最新Linux系统安全配置基线.docx
- 文档编号:353947
- 上传时间:2022-10-09
- 格式:DOCX
- 页数:15
- 大小:24.83KB
最新Linux系统安全配置基线.docx
《最新Linux系统安全配置基线.docx》由会员分享,可在线阅读,更多相关《最新Linux系统安全配置基线.docx(15页珍藏版)》请在冰豆网上搜索。
最新Linux系统安全配置基线
Linux系统平安配置基线
Linux系统平安配置基线
第1章
第2章概述
2.1目的
本文规定了Linux操作系统主机应当遵循的操作系统平安性设置标准,本文档旨在指导系统管理人员或平安检查人员进行Linux操作系统的平安合规性检查和配置。
2.2适用范围
本配置标准的使用者包括:
效劳器系统管理员、平安管理员和相关使用人员。
本配置标准适用的范围包括:
Linux效劳器。
2.3适用版本
适用于RedhatAS5。
第3章安装前准备工作
3.1需准备的光盘
从RedHat官网下载高级企业效劳器版操作系统,并制作成光盘。
第4章操作系统的根本安装
4.1根本安装
〔1〕应在隔离网络进行安装。
选择custom方式,根据最小化原那么,仅安装需要的软件包。
〔2〕根据效劳器的实际用途来确实是否需要给/VAR,/HOME划分单独的分区。
〔3〕安装完成后尽快通过适宜可行的方式安装重要的补丁程序。
第5章账号管理、认证授权
5.1账号
5.1.1用户口令设置
平安基线工程名称
操作系统Linux用户口令平安基线要求项
平安基线项说明
帐号与口令-用户口令设置,配置用户口令强度检查到达12位,要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、询问管理员是否存在如下类似的简单用户密码配置,比方:
root/root,test/test,root/root1234
2、执行:
more/etc/login,检查
PASS_MIN_LEN12
PASS_MAX_DAYS90
PASS_WARN_AGE7
3、执行:
awk-F:
'($2==""){print$1}'/etc/shadow,检查是否存在空口令账号
4、编辑/etc/pam.d/system-auth文件,将
passwordrequisitepam_cracklib.sotry_first_passretry=3
改为
passwordrequisitepam_cracklib.sotry_first_passretry=3dcredit=-1ocredit=-1
基线符合性判定依据
不允许存在简单密码,密码设置至少包括一个数字和一个特殊字符,长度至少为12位
检查greppam_cracklib/etc/pam.d/system-auth
修改已有用户的口令生存期和过期告警天数
#chage-M90-W7htsc_temp
备注
5.1.2检查是否存在除root之外UID为0的用户
平安基线工程名称
操作系统Linux超级用户策略平安基线要求项
平安基线项说明
帐号与口令-检查是否存在除root之外UID为0的用户
检测操作步骤
执行:
awk-F:
'($3==0){print$1}'/etc/passwd
基线符合性判定依据
返回值包括“root〞以外的条目,那么低于平安要求。
备注
补充操作说明
UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0
5.1.3检查多余账户
平安基线工程名称
操作系统Linux无用账户策略平安基线要求项
平安基线项说明
帐号与口令-检查是否存在如下不必要账户:
lp,sync,shutdown,halt,news,uucp,operator,games,gopher等,
检测操作步骤
执行:
cat/etc/passwd
如果不使用,用以下命令进行删除。
#delusertest01
基线符合性判定依据
如发现上述账户,那么低于平安要求。
如主机存在gnone,那么需要保存games账号
备注
5.1.4分配账户
平安基线工程名称
操作系统Linux账户策略平安基线要求项
平安基线项说明
给不同的用户分配不同的帐号,防止多个用户共享帐号。
至少分配root,auditor,operator角色。
检测操作步骤
1、参考配置操作
#useraddauditor#新建帐号
#passwdauditor#设置口令
#chmod700~auditor#修改用户主目录权限,确保只有该用户可以读写
#vi/etc/passwd注释掉不用的账户auditor#停用不用的账户
基线符合性判定依据
1、判定条件
用新建的用户登陆系统成功,可以做常用的操作,用户不能访问其他用户的主目录。
2、检测操作
用不同用户登陆,检查用户主目录的权
备注
5.1.5账号锁定
平安基线工程名称
操作系统Linuxr认证失败锁定要求项
平安基线项说明
设置帐号在3次连续尝试认证失败后锁定,锁定时间为1分钟,防止用户口令被暴力破解。
检测操作步骤
1、参考配置操作
建立/var/log/faillog文件并设置权限
#touch/var/log/faillog
#chmod600/var/log/faillog
编辑/etc/pam.d/system-auth文件,在
authrequiredpam_env.so
后面添加
authrequiredpam_tally.soonerr=faildeny=3unlock_time=60
基线符合性判定依据
1、判定条件
连续输入错误口令3次以上,再输正确口令,用户不能登陆。
2、检测操作
greppam_tally/etc/pam.d/system-auth
备注
5.1.6检查账户权限
平安基线工程名称
操作系统Linux无用账户策略平安基线要求项
平安基线项说明
帐号与口令-检查除ROOT外是否有其他账户拥有shell权限
检测操作步骤
执行:
cat/etc/passwd观察是否有非root账户设置/bin/bash或/bin/sh权限
基线符合性判定依据
无特殊应用情况下,如发现上述账户,那么低于平安要求。
备注
5.2认证
5.2.1远程连接的平安性配置
平安基线工程名称
操作系统Linux远程连接平安基线要求项
平安基线项说明
帐号与口令-远程连接的平安性配置
检测操作步骤
执行:
find/-name.netrc,检查系统中是否有.netrc文件;
执行:
find/-name.rhosts,检查系统中是否有.rhosts文件
基线符合性判定依据
返回值包含以上条件,那么低于平安要求。
备注
补充操作说明
如无必要,删除这两个文件
5.2.2限制ssh连接的IP配置
平安基线工程名称
操作系统Linux远程连接平安基线要求项
平安基线项说明
配置tcp_wrappers,限制允许远程登陆系统的IP范围。
检测操作步骤
1、参考配置操作
编辑/etc/hosts.deny
添加
sshd:
ALL
编辑/etc/hosts.allow
添加
sshd:
168.8.44.0/255.255.255.0#允许168.8.44.0网段远程登陆
sshd:
168.8.43.0/255.255.255.0#允许168.8.43.0网段远程登陆
基线符合性判定依据
1、判定条件
只有网管网段可以ssh登陆系统。
2、检测操作
cat/etc/hosts.deny
cat/etc/hosts.allow
备注
对于不需要sshd效劳的无需配置该项。
中心机房以外的效劳器管理,暂时不做源地址限制。
5.2.3用户的umask平安配置
平安基线工程名称
操作系统Linux用户umask平安基线要求项
平安基线项说明
帐号与口令-用户的umask平安配置
检测操作步骤
执行:
more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc检查是否包含umask值
基线符合性判定依据
umask值是默认的,那么低于平安要求。
备注
补充操作说明:
vi/etc/profile
建议设置用户的默认umask=077
5.2.4查找未授权的SUID/SGID文件
平安基线工程名称
操作系统LinuxSUID/SGID文件平安基线要求项
平安基线项说明
文件系统-查找未授权的SUID/SGID文件
检测操作步骤
用下面的命令查找系统中所有的SUID和SGID程序,执行:
forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;do
find$PART\(-perm-04000-o-perm-02000\)-typef-xdev-print
Done
基线符合性判定依据
假设存在未授权的文件,那么低于平安要求。
备注
补充操作说明
建议经常性的比照suid/sgid文件列表,以便能够及时发现可疑的后门程序
5.2.5检查任何人都有写权限的目录
平安基线工程名称
操作系统Linux目录写权限平安基线要求项
平安基线项说明
文件系统-检查任何人都有写权限的目录
检测操作步骤
在系统中定位任何人都有写权限的目录用下面的命令:
forPARTin`awk'($3=="ext2"||$3=="ext3")\
{print$2}'/etc/fstab`;do
find$PART-xdev-typed\(-perm-0002-a!
-perm-1000\)-print
Done
基线符合性判定依据
假设返回值非空,那么低于平安要求。
备注
5.2.6查找任何人都有写权限的文件
平安基线工程名称
操作系统Linux文件写权限平安基线要求项
平安基线项说明
文件系统-查找任何人都有写权限的文件
检测操作步骤
在系统中定位任何人都有写权限的文件用下面的命令:
forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;do
find$PART-xdev-typef\(-perm-0002-a!
-perm-1000\)-print
Done
基线符合性判定依据
假设返回值非空,那么低于平安要求。
备注
5.2.7检查没有属主的文件
平安基线工程名称
操作系统Linux文件所有权平安基线要求项
平安基线项说明
文件系统-检查没有属主的文件
检测操作步骤
定位系统中没有属主的文件用下面的命令:
forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;do
find$PART-nouser-o-nogroup-print
done
注意:
不用管“/dev〞目录下的那些文件
基线符合性判定依据
假设返回值非空,那么低于平安要求。
备注
补充操作说明
发现没有属主的文件往往就意味着有黑客入侵你的系统了。
不能允许没有属主的文件存在。
如果在系统中发现了没有属主的文件或目录,先查看它的完整性,如果一切正常,给它一个属主。
有时候卸载程序可能会出现一些没有属主的文件或目录,在这种情况下可以把这些文件和目录删除掉。
5.2.8检查异常隐含文件
平安基线工程名称
操
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 最新 Linux 系统安全 配置 基线