Lnu系統(tǒng)安全配置標(biāo)準V

Lnu系統(tǒng)安全配置標(biāo)準V全加固技術(shù)要求——Linux服務(wù)器1.1系統(tǒng)補丁要求及時安裝系統(tǒng)補丁。更新補丁前，要求先在測試系統(tǒng)上對補丁進行可用性和兼容性驗證。系統(tǒng)補丁安裝方法為(以下示例若無特別說明，均以RedHatLinux為例)：使用up2date命令自動升級或在下載對應(yīng)版本補丁手工單獨安裝。對于date1.2其他應(yīng)用補丁應(yīng)用(如APACHE、PHP、OPENSSL、MYSQL等)也必須安裝最新的安全補丁。tartarzxfv*.emakeinstall注意：補丁更新要慎重，可能出現(xiàn)硬件不兼容、或者影響當(dāng)前應(yīng)用系統(tǒng)的情況。安裝補丁前，應(yīng)該在測試機上進行測試。2賬號和口令安全配置基線2.1賬號安全控制要求系統(tǒng)中的臨時測試賬號、過期無用賬號等必須被刪除或鎖定。以RedHatLinux為例，設(shè)置方法如下：鎖定賬號：/usr/sbin/usermod-L-s/dev/null$name刪除賬號：/usr/sbin/user$name要求設(shè)置口令策略以提高系統(tǒng)的安全性。例如要將口令策略設(shè)置為：非root用戶強制在90天內(nèi)更該口令、之后的7天之內(nèi)禁止更改口令、用戶在口令過期的28天前接受到系統(tǒng)的提示、口令的最小長度為6位。以RedHatMAXDAYSPASS_MIN_DAYS7PASSMIN_LEN6SWARNAGE2.3root登錄策略的配置要求2.4root的環(huán)境變量基線表2-1root環(huán)境變量基線設(shè)置修改文件安全設(shè)置操作說明/etc/profile地目錄(.)3網(wǎng)絡(luò)與服務(wù)安全配置標(biāo)準3.1最小化啟動服務(wù)如果xinetd服務(wù)中的服務(wù)，都不需要開放，則可以直接關(guān)閉xinetd服chkconfigchkconfig--level12345xinetdoff1)如果系統(tǒng)不需要作為郵件服務(wù)器，并不需要向外面發(fā)郵件，可以直接關(guān)chkconfigchkconfig--level12345sendmailoffSendmail不運行在daemon模式。編編輯/etc/sysconfig/senmail文件，增添以下行：DAEMON=noQUEUE=1hcd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail3、關(guān)閉圖形登錄服務(wù)(XWindows)在不需要圖形環(huán)境進行登錄和操作的情況下，要求關(guān)閉XWindows。編輯/編輯/etc/inittab文件，修改id:5:initdefault:行為id:3:initdefault:inittababf系統(tǒng)默認會啟動很多不必要的服務(wù)，有可能造成安全隱患。建議關(guān)閉以下apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcupschkconfigchkconfiglevel2345服務(wù)名off在關(guān)閉上述服務(wù)后，應(yīng)同時對這些服務(wù)在系統(tǒng)中的使用的賬號(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等)予以鎖定或刪除。usermodusermodL鎖定的用戶chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpopsrexecrloginrshrsyncserversservicesff對于xinet必須開放的服務(wù)，應(yīng)該注意服務(wù)軟件的升級和安全配置，并推4文件與目錄安全配置4.1臨時目錄權(quán)限配置標(biāo)準chmodchmod+t/tmp——為/tmp增加粘置位。4.2重要文件和目錄權(quán)限配置標(biāo)準表4-1重要文件和目錄權(quán)限配置標(biāo)準列表/etc/passwdootoot-rw-r--r--/etc/groupootoot-rw-r--r--/etc/hostsootoot-rw-rw-r--/etc/inittabrootRoot-rw-------4.3umask配置標(biāo)準4.4SUID/SGID配置標(biāo)準(組)ID，使得進程擁有了該程序的所有者(組)的特權(quán)，因而可能存在一定的安全隱患。對于這些程序，必須在全部檢查后形成基準，并定期對照基準進行。查找此類程序的命令為：D5信任主機的設(shè)置表5-1信任主機的設(shè)置方法(全局配置文件)~/.rhosts(單獨用戶的配置文1.編輯/etc/文件或者~/.rhosts文件，不能只采用主機信任的方式，而必須采用賬號和主機的方式，刪除不必要的信任主機設(shè).更改/etc/文件的屬性，只允許ATTENTIONATTENTION:Youhaveloggedontoasecuredserver..ONLYAuthorizedusersuserscanaccess..ATTENTIONATTENTION:Youhaveloggedontoasecuredserver..ONLYAuthorizedusersuserscanaccess..KillKillHUPinetdpid”7內(nèi)核參數(shù)0/bin/chownroot:root/etc//bin/chmod0600/etc/表8-1syslog日志安全配置列表配置文件中包含以下日志記錄:*.err操作說明/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/cri