Linux系統(tǒng)安全配置基線

Linux系統(tǒng)安全配置基線TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"1。1 目的 11。2 適用范圍 1\o"CurrentDocument"1。3 適用版本 1\o"CurrentDocument"第2章 安裝前準(zhǔn)備工作 1\o"CurrentDocument"2.1 需準(zhǔn)備的光盤 1\o"CurrentDocument"第3章 操作系統(tǒng)的基本安裝 1\o"CurrentDocument"3。1 基本安裝 1第4章 賬號管理、認(rèn)證授權(quán) 241 賬號 2411 用戶口令設(shè)詈 2\o"CurrentDocument"4.12 檢杳是否存在除“〃之外UID為0的用戶 3413 檢杳多余賬戶. 3\o"CurrentDocument"4.1。4 分配賬戶 3\o"CurrentDocument"4。1.5 賬號鎖定 4\o"CurrentDocument"4.16 檢杳賬戶權(quán)限 54。2 認(rèn)訐 5\o"CurrentDocument"421 遠(yuǎn)程連接的安全性配置 54。22 限制s,仍連接的IP配置 5\o"CurrentDocument"4。2.3 用戶的umask安全配置 6\o"CurrentDocument"4 杳找未授權(quán)的SUID/SGID文件 74。2。5檢杳任何人都有寫權(quán)限的目守 7\o"CurrentDocument"4。2.6 杳找任何人都有寫權(quán)限的文彳" 84。2。7檢杳沒有屬主的文 84。2.8 檢杳異常隱含文 9\o"CurrentDocument"第5章日志審計(jì) 9\o"CurrentDocument"5.1 日志 95。1。1 syslog登錄事件記錄9\o"CurrentDocument"5^2審計(jì) 1052LSyslog.conf的配置審本% 105。22日志增強(qiáng) 10Linux系統(tǒng)安全配置基線TOC\o"1-5"\h\z5.2。3syslog系統(tǒng)事件審計(jì) 11\o"CurrentDocument"第6章其他配置操作 12\o"CurrentDocument"61 系統(tǒng)狀態(tài) 12\o"CurrentDocument"6.1。1系統(tǒng)超時(shí)注銷. 12\o"CurrentDocument"62 LINU戲務(wù) 12\o"CurrentDocument"6。2。1禁用不必要服務(wù) 12\o"CurrentDocument"第7章持續(xù)改進(jìn) 13Linux系統(tǒng)安全配置基線第1章概述目的本文規(guī)定了Linux操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行Linux操作系統(tǒng)的安全合規(guī)性檢查和配置.適用范|本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。本配置標(biāo)準(zhǔn)適用的范圍包括:Linux服務(wù)器。適用版本適用于RedhatAS5.第2章安裝前準(zhǔn)備工作需準(zhǔn)備的光盤從RedHat官網(wǎng)下載高級企業(yè)服務(wù)器版操作系統(tǒng)，并制作成光盤。第3章操作系統(tǒng)的基本安裝基本安裝(1)應(yīng)在隔離網(wǎng)絡(luò)進(jìn)行安裝。選擇custom方式，根據(jù)最小化原則，僅安裝需要的軟件包。(2)根據(jù)服務(wù)器的實(shí)際用途來確實(shí)是否需要給/VAR，/HOME劃分單獨(dú)的分區(qū)。(3)安裝完成后盡快通過合適可行的方式安裝重要的補(bǔ)丁程序。

Linux系統(tǒng)安全配置基線第4章賬號管理、認(rèn)證授權(quán)4.1賬號4.1.1用戶口令設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶口令安全基線要求項(xiàng)安全基線項(xiàng)說明帳號與口令一用戶口令設(shè)置，配置用戶口令強(qiáng)度檢查達(dá)到12位，要求用戶口令包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。檢測操作步驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root，test/test,root/root12342、執(zhí)行:more/etc/login，檢查PASS_MIN_LEN12PASS_MAX_DAYS90PASS_WARN_AGE73、執(zhí)行力亞女一F:'($2==""){print$1}'/etc/shadow，檢查是否存在空口令賬號4、編輯/etc/pam.d/system-auth文件，將password requisite pam_cracklib.sotry_first_passretry=3改為password requisite pam_cracklib。sotry_first_passretry=3dcredit=-1ocredit=—1基線符合性判定依據(jù)不允許存在簡單密碼，密碼設(shè)置至少包括一個(gè)數(shù)字和一個(gè)特殊字符,長度至少為12位檢查greppam_cracklib/etc/pam。d/system—auth修改已有用戶的口令生存期和過期告警天數(shù)#chage-M90-W7htsc_temp備注2Linux系統(tǒng)安全配置基線檢查是否存在除root之外UID為0的用戶安全基線項(xiàng)目名稱操作系統(tǒng)Linux超級用戶策略安全基線要求項(xiàng)安全基線項(xiàng)說明帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：awk—F:‘($3==0){print$1}'/etc/passwd基線符合性判定依據(jù)返回值包括“root"以外的條目，則低于安全要求.備注補(bǔ)充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為0檢查多余賬戶安全基線項(xiàng)目名稱操作系統(tǒng)Linux無用賬戶策略安全基線要求項(xiàng)安全基線項(xiàng)說明帳號與口令-檢查是否存在如下不必要賬戶：lp,sync,shutdown,halt,news,uucp,operator,games,gopher等，檢測操作步驟執(zhí)行:cat/etc/passwd如果不使用，用以下命令進(jìn)行刪除.#delusertest01基線符合性判定依據(jù)如發(fā)現(xiàn)上述賬戶，則低于安全要求。如主機(jī)存在gnone,則需要保留games賬號備注分配賬戶安全基線項(xiàng) 操作系統(tǒng)Linux賬戶策略安全基線要求項(xiàng)目名稱

Linux系統(tǒng)安全配置基線安全基線項(xiàng)說明給不同的用戶分配不同的帳號，避免多個(gè)用戶共享帳號.至少分配root，auditor，operator角色。檢測操作步驟1、參考配置操作useraddauditor #新建帳號#passwdauditor #設(shè)置口令chmod700-auditor#修改用戶主目錄權(quán)限，確保只有該用戶可以讀寫vi/etc/passwd注釋掉不用的賬戶auditor #停用不用的賬戶基線符合性判定依據(jù)1、判定條件用新建的用戶登陸系統(tǒng)成功，可以做常用的操作，用戶不能訪問其他用戶的主目錄.2、檢測操作用不同用戶登陸，檢查用戶主目錄的權(quán)備注賬號鎖定安全基線項(xiàng)目名稱操作系統(tǒng)Linuxr認(rèn)證失敗鎖定要求項(xiàng)安全基線項(xiàng)說明設(shè)置帳號在3次連續(xù)嘗試認(rèn)證失敗后鎖定，鎖定時(shí)間為1分鐘，避免用戶口令被暴力破解.檢測操作步驟1、參考配置操作建立/va"log/fai110g文件并設(shè)置權(quán)限#touch/var/log/faillog#chmod600/var/log/faillog編輯/etc/pam.d/system-auth文件，在auth required pam_env。so后面添加authrequiredpam_tally.soonerr=faildeny=3unlock_time=60基線符合性判定依據(jù)1、判定條件連續(xù)輸入錯(cuò)誤口令3次以上，再輸正確口令用戶不能登陸.2、檢測操作greppam_tally/etc/pam。d/system-auth備注

Linux系統(tǒng)安全配置基線檢查賬戶權(quán)限安全基線項(xiàng)目名稱操作系統(tǒng)Linux無用賬戶策略安全基線要求項(xiàng)安全基線項(xiàng)說明帳號與口令一檢查除ROOT外是否有其他賬戶擁有shell權(quán)限檢測操作步驟執(zhí)彳?。篶at/etc/passwd觀察是否有非root賬戶設(shè)置/bin/bash或/bin/sh權(quán)限基線符合性判定依據(jù)無特殊應(yīng)用情況下，如發(fā)現(xiàn)上述賬戶，則低于安全要求.備注4.2認(rèn)證遠(yuǎn)程連接的安全性配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項(xiàng)安全基線項(xiàng)說明帳號與口令一遠(yuǎn)程連接的安全性配置檢測操作步驟執(zhí)彳?。篺ind/—rc,檢查系統(tǒng)中是否有.netrc文件；執(zhí)彳?。篺ind/-name。rhosts，檢查系統(tǒng)中是否有。rhosts文件基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求.備注補(bǔ)充操作說明如無必要，刪除這兩個(gè)文件限制ssh連接的IP配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項(xiàng)

Linux系統(tǒng)安全配置基線安全基線項(xiàng)說明配置tcp_wrappers，限制允許遠(yuǎn)程登陸系統(tǒng)的IP范圍。檢測操作步驟1、參考配置操作編輯/etc/hosts.deny添加sshd:ALL編輯/etc/hosts.allow添加sshd:168。8。44.0/255。255。255.0#允許168。8.44.0網(wǎng)段遠(yuǎn)程登陸sshd:168.8。43.0/255.255.255。0#允許168。8。43。0網(wǎng)段遠(yuǎn)程登陸基線符合性判定依據(jù)1、判定條件只有網(wǎng)管網(wǎng)段可以ssh登陸系統(tǒng)。2、檢測操作cat/etc/hosts。denycat/etc/hosts.allow備注對于不需要sshd服務(wù)的無需配置該項(xiàng)。中心機(jī)房以外的服務(wù)器管理，暫時(shí)不做源地址限制。用戶的umask安全配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶umask安全基線要求項(xiàng)安全基線項(xiàng)說明帳號與口令一用戶的umask安全配置檢測操作步驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh。cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認(rèn)的，則低于安全要求.備注補(bǔ)充操作說明：vi/etc/profile建議設(shè)置用戶的默認(rèn)umask=077

Linux系統(tǒng)安全配置基線查找未授權(quán)的SUID/SGID文件安全基線項(xiàng)目名稱操作系統(tǒng)LinuxSUID/SGID文件安全基線要求項(xiàng)安全基線項(xiàng)說明文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件檢測操作步驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin'grep-vA#/etc/fstab1awk'($6!="0”){print$2}’、；dofind$PART\(-perm-04000-o—perm-02000\)—typef-xdev—printDone基線符合性判定依據(jù)若存在未授權(quán)的文件，則低于安全要求。備注補(bǔ)充操作說明建議經(jīng)常性的對比suid/sgid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門程序檢查任何人都有寫權(quán)限的目錄安全基線項(xiàng)目名稱操作系統(tǒng)Linux目錄寫權(quán)限安全基線要求項(xiàng)安全基線項(xiàng)說明文件系統(tǒng)一檢查任何人都有寫權(quán)限的目錄檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTin'awk’($3=="ext2"II$3=="ext3")\{print$2}’/etc/fstab';dofind$PART—xdev—typed\(-perm—0002—a!—perm—1000\)—printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注

Linux系統(tǒng)安全配置基線查找任何人都有寫權(quán)限的文件安全基線項(xiàng)目名稱操作系統(tǒng)Linux文件寫權(quán)限安全基線要求項(xiàng)安全基線項(xiàng)說明文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin'grep-vA#/etc/fstab1awk'($6!="0”){print$2}’、；dofind$PART-xdev-typef\(-perm-0002-a!-perm—1000\)-printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注檢查沒有屬主的文件安全基線項(xiàng)目名稱操作系統(tǒng)Linux文件所有權(quán)安全基線要求項(xiàng)安全基線項(xiàng)說明文件系統(tǒng)一檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的命令：forPARTin'grep—va#/etc/fstab1awk’($6!="0"){print$2}'、；dofind$PART-nouser-o-nogroup-printdone注意：不用管"/dev”目錄下的那些文件基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注補(bǔ)充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了.不能允許沒有屬主的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有屬主的文件或目錄，先查看它的完

Linux系統(tǒng)安全配置基線整性,如果一切正常，給它一個(gè)屬主.有時(shí)候卸載程序可能會出現(xiàn)一些沒有屬主的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。檢查異常隱含文件安全基線項(xiàng)目名稱操作系統(tǒng)Linux隱含文件安全基線要求項(xiàng)安全基線項(xiàng)說明文件系統(tǒng)-檢查異常隱含文件檢測操作步驟用“圓d'程序可以查找到這些隱含文件。例如：find/—name”.。 *”-print-xdevfind/—name”…*”一print—xdev1cat-v同時(shí)也要注意象'%乂”和“。mail”這樣的文件名的.（這些文件名看起來都很象正常的文件名）基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注補(bǔ)充操作說明在系統(tǒng)的每個(gè)地方都要查看一下有沒有異常隱含文件（點(diǎn)號是起始字符的，用“l(fā)s”命令看不到的文件），因?yàn)檫@些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX/LINUX下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“…”、”。。 ”（點(diǎn)點(diǎn)空格）或“。。八G"（點(diǎn)點(diǎn)control-G）,來隱含文件或目錄.第5章日志審計(jì)日志syslog登錄事件記錄安全基線項(xiàng)操作系統(tǒng)Linux登錄審計(jì)安全基線要求項(xiàng)9

Linux系統(tǒng)安全配置基線目名稱安全基線項(xiàng)說明日志審計(jì)-syslog登錄事件記錄檢測操作步驟執(zhí)行命令：more/etc/syslog.conf查看參數(shù)authpriv值A(chǔ)uthprivo*/var/log/secure基線符合性判定依據(jù)若未對所有登錄事件都記錄，則低于安全要求。備注審計(jì)Syslog.conf的配置審核安全基線項(xiàng)目名稱操作系統(tǒng)Linux配置審計(jì)安全基線要求項(xiàng)安全基線項(xiàng)說明開啟系統(tǒng)的審計(jì)功能，記錄用戶對系統(tǒng)的操作，包括但不限于賬號創(chuàng)建、刪除，權(quán)限修改和口令修改。檢測操作步驟1、參考配置操作#chkconfigauditdon基線符合性判定依據(jù)1、判定條件系統(tǒng)能夠?qū)徲?jì)用戶操作。2、檢測操作chkconfig--listauditd用aureport、ausearch查看審計(jì)日志。備注日志增強(qiáng)安全基線項(xiàng)目名稱操作系統(tǒng)Linux日志增強(qiáng)要求項(xiàng)安全基線項(xiàng)使messages只可追加，使輪循的messages文件不可更改，從而防止非法訪10

Linux系統(tǒng)安全配置基線說明問目錄或者刪除日志的操作檢測操作步驟執(zhí)行命令：Chattr+a/var/log/messagesChattr+i/var/log/messages。*Chattr+i/etc/shadowChattr+i/etc/passwdChattr+i/etc/group基線符合性判定依據(jù)使用Isattr判斷屬性備注syslog系統(tǒng)