29操作系統(tǒng)安全技術(shù)規(guī)范

1、文件名稱密級內(nèi)部文件編號版本號V1.0編寫部門編寫人審批人發(fā)布時間xxxx網(wǎng)絡(luò)與信息安全操作系統(tǒng)安全規(guī)范保密申明本文檔版權(quán)由中國人民大學(xué)所有。未經(jīng)中國人民大學(xué)書面許可，任何單位和個人不得以任何形式摘抄、復(fù)制本文檔的部分或全部，并以任何形式傳播目錄1 目的32 范圍33 原則34 主要內(nèi)容45 參考文檔錯誤！未定義書簽。6 UNIX系統(tǒng)安全規(guī)范46.1 用戶賬號控制56.2 特殊用戶56.2.1 root賬戶56.2.2 系統(tǒng)賬戶66.3 資源控制76.3.1 基線控制76.3.2 補(bǔ)丁管理76.3.3 文件/目錄控制76.4 系統(tǒng)t己賬和日志86.5 網(wǎng)絡(luò)服務(wù)86.5.1 inetd啟動的服務(wù)

2、86.5.2 網(wǎng)絡(luò)服務(wù)的訪問控制96.5.3 其它服務(wù)96.5.4 替代不安全的服務(wù)96.6 AT/CRON的安全97 WINDOWS安全規(guī)范107.1 WINDOWS系統(tǒng)安全基本原則107.2 WINDOWS安全流程107.3 系統(tǒng)修補(bǔ)127.3.1 Windows系統(tǒng)修補(bǔ)流程127.4 基于的角色保護(hù)137.4.1 密碼規(guī)范137.4.2 密碼復(fù)雜性要求137.5 服務(wù)器基準(zhǔn)規(guī)范147.5.1 審計(jì)規(guī)范147.5.2 賬戶鎖定規(guī)范147.5.3 安全選項(xiàng)規(guī)范147.6 針對網(wǎng)絡(luò)攻擊的安全事項(xiàng)158 附則168.1 文檔信息168.2 版本控制168.3 其他信息161目的各類主機(jī)操作系統(tǒng)由

3、于設(shè)計(jì)缺陷，不可避免地存在著各種安全漏洞，給移動各系統(tǒng)帶來安全隱患。如果沒有對操作系統(tǒng)進(jìn)行安全配置，操作系統(tǒng)的安全性遠(yuǎn)遠(yuǎn)不能達(dá)到它的安全設(shè)計(jì)級別。絕大部分的入侵事件都是利用操作系統(tǒng)的安全漏洞和不安全配置的隱患得手的。為提高操作系統(tǒng)的安全性，確保系統(tǒng)安全高效運(yùn)行，必須對操作系統(tǒng)進(jìn)行安全配置。本規(guī)范的目的是指導(dǎo)主機(jī)操作系統(tǒng)的安全配置，各業(yè)務(wù)系統(tǒng)管理員可根據(jù)本指南和業(yè)務(wù)情況制定各主機(jī)操作系統(tǒng)的安全配置規(guī)程。從而規(guī)范主機(jī)操作系統(tǒng)的安全配置，提高主機(jī)操作系統(tǒng)的抗攻擊能力，提高主機(jī)操作系統(tǒng)的性能，提高主機(jī)操作系統(tǒng)的穩(wěn)定性。2范圍本規(guī)范適用于各主流主機(jī)操作系統(tǒng)的安全配置，其中Unix系統(tǒng)安全配置適用于Sol

4、aris、AIX、HP-UX、SCOOpenServe麗Linux等Unix操作系統(tǒng),Windows系統(tǒng)安全配置適用于Windows2000/XP/2003操作系統(tǒng)，其他操作系統(tǒng)安全配置在此規(guī)范中僅給出了安全配置指導(dǎo)，請查閱相關(guān)資料并同系統(tǒng)供應(yīng)商確認(rèn)后作出詳細(xì)配置。3原則xxxx系統(tǒng)安全應(yīng)該遵循以下原則：有限授權(quán)原則應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確?？赡艿氖鹿省㈠e誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小。訪問控制原則對主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲數(shù)據(jù)的過程（存取控制）。日志使用原則日志內(nèi)容應(yīng)包括：軟件及磁盤錯誤記錄；登錄

5、系統(tǒng)及退出系統(tǒng)的時間；屬于系統(tǒng)管理員權(quán)限范圍的操作。審計(jì)原則計(jì)算機(jī)系統(tǒng)能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。分離與制約原則將用戶與系統(tǒng)管理人員分離；將系統(tǒng)管理人員與軟件開發(fā)人員分離；將系統(tǒng)的開發(fā)與系統(tǒng)運(yùn)行分離；將密鑰分離管理；將系統(tǒng)訪問權(quán)限分級管理。4主要內(nèi)容本文主要闡述了UNIX和Windows主機(jī)安全配置時應(yīng)該遵循的原則和基本規(guī)范。5 UNIX系統(tǒng)安全規(guī)范安全控制對于一個UNIX系統(tǒng)來說非常重要，系統(tǒng)的安全管理主要分為四個方面：防止未授權(quán)存取：這是計(jì)算機(jī)安全最重要的問題，即未被授權(quán)使用系統(tǒng)的人進(jìn)入系統(tǒng)。用戶意識、良好的口令管理（由系統(tǒng)管理員和用戶雙方

6、配合卜登錄活動記錄和報(bào)告、用戶和網(wǎng)絡(luò)活動的周期檢查、這些都是防止未授權(quán)存取的關(guān)鍵。防止泄密：這也是計(jì)算機(jī)安全的一個重要問題。防止已授權(quán)或未授權(quán)的用戶存取相互的重要信息。文件系統(tǒng)查帳，SU登錄和報(bào)告，用戶意識，加密都是防止泄密的關(guān)鍵。防止用戶拒絕系統(tǒng)的管理：這一方面的安全應(yīng)由操作系統(tǒng)來完成。一個系統(tǒng)不應(yīng)被一個有意試圖使用過多資源的用戶損害。不幸的是，UNIX不能很好地限制用戶對資源的使用，一個用戶能夠使用文件系統(tǒng)的整個磁盤空間，而UNIX基本不能阻止用戶這樣做。系統(tǒng)管理員最好用PS命令，記帳程序DF和DU周期地檢查系統(tǒng)。查出過多占用CPU的進(jìn)程和大量占用磁盤的文件。防止丟失系統(tǒng)的完整性：這一安全

7、方面與一個好系統(tǒng)管理員的實(shí)際工作（例如：周期地備份文件系統(tǒng)，系統(tǒng)崩潰后運(yùn)行FSCK檢查，修復(fù)文件系統(tǒng)，當(dāng)有新用戶時，檢測該用戶是否可能使系統(tǒng)崩潰的軟件）和保持一個可靠的操作系統(tǒng)有關(guān)（即用戶不能經(jīng)常性地使系統(tǒng)崩潰）。5.1 用戶賬號控制UNIX每個用戶有唯一的用戶名、用戶ID和口令，文件屬主取決于用戶ID；root可以更改文件屬主；系統(tǒng)缺省root為超級用戶；系統(tǒng)用戶adm、sys、bin等不允許登錄；需要共享同一類文件的用戶可以歸入同一個組。大多數(shù)默認(rèn)安裝的UNIX/Linux系統(tǒng),沒有對賬戶口令進(jìn)行強(qiáng)制限制，因此為了保證系統(tǒng)的安全應(yīng)該調(diào)整系統(tǒng)的規(guī)范對賬戶的密碼進(jìn)行長度和復(fù)雜性的限制。5.2

8、特殊用戶除了正常的系統(tǒng)賬戶，UNIX系統(tǒng)還存在很多系統(tǒng)賬戶，例如：root、bin、systemadmin、nobody等。5.2.1 root賬戶root是UNIX系統(tǒng)中最為特殊的一個賬戶，它具有最大的系統(tǒng)權(quán)限，能夠控制系統(tǒng)的所有資源。若系統(tǒng)管理員的root口令泄密了，則系統(tǒng)安全使岌岌可危了，擁有了root口令便使得系統(tǒng)安全防線只有一步之遙了。即使su命令通常要在任何都不可讀的文件中記錄所有想成為root的企圖，還可用記帳數(shù)據(jù)或ps命令識別運(yùn)行su命令的用戶。正因?yàn)槿绱耍到y(tǒng)管理員作為root運(yùn)行程序時應(yīng)當(dāng)特別小心，對于root賬戶的使用應(yīng)該注意以下問題：應(yīng)嚴(yán)格限制使用root特權(quán)的人數(shù)。不

9、要作為root或以自己的登錄戶頭運(yùn)行其他用戶的程序，首先用su命令進(jìn)入用戶的戶頭。決不要把當(dāng)前工作目錄排在PATH路徑表的前邊，那樣容易招引特洛伊木馬。當(dāng)系統(tǒng)管理員用su命令進(jìn)入root時，他的PATH將會改變，就讓PATH保持這樣，以避免特洛伊木馬的侵入。敲入/usr/bin/su執(zhí)行su命令。若有su源碼，將其改成必須用全路徑名運(yùn)行（即su要確認(rèn)argv0的頭一個字符是"/"才運(yùn)行）。隨著時間的推移，用戶和管理員將養(yǎng)成使用/usr/bin/su的習(xí)慣。不要未注銷戶頭就離開終端，特別是作為root用戶時更不能這樣。不允許root在除控制臺外的任何終端登錄（這是login的

10、編譯時的選項(xiàng)），如果沒有l(wèi)ogin源碼，就將登錄名root改成別的名，造成破壞者不能在root登錄名下猜測各種可能的口令，從而非法進(jìn)入root的戶頭。確認(rèn)su命令記下了想運(yùn)行su企圖的記錄/var/adm/sulog,該記錄文件的許可方式是600,并屬root所有。這是非法者喜歡選擇來替換成特洛伊木馬的文件。不要讓某人作為root運(yùn)行，即使是幾分鐘，即使是系統(tǒng)管理員在一旁注視著也不行。root口令應(yīng)由系統(tǒng)管理員以不公開的周期更改。不同的機(jī)器采用不同的root口令。Linux系統(tǒng)把root的權(quán)限進(jìn)行了更細(xì)粒度的劃分，更小的單位成為能力（capability）,為了安全可以使用能力約束集放棄部分r

11、oot的權(quán)限。5.2.2 系統(tǒng)賬戶在Unix系統(tǒng)上，大多數(shù)系統(tǒng)賬戶平時是沒什么用的，包括：bindaemonadmlpmailnewsuucpoperatorgamesgopherrp籌，即使不把它們刪除，也不要讓它們擁有真正的shell,檢查/etc/passwd文件，檢查這些賬戶的最后一個字段（shell）是否被置/sbin/nologin或/bin/false。另外，還要禁止這些賬戶使用系統(tǒng)的ftp服務(wù)，把這些系統(tǒng)用戶放入/etc/ftpusers或者/etc/ftpd/ftpusers文件。5.3 資源控制5.3.1 基線控制基線是一個系統(tǒng)快照數(shù)據(jù)庫，保存操作系統(tǒng)文件、應(yīng)用和用戶。通過

12、基線檢查，對比系統(tǒng)當(dāng)前和原始的快照，可以快速檢測系統(tǒng)非授權(quán)及沒有記錄的變化，系統(tǒng)出現(xiàn)非授權(quán)的修改表示系統(tǒng)可能遭到入侵。系統(tǒng)中的配置文件、可執(zhí)行文件、動態(tài)連接庫等不會經(jīng)常變動的文件應(yīng)該納入基線控制的范疇，而/tmp、/var等系統(tǒng)目錄，以及其它一些經(jīng)常發(fā)生變動的文件不可以進(jìn)行基線控制。在UNIX系統(tǒng)中經(jīng)常用到的基線控制工具包括：Tripwire>AIDE等。5.3.2 補(bǔ)丁管理補(bǔ)丁對于系統(tǒng)安全和穩(wěn)定具有重要的意義，因此應(yīng)該密切關(guān)注每個系統(tǒng)的補(bǔ)丁。各種UNIX/Linux系統(tǒng)的廠商都會不定期地針對新出現(xiàn)的漏洞發(fā)布安全補(bǔ)丁或者軟件升級包，下表是一些常見UNIX/Linux系統(tǒng)的補(bǔ)丁發(fā)布方式和獲

13、取手段：操作系統(tǒng)補(bǔ)丁類型修補(bǔ)方式Solaris單個補(bǔ)丁和補(bǔ)丁集pkgadd、installpatchLinux(Redhat、RedFlagTurbo)替代的升級軟件包rpmHP-UX單個補(bǔ)丁和補(bǔ)丁集swinstallAIX單個補(bǔ)丁和補(bǔ)丁集instfix5.3.3 文件/目錄控制UNIX文件和目錄有一組許可權(quán)位，采用標(biāo)準(zhǔn)的讀、寫和執(zhí)行來定義三個級別的許可權(quán)：用戶（文件屬主）、組和其他人，另外附加的三種許可權(quán)位是SUID、SGID和t（粘著位）。帶SUID位的可執(zhí)行文件意味著文件運(yùn)行時，其進(jìn)程以文件的有效UID運(yùn)行。Shell程序不支持SUID,SUID對目錄無意義；帶SGID位的可執(zhí)行文件意味

14、著文件運(yùn)行時，其進(jìn)程以文件屬組的有效GID運(yùn)行；帶SGID的目錄表示在該目錄下創(chuàng)建的文件/目錄將繼承目錄的組ID,而忽略創(chuàng)建者的屬組；UNIX中的粘著位對文件無意義，帶粘著位的目錄意味著：即使對目錄具有寫許可權(quán)(如/tmp),用戶也不能隨便刪除目錄下的文件，除非是文件屬主或目錄屬主。5.4 系統(tǒng)記賬和日志安全性日志是系統(tǒng)安全的重要保障，有經(jīng)驗(yàn)的系統(tǒng)管理員經(jīng)常使用其做安全性檢查。5.5 網(wǎng)絡(luò)服務(wù)作為服務(wù)器來說，服務(wù)端口開放越多，系統(tǒng)安全穩(wěn)定性越難以保證。所以提供特定服務(wù)的服務(wù)器應(yīng)該盡可能開放提供服務(wù)必不可少的端口，而將與服務(wù)器服務(wù)無關(guān)的服務(wù)關(guān)閉，比如：一臺作為www和ftp服務(wù)器的機(jī)器，應(yīng)該只開

15、放80和25端口，而將其他無關(guān)的服務(wù)如：fingerauth等服務(wù)關(guān)掉，以減少系統(tǒng)漏洞。5.5.1 inetd啟動的服務(wù)inetd在系統(tǒng)啟動時可由啟動程序(/etc/rc.d/init.d/inet)啟動。inetd監(jiān)視文件(/etc/inetd.conf)中所設(shè)置的端口并等待連接要求(請求包)。一旦有連接請求時，判斷與inetd.conf所指定的端口相對應(yīng)的服務(wù)，進(jìn)而啟動提供該服務(wù)的服務(wù)器程序，連接請求本身當(dāng)連接終止時，被啟動的服務(wù)也隨之停止運(yùn)行，從而節(jié)省了大量的系統(tǒng)資源。通過inetd啟動的服務(wù)多屬于沒有必要的網(wǎng)絡(luò)服務(wù)，這些網(wǎng)絡(luò)服務(wù)或者本身的安全非常低，例如：rlogin、rsh等；或者提

16、供此種網(wǎng)絡(luò)服務(wù)的軟件存在安全缺陷，因此為了系統(tǒng)的安全和穩(wěn)定，需要關(guān)閉這些服務(wù)。比較便捷的方式是重新創(chuàng)建一個/etc/inetd.conf文件，在里面加入必須的網(wǎng)絡(luò)服務(wù)，例如：telnet、ftp等。5.5.2 網(wǎng)絡(luò)服務(wù)的訪問控制對于啟用的服務(wù)，應(yīng)該使用TCP_Wrapper進(jìn)行封裝，實(shí)現(xiàn)基于IP地質(zhì)的訪問控制。TCP_Wrapper(tcpd底inetd接到客戶的請求時啟動，具有存取管理啟動目標(biāo)服務(wù)器程序的功能。tcpd啟動時，可讀入允許/etc/hosts.allow服務(wù)的主機(jī)和禁止/etc/hosts.deny主機(jī)的設(shè)置文件。5.5.3 其它服務(wù)除了由inetd/xinetd啟動的服務(wù)之外

17、，系統(tǒng)在缺省的情況下會自動啟用一些沒用的服務(wù)，例如：LPD、Sendmail、NFS。這些服務(wù)給系統(tǒng)帶來了極大的安全隱患，而且系統(tǒng)功能越單純，結(jié)構(gòu)越簡單，可能出現(xiàn)的漏洞越少，因此越容易進(jìn)行安全維護(hù)。因此，應(yīng)該禁止這些不必要的服務(wù)，檢查/etc/rc.d/目錄下的各個目錄中的文件，刪除不必要的文件。5.5.4 替代不安全的服務(wù)在UNIX系統(tǒng)中，很多服務(wù)經(jīng)常會被用到，但是本身安全性比較低。例如，telnet服務(wù)使用明文進(jìn)行網(wǎng)絡(luò)的數(shù)據(jù)傳輸，很容易遭到網(wǎng)絡(luò)竊聽，泄漏用戶名、密碼等敏感數(shù)據(jù)。因此，需要使用更為安全的ssh協(xié)議進(jìn)行替代，SSH是一個使用加密連接的安全的遠(yuǎn)程管理/數(shù)據(jù)傳輸協(xié)議。它可以用來替代

18、telnet,r命令、ftp等傳統(tǒng)的不安全的協(xié)議/命令。OpenSSH是SSH(SecureSHell)協(xié)議的免費(fèi)開源實(shí)現(xiàn)，支持SSH協(xié)議的版本1.3、1.5、2。OpenSSH幾乎可以用于所有的UNIX/Linux系統(tǒng)。5.6 at/cron的安全在UNIX/Linux下使用cron和at進(jìn)行任務(wù)日程安排。在多數(shù)系統(tǒng)上通常只有系統(tǒng)管理員才需要運(yùn)行這些命令。6 Windows系統(tǒng)安全規(guī)范6.1 Windows系統(tǒng)安全基本原則所有磁盤分區(qū)都是NTFS文件系統(tǒng)。管理員賬戶有一個強(qiáng)口令。禁止所有不必要的服務(wù)。刪除或禁止所有不必要的賬號。關(guān)閉所有不必要的共享目錄。設(shè)置訪問控制列表。設(shè)置嚴(yán)格的安全規(guī)范。

19、安裝最新的服務(wù)包和補(bǔ)丁程序。安裝反病毒軟件。6.2 Windows安全流程下面的圖表顯示了幫助實(shí)現(xiàn)服務(wù)器安全（獲得安全）和保持其安全性（保持安全）所需的步驟。圖I.Windows系統(tǒng)安全過程6.3系統(tǒng)修補(bǔ)6.3.1Windows系統(tǒng)修補(bǔ)流程圖2.Windows系統(tǒng)修補(bǔ)流程分析，了解當(dāng)前環(huán)境和潛在的威脅。確定必須部署的修補(bǔ)程序以減少對您的環(huán)境的威脅。規(guī)劃，確定應(yīng)部署哪些修補(bǔ)程序以抵御潛在的威脅和彌補(bǔ)已經(jīng)發(fā)現(xiàn)的漏洞。確定執(zhí)行測試和部署任務(wù)的人選和執(zhí)行步驟。測試，檢查可用的修補(bǔ)程序并根據(jù)您的環(huán)境對它們進(jìn)行分類，測試所有已經(jīng)確定的修補(bǔ)程序，以確保它們可以在您的環(huán)境中工作，并且不會產(chǎn)生任何副作用。了解修

20、補(bǔ)程序的作用以及它會對您的環(huán)境產(chǎn)生何種影響。驗(yàn)證它是否能按規(guī)劃的要求運(yùn)行。部署，部署正確的修補(bǔ)程序以保護(hù)您的環(huán)境安全。監(jiān)視，在部署修補(bǔ)程序后檢查所有系統(tǒng)，以確認(rèn)沒有任何副作用。審查，作為日常管理過程的一部分，您需要定期審查已發(fā)布的新修補(bǔ)程序、您的環(huán)境以及您的xxxx需要哪些修補(bǔ)程序。如果您在審查過程中發(fā)現(xiàn)需要新的修補(bǔ)程序，請重新開始管理過程的第一個步驟。6.4 基于的角色保護(hù)6.4.1 密碼規(guī)范默認(rèn)情況下，將對域中的所有服務(wù)器強(qiáng)制執(zhí)行一個標(biāo)準(zhǔn)密碼規(guī)范。下表列出了一個標(biāo)準(zhǔn)密碼規(guī)范的設(shè)置以及針對您的環(huán)境建議的最低設(shè)置。規(guī)范默認(rèn)設(shè)置推薦最低設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄記住1個密碼記住24個密碼密碼最長期

21、限42天42天密碼最短期限0天2天最短密碼長度0個字符8個字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲存密碼禁用禁用6.4.2 密碼復(fù)雜性要求組規(guī)范的“密碼必須符合復(fù)雜性要求”設(shè)置啟用后，它要求密碼必須為6個字符長（但我們建議您將此值設(shè)置為8個字符）。它還要求密碼中必須包含下面類別中至少三個類別的字符：英語大寫字母A,B,C,Z英語小寫字母a,b,c,-b-z西方阿拉伯?dāng)?shù)字0,1,2,-69非字母數(shù)字字符，如標(biāo)點(diǎn)符號。6.5 服務(wù)器基準(zhǔn)規(guī)范基準(zhǔn)規(guī)范配置設(shè)定的一些方面包括：審計(jì)規(guī)范，確定如何在您的服務(wù)器上執(zhí)行審計(jì)。安全選項(xiàng)，使用注冊表值確定特定的安全設(shè)置。注冊表訪問控制列

22、表，確定誰可以訪問注冊表。文件訪問控制列表，確定誰可以訪問文件系統(tǒng)。服務(wù)配置，確定哪些服務(wù)需要啟動、停止、禁用等。6.5.1 審計(jì)規(guī)范應(yīng)用程序、安全性和系統(tǒng)事件日志的設(shè)置都在該規(guī)范中配置并應(yīng)用到域中的所有成員服務(wù)器。各日志的大小都設(shè)置為10兆字節(jié)（MB）,而且各日志都配置為不改寫事件。所以，管理員必須定期查看日志并根據(jù)需要進(jìn)行歸檔或清理。6.5.2 賬戶鎖定規(guī)范有效的賬戶鎖定規(guī)范有助于防止攻擊者猜出賬戶的密碼。6.5.3 安全選項(xiàng)規(guī)范對匿名連接的附加限制對服務(wù)器的任何匿名訪問都將被禁止，而且對任何資源都將要求顯式訪問。LANManager身份驗(yàn)證級別通過使用NTLMv2對Windows9x和Windo