系統(tǒng)安全加固參考信息

1、Linux系統(tǒng)安全加固參考信息目錄1操作系統(tǒng)安全-身份鑒別31.1對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別31.2最小密碼長(zhǎng)度31.3密碼復(fù)雜度31.4密碼字典41.5系統(tǒng)密碼使用時(shí)間41.6對(duì)失敗登錄的次數(shù)進(jìn)行限制41.7密碼重復(fù)使用次數(shù)設(shè)置51.8SSH服務(wù)IP，端口，協(xié)議，允許密碼錯(cuò)誤的次數(shù)，網(wǎng)絡(luò)中允許打開的會(huì) 話數(shù)51.9root賬號(hào)遠(yuǎn)程登錄設(shè)置51.10防止任何人使用su命令連接root用戶61.11系統(tǒng)Banner設(shè)置62操作系統(tǒng)安全-訪問控制72.1修改帳戶口令，更改默認(rèn)帳戶的訪問權(quán)限72.2刪除多余的、過期的帳戶，避免共享帳戶的存在72.3限制超級(jí)管理員遠(yuǎn)程登錄83操作系統(tǒng)安全-

2、入侵防范83.1僅安裝需要的應(yīng)用程序，關(guān)閉不需要的服務(wù)和端口83.2關(guān)閉不必要的服務(wù)83.3網(wǎng)絡(luò)訪問控制策略94操作系統(tǒng)安全-資源控制94.1根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開會(huì)話或鎖定94.2文件創(chuàng)建初始權(quán)限94.3設(shè)置合適的歷史命令數(shù)量94.4系統(tǒng)磁盤剩余空間充分滿足近期的業(yè)務(wù)需求104.5檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率105操作系統(tǒng)安全一日志105.1日志功能開啟105.2失敗登錄日志監(jiān)控115.3syslog日志等級(jí)的安全配置115.4安全審計(jì)策略115.5系統(tǒng)日志記錄125.6啟用記錄cron行為日志功能和cron/at的使用情況126操作系統(tǒng)安全-系統(tǒng)安全126.

3、1補(bǔ)丁管理126.2檢查并記錄系統(tǒng)開啟的網(wǎng)絡(luò)端口136.3關(guān)閉無效服務(wù)和啟動(dòng)項(xiàng)136.4僅允許特定IP允許訪問服務(wù)147操作系統(tǒng)安全-其它服務(wù)安全147.1FTP配置文件147.2R族文件157.3NFS文件系統(tǒng)配置情況檢查157.4FTP用戶及服務(wù)安全151操作系統(tǒng)安全-身份鑒別1.1對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別要求需對(duì)所有的帳號(hào)設(shè)置密碼，要求在登陸系統(tǒng)時(shí)必須輸入口令進(jìn)行身份驗(yàn)證。解決方法對(duì)于當(dāng)前用戶使用命令passwd <密碼 > 進(jìn)仃密碼設(shè)置；對(duì)于其他用戶則使用root權(quán)限登錄后，使用命令“passwd <用戶名> <密碼 > ”進(jìn)行密碼設(shè)置

4、。備注1.2最小密碼長(zhǎng)度要求密碼長(zhǎng)度、使用密碼字典解決方法vi /etc/security/userminlen = 8/疋義口令的最小長(zhǎng)度，注意口令的最小長(zhǎng)度由minlen和minalpha+minother中較大的一個(gè)值來決疋。 minalpha+minother不應(yīng)該大于 8,如果大于 8則minother會(huì)變?yōu)?-minalpha。（minalpha = 4/定義在口令中最少的字母的數(shù)量，默認(rèn)是0,范圍是：0到8minother = 0 /定義在口令中最少的非字母的數(shù)量，默認(rèn)是0,范圍是：0到8）備注1.3密碼復(fù)雜度要求密碼復(fù)雜度解決方法vi /etc/security/user密碼復(fù)

5、雜程度要求包含數(shù)字和字母/etc/security/userMinalpha= 4定義在口令中最少的字母的數(shù)量，默認(rèn)是0,范圍是：0到8Minother = 4/定義在口令中最少的非字母的數(shù)量，默認(rèn)是0,范圍是：0到8備注1.4密碼字典要求使用密碼字典檢查新密碼解決方法使用/etc/security/userDictio nlist = /usr/share/dict/words備注1.5系統(tǒng)密碼使用時(shí)間要求密碼使用時(shí)間解決方法密碼定期更改間隔設(shè)置為12周或更短/etc/security/userMaxage=12備注1.6對(duì)失敗登錄的次數(shù)進(jìn)行限制要求對(duì)失敗登錄的次數(shù)進(jìn)行限制解決方法允許的失敗

6、登陸次數(shù)設(shè)置為5次或5次以下/etc/security/userLogi nretries=5備注1.7密碼重復(fù)使用次數(shù)設(shè)置要求密碼重復(fù)使用次數(shù)設(shè)置為至少8次解決方法/etc/security/userhistsize=8備注1.8 SSH服務(wù)IP,端口，協(xié)議，允許密碼錯(cuò)誤的次數(shù)，網(wǎng)絡(luò)中允許打開的會(huì)話數(shù)要求SSH服務(wù)IP，端口，協(xié)議，最大允許認(rèn)證次數(shù)，網(wǎng)絡(luò)中允許打開的會(huì)話數(shù)解決方法cat /etc/ssh/sshd_c onfigPort 22/SSH 服務(wù)端端口為 22ListenAddress /SSH 服務(wù)端監(jiān)聽地址為 SyslogFacility AUTHP

7、RIV/系統(tǒng)登錄功能有加密LoginGraceTime0/限制用戶必須在指定的時(shí)間內(nèi)認(rèn)證成功，0表示不限制，2m為兩個(gè)月內(nèi)。MaxAuthTries 6/指疋每個(gè)連接最大允許的認(rèn)證次數(shù)，默認(rèn)值是6。如果失敗認(rèn)證的次數(shù)超過這個(gè)數(shù)值的一半，連接 將被強(qiáng)制斷開，且會(huì)生成額外的失敗日志消息。MaxSessions 10/指疋每個(gè)網(wǎng)絡(luò)連接允許打開會(huì)話的最大數(shù)目，默認(rèn)10MaxStarups 10/最大允許保持多少個(gè)未認(rèn)證的連接，默認(rèn)10。達(dá)到限制后，將不再接受新連接，除非先前的連接認(rèn)證成功或超過 LoginGraceTime 的限制。備注修改完成后，重啟ssh服務(wù)service sshd restart

8、備注1.9 root賬號(hào)遠(yuǎn)程登錄設(shè)置要求不允許root直接登錄及相關(guān)配置解決方法使用命令vi /etc/ssh/sshd_co nfig編輯配置文件#cat /etc/ssh/sshd_c onfigPermitRootLoginyes/是否允許 root 登錄。PasswordAuthe nticati onyes/密碼是否有認(rèn)證選yes有Challe ngeResp on seAuthe nticati onno /攻擊響應(yīng)認(rèn)證否GSSAPIAuthe nticati onyes/通用安全服務(wù)應(yīng)用程序接口認(rèn)證是UsePAM no /如果啟用了 PAM，那么必須使用 root才能運(yùn)行sshd

9、。設(shè)置"PermitRootLogin ” 的值為no備注修改完成后，重啟ssh服務(wù)service sshd restart1.10防止任何人使用su命令連接root用戶要求不想任何人都可以用“ 命令su ”命令成:root或只讓某些用戶有權(quán)使用“si解決方法備注1.11系統(tǒng)Banner設(shè)置要求通過修改系統(tǒng)banner,避免泄漏操作系統(tǒng)名稱，版本號(hào)，主機(jī)名稱等，并且給出登陸告警信息解決方法設(shè)置系統(tǒng)Banner的操作如下：在/etc/security/login.cfg 文件中，在 default 小節(jié)增加：herald = "ATTENTION:You have logge

10、d onto a secured server.All accesses logged.nnl ogi n:"備注2操作系統(tǒng)安全-訪問控制2.1修改帳戶口令，更改默認(rèn)帳戶的訪問權(quán)限要求嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些 帳戶的默認(rèn)口令解決方法使用命令cat /etc/password文件來查看默認(rèn)賬戶，并使用命令cat/etc/shadow 查看文件中的口令是否為默認(rèn)口令。使用root賬戶進(jìn)行登錄，使用命令"passwd username password來修改用戶的口令。對(duì)于無法重命名的系統(tǒng)默認(rèn)帳號(hào)，為增強(qiáng)主機(jī)系統(tǒng)的安全性，建議使用命令“ smit

11、user”，將與業(yè)務(wù)無關(guān)的系統(tǒng)默認(rèn)用戶進(jìn)行鎖定；備注此操作具有一定的危險(xiǎn)性，需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系 統(tǒng)的登錄，以免影響正常業(yè)務(wù)應(yīng)用。2.2刪除多余的、過期的帳戶，避免共享帳戶的存在要求刪除多余的、過期的帳戶，避免共享帳戶的存在解決方法方法一：可使用命令“ smit user”，將多余的、過期的帳戶，共享帳戶等系統(tǒng)默認(rèn)用 戶進(jìn)行鎖定；使用命令smit user解鎖不必要的賬號(hào)使用命令“smit user”刪除多余、過期的賬號(hào)方法二：vi /etc/security/user相關(guān)用戶acco un t_locked = true備注此操作具有一定的危險(xiǎn)性，需要與管理員確認(rèn)此項(xiàng)操作

12、不會(huì)影響到業(yè)務(wù)系 統(tǒng)的登錄，以免影響正常業(yè)務(wù)應(yīng)用。2.3限制超級(jí)管理員遠(yuǎn)程登錄要求限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng) 先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬。解決方法系統(tǒng)當(dāng)前狀態(tài)：執(zhí)行Isuser -a rlogin root命令，查看 root的rlogin屬性并記錄實(shí)施步驟：參考配置操作：（1）、查看root的rlogin屬性：#lsuser -a rlog in root（2）、禁止root遠(yuǎn)程登陸：#chuser rlogi n=false root備注還原root可以遠(yuǎn)程登陸，執(zhí)行如下命令：#chuser rlogi n=true root

13、3操作系統(tǒng)安全-入侵防范3.1僅安裝需要的應(yīng)用程序，關(guān)閉不需要的服務(wù)和端口要求1詢問相關(guān)維護(hù)人員，主機(jī)系統(tǒng)是除裝有正常業(yè)務(wù)應(yīng)用所需要的程序外，是否還安裝有與業(yè)務(wù)應(yīng)用無關(guān)的其它程序；2詢問相關(guān)維護(hù)人員并獲取授權(quán)安裝軟件清單文檔，查看當(dāng)前操作系統(tǒng) 中是否安裝有非清單內(nèi)的應(yīng)用軟件。3詢問相關(guān)維護(hù)人員，是否關(guān)閉了除正常業(yè)務(wù)應(yīng)用之外的所有服務(wù)與端口， 具體檢查方法：使用命令 netstat - an 查看開放的端口；解決方法使用命令netstat - an查看開放的端口；備注3.2關(guān)閉不必要的服務(wù)要求關(guān)閉不必要的服務(wù)解決方法（9）要開啟審計(jì)服務(wù)auditd備注3.3網(wǎng)絡(luò)訪問控制策略要求1訪談系統(tǒng)管理員，

14、是否制定了嚴(yán)格的訪問控制策略，包括是否限制登錄用戶，對(duì)遠(yuǎn)程登錄的IP是否有限制，采用哪種遠(yuǎn)程登錄方式等。解決方法查看hosts.allow、hosts.deny是否對(duì)某些服務(wù)，某些IP進(jìn)行了限制。#cat hosts.allowSshd:210.13.218.*:allow / 表示允許 210ip 段連接 shhd 服務(wù)#cat hosts.de nySshd:all:deny/表示拒絕所有sshd遠(yuǎn)程連接當(dāng) hosts.allow與 hosts.deny相沖突時(shí)以 hosts.allow為準(zhǔn)。備注4操作系統(tǒng)安全-資源控制4.1根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開會(huì)話或鎖定要求根據(jù)安全策略

15、設(shè)置登錄終端的空閑超時(shí)斷開會(huì)話或鎖定解決方法可使用命令cat /etc/profile |grep TMOUT查看超時(shí)的時(shí)間設(shè)置。使用命令“ vi /etc/profile ”修改配置文件，添加行“ TMOUT=180 ”，單位為秒，即超時(shí)時(shí)間為 3分鐘。備注超時(shí)時(shí)間的設(shè)置需要與應(yīng)用管理員進(jìn)行確認(rèn)，以免影響正常業(yè)務(wù)應(yīng)用。4.2文件創(chuàng)建初始權(quán)限要求文件創(chuàng)建初始權(quán)限解決方法vi /etc/security/user 設(shè)置umask值 umask 077#適用root用戶，其它用戶不可讀umask 022#適用非root用戶，其它用戶可讀不可寫備注4.3設(shè)置合適的歷史命令數(shù)量要求設(shè)置合適的歷史命令數(shù)

16、量解決方法編輯“ /etc/profile”文件，HISTFILESIZE 和 HISTSIZE 都設(shè)成了一個(gè)比較小的值。HISTSIZE=80HISTFILESIZE=80備注4.4系統(tǒng)磁盤剩余空間充分滿足近期的業(yè)務(wù)需求要求1檢查用戶是否建立有服務(wù)器備份存儲(chǔ)及介質(zhì)空間管理制度文檔，檢查其中是否對(duì)主機(jī)系統(tǒng)的磁盤空間的大小做出明確的要求；2檢查主機(jī)系統(tǒng)的磁盤空間，查看各個(gè)分區(qū)是否有充足的剩余磁盤空間來滿 足近期的業(yè)務(wù)需求。使用命令 df - hl命令來查看當(dāng)前磁盤占用空間情況解決方法建議如下：1建立服務(wù)器備份存儲(chǔ)及介質(zhì)空間管理制度文檔，并在其中對(duì)程序及重要數(shù)據(jù)的備份、對(duì)主機(jī)系統(tǒng)的磁盤空間的大小等

17、項(xiàng)目做出明確的要求；2管理員定期檢查所有主機(jī)系統(tǒng)的磁盤占用空間及其它資源占用情況，如果發(fā)現(xiàn)磁盤空間不夠，由相關(guān)技術(shù)人員提出申請(qǐng)，進(jìn)行磁盤空間的擴(kuò)充。備注4.5檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率要求檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率解決方法df - h可以查看相關(guān)信息：Filesystem size used avail use% mounted on 文件系統(tǒng)大小已用可用使用率掛載點(diǎn)當(dāng)使用率過高時(shí)要注意了！備注5操作系統(tǒng)安全一日志5.1日志功能開啟要求啟用日志記錄功能解決方法syslog的配置主要通過/etc/syslog.conf配置，日志信息可以記錄在本地的文 件當(dāng)中(

18、如/var/adm/messages)或遠(yuǎn)程的主機(jī)上(hostname)。startsrc -s syslogd 啟動(dòng) syslog服務(wù) stopsrc-s syslogd 停止 syslog服務(wù)備注5.2失敗登錄日志監(jiān)控要求通過系統(tǒng)日志的方式記錄失敗的登錄嘗試解決方法系統(tǒng)記錄失敗的用戶登錄/etc/security/failedloginWho /etc/security/failedlogin 查看備注5.3 syslog日志等級(jí)的安全配置要求syslog日志等級(jí)的安全配置解決方法syslog配置文件要求：修改文件安全設(shè)置/etc/syslog.co nf配置文件中包含一下日志記錄：*.e

19、rr/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,authpriv.i nfo/var/adm/authlog備注5.4安全審計(jì)策略要求安全審計(jì)策略解決方法方法：查看系統(tǒng)日志配置，執(zhí)行：#cat /etc/syslog.c onf查看syslogd的配置，并確認(rèn)日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages/系統(tǒng)日志默認(rèn)存放在/var/log/messagescron.*/var/log/croncro

20、n 日志默認(rèn)存放在 /var/log/cronauthpriv.* /var/log/secure/ 安全日志默認(rèn)存放在 /var/log/secure備注5.5系統(tǒng)日志記錄要求查年系統(tǒng)日志記錄解決方法執(zhí)行：cat /etc/log/secure / 記錄 pop3,telnet,ssh,ftp 登陸信息的文件last - R/查看前50次登陸系統(tǒng)用戶的信息cat /etc/log/messages /查看系統(tǒng)發(fā)生的錯(cuò)誤信息(包括登陸信息)備注5.6啟用記錄cron行為日志功能和cron/at的使用情況要求啟用記錄cron行為日志功能和 cron/at的使用情況解決方法cron/At的相關(guān)文件

21、主要有以下幾個(gè)：/var/spool/cron/crontabs 存放 cron 任務(wù)的目錄 /var/spool/cr on/cron .allow 允許使用 cron tab 命令的用戶 /var/spool/cr on/cron.deny不允許使用 cron tab 命令的用戶/var/spool/cron/atjobs存放 at 任務(wù)的目錄/var/spool/cron/at.allow允許使用 at 的用戶/var/spool/cron/at.deny不允許使用 at 的用戶使用cron tab和at命令可以分別對(duì) cron和at任務(wù)進(jìn)行控制。#crontab -l查看當(dāng)前的 cro

22、n任務(wù)#at -l查看當(dāng)前的at任務(wù)備注6操作系統(tǒng)安全-系統(tǒng)安全6.1補(bǔ)丁管理要求系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)解決方法執(zhí)行oslevel - r命令或instfix -i|grep ML命令，查看補(bǔ)丁當(dāng)前安裝的狀況和 版本。使用instfixaik命令來元成補(bǔ)丁的安裝操作。、，、.注意:(1)、在AIX系統(tǒng)中涉及安全的補(bǔ)丁包有以下幾種：推存維護(hù)包(Recommended扎Maintenance Packages):由一系列最新的文 件集組成的軟件包，包含了特定的操作系統(tǒng)(如AIX 5.2 )發(fā)布以來的所有文件集的補(bǔ)丁。關(guān)鍵補(bǔ)丁 Critical fixes(cfix):自推存維護(hù)包之后，修補(bǔ)關(guān)鍵性漏洞的補(bǔ)

23、丁。緊急補(bǔ)丁 Emergency fixes（efix）:自推存維護(hù)包之后，修補(bǔ)緊急女全漏洞的 補(bǔ)丁。（2）、補(bǔ)丁安裝原則：在新裝和重新安裝系統(tǒng)后，必須安裝最新的推薦維護(hù)包，以及該最新推薦維護(hù)包以來的所有單獨(dú)的cfix和efix。日常維護(hù)中如果廠家推出新的RM、cfix、efix則按照原補(bǔ)丁維護(hù)管理規(guī)定進(jìn)行補(bǔ)丁安裝。備注應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不 兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過測(cè)試和驗(yàn)證。6.2檢查并記錄系統(tǒng)開啟的網(wǎng)絡(luò)端口要求檢查并記錄系統(tǒng)開啟的網(wǎng)絡(luò)端口解決方法netstat - antp （查看開啟的 tcp端口） netstat -

24、anup （查看開啟的 udp端口） 其中：Proto顯示連接使用的協(xié)議Local Address查看本地地址及端口備注6.3關(guān)閉無效服務(wù)和啟動(dòng)項(xiàng)要求關(guān)閉無效服務(wù)和啟動(dòng)項(xiàng)解決方法查看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件并記錄當(dāng)前配置；查看 /etc/inetd.conf文件并記錄當(dāng)前的配置（一）、rc.dAIX系統(tǒng)中的服務(wù)主要在 /etc/inittab文件和/etc/rc.* （包括rc.tcpip, rc.nfs） 等文件中啟動(dòng)，事實(shí)上，/etc/rc.*系列文件主要也是由/etc/inittab啟動(dòng)。冋時(shí)，AIX中所有啟動(dòng)的服務(wù)（至少與業(yè)

25、務(wù)相關(guān)的）都可以同過SRC（ SystemResource Manage）進(jìn)行管理?？梢杂卸N方式查看系統(tǒng)服務(wù)的啟動(dòng)情況：（1）、使用 vi 查看 /etc/inittab、/etc/rc.tcpip 和 /etc/rc.nfs 等文件；（2）、使用 lssrc 和 lsitab 命令；（3）、通過smit查看和更改。注：SRC本身通過/etc/inittab文件啟動(dòng)。lssrc -a列出所有SRC管理的服務(wù)的狀態(tài)lsitab -a列出所有由/etc/inittab 啟動(dòng)的信息，和 cat /etc/inittab 基本相冋，除了沒有注釋。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表

26、相對(duì)比，女口 果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁 用；也可以對(duì)服務(wù)做適當(dāng)配置。（二）、in etd.c onf由INETD 啟動(dòng)的服務(wù)在文件 /etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動(dòng)），因此查看INETD啟動(dòng)的服務(wù)的情況有兩種方法：（1）、使用vi查看/etc/inetd.conf中沒有注釋的行；（2）、使用Issrc命令。Issrc -l -s inetd查看inetd的狀態(tài)以及由INETD 啟動(dòng)的服務(wù)的狀態(tài)； refresh -s inetd 更改 /etc/inetd.conf 文件后重啟 inetd。建議

27、關(guān)閉由inetd啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開telnetd、 ftpd、rlogind、rshd 等服務(wù)。啟動(dòng)或停止inetd啟動(dòng)的服務(wù)（例如 ftpd）:（1） 、使用vi編輯/etc/inetd.conf，去掉注釋（啟動(dòng)）或注釋掉（停止）ftpd 所在的行；（2） 、重啟 inetd: refresh -s inetc。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，女口 果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁 用；也可以對(duì)服務(wù)做適當(dāng)配置。備注6.4僅允許特定IP允許訪問服務(wù)要求僅允許特定IP允許訪問服務(wù)解決方法查看hosts.allow、hosts.deny是否對(duì)某些服務(wù)，某些IP進(jìn)行了限制。#cat /etc/hosts.allowSshd:210.13.218.*:allow / 表示允許 210ip 段連接 shhd 服務(wù)#cat /etc/hosts.de nySshd:all:deny/表示拒絕所有sshd遠(yuǎn)程連接當(dāng) hosts.allow與 hosts.deny相沖突時(shí)以 hosts.allow為準(zhǔn)。備注7操作系統(tǒng)安全-其它服務(wù)安全