Linux系統(tǒng)安全配置基線要點(diǎn)

1、Linux系統(tǒng)安全配置基線 Linux 系統(tǒng)安全配置基線 目錄 第 1 章概述 1 1.1 目的 1 1.2 適用范圍 1 1.3 適用版本 1 第 2 章安裝前準(zhǔn)備工作 1 2.1 需準(zhǔn)備的光盤 1 第 3 章操作系統(tǒng)的基本安裝 1 3.1 基本安裝 1 第 4 章賬號管理、認(rèn)證授權(quán) 2 4.1 賬號 2 4.1.1 用戶口令設(shè)置 2 4.1.2 檢查是否存在除 root 之外 UID 為 0 的用戶 3 4.1.3 檢查多余賬戶 3 4.1.4 分配賬戶 3 4.1.5 賬號鎖定 4 4.1.6 檢查賬戶權(quán)限 5 4.2 認(rèn)證 5 4.2.1 遠(yuǎn)程連接的安全性配置 5 4.2.2限制 ss

2、h 連接的 IP 配置 5 4.2.3 用戶的 umask 安全配置 6 4.2.4 查找未授權(quán)的 SUID/SGID 文件 7 4.2.5 檢查任何人都有寫權(quán)限的目錄 7 4.2.6 查找任何人都有寫權(quán)限的文件 8 4.2.7 檢查沒有屬主的文件 8 4.2.8 檢查異常隱含文件 9 第 5 章日志審計 10 5.1 日志 10 5.1.1 syslog 登錄事件記錄 10 5.2 審計 10 5.2.1 Syslog.conf 的配置審核 10 5.2.2 日志增強(qiáng) 11 5.2.3 syslog 系統(tǒng)事件審計 11 第 6 章 其他配置操作 12 6.1 系統(tǒng)狀態(tài) 12 6.1.1 系統(tǒng)

3、超時注銷 12 6.2 LINUX 服務(wù) 12 6.2.1 禁用不必要服務(wù) 12 第 7 章 持續(xù)改進(jìn) 13 ii Linux系統(tǒng)安全配置基線 第1章概述 1.1目的 本文規(guī)定了 Linux操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管 理人員或安全檢查人員進(jìn)行Linux操作系統(tǒng)的安全合規(guī)性檢查和配置。 1.2適用范圍 本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、安全管理員和相關(guān)使用人員。 本配置標(biāo)準(zhǔn)適用的范圍包括：Linux服務(wù)器。 1.3適用版本 適用于 Redhat AS 5。 第2章安裝前準(zhǔn)備工作 2.1需準(zhǔn)備的光盤 從RedHat官網(wǎng)下載高級企業(yè)服務(wù)器版操作系統(tǒng)，并

4、制作成光盤。 第3章操作系統(tǒng)的基本安裝 3.1基本安裝 （1 ）應(yīng)在隔離網(wǎng)絡(luò)進(jìn)行安裝。選擇custom方式，根據(jù)最小化原則，僅安裝需要的軟件包。 （2）根據(jù)服務(wù)器的實(shí)際用途來確實(shí)是否需要給/VAR, /HOME劃分單獨(dú)的分區(qū)。 （3）安裝完成后盡快通過合適可行的方式安裝重要的補(bǔ)丁程序。 第4章賬號管理、認(rèn)證授權(quán) 4.1賬號 4.1.1用戶口令設(shè)置 安全基線項 目名稱 操作系統(tǒng)Linux用戶口令安全基線要求項 安全基線項 說明 帳號與口令-用戶口令設(shè)置，配置用戶口令強(qiáng)度檢查達(dá)到12位，要求用戶口 令包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。 檢測操作步 驟 1、詢問管理員是否存在如下

5、類似的簡單用戶密碼配置，比如： root/root, test/test, root/root1234 2、執(zhí)行:more /etc/login，檢查 PASS_MIN_LEN 12 PASS_MAX_DAYS 90 PASS_WARN_AGE 7 3、 執(zhí)行：awk -F: ($2 = ”) print $1 /etc/shadow,檢查是否存在空口令賬 號 4、編輯 /etc/pam.d/system-auth 文件，將 passwordrequisitepam_cracklib.sotry_first_passretry=3 改為 passwordrequisitepam_crackli

6、b.sotry_first_passretry=3 dcredit=-1 ocredit=-1 基線符合性 判定依據(jù) 不允許存在簡單密碼，密碼設(shè)置至少包括一個數(shù)字和一個特殊字符，長度至 少為12位 檢查 grep pam cracklib /etc/pam.d/system-auth 修改已有用戶的口令生存期和過期告警天數(shù) #chage -M 90 -W 7 htsc_temp 備注 4.1.2檢查是否存在除root之外UID為0的用戶 安全基線項 目名稱 操作系統(tǒng)Linux超級用戶策略安全基線要求項 安全基線項 說明 帳號與口令-檢查是否存在除root之外UID為0的用戶 檢測操作步 驟 執(zhí)

7、行：awk -F: ($3 = 0) print $1 /etc/passwd 基線符合性 判定依據(jù) 返回值包括“root ”以外的條目，則低于安全要求。 備注 補(bǔ)充操作說明 UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為0 4.1.3檢查多余賬戶 安全基線項 目名稱 操作系統(tǒng)Linux無用賬戶策略安全基線要求項 安全基線項 說明 帳號與口令-檢查是否存在如下不必要賬戶：Ip, sync, shutdown, halt, news, uucp, operator, games, gopher等, 檢測操作步 驟 執(zhí)行：cat /etc/passwd 如果不使用，用以下

8、命令進(jìn)行刪除。 #deluser test01 基線符合性 判定依據(jù) 如發(fā)現(xiàn)上述賬戶，則低于安全要求。如主機(jī)存在gnone,則需要保留games賬 號 備注 4.1.4分配賬戶 安全基線項 操作系統(tǒng)Linux賬戶策略安全基線要求項 目名稱 安全基線項 說明 給不同的用戶分配不同的帳號，避免多個用戶共享帳號。 至少分配己 root， auditor， operator 角色。 檢測操作步 驟 1、參考配置操作 #useradd auditor# 新建帳號 #passwd auditor#設(shè)置口令 #chmod 700 auditor#修改用戶主目錄權(quán)限，確保只有該用戶可以讀寫 #vi /etc/

9、passwd 注釋掉不用的賬戶auditor#停用不用的賬戶 基線符合性 判定依據(jù) 1、判定條件 用新建的用戶登陸系統(tǒng)成功，可以做常用的操作，用戶不能訪問其他用戶的 主目錄。 2、檢測操作 用不同用戶登陸，檢查用戶主目錄的權(quán) 備注 4.1.5賬號鎖定 安全基線項 目名稱 操作系統(tǒng)Linuxr認(rèn)證失敗鎖定要求項 安全基線項 說明 設(shè)置帳號在3次連續(xù)嘗試認(rèn)證失敗后鎖定，鎖定時間為1分鐘，避免用戶口 令被暴力破解。 檢測操作步 驟 1、參考配置操作 建立/var/log/faillog文件并設(shè)置權(quán)限 #touch /var/log/faillog #chmod 600 /var/log/faillo

10、g 編輯 /etc/pam.d/system-auth 文件，在 authrequiredpam_e nv.so 后面添加 auth required pam tally.so on err=fail deny=3 uni ock time=60 基線符合性 判定依據(jù) 1、判定條件 連續(xù)輸入錯誤口令 3次以上，再輸正確口令，用戶不能登陸。 2、檢測操作 grep pam tally /etc/pam.d/system-auth 備注 4.1.6檢查賬戶權(quán)限 安全基線項 目名稱 操作系統(tǒng)Linux無用賬戶策略安全基線要求項 安全基線項 說明 帳號與口令-檢查除ROOT外是否有其他賬戶擁有 she

11、ll權(quán)限 檢測操作步 驟 執(zhí)行：cat /etc/passwd觀察是否有非 root賬戶設(shè)置/bin/bash或/bin/sh權(quán)限 基線符合性 判定依據(jù) 無特殊應(yīng)用情況下，如發(fā)現(xiàn)上述賬戶，則低于安全要求。 備注 4.2認(rèn)證 4.2.1遠(yuǎn)程連接的安全性配置 安全基線項 目名稱 操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項 安全基線項 說明 帳號與口令-遠(yuǎn)程連接的安全性配置 檢測操作步 驟 執(zhí)行：find / -n ame .n etrc，檢查系統(tǒng)中是否有 .n etrc文件； 執(zhí)行：find / -name .rhosts，檢查系統(tǒng)中是否有 .rhosts文件 基線符合性 判定依據(jù) 返回值包含以上條

12、件，則低于安全要求。 備注 補(bǔ)充操作說明 如無必要，刪除這兩個文件 4.2.2限制ssh連接的IP配置 安全基線項 操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項 目名稱 安全基線項 說明 配置tcp_wrappers，限制允許遠(yuǎn)程登陸系統(tǒng)的IP范圍。 檢測操作步 驟 1、參考配置操作 編輯 /etc/hosts.de ny 添加 sshd:ALL 編輯 /etc/hosts.allow 添加 sshd: /# 允許 網(wǎng)段遠(yuǎn)程登陸 sshd: /# 允許 網(wǎng)段遠(yuǎn)程登

13、陸 基線符合性 判定依據(jù) 1、判定條件 只有網(wǎng)管網(wǎng)段可以ssh登陸系統(tǒng)。 2、檢測操作 cat /etc/hosts.de ny cat /etc/hosts.allow 備注 對于不需要sshd服務(wù)的無需配置該項。 中心機(jī)房以外的服務(wù)器管理，暫時不做源地址限制。 4.2.3用戶的umask安全配置 安全基線項 目名稱 操作系統(tǒng)Linux用戶umask安全基線要求項 安全基線項 帳號與口令-用戶的umask安全配置 說明 檢測操作步 執(zhí)行： more /etc/profilemore /etc/csh .loginmore /etc/csh.cshrc more 驟 /etc/bashrc檢查

14、是否包含 umask值 基線符合性 umask值是默認(rèn)的，則低于安全要求。 判定依據(jù) 備注 補(bǔ)充操作說明：vi /etc/profile 建議設(shè)置用戶的默認(rèn) umask=077 4.2.4查找未授權(quán)的 SUID/SGID 文件 安全基線項 目名稱 操作系統(tǒng)Linux SUID/SGID文件安全基線要求項 安全基線項 說明 文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件 檢測操作步 驟 用下面的命令查找系統(tǒng)中所有的 SUID和SGID程序，執(zhí)行： for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、； do find $PART

15、( -perm -04000 -o -perm -02000 ) -type f -xdev -pri nt Done 基線符合性 判定依據(jù) 若存在未授權(quán)的文件，則低于安全要求。 備注 補(bǔ)充操作說明 建議經(jīng)常性的對比suid/sgid文件列表，以便能夠及時發(fā)現(xiàn)可疑的后門程序 4.2.5檢查任何人都有寫權(quán)限的目錄 安全基線項 目名稱 操作系統(tǒng)Linux目錄與權(quán)限安全基線要求項 安全基線項 說明 文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄 檢測操作步 驟 在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令： for PART in awk ($3 = ext2 | $3 = ext3) print $2 /

16、etc/fstab; do find $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -pri nt Done 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求。 備注 426查找任何人都有寫權(quán)限的文件 安全基線項 目名稱 操作系統(tǒng)Linux文件與權(quán)限安全基線要求項 安全基線項 說明 文件系統(tǒng)-查找任何人都有寫權(quán)限的文件 檢測操作步 驟 在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令： for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、； do find $PART

17、 -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -pri nt Done 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求。 備注 4.2.7檢查沒有屬主的文件 安全基線項 目名稱 操作系統(tǒng)Linux文件所有權(quán)安全基線要求項 安全基線項 說明 文件系統(tǒng)-檢查沒有屬主的文件 檢測操作步 驟 定位系統(tǒng)中沒有屬主的文件用下面的命令： for PART in grep -v a# /etc/fstab | awk ($6 != 0) print $2 、; do find $PART -nouser -o -nogroup -print done 注意

18、：不用管“ /dev”目錄下的那些文件 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求。 備注 補(bǔ)充操作說明 發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有屬 主的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有屬主的文件或目錄，先查看它的完 整性，如果一切正常，給它一個屬主。有時候卸載程序可能會出現(xiàn)一些沒有 屬主的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。 428檢查異常隱含文件 安全基線項 目名稱 操作系統(tǒng)Linux隱含文件安全基線要求項 安全基線項 說明 文件系統(tǒng)-檢查異常隱含文件 檢測操作步 驟 用“find”程序可以查找到這些隱含文件。例如： # find/ -n a

19、me . * -pri nt -dev # find/ -name * -print -xdev | cat -v 同時也要注意象“ .xx ”和“ .mail ”這樣的文件名的。（這些文件名看起來都 很象正常的文件名） 基線符合性 判定依據(jù) 若返回值非空，則低于安全要求。 備注 補(bǔ)充操作說明 在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件（點(diǎn)號是起始字符的， 用“Is”命令看不到的文件），因?yàn)檫@些文件可能是隱藏的黑客工具或者其它 一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX/LINUX 下，一個常用的技術(shù)就是用一些特殊的名，如：“,”、“ ”（點(diǎn)點(diǎn)空格） 或.AG （點(diǎn)點(diǎn)c

20、ontroI-G ）,來隱含文件或目錄。 14 第5章日志審計 5.1日志 5.1.1 syslog登錄事件記錄 安全基線項 目名稱 操作系統(tǒng)Linux登錄審計安全基線要求項 安全基線項 說明 日志審計-syslog登錄事件記錄 檢測操作步 驟 執(zhí)行命令：more /etc/syslog.c onf 查看參數(shù) authpriv值 Authpriv.*/var/log/secure 基線符合性 判定依據(jù) 若未對所有登錄事件都記錄，則低于安全要求。 備注 5.2審計 5.2.1 Syslog .conf 的配置審核 安全基線項 目名稱 操作系統(tǒng)Linux配置審計安全基線要求項 安全基線項 說明 開

21、啟系統(tǒng)的審計功能，記錄用戶對系統(tǒng)的操作，包括但不限于賬號創(chuàng)建、刪 除，權(quán)限修改和口令修改。 檢測操作步 驟 1、參考配置操作 #chkc onfig auditd on 基線符合性 判定依據(jù) 1、判定條件 系統(tǒng)能夠?qū)徲嬘脩舨僮鳌?2、檢測操作 chkc onfig -list auditd Linux系統(tǒng)安全配置基線 用 aureport、ausearch 查看審計日志。 備注 5.2.2日志增強(qiáng) 安全基線項 目名稱 操作系統(tǒng)Linux日志增強(qiáng)要求項 安全基線項 說明 使messages只可追加，使輪循的messages文件不可更改，從而防止非法訪 問目錄或者刪除日志的操作 檢測操作步 驟 執(zhí)

22、行命令： Chattr +a /var/log/messages Chattr +i /var/log/messages.* Chattr +i /etc/shadow Chattr +i /etc/passwd Chattr +i /etc/group 基線符合性 判定依據(jù) 使用Isattr判斷屬性 備注 5.2.3 syslog系統(tǒng)事件審計 安全基線項 操作系統(tǒng)Linux登錄審計安全基線要求項 目名稱 安全基線項 日志審計-syslog系統(tǒng)安全事件記錄，方便管理員分析 說明 檢測操作步 執(zhí)行命令：more /etc/syslog.c onf 驟 查看參數(shù)： *.err;ker n. debug;daem on.no ti