当安骑士基线检查功能检测到并提示您服务器上存在的风险项时,您可以参考本文档中的风险项修复建议为您的服务器进行安全加固。

SSH 登录配置项设置

修改登录端口为非默认22端口
  1. 在您的 Linux 系统服务器上,执行vim /etc/ssh/sshd_config,修改该配置文件。
  2. 定位到#Port 22这一行,删除前面的 # 号,然后修改 22 为您更换后的端口号。

    例如,将该行修改为 Port 50000。

  3. 修改完成后,按 ECS 键进入命令模式并输入 :wq 保存修改。
  4. 执行service sshd restart或者/etc/init.d/sshd restart命令,重启 sshd 服务即可。
修改 PermitRootLogin 禁止 root 账号通过 SSH 远程登录
  1. 在您的 Linux 系统服务器上,执行vim /etc/ssh/sshd_config,修改该配置文件。
  2. 定位到PermitRootLogin yes这一行,修改为PermitRootLogin no
  3. 修改完成后,按 ECS 键进入命令模式并输入 wq 保存修改。
  4. 执行service sshd restart或者/etc/init.d/sshd restart命令,重启 sshd 服务即可。

进程权限配置不当

该检测项主要检查 webserver 和数据库服务是否以 root 或 system 权限(Linux 系统)、administrator 或 system 权限(Windows 系统)运行。如果安骑士基线检查检测到对应的风险项,您可参考以下步骤对相应的 webserver 或数据库进行降权处理。

Windows 系统
  1. 在您的 Windows 系统服务器上,打开任务管理器,查看 websever 或数据库进程所对应的用户名是否为 administrator 或 system,如果是则需要降权处理。
  2. 创建一个一般权限的账号。
  3. 赋予该账号 webserver 或数据库运行目录的读写权限。
  4. 登录该账号,启动 webserver 或数据库应用。

Linux 系统

Linux 系统服务器对于Nginx、Apache、MySQL 等应用通过源码编译方式即可修复该风险项。

对于Memcache、MongoDB、Redis 等应用,您可以参考 Windows 系统中的操作步骤进行降权处理。
说明 在 Linux 系统服务器上,您可以通过执行 ps –aux命令查看相应进程的第一列(进程权限)是否为 root。

注册表加固

当安骑士基线检查功能检测到您的服务器上存在的注册表风险项时,建议您对检测出的有风险的注册表项名进行更改,修复该风险项。

例如,将注册表项名 Scripting.FileSystemObject,

更改为 Scripting.FileSystemObject.bak。

如果您在注册表项名更改过程中收到没有相关权限的提示,您可以通过对该注册表项及其子项的安全进行变更获得相关权限。

  1. 选中该注册表项,单击右键,选择权限
  2. 单击高级,选择所有者页签。

    例如,该图例中的注册表项所有者为 TrustedInstaller ,因此当前管理员权限无法对此注册表项进行修改。

  3. 将所有者变更为 Administrators 组。如果这个栏目中为空,单击其他用户或组,添加 Administrator 即可。

  4. 将该注册表项的所有者变更为 Administrators 后,即可进行注册表项的更名操作。