Linux安全配置標(biāo)準(zhǔn).docVIP

頁 2Linux安全配置標(biāo)準(zhǔn)一.目的Linux安全配置標(biāo)準(zhǔn)是Qunar信息系統(tǒng)安全標(biāo)準(zhǔn)的一部分，主要目的是根據(jù)信息安全管理政策的要求，為我司的Linux系統(tǒng)提供配置基準(zhǔn)，并作為Linux系統(tǒng)設(shè)計(jì)、實(shí)施及維護(hù)的技術(shù)和安全參考依據(jù)。 二.范圍安全標(biāo)準(zhǔn)所有條款默認(rèn)適用于所有Linux系統(tǒng)，某些特殊的會(huì)明確指定適用范圍。 三.內(nèi)容3.1 軟件版本及升級(jí)策略操作系統(tǒng)內(nèi)核及各應(yīng)用軟件，默認(rèn)采用較新的穩(wěn)定版本，不開啟自動(dòng)更新功能。安全組負(fù)責(zé)跟蹤廠商發(fā)布的相關(guān)安全補(bǔ)丁，評(píng)估是否進(jìn)行升級(jí)。 3.2 賬戶及口令管理3.2.1 遠(yuǎn)程登錄帳號(hào)管理符合以下條件之一的，屬可遠(yuǎn)程登錄帳號(hào)： (1) 設(shè)置了密碼，且?guī)ぬ?hào)處于未鎖定狀態(tài)。 (2) 在$HOME/.ssh/authorized_keys放置了public key 可遠(yuǎn)程登錄帳號(hào)的管理要求為： (1) 帳號(hào)命名格式與郵件命名格式保持一致 (2) 不允許多人共用一個(gè)帳號(hào)，不允許一人有多個(gè)帳號(hào)。 (3) 每個(gè)帳號(hào)均需有明確的屬主，離職人員帳號(hào)應(yīng)當(dāng)天清除。 (4) 特殊帳號(hào)需向安全組報(bào)批 3.2.2 守護(hù)進(jìn)程帳號(hào)管理守護(hù)進(jìn)程啟動(dòng)帳號(hào)管理要求 (1) 應(yīng)建立獨(dú)立帳號(hào)，禁止賦予sudo權(quán)限，禁止加入root或wheel等高權(quán)限組。 (2) 禁止使用可遠(yuǎn)程登錄帳號(hào)啟動(dòng)守護(hù)進(jìn)程 (3) 禁止使用root帳號(hào)啟動(dòng)WEB SERVER/DB等守護(hù)進(jìn)程。 3.2.3 系統(tǒng)默認(rèn)帳號(hào)管理（僅適用于財(cái)務(wù)管理重點(diǎn)關(guān)注系統(tǒng)）刪除默認(rèn)的帳號(hào)，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理口令管理應(yīng)遵循密碼口令管理制度，具體要求為 (1) 啟用密碼策略 /etc/login.defsPASS_MAX_DAYS 90PASS_MIN_DAYS 1PASS_MIN_LEN 7PASS_WARN_AGE 7/etc/pam.d/system-authpassword sufficient pam_unix.so * remember=5password requisite pam_cracklib.so * minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0(2) 啟用帳號(hào)鎖定策略，連續(xù)輸錯(cuò)3次口令，鎖定用戶30分鐘 /etc/pam.d/system-authauth required pam_env.soauth required pam_tally2.so deny=3 unlock_time=18003.2.5 OpenSSH安全配置只使用協(xié)議版本2，禁止root登錄，禁止空口令登錄，獨(dú)立記錄日志到/var/log/secure。具體配置為： /etc/ssh/sshd_config#default is 2,1Protocol 2#default is yesPermitRootLogin no#default is noPermitEmptyPasswords no#default is AUTHSyslogFacility AUTHPRIV3.3 認(rèn)證授權(quán)3.3.1 遠(yuǎn)程管理方式(1) 默認(rèn)僅允許ssh一種遠(yuǎn)程管理方式，禁止使用telnet、rlogin等，如存在以下文件，必須刪除： $HOME/.rhosts/etc/hosts.equiv/etc/xinetd.d/rsh/etc/xinetd.d/rlogin(2) 跳板機(jī)只允許RSA TOKEN方式登錄，其它Linux服務(wù)器只允許通過密碼和public key方式登錄。 (3) 生產(chǎn)環(huán)境Linux服務(wù)器，只允許來自跳板機(jī)和其它指定IP的登錄，通過tcp warp實(shí)現(xiàn)。生產(chǎn)環(huán)境范圍由安全組指定，允許登錄的IP源由安全組指定。BETA/DEV環(huán)境登錄限制同生產(chǎn)環(huán)境。 3.3.2 其它（僅適用于財(cái)務(wù)管理重點(diǎn)關(guān)注系統(tǒng)）(1) 僅允許非wheel組用戶通過遠(yuǎn)程管理，配置方法： /etc/security/access.conf-:wheel:ALL EXCEPT LOCAL .win.tue.nl/etc/pam.d/sshdaccount required pam_access.so(2) 限制普通用戶控制臺(tái)訪問權(quán)限 禁止普通用戶在控制臺(tái)執(zhí)行shutdown、halt以及reboot等命令。 rm -f /etc/security/console.apps/rebootrm -f /etc/security/console.apps/haltrm -f /etc/security/console.apps/shutdownrm -f /etc/security/console.apps/poweroff3.4 其它3.4.1 關(guān)鍵文件權(quán)限（僅適用于財(cái)務(wù)管理重點(diǎn)關(guān)注系統(tǒng)）將以下文件設(shè)置為600權(quán)限 /$HOME/.bash_logout/$HOME/.bash_profile/$HOME/.bashrc3.4.2 日志管理開啟以下行為日志：用戶登錄日志、crontab執(zhí)行日志 配置方法： /etc/syslog.confauthpriv.* /var/log/securecron.* /var/log/cron對(duì)于PCI DSS覆蓋范圍內(nèi)的系統(tǒng)，所有日志應(yīng)實(shí)時(shí)發(fā)送到集中的日志管理服務(wù)器，并確保由程序自動(dòng)分析與告警。 3.4.3 用戶界面TIMEOUT設(shè)置用戶30分鐘無操作自動(dòng)退出。設(shè)置方法： /etc/profileTMOUT=1800對(duì)于PCI DSS以及SOX404范圍內(nèi)的系統(tǒng)，空閑超時(shí)時(shí)間需設(shè)置為15分鐘。3.4.4 設(shè)置NTP時(shí)間同步，確保各服務(wù)器時(shí)間保持一致配置同機(jī)房的自行運(yùn)維的NTP服務(wù)器為NTP源。 示例（每個(gè)機(jī)房可能不一樣）： driftfile /var/db/ntp.driftpidfile /var/run/ntpd.pidserver 17server 8server 7restrict default ignorerestrict restrict mask nomodifyrestrict 17restrict 8restrict 7內(nèi)部NTP服務(wù)必須采用行業(yè)認(rèn)可的NTP源。 示例： server minpoll 4 maxpoll 8 iburst burst preferserver 89 minpoll 4 maxpoll 8 iburst burst preferserver 42 minpoll 4 maxpoll 8 iburst burst preferserver 02 minpoll 4 maxpoll 8 iburst burst preferserver 38 minpoll 4 maxpoll 8 iburst burst preferserver 2 minpoll 4 maxpoll 8 iburst burst preferserver 14 minpoll 4 maxpoll 8 iburst burst preferserver minpoll 4 maxpoll 8 iburst burst preferserver 4 minpoll 4 maxpoll 8 iburst burst preferserver minpoll 4 maxpoll 8 iburst burst prefer# individual serversrestrict default ignorerestrict restrict 89restrict 42restrict 02restrict 38restrict 2restrict 14restrict restrict 4restrict 3.4.5 禁止安裝/運(yùn)行不必要的服務(wù)當(dāng)前禁止安裝/運(yùn)行的服務(wù)列表為 nfssambatelnetrsh-server3.4.6 安裝防病毒軟件（僅適用于PCI DSS范圍內(nèi)系統(tǒng)）安裝經(jīng)安全組認(rèn)可的防病毒軟件。 每周至少升級(jí)一次防病毒定義，并使用最新定義執(zhí)行系統(tǒng)掃描。升級(jí)以及定期掃描應(yīng)設(shè)置為自動(dòng)執(zhí)行任務(wù)。對(duì)于掃描出來的結(jié)果只告警，由安全組成員手工清除病毒，禁止設(shè)置自動(dòng)刪除。 掃描范圍至少包括： bin sbin home lib lib64 opt usr var如果日志（系統(tǒng)、應(yīng)用）目錄被包含于以上目錄，需做排除處理。 3.4.7 安裝完整性檢測工具（僅適用于PCI DSS范圍內(nèi)系統(tǒng)）由安全組安裝文件完整性檢測工具，確保以下文件被篡改時(shí)及時(shí)告警： 所有日志文件 /etc/profile.d /etc/inittab /etc/sysconfig/init /etc/hosts.allow /etc/hosts.deny /etc/modprobe.conf /etc/ntp.conf /etc/snmp/snmpd.conf /etc/ssh/ssh_config /etc/ssh/sshd_config /etc/ssh/ssh_host_key /etc/sysctl.conf /etc/syslog.conf /etc/grub.conf /etc/shadow /etc/sudoers /etc/group /etc/passwd /etc/login.defs /etc/securetty3.4.8 memcached安全配置memcached統(tǒng)一監(jiān)聽在以下端口之一：6666/11211/11212/11213，安全組將在網(wǎng)絡(luò)邊界對(duì)這些端口實(shí)施訪問控制。 memcached應(yīng)以nobody權(quán)限啟用，禁止使用root權(quán)限啟動(dòng)。 3.4.9 rsyncd安全配置rsyncd配置必須符合以下安全要求 配置項(xiàng)默認(rèn)配置要求配置list默認(rèn)為true，即允許枚舉模塊列表。注意：通過帳號(hào)認(rèn)證和ACL無法限制枚舉行為。在全局配置設(shè)置為false或noauth_users默認(rèn)為空，即允許匿名訪問，不需要帳號(hào)密碼認(rèn)證。應(yīng)建立帳號(hào)/密碼進(jìn)行認(rèn)證，密碼必須符合復(fù)雜度要求hosts_allow默認(rèn)為空，即允許從任意源IP訪問。應(yīng)精確限制可訪問的源IP或主機(jī)名，禁止設(shè)置整個(gè)網(wǎng)段。3.4.10 WEB目錄下禁止存放危險(xiǎn)文件WEB目錄