(完整版)Linux安全配置基线
- 格式:doc
- 大小:179.45 KB
- 文档页数:15
下载文档原格式
合集下载
信息系统安全基线
1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。
1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。
1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。
1.1.4.服务优化通过优化操作系统资源,提高系统服务安全性,详见表4。
1.1.5.访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。
1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表6。
1.2.2.日志与审计通过对操作系统日志进行安全控制与管理,提高日志的安全性与有效性,详见表7。
1.2.3.服务优化通过优化系统资源,提高系统服务安全性,详见表8。
1.2.4.访问控制通过对系统配置参数调整,提高系统安全性,详见表9。
1.2.5.补丁管理通过进行定期更新,降低常见的漏洞被利用,详见表10。
表10 Windows系统补丁管理基线技术要求1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具,提高系统运维管理的安全性,详见表11。
1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表12。
表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理,提高日志的安全性与有效性,详见表13。
表13 Linux系统日志与审计基线技术要求1.3.4.服务优化通过优化Linux系统资源,提高系统服务安全性,详见表14。
1.3.5.访问控制通过对Linux系统配置参数调整,提高系统安全性,详见表15。
表15 Linux系统访问控制基线技术要求2.数据库安全基线技术要求2.1.Oracle数据库系统安全基线2.1.1.用户账号与口令通过配置数据库系统用户账号与口令安全策略,提高数据库系统账号与口令安全性,详见表16。
【安全等保】Linux服务器基线安全--干货
【安全等保】Linux服务器基线安全--⼲货业务标签:医院信息集成平台、互联⽹医院、互联⽹护理、慢性病随访技术标签:ESB、ETL+CDC、NLP、FaaS、SaaS、Hadoop、MicroService技术微信群:加微信:wonter 发送:技术Q医疗微信群:加微信:wonter 发送:医疗Q关注公众号查看⼀、系统安全基线1.1 系统登录弱⼝令**描述**若系统使⽤弱⼝令,存在极⼤的被恶意猜解⼊侵风险,需⽴即修复。
**加固建议**执⾏命令 `passwd [<user>]`,然后根据提⽰输⼊新⼝令完成修改,其中 `<user>` 为⽤户名,如果不输⼊则修改的是当前⽤户的⼝令。
⼝令应符合复杂性要求:1、长度8位以上2、包含以下四类字符中的三类字符:英⽂⼤写字母(A 到 Z)英⽂⼩写字母(a 到 z)10 个基本数字(0 到 9)⾮字母字符(例如 !、$、#、%、@、^、&)3、避免使⽤已公开的弱⼝令,如:abcd.1234 、admin@123等1.2 确保root是唯⼀的UID为0的帐户**描述**除`root`以外其他`UID`为`0`的⽤户都应该删除,或者为其分配新的`UID`**加固建议**除`root`以外其他`UID`为`0`的⽤户,都应该删除,或者为其分配新的`UID`查看命令:cat/etc/passwd| awk-F: '($3 == 0) { print $1 }'|grep-v'^root$'1.3 开启地址空间布局随机化**描述**它将进程的内存空间地址随机化来增⼤⼊侵者预测⽬的地址难度,从⽽降低进程被成功⼊侵的风险**加固建议**在`/etc/sysctl.conf`或`/etc/sysctl.d/*`⽂件中设置以下参数:kernel.randomize_va_space = 2执⾏命令:sysctl -w kernel.randomize_va_space=21.4 设置⽤户权限配置⽂件的权限**描述**设置⽤户权限配置⽂件的权限**加固建议**执⾏以下5条命令chown root:root /etc/passwd/etc/shadow/etc/group/etc/gshadowchmod0644 /etc/groupchmod0644 /etc/passwdchmod0400 /etc/shadowchmod0400 /etc/gshadow1.5 访问控制配置⽂件的权限设置**描述**访问控制配置⽂件的权限设置**加固建议**运⾏以下4条命令:chown root:root /etc/hosts.allowchown root:root /etc/hosts.denychmod644 /etc/hosts.denychmod644 /etc/hosts.allow如果您是`redhat8`⽤户chown root:root /etc/ssh/sshd_configchmod600 /etc/ssh/sshd_config1.6 确保SSH LogLevel设置为INFO**描述**确保`SSH LogLevel`设置为`INFO`,记录登录和注销活动**加固建议**编辑 `/etc/ssh/sshd_config` ⽂件以按如下⽅式设置参数(取消注释):LogLevel INFO1.7 确保rsyslog服务已启⽤安全审计**描述**确保`rsyslog`服务已启⽤,记录⽇志⽤于审计**加固建议**运⾏以下命令启⽤`rsyslog`服务:systemctl enable rsyslogsystemctl start rsyslog1.8 确保SSH MaxAuthTries设置为3到6之间**描述**设置较低的`Max AuthTrimes`参数将降低`SSH`服务器被暴⼒攻击成功的风险。
linux系统安全基线
linux系统安全基线Linux系统安全基线是指在构建和维护Linux操作系统时,按照一系列预定义的安全措施和规范来实施的一种最佳实践。
它主要是为了减少系统遭受恶意攻击的概率,保护系统的机密性、完整性和可用性。
本文将详细阐述Linux系统安全基线涉及的各个方面,并一步一步回答有关问题。
第一步:建立访问控制机制首先,我们需要建立合理的访问控制机制来限制用户的权限。
这可以通过为每个用户分配适当的权限级别和角色来实现。
例如,管理员账户应该具有最高的权限,而普通用户账户只能执行有限的操作。
此外,应该禁用不必要的账户,并定期审计所有账户和权限。
问题1:为什么建立访问控制机制是Linux系统安全基线的重要组成部分?答:建立访问控制机制可以限制用户的权限,避免未经授权的访问和滥用系统权限,从而提高系统的安全性。
问题2:如何建立访问控制机制?答:建立访问控制机制可以通过分配适当的权限级别和角色给每个用户来实现,同时禁用不必要的账户,并定期审计账户和权限。
第二步:加强系统密码策略系统密码是保护用户账户和系统数据的重要屏障,因此需要加强密码策略。
这包括要求用户使用强密码、定期更新密码、限制密码尝试次数等。
此外,为了避免密码泄露和未经授权的访问,应该启用多因素身份验证。
问题3:为什么加强系统密码策略是Linux系统安全基线的重要组成部分?答:加强系统密码策略可以提高账户和系统数据的安全性,避免密码泄露和未经授权的访问。
问题4:如何加强系统密码策略?答:加强系统密码策略可以通过要求用户使用强密码、定期更新密码、启用密码复杂性检查、限制密码尝试次数等方式来实现。
第三步:更新和修补系统Linux系统安全基线要求及时更新和修补系统以纠正已知的漏洞和安全问题。
这涉及到定期更新操作系统和软件包,并及时应用安全补丁。
此外,应该禁用不必要的服务和端口,以减少攻击面。
问题5:为什么更新和修补系统是Linux系统安全基线的重要组成部分?答:更新和修补系统可以修复已知的漏洞和安全问题,减少系统受攻击的风险。
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2、7、关闭自动播放功能:应关闭Windows 自动播放功能。
2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
操作系统安全基线
序号控制点基线要求1补丁管理应及时更新系统补丁2服务管理应删除已过时且不安全的服务3账号管理删除或锁定多余的默认系统用户4口令策略密码包括3种字符(数字、小写字母、大写字母和特殊符),口令长度至少8位。
5口令策略设置本地和远程登录5次失败后,普通账户锁定10分钟,root不受影响6认证授权设置10分钟无键盘操作,则退出终端。
7认证授权限制root直接远程登录8日志配置应配置日志功能,记录所有用户所执行的程序,程序执行情况信息等等9日志配置修改日志配置文件syslog.conf/rsyslog.conf权限为400(管理员只读)10协议安全使用SSH等相对安全的加密协议进行远程连接11操作安全记录bash命令历史记录12权限设置对重要的口令文件权限进行限制,防止恶意修改13权限设置拒绝系统默认的系统帐号使用ftp服务linux类基线:共13项,适用于centos 7+(注意:部分配置完成后需要重操作指南根据组织的信息安全策略要求,为系统安装系统安全补丁检测以下服务是不是运行中,若不需要以下服务,则删除服务:telnet . rsh . NIS . TFTP . Talk . chargen-dgram . daytime-dgram .echo-dgram . tcpmux-server若不需要以下系统默认账户,建议删除或锁定:adm . lp . mail . uucp . operator . games . gopher . ftp . nobody . rpm . dbus. avahi . mailnull . smmsp . nscd . vcsa . rpc . rpcuser . nfsnobody . sshd .pcap . ntp .haldaemon . distcache . apache . webalizer . squid . xfs .gdmsabayon . named删除用户:#userdel username;锁定用户:1.修改/etc/shadow文件,用户名后的第一个冒号后加一个感叹号"!"2.将/etc/passwd文件中的shell域设置成/bin/nologin#vi /etc/security/pwquality.confminlen = 8 密码至少8位minclass = 3 至少3种字符指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:1.本地登录失败锁定:#vi /etc/pam.d/system-auth 在第2行添加:auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time2.远程登录失败锁定:#vi /etc/pam.d/sshd 在第2行添加:auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time#vim /etc/ssh/sshd_config将"#ClientAliveInterval 0"更改为"ClientAliveInterval 600"重启SSH服务:service sshd restart#vi /etc/ssh/sshd_config将"PermitRootLogin yes"改为"PermitRootLogin no"重启SSH服务:service sshd restartaccton默认是不开启,需要先创建记录文件再开启:#touch /var/log/pacct 创建记录文件#accton /var/log/pacct 开启并记录信息(#accton off 关闭)1.centos6以前版本#chmod 400 /etc/syslog.conf2.centos7+版本#chmod 400 /etc/rsyslog.conf#/etc/init.d/sshd start 启动SSH#/etc/init.d/sshd stop 停止SSH#/etc/init.d/sshd status 查看运行状态#chkconfig --level 2345 sshd on 设置开机启动1).#vi /etc/profile 在底部添加以下代码:#------------------------------------------#historyHISTFILESIZE=4096HISTSIZE=4096USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ -z $USER_IP ]thenUSER_IP=`hostname`fiHISTTIMEFORMAT="[%F %T] [`whoami`: $USER_IP] "export HISTTIMEFORMAT#------------------------------------------2).#source /etc/profile 重新加载配置文件对/etc/passwd、/etc/shadow、/etc/ group进行以下权限配置:#chown root:/etc/passwd /etc/shadow /etc/group#chmod 644 /etc/passwd /etc/group#chmod 400 /etc/shadow1).#touch /etc/ftpusers 创建文件2).#chmod 644 /etc/ftpusers 配置访问限制3).vi /etc/ftpusers 将不使用的系统默认账户添加进文件里rootdaemonsysy...需要重启服务/系统)检测方法1、 判定条件服务器不存在中高危漏洞。
Linux系统安全系统配置基线
Linux系统安全配置基线
目录
第1章概述 (1)
1.1目的 (1)
1.2适用范围 (1)
1.3适用版本 (1)
第2章安装前准备工作 (1)
2.1需准备的光盘 (1)
第3章操作系统的基本安装 (1)
3.1基本安装 (1)
第4章账号管理、认证授权 (2)
4.1账号 (2)
4.1.1用户口令设置 (2)
4.1.2检查是否存在除root之外UID为0的用户 (3)
4.1.3检查多余账户 (3)
4.1.4分配账户 (3)
4.1.5账号锁定 (4)
4.1.6检查账户权限 (5)
4.2认证 (5)
4.2.1远程连接的安全性配置 (5)
4.2.2限制ssh连接的IP配置 (5)
4.2.3用户的umask安全配置 (6)
4.2.4查找未授权的SUID/SGID文件 (7)
4.2.5检查任何人都有写权限的目录 (7)
4.2.6查找任何人都有写权限的文件 (8)
4.2.7检查没有属主的文件 (8)
4.2.8检查异常隐含文件 (9)
第5章日志审计 (10)
5.1日志 (10)
5.1.1syslog登录事件记录 (10)
5.2审计 (10)
5.2.1Syslog.conf的配置审核 (10)
5.2.2日志增强 (11)
5.2.3syslog系统事件审计 (11)
第6章其他配置操作 (12)
6.1系统状态 (12)
6.1.1系统超时注销 (12)
6.2L INUX服务 (12)
6.2.1禁用不必要服务 (12)
第7章持续改进 (13)。
Linux系统安全设置步骤
Linux系统安全设置步骤一直以来,许多人认为,Linux系统本身就是很安全的,不需要做太多的安全防护,另外基于Linux系统的防护、杀毒软件目前还较少被大众认知,因而在很多时候,我们安装完linux系统,经常不知道系统本身的安全设置从何做起,有的管理员干脆不做任何设置,或者随便下载安装一个杀毒软件完事,这样的做法基本起不了什么作用。
其实如windows server 2003系统本身也是一样,其系统自身的安全设置如果到位,对于服务器的整体安全是非常关键的。
笔者因为业务的关系,和铁通数据中心有较多的接触,通过对一些不法分子对服务器攻击方式的了解,更是深深体会到这点。
很多时候,安装完操作系统,一些看似随手进行的设置,很可能改变了操作系统的安全命运。
Linux安全配置步骤1. BIOS Security任何系统,给BIOS设置密码都是必须的,以防止其它用户通过在BIOS中改变启动顺序, 用特殊的启动盘启动你的系统.2. 磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;●方法一:修改/etc/fstab文件,添加nosuid属性字。
例如:/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0●方法二:如果对/etc/fstab文件操作不熟,建议通过linuxconf程序来修改。
*运行linuxconf程序;*选择"File systems"下的"Access local drive";*选择需要修改属性的磁盘分区;*选择"No setuid programs allowed"选项;*根据需要选择其它可选项;*正常退出。
主机安全 - Linux操作系统基线检查指导书1.0版
手工检查:
1)在root权限下,使用命令
#cat /etc/pam.d/system-auth
查看该配置文件的内容,记录system-auth配置文件中的登录失败处理、限制非法登录次数和自动退出结束会话的配置项。
2)测试:
根据使用的登录失败处理方式,采用如下测试方法进行测试:
a)以超过系统规定的非法登陆次数登录操作系统,观察反应;
#cat /etc/audit/audit.rules
中是否准确记录日期和时间、类型、主体标识、客体标识、事件的结果等
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。
d)应能够根据记录数据进行分析,并生成审计报表;
手工检查:
1)检查audit日志文件,需要根据syslog.conf的定义查看对应的日志文件,确认是否记录了必要的审计要素;
2)若有第三方审计工具或系统,则查看其审计日志是否包括必要的审计要素;
3)检查审计日志记录、分析、生成报表情况。
能定期生成审计报表并包含必要审计要素。
e)应保护审计进程,避免受到未预期的中断;
检查:
检查对审计进程监控和保护的措施。
对审计进程已采取相关保护措施。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
检查:
要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。
系统管理员、安全管理员、安全审计员由不同的人员和用户担当。至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。
c)应实现操作系统和数据库系统特权用户的权限分离;
检查:
结合系统管理员的组成情况,判断是否实现了该项要求。
审计功能已开启,包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等设置。
1)在root权限下,使用命令
#cat /etc/pam.d/system-auth
查看该配置文件的内容,记录system-auth配置文件中的登录失败处理、限制非法登录次数和自动退出结束会话的配置项。
2)测试:
根据使用的登录失败处理方式,采用如下测试方法进行测试:
a)以超过系统规定的非法登陆次数登录操作系统,观察反应;
#cat /etc/audit/audit.rules
中是否准确记录日期和时间、类型、主体标识、客体标识、事件的结果等
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。
d)应能够根据记录数据进行分析,并生成审计报表;
手工检查:
1)检查audit日志文件,需要根据syslog.conf的定义查看对应的日志文件,确认是否记录了必要的审计要素;
2)若有第三方审计工具或系统,则查看其审计日志是否包括必要的审计要素;
3)检查审计日志记录、分析、生成报表情况。
能定期生成审计报表并包含必要审计要素。
e)应保护审计进程,避免受到未预期的中断;
检查:
检查对审计进程监控和保护的措施。
对审计进程已采取相关保护措施。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
检查:
要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。
系统管理员、安全管理员、安全审计员由不同的人员和用户担当。至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。
c)应实现操作系统和数据库系统特权用户的权限分离;
检查:
结合系统管理员的组成情况,判断是否实现了该项要求。
审计功能已开启,包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等设置。
操作系统安全基线配置
操作系统安全基线配置要求为不同用户分配独立的帐户,不允许多个用户共享同一帐户。
应删除或锁定过期或无用的帐户。
只允许指定授权帐户对主机进行远程访问。
应根据实际需要为各个帐户分配最小权限。
应对Administrator帐户进行重命名,并禁用Guest(来宾)帐户。
要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
设置口令的最长使用期限小于90天,并配置操作系统用户不能重复使用最近5次(含5次)已使用过的口令。
当用户连续认证失败次数为5次时,应锁定该帐户30分钟。
2.2.服务及授权安全应关闭不必要的服务。
应设置SNMP接受团体名称不为public或弱字符串。
确保系统时间与NTP服务器同步。
配置系统DNS指向企业内部DNS服务器。
2.3.补丁安全应确保操作系统版本更新至最新。
应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4.日志审计应合理配置系统日志审核策略。
应设置日志存储规则,保证足够的日志存储空间。
更改日志默认存放路径,并定期对系统日志进行备份。
2.5.系统防火墙应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6.防病毒软件应安装由总部统一部署的防病毒软件,并及时更新。
2.7.关闭自动播放功能应关闭Windows自动播放功能。
2.8.共享文件夹应关闭Windows本地默认共享。
设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
2.9.登录通信安全应禁止远程访问注册表路径和子路径。
设置远程登录帐户的登录超时时间为30分钟。
禁用匿名访问命名管道和共享。
1.帐户共用:每个用户应分配一个独立的系统帐户,不允许多个用户共享同一个帐户。
2.帐户锁定:过期或无用的帐户应该被删除或锁定。
3.超级管理员远程登录限制:应限制root帐户的远程登录。
4.帐户权限最小化:为每个帐户设置最小权限,以满足其实际需求。
5.口令长度及复杂度:操作系统帐户口令长度应至少为8位,且应包含数字、字母和特殊符号中的至少2种组合。
linux操作系统安全配置内容
linux操作系统安全配置内容
1. 更新操作系统:确保在系统中安装了最新的安全补丁和更新,以修复已知的漏洞和弱点。
2. 强密码策略:设置密码策略,要求用户使用强密码,包括至少8个字符,包含字母、数字和
特殊字符,并定期更改密码。
3. 用户权限管理:为每个用户分配适当的权限,并限制对敏感文件和系统配置的访问权限。
避
免使用管理员权限进行常规操作。
4. 防火墙设置:配置防火墙以限制网络流量,并只允许必要的端口和服务通过。
拒绝来自未知
来源或可疑IP地址的连接。
5. 安全审计:启用并配置安全审计工具,以跟踪对系统和文件的访问、登录尝试和其他安全事件。
6. 文件和目录权限:设置适当的文件和目录权限,以防止未经授权的用户访问和修改敏感文件。
7. 禁用不必要的服务和端口:禁用不必要的服务和端口,以减少攻击面。
8. 加密通信:对重要的网络通信采取加密措施,如使用SSL/TLS进行安全的远程登录、传输
和数据传输。
9. 安全日志管理:配置日志记录和监控系统,以及定期检查日志以发现潜在的安全问题。
10. 定期备份:定期备份系统和重要数据,以防止数据丢失和恶意破坏。
11. 安全性测试和漏洞扫描:进行定期的安全性测试和漏洞扫描,以发现并修复系统中的安全
漏洞。
12. 非必要软件和服务的删除:删除不必要的软件和服务,减少系统的攻击面。
13. 安全培训和意识提升:为用户提供安全培训和意识提升,教育他们遵循最佳的安全实践,
如不点击垃圾邮件的链接或下载未知来源的文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux系统安全配置基线中国移动通信有限公司管理信息系统部2009年3月中国移动集团公司第1页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司第2页共15页目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1用户口令设置 (2)2.1.2root用户远程登录限制 (2)2.1.3检查是否存在除root之外UID为0的用户 (3)2.1.4root用户环境变量的安全性 (3)2.2认证 (4)2.2.1远程连接的安全性配置 (4)2.2.2用户的umask安全配置 (4)2.2.3重要目录和文件的权限设置 (4)2.2.4查找未授权的SUID/SGID文件 (5)2.2.5检查任何人都有写权限的目录 (6)2.2.6查找任何人都有写权限的文件 (6)2.2.7检查没有属主的文件 (7)2.2.8检查异常隐含文件 (7)第3章日志审计 (9)3.1日志 (9)3.1.1syslog登录事件记录 (9)3.2审计 (9)3.2.1Syslog.conf的配置审核 (9)第4章系统文件 (11)4.1系统状态 (11)4.1.1系统core dump状态 (11)第5章评审与修订 (12)中国移动集团公司第3页共15页第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。
1.2适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。
1.3适用版本LINUX系列服务器;1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动集团公司第1页共15页第 2 章 账号管理、认证授权2.1 账号2.1.1 用户口令设置2.1.2 root 用户远程登录限制中国移动集团公司第 2 页 共 15 页安全基线项 目名称 操作系统 Linux 用户口令安全基线要求项 安全基线编号 SBL -Linux -02-01-01 安全基线项 说明 帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置,比如: root/root, test/test, root/root12342、执行:more /etc/login ,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_W ARN_AG E 参数3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账 号基线符合性 判定依据建议在/etc/login 文件中配置:PASS_MIN_LEN=6不允许存在简单密码,密码设置符合策略,如长度至少为 6 不存在空口令账号 备注安全基线项 目名称 操作系统 Linux 远程登录安全基线要求项 安全基线编号 SBL -Linux -02-01-02安全基线项 说明 帐号与口令-root 用户远程登录限制检测操作步 执行:more /etc/securetty ,检查 Console 参数2.1.3 检查是否存在除 root 之外 UID 为 0 的用户2.1.4 root 用户环境变量的安全性中国移动集团公司第 3 页 共 15 页安全基线项 目名称 操作系统 Linux 超级用户环境变量安全基线要求项 安全基线编号 SBL -Linux -02-01-04安全基线项 说明 帐号与口令-root 用户环境变量的安全性检测操作步骤执行:echo $PA TH | egrep '(^|:)(\.|:|$)',检查是否包含父目录,执行:find `echo $PA TH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls ,检 查是否包含组目录权限为 777 的目录基线符合性 判定依据 返回值包含以上条件,则低于安全要求; 备注补充操作说明确保 root 用户的系统路径中不包含父目录,在非必要的情况下,不应包含 组权限为 777 的目录安全基线项目名称 操作系统 Linux 超级用户策略安全基线要求项 安全基线编号 SBL -Linux -02-01-03安全基线项 说明 帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户 检测操作步骤 执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd 基线符合性 判定依据 返回值包括“root ”以外的条目,则低于安全要求; 备注补充操作说明UID 为 0 的任何用户都拥有系统的最高特权,保证只有 root 用户的 UID 为 0骤基线符合性 判定依据 建议在/etc/securetty 文件中配置:CONSOLE = /dev/tty01备注2.2 认证2.2.1 远程连接的安全性配置2.2.2 用户的 umask 安全配置2.2.3 重要目录和文件的权限设置中国移动集团公司 第 4 页 共 15 页安全基线项 目名称 操作系统 Linux 远程连接安全基线要求项 安全基线编号 SBL -Linux -02-02-01安全基线项 说明 帐号与口令-远程连接的安全性配置检测操作步骤 执行:find / -name .netrc ,检查系统中是否有.netrc 文件, 执行:find / -name .rhosts ,检查系统中是否有.rhosts 文件 基线符合性 判定依据 返回值包含以上条件,则低于安全要求; 备注补充操作说明如无必要,删除这两个文件安全基线项 目名称 操作系统 Linux 用户 umask 安全基线要求项 安全基线编号 SBL -Linux -02-02-02安全基线项 说明 帐号与口令-用户的 umask 安全配置检测操作步骤 执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值 基线符合性 判定依据 umask 值是默认的,则低于安全要求 备注补充操作说明建议设置用户的默认 umask=077安全基线项 目名称 操作系统 Linux 目录文件权限安全基线要求项 安全基线编号 SBL -Linux -02-02-032.2.4 查找未授权的 SUID/SGID 文件中国移动集团公司第 5 页 共 15 页安全基线项 说明 文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况:ls –l /etc/ls –l /etc/rc.d/init.d/ ls –l /tmp ls –l /etc/inetd.conf ls –l /etc/passwd ls –l /etc/shadow ls –l /etc/group ls –l /etc/security ls –l /etc/services ls -l /etc/rc*.d基线符合性 判定依据 若权限过低,则低于安全要求; 备注补充操作说明对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有 root 可以读、写和执行这个目录下的脚本。
安全基线项 目名称 操作系统 Linux SUID/SGID 文件安全基线要求项 安全基线编号 SBL -Linux -02-02-04安全基线项 说明 文件系统-查找未授权的 SUID/SGID 文件检测操作步骤用下面的命令查找系统中所有的 SUID 和 SGID 程序,执行: for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print Done基线符合性 判定依据 若存在未授权的文件,则低于安全要求;备注 补充操作说明建议经常性的对比 suid/sgid 文件列表,以便能够及时发现可疑的后门程序2.2.5 检查任何人都有写权限的目录2.2.6 查找任何人都有写权限的文件中国移动集团公司第 6 页 共 15 页安全基线项 目名称 操作系统 Linux 目录写权限安全基线要求项 安全基线编号 SBL -Linux -02-02-05安全基线项 说明 文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令:for PART in `awk '($3 == "ext2" || $3 == "ext3") \ { print $2 }' /etc/fstab`; dofind $PART -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print Done基线符合性 判定依据 若返回值非空,则低于安全要求;备注安全基线项 目名称 操作系统 Linux 文件写权限安全基线要求项 安全基线编号 SBL -Linux -02-02-06安全基线项 说明 文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令:for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print Done基线符合性 判定依据 若返回值非空,则低于安全要求; 备注2.2.7 检查没有属主的文件2.2.8 检查异常隐含文件中国移动集团公司第 7 页 共 15 页安全基线项 目名称 操作系统 Linux 文件所有权安全基线要求项 安全基线编号 SBL -Linux -02-02-07安全基线项 说明 文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令:for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART -nouser -o -nogroup -print done注意:不用管“/dev ”目录下的那些文件。