linux系统安全加固规范.pdf

《linux系统安全加固规范.pdf》由会员分享，可在线阅读，更多相关《linux系统安全加固规范.pdf（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、LinuxLinux 主机操作系统加固规范主机操作系统加固规范目目录录第第 1 1 章章1.11。21。31.41。5第第 2 2 章章2.1概述概述.2 2目的.错误错误!未定义书签。未定义书签。适用范围.错误错误!未定义书签。未定义书签。适用版本.错误错误!未定义书签。未定义书签。实施.错误错误!未定义书签。未定义书签。例外条款.错误错误!未定义书签。未定义书签。账号管理、认证授权账号管理、认证授权.2 2账号.2用户口令设置.23检查是否存在除 root 之外 UID 为 0 的用户.33认证.错误错误!未定义书签。未定义书签。远程连接的安全性配置.42.1.12。1.32.22。2.1

2、2。1。2.root 用户远程登录限制2。1。4.root 用户环境变量的安全性2。2。2用户的 umask 安全配置.42。2。3重要目录和文件的权限设置.52。2.42.2.52.2。62.2.8第第 3 3 章章3.13。2查找未授权的 SUID/SGID 文件.6检查任何人都有写权限的目录.6查找任何人都有写权限的文件.7检查异常隐含文件.82。2。7检查没有属主的文件.7日志审计日志审计.9 9日志.9审计.93。1.1 syslog 登录事件记录.93.2。1 Syslog.conf 的配置审核.9第第 4 4 章章4。1系统文件系统文件.11.11系统状态.11系统 core d

3、ump 状态.114.1.1第 1 页 共 11 页第第1 1章章 概述概述1.11.1适用范围适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员.1.21.2适用版本适用版本LINUX 系列服务器;第第2 2章章 账号管理、认证授权账号管理、认证授权2.12.1账号账号2.1.12.1.1 用户口令设置用户口令设置安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 用户口令安全基线要求项SBL-Linux-02-01-01帐号与口令-用户口令设置1、询问管理员是否存在如下类似的简单用户密码

4、配置，比如:root/root，test/test，root/root12342、执行：more/etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE 参数3、执行：awk F:（2=）print 1 /etc/shadow,检查是否存在空口令账号基线符合基线符合性判定依性判定依据据建议在/etc/login 文件中配置：PASS_MIN_LEN=6不允许存在简单密码，密码设置符合策略，如长度至少为 6第 2 页 共 11 页不存在空口令账号备注备注2.1.22.1.2 rootroot 用户远程登录限制用户远程登

5、录限制安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注操作系统 Linux 远程登录安全基线要求项SBLLinux02-01-02帐号与口令root 用户远程登录限制执行:more/etc/securetty，检查 Console 参数建议在/etc/securetty 文件中配置：CONSOLE=/dev/tty012.1.32.1.3 检查是否存在除检查是否存在除 rootroot 之外之外 UIDUID 为为 0 0 的用户的用户安全基线安全基线项目名称项目名称安全基线安全基线编号编号

6、安安 全全 基基 线线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注操作系统 Linux 超级用户策略安全基线要求项SBL-Linux020103帐号与口令检查是否存在除 root 之外 UID 为 0 的用户执行:awk F:(3=0)print$1 /etc/passwd返回值包括“root”以外的条目,则低于安全要求；补充操作说明UID 为 0 的任何用户都拥有系统的最高特权，保证只有 root 用户的UID 为 02.1.42.1.4 rootroot 用户环境变量的安全性用户环境变量的安全性安全基线安全基线项目名称项目名称安全基线安全基线操作系统 L

7、inux 超级用户环境变量安全基线要求项SBL-Linux-020104第 3 页 共 11 页编号编号安全基线安全基线帐号与口令-root 用户环境变量的安全性项说明项说明检测操作检测操作执行:echo PATH|egrep （|：)（.：|$)，检查是否包含父步骤步骤目录，执行:find echo PATH tr ：-type d（perm-002-o-perm-020)ls，检查是否包含组目录权限为 777 的目录基线符合基线符合性判定依性判定依据据注注返回值包含以上条件，则低于安全要求；find echo$PATH|tr:type d（perm-777 operm-777）ls补充操作

8、说明确保 root 用户的系统路径中不包含父目录，在非必要的情况下，不应包含组权限为 777 的目录2.1.52.1.5 远程连接的安全性配置远程连接的安全性配置安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注操作系统 Linux 远程连接安全基线要求项SBLLinux0202-01帐号与口令-远程连接的安全性配置执行:find/-name .netrc，检查系统中是否有.netrc 文件，执行：find/-name .rhosts,检查系统中是否有。rhosts 文件返回值包含以上条件，则

9、低于安全要求；补充操作说明如无必要，删除这两个文件2.1.62.1.6 用户的用户的 umaskumask 安全配置安全配置安全基线安全基线操作系统 Linux 用户 umask 安全基线要求项项目名称项目名称安全基线安全基线帐号与口令-用户的 umask 安全配置项说明项说明检测操作检测操作执行:more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrc第 4 页 共 11 页步骤步骤基线符合基线符合性判定依性判定依据据备注备注more/etc/bashrc 检查是否包含 umask 值umask 值是默认的,则低于安全要求补充操作说明 直接 v

10、i/etc/bashrc建议设置用户的默认 umask=077数据库机器不装。2.1.72.1.7 重要目录和文件的权限设置重要目录和文件的权限设置安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 目录文件权限安全基线要求项SBL-Linux-02-0203文件系统-重要目录和文件的权限设置执行以下命令检查目录和文件的权限设置情况:lsl/etc/lsl/etc/rc。d/init.d/lsl/tmplsl/etc/inetd.conflsl/etc/passwdlsl/etc/shadowlsl/etc/grou

11、plsl/etc/securitylsl/etc/serviceslsl/etc/rc*.d基线符合基线符合性判定依性判定依据据备注备注若权限过低，则低于安全要求;补充操作说明对于重要目录，建议执行如下类似操作:chmod-R 750/etc/rc.d/init。d/*这样只有 root 可以读、写和执行这个目录下的脚本。第 5 页 共 11 页2.1.82.1.8 查找未授权的查找未授权的 SUID/SGIDSUID/SGID 文件文件安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux SUID/SGID 文件安全

12、基线要求项SBL-Linux02-0204文件系统-查找未授权的 SUID/SGID 文件用下面的命令查找系统中所有的 SUID 和 SGID 程序，执行：for PART in grep v /etc/fstab|awk （6!=”0”)print$2;dofind/（-perm-04000 o perm-02000）type f-xdevprintDone基线符合基线符合性判定依性判定依据据备注备注若存在未授权的文件，则低于安全要求；补充操作说明建议经常性的对比 suid/sgid 文件列表，以便能够及时发现可疑的后门程序2.1.92.1.9 检查任何人都有写权限的目录检查任何人都有写权限

13、的目录安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 目录写权限安全基线要求项SBLLinux-0202-05文件系统-检查任何人都有写权限的目录在系统中定位任何人都有写权限的目录用下面的命令：for PART in awk（$3=ext2”|3=ext3”）print 2 /etc/fstab;dofind/-xdev type d（-perm 0002 a!-perm 1000)printDone基线符合基线符合若返回值非空，则低于安全要求；第 6 页 共 11 页性判定依性判定依据据备注备注2.1.102.

14、1.10 查找任何人都有写权限的文件查找任何人都有写权限的文件安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 文件写权限安全基线要求项SBLLinux-02-02-06文件系统-查找任何人都有写权限的文件在系统中定位任何人都有写权限的文件用下面的命令：for PART in grepv /etc/fstab|awk(6!=”0”)print$2;dofind$PART-xdev type f（-perm 0002 a！perm1000）printDone基线符合基线符合性判定依性判定依据据备注备注若返回值非空，则

15、低于安全要求;2.1.112.1.11 检查没有属主的文件检查没有属主的文件安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 文件所有权安全基线要求项SBL-Linux-0202-07文件系统检查没有属主的文件定位系统中没有属主的文件用下面的命令：for PART in grep v /etc/fstab|awk($6！=”0”）print2;dofind$PARTnouser o nogroup printdone第 7 页 共 11 页注意：不用管“/dev目录下的那些文件.基线符合基线符合性判定依性判定依据据

16、备注备注若返回值非空，则低于安全要求；补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了.不能允许没有主人的文件存在.如果在系统中发现了没有主人的文件或目录，先查看它的完整性,如果一切正常，给它一个主人。有时候卸载程序可能会出现一些没有主人的文件或目录，在这种情况下可以把这些文件和目录删除掉。2.1.122.1.12 检查异常隐含文件检查异常隐含文件安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 隐含文件安全基线要求项SBL-Linux02-02-08文件系统-检查异常隐含文件用“find”程序可以查

17、找到这些隐含文件.例如：#find/-name。.*-print xdev find/name”*-print-xdev|cat v同时也要注意象“。xx”和“.mail”这样的文件名的.（这些文件名看起来都很象正常的文件名）基线符合基线符合性判定依性判定依据据备注备注若返回值非空,则低于安全要求；补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“ls”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件,等等）。在 UNIX 下，一个常用的技术就是用一些特殊的名，如：“”、“.”（点点空格)或“.。G(点点 c

18、ontrolG)，来隐含文件或目录。第 8 页 共 11 页第第3 3章章日志审计日志审计3.13.1日志日志3.1.13.1.1 syslogsyslog 登录事件记录登录事件记录安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注操作系统 Linux 登录审计安全基线要求项SBLLinux-030101日志审计-syslog 登录事件记录执行命令：more/etc/syslog.conf查看参数 authpriv 值若未对所有登录事件都记录,则低于安全要求；3.23.2审计审计3.2.13.

19、2.1 Syslog.confSyslog.conf 的配置审核的配置审核安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux 配置审计安全基线要求项SBLLinux-0302-01日志审计Syslog.conf 的配置审核执行：more/etc/syslog。conf，查看是否设置了下列项：kern.warning；*.err;authpriv。nonetloghost.info；mail。none；authpriv.none;cron。nonetloghost*。emergtloghostlocal7.*tlogh

20、ost基线符合基线符合若未设置，则低于安全要求；第 9 页 共 11 页性判定依性判定依据据备注备注补充操作说明建议配置专门的日志服务器,加强日志信息的异地同步备份第 10 页 共 11 页第第4 4章章系统文件系统文件4.14.1系统状态系统状态4.1.14.1.1 系统系统 core dumpcore dump 状态状态安全基线安全基线项目名称项目名称安全基线安全基线编号编号安全基线安全基线项说明项说明检测操作检测操作步骤步骤操作系统 Linux core dump 状态安全基线要求项SBLLinux-0401-01系统文件系统 core dump 状态执行:more/etc/security/limits.conf 检查是否包含下列项：soft core 0*hard core 0基线符合基线符合性判定依性判定依据据备注备注若不存在，则低于安全要求补充操作说明core dump 中可能包括系统信息，易被入侵者利用，建议关闭第 11 页 共 11 页