Linux安全配置基线doc.docx
- 文档编号:25203290
- 上传时间:2023-06-06
- 格式:DOCX
- 页数:31
- 大小:132.37KB
Linux安全配置基线doc.docx
《Linux安全配置基线doc.docx》由会员分享,可在线阅读,更多相关《Linux安全配置基线doc.docx(31页珍藏版)》请在冰豆网上搜索。
Linux安全配置基线doc
中国移动集团管理信息系统部安全加固项目
Linux系统安全配置基线
中国移动集团公司第1页共15页
备注:
中国移动集团管理信息系统部安全加固项目
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人
V1.0创建2009年1月
中国移动集团管理信息系统部安全加固项目
第1章概述..........................................................................................................................................1
1.1目的..........................................................................................................................................1
1.2适用范围..................................................................................................................................1
1.3适用版本..................................................................................................................................1
1.4实施..........................................................................................................................................1
1.5例外条款..................................................................................................................................1
第2章账号管理、认证授权..............................................................................................................2
2.1账号..........................................................................................................................................2
2.1.1用户口令设置.................................................................................................................2
2.1.2root用户远程登录限制......................................................................................................2
2.1.3检查是否存在除root之外UID为0的用户...............................................................3
2.1.4root用户环境变量的安全性..............................................................................................3
2.2认证..........................................................................................................................................4
2.2.1远程连接的安全性配置.................................................................................................4
2.2.2用户的umask安全配置.................................................................................................4
2.2.3重要目录和文件的权限设置.........................................................................................4
2.2.4查找未授权的SUID/SGID文件....................................................................................5
2.2.5检查任何人都有写权限的目录.....................................................................................6
2.2.6查找任何人都有写权限的文件.....................................................................................6
2.2.7检查没有属主的文件.....................................................................................................7
2.2.8检查异常隐含文件.........................................................................................................7
第3章日志审计..................................................................................................................................9
3.1日志..........................................................................................................................................9
3.1.1syslog登录事件记录..........................................................................................................9
3.2审计..........................................................................................................................................9
3.2.1Syslog.conf的配置审核......................................................................................................9
第4章系统文件................................................................................................................................11
4.1系统状态................................................................................................................................11
4.1.1系统coredump状态....................................................................................................11
第5章评审与修订............................................................................................................................12
中国移动集团公司第3页共15页
中国移动集团管理信息系统部安全加固项目
第1章概述
1.1目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系
统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查
人员进行LINUX操作系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的LINUX
服务器系统。
1.3适用版本
LINUX系列服务器;
1.4实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中
若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送
交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动集团公司第1页共15页
中国移动集团管理信息系统部安全加固项目
第2章账号管理、认证授权
2.1账号
2.1.1用户口令设置
2.1.2root用户远程登录限制
中国移动集团公司第2页共15页
安全基线项
目名称
操作系统Linux用户口令安全基线要求项
安全基线编
号
SBL-Linux-02-01-01
安全基线项
说明
帐号与口令-用户口令设置
检测操作步
骤
1、询问管理员是否存在如下类似的简单用户密码配置,比root/root,test/test,root/root122、执行:
more/etc/login,检查
PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_E参数
3
、执行:
awk-F:
'($2==){print$1}'/etc/shadow,检查是否存号
基线符合性
判定依据建议在/etc/login文件中配置:
PASS_MIN_LEN=6
不允许存在简单密码,密码设置符合策略,如长度至少为不存在空口令账号
备注
安全基线项
目名称操作系统Linux远程登录安全基线要求项
安全基线编
号SBL-Linux-02-01-02
安全基线项
说明帐号与口令-root用户远程登录限制
检测操作步执行:
more/etc/securetty,检查Console参数
中国移动集团管理信息系统部安全加固项目
2.1.3检查是否存在除root之外UID为0的用户
2.1.4root用户环境变量的安全性
安全基线项
目名称
操作系统Linux超级用户环境变量安全基线要求项
安全基线编
号
SBL-Linux-02-01-04
安全基线项
说明
帐号与口令-root用户环境变量的安全性
检测操作步
骤
执行:
echo$PATH|egrep'(^|:
)(\.|:
|$)',检查是否包含父目录,
执行:
find`echo$PATH|tr':
'''`-typed\(-perm-002-o-perm-020\)-ls查是否包含组目录权限为777的目录
基线符合性
中国移动集团公司第3页共15页
安全基线项
目名称
操作系统Linux超级用户策略安全基线要求项
判定依据返回值包含以上条件,则低于安全要求;
备注补充操作说明
确保root用户的系统路径中不包含父目录,在非必要的情况下,不应组权限为777的目录
安全基线编
号SBL-Linux-02-01-03
安全基线项
说明帐号与口令-检查是否存在除root之外UID为0的用户
检测操作步
骤执行:
awk-F:
'($3==0){print$1}'/etc/passwd
基线符合性
判定依据返回值包括“root”以外的条目,则低于安全要求;
备注补充操作说明
UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID0骤
基线符合性
判定依据建议在/etc/securetty文件中配置:
CONSOLE=/dev/tty01
备注
中国移动集团管理信息系统部安全加固项目
2.2认证
2.2.1远程连接的安全性配置
2.2.2用户的umask安全配置
2.2.3重要目录和文件的权限设置
中国移动集团公司第4页共15页
安全基线项
目名称
操作系统Linux远程连接安全基线要求项
安全基线编
号
SBL-Linux-02-02-01
安全基线项
说明
帐号与口令-远程连接的安全性配置
检测操作步
骤
执行:
find/-name.netrc,检查系统中是否有.netrc文执行:
find/-name.rhosts,检查系统中是否有.rhosts文件
基线符合性
判定依据
返回值包含以上条件,则低于安全要求;
备注
补充操作说明
如无必要,删除这两个文件
安全基线项
目名称
操作系统Linux用户umask安全基线要求项
安全基线编
号
SBL-Linux-02-02-02
安全基线项
说明帐号与口令-用户的umask安全配置
检测操作步
骤执行:
more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmo/etc/bashrc检查是否包含umask值
基线符合性
判定依据umask值是默认的,则低于安全要求
备注补充操作说明
建议设置用户的默认umask=077
安全基线项
目名称操作系统Linux目录文件权限安全基线要求项
安全基线编
号SBL-Linux-02-02-03
中国移动集团管理信息系统部安全加固项目
2.2.4查找未授权的SUID/SGID文件
中国移动集团公司第5页共15页安全基线项
说明文件系统-重要目录和文件的权限设置
检测操作步
骤执行以下命令检查目录和文件的权限设置情况:
ls–l/etc/
ls–l/etc/rc.d/init.ls–l/tls–l/etc/inetd.cols–l/etc/passls–l/etc/shadls–l/etc/grols–l/etc/securils–l/etc/servicls-l/etc/rc*.d
基线符合性
判定依据若权限过低,则低于安全要求;
备注补充操作对于重要目录,建议执行如下类似操#chmod-R750/etc/rc.d/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。
安全基线项
目名称操作系统LinuxSUID/SGID文件安全基线要求项
安全基线编
号SBL-Linux-02-02-04
安全基线项
说明文件系统-查找未授权的SUID/SGID文件
检测操作步
骤用下面的命令查找系统中所有的SUID和SGID程序,执forPARTin`grep-v^#/etc/fstab|awk'($6!
=0){print$2}'`;find$PART\(-perm-04000-o-perm-02000\)-typef-xdev-priDone
基线符合性
判定依据若存在未授权的文件,则低于安全要求;
中国移动集团管理信息系统部安全加固项目
备注补充操作说明建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门
2.2.5检查任何人都有写权限的目录
2.2.6查找任何人都有写权限的文件
中国移动集团公司第6页共15页安全基线项
目名称操作系统Linux目录写权限安全基线要求项
安全基线编
号SBL-Linux-02-02-05
安全基线项
说明文件系统-检查任何人都有写权限的目录
检测操作步
骤在系统中定位任何人都有写权限的目录用下面的命
forPARTin`awk'($3==ext2||$3==ext3){print$2}'/etc/fstab`;do
find$PART-xdev-typed\(-perm-0002-a!
-perm-1000\)-priDone
基线符合性
判定依据若返回值非空,则低于安全要求;
备注安全基线
目名操作系Linu文件写权限安全基线要求
安全基线
号SBL-Linux-02-02-06
安全基线项
说明文件系统-查找任何人都有写权限的文件
检测操作步
骤在系统中定位任何人都有写权限的文件用下面的命
forPARTin`grep-v^#/etc/fstab|awk'($6!
=0){print$2}'`;find$PART-xdev-typef\(-perm-0002-a!
-perm-1000\)-priDone
基线符合性
判定依据若返回值非空,则低于安全要求;
备注
中国移动集团管理信息系统部安全加固项目
2.2.7检查没有属主的文件
2.2.8检查异常隐含文件
中国移动集团公司第7页共15页安全基线项
目名称操作系统Linux文件所有权安全基线要求项
安全基线编
号SBL-Linux-02-02-07
安全基线项
说明文件系统-检查没有属主的文件
检测操作步
骤定位系统中没有属主的文件用下面的命
forPARTin`grep-v^#/etc/fstab|awk'($6!
=0){print$2}'`;find$PART-nouser-o-nogroup-pridone
注意:
不用管“/dev”目录下的那些文件。
基线符合性
判定依据若返回值非空,则低于安全要求;
备注补充操作说明
发现没有属主的文件往往就意味着有黑客入侵你的系统了。
不能允许没人的文件存在。
如果在系统中发现了没有主人的文件或目录,先查看它整性,如果一切正常,给它一个主人。
有时候卸载程序可能会出现一些主人的文件或目录,在这种情况下可以把这些文件和目录删除掉。
安全基线项
目名称操作系统Linux隐含文件安全基线要求项
安全基线编
号SBL-Linux-02-02-08
安全基线项
说明文件系统-检查异常隐含文件
检测操作步
骤用“find”程序可以查找到这些隐含文件。
例如:
#find/-name..*-print–xd#find/-name…*-print-xdev|cat-v
同时也要注意象“.xx”和“.mail”这样的文件名的。
(这些文件名看都很象正常的文件名
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 安全 配置 基线 doc
![提示](https://static.bdocx.com/images/bang_tan.gif)