Linux安全配置基線.doc

中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 1 頁 共 15 頁 LinuxLinux 系統(tǒng)安全配置基線系統(tǒng)安全配置基線 中國移動通信有限公司中國移動通信有限公司 管理信息系統(tǒng)部管理信息系統(tǒng)部 2009 年 3 月 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 2 頁 共 15 頁 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人 V1 0創(chuàng)建2009 年 1 月 備注 備注 1 若此文檔需要日后更新 請創(chuàng)建人填寫版本控制表格 否則刪除版本控制表格 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 3 頁 共 15 頁 目目 錄錄 第第 1 章章概述概述 1 1 1目的 1 1 2適用范圍 1 1 3適用版本 1 1 4實施 1 1 5例外條款 1 第第 2 章章賬號管理 認證授權(quán)賬號管理 認證授權(quán) 2 2 1賬號 2 2 1 1用戶口令設(shè)置 2 2 1 2root用戶遠程登錄限制 2 2 1 3檢查是否存在除root之外UID為0的用戶 3 2 1 4root用戶環(huán)境變量的安全性 3 2 2認證 4 2 2 1遠程連接的安全性配置 4 2 2 2用戶的umask安全配置 4 2 2 3重要目錄和文件的權(quán)限設(shè)置 4 2 2 4查找未授權(quán)的SUID SGID文件 5 2 2 5檢查任何人都有寫權(quán)限的目錄 6 2 2 6查找任何人都有寫權(quán)限的文件 6 2 2 7檢查沒有屬主的文件 7 2 2 8檢查異常隱含文件 7 第第 3 章章日志審計日志審計 9 3 1日志 9 3 1 1syslog登錄事件記錄 9 3 2審計 9 3 2 1Syslog conf的配置審核 9 第第 4 章章系統(tǒng)文件系統(tǒng)文件 11 4 1系統(tǒng)狀態(tài) 11 4 1 1系統(tǒng)core dump狀態(tài) 11 第第 5 章章評審與修訂評審與修訂 12 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 1 頁 共 15 頁 第第 1 章章概述概述 1 1 目的目的 本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的 LINUX 操作系 統(tǒng)的主機應(yīng)當遵循的操作系統(tǒng)安全性設(shè)置標準 本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查 人員進行 LINUX 操作系統(tǒng)的安全合規(guī)性檢查和配置 1 2 適用范圍適用范圍 本配置標準的使用者包括 服務(wù)器系統(tǒng)管理員 應(yīng)用管理員 網(wǎng)絡(luò)安全管理員 本配置標準適用的范圍包括 中國移動總部和各省公司信息化部門維護管理的 LINUX 服務(wù)器系統(tǒng) 1 3 適用版本適用版本 LINUX 系列服務(wù)器 1 4 實施實施 本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部 在本標準的執(zhí)行過程中 若有任何疑問或建議 應(yīng)及時反饋 本標準發(fā)布之日起生效 1 5 例外條款例外條款 欲申請本標準的例外條款 申請人必須準備書面申請文件 說明業(yè)務(wù)需求和原因 送 交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 2 頁 共 15 頁 第第 2 章章賬號管理 認證授權(quán)賬號管理 認證授權(quán) 2 1 賬號賬號 2 1 1 用戶口令設(shè)置用戶口令設(shè)置 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 用戶口令安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 01 01 安全基線項安全基線項 說明說明 帳號與口令 用戶口令設(shè)置 檢測操作步檢測操作步 驟驟 1 詢問管理員是否存在如下類似的簡單用戶密碼配置 比如 root root test test root root1234 2 執(zhí)行 more etc login 檢查 PASS MAX DAYS PASS MIN LEN PASS MIN DAYS PASS WARN AG E 參數(shù) 3 執(zhí)行 awk F 2 print 1 etc shadow 檢查是否存在空口令賬 號 基線符合性基線符合性 判定依據(jù)判定依據(jù) 建議在 etc login 文件中配置 PASS MIN LEN 6 不允許存在簡單密碼 密碼設(shè)置符合策略 如長度至少為 6 不存在空口令賬號 備注備注 2 1 2 root 用戶遠程登錄限制用戶遠程登錄限制 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 遠程登錄安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 01 02 安全基線項安全基線項 說明說明 帳號與口令 root 用戶遠程登錄限制 檢測操作步檢測操作步 執(zhí)行 more etc securetty 檢查 Console 參數(shù) 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 3 頁 共 15 頁 驟驟 基線符合性基線符合性 判定依據(jù)判定依據(jù) 建議在 etc securetty 文件中配置 CONSOLE dev tty01 備注備注 2 1 3 檢查是否存在除檢查是否存在除 root 之外之外 UID 為為 0 的用戶的用戶 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 超級用戶策略安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 01 03 安全基線項安全基線項 說明說明 帳號與口令 檢查是否存在除 root 之外 UID 為 0 的用戶 檢測操作步檢測操作步 驟驟 執(zhí)行 awk F 3 0 print 1 etc passwd 基線符合性基線符合性 判定依據(jù)判定依據(jù) 返回值包括 root 以外的條目 則低于安全要求 備注備注 補充操作說明 UID 為 0 的任何用戶都擁有系統(tǒng)的最高特權(quán) 保證只有 root 用戶的 UID 為 0 2 1 4 root 用戶環(huán)境變量的安全性用戶環(huán)境變量的安全性 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 超級用戶環(huán)境變量安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 01 04 安全基線項安全基線項 說明說明 帳號與口令 root 用戶環(huán)境變量的安全性 檢測操作步檢測操作步 驟驟 執(zhí)行 echo PATH egrep 檢查是否包含父目錄 執(zhí)行 find echo PATH tr type d perm 002 o perm 020 ls 檢 查是否包含組目錄權(quán)限為 777 的目錄 基線符合性基線符合性 判定依據(jù)判定依據(jù) 返回值包含以上條件 則低于安全要求 備注備注 補充操作說明 確保 root 用戶的系統(tǒng)路徑中不包含父目錄 在非必要的情況下 不應(yīng)包含 組權(quán)限為 777 的目錄 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 4 頁 共 15 頁 2 2 認證認證 2 2 1 遠程連接的安全性配置遠程連接的安全性配置 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 遠程連接安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 01 安全基線項安全基線項 說明說明 帳號與口令 遠程連接的安全性配置 檢測操作步檢測操作步 驟驟 執(zhí)行 find name netrc 檢查系統(tǒng)中是否有 netrc 文件 執(zhí)行 find name rhosts 檢查系統(tǒng)中是否有 rhosts 文件 基線符合性基線符合性 判定依據(jù)判定依據(jù) 返回值包含以上條件 則低于安全要求 備注備注 補充操作說明 如無必要 刪除這兩個文件 2 2 2 用戶的用戶的 umask 安全配置安全配置 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 用戶 umask 安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 02 安全基線項安全基線項 說明說明 帳號與口令 用戶的 umask 安全配置 檢測操作步檢測操作步 驟驟 執(zhí)行 more etc profile more etc csh login more etc csh cshrc more etc bashrc 檢查是否包含 umask 值 基線符合性基線符合性 判定依據(jù)判定依據(jù) umask 值是默認的 則低于安全要求 備注備注 補充操作說明 建議設(shè)置用戶的默認 umask 077 2 2 3 重要目錄和文件的權(quán)限設(shè)置重要目錄和文件的權(quán)限設(shè)置 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 目錄文件權(quán)限安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 03 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 5 頁 共 15 頁 安全基線項安全基線項 說明說明 文件系統(tǒng) 重要目錄和文件的權(quán)限設(shè)置 檢測操作步檢測操作步 驟驟 執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況 ls l etc ls l etc rc d init d ls l tmp ls l etc inetd conf ls l etc passwd ls l etc shadow ls l etc group ls l etc security ls l etc services ls l etc rc d 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若權(quán)限過低 則低于安全要求 備注備注 補充操作說明 對于重要目錄 建議執(zhí)行如下類似操作 chmod R 750 etc rc d init d 這樣只有 root 可以讀 寫和執(zhí)行這個目錄下的腳本 2 2 4 查找未授權(quán)的查找未授權(quán)的 SUID SGID 文件文件 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux SUID SGID 文件安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 04 安全基線項安全基線項 說明說明 文件系統(tǒng) 查找未授權(quán)的 SUID SGID 文件 檢測操作步檢測操作步 驟驟 用下面的命令查找系統(tǒng)中所有的 SUID 和 SGID 程序 執(zhí)行 for PART in grep v etc fstab awk 6 0 print 2 do find PART perm 04000 o perm 02000 type f xdev print Done 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若存在未授權(quán)的文件 則低于安全要求 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 6 頁 共 15 頁 備注備注 補充操作說明 建議經(jīng)常性的對比 suid sgid 文件列表 以便能夠及時發(fā)現(xiàn)可疑的后門程序 2 2 5 檢查任何人都有寫權(quán)限的目錄檢查任何人都有寫權(quán)限的目錄 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 目錄寫權(quán)限安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 05 安全基線項安全基線項 說明說明 文件系統(tǒng) 檢查任何人都有寫權(quán)限的目錄 檢測操作步檢測操作步 驟驟 在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令 for PART in awk 3 ext2 3 ext3 print 2 etc fstab do find PART xdev type d perm 0002 a perm 1000 print Done 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若返回值非空 則低于安全要求 備注備注 2 2 6 查找任何人都有寫權(quán)限的文件查找任何人都有寫權(quán)限的文件 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 文件寫權(quán)限安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 06 安全基線項安全基線項 說明說明 文件系統(tǒng) 查找任何人都有寫權(quán)限的文件 檢測操作步檢測操作步 驟驟 在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART xdev type f perm 0002 a perm 1000 print Done 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若返回值非空 則低于安全要求 備注備注 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 7 頁 共 15 頁 2 2 7 檢查沒有屬主的文件檢查沒有屬主的文件 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 文件所有權(quán)安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 07 安全基線項安全基線項 說明說明 文件系統(tǒng) 檢查沒有屬主的文件 檢測操作步檢測操作步 驟驟 定位系統(tǒng)中沒有屬主的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART nouser o nogroup print done 注意 不用管 dev 目錄下的那些文件 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若返回值非空 則低于安全要求 備注備注 補充操作說明 發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了 不能允許沒有主 人的文件存在 如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄 先查看它的完 整性 如果一切正常 給它一個主人 有時候卸載程序可能會出現(xiàn)一些沒有 主人的文件或目錄 在這種情況下可以把這些文件和目錄刪除掉 2 2 8 檢查異常隱含文件檢查異常隱含文件 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 隱含文件安全基線要求項 安全基線編安全基線編 號號 SBL Linux 02 02 08 安全基線項安全基線項 說明說明 文件系統(tǒng) 檢查異常隱含文件 檢測操作步檢測操作步 驟驟 用 find 程序可以查找到這些隱含文件 例如 find name print xdev find name print xdev cat v 同時也要注意象 xx 和 mail 這樣的文件名的 這些文件名看起來 都很象正常的文件名 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若返回值非空 則低于安全要求 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 8 頁 共 15 頁 備注備注 補充操作說明 在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件 點號是起始字符的 用 ls 命令看不到的文件 因為這些文件可能是隱藏的黑客工具或者其 它一些信息 口令破解程序 其它系統(tǒng)的口令文件 等等 在 UNIX 下 一個常用的技術(shù)就是用一些特殊的名 如 點點空格 或 G 點點 control G 來隱含文件或目錄 中國移動集團管理信息系統(tǒng)部安全加固項目 中國移動集團公司第 9 頁 共 15 頁 第第 3 章章日志審計日志審計 3 1 日志日志 3 1 1 syslog 登錄事件記錄登錄事件記錄 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 登錄審計安全基線要求項 安全基線編安全基線編 號號 SBL Linux 03 01 01 安全基線項安全基線項 說明說明 日志審計 syslog 登錄事件記錄 檢測操作步檢測操作步 驟驟 執(zhí)行命令 more etc syslog conf 查看參數(shù) authpriv 值 基線符合性基線符合性 判定依據(jù)判定依據(jù) 若未對所有登錄事件都記錄 則低于安全要求 備注備注 3 2 審計審計 3 2 1 Syslog conf 的配置審核的配置審核 安全基線項安全基線項 目名稱目名稱 操作系統(tǒng) Linux 配置審計安全基線要求項 安全基線編安全基線編 號號 SBL Linux 03 02 01 安全基線項安全基線項 說明說明 日志審計 Syslog conf 的配置審核 檢測操作步檢測操作步 驟驟 執(zhí)行 more etc syslog conf 查看是否設(shè)置了下列項 k