linux操作系统加固修订版.docx
- 文档编号:12188161
- 上传时间:2023-04-17
- 格式:DOCX
- 页数:27
- 大小:25.19KB
linux操作系统加固修订版.docx
《linux操作系统加固修订版.docx》由会员分享,可在线阅读,更多相关《linux操作系统加固修订版.docx(27页珍藏版)》请在冰豆网上搜索。
linux操作系统加固修订版
LINUX操作系统加固手册
2018年10月修订版
目 录
1账号管理、认证授权3
1.1账号3
1.1.1SHG-LINUX-01-01-013
1.1.2SHG-LINUX-01-01-023
1.1.3SHG-LINUX-01-01-034
1.1.4SHG-LINUX-01-01-045
1.1.5SHG-LINUX-01-01-056
1.1.6SHG-LINUX-01-01-066
1.1.7SHG-LINUX-01-01-077
1.1.8SHG-LINUX-01-01-088
1.2口令9
1.2.1SHG-LINUX-01-02-019
1.2.2SHG-LINUX-01-02-029
1.2.3SHG-LINUX-01-02-0310
1.3文件与授权11
1.3.1SHG-LINUX-01-03-0111
1.3.2SHG-LINUX-01-03-0212
1.3.3SHG-LINUX-01-03-0312
2日志审计13
2.1.1SHG-LINUX-02-01-0113
2.1.2SHG-LINUX-02-01-0214
2.1.3SHG-LINUX-02-01-0315
2.1.4SHG-LINUX-02-01-0415
3通信协议16
3.1IP协议安全16
3.1.1SHG-LINUX-03-01-0116
3.1.2SHG-LINUX-03-01-0217
3.1.3SHG-LINUX-03-01-0318
4设备其他安全要求19
4.1服务进程和启动19
4.1.1SHG-LINUX-04-01-0119
4.1.2SHG-LINUX-04-01-0220
4.1.3SHG-LINUX-04-01-0321
4.2BANNER22
4.2.1SHG-LINUX-04-03-0122
4.3屏幕保护23
4.3.1SHG-LINUX-04-03-0123
4.4时钟同步23
4.4.1SHG-LINUX-04-04-0123
1账号管理、认证授权
1.1账号
1.1.1SHG-LINUX-01-01-01
编号
SHG-LINUX-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
cat/etc/passwd记录当前用户列表
实施步骤
1、参考配置操作
为用户创建账号:
#useraddusername#创建账号
#passwdusername#设置密码
修改权限:
#chmod750directory#其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
回退方案
删除新增加的帐户
判断依据
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险
高
重要等级
★★★
备注
1.1.2SHG-LINUX-01-01-02
编号
SHG-LINUX-01-01-02
名称
删除或锁定无效账号
实施目的
删除或锁定无效的账号,减少系统安全隐患。
问题影响
允许非法利用系统默认账号
系统当前状态
实施步骤
1、参考配置操作
#userdellp
#groupdellp
如果下面这些系统默认帐号不需要的话,建议删除。
lp,sync,shutdown,halt,news,uucp,operator,games,gopher
修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。
可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等,也可以使用usermod-s/dev/nullusername命令来更改username的shell为/dev/null。
回退方案
恢复账号或者SHELL
判断依据
如上述用户不需要,则锁定。
实施风险
高
重要等级
★★★
备注
1.1.3SHG-LINUX-01-01-03
编号
SHG-LINUX-01-01-03
名称
为空口令用户设置密码
实施目的
禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响
用户被非法利用
系统当前状态
cat/etc/passwd
awk-F:
'($2==""){print$1}'/etc/passwd
实施步骤
awk-F:
'($2==""){print$1}'/etc/passwd
用root用户登陆Linux系统,执行passwd命令,给用户增加口令。
例如:
passwdtesttest。
回退方案
root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据
登陆系统判断cat/etc/passwd
实施风险
高
重要等级
★
备注
1.1.4SHG-LINUX-01-01-04
编号
SHG-LINUX-01-01-04
名称
除root之外UID为0的用户
实施目的
帐号与口令-检查是否存在除root之外UID为0的用户
问题影响
账号权限过大,容易被非法利用
系统当前状态
awk-F:
'($3==0){print$1}'/etc/passwd
实施步骤
禁用或删除非root的超级用户
删除或者修改除root以外的UID为0的用户。
回退方案
无
判断依据
查看/etc/passwd中UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0
实施风险
高
重要等级
★
备注
1.1.5SHG-LINUX-01-01-05
编号
SHG-LINUX-01-01-05
名称
设置帐户锁定登录失败锁定次数、锁定时间
实施目的
设置帐户锁定登录失败锁定次数、锁定时间
问题影响
容易被非法利用
系统当前状态
/etc/pam.d/system-auth
实施步骤
authrequired/lib64/security/pam_tally.soonerr=faildeny=5unlock_time=300reset
回退方案
/etc/pam.d/system-auth
判断依据
/etc/pam.d/system-auth
实施风险
高
重要等级
★
备注
需重启sshd服务(servicesshdrestart)
1.1.6SHG-LINUX-01-01-06
编号
SHG-LINUX-01-01-06
名称
限制能够su为root的用户
实施目的
限制能够su为root的用户
问题影响
容易被非法利用
系统当前状态
/etc/pam.d/su
实施步骤
在“/etc/pam.d/su”文件的头部加入下面两行,确保只有“wheel”组的成员才能用su命令成为root:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=wheel
然后使用“usermod-G10用户名“命令将需要su成为root的用户添加到wheel用户组。
回退方案
/etc/pam.d/su
判断依据
/etc/pam.d/su
实施风险
高
重要等级
★
备注
需重启sshd服务(servicesshdrestart)
1.1.7SHG-LINUX-01-01-07
编号
SHG-LINUX-01-01-07
名称
设置系统自动注销帐号功能
实施目的
修改帐户TMOUT值,设置自动注销时间
问题影响
容易被非法利用
系统当前状态
/etc/profile
实施步骤
编辑/etc/profile文件,确保其中TMOUT参数设置了合适的值,例如600(10分钟),即可设置自动注销帐号功能。
exportTMOUT=600
回退方案
/etc/profile
判断依据
/etc/profile
实施风险
高
重要等级
★
备注
1.1.8SHG-LINUX-01-01-08
编号
SHG-LINUX-01-01-08
名称
禁止系统伪账号登录
实施目的
禁止系统伪账号登录
问题影响
容易被非法利用
系统当前状态
/etc/passwd
实施步骤
1、查看/etc/passwd文件
2、记录登录名不同,UID相同的伪账号
3、在/etc/passwd中改行前排用“#”注释来禁用
Passwd-l用户名锁定不必要的账号
Passwd-u用户名解锁
例如:
lp,sync,shutdown,halt,news,uucp,operator,games,gopherbin,sys,adm,nuucp,hpdf,www,daemon
回退方案
/etc/passwd
判断依据
/etc/passwd
实施风险
低
重要等级
★
备注
1.2口令
1.2.1SHG-LINUX-01-02-01
编号
SHG-LINUX-01-02-01
名称
缺省密码长度限制
实施目的
防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,口令长度至少8位。
问题影响
增加密码被暴力破解的成功率
系统当前状态
cat/etc/login.defs
实施步骤
1、参考配置操作
#vi/etc/login.defs
把下面这行
PASS_MIN_LEN5改为
PASS_MIN_LEN8
回退方案
vi/etc/login.defs,修改设置到系统加固前状态。
判断依据
PASS_MIN_LEN8
实施风险
低
重要等级
★★★
备注
1.2.2SHG-LINUX-01-02-02
编号
SHG-LINUX-01-02-02
名称
缺省密码生存周期限制
实施目的
对于采用静态口令认证技术的设备,帐户口令的生存期不长于180天,减少口令安全隐患。
问题影响
密码被非法利用,并且难以管理
系统当前状态
运行cat/etc/login.defs查看状态,并记录。
#vi/etc/login.defs修改配置文件
PASS_MAX_DAYS180密码使用最长期限为180天
PASS_MIN_DAYS1密码1天之内不能更改
PASS_WARN_AGE28密码过期之前28天提示修改
回退方案
Vi/etc/login.defs,修改设置到系统加固前状态。
判断依据
PASS_MAX_DAYS180
实施风险
低
重要等级
★★★
备注
1.2.3SHG-LINUX-01-02-03
编号
SHG-LINUX-01-02-03
名称
缺省密码复杂度限制
实施目的
防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
问题影响
增加密码被暴力破解的成功率
系统当前状态
运行cat/etc/pam.d/system-auth找到passwordrequisitepam_cracklib.so这么一行替换成如下:
查看状态,并记录。
1、参考配置操作
passwordrequisitepam_cracklib.so中
ucredit=2最少大写字母retry=5尝试次数
dcredit=2最少数字difok=3最少不同字符
lcredit=2最少小写字母
minlen=8最小密码长度
回退方案
Vi/etc/pam.d/system-auth,修改设置到系统加固前状态。
判断依据
ucredit=-2
dcredit=-2
lcredit=-2
minclass=-2
实施风险
低
重要等级
★★★
备注
1.3文件与授权
1.3.1SHG-LINUX-01-03-01
编号
SHG-LINUX-01-03-01
名称
设置关键目录的权限
实施目的
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
问题影响
非法访问文件
系统当前状态
运行ls–al/etc/记录关键目录的权限
实施步骤
1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
/etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod600/etc/shadow
chmod644/etc/group
Passwd、group等文件权限不超过644
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w/etc
回退方案
通过chmod命令还原目录权限到加固前状态。
判断依据
ls-al/etc/passwd
ls-al/etc/group
ls-al/etc/shadow
实施风险
高
重要等级
★★★
备注
1.3.2SHG-LINUX-01-03-02
编号
SHG-LINUX-01-03-02
名称
禁止root用户远程登陆
实施目的
禁止root用户远程登陆
问题影响
非法访问
系统当前状态
/etc/ssh/sshd_config
实施步骤
#vi/etc/ssh/sshd_config打开配置文件
把参数PermitRootLoginyes取消注释,并把“yes”改为“no”
保存退出
重启servicesshdrestart
回退方案
修改/etc/ssh/sshd_config
判断依据
/etc/ssh/sshd_config
实施风险
高
重要等级
★★★
备注
1.3.3SHG-LINUX-01-03-03
编号
SHG-LINUX-01-03-02
名称
修改umask值
实施目的
控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
问题影响
非法访问目录
系统当前状态
Cat~/.bash_profile检查是否包含umask值
实施步骤
1、参考配置操作
~/.bash_profile :
(针对每一用户,该配置文件中增加一行
每一个用户必须修改)
umask077#适用root用户,其它用户不可读
umask022#适用非root用户,其它用户可读不可写
;
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
回退方案
修改
~/.bash_profile文件到加固前状态。
判断依据
env|grepumask
实施风险
高
重要等级
★
备注
2日志审计
2.1.1SHG-LINUX-02-01-01
编号
SHG-LINUX-02-01-01
名称
启用日志记录功能
实施目的
登陆认证服务记录
问题影响
无法对用户的登陆进行日志记录
系统当前状态
运行cat/etc/rsyslog.conf查看状态,并记录。
★注:
部分版本对应的文件是/etc/syslog.conf
实施步骤
1、参考配置操作
cat/etc/rsyslog.conf
#Theauthprivfilehasrestrictedaccess.
authpriv.*/var/log/secure
*auth,authpriv:
主要认证有关机制,例如telnet,login,ssh等需要认证的服务都是使用此一机制
回退方案
vi/etc/rsyslog.conf,修改设置到系统加固前状态。
判断依据
authpriv.*/var/log/secure
实施风险
低
重要等级
★★★
备注
2.1.2SHG-LINUX-02-01-02
编号
SHG-LINUX-02-01-02
名称
记录系统安全事件
实施目的
通过设置让系统记录安全事件,方便管理员分析
问题影响
无法记录系统的各种安全事件
系统当前状态
Cat/etc/rsyslog.conf
★注:
部分版本对应的文件是/etc/syslog.conf
实施步骤
1、参考配置操作
修改配置文件vi/etc/rsyslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
回退方案
vi/etc/rsyslog.conf,修改设置到系统加固前状态。
判断依据
记录系统安全事件
实施风险
高
重要等级
★
备注
2.1.3SHG-LINUX-02-01-03
编号
SHG-LINUX-02-01-03
名称
启用记录cron行为日志功能
实施目的
对所有的cron行为进行审计
问题影响
无法记录cron服务(计划任务)
系统当前状态
Cat/etc/rsyslog.conf|grepcron
★注:
部分版本对应的文件是/etc/syslog.conf
实施步骤
1、参考配置操作
Vi/etc/rsyslog.conf
#Logcronstuff
cron.*/var/log/cron
回退方案
vi/etc/rsyslog.conf,修改cron.设置到系统加固前状态。
判断依据
cron.*
实施风险
低
重要等级
★
备注
2.1.4SHG-LINUX-02-01-04
编号
SHG-LINUX-02-01-04
名称
设置合适的日志配置文件的访问权限
实施目的
设置合适的日志配置文件的访问控制避免被普通修改和删除
问题影响
避免被普通用户修改和删除
系统当前状态
Cat/etc/syslog.conf
实施步骤
设置相关日志配置文件访问权限为640
#chmod640/etc/syslog.conf
(根据需要设置,auditd.conf、
Audit.log、/var/log/cronsecuremessages)
回退方案
/etc/syslog.conf设置到系统加固前状态。
判断依据
/etc/syslog.conf
实施风险
高
重要等级
★★
备注
3通信协议
3.1IP协议安全
3.1.1SHG-LINUX-03-01-01
编号
SHG-LINUX-03-01-01
名称
使用ssh加密传输
实施目的
提高远程管理安全性
问题影响
使用非加密通信,内容易被非法监听
系统当前状态
运行chkconfig–list|grepsshd查看状态,并记录。
实施步骤
1、参考配置操作
从
回退方案
卸载SSH、或者停止SSH服务
判断依据
Ps–ef|grepsshd查看是否有SSH进程
实施风险
高
重要等级
★
备注
3.1.2SHG-LINUX-03-01-02
编号
SHG-LINUX-03-01-02
名称
IP访问控制策略
实施目的
提高管理安全性
问题影响
防止非法访问
系统当前状态
/etc/sysconfig/iptables
实施步骤
1、参考配置操作
iptables-AINPUT-s*.*.*.*-jACCEPT
iptables-AINPUT-s*.*.*.*-jDROP
serviceiptablessave
iptables-PINPUTDROP
iptables-POUTPUTACCEPT
serviceiptablessave
serviceiptablesrestart
回退方案
/etc/sysconfig/iptables
判断依据
/etc/sysconfig/iptables
实施风险
高
重要等级
★
备注
3.1.3SHG-LINUX-03-01-03
编号
SHG-LINUX-03-01-03
名称
删除远程信任主机
实施目的
在主机信任关系配置中,删除远程信任主机
问题影响
防止非法访问
系统当前状态
/etc/hosts.equiv
实施步骤
1、参考配置操作
More/etc/hosts.equiv
More/home/mysql/.rhosts
2、在主机及账号列表前永#注释
3、查看rsh服务包安装情况,默认情况下rsh-server包是不安装的,如果存在可以删除
4、删除rsh-server包,rpm-ersh-server
回退方案
/etc/sysconfig/iptables
判断依据
/etc/sysconfig/iptables
实施风险
高
重要等级
★
备注
4设备其他安全要求
4.1服务进程和启动
4.1.1SHG-LINUX
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 操作系统 加固 修订版
![提示](https://static.bdocx.com/images/bang_tan.gif)