Linux安全配置基線

1、 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 Linux 系統(tǒng)安全配置基線 中國(guó)移動(dòng)集團(tuán)公司 第 1 頁(yè) 共 15 頁(yè) 備注： 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 1. 若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。 中國(guó)移動(dòng)集團(tuán)公司 第 2 頁(yè) 共 15 頁(yè) 版本 版本控制信息 更新日期 更新人 審批人 V1.0 創(chuàng)建 2009 年 1 月 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 目 錄 第 1 章 概述.1 1.1 目的.1 1.2 適用范圍.1 1.3 適用版本.1 1.4 實(shí)施.1 1.5 例外條款.1 第 2 章 賬號(hào)管理、認(rèn)證授權(quán).2 2.1 賬號(hào).2 2.

2、1.1 用戶口令設(shè)置 .2 2.1.2 root 用戶遠(yuǎn)程登錄限制.2 2.1.3 檢查是否存在除 root 之外 UID 為 0 的用戶 .3 2.1.4 root 用戶環(huán)境變量的安全性.3 2.2 認(rèn)證.4 2.2.1 遠(yuǎn)程連接的安全性配置 .4 2.2.2 用戶的 umask 安全配置 .4 2.2.3 重要目錄和文件的權(quán)限設(shè)置 .4 2.2.4 查找未授權(quán)的 SUID/SGID 文件.5 2.2.5 檢查任何人都有寫權(quán)限的目錄 .6 2.2.6 查找任何人都有寫權(quán)限的文件 .6 2.2.7 檢查沒有屬主的文件 .7 2.2.8 檢查異常隱含文件 .7 第 3 章 日志審計(jì).9 3.1

3、日志.9 3.1.1 syslog 登錄事件記錄 .9 3.2 審計(jì).9 3.2.1 Syslog.conf 的配置審核 .9 第 4 章 系統(tǒng)文件.11 4.1 系統(tǒng)狀態(tài).11 4.1.1 系統(tǒng) core dump 狀態(tài) .11 第 5 章 評(píng)審與修訂.12 中國(guó)移動(dòng)集團(tuán)公司 第 3 頁(yè) 共 15 頁(yè) 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 第 1 章 概述 1.1 目的 本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 LINUX 操作系 統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查 人員進(jìn)行 LINUX 操作系統(tǒng)的安全合規(guī)性檢查和配置。 1.

4、2 適用范圍 本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門維護(hù)管理的 LINUX 服務(wù)器系統(tǒng)。 1.3 適用版本 LINUX 系列服務(wù)器； 1.4 實(shí)施 本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中 若有任何疑問或建議，應(yīng)及時(shí)反饋。 本標(biāo)準(zhǔn)發(fā)布之日起生效。 1.5 例外條款 欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說明業(yè)務(wù)需求和原因，送 交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。 中國(guó)移動(dòng)集團(tuán)公司 第 1 頁(yè) 共 15 頁(yè) 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)

5、目 第 2 章 賬號(hào)管理、認(rèn)證授權(quán) 2.1 賬號(hào) 2.1.1 用戶口令設(shè)置 2.1.2 root 用戶遠(yuǎn)程登錄限制 中國(guó)移動(dòng)集團(tuán)公司 第 2 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 用戶口令安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-01-01 安全基線項(xiàng) 說明 帳號(hào)與口令-用戶口令設(shè)置 檢測(cè)操作步 驟 1、詢問管理員是否存在如下類似的簡(jiǎn)單用戶密碼配置，比root/root, test/test, root/root122、執(zhí)行：more /etc/login，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_W

6、ARN_E 參數(shù) 3、執(zhí)行：awk -F: ($2 = ) print $1 /etc/shadow, 檢查是否存號(hào) 基線符合性 判定依據(jù) 建議在/etc/login 文件中配置：PASS_MIN_LEN=6 不允許存在簡(jiǎn)單密碼，密碼設(shè)置符合策略，如長(zhǎng)度至少為不存在空口令賬號(hào) 備注 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 遠(yuǎn)程登錄安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-01-02 安全基線項(xiàng) 說明 帳號(hào)與口令-root 用戶遠(yuǎn)程登錄限制 檢測(cè)操作步 執(zhí)行：more /etc/securetty，檢查 Console 參數(shù) 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 2.1.3

7、檢查是否存在除 root 之外 UID 為 0 的用戶 2.1.4 root 用戶環(huán)境變量的安全性 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 超級(jí)用戶環(huán)境變量安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-01-04 安全基線項(xiàng) 說明 帳號(hào)與口令-root 用戶環(huán)境變量的安全性 檢測(cè)操作步 驟 執(zhí)行：echo $PATH | egrep (|:)(.|:|$)，檢查是否包含父目錄， 執(zhí)行：find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls查是否包含組目錄權(quán)限為 777 的目錄 基線符合性 中國(guó)移動(dòng)集團(tuán)公司 第

8、 3 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 超級(jí)用戶策略安全基線要求項(xiàng) 判定依據(jù) 返回值包含以上條件，則低于安全要求； 備注 補(bǔ)充操作說明 確保 root 用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)組權(quán)限為 777 的目錄 安全基線編 號(hào) SBL-Linux-02-01-03 安全基線項(xiàng) 說明 帳號(hào)與口令-檢查是否存在除 root 之外 UID 為 0 的用戶 檢測(cè)操作步 驟 執(zhí)行：awk -F: ($3 = 0) print $1 /etc/passwd 基線符合性 判定依據(jù) 返回值包括“root”以外的條目，則低于安全要求； 備注 補(bǔ)充操作說明 UID 為

9、0 的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有 root 用戶的 UID0 驟 基線符合性 判定依據(jù) 建議在/etc/securetty 文件中配置：CONSOLE = /dev/tty01 備注 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 2.2 認(rèn)證 2.2.1 遠(yuǎn)程連接的安全性配置 2.2.2 用戶的 umask 安全配置 2.2.3 重要目錄和文件的權(quán)限設(shè)置 中國(guó)移動(dòng)集團(tuán)公司 第 4 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 遠(yuǎn)程連接安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-01 安全基線項(xiàng) 說明 帳號(hào)與口令-遠(yuǎn)程連接的安全性配置 檢測(cè)操作步 驟 執(zhí)行

10、：find / -name .netrc，檢查系統(tǒng)中是否有.netrc 文執(zhí)行：find / -name .rhosts ，檢查系統(tǒng)中是否有.rhosts 文件 基線符合性 判定依據(jù) 返回值包含以上條件，則低于安全要求； 備注 補(bǔ)充操作說明 如無必要，刪除這兩個(gè)文件 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 用戶 umask 安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-02 安全基線項(xiàng) 說明 帳號(hào)與口令-用戶的 umask 安全配置 檢測(cè)操作步 驟 執(zhí)行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc mo

11、/etc/bashrc 檢查是否包含 umask 值 基線符合性 判定依據(jù) umask 值是默認(rèn)的，則低于安全要求 備注 補(bǔ)充操作說明 建議設(shè)置用戶的默認(rèn) umask=077 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 目錄文件權(quán)限安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-03 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 2.2.4 查找未授權(quán)的 SUID/SGID 文件 中國(guó)移動(dòng)集團(tuán)公司 第 5 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 說明 文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置 檢測(cè)操作步 驟 執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況： ls l /etc/ ls l /etc/rc.d

12、/init.ls l /tls l /etc/inetd.cols l /etc/passls l /etc/shadls l /etc/grols l /etc/securils l /etc/servicls -l /etc/rc*.d 基線符合性 判定依據(jù) 若權(quán)限過低，則低于安全要求； 備注 補(bǔ)充操作 對(duì)于重要目錄，建議執(zhí)行如下類似操 # chmod -R 750 /etc/rc.d/init.d/* 這樣只有 root 可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux SUID/SGID 文件安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-0

13、4 安全基線項(xiàng) 說明 文件系統(tǒng)-查找未授權(quán)的 SUID/SGID 文件 檢測(cè)操作步 驟 用下面的命令查找系統(tǒng)中所有的 SUID 和 SGID 程序，執(zhí)for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; find $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -priDone 基線符合性 判定依據(jù) 若存在未授權(quán)的文件，則低于安全要求； 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 備注 補(bǔ)充操作說明 建議經(jīng)常性的對(duì)比 suid/sgid 文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門

14、2.2.5 檢查任何人都有寫權(quán)限的目錄 2.2.6 查找任何人都有寫權(quán)限的文件 中國(guó)移動(dòng)集團(tuán)公司 第 6 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 目錄寫權(quán)限安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-05 安全基線項(xiàng) 說明 文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄 檢測(cè)操作步 驟 在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命 for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; do find $PART -xdev -type d ( -perm -0002 -a ! -perm -100

15、0 ) -priDone 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求； 備注 安全基線目名操作系Linu文件寫權(quán)限安全基線要求安全基線 號(hào) SBL-Linux-02-02-06 安全基線項(xiàng) 說明 文件系統(tǒng)-查找任何人都有寫權(quán)限的文件 檢測(cè)操作步 驟 在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命 for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; find $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -priDone 基線符合性 判定依據(jù) 若返回值非空，則低于

16、安全要求； 備注 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 2.2.7 檢查沒有屬主的文件 2.2.8 檢查異常隱含文件 中國(guó)移動(dòng)集團(tuán)公司 第 7 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 文件所有權(quán)安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-07 安全基線項(xiàng) 說明 文件系統(tǒng)-檢查沒有屬主的文件 檢測(cè)操作步 驟 定位系統(tǒng)中沒有屬主的文件用下面的命 for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; find $PART -nouser -o -nogroup -pridone 注意：不用管“

17、/dev”目錄下的那些文件。 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求； 備注 補(bǔ)充操作說明 發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄，先查看它整性，如果一切正常，給它一個(gè)主人。有時(shí)候卸載程序可能會(huì)出現(xiàn)一些主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 隱含文件安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-02-02-08 安全基線項(xiàng) 說明 文件系統(tǒng)-檢查異常隱含文件 檢測(cè)操作步 驟 用“find”程序可以查找到這些隱含文件。例如： # find /

18、-name . * -print xd# find / -name * -print -xdev | cat -v 同時(shí)也要注意象“.xx”和“.mail”這樣的文件名的。（這些文件名看 都很象正常的文件名） 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求； 備注 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 補(bǔ)充操作說明 在系統(tǒng)的每個(gè)地方都要查看一下有沒有異常隱含文件（點(diǎn)號(hào)是起始字符用“l(fā)s”命令看不到的文件），因?yàn)檫@些文件可能是隱藏的黑客工具或它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在 UNIX 下， 一個(gè)常用的技術(shù)就是用一些特殊的名，如：“”、“. ”（點(diǎn)點(diǎn)空格“.G”（點(diǎn)點(diǎn)

19、 control-G），來隱含文件或目錄。 中國(guó)移動(dòng)集團(tuán)公司 第 8 頁(yè) 共 15 頁(yè) 中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目 第 3 章 日志審計(jì) 3.1 日志 3.1.1 syslog 登錄事件記錄 3.2 審計(jì) 3.2.1 Syslog.conf 的配置審核 中國(guó)移動(dòng)集團(tuán)公司 第 9 頁(yè) 共 15 頁(yè) 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 配置審計(jì)安全基線要求項(xiàng) 安全基線編 號(hào) SBL-Linux-03-02-01 安全基線項(xiàng) 說明 日志審計(jì)-Syslog.conf 的配置審核 檢測(cè)操作步 驟 執(zhí)行：more /etc/syslog.conf，查看是否設(shè)置了下列kern.warning;*.err;authpriv.nonetlogho*.info;mail.none;authpriv.none;cron.nonetlogho*.emergtlogholocal7.*tloghost 基線符合性 若未設(shè)置，則低于安全要求； 安全基線項(xiàng) 目名稱 操作系統(tǒng) Linux 登錄審計(jì)安全基線要求項(xiàng)