linu安全配置规范.docx

《linu安全配置规范.docx》由会员分享，可在线阅读，更多相关《linu安全配置规范.docx（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、linuLelc was written in 20212、创建用户时查看系统是否提供了用户权 限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个 用户的权限差异应能够分别在用户权限级 别、可访问系统资源以及可用命令等方面 予以体现；4、分别利用2个新建的账号访问设备系 统，并分别尝试访问允许访问的内容和不 允许访问的内容，查看权限配置策略是否 牛效3、加充说明编号：2要求内容,当在创建新文件或目录时应屏蔽掉新文 件或目录不应有的访问允许权限。防止同 属于该组的其它用户及别的组的用户修改 该用户的文件或更高限制。操作指南1、参考配置操作设置默认权限：Vi /etc/

2、在末尾增加umask 027,将缺 省访问权限设置为750修改文件或目录的权限，操作举例如下： ttchmod 444 dir ; #修改目录dir的权限 为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系 统设置的umask,可以在需要的时候通过命 令行设置，或者在用户的shell启动文件 中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例 如下：#ls -1 dir ; #查看目录dir的权限ttcat /etc/查看是否有umask 027内容3、补充说明umask的默

3、认设置一般为022,这给新创建 的文件默认权限755 (777-022=755),这 会给文件所有者读、写权限，但只给组成 员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于 目录，该值等于八进制数据代码777减去 需要的默认权限对应的八进制数据代码 值；对于文件，该值等于八进制数据代码 666减去需要的默认权限对应的八进制数据 代码值。编号：3要求内容如果需要启用FTP服务，当通过FTP服 务创建新文件或目录时应屏蔽掉新文件或 目录不应有的访问允许权限。操作指南1、参考配置操作以vsftp为例打开/etc/vsftpd/chroot_list 文件,将需 要限制

4、的用户名加入到文件中2、补充操作说明检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：3、补充说明远程登录编号：1要求内容限制具备超级管理员权限的用户远程登 录。远程执行管理员权限操作，应先以普通权 限用户远程登录后，再切换到超级管理员 权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/passwd,帐号信息的shell为 /sbin/nologin的为禁止远程登录,如要允 许，则改成可以登录的shell即可，如 /bin/bash2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/ss

5、hd config 文件，将PermitRootLogin yes 改为PermitRootLogin no, 重启 sshd 月艮务。检测方法1、判定条件root远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以切换到root用户;2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_conf ig 文件，将PermitRootLogin yes 改为PermitRootLogin no,重启 sshd 服务。编号：

6、2要求内容对于使用IP协议进行远程维护的设备，设 备应配置使用SSH等加密协议，并安全配 置SSHD的设置。操作指南1、参考配置操作正常可以通过#/08/55111 start来启动SSH;通过#/etc/sshd stop 来停止 SSH2、补充操作说明查看SSH服务状态：# ps - ef grep ssh注：禁止使用telnet等明文传输协议进行 远程维护；如特别需要，需采用访问控制 策略对其进行限制；检测方法1、判定条件# ps - ef grep ssh是否有ssh进程存在 是否有telnet进程存在 2、检测操作查看SSH服务状态：# ps - ef grep ssh查看telne

7、t服务状态： # ps - ef grep telnet 3、补充说明补丁安全编号：1要求内容在保证业务网络稳定运行的前提下，安装 最新的OS补丁。补丁在安装前需要测试确 定。操作指南1、参考配置操作看版本是否为最新版本。执行下列命令，查看版本及大补丁号。ttuname - a2、补充操作说明检测方法1、 判定条件看版本是否为最新版本。# uname - a查看版本及大补丁号RedHat Linux： Linux： Linux：、 检 测操作在系统安装时建议只安装基本的OS部份， 其余的软件包则以必要为原则，非必需的 包就不装。3、补充说明日志安全要求编号：1要求内容启用syslog系统日志审

8、计功能操作指南1、参考配置操作ttcat /etc/查看是否有#authp是v. */var/log/secure2、补充操作说明将authpirv设备的任何级别的信息记录到 /var/log/secure文件中，这主要是一些和 认证、权限使用相关的信息。检测方法1判定条件查看是否有#authpriv. */var/log/secure2、检测操作ttcat /etc/3、补充说明将authpirv设备的任何级别的信息记录到 /var/log/secure文件中，这主要是一些和 认证、权限使用相关的信息。编号：2要求内容系统日志文件由syslog创立并且不口J被其 他用户修改；其它的系统日志文

9、件不是全 局可写操作指南1、参考配置操作查看如下等日志的访问权限#ls查看下列日志文件权限/var/log/messages、 /var/log/secure、/var/log/maillog /var/log/cron、/var/log/spooler /var/log/2、补充操作说明检测方法1、判定条件2、检测操作使用1s -1命令依次检查系统日志的读写权限3、补充说明编号：3 （可选）要求内容启用记录cron行为日志功能操作指南1、参考配置操作Vi /etc/# Log cron stuff cron. * cron. *检测方法1、判定条件2、检测操作 cron. *编号：4 （可选

10、）要求内容设备配置远程口志功能，将需要重点关注 的日志内容传输到日志服务器。操作指南1、参考配置操作修改配置文件vi /etc/,加上这一行：礼* 可以将和*替换为你实际需要的日志信 息。比如:kern. * ; mail. * 等等。可以将此处替换为实际的IP或域名。2、补充操作说明检测方法1、判定条件设备配置远程日志功能，将需要重点关注 的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明不必要的服务、端口编号：1要求内容关闭不必要的服务。操作指南1、参考配置操作查看所有开启的服务：#ps - efttchkconfig -list#cat /etc/在

11、中关闭不用的服务首先复制/etc/。#cp /etc/ /etc/然后用vi编辑器编辑 文件，对于需要注释掉的服务在相应行开 头标记#字符，重启xinetd服务，即可。2、补充操作说明参考附表，根据需要关闭不必要的服务检测方法1 判定条件所需的服务都列出来；没有不必要的服务；2、检测操作#ps - efSchkconfig -listttcat /etc/3、补充说明在/etc/文件中禁止不必要的基本网络服 务。注意：改变了 “/etc/”文件之后，需要重 新启动xinetd。对必须提供的服务采用tcpwapper来保护系统Banner设置要求内容修改系统banner,避免泄漏操作系统名 称，

12、版本号，主机名称等，并且给出登陆 告警信息操作指南1、参考配置操作在缺省情况下，当你登录到linux系统， 它会告诉你该linux发行版的名称、版本、内核版本、服务器 的名称。应该尽可能的隐藏系统信息。首先编辑“/etc/”文件，在卜面显不的 这些行前加一个“甲，把输出信息的命令 注释掉。# This will overwrite /etc/issue at every boot. So, makeany changes you want to make to/etc/issue here or youwill lose them when you reboot.ttecho /etc/iss

13、uettecho $R /etc/issue# echo /Kernel $ (uname -r) on $a$ (uname -m) /etc/issue# cp -f /etc/issue /etc/# echo /etc/issue其次删除/etc目录下的和issue文件：# mv /etc/issue /etc/# mv /etc/ /etc/检测方法查看Cat /etc/注释住处信息登录超时时间设置要求内容对于具备字符交互界面的设备，配置定时 帐户自动登出操作指南1、参考配置操作通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑profile文件(vi /et

14、c/profile),在 “HISTFILESIZE=”后面加入下面这行：建议TM0UT=300 (可根据情况设定)2、补充操作说明改变这项设置后，必须先注销用户，再用该用户登录才能激活这个功能检测方法1、判定条件 查看 TM0UT=300删除潜在危险文件Linux安全配置规范要求内容.rhosts, rc,等文件都具有潜在的危险， 如果没有应用，应该删除操作指南1、参考配置操作执行：find / -name rc,检查系统中是否 有rc文件，执行：find / -name . rhosts ,检查系统2011年3月中是否有.rhosts文件如无应用，删除以上文件：Mv .rhost .Mv

15、r .2、补充操作说明注意系统版本，用相应的 方法执行检测方法1、判定条件2、检测操作FTP设置编号1：要求内容禁止root登陆FTP操作指南1、参考配置操作在ftpaccess文件中加入下列行 root检测方法使用root帐号登录ftp会被拒绝编号2：要求内容禁止匿名ftp操作指南1、参考配置操作以vsftpd为例：打开文件，修改下列行为： anonymousenab1e=N0检测方法匿名账户不能登录编号3：要求内容修改FTP banner信息操作指南1、参考配置操作使用vsftpd,则修改下列文件的内容： /etc/使用wu-ftpd ,则需要修改文件/etc/ftpaccess,在其中添

16、加：banner /path/to/ftpbanner在指定目录下创建包含ftp的banner信息的 文件检测方法1、判断依据通过外部ftp客户端登录，banner按照预先 设定的显示2、检查操作附表：端口及服务服务名称端口应用说明关闭方法处置 建议daytime13/tcpRFC867白天 协议chkconfig daytime off建议 关闭13/udpRFC867白天 协议chkconfig daytime offtime37/tcp时间协议chkconfig time off37/udp时间协议chkconfig time-udp offecho7/tcpRFC862回声 协议chk

17、config echo off7/udpRFC862回声 协议chkconfig echo-udp offdiscard9/tcpRFC863废除 协议chkconfigdiscard off9/udpchkconfig discard-udp offchargen19/tcpRFC864字符 产生协议chkconfig chargen off19/udpchkconfig chargen-udp offftp21/tcp文件传输协议（控制）chkconfig gssftp off据况择放 根情选开telnet23/tcp虚拟终端协议chkconfig krb5-telnet off据况择放

18、根情选开sendmail25/tcp简单邮件发送 协议chkconfig sendmail off建议 关闭nameserver53/udp域名服务chkconfig named off根据 情况 选择 开放53/tcp域名服务chkconfig named off根据 情况 选择 开放apache80/tcpHTTP万维网 发而服务chkconfig httpd off据况择放 根情选开login513/tcp远程登录chkconfig login off根据 情况 选择 开放shell514/tcp远程命令，no passwd usedchkconfigshell off根据 情况选择 开

19、放exec512/tcpremote execution, passwd requiredchkconfigexec off据况择放 根情选开ntalk518/udpnew talk, conversationchkconfigntalk off建议 关闭ident113/tcpauthchkconfig ident off建议 关闭printer515/tcp远程打印缓存chkconfig printer off烈议闭 强建关bootps67/udp引导协议服务 端chkconfig bootps off建议 关闭68/udp引导协议客户 端chkconfig bootps off建议 关闭

20、tftp69/udp普通文件传输 协议chkconfig tftp off强烈 建议 关闭kshell544/tcpKerberos remote shell -kfallchkconfigkshell off建议 关闭klogin543/tcpKerberos rlogin - kfallchkconfig klogin off建议 关闭portmap111/tcp端口映射chkconfig portmap off据况择放 根情选开snmp161/udp简单网络管理 协议(Agent)chkconfig snmp off根据 情况 选择开放snmp trap161/tcp简单网络管理协议(A

21、gent)chkconfig snmp off根据 情况 选择 开放snmp-trap162/udp简单网络管理协议(Traps)chkconfig snmptrap off据况择放 根情选开syslogd514/udp系统日志服务chkconfig syslog off建议 保留Ipd515/tcp远程打印缓存chkconfig Ipd off烈议闭 强建关nfs2049/tcpNFS远程文件 系统chkconfig nfs off强烈 建议 关闭2049/udpNFS远程文件 系统chkconfig nfs off强烈 建议 关闭动态端口rpc服务chkconfig nfslock off

22、烈议闭 强建关ypbind动态端口rpc服务chkconfig ypbind off强烈 建议 关闭第一章概述1.1适用范围适用于中国电信使用Linux操作系统的设备。本规范明 确了安全配置的基本要求，适用于所有的安全等级，可作 为编制设备入网测试、安全验收、安全检查规范等文档的 参考。由于版本不同，配置操作有所不同，本规范以内核版本 及以上为例，给出参考配置操作。第二章安全配置要求账号编号：1要求内容应按照不同的用户分配不同的账号。避免 不同用户间共享账号。避免用户账号和设 备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：ttuseradd username #创建账号Spa

23、sswd username#设置密码修改权限：ttchmod 750 directory #其中 750 为设置 的权限，可根据实际情况设置相应的权 限，director是要更改权限的目录）使用该命令为不同的用户分配不同的账 号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号：2要求内容应删除或锁定与设备运行、维护等工作无 关的账号。操作指南1、参考配置操作删除用户：#userdel username;锁定用户：1）修改/etc/shadow文件，用户名后加 *LK*2）将

24、/etc/passwd文件中的shell域设 置成/bin/false3）#passwd -1 username只有具备超级用户权限的使用者方可使用，Spasswd -1 username 锁定用户，用 ttpasswd - d username解锁后原有密码失 效，登录需输入新密码，修改/etc/shadow 能保留原有密码。2、补充操作说明需要锁定的用户：listen, gdm, webservd, nobody, nobody4noaccesso注：无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或

25、锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen, gdm, webservd, nobody, nobody4noaccesso编号：3要求内容根据系统要求及用户的业务需求，建立多 帐户组，将用户账号分配到相应的帐户 组。操作指南1、参考配置操作Cat /etc/passwd Cat /etc/group 2、补充操作说明检测方法1、判定条件 人工分析判断 2、检测操作编号：4要求内容使用PAM禁止任何人su为root操作指南参考操作：编辑SU文件(vi /etc/su),在开头添加下 面 两 行： auth sufficient /lib/security/ aut

26、h required /lib/security/ group=wheel 这表明只有 wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它 可以使用su命令成为root用户。添加方法 为：# chmod - GIO username检测方法1、判定条件 2、检测操作 Cat /etc/su口令编号：1要求内容对于采用静态口令认证技术的设备，口令 长度至少8位，并包括数字、小写字母、 大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi /etc/ ,修改设置如下PASS_MIN_LEN=8 #设定最小用户密码长度 为8位Linux用户密码的复杂

27、度可以通过 pamcracklib module 或 pam_passwdqc module进行设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如 下配置：i,配置口令的最小长度；ii.将口令配置为强口令。2、创建一个普通账号，为用户配置与用户 名相同的口令、只包含字符或数字的简单 口令以及长度短于8的口令，查看系统是 否对口令强度要求进行提示；输入带有特 殊符号的复杂口令、普通复杂口令，查看 系统是否可以成功设置。3、补充说明pam_cracklib主要参数说明：tre try二N:重

28、试多少次后返回密码修改错 误difok=N :新密码必需与旧密码不同的位数 dcredit=N: N = 0:密码中最多有多少个 数字;N 0密码中最少有多少个数字.leredit二N:小宝字母的个数 ucredit=N大宝字母的个数 讨让手:特殊字母的个数 minclass二N:密码组成（大/小字母,数字, 特殊字符）pam_passwdqc主要参数说明：mix:设置口令字最小长度，默认值是 mix=disabled。max:设置口令字的最大长度，默认值是 max=40opassphrase:设置口令短语中单词的最 少个数，默认值是passphrase=3,如果为 0则禁用口令短语。atch

29、:设置密码串的常见程序，默认值 是 match=4osimilar:设置当我们重设口令时，重新 设置的新口令能否与旧口令相似，它可以 是similar=permit允许相似或similar=deny不允许相似。random:设置随机生成口令字的默认长 度。默认值是random=42。设为0则禁止该 功能。enforce:设置约束范围，enforce二none 表示只警告弱口令字，但不禁止它们使 用；enforce二users将对系统上的全体非根 用户实行这一限制；enforce二everyone将 对包括根用户在内的全体用户实行这一限 制。non-unix:它告诉这个模块不要使用传 统的get

30、pwnam函数调用获得用户信息。reSy:设置用户输入口令字时允许重试 的次数，默认值是re壮尸3。密码复杂度通过/etc/system-auth实施编号：2要求内容对于采用静态口令认证技术的设备，帐户 口令的生存期不长于90天。操作指南1、参考配置操作vi /etc/PASS_MAX_DAYS=90#设定口令的生存期不长90天检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；文件及目录权限编号：1要求内容在设备权限配置能力内，根据用户的业务 需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的

31、权限进行实际设 置。2、补充操作说明/etc/passwd必须所有用户都可读，root 用户可写 rw-r一r一/etc/shadow 只有 root 可读 r /etc/group须所有用户都可读，root用 户可写 -rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户 对/ftc的写权限（特殊情况除外） 执行命令枇111110（1 -R go-w /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选 项，并记录对用户进行权限配置是否必须 在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即 用户无法访问授权范围之外的系统资源， 而口J以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个 不同的用户；