag> deny tcp any any eq 4444
4、配置指定接口的ACL
(1)、Cisco(config)#interface <InterfaceName> #接口名稱
(2)、Cisco(config-if)#ip access-group <tag> in
(3)、Cisco(config-if)#end
(4)、Cisco#write
5.應關閉所有接口的CDP協議
檢測方法
1、執行如下命令檢測全局配置下是否關閉cdp協議
(1)、#show running-config | include cdp
2、執行如下命令接口檢測配置信息
(1)#show running-config | begin interface
判定依據
1、全局配置下關閉cdp協議
2、所有未關閉的接口均已關閉cdp協議
以上兩個條件滿足其一則合規,否則不合規。
參考配置操作
1、Cisco(Config)#no cdp run
2、Cisco(Config)#interface <interface> #<interface>表示接口名稱。
3、Cisco(Config-if)# no cdp enable
4、Cisco(Config-if)#end
5、Cisco#write
6.關閉不必要的功能禁用-PROXYARP
檢測方法
執行如下命令檢測arp 代理狀態
#show running-config interface <interface_name>
判定依據
arp 代理被禁用則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #<InterfaceName> 表示接口名稱
2、Cisco(config-if)#no ip proxy-arp
3、Ciscoh(Config-if)#end
4、Cisco#write
7.關閉不必要的服務-禁用HTTP Server
檢測方法
執行如下命令檢測http server狀態
#show running-config | include http
判定依據
已關閉http server則合規,否則不合規。
參考配置操作
1、Cisco(config)#no ip http server
2、Cisco(Config)#end
3、Cisco#write
8.關閉不必要的服務-禁用DNS查詢服務
檢測方法
執行如下命令檢測是否禁用DNS查詢服務
#show running-config | include domain-lookup
判定依據
已禁用DNS查詢服務則合規,否則不合規。
參考配置操作
1、Cisco(config)#no ip domain-lookup
2、Cisco(Config-if)#end
3、Cisco#write
9.會話超時配置
檢測方法
執行如下命令檢測console口和所有vty端口的會話超時配置信息
#show running-config | begin line
判定依據
cisco交換機默認會話超時配置爲10分鐘
1、console口不存在如下配置 exec-timeout 0 0
2、所有vty端口不存在如下配置 exec-timeout 0 0
條件1和條件2均滿足則合規,否則不合規。
參考配置操作
1、console口會話超時配置
(1)、Cisco(config)#line console 0
(2)、Cisco(config-line)#exec-timeout <mins> [<seconds>] #<mins>單位爲分,<seconds>單位爲秒。
2、vty口會話超時配置
(1)、Cisco(config)#line vty <num1> [<num2>] #<num1>,<num2>(可選)表示要配置的vty起止序號。
(2)、Cisco(config-line)#exec-timeout <mins> [<seconds>]
(3)、Cisco(config-line)#end
(4)、Cisco#write
10.關閉不必要的服務-禁用UDP Small服務
檢測方法
執行如下命令檢測UDP Small服務狀態
#show running-config | include udp-small-servers
判定依據
已關閉UDP Small服務則合規,否則不合規。
參考配置操作
1、Cisco(config)#no service udp-small-servers
2、Cisco(Config-if)#end
3、Cisco#write
11.關閉不必要的服務-禁用Finger服務
檢測方法
執行如下命令檢測Finger服務狀態
#show running-config | include finger
判定依據
已關閉Finger服務則合規,否則不合規。
參考配置操作
1、Cisco(config)#no ip finger
2、Cisco(Config)#end
3、Cisco#write
12.關閉不必要的功能-禁用IPUnreachables
檢測方法
執行如下命令檢測ip unreachable功能是否禁用
#show running-config | include unreachables
判定依據
接口已禁用unreachables功能則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName>
2、Cisco(config-if)#no ip unreachables
3、Cisco(Config-if)#end
4、Cisco#write
13.關閉不必要的功能-禁用IP Redirects
檢測方法
執行如下命令檢測ICMP重定向功能
#show running-config interface <interface_name>
判定依據
ICMP重定向功能被禁用則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #<InterfaceName> 表示接口名稱。
2、Cisco(config-if)#no ip redirects
3、Cisco(Config-if)#end
4、Cisco#write
14關閉不必要的功能-禁用IP source-route
檢測方法
執行如下命令檢測是否開啓source-route服務
#show running-config | include source-route
判定依據
已關閉source-route服務則合規,否則不合規
參考配置操作
1、Cisco(config)#no ip source-route #關閉source-route服務。
2、Cisco(config)#end
3、Cisco#write
15.關閉IP直接廣播
檢測方法
執行如下命令檢測ip directed-broadcast配置
#show running-config | include directed-broadcast
判定依據
所有接口均關閉ip directed-broadcast則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> 關閉指定接口的ip directed-broadcast
2、Cisco(config-if)#no ip directed-broadcast
3、Cisco(config-if)#end
4、Cisco#write
16.限制NTP通信地址範圍
檢測方法
執行如下命令檢測ntp配置
#show running-config | include ntp access-group
判定依據
已配置通過ACL限制NTP服務器和設備之間的通信則合規,否則不合規。
參考配置操作
1、Cisco(config)#ntp access-group peer <tag> #<tag>表示access-list標號。
2、Ciscoh(config)#end
3、Cisco#write
17報文速率限制
檢測方法
執行如下命令檢測物理接口配置
#show running-config | begin interface
判定依據
所有處於未關閉狀態的物理接口均配置廣播/組播/未知單播報文速率限制則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #配置指定接口
2、Cisco(config-if)#storm-control broadcast level <threshold> #配置廣播報文限制
3、Cisco(config)#interface <InterfaceName> #配置指定接口
4、Ciscoh(config-if)#storm-control multicast level <threshold> #配置組播報文限制
5、Cisco(config)#interface <InterfaceName> # 配置指定接口
6、Cisco(config-if)#storm-control unicast level <threshold> #配置單播報文限制
7、Cisco(config-if)#end
8、Cisco#write
18.開啓STP功能
檢測方法
執行如下命令檢測STP模式
#show spanning-tree summary
判定依據
STP模式爲pvst則合規,否則不合規。
1、Cisco(config)#spanning-tree mode pvst
2、Cisco(config-if)#end
3、Cisco#write
19.關閉未使用的管理口
檢測方法
執行如下命令檢測接口狀態
#show interfaces | include protocol
判定依據
沒有使用的接口都被關閉則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <接口>
2、Cisco(config-if)#shutdown #關閉未使用的接口。
3、Cisco(config-if)#end
4、Cisco#write
20.配置端口安全防護
執行如下命令檢測物理接口配置
#show running-config | begin interface
判定依據
所有處於未關閉狀態的物理接口都指定 switchport 模式則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #配置指定物理接口的switchport模式
2、Cisco(config-if)#switchport mode <mode> #<mode>接口類型爲Access或者trunk
3、Cisco(config-if)#end
4、Cisco#write
21.配置MAC***防護
測方法
執行如下命令檢測物理接口配置
#show running-config | begin interface
判定依據
所有處於未關閉狀態且類型爲access的物理接口都已配置允許最大的地址數目則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #配置指定接口允許的最大地址數。
2、Cisco(config-if)#switchport port-security maximum <num> #<num>表示最大地址數。
3、Cisco(config-if)#end
4、Cisco#write
22.配置VLAN***防護
檢測方法
執行如下命令檢測物理接口配置
#show running-config | begin interface
判定依據
所有處於未關閉狀態的 trunk 模式的物理接口都已配置允許的 VLAN id 則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #進入指定接口
2、Cisco(config-if)#switchport trunk allowed vlan <vlanid> #配置trunk模式的接口允許的VLAN。
3、Cisco(config-if)#end
4、Cisco#write
23.限制非法數據流
檢測方法
1、執行如下命令查看ACL配置信息
(1)、#show access-lists
2、執行如下命令檢測 vlan 和物理接口配置信息
(1)、#show running-config | begin interface
判定依據
1、配置acl規則過濾非法流量數據
2、所有未關閉的物理接口均已下發ACL規則
以上兩個條件同時滿足時合規,否則不合規。
24.配置預防源地址僞造***(默認關閉)
檢測方法
執行如下命令檢測接口下是否啓用uRPF
#show running-config | include ip verify
判定依據
所有未關閉的物理接口都已啓用uRPF則合規,否則不合規。
參考配置操作
Cisco(config)#interface <InterfaceName> #<InterfaceName>表示接口名稱。
Cisco(config-if)#ip verify unicast source reachable-via any
Cisco(config-if)#end
Cisco#write
25.對設備引擎直接處理的流量進行控制
檢測方法
1、執行如下命令檢測 contro-plane下是否配置service-policy
(1)、#show running-config | include ^(control-plane|service-policy)
2、執行如下命令檢測是否配置 ip receive access-list
(1)、#show running-config | include ip receive access-list
判定依據
1、contro-plane下已配置service-policy
2、已配置ip receive access-list
以上兩個條件均滿足則合規,否則不合規。
26.關閉不必要的協議-LACP
檢測方法
執行如下命令檢測接口配置信息
#show running-config | begin interface
判定依據
所有接口均已關閉 LACP 協議則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <interface> 接口名稱
2、Cisco(config-if)# no lacp port-priority
3、Cisco(config-if)#end
4、Cisco#write
27.關閉不必要的協議-PAgP
檢測方法
執行如下命令檢測接口配置信息
#show running-config | begin interface
判定依據
所有接口均已關閉 PAGP 協議則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <interface> #<interface>表示接口名稱。
2、Cisco(config-if)#no pagp learn-method
3、Cisco(config-if)#end
4、Cisco#write
28.關閉不必要的協議-flowcontrol
檢測方法
執行如下命令檢測接口配置信息
#show running-config | begin interface
判定依據
所有接口均已關閉 flowcontrol 協議則合規,否則不合規。
參考配置操作
1、Cisco(Config)#interface <interface> #<interface>表示接口名稱。
2、Cisco(Config-if)#flowcontrol receive off
3、Cisco(Config-if)#end
4、Cisco#write
29.配置ARP***防護
檢測方法
執行如下命令檢測接口配置信息
#show running-config | begin interface
判定依據
所有類型爲 access 的未關閉的物理接口都配置ARP***防護則合規,否則不合規。
參考配置操作
1、Cisco(config)#interface <InterfaceName> #<InterfaceName> 表示接口名稱
2、Cisco(config-if)#switchport port-security violation restrict
3、Cisco(Config-if)#end
4、Cisco#write
30.典型協議報文防護
檢測方法
、執行如下命令查看是否配置HSRP報文防護
#show running-config | include standby
二、執行如下命令查看是否配置VRRP報文防護
#show running-config | include vrrp
判定依據:
1)配置了HSRP報文防護
2)配置了VRRP報文防護
以上兩個條件同時滿足則合規,否則不合規.
參考配置操作
1、配置HSRP報文防護
(1)、Cisco(config)#interface <InterfaceName>
(2)、Cisco(config-if)#standby 1 authentication md5 key-string <key>
2、配置VRRP報文防護
(1)、Cisco(config)#interface <InterfaceName>
(2)、Cisco(config-if)#vrrp 1 authentication md5 key-string <key>
(3)、Cisco(config-if)#end
(4)、Cisco#write
四、系統服務
總結:遠程登錄只能使用ssh,snmp的community在監控時不能爲默認需要修改爲public或者private,snmpv3開啓(如果支持),snmp需要aaa認證審計
1.SNMP配置-修改SNMP的默認Community
檢測方法
執行如下命令檢測snmp團體名配置信息
#show running-config | include snmp-server community
判定依據
不存在名稱爲public、private的SNMP community,則合規,否則不合規。
參考配置操作
1、Cisco(config)#no snmp-server community public 刪除名稱爲public的SNMP commnity
2、Cisco(config)#end
3、Cisco#write
2.遠程管理通信安全-SSH
檢測方法
1、執行如下命令檢測ssh協議配置信息
(1)、#show ip ssh
2、執行如下命令查看vty接口配置信息
(1)、#show running-config | begin line vty
判定依據
1、已啓用ssh加密協議
2、只允許使用ssh協議訪問vty接口
3、以上條件需同時滿足。
參考配置操作
1、Cisco(config)#ip domain-name <domain_name> #配置域名 <domain_name>域名名稱可自定義
2、Cisco(config)#aaa new-model
3、Cisco(config)#crypto key generate rsa
4、Cisco(config)#line vty 0 4
5、Cisco(config-line)#transport input ssh #配置僅允許ssh遠程登錄
6、Cisco(config-line)#end
7、Cisco#write
3.SNMP服務讀寫權限管理
檢測方法
執行如下命令檢測snmp團體名配置信息
#show running-config | include snmp-server community
判定依據
所有SNMP community的權限均爲ro,則合規,否則不合規。
參考配置操作
1、Cisco(config)#snmp-server community <name> <RO> [<tag>] #<name>表示community名稱,<RO/RW>表示分配的權限,<tag>表示access-list標號。
2、Cisco(config)#end
3、Cisco#write
4.VTY端口防護策略
檢測方法
執行如下命令檢測vty端口配置信息
#show running-config | begin line vty
判定依據
vty接口數量小於等於 15 則合規,否則不合規。
5.使用SNMP V3版本
檢測方法
執行如下命令檢測SNMP協議配置信息
#show running-config | include snmp-server host
判定依據
對於支持SNMP V3版本的設備,必須使用V3版本SNMP協議,對於不支持v3版本協議的設備建議通過自定義參數的方式修改其標準值爲1或者2c。
參考配置操作
1、Cisco(config)#snmp-server host <ip> version 3 auth <username> #其中<ip>表示IP,<username>表示用戶名。
2、Cisco(config-line)#end
3、Cisco#write
6.使用認證服務器審計設備操作
檢測方法
執行如下命令檢測認證服務器審計行爲
#show running-config | include aaa accounting
判定依據
已配置使用認證服務器對設備操作進行審計則合規,否則不合規。
參考配置操作
1、Cisco(config)#aaa accounting exec default start-stop group <server> #<server>爲認證服務器名稱。
2、Cisco(config)#end
3、Cisco#write
四、賬號管理
總結:遠程登錄有提示信息,兩個以上用戶名密碼,密碼加密存放,不存在平常不用的賬號,console密碼最好有
1.修改缺省BANNER,未配置banner login則合規,否則不合規。
#show running-config | include banner
參考配置操作
1、Cisco(config)#banner <options> #<options>表示banner命令的參數
2、Cisco(config)#end
3、Cisco#write
2.配置console口密碼保護,console口已配置密碼則合規,否則不合規。
#show running-config | begin line con
參考配置操作
1、Cisco(config)#line console 0
2、Cisco(config-line)#login local
3、Cisco(config-line)#password <password> #<password>爲console口密碼
4、Cisco(config-line)#end
5、Cisco#write
3.避免共享賬號
#show running-config | include username
參考配置操作
1、Cisco(config)# username <username> privilege <level> password <password> #<username>用戶名、<level>權限級別、<password>用戶口令。
2、Cisco(config)# end
3、Cisco#write
4.禁止無關賬號(人工確認)
5.管理默認賬號與口令,不存在cisco默認賬號則合規,否則不合規。
#show running-config | include username
6.口令加密
1、執行如下命令檢測enable和用戶口令是否加密存放
(1)、#show running-config | include ^(enable|username.*)
2、執行如下命令檢測是否啓用密碼加密服務
#show running-config | include password-encryption
判定依據
1、啓用密碼加密服務
2、enable密碼加密存放
3、用戶口令加密存放
條件1必須滿足,條件2和3滿足其一則合規,否則不合規
後續將更新juniper防火牆、mysql數據庫、linux服務器,請大家多多關注。