当前位置:文档之家 › Linux系统安全配置标准V1.0

Linux系统安全配置标准V1.0

  • 格式:doc
  • 大小:148.50 KB
  • 文档页数:16

下载文档原格式

  / 16

合集下载

linux操作系统安全评估作业指导书-V1.0

linux操作系统安全评估作业指导书-V1.0

1.5
检查主机系统上是否存在可疑账户、 克隆账户、多余的账户、过期的账 户,共享账户;
1.6
检查所分配的账号权限配置是否符合 安全基准要求;
1.7
检查linux主机的管理方式; 当远程方式登录主机设备,是否取必 要措施,防止鉴别信息在网络传输过 程中被窃听; 检查主机系统是否修改了远程桌面默 认端口; 检查主机系统上开启的默认共享或文 件共享;
a.建议重要或外网的主机系统安装主机级别的入侵检测软件(NIDS); b.建议每周对主机入侵检测软件告警日志进行分析; a.建议重要或外网的主机系统部署操作系统和应用系统日志远程备份措 施,防止日志受到清除; b.建议远程备份的日志记录保存6个月以上; a.主机系统应部署补丁统一管理分发措施,如yum源或第三方工具; b.软件补丁更新措施,软件升级或修改配置等; a.操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序;
1、查看系统审计文件more /etc/audit/auditd.conf或auditd -l log_file = /var/log/audit/audit.log #日志存放路径 log_format = RAW #日志记录格式 priority_boost = 3 #设置auditd的优先启动级,0的话是正常顺序启动 flush = INCREMENTAL #表示多少条记录一组写到磁盘 freq = 20 #审计守护进程在写到日志文件中之前从,内核中接收的记录数 num_logs = 4 #指定log的数目 dispatcher = /sbin/audispd #当启动这个守护进程时,由审计守护进程自动 启动程序 disp_qos = lossy #控制调度程序与审计守护进程之间的通信类型 max_log_file = 5 #最大日志个数 max_log_file_action = ROTATE #当达到max_log_file的日志文件大小时采取的 1、以root身份登陆进入linux 2、查看linux密码文件内容 #cat/etc/shadow 记录没有被禁用的系统默认用户名 采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/passwd和 /etc/shadow文件中各用户名状态,查看是否存在以下可能无用的帐户: adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix usermod -L <user> 锁定用户; a.在root权限下,使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中 各用户名状态,查看是否存在以下可能无用的帐户: adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix等 b.根据检查到的账户列表,访谈主机管理员是否有多余、过期和共享的账户; usermod -L <user> 锁定用户; userdel <user> 删除用户;

LINUX操作系统配置规范

LINUX操作系统配置规范

LINUX操作系统配置规范LINUX操作系统配置规范1.系统安装与基本配置1.1 硬件需求检查1.2 操作系统安装过程1.3 系统初始化设置1.4 安全性基本配置1.5 网络配置1.5.1 IP地质设置1.5.2 主机名设置1.5.3 DNS配置1.5.4 网关设置2.用户与权限管理2.1 用户账号管理2.1.1 账号创建2.1.2 账号权限设置2.1.3 账号密码管理2.2 用户组管理2.3 文件权限管理2.4 sudo权限配置2.5 远程登录管理2.5.1 SSH服务配置2.5.2 SSH登录限制设置3.系统服务管理3.1 服务管理基本概念3.2 服务的启动与停止3.3 服务设置开机自启动3.4 系统日志管理3.5 定时任务管理4.软件包管理4.1 软件包源配置4.2 软件包安装与升级4.3 软件包卸载4.4 软件包版本管理5.文件系统管理5.1 文件与目录基本操作5.2 文件与目录权限管理5.3 磁盘配额管理5.4 文件系统的挂载与卸载6.系统性能监测与调优6.1 系统资源监测工具6.2 系统性能调优6.3 系统启动时间优化6.4 系统内核参数优化7.系统安全与防护7.1 安全漏洞扫描7.2 防火墙配置与管理7.3 SELinux配置与管理7.4 入侵检测与防护附件:1.系统配置检查清单2.用户权限表3.服务开机自启动列表4.定时任务列表5.文件权限表6.系统网络架构图法律名词及注释:1.GPL(GNU通用公共许可证):一种开放源代码许可证,允许用户自由地运行、复制、分发、学习、修改和改进软件。

2.SELinux(安全增强Linux):一种强制访问控制(MAC)机制,用于提供更高级别的系统安全性,限制进程的操作权限。

3.防火墙:用于过滤网络流量、实施访问控制策略的软件或硬件设备,以保护计算机网络免受未授权访问、恶意代码或其他网络威胁的侵害。

4.入侵检测与防护:通过监测系统日志、网络流量等方式,及时发现并阻止恶意攻击、未经授权的访问和其他安全威胁。

HDLM配置安装手册(Linux)-V1.0

HDLM配置安装手册(Linux)-V1.0

第1章HDS HDLM功能概述1.1HDS HDLM介绍HDLM(Hitachi Dynamic Link Manager)是HDS公司提供的安装在主机端的存储工具软件。

HDLM提供主机到存储系统的I/O通道负载平衡和故障切换功能;增强了主机系统的数据可得性。

虽然存储系统通过RAID技术对数据进行了保护,但是单纯的存储系统是不能够提供整个I/O系统的端到端的保护的。

主机端到存储系统的整个I/O路径中发生了故障如:HBA失效、FC交换设备故障、连接电缆断开等会中断主机端对数据的访问;HDS公司提供的HDLM软件,通过对主机到存储的冗余I/O路径的管理实现负载均和故障切换;保证了24×7业务不间断的运行。

1.2HDLM软件特点高可靠:通过服务器的多条通道实现I/O通道自动的故障切换和恢复回切提高了服务器端数据访问的安全性和性能。

高性能:通过多条I/O通道的负载均衡提高了应用系统数据访问的性能,进而有效改善了应用系统的性能。

易安装:HDLM能够自动查寻主机端到存储端的路径,这种查寻无论是直连的DAS结构还是复杂的SAN结构都可以自动完成。

因此HDLM安装完成后不需要复杂的配置就可以使用了。

1.3HDLM软件工作方式HDLM对I/O通道进行实时控制,检测每个通道的状态;当有任何一个通道发生故障时自动将I/O切换到其它健康的通道上;同时,HDLM会自动记录整个操作过程。

HDLM能够支持所有的HDS存储系统,并且在功能上基本相同。

对于HDS USP系列和AMS系列,在实现负载均衡的时候会有所不同。

由于AMS 系列中的LUNs是由两个控制器分别控制的,因此服务器通过不同的通道同时连接两个控制器时会存在两种类型的通道—Owner或Non-ower的通道如下图:在Owner Path之间可以实现负载均衡。

1.4HDS HDLM版本说明操作系统版本:适用于SFB 现有Linux环境,包括Red Hat和SUSE Linux。

linux加固手册v1.0(正式版)

linux加固手册v1.0(正式版)

linux加固手册v1.0(正式版)L I N U X操作系统安全加固手册版本号:1.0.0目录1概述 (1)1.1适用范围 (1)1.2外部引用说明 (1)1.3术语和定义 (1)1.4符号和缩略语 (1)2LINUX主机安全加固 (1)2.1身份鉴别 (1)2.1.1为空口令用户设置密码 (1)2.1.2缺省密码长度限制 (2)2.1.3缺省密码生存周期限制 (2)2.1.4口令过期提醒 (2)2.1.5限制超级管理员远程登录 (3)2.1.6使用 ssh 加密传输 (3)2.2访问控制 (3)2.2.1为不同的管理员分配不同的账号 (3)2.2.2去除不需要的帐号、修改默认帐号的 shell 变量 (4) 2.2.3对系统账号进行登录限制 (4)2.2.4除 root 之外 UID 为 0 的用户 (4)2.2.5设置关键目录的权限 (5)2.2.6修改 umask 值 (5)2.2.7设置目录权限 (6)2.2.8设置关键文件的属性 (6)2.2.9对 root 为 ls、rm 设置别名 (7)2.2.10使用 PAM 禁止任何人 su 为 root (7)2.3安全审计 (8)2.3.1启用日志记录功能 (8)2.3.2记录系统安全事件 (8)2.3.3启用记录 cron 行为日志功能 (8)2.3.4增加 ftpd 审计功能 (8)2.4剩余信息保护 (9)2.5入侵防范 (9)2.5.1设置访问控制列表 (9)2.5.2更改主机解析地址的顺序 (10)2.5.3打开 syncookie (10)2.5.4不响应 ICMP 请求 (10)2.5.5防 syn 攻击优化 (11)2.5.6补丁装载 (11)2.5.7关闭无效服务 (11)2.5.8关闭无效服务和进程自动启 (12)2.5.9禁止/etc/rc.d/init.d 下某些脚本的执行 (13)2.5.10加固 snmp 服务 (13)2.5.11修改 ssh 端口 (14)2.6恶意代码防范 (14)2.7资源控制 (14)2.7.1隐藏系统提示信息 (14)2.7.2设置登录超时时间 (15)2.7.3资源限制 (15)3推荐安装工具...................................................................................................................... 错误!未定义书签。

Linux安全配置标准

Linux安全配置标准

Linux安全配置标准Linux安全配置标准一.目的《Linux安全配置标准》是Qunar信息系统安全标准的一部分,主要目的是根据信息安全管理政策的要求,为我司的Linux系统提供配置基准,并作为Linux系统设计、实施及维护的技术和安全参考依据。

二.范围安全标准所有条款默认适用于所有Linux系统,某些特殊的会明确指定适用范围。

三.内容软件版本及升级策略操作系统内核及各应用软件,默认采用较新的稳定版本,不开启自动更新功能。

安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。

账户及口令管理远程登录帐号管理符合以下条件之一的,属"可远程登录帐号":(1) 设置了密码,且帐号处于未锁定状态。

(2) 在$HOME/.ssh/authorized_keys放置了public key"可远程登录帐号"的管理要求为:(1) 帐号命名格式与邮件命名格式保持一致(2) 不允许多人共用一个帐号,不允许一人有多个帐号。

(3) 每个帐号均需有明确的属主,离职人员帐号应当天清除。

(4) 特殊帐号需向安全组报批守护进程帐号管理守护进程启动帐号管理要求(1) 应建立独立帐号,禁止赋予sudo权限,禁止加入root或wheel等高权限组。

(2) 禁止使用"可远程登录帐号"启动守护进程(3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。

系统默认帐号管理(仅适用于财务管理重点关注系统)删除默认的帐号,包括:lp,sync,shutdown, halt, news, uucp, operator, games, gopher等口令管理口令管理应遵循《密码口令管理制度》,具体要求为(1) 启用密码策略/etc/PASS_MAX_DAYS 90PASS_MIN_DAYS 1PASS_MIN_LEN 7PASS_WARN_AGE 7/etc/system-authpassword sufficient ** remember=5password requisite ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0(2) 启用帐号锁定策略,连续输错3次口令,锁定用户30分钟/etc/system-authauth requiredauth required deny=3 unlock_time=1800OpenSSH安全配置只使用协议版本2,禁止root登录,禁止空口令登录,独立记录日志到/var/log/secure。

Linux安全配置规范

Linux安全配置规范

Linux安全配置规范适⽤于redhat、suse、fedroa、Linux 操作系统。

本规范明确了设备的基本配置安全要求,为设备⼯程验收和设备运⾏维护环节明确相关安全要求提供指南。

出⾃公众号:⼯程师江湖⼀. Linux企业版安全配置规范1.1 ⼝令帐号1.1.1 检查空⼝令帐号编号安全要求-系统-Linux配置-2.1.1要求内容检查系统帐号和⼝令,禁⽌使⽤空⼝令帐号操作指南:以root⾝份执⾏:# awk -F: '($2 == "") { print $1 }' /etc/shadow 检查空⼝令帐号#pwck 帐号检查# cat /etc/passwd# cat /etc/shadow# cat /etc/group对照检查结果,询问管理员有效帐号有⽆异常,有⽆弱密码,建议删除不必要帐户并修改简单密码为复杂密码检测⽅法:# awk -F: '($2 == "") { print $1 }' /etc/shadow 列出空密码帐号实施风险:可能影响某些管理维护的应⽤程序备注:1.1.2 检查Root帐号编号安全要求-系统-Linux配置-2.1.2要求内容检查系统帐号和⼝令,检查是否存UID为0的帐号操作指南:以root⾝份执⾏:# awk -F: '($3 == 0) { print $1 }' /etc/passwd 检查UID为0的帐号检测⽅法:# awk -F: '($3 == 0) { print $1 }' /etc/passwd 列出UID为0的帐号实施风险:可能影响某些管理维护的应⽤程序备注:1.1.3 检查帐号超时注销编号安全要求-系统-Linux配置-2.2.3要求内容应该设置帐号超时⾃动注销操作指南:以root⾝份执⾏:vi /etc/profile增加export TMOUT=600检测⽅法:# cat /etc/profile | grep TMOUT实施风险:可能影响某些管理维护的应⽤程序备注:1.1.4 root⽤户远程登录限制编号安全要求-系统-Linux配置-2.1.4要求内容限制root远程登录要求内容限制root远程登录操作指南:/etc/securetty⽂件中配置:CONSOLE = /dev/tty01检测⽅法:执⾏:more /etc/securetty,检查Console参数实施风险:可能影响某些管理维护的应⽤程序备注:1.1.5 检测密码策略编号安全要求-系统-Linux配置-2.1.5要求内容检查系统密码策略,是否符合必要的强度操作指南:以root⾝份执⾏:# vi /etc/login.defs建议设置参数如下:PASS_MAX_DAYS 180 最⼤⼝令使⽤⽇期PASS_MIN_LEN 8 最⼩⼝令长度PASS_WARN_AGE 30 ⼝令过期前警告天数#vi /etc/pam.d/system-authpassword required /lib/security/pam_cracklib.so retry=3type= minlen=8 difok=3最⼩⼝令长度设置为8检测⽅法:# cat /etc/login.defs#cat /etc/pam.d/system-auth实施风险:可能影响管理维护备注:1.1.6 检查Grub/Lilo密码编号安全要求-系统-Linux配置-2.1.6要求内容检查系统引导管理器是否设置密码检查⽅法使⽤命令“cat /etc/grub.conf|grep password”查看grub是否设置密码使⽤命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码操作指南为grub或lilo设置密码参考操作:vi /etc/grub.confdefault=1timeout=10splashimage=(hd0,7)/boot/grub/splash.xpm.gzpassword=123456title Fedora Core (2.4.22-1.2061.nptl)lockroot (hd0,7)实施风险:可能影响某些管理维护的应⽤程序1.2 系统服务1.2.1 关闭不需要的服务编号安全要求-系统-Linux配置-2.2.1要求内容禁⽤不必要的服务操作指南:以root⾝份执⾏# chkconfig --list (debian不⽀持)使⽤命令“chkconfig --level <init级别> <服务名>on|off|reset”设置服务在个init级别下开机是否启动检测⽅法:chkconfig –list检测⽅法:chkconfig –list查看是否有不需要的服务实施风险:可能影响应⽤备注:1.2.2 openssh安全配置编号安全要求-系统-Linux配置-2.2.2要求内容检查系统openssh安全配置,禁⽌使⽤协议1,和使⽤root直接登录操作指南:以root权限执⾏命令:# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_configOpenssh应禁⽌使⽤协议1,禁⽌root直接登录等,编辑sshd_config⽂件,设置:Protocol 2StrictModes yesPermitRootLogin noPrintLastLog yesPermitEmptyPasswords no检测⽅法:# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_config是否符合以上设置实施风险:⽆备注:1.2.3 SNMP团体字编号安全要求-系统-Linux配置-2.2.3要求内容如果打开了SNMP协议,snmp团体字设置不能使⽤默认的团体字操作指南:以root⾝份执⾏:#cat /etc/snmp/snmpd.conf应禁⽌使⽤public、private默认团体字,使⽤⽤户⾃定义的团体字,例如将以下设置中的public替换为⽤户⾃定义的团体字:com2sec notConfigUser default public如⽆必要,管理员应禁⽌使⽤snmp服务检测⽅法:#cat /etc/snmp/snmpd.conf实施风险:可能影响应⽤备注:1.2.4 禁⽤ctlraltdel组合键编号安全要求-系统-Linux配置-2.2.4要求内容禁⽤ctlr+alt+del组合键操作指南:检查系统是否禁⽤ctlraltdel组合键,以root⾝份执⾏以下命令:# vi /etc/inittab# grep –i ctrlaltdel /etc/inittab禁⽌ctrl+alt+del组合键,以root⾝份编辑/etc/inittab⽂件,注释如下⼀⾏后重起系统:ca::ctrlaltdel:/sbin/shutdown -t3 -r now检测⽅法:# grep –i ctrlaltdel /etc/inittab# ca::ctrlaltdel:/sbin/shutdown -t3 -r now (表⽰已经禁⽤)实施风险:需要重起系统,可能影响应⽤备注:1.2.5 检查root 路径编号安全要求-系统-Linux配置-2.2.5要求内容检查系统root⽤户环境变量path设置中是否包含”.”(root为了⽅便使⽤在他的当前路径末尾加了个点".",存在安全隐患)操作指南:root⽤户环境变量path中不应包含当前⽬录”.“以root⾝份执⾏如下命令:# echo $PATH/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.检测⽅法:# echo $PATH实施风险:⽆备注:1.2.6 检查信任主机编号安全要求-系统-Linux配置-2.2.6要求内容关闭系统信任主机操作指南:.rhosts⽂件中存储的是可以直接远程访问本系统的主机及⽤户名。

Linux系统基准安全配置标准

Linux系统基准安全配置标准TMT中国业务中心信息管理部目的通过建立系统的安全基线标准,规范TMT中国业务中心网络环境Linux系统服务器的安全配置,并提供相应的指导;降低系统存在的安全风险,确保服务器系统安全可靠的运行。

范围适合TMT中国业务中心网络环境的所有Linux系统服务器。

标准维护与解释1. 本标准由TMT中国业务中心每年审视1次,根据审视结果修订标准,并颁布执行;2. 本标准的解释权归TMT中国业务中心;3. 本标准自签发之日起生效。

目录1. 优化启动服务 41.1. 禁用不必要的系统服务 41.2. 卸载或禁用网络服务 42. 网络参数调整 53. 日志审计 53.1. 捕获发送到SYSLOG的安全信息 53.2. 启用FTP日志 64. 文件和目录权限 74.1. 修改PASSWD、SHADOW、GROUP文件权限 74.2. 为全局可写目录设置粘滞位 74.3. 删除没有明确属主的文件 75. 系统访问,认证与授权 75.1. 删除.RHOST文件 75.2. 只允许ROOT用户使用AT/CRON 75.3. 修改CRONTAB文件权限 86. 用户帐号和环境 86.1. 确保没有空口令(/薄弱口令)帐号 86.2. 设置口令期限 86.3. 确保除ROOT以外没有其它UID为0的帐号存在 96.4. 确保在ROOT $PATH中没有'.' 96.5. 删除 .NETRC文件 91. 优化启动服务1.1. 禁用不必要的系统服务配置/etc/xinetd.d文件,将所有不是必须的服务全部禁用掉:cd /etc/xinetd.dfor FILE in chargen chargen-udp cups-lpd cups daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 i pop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services sgi_fam talk telnet tftp time time-udp v sftpd wu-ftpd vncdochkconfig ${FILE} offdone1.2. 卸载或禁用网络服务一般建议卸载或禁用下列服务:NIS/NIS+、NFS、SMB、GUI login(X-Windows)、SNMP对于Web、Mail、FTP、DNS等通用服务,如果不是必需,也请卸载或禁用。

LINUX操作系统配置规范

LINUX操作系统配置规范Linux操作系统是一种开放源代码的操作系统,相对于其他操作系统,Linux具有较大的灵活性和可定制性。

在实际应用中,为了保证Linux系统的性能和安全性,需要按照一定的规范进行配置。

下面将介绍一些常见的Linux操作系统配置规范。

1.安全性配置:- 禁止使用root账户远程登录,使用普通用户登录系统。

-设置复杂的用户密码,定期修改用户密码。

-安装并启用防火墙,限制网络访问权限。

-安装常用的安全软件,如杀毒软件和入侵检测系统。

-定期更新操作系统和软件包,修复安全漏洞。

2.网络配置:-配置正确的IP地址、子网掩码和网关。

- 禁止使用未加密的传输协议,如Telnet,使用SSH进行远程登录。

- 使用iptables配置防火墙规则,限制网络访问权限。

-配置DNS服务器,加速域名解析。

3.磁盘和文件系统配置:- 对磁盘进行分区,并将关键目录(如/, /usr, /var等)挂载到单独的分区上,以提高系统性能和安全性。

-使用LVM(逻辑卷管理器)对磁盘进行管理,方便动态扩展和迁移。

4.内核参数配置:-调整文件描述符限制,避免文件打开过多导致系统崩溃。

-调整内核参数,优化系统性能,如内存管理、磁盘I/O等参数。

-禁用不必要的内核模块,减少潜在的安全隐患。

5.日志监控与管理:-配置系统日志,记录关键操作和事件。

-定期检查日志文件,及时发现异常情况。

-使用日志分析工具,对日志文件进行分析,提取有用信息。

6.服务配置:-禁止不必要的服务和进程,减少安全风险。

-配置开机自启动的服务,确保系统正常运行。

-设置服务的资源限制,避免资源占用过多导致系统宕机。

7.软件包管理:-使用包管理器安装软件包,避免从源代码编译安装。

-定期更新软件包,修复漏洞和提升性能。

-删除不必要的软件包,减少系统资源占用。

8.工作目录和文件权限:-限制普通用户对系统核心文件的访问权限。

-设置用户家目录的权限,确保用户的私密数据不会被其他用户读取。

LINUX操作系统配置规范

LINUX操作系统配置规范LINUX操作系统配置规范一:引言本文档旨在为管理员提供一个详细的LINUX操作系统配置规范。

该规范旨在确保操作系统的稳定性、安全性和性能优化。

管理员应严格遵循该规范执行操作系统的配置。

二:操作系统安装和基础配置1. 系统安装1.1 准备安装介质和相关驱动程序1.2 执行操作系统安装1.3 设置主机名和网络配置1.4 创建管理员账户和设置密码2. 系统更新和补丁管理2.1 定期更新操作系统和安全补丁2.2 确保使用合法和可信的软件源3. 防火墙设置3.1 启用防火墙3.2 配置适当的规则以限制网络访问3.3 监控防火墙日志以及及时处理异常情况4. 安全设置4.1 禁用不必要的服务和端口4.2 配置安全登录设置,包括SSH以及远程登录4.3 定期更新管理员密码4.4 设置账户锁定策略和密码策略4.5 配置主机防护工具,如SELinux或AppArmor5. 性能优化配置5.1 合理调整操作系统参数,优化内存、磁盘和网络性能 5.2 配置日志管理,避免过度记录日志5.3 监控系统资源使用情况,及时调整配置6. 安全备份和恢复策略6.1 定期备份操作系统和相关数据6.2 测试备份和恢复策略的有效性6.3 存储备份数据的安全策略,包括加密和存储位置7. 监控和告警设置7.1 配置系统监控工具,例如Zabbix、Nagios等7.2 设置合适的告警策略,及时发现和解决系统异常8. 日志管理8.1 配置日志审计规则,记录关键系统操作8.2 定期审查系统日志,发现异常情况并采取相应措施9. 系统维护流程9.1 定期执行系统维护任务,如磁盘碎片整理、日志清理等 9.2 管理接口和升级流程9.3 建立系统更新和维护的文档和计划10. 硬件和软件要求10.1 硬件要求:根据实际需求配置合适的硬件设备10.2 软件要求:操作系统版本和必要的软件组件11. 系统文档11.1 创建操作系统配置文档,包括所有配置的详细信息 11.2 更新文档以反映系统的变化本文档涉及附件:无本文所涉及的法律名词及注释:1. 操作系统安装:指在计算机上安装并配置操作系统的过程。

Linux系统安全加固配置规范

Linux系统安全加固配置规范目录1、目的 (4)2、适用范围 (4)3、具体设置 (4)1、目的本方案明确Linux系统安全配置基本要求;通过实施本配置方案,建立Linux系统安全基线。

2、适用范围本方案适用于Cent OS 系统。

3、具体设置3.1物理安全3.1.1设置服务器BIOS密码且修改引导次序,禁止从软驱、光驱、USB方式启动系统。

3.2系统安装3.2.1系统安装镜像应来自官方网站,安装系统前应对安装镜像进行完整性校验,软件应按需安装;3.2.2系统安装时应设置GRUB引导密码;3.2.3系统安装毕后使用官方源进行更新,运行#yum update待更新软件名,应对已知高危漏洞进行修补。

漏洞信息参考CVE漏洞库或Bugtraq 漏洞库;3.2.4系统更新完毕后,运行#chkconfig --level 35 yum-update off关闭系统自动更新服务。

3.2.5运行#rpm –qa > /var/5173/rpmlist,记录系统软件安装列表信息。

3.3账号口令3.3.1按照用户分配账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享;根据系统要求及业务需求,建立多用户组,将用户账号分配到相应的用户组;3.3.2编辑/etc/pam.d/system-auth,禁止空口令用户登陆,将以下字段auth sufficient pam_unix.so nullok try_first_passpassword sufficient pam_unix.so md5 shadow nulloktry_first_pass use_authtok改为auth sufficient pam_unix.so try_first_passpassword sufficient pam_unix.so md5 shadowtry_first_pass use_authtok3.3.3编辑/etc/login.defs,修改口令长度、口令生存周期、口令过期告警策略,修改字段如下:PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 8PASS_WARN_AGE 10注:策略更改后对新建用户有效,口令过期后无法登陆系统,可以运行#chage -M 90 –W 10 username单独修改某一账号口令有效期。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

服务器系统安全加固技术要求——Linux服务器中国电信股份有限公司广州研究院2009年3月目录1补丁 (1)1.1系统补丁 (1)1.2其他应用补丁 (1)2账号和口令安全配置基线 (2)2.1账号安全控制要求 (2)2.2口令策略配置要求 (2)2.3root登录策略的配置要求 (2)2.4root的环境变量基线 (3)3网络与服务安全配置标准 (4)3.1最小化启动服务 (4)3.2最小化xinetd网络服务 (5)4文件与目录安全配置 (7)4.1临时目录权限配置标准 (7)4.2重要文件和目录权限配置标准 (7)4.3umask配置标准 (7)4.4SUID/SGID配置标准 (7)5信任主机的设置 (9)6系统Banner的配置 (10)7内核参数 (11)8syslog日志的配置 (13)附件:选装安全工具 (14)1补丁1.1系统补丁要求及时安装系统补丁。

更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证。

系统补丁安装方法为(以下示例若无特别说明,均以RedHat Linux为例):使用up2date命令自动升级或在ftp://下载对应版本补丁手工单独安装。

对于企业版5及之后的版本,可以直接使用yum工具进行系统补丁升级:yum update1.2其他应用补丁除Linux开发商官方提供的系统补丁之外,基于Linux系统开发的服务和应用(如APACHE、PHP、OPENSSL、MYSQL等)也必须安装最新的安全补丁。

以RedHat Linux为例,具体安装方法为:首先确认机器上安装了gcc及必要的库文件。

然后再应用官方网站下载对应的源代码包,如*.tar.gz,并解压:tar zxfv *.tar.gz根据使用情况对编译配置进行修改,或直接采用默认配置。

cd *./configure进行编译和安装:makemake install注意:补丁更新要慎重,可能出现硬件不兼容、或者影响当前应用系统的情况。

安装补丁前,应该在测试机上进行测试。

2账号和口令安全配置基线2.1账号安全控制要求系统中的临时测试账号、过期无用账号等必须被删除或锁定。

以RedHat Linux 为例,设置方法如下:锁定账号:/usr/sbin/usermod -L -s /dev/null $name删除账号:/usr/sbin/user $name2.2口令策略配置要求要求设置口令策略以提高系统的安全性。

例如要将口令策略设置为:非root 用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。

以RedHat Linux为例,可在/etc/login.def文件中进行如下设置:vi /etc/login.defPASS_MAX_DAYS 90PASS_MIN_DAYS 7PASS_MIN_LEN 6PASS_WARN_AGE 282.3root登录策略的配置要求禁止直接使用root登陆,必须先以普通用户登录,然后再su成root。

禁止root账号远程登录,以RedHat Linux为例,设置方法为:touch /etc/securettyecho ―console‖ > /etc/securetty2.4root的环境变量基线root环境变量基线设置要求如表2-1所示:表2-1 root环境变量基线设置3网络与服务安全配置标准3.1最小化启动服务1、Xinetd服务如果xinetd服务中的服务,都不需要开放,则可以直接关闭xinetd服务。

chkconfig --level 12345 xinetd off2、关闭邮件服务1) 如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。

chkconfig --level 12345 sendmail off2) 如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置Sendmail 不运行在daemon模式。

编辑/etc/sysconfig/senmail文件,增添以下行:DAEMON=noQUEUE=1h设置配置文件访问权限:cd /etc/sysconfig/bin/chown root:root sendmail/bin/chmod 644 sendmail3、关闭图形登录服务(X Windows)在不需要图形环境进行登录和操作的情况下,要求关闭X Windows。

编辑/etc/inittab文件,修改id:5:initdefault:行为id:3:initdefault:设置配置文件访问权限:chown root:root /etc/inittabchmod 0600 /etc/inittab4、关闭X font服务器服务如果关闭了X Windows服务,则X font服务器服务也应该进行关闭。

chkconfig xfs off5、关闭其他默认启动服务系统默认会启动很多不必要的服务,有可能造成安全隐患。

建议关闭以下不必要的服务:apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cupschkconfig --level 12345 服务名off在关闭上述服务后,应同时对这些服务在系统中的使用的账号(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等)予以锁定或删除。

usermod -L 要锁定的用户3.2最小化xinetd网络服务1、停止默认服务要求禁止以下Xinetd默认服务:chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers serviceschkconfig 服务名off2、其他对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用SSH和SSL对原明文的服务进行替换。

如果条件允许,可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。

4文件与目录安全配置4.1临时目录权限配置标准临时目录/tmp、/var/tmp必须包含粘置位,以避免普通用户随意删除由其他用户创建的文件。

chmod +t /tmp ——为/tmp增加粘置位。

4.2重要文件和目录权限配置标准在Linux系统中,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc目录为系统配置目录,包括账号文件、系统配置、网络配置文件等,这些目录和文件相对重要。

重要文件及目录的权限配置标准必须按照表4-1进行配置。

表4-1 重要文件和目录权限配置标准列表4.3umask配置标准umask命令用于设置新创建文件的权限掩码。

要求编辑/etc/profile文件,设置umask为027;在系统转成信任模式后,可设置umask为077。

4.4SUID/SGID配置标准SUID/SGID的程序在运行时,将有效用户ID改变为该程序的所有者(组)ID,使得进程拥有了该程序的所有者(组)的特权,因而可能存在一定的安全隐患。

对于这些程序,必须在全部检查后形成基准,并定期对照基准进行检查。

查找此类程序的命令为:# find / -perm -4000 -user 0 –ls ――查找SUID可执行程序# find / -perm -2000 -user 0 –ls ――查找SGID可执行程序5信任主机的设置1.原则上关闭所有R系列服务:rlogin、rsh、rexec2.对于需要以信任主机方式访问的业务系统,按照表5-1所示方式设置:表5-1 信任主机的设置方法6系统Banner的配置要求修改系统banner,以避免泄漏操作系统名称、版本号、主机名称等,并且给出登陆告警信息。

1.修改/etc/issue文件,加入:ATTENTION:You have logged onto a secured server..ONLY Authorized users can access..2.修改/etc/文件,加入:ATTENTION:You have logged onto a secured server..ONLY Authorized users can access..3.修改/etc/inetd.conf文件,在telnet一行的最后,更改telnetd为telnetd –b/etc/issue,增加读取banner参数。

4.重启inetd进程。

Kill –HUP ―inetd进程pid‖7内核参数要求调整以下内核参数,以提高系统安全性:设置tcp_max_syn_backlog,以限定SYN队列的长度设置rp_filter为1,打开反向路径过滤功能,防止ip地址欺骗设置accept_source_route为0,禁止包含源路由的ip包设置accept_redirects为0,禁止接收路由重定向报文,防止路由表被恶意更改设置secure_redirects为1,只接受来自网关的―重定向‖icmp报文配置方法为:编辑/etc/sysctl.conf,增加以下行:net.ipv4.tcp_max_syn_backlog = 4096net.ipv4.conf.all.rp_filter = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.secure_redirects = 0net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.default.accept_source_route = 0net.ipv4.conf.default.accept_redirects = 0net.ipv4.conf.default.secure_redirects = 0设置配置文件权限:/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置。