(完整版)Linux安全配置基線

1、中國(guó)移動(dòng)集團(tuán)公司第1頁(yè)共 15 頁(yè)LinuxLinux 系統(tǒng)安全配置基線系統(tǒng)安全配置基線中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部2009 年 3 月中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第2頁(yè)共 15 頁(yè)版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人| |審批人審批人V1.0創(chuàng)建2009年 1月備備注：注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。中國(guó)移動(dòng)集團(tuán)公司第3頁(yè)共 15 頁(yè)目目 第第 1 章概述章概述1.1目的 11.2適用范圍 11.3適用版本 11.4實(shí)施 1

2、1.5例外條款 1第第 2 章賬號(hào)管理、認(rèn)證授權(quán)章賬號(hào)管理、認(rèn)證授權(quán) 22.1賬號(hào) 22.1.1用戶口令設(shè)置22.1.2root用戶遠(yuǎn)程登錄限制22.1.3檢查是否存在除root之外UID為0的用戶32.1.4root用戶環(huán)境變量的安全性32.2認(rèn)證 42.2.1遠(yuǎn)程連接的安全性配置42.2.2用戶的umask安全配置42.2.3重要目錄和文件的權(quán)限設(shè)置42.2.4查找未授權(quán)的SWD/SGID文件.52.2.5檢查任何人都有寫權(quán)限的目錄62.2.6查找任何人都有寫權(quán)限的文件62.2.7檢查沒(méi)有屬主的文件72.2.8檢查異常隱含文件7第第 3 章日志審計(jì)章日志審計(jì) 93.1日志 93.1.1sy

3、slog登錄事件記錄93.2審計(jì) 93.2.1Syslog.conf的配置審核9第第 4 章系統(tǒng)文件章系統(tǒng)文件 114.1系統(tǒng)狀態(tài) 114.1.1系統(tǒng)coredump狀態(tài)11第第 5 章評(píng)審與修訂章評(píng)審與修訂 12中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第1頁(yè)共 15 頁(yè)第第 1 章概述章概述1.1 目的目的本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 LINUX 操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行 LINUX 操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2 適用范適用范本配置標(biāo)準(zhǔn)

4、的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門維護(hù)管理的 LINUX 服務(wù)器系統(tǒng)。1.3 適用版本適用版本LINUX 系列服務(wù)器；1.4 實(shí)施實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第2頁(yè)共 15 頁(yè)

5、第第 2 章賬號(hào)管理、認(rèn)證授權(quán)章賬號(hào)管理、認(rèn)證授權(quán)2.1 賬號(hào)賬號(hào)2.1.1用戶口令設(shè)置用戶口令設(shè)置安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux用戶口令安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-01-01安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明帳號(hào)與口令-用戶口令設(shè)置檢測(cè)操作步檢測(cè)操作步驟驟1、詢問(wèn)管理員是否存在如下類似的簡(jiǎn)單用戶密碼配置，比如：root/root,test/test,root/root12342、執(zhí)行:more/etc/login，檢查PASSMAXDAYS/PASSMINLEN/PASSMINDAYS/PASSARtNAGE 參數(shù)3、執(zhí)行：awk-F:($

6、2=)print$1/etc/shadow,檢查是否存在空口令賬號(hào)基線符合性基線符合性判定依據(jù)判定依據(jù)建議在/etc/login文件中配置：PASS_MIN_LEN=6不允許存在簡(jiǎn)單密碼，密碼設(shè)置符合策略，如長(zhǎng)度至少為 6 不存在空口令賬號(hào)備注備注2.1.2root用戶遠(yuǎn)程登錄限制用戶遠(yuǎn)程登錄限制安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-01-02安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明帳號(hào)與口令-root 用戶遠(yuǎn)程登錄限制檢測(cè)操作步檢測(cè)操作步執(zhí)行：more/etc/securetty，檢查 Console 參數(shù)中國(guó)移動(dòng)通信

7、CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第3頁(yè)共 15 頁(yè)驟驟基線符合性基線符合性判定依據(jù)判定依據(jù)建議在/etc/securetty文件中配置：CONSOLE=/dev/ttyOl備注備注213檢查是否存在除檢查是否存在除root之外之外UID為為0的用戶的用戶安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux超級(jí)用戶策略安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-01-03安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明帳號(hào)與口令-檢查是否存在除 root之外 UID 為 0的用戶檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)行：awk-F:($3=0)print$1/et

8、c/passwd基線符合性基線符合性判定依據(jù)判定依據(jù)返回值包括“root”以外的條目，貝 9低于安全要求；備注備注補(bǔ)充操作說(shuō)明UID 為 0 的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有 root用戶的 UID 為0214root用戶環(huán)境變量的安全性用戶環(huán)境變量的安全性安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux超級(jí)用戶環(huán)境變量安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-01-04安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明帳號(hào)與口令-root 用戶環(huán)境變量的安全性檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)行：echo$PATH|egrep(人|:)(.|:|$),檢查是否包含父目錄，執(zhí)行：finde

9、cho$PATH|tr:、-typed(-perm-002-o-perm-020)-ls，檢查是否包含組目錄權(quán)限為 777的目錄基線符合性基線符合性判定依據(jù)判定依據(jù)返回值包含以上條件，則低于安全要求；備注備注補(bǔ)充操作說(shuō)明確保 root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為 777的目錄中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第4頁(yè)共 15 頁(yè)2.2 認(rèn)證認(rèn)證2.2.1遠(yuǎn)程連接的安全性配置遠(yuǎn)程連接的安全性配置安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux遠(yuǎn)程連接安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux

10、-02-02-01安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明帳號(hào)與口令-遠(yuǎn)程連接的安全性配置檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)彳丁：find/-rc，檢查系統(tǒng)中是否有.netrc 文件，執(zhí)彳?。篺ind/-name.rhosts，檢查系統(tǒng)中是否有.rhosts 文件基線符合性基線符合性判定依據(jù)判定依據(jù)返回值包含以上條件，則低于安全要求；備注備注補(bǔ)充操作說(shuō)明如無(wú)必要，刪除這兩個(gè)文件2.2.2用戶的用戶的umask安全配置安全配置安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux用戶 umask 安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-02安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明帳號(hào)與口令-用戶的

11、umask 安全配置檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc 檢查是否包含 umask值基線符合性基線符合性判定依據(jù)判定依據(jù)umask 值是默認(rèn)的，則低于安全要求備注備注補(bǔ)充操作說(shuō)明建議設(shè)置用戶的默認(rèn) umask=0772.2.3重要目錄和文件的權(quán)限設(shè)置重要目錄和文件的權(quán)限設(shè)置安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux目錄文件權(quán)限安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-03中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部

12、安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第5頁(yè)共 15 頁(yè)安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：Is-1/etc/Is-1/etc/rc.d/init.d/ls-1/tmpls-1/etc/inetd.confls-1/etc/passwdls-1/etc/shadow1s-1/etc/groupls-1/etc/securityls-1/etc/servicesls-1/etc/rc*.d基線符合性基線符合性判定依據(jù)判定依據(jù)若權(quán)限過(guò)低，則低于安全要求；備注備注補(bǔ)充操作說(shuō)明對(duì)于重要目錄，建議執(zhí)行如下類似操作：#chm

13、od-R750/etc/rc.d/init.d/*這樣只有 root可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。224查找未授權(quán)的查找未授權(quán)的SUID/SGID文件文件安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) LinuxSUID/SGID 文件安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-04安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明文件系統(tǒng)-查找未授權(quán)的 SUID/SGID 文件檢測(cè)操作步檢測(cè)操作步驟驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序， 執(zhí)行： forPARTingrep-v人#/etc/fstab|awk($6!=0)print$2dofind$PART(-perm-04

14、000-o-perm-02000)-typef-xdev-printDone基線符合性基線符合性判定依據(jù)判定依據(jù)若存在未授權(quán)的文件，則低于安全要求；中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第6頁(yè)共 15 頁(yè)備注備注補(bǔ)充操作說(shuō)明建議經(jīng)常性的對(duì)比 suid/sgid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門程序2.2.5檢查任何人都有寫權(quán)限的目錄檢查任何人都有寫權(quán)限的目錄安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux目錄寫權(quán)限安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-05安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明文件系統(tǒng)-檢查任何人都有

15、寫權(quán)限的目錄檢測(cè)操作步檢測(cè)操作步驟驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTinawk($3=ext2|$3=ext3)print$2/etc/fstabdofind$PART-xdev-typed(-perm-0002-a!-perm-1000)-printDone基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注2.2.6查找任何人都有寫權(quán)限的文件查找任何人都有寫權(quán)限的文件安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux文件寫權(quán)限安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-06安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明文件系統(tǒng)-

16、查找任何人都有寫權(quán)限的文件檢測(cè)操作步檢測(cè)操作步驟驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：fOrPARTingrep-v 人#/etc/fstab|awk($6!=0)print$2dofind$PART-xdev-typef(-perm-0002-a!-perm-1000)-printDone基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第7頁(yè)共 15 頁(yè)2.2.7檢查沒(méi)有屬主的文件檢查沒(méi)有屬主的文件安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux文件所有權(quán)安全基線

17、要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-07安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明文件系統(tǒng)-檢查沒(méi)有屬主的文件檢測(cè)操作步檢測(cè)操作步驟驟定位系統(tǒng)中沒(méi)有屬主的文件用下面的命令：forPARTingrep-v人#/etc/fstab|awk($6!=0)print$2dofind$PART-nouser-o-nogroup-printdone注意：不用管“/dev”目錄下的那些文件?；€符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注補(bǔ)充操作說(shuō)明發(fā)現(xiàn)沒(méi)有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒(méi)有主人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒(méi)有主人的文件或目錄，先

18、查看它的完整性，如果一切正常，給它一個(gè)主人。有時(shí)候卸載程序可能會(huì)出現(xiàn)一些沒(méi)有主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。2.2.8檢查異常隱含文件檢查異常隱含文件安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux隱含文件安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-02-02-08安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明文件系統(tǒng)-檢查異常隱含文件檢測(cè)操作步檢測(cè)操作步驟驟用“find”程序可以查找到這些隱含文件。例如：# find/-name.*-print-xdev# find/-name.*-print-xdev|cat-v冋時(shí)也要注意象“xx”和“.mail”這樣的文件名的

19、。（這些文件名看起來(lái)都很象正常的文件名）基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；補(bǔ)充操作說(shuō)明中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第8頁(yè)共 15 頁(yè)在系統(tǒng)的每個(gè)地方都要查看一下有沒(méi)有異常隱含文件（點(diǎn)號(hào)是起始字符的，用“Is”命令看不到的文件）因?yàn)檫@些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）在 UNIX 下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“”、“.”（點(diǎn)點(diǎn)空格）“/G”（點(diǎn)點(diǎn) controbG）,來(lái)隱含文件或目錄。中國(guó)移動(dòng)通信CHINAMOBfLE中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)

20、部安全加固項(xiàng)目中國(guó)移動(dòng)集團(tuán)公司第9頁(yè)共 15 頁(yè)第第 3 章日志審計(jì)章日志審計(jì)3.1 日志日志311syslog登錄事件記錄登錄事件記錄安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux登錄申計(jì)安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-03-01-01安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明日志審計(jì)-syslog登錄事件記錄檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)行命令：more/etc/syslog.conf查看參數(shù) authpriv 值基線符合性基線符合性判定依據(jù)判定依據(jù)若未對(duì)所有登錄事件都記錄，則低于安全要求；備注備注3.2 審計(jì)審計(jì)321Syslog.con啲配置審核啲配置審核安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱操作系統(tǒng) Linux配置審計(jì)安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-Linux-03-02-01安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明日志審計(jì)-Syslog.conf 的配置審核檢測(cè)操作步檢測(cè)操作步驟驟執(zhí)行：more/etc/syslog.conf,查看是否設(shè)置了下列項(xiàng)：kern.warning*.errauthpriv.nonetloghost*.infomail.noneauthpriv.nonecro