2022年完整word版,Linux系统安全系统配置基线 .pdf

《2022年完整word版,Linux系统安全系统配置基线 .pdf》由会员分享，可在线阅读，更多相关《2022年完整word版,Linux系统安全系统配置基线 .pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实用文案文案大全Linux 系统安全配置基线名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 16 页 - - - - - - - - - 实用文案文案大全目录第 1 章概述 . 11.1目的 . 11.2适用范围 . 11.3适用版本 . 1第 2 章安装前准备工作 . 12.1需准备的光盘 . 1第 3 章操作系统的基本安装 . 13.1基本安装 . 1第 4 章账号管理、认证授权 . 24.1账号 . 24.1.1用户口令设置. 24.1.2检查是否存在除root之外

2、UID为0的用户. 34.1.3检查多余账户. 34.1.4分配账户. 34.1.5账号锁定. 44.1.6检查账户权限. 54.2认证 . 54.2.1远程连接的安全性配置 . 54.2.2限制ssh连接的IP配置 . 54.2.3用户的umask安全配置. 64.2.4查找未授权的SUID/SGID文件. 74.2.5检查任何人都有写权限的目录 . 74.2.6查找任何人都有写权限的文件 . 84.2.7检查没有属主的文件 . 84.2.8检查异常隐含文件 . 9第 5 章日志审计 . 105.1日志 . 105.1.1syslog登录事件记录 . 105.2审计 . 105.2.1Sys

3、log.conf的配置审核. 105.2.2日志增强. 115.2.3syslog系统事件审计 . 11第 6 章其他配置操作 . 126.1系统状态 . 126.1.1系统超时注销. 126.2LINUX服务 . 12名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 16 页 - - - - - - - - - 实用文案文案大全6.2.1禁用不必要服务 . 12第 7 章持续改进 . 13名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -

4、 - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 16 页 - - - - - - - - - 实用文案文案大全第1章 概述1.1 目的本文规定了Linux 操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行Linux 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括：Linux 服务器。1.3 适用版本适用于 Redhat AS 5。第2章 安装前准备工作2.1 需准备的光盘从 RedHat 官网下载高级企业服务器版操作系统

5、，并制作成光盘。第3章 操作系统的基本安装3.1 基本安装（1）应在隔离网络进行安装。选择custom 方式，根据最小化原则，仅安装需要的软件包。（2）根据服务器的实际用途来确实是否需要给/VAR，/HOME 划分单独的分区。（ 3）安装完成后尽快通过合适可行的方式安装重要的补丁程序。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 16 页 - - - - - - - - - 实用文案文案大全第4章 账号管理、认证授权4.1 账号4.1.1 用户口令设置安全基线项目名称操

6、作系统 Linux 用户口令安全基线要求项安全基线项说明帐号与口令 -用户口令设置, 配置用户口令强度检查达到12 位，要求用户口令包括数字、小写字母、大写字母和特殊符号4 类中至少2 类。检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置，比如：root/root, test/test, root/root1234 2、执行： more /etc/login ，检查PASS_MIN_LEN 12 PASS_MAX_DAYS 90 PASS_WARN_AGE 7 3、执行： awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令账号4、编辑 /

7、etc/pam.d/system-auth文件，将password requisite pam_cracklib.so try_first_pass retry=3 改为password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 ocredit=-1基线符合性判定依据不允许存在简单密码，密码设置至少包括一个数字和一个特殊字符，长度至少为 12 位检查 grep pam_cracklib /etc/pam.d/system-auth 修改已有用户的口令生存期和过期告警天数#chage -M 90 -W 7 htsc_t

8、emp 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 16 页 - - - - - - - - - 实用文案文案大全备注4.1.2 检查是否存在除root 之外 UID 为 0 的用户安全基线项目名称操作系统 Linux 超级用户策略安全基线要求项安全基线项说明帐号与口令 -检查是否存在除root 之外 UID 为 0 的用户检测操作步骤执行： awk -F: ($3 = 0) print $1 /etc/passwd 基线符合性判定依据返回值包括“ root”以外的条

9、目，则低于安全要求。备注补充操作说明UID 为 0 的任何用户都拥有系统的最高特权，保证只有 root 用户的 UID 为 0 4.1.3 检查多余账户安全基线项目名称操作系统 Linux 无用账户策略安全基线要求项安全基线项说明帐号与口令 -检查是否存在如下不必要账户：lp, sync, shutdown, halt, news, uucp, operator, games, gopher等, 检测操作步骤执行： cat /etc/passwd 如果不使用，用以下命令进行删除。#deluser test01基线符合性判定依据如发现上述账户，则低于安全要求。如主机存在gnone,则需要保留ga

10、mes账号备注4.1.4 分配账户安全基线项操作系统 Linux 账户策略安全基线要求项名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 16 页 - - - - - - - - - 实用文案文案大全目名称安全基线项说明给不同的用户分配不同的帐号，避免多个用户共享帐号。至少分配 root ，auditor ，operator角色。检测操作步骤1、参考配置操作#useradd auditor #新建帐号#passwd auditor#设置口令#chmod 700 audito

11、r#修改用户主目录权限，确保只有该用户可以读写#vi /etc/passwd注释掉不用的账户auditor #停用不用的账户基线符合性判定依据1、判定条件用新建的用户登陆系统成功，可以做常用的操作，用户不能访问其他用户的主目录。2、检测操作用不同用户登陆，检查用户主目录的权备注4.1.5 账号锁定安全基线项目名称操作系统 Linuxr 认证失败锁定要求项安全基线项说明设置帐号在3 次连续尝试认证失败后锁定，锁定时间为1 分钟，避免用户口令被暴力破解。检测操作步骤1、参考配置操作建立 /var/log/faillog文件并设置权限#touch /var/log/faillog #chmod 60

12、0 /var/log/faillog 编辑 /etc/pam.d/system-auth文件，在auth required pam_env.so 后面添加auth required pam_tally.so onerr=fail deny=3 unlock_time=60 基线符合性判定依据1、判定条件连续输入错误口令3 次以上，再输正确口令，用户不能登陆。2、检测操作grep pam_tally /etc/pam.d/system-auth 备注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

13、- - 第 7 页，共 16 页 - - - - - - - - - 实用文案文案大全4.1.6 检查账户权限安全基线项目名称操作系统 Linux 无用账户策略安全基线要求项安全基线项说明帐号与口令 -检查除 ROOT 外是否有其他账户拥有shell 权限检测操作步骤执行： cat /etc/passwd观察是否有非root 账户设置 /bin/bash 或/bin/sh 权限基线符合性判定依据无特殊应用情况下，如发现上述账户，则低于安全要求。备注4.2 认证4.2.1 远程连接的安全性配置安全基线项目名称操作系统 Linux 远程连接安全基线要求项安全基线项说明帐号与口令 -远程连接的安全性

14、配置检测操作步骤执行： find / -name .netrc，检查系统中是否有.netrc 文件；执行： find / -name .rhosts ，检查系统中是否有.rhosts 文件基线符合性判定依据返回值包含以上条件，则低于安全要求。备注补充操作说明如无必要，删除这两个文件4.2.2 限制 ssh 连接的 IP 配置安全基线项操作系统 Linux 远程连接安全基线要求项名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 16 页 - - - - - - - - - 实

15、用文案文案大全目名称安全基线项说明配置 tcp_wrappers ，限制允许远程登陆系统的IP 范围。检测操作步骤1、参考配置操作编辑 /etc/hosts.deny 添加sshd:ALL 编辑 /etc/hosts.allow 添加sshd: 168.8.44.0/255.255.255.0#允许 168.8.44.0网段远程登陆sshd: 168.8.43.0/255.255.255.0#允许 168.8.43.0网段远程登陆基线符合性判定依据1、判定条件只有网管网段可以ssh 登陆系统。2、检测操作cat /etc/hosts.deny cat /etc/hosts.allow 备注对于

16、不需要sshd服务的无需配置该项。中心机房以外的服务器管理，暂时不做源地址限制。4.2.3 用户的 umask 安全配置安全基线项目名称操作系统 Linux 用户 umask 安全基线要求项安全基线项说明帐号与口令 -用户的 umask安全配置检测操作步骤执行： more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含umask 值基线符合性判定依据umask 值是默认的，则低于安全要求。备注补充操作说明：vi /etc/profile 建议设置用户的默认umask=077 名师资料总结

17、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 16 页 - - - - - - - - - 实用文案文案大全4.2.4 查找未授权的SUID/SGID文件安全基线项目名称操作系统 Linux SUID/SGID文件安全基线要求项安全基线项说明文件系统 -查找未授权的SUID/SGID 文件检测操作步骤用下面的命令查找系统中所有的SUID 和 SGID 程序，执行：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; d

18、o find $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -print Done 基线符合性判定依据若存在未授权的文件，则低于安全要求。备注补充操作说明建议经常性的对比suid/sgid 文件列表，以便能够及时发现可疑的后门程序4.2.5 检查任何人都有写权限的目录安全基线项目名称操作系统 Linux 目录写权限安全基线要求项安全基线项说明文件系统 -检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令：for PART in awk ($3 = ext2 | $3 = ext3) print $2

19、/etc/fstab; do find $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -print Done 基线符合性判定依据若返回值非空，则低于安全要求。备注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 16 页 - - - - - - - - - 实用文案文案大全4.2.6 查找任何人都有写权限的文件安全基线项目名称操作系统 Linux 文件写权限安全基线要求项安全基线项说明文件系统 -查找任何人都有写

20、权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; do find $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -print Done 基线符合性判定依据若返回值非空，则低于安全要求。备注4.2.7 检查没有属主的文件安全基线项目名称操作系统 Linux 文件所有权安全基线要求项安全基线项说明文件系统 -检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令：for PART in g

21、rep -v # /etc/fstab | awk ($6 != 0) print $2 ; do find $PART -nouser -o -nogroup -print done 注意：不用管“/dev”目录下的那些文件基线符合性判定依据若返回值非空，则低于安全要求。备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属主的文件存在。如果在系统中发现了没有属主的文件或目录，先查看它的完名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 16

22、 页 - - - - - - - - - 实用文案文案大全整性，如果一切正常，给它一个属主。有时候卸载程序可能会出现一些没有属主的文件或目录，在这种情况下可以把这些文件和目录删除掉。4.2.8 检查异常隐含文件安全基线项目名称操作系统 Linux 隐含文件安全基线要求项安全基线项说明文件系统 -检查异常隐含文件检测操作步骤用“ find”程序可以查找到这些隐含文件。例如：# find / -name . * -print xdev # find / -name * -print -xdev | cat -v 同时也要注意象“.xx”和“ .mail ”这样的文件名的。 （这些文件名看起来都很象

23、正常的文件名）基线符合性判定依据若返回值非空，则低于安全要求。备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“ls”命令看不到的文件） ，因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX/LINUX下，一个常用的技术就是用一些特殊的名，如：“”、 “. ” （点点空格）或“ .G” （点点 control-G ） ，来隐含文件或目录。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共

24、 16 页 - - - - - - - - - 实用文案文案大全第5章 日志审计5.1 日志5.1.1 syslog 登录事件记录安全基线项目名称操作系统 Linux 登录审计安全基线要求项安全基线项说明日志审计 -syslog 登录事件记录检测操作步骤执行命令： more /etc/syslog.conf 查看参数 authpriv 值Authpriv.* /var/log/secure 基线符合性判定依据若未对所有登录事件都记录，则低于安全要求。备注5.2 审计5.2.1 Syslog.conf 的配置审核安全基线项目名称操作系统 Linux 配置审计安全基线要求项安全基线项说明开启系统的

25、审计功能，记录用户对系统的操作，包括但不限于账号创建、删除，权限修改和口令修改。检测操作步骤1、参考配置操作#chkconfig auditd on 基线符合性判定依据1、判定条件系统能够审计用户操作。2、检测操作chkconfig -list auditd 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 16 页 - - - - - - - - - 实用文案文案大全用 aureport 、ausearch查看审计日志。备注5.2.2 日志增强安全基线项目名称操作系统

26、Linux 日志增强要求项安全基线项说明使 messages只可追加，使轮循的messages文件不可更改，从而防止非法访问目录或者删除日志的操作检测操作步骤执行命令：Chattr +a /var/log/messages Chattr +i /var/log/messages.* Chattr +i /etc/shadow Chattr +i /etc/passwd Chattr +i /etc/group 基线符合性判定依据使用 lsattr 判断属性备注5.2.3 syslog 系统事件审计安全基线项目名称操作系统 Linux 登录审计安全基线要求项安全基线项说明日志审计 -syslog

27、 系统安全事件记录，方便管理员分析检测操作步骤执行命令： more /etc/syslog.conf 查看参数：*.err;kern.debug;daemon.notice; /var/adm/messages 基线符合性判定依据若未对所有登录事件都记录，则低于安全要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 16 页 - - - - - - - - - 实用文案文案大全备注第6章 其他配置操作6.1 系统状态6.1.1 系统超时注销安全基线项目名称操作系统超时

28、注销要求项安全基线项说明设置帐号超时自动注销。检测操作步骤1、参考配置操作编辑 /etc/profile文件，添加TMOUT=300 用户登陆后如果300 秒内没有做任何操作，则自动注销登陆。基线符合性判定依据1、判定条件用户登陆后，在指定的时间内没进行操作，可以自动注销。2、检测操作登陆系统，在设定时间内不做任何操作动作，检查是否注销。备注6.2 Linux服务6.2.1 禁用不必要服务安全基线项目名称操作系统系统服务管理安全基线要求项安全基线项说明根据实际情况，关闭不必要的系统服务，如：finger ,kudzu,isdn,nfs,apm,sound,pcmcia,vsftpd, rhns

29、d,Bluetooth,sendmail,lpd,netfs,telnet,RPC,imap等服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 16 页 - - - - - - - - - 实用文案文案大全检测操作步骤1.grep -v # /etc/inetd.conf检查不必要开启的服务。2.#chkconfig -list #显示服务列表#chkconfig servicename off #关闭服务自启动#service stop servicename#关闭指定服务基线符合性判定依据在无特殊应用情况下，若有上述提到的服务开启，则不符合要求。备注第7章 持续改进本文件由XXX 定期进行审查，根据审查结果修订标准，并重新颁发执行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 16 页 - - - - - - - - -