Linux安全配置基線

Linux系統(tǒng)安全配置基線中國移動(dòng)通信有限公司管理信息系統(tǒng)部2009年3月版本版本控制信息更新日期更新人|審批人V1.0創(chuàng)建2009年1月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目^TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"實(shí)施 1\o"CurrentDocument"例外條款 1\o"CurrentDocument"第2章賬號管理、認(rèn)證授 權(quán) 2\o"CurrentDocument"賬號 2\o"CurrentDocument"用戶口令設(shè)置 2\o"CurrentDocument"一.用戶遠(yuǎn)程登錄限制 2\o"CurrentDocument"檢查是否存在除r。。/之外UID為0的用戶 3\o"CurrentDocument"r。。/用戶環(huán)境變量的安全性 3\o"CurrentDocument"認(rèn)證 4\o"CurrentDocument"遠(yuǎn)程連接的安全性配置 4\o"CurrentDocument"用戶的umask安全配置 4\o"CurrentDocument"重要目錄和文件的權(quán)限設(shè)置 4\o"CurrentDocument"查找未授權(quán)的SUID/SGID文件. 5\o"CurrentDocument"檢查任何人都有寫權(quán)限的目錄 6\o"CurrentDocument"查找任何人都有寫權(quán)限的文件 6\o"CurrentDocument"檢查沒有屬主的文件 7\o"CurrentDocument"檢查異常隱含文件 7\o"CurrentDocument"第3章日志審計(jì) 9\o"CurrentDocument"日志 9\o"CurrentDocument"syslog登錄事件記錄 9\o"CurrentDocument"審計(jì) 9Syslog.conf的配置審核 9\o"CurrentDocument"第4章系統(tǒng)文件 11系統(tǒng)狀態(tài) 11\o"CurrentDocument"系統(tǒng)coredump狀態(tài) 11\o"CurrentDocument"第5章評審與修訂 12第1章概述1.1目的本文檔規(guī)定了中國移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理班INUX操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行LINUX操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2適用范本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動(dòng)總部和各省公司信息化部門維護(hù)管理的LINUX服務(wù)器系統(tǒng)。適用版本LINUX系列服務(wù)器；實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

第2章賬號管理、認(rèn)證授權(quán)2.1賬號用戶口令設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶口令安全基線要求項(xiàng)安全基線編號SBL-Linux-02-01-01安全基線項(xiàng)說明帳號與口令-用戶口令設(shè)置檢測操作步驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root,test/test,root/root12342、執(zhí)行：more/etc/login，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WN_AGE參數(shù)3、執(zhí)行：awk-F:'($2==""){print$1}'/etc/shadow,檢查是否存在空口令賬號基線符合性判定依據(jù)建議在/etc/login文件中配置：PASS_MIN_LEN=6不允許存在簡單密碼，密碼設(shè)置符合策略，如長度至少為6不存在空口令賬號備注root用戶遠(yuǎn)程登錄限制安全基線項(xiàng)目名稱操作系統(tǒng)Linux遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號SBL-Linux-02-01-02安全基線項(xiàng)說明帳號與口令-root用戶遠(yuǎn)程登錄限制檢測操作步執(zhí)行：more/etc/securetty，檢查Console參數(shù)

驟—基線符合性判定依據(jù)建議在/etc/securetty文件中配置：CONSOLE=/dev/tty01備注檢查是否存在除root之外UID為0的用戶安全基線項(xiàng)目名稱操作系統(tǒng)Linux超級用戶策略安全基線要求項(xiàng)安全基線編號SBL-Linux-02-01-03安全基線項(xiàng)說明帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：awk-F:'($3==0){print$1}'/etc/passwd基線符合性判定依據(jù)返回值包括“root”以外的條目，則低于安全要求；備注補(bǔ)充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為0root用戶環(huán)境變量的安全性安全基線項(xiàng)目名稱操作系統(tǒng)Linux超級用戶環(huán)境變量安全基線要求項(xiàng)安全基線編號SBL-Linux-02-01-04安全基線項(xiàng)說明帳號與口令-root用戶環(huán)境變量的安全性檢測操作步驟執(zhí)行：echo$PATH|egrep'(八|:)(\.|:|$)'，檢查是否包含父目錄，執(zhí)行：find'echo$PATH|tr':''''-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組目錄權(quán)限為777的目錄基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求；備注補(bǔ)充操作說明確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄

2.2認(rèn)證2.2.1遠(yuǎn)程連接的安全性配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-01安全基線項(xiàng)說明帳號與口令-遠(yuǎn)程連接的安全性配置檢測操作步驟執(zhí)行：find/-rc，檢查系統(tǒng)中是否有.加例文件，執(zhí)行：find/-name.rhosts，檢查系統(tǒng)中是否有.山0$1$文件基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求；備注補(bǔ)充操作說明如無必要，刪除這兩個(gè)文件2.2.2用戶的umask安全配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶umask安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-02安全基線項(xiàng)說明帳號與口令-用戶的umask安全配置檢測操作步驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認(rèn)的，則低于安全要求備注補(bǔ)充操作說明建議設(shè)置用戶的默認(rèn)umask=0772.2.3重要目錄和文件的權(quán)限設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)Linux目錄文件權(quán)限安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-03

安全基線項(xiàng)說明文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置檢測操作步驟執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：ls-l/etc/ls-l/etc/rc.d/init.d/Is-l/tmpIs-l/etc/inetd.confIs-l/etc/passwdls-l/etc/shadowls-l/etc/groupls-l/etc/securityls-l/etc/servicesls-l/etc/rc*.d基線符合性判定依據(jù)若權(quán)限過低，則低于安全要求；備注補(bǔ)充操作說明對于重要目錄，建議執(zhí)行如下類似操作：#chmod-R750/etc/rc.d/init.d/*這樣只有root可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。2.2.4查找未授權(quán)的SUID/SGID文件安全基線項(xiàng)目名稱操作系統(tǒng)LinuxSUID/SGID文件安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-04安全基線項(xiàng)說明文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件檢測操作步驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}'、dofind$PART\(-perm-04000-o-perm-02000\)-typef-xdev-printDone基線符合性判定依據(jù)若存在未授權(quán)的文件，則低于安全要求；

備注 補(bǔ)充操作說明建議經(jīng)常性的對比suid/sgid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門程序2.2.5檢查任何人都有寫權(quán)限的目錄安全基線項(xiàng)目名稱操作系統(tǒng)Linux目錄寫權(quán)限安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-05安全基線項(xiàng)說明文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTin'awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab'dofind$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注2.2.6查找任何人都有寫權(quán)限的文件安全基線項(xiàng)目名稱操作系統(tǒng)Linux文件寫權(quán)限安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-06安全基線項(xiàng)說明文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}''dofind$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注

2.2.7檢查沒有屬主的文件安全基線項(xiàng)目名稱操作系統(tǒng)Linux文件所有權(quán)安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-07安全基線項(xiàng)說明文件系統(tǒng)-檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的命令：forPARTin'grep-v八#/etc/fstab|awk'($6!="0"){print$2}'、dofind$PART-nouser-o-nogroup-printdone注意：不用管“總?丫”目錄下的那些文件?；€符合性判定依據(jù)若返回值非空，則低于安全要求；備注補(bǔ)充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有主人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄，先查看它的完整性，如果一切正常，給它一個(gè)主人。有時(shí)候卸載程序可能會出現(xiàn)一些沒有主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。2.2.8檢查異常隱含文件安全基線項(xiàng)目名稱操作系統(tǒng)Linux隱含文件安全基線要求項(xiàng)安全基線編號SBL-Linux-02-02-08安全基線項(xiàng)說明文件系統(tǒng)-檢查異常隱含文件檢測操作步驟用“find”程序可以查找到這些隱含文件。例如：find/-name"..*"-print-xdevfind/-name"…*"-print-xdev|cat-v同時(shí)也要注意象'%乂”和“.mail”這樣的文件名的。（這些文件名看起來都很象正常的文件名）基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注補(bǔ)充操作說明備注在系統(tǒng)的每個(gè)地方都要查看一下有沒有異常隱含文件（點(diǎn)號是起始字符的，用“l(fā)s”命令看不到的文件）因?yàn)檫@些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）在UNIX下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“…”、”. ”（點(diǎn)點(diǎn)空格）“JG"（點(diǎn)點(diǎn)control^），來隱含文件或目錄。第3章日志審計(jì)3.1日志3.1.1syslog登錄事件記錄安全基線項(xiàng)目名稱操作系統(tǒng)Linux登錄審計(jì)安全基線要求項(xiàng)安全基線編號SBL-Linux-03-01-01安全基線項(xiàng)說明日志審計(jì)-syslog登錄事件記錄檢測操作步驟執(zhí)行命令：more/etc/syslog.conf