中国电信Linux操作系统安全配置规范Word格式.docx
- 文档编号:17908451
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:25
- 大小:34.49KB
中国电信Linux操作系统安全配置规范Word格式.docx
《中国电信Linux操作系统安全配置规范Word格式.docx》由会员分享,可在线阅读,更多相关《中国电信Linux操作系统安全配置规范Word格式.docx(25页珍藏版)》请在冰豆网上搜索。
YD/T1758-2008《非核心生产单元安全防护要求》
YD/T1742-2008《接入网安全防护要求》
YD/T1744-2008《传送网安全防护要求》
YD/T1746-2008《IP承载网安全防护要求》
YD/T1748-2008《信令网安全防护要求》
YD/T1750-2008《同步网安全防护要求》
YD/T1752-2008《支撑网安全防护要求》
YD/T1756-2008《电信网与互联网管理安全等级保护要求》
缩略语
下列缩略语适用于本标准:
FTP
Protocol
文件传输协议
UDP
UserDatagramProtocol
用户数据包协议
TCP
TransmissionControlProtocol
传输控制协议
安全配置要求
账号
编号:
1
要求内容
应按照不同的用户分配不同的账号。
避免不同用户间共享账号。
避免用户账号与设备间通信使用的账号共享。
操作指南
1、参考配置操作
为用户创建账号:
#useraddusername#创建账号
#passwdusername#设置密码
修改权限:
#chmod750directory#其中750为设置的权限,可根据实际情况设置相应的权限,directory就是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2、补充操作说明
检测方法
1、判定条件
能够登录成功并且可以进行常用操作;
2、检测操作
使用不同的账号进行登录并进行一些常用操作;
3、补充说明
2
应删除或锁定与设备运行、维护等工作无关的账号。
删除用户:
#userdelusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd-lusername
只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
需要锁定的用户:
listen,gdm,webservd,nobody,nobody4、noaccess。
注:
无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等
被删除或锁定的账号无法登录成功;
使用删除或锁定的与工作无关的账号登录系统;
3
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。
Cat/etc/passwd
Cat/etc/group
人工分析判断
4
使用PAM禁止任何人su为root
参考操作:
编辑su文件(vi/etc/pam、d/su),在开头添加下面两行:
authsufficient/lib/security/pam_rootok、soauthrequired/lib/security/pam_wheel、sogroup=wheel这表明只有wheel组的成员可以使用su命令成为root用户。
您可以把用户添加到wheel组,以使它可以使用su命令成为root用户。
添加方法为:
#chmod–G10username
Cat/etc/pam、d/su
口令
1
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母与特殊符号4类中至少3类。
vi/etc/login、defs,修改设置如下
PASS_MIN_LEN=8#设定最小用户密码长度为8位
Linux用户密码的复杂度可以通过pam_cracklibmodule或pam_passwdqcmodule进行设置
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
1、检查口令强度配置选项就是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查瞧系统就是否对口令强度要求进行提示;
输入带有特殊符号的复杂口令、普通复杂口令,查瞧系统就是否可以成功设置。
pam_cracklib主要参数说明:
tretry=N:
重试多少次后返回密码修改错误
difok=N:
新密码必需与旧密码不同的位数
dcredit=N:
N>
=0:
密码中最多有多少个数字;
N<
0密码中最少有多少个数字、
lcredit=N:
小宝字母的个数
ucredit=N大宝字母的个数
credit=N:
特殊字母的个数
minclass=N:
密码组成(大/小字母,数字,特殊字符)
pam_passwdqc主要参数说明:
mix:
设置口令字最小长度,默认值就是mix=disabled。
max:
设置口令字的最大长度,默认值就是max=40。
passphrase:
设置口令短语中单词的最少个数,默认值就是passphrase=3,如果为0则禁用口令短语。
atch:
设置密码串的常见程序,默认值就是match=4。
similar:
设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以就是similar=permit允许相似或similar=deny不允许相似。
random:
设置随机生成口令字的默认长度。
默认值就是random=42。
设为0则禁止该功能。
enforce:
设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;
enforce=users将对系统上的全体非根用户实行这一限制;
enforce=everyone将对包括根用户在内的全体用户实行这一限制。
non-unix:
它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。
retry:
设置用户输入口令字时允许重试的次数,默认值就是retry=3。
密码复杂度通过/etc/pam、d/system-auth实施
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
vi/etc/login、defs
PASS_MAX_DAYS=90#设定口令的生存期不长于90天
登录不成功;
使用超过90天的帐户口令登录;
测试时可以将90天的设置缩短来做测试;
文件及目录权限
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
通过chmod命令对目录的权限进行实际设置。
/etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod600/etc/shadow
chmod644/etc/group
如果就是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w/etc
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置就是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
1、利用管理员账号登录系统,并创建2个不同的用户;
2、创建用户时查瞧系统就是否提供了用户权限级别以及可访问系统资源与命令的选项;
3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容与不允许访问的内容,查瞧权限配置策略就是否生效。
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
1、参考配置操作
设置默认权限:
Vi/etc/login、defs在末尾增加umask027,将缺省访问权限设置为750
修改文件或目录的权限,操作举例如下:
#chmod444dir;
#修改目录dir的权限为所有人都为只读。
根据实际情况设置权限;
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
权限设置符合实际需要;
不应有的访问允许权限被屏蔽掉;
查瞧新建的文件或目录的权限,操作举例如下:
#ls-ldir;
#查瞧目录dir的权限
#cat/etc/login、defs查瞧就是否有umask027内容
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员与其她用户读权限。
umask的计算:
umask就是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;
对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
3
如果需要启用FTP服务,控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
以vsftp为例
打开/etc/vs文件,将需要限制的用户名加入到文件中
远程登录
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
编辑/etc/passwd,帐号信息的shell为/sbin/nologin的为禁止远程登录,如要允许,则改成可以登录的shell即可,如/bin/bash
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
root远程登录不成功,提示“没有权限”;
普通用户可以登录成功,而且可以切换到root用户;
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
2
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。
正常可以通过#/etc/init、d/sshdstart来启动SSH;
通过#/etc/init、d/sshdstop来停止SSH
查瞧SSH服务状态:
#ps–ef|grepssh
禁止使用telnet等明文传输协议进行远程维护;
如特别需要,需采用访问控制策略对其进行限制;
1、判定条件
就是否有ssh进程存在
就是否有telnet进程存在
查瞧telnet服务状态:
#ps–ef|greptelnet
补丁安全
在保证业务网络稳定运行的前提下,安装最新的OS补丁。
补丁在安装前需要测试确定。
瞧版本就是否为最新版本。
执行下列命令,查瞧版本及大补丁号。
#uname–a
#uname–a查瞧版本及大补丁号
RedHatLinux:
、redhat、com/support/errata/
SlackwareLinux:
、slackware、com/pub/slackware/
SuSELinux:
、suse、com/us/support/security/index、html
TurboLinux:
、turbolinux、com/security/
在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装。
日志安全要求
启用syslog系统日志审计功能
#cat/etc/syslog、conf查瞧就是否有#authpriv、*/var/log/secure
将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要就是一些与认证、权限使用相关的信息。
查瞧就是否有#authpriv、*/var/log/secure
#cat/etc/syslog、conf
系统日志文件由syslog创立并且不可被其她用户修改;
其它的系统日志文件不就是全局可写
查瞧如下等日志的访问权限
#ls–l查瞧下列日志文件权限
/var/log/messages、/var/log/secure、
/var/log/maillog、/var/log/cron、
/var/log/spooler、/var/log/boot、log
使用ls–l命令依次检查系统日志的读写权限
3(可选)
启用记录cron行为日志功能
Vi/etc/syslog、conf
#Logcronstuff
cron、*
4(可选)
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
修改配置文件vi/etc/syslog、conf,
加上这一行:
*、*
@192、168、0、1
可以将"
*、*"
替换为您实际需要的日志信息。
比如:
kern、*;
mail、*等等。
可以将此处192、168、0、1替换为实际的IP或域名。
查瞧日志服务器上的所收到的日志文件。
不必要的服务、端口
关闭不必要的服务。
查瞧所有开启的服务:
#ps–ef
#chkconfig--list
#cat/etc/xinetd、conf
在xinetd、conf中关闭不用的服务首先复制/etc/xinetd、conf。
#cp/etc/xinetd、conf/etc/xinetd、conf、backup然后用vi编辑器编辑
xinetd、conf文件,对于需要注释掉的服务在相应行开头标记"
#"
字符,重启xinetd服务,即可。
2、补充操作说明
参考附录A,根据需要关闭不必要的服务
所需的服务都列出来;
没有不必要的服务;
在/etc/xinetd、conf文件中禁止不必要的基本网络服务。
注意:
改变了“/etc/xinetd、conf”文件之后,需要重新启动xinetd。
对必须提供的服务采用tcp来保护
系统Banner设置
修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息
在缺省情况下,当您登录到linux系统,它会告诉您该linux
发行版的名称、版本、内核版本、服务器的名称。
应该尽可
能的隐藏系统信息。
首先编辑“/etc/rc、d/rc、local”文件,在下面显示的这些行前加一个“#”,把输出信息的命令注释掉。
#Thiswilloverwrite/etc/issueateveryboot、So,make
anychangesyouwanttomaketo/etc/issuehereoryou
willlosethemwhenyoureboot、
#echo"
"
>
/etc/issue
$R"
>
Kernel$(uname-r)on$a$(uname-m)"
/etc/issue
#cp-f/etc/issue/etc/issue、net
#echo>
其次删除"
/etc"
目录下的isue、net与issue文件:
#mv/etc/issue/etc/issue、bak
#mv/etc/issue、net/etc/issue、net、bak
查瞧Cat/etc/rc、d/rc、local注释住处信息
登陆超时时间设置
对于具备字符交互界面的设备,配置定时帐户自动登出
通过修改账户中“TMOUT”
参数,可以实现此功能。
TMOUT按秒计算。
编辑profile文
件(vi/etc/profile),在“HIST”后面加入下
面这行:
建议TMOUT=300(可根据情况设定)
改变这项设置后,必须先注销用户,再用该用户登录才能激
活这个功能
查瞧TMOUT=300
删除潜在危险文件
、rhosts,、netrc,hosts、equiv等文件都具有潜在的危险,如果没有应用,应该删除
执行:
find/-name、netrc,检查系统中就是否有、netrc文件,
find/-name、rhosts,检查系统中就是否有、rhosts文件
如无应用,删除以上文件:
Mv、rhost、rhost、bak
Mv、netr、netr、bak
注意系统版本,用相应的方法执行
FTP设置
编号1:
禁止root登陆FTP
在文件中加入下列行
root
使用root帐号登录ftp会被拒绝
编号2:
禁止匿名ftp
以vsftpd为例:
打开vsftd、conf文件,修改下列行为:
anonymous_enable=NO
匿名账户不能登录
编号3:
修改信息
使用vs
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国电信 Linux 操作 系统安全 配置 规范