linu安全配置規(guī)范

linuLelcwaswrittenin20212、創(chuàng)建用戶時查看系統(tǒng)是否提供了用戶權(quán)限級別以及可訪問系統(tǒng)資源和命令的選項；3、為兩個用戶分別配置不同的權(quán)限，2個用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級別、可訪問系統(tǒng)資源以及可用命令等方面予以體現(xiàn)；4、分別利用2個新建的賬號訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許訪問的內(nèi)容和不允許訪問的內(nèi)容，查看權(quán)限配置策略是否牛效3、加充說明編號：2

要求內(nèi)容,當(dāng)在創(chuàng)建新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。操作指南1、參考配置操作設(shè)置默認(rèn)權(quán)限：Vi/etc/在末尾增加umask027,將缺省訪問權(quán)限設(shè)置為750修改文件或目錄的權(quán)限，操作舉例如下：ttchmod444dir;#修改目錄dir的權(quán)限為所有人都為只讀。根據(jù)實際情況設(shè)置權(quán)限；2、補(bǔ)充操作說明如果用戶需要使用一個不同于默認(rèn)全局系統(tǒng)設(shè)置的umask,可以在需要的時候通過命令行設(shè)置，或者在用戶的shell啟動文件中配置。檢測方法1、判定條件權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#ls-1dir;#查看目錄dir的權(quán)限ttcat/etc/查看是否有umask027內(nèi)容3、補(bǔ)充說明umask的默認(rèn)設(shè)置一般為022,這給新創(chuàng)建的文件默認(rèn)權(quán)限755(777-022=755),這會給文件所有者讀、寫權(quán)限，但只給組成員和其他用戶讀權(quán)限。umask的計算：umask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對于目錄，該值等于八進(jìn)制數(shù)據(jù)代碼777減去需要的默認(rèn)權(quán)限對應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對于文件，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要的默認(rèn)權(quán)限對應(yīng)的八進(jìn)制數(shù)據(jù)代碼值。編號：3

要求內(nèi)容如果需要啟用FTP服務(wù)，，當(dāng)通過FTP服務(wù)創(chuàng)建新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。操作指南1、參考配置操作以vsftp為例打開/etc/vsftpd/chroot_list文件,將需要限制的用戶名加入到文件中2、補(bǔ)充操作說明檢測方法1、判定條件權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：3、補(bǔ)充說明遠(yuǎn)程登錄編號：1

要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1、參考配置操作編輯/etc/passwd,帳號信息的shell為/sbin/nologin的為禁止遠(yuǎn)程登錄,如要允許，則改成可以登錄的shell即可，如/bin/bash2、補(bǔ)充操作說明如果限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshdconfig文件，將PermitRootLoginyes改為PermitRootLoginno,重啟sshd月艮務(wù)。檢測方法1、判定條件root遠(yuǎn)程登錄不成功，提示“沒有權(quán)限”；普通用戶可以登錄成功，而且可以切換到root用戶;2、檢測操作root從遠(yuǎn)程使用telnet登錄；普通用戶從遠(yuǎn)程使用telnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說明限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyes改為PermitRootLoginno,重啟sshd服務(wù)。編號：2

要求內(nèi)容對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1、參考配置操作正?？梢酝ㄟ^#/08/5511€1start來啟動SSH;通過#/etc/sshdstop來停止SSH2、補(bǔ)充操作說明查看SSH服務(wù)狀態(tài)：#ps-efgrepssh注：禁止使用telnet等明文傳輸協(xié)議進(jìn)行遠(yuǎn)程維護(hù)；如特別需要，需采用訪問控制策略對其進(jìn)行限制；檢測方法1、判定條件ps-efgrepssh是否有ssh進(jìn)程存在是否有telnet進(jìn)程存在2、檢測操作查看SSH服務(wù)狀態(tài)：ps-efgrepssh查看telnet服務(wù)狀態(tài)：#ps-efgreptelnet3、補(bǔ)充說明補(bǔ)丁安全編號：1要求內(nèi)容在保證業(yè)務(wù)網(wǎng)絡(luò)穩(wěn)定運(yùn)行的前提下，安裝最新的OS補(bǔ)丁。補(bǔ)丁在安裝前需要測試確定。操作指南1、參考配置操作看版本是否為最新版本。執(zhí)行下列命令，查看版本及大補(bǔ)丁號。ttuname-a2、補(bǔ)充操作說明檢測方法判定條件看版本是否為最新版本。#uname-a查看版本及大補(bǔ)丁號RedHatLinux：Linux：Linux：：、檢測操作在系統(tǒng)安裝時建議只安裝基本的OS部份，其余的軟件包則以必要為原則，非必需的包就不裝。3、補(bǔ)充說明日志安全要求編號：1要求內(nèi)容啟用syslog系統(tǒng)日志審計功能

操作指南1、參考配置操作ttcat/etc/查看是否有#authp是v.*/var/log/secure2、補(bǔ)充操作說明將authpirv設(shè)備的任何級別的信息記錄到/var/log/secure文件中，這主要是一些和認(rèn)證、權(quán)限使用相關(guān)的信息。檢測方法1>判定條件查看是否有#authpriv.*/var/log/secure2、檢測操作ttcat/etc/3、補(bǔ)充說明將authpirv設(shè)備的任何級別的信息記錄到/var/log/secure文件中，這主要是一些和認(rèn)證、權(quán)限使用相關(guān)的信息。編號：2要求內(nèi)容系統(tǒng)日志文件由syslog創(chuàng)立并且不口J被其他用戶修改；其它的系統(tǒng)日志文件不是全局可寫操作指南1、參考配置操作查看如下等日志的訪問權(quán)限#ls查看下列日志文件權(quán)限/var/log/messages、/var/log/secure、/var/log/maillog>/var/log/cron、/var/log/spooler>/var/log/2、補(bǔ)充操作說明檢測方法1、判定條件2、檢測操作使用1s-1命令依次檢查系統(tǒng)日志的讀寫

權(quán)限3、補(bǔ)充說明編號：3（可選）要求內(nèi)容啟用記錄cron行為日志功能操作指南1、參考配置操作Vi/etc/#Logcronstuffcron.*cron.*檢測方法1、判定條件2、檢測操作cron.*編號：4（可選）

要求內(nèi)容設(shè)備配置遠(yuǎn)程口志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。操作指南1、參考配置操作修改配置文件vi/etc/,加上這一行：禮*@可以將〃和*〃替換為你實際需要的日志信息。比如:kern.*;mail.*等等?？梢詫⒋颂幪鎿Q為實際的IP或域名。2、補(bǔ)充操作說明檢測方法1、判定條件設(shè)備配置遠(yuǎn)程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。2、檢測操作查看日志服務(wù)器上的所收到的日志文件。3、補(bǔ)充說明不必要的服務(wù)、端口編號：1要求內(nèi)容關(guān)閉不必要的服務(wù)。操作指南1、參考配置操作查看所有開啟的服務(wù)：#ps-efttchkconfig--list#cat/etc/在中關(guān)閉不用的服務(wù)首先復(fù)制/etc/。#cp/etc//etc/然后用vi編輯器編輯文件，對于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記〃#〃字符，重啟xinetd服務(wù)，即可。2、補(bǔ)充操作說明參考附表，根據(jù)需要關(guān)閉不必要的服務(wù)檢測方法1判定條件所需的服務(wù)都列出來；沒有不必要的服務(wù)；2、檢測操作#ps-efSchkconfig-listttcat/etc/3、補(bǔ)充說明在/etc/文件中禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了“/etc/”文件之后，需要重新啟動xinetd。對必須提供的服務(wù)采用tcpwapper來保護(hù)

系統(tǒng)Banner設(shè)置要求內(nèi)容修改系統(tǒng)banner,避免泄漏操作系統(tǒng)名稱，版本號，主機(jī)名稱等，并且給出登陸告警信息操作指南1、參考配置操作在缺省情況下，當(dāng)你登錄到linux系統(tǒng)，它會告訴你該linux發(fā)行版的名稱、版本、內(nèi)核版本、服務(wù)器的名稱。應(yīng)該盡可能的隱藏系統(tǒng)信息。首先編輯“/etc/”文件，在卜面顯不的這些行前加一個“甲'，把輸出信息的命令注釋掉。Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyouwanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.ttecho〃〃>/etc/issuettecho"$R">>/etc/issueecho"/Kernel$(uname-r)on$a$(uname-m)〃>>/etc/issuecp-f/etc/issue/etc/echo>>/etc/issue其次刪除〃/etc〃目錄下的和issue文件：mv/etc/issue/etc/

#mv/etc//etc/檢測方法查看Cat/etc/注釋住處信息登錄超時時間設(shè)置要求內(nèi)容對于具備字符交互界面的設(shè)備，配置定時帳戶自動登出操作指南1、參考配置操作通過修改賬戶中“TMOUT”參數(shù),可以實現(xiàn)此功能。TMOUT按秒計算。編輯profile文件(vi/etc/profile),在“HISTFILESIZE=”后面加入下面這行：建議TM0UT=300(可根據(jù)情況設(shè)定)2、補(bǔ)充操作說明改變這項設(shè)置后，必須先注銷用戶，再用該用戶登錄才能激活這個功能檢測方法1、判定條件查看TM0UT=300刪除潛在危險文件Linux安全配置規(guī)范要求內(nèi)容.rhosts,rc,等文件都具有潛在的危險，如果沒有應(yīng)用，應(yīng)該刪除操作指南1、參考配置操作執(zhí)行：find/-namerc,檢查系統(tǒng)中是否有rc文件，執(zhí)行：find/-name.rhosts,檢查系統(tǒng)2011年3月中是否有.rhosts文件如無應(yīng)用，刪除以上文件：Mv.rhost.Mvr.2、補(bǔ)充操作說明注意系統(tǒng)版本，用相應(yīng)的方法執(zhí)行檢測方法1、判定條件2、檢測操作FTP設(shè)置編號1：要求內(nèi)容禁止root登陸FTP操作指南1、參考配置操作在ftpaccess文件中加入下列行root檢測方法使用root帳號登錄ftp會被拒絕編號2：要求內(nèi)容禁止匿名ftp操作指南1、參考配置操作以vsftpd為例：打開文件，修改下列行為：anonymousenab1e=N0檢測方法匿名賬戶不能登錄編號3：要求內(nèi)容修改FTPbanner信息操作指南1、參考配置操作使用vsftpd,則修改下列文件的內(nèi)容：/etc/

使用wu-ftpd,則需要修改文件/etc/ftpaccess,在其中添加：banner/path/to/ftpbanner在指定目錄下創(chuàng)建包含ftp的banner信息的文件檢測方法1、判斷依據(jù)通過外部ftp客戶端登錄，banner按照預(yù)先設(shè)定的顯示2、檢查操作附表：端口及服務(wù)

服務(wù)名稱端口應(yīng)用說明關(guān)閉方法處置建議daytime13/tcpRFC867白天協(xié)議chkconfigdaytimeoff建議關(guān)閉13/udpRFC867白天協(xié)議chkconfigdaytimeofftime37/tcp時間協(xié)議chkconfigtimeoff37/udp時間協(xié)議chkconfigtime-udpoffecho7/tcpRFC862—回聲協(xié)議chkconfigechooff7/udpRFC862—回聲協(xié)議chkconfigecho-udpoffdiscard9/tcpRFC863廢除協(xié)議chkconfigdiscardoff9/udpchkconfigdiscard-udpoffchargen19/tcpRFC864字符產(chǎn)生協(xié)議chkconfigchargenoff19/udpchkconfigchargen-udpoffftp21/tcp文件傳輸協(xié)議（控制）chkconfiggssftpoff據(jù)況擇放根情選開telnet23/tcp虛擬終端協(xié)議chkconfigkrb5-telnetoff據(jù)況擇放根情選開sendmail25/tcp簡單郵件發(fā)送協(xié)議chkconfigsendmailoff建議關(guān)閉nameserver53/udp域名服務(wù)chkconfignamedoff根據(jù)情況選擇開放53/tcp域名服務(wù)chkconfignamedoff根據(jù)情況選擇開放apache80/tcpHTTP萬維網(wǎng)發(fā)而服務(wù)chkconfighttpdoff據(jù)況擇放根情選開login513/tcp遠(yuǎn)程登錄chkconfigloginoff根據(jù)情況選擇開放shell514/tcp遠(yuǎn)程命令，nopasswdusedchkconfigshelloff根據(jù)情況

選擇開放exec512/tcpremoteexecution,passwdrequiredchkconfigexecoff據(jù)況擇放根情選開ntalk518/udpnewtalk,conversationchkconfigntalkoff建議關(guān)閉ident113/tcpauthchkconfigidentoff建議關(guān)閉printer515/tcp遠(yuǎn)程打印緩存chkconfigprinteroff烈議閉強(qiáng)建關(guān)bootps67/udp引導(dǎo)協(xié)議服務(wù)端chkconfigbootpsoff建議關(guān)閉68/udp引導(dǎo)協(xié)議客戶端chkconfigbootpsoff建議關(guān)閉tftp69/udp普通文件傳輸協(xié)議chkconfigtftpoff強(qiáng)烈建議關(guān)閉kshell544/tcpKerberosremoteshell-kfallchkconfigkshelloff建議關(guān)閉klogin543/tcpKerberosrlogin-kfallchkconfigkloginoff建議關(guān)閉portmap111/tcp端口映射chkconfigportmapoff據(jù)況擇放根情選開snmp161/udp簡單網(wǎng)絡(luò)管理協(xié)議(Agent)chkconfigsnmpoff根據(jù)情況選擇開放snmptrap161/tcp簡單網(wǎng)絡(luò)管理協(xié)議(Agent)chkconfigsnmpoff根據(jù)情況選擇開放snmp-trap162/udp簡單網(wǎng)絡(luò)管理協(xié)議(Traps)chkconfigsnmptrapoff據(jù)況擇放根情選開syslogd514/udp系統(tǒng)日志服務(wù)chkconfigsyslogoff建議保留Ipd515/tcp遠(yuǎn)程打印緩存chkconfigIpdoff烈議閉強(qiáng)建關(guān)nfs2049/tcpNFS遠(yuǎn)程文件系統(tǒng)chkconfignfsoff強(qiáng)烈建議關(guān)閉2049/udpNFS遠(yuǎn)程文件系統(tǒng)chkconfignfsoff強(qiáng)烈建議關(guān)閉動態(tài)端口rpc服務(wù)chkconfignfslockoff烈議閉強(qiáng)建關(guān)ypbind動態(tài)端口rpc服務(wù)chkconfigypbindoff強(qiáng)烈建議關(guān)閉第一章概述1.1適用范圍適用于中國電信使用Linux操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，適用于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。由于版本不同，配置操作有所不同，本規(guī)范以內(nèi)核版本及以上為例，給出參考配置操作。第二章安全配置要求賬號編號：1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號：ttuseraddusername#創(chuàng)建賬號Spasswdusername#設(shè)置密碼修改權(quán)限：ttchmod750directory#其中750為設(shè)置的權(quán)限，可根據(jù)實際情況設(shè)置相應(yīng)的權(quán)限，director是要更改權(quán)限的目錄）

使用該命令為不同的用戶分配不同的賬號，設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說明檢測方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測操作使用不同的賬號進(jìn)行登錄并進(jìn)行一些常用操作；3、補(bǔ)充說明編號：2

要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。操作指南1、參考配置操作刪除用戶：#userdelusername;鎖定用戶：1）修改/etc/shadow文件，用戶名后加*LK*2）將/etc/passwd文件中的shell域設(shè)置成/bin/false3）#passwd-1username只有具備超級用戶權(quán)限的使用者方可使用，Spasswd-1username鎖定用戶，用ttpasswd-dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補(bǔ)充操作說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4>noaccesso注：無關(guān)的賬號主要指測試帳戶、共享帳號、長期不用賬號(半年以上未用)等檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補(bǔ)充說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4>noaccesso編號：3要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務(wù)需求，建立多帳戶組，將用戶賬號分配到相應(yīng)的帳戶組。操作指南1、參考配置操作Cat/etc/passwdCat/etc/group2、補(bǔ)充操作說明檢測方法1、判定條件人工分析判斷2、檢測操作編號：4要求內(nèi)容使用PAM禁止任何人su為root操作指南參考操作：編輯SU文件(vi/etc/su),在開頭添加下面兩行：authsufficient/lib/security/authrequired/lib/security/group=wheel這表明只有wheel組的成員可以使用su命令成為root用

戶。你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶。添加方法為：#chmod-GIOusername檢測方法1、判定條件2、檢測操作Cat/etc/su口令編號：1要求內(nèi)容對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少3類。操作指南1、參考配置操作vi/etc/,修改設(shè)置如下PASS_MIN_LEN=8#設(shè)定最小用戶密碼長度為8位Linux用戶密碼的復(fù)雜度可以通過pamcracklibmodule或pam_passwdqcmodule進(jìn)行設(shè)置檢測方法1、判定條件不符合密碼強(qiáng)度的時候，系統(tǒng)對口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時候，可以成功設(shè)置；2、檢測操作1、檢查口令強(qiáng)度配置選項是否可以進(jìn)行如下配置：i,配置口令的最小長度；ii.將口令配置為強(qiáng)口令。2、創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于8的口令，查看系統(tǒng)是否對口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。3、補(bǔ)充說明pam_cracklib主要參數(shù)說明：tretry二N:重試多少次后返回密碼修改錯誤difok=N:新密碼必需與舊密碼不同的位數(shù)dcredit=N:N>=0:密碼中最多有多少個數(shù)字;N<0密碼中最少有多少個數(shù)字.leredit二N:小寶字母的個數(shù)ucredit=N大寶字母的個數(shù)討?讓手:特殊字母的個數(shù)minclass二N:密碼組成（大/小字母,數(shù)字,特殊字符）pam_passwdqc主要參數(shù)說明：mix:設(shè)置口令字最小長度，默認(rèn)值是mix=disabled。max:設(shè)置口令字的最大長度，默認(rèn)值是max=40opassphrase:設(shè)置口令短語中單詞的最少個數(shù)，默認(rèn)值是passphrase=3,如果為0則禁用口令短語。atch:設(shè)置密碼串的常見程序，默認(rèn)值是match=4osimilar:設(shè)置當(dāng)我們重設(shè)口令時，重新設(shè)置的新口令能否與舊口令相似，它可以是similar