Linux安全配置基線

1、Linux 系統(tǒng)安全配置基線第1章 帳號(hào)管理、認(rèn)證授權(quán)1.1 帳號(hào)1.1.1 用戶口令設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶口令設(shè)置安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-01-01 安全基線項(xiàng)說明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天。檢測操作步驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root, test/test, root/root12342、執(zhí)行：more /etc/login.defs，檢查PASS_MAX_DAYS/ PASS_MIN_DAYS/PASS_WARN_AGE參數(shù)3、執(zhí)行：awk -F: '($

2、2 = "") print $1 ' /etc/shadow, 檢查是否存在空口令帳號(hào)基線符合性判定依據(jù)建議在/etc/login.defs文件中配置：PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)不存在空口令帳號(hào)備注1.1.2 用戶口令強(qiáng)度要求安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶口令強(qiáng)度安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-01-02 安全基線項(xiàng)說明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字

3、、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。檢測操作步驟/etc/pam.d/system-auth文件中是否對(duì)pam_cracklib.so的參數(shù)進(jìn)行了正確設(shè)置?；€符合性判定依據(jù)建議在/etc/pam.d/system-auth 文件中配置：password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=1 至少8位，包含一位大寫字母，一位小寫字母和一位數(shù)字備注1.1.3 用戶鎖定策略安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶口令鎖定策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-01

4、-03 安全基線項(xiàng)說明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過10次，鎖定該用戶使用的帳號(hào)。檢測操作步驟/etc/pam.d/system-auth文件中是否對(duì)pam_tally.so的參數(shù)進(jìn)行了正確設(shè)置?；€符合性判定依據(jù)設(shè)置連續(xù)輸錯(cuò)10次密碼，帳號(hào)鎖定5分鐘，使用命令“vi /etc/pam.d/ system-auth”修改配置文件，添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300注：解鎖用戶 faillog -u <用戶名> -r備注1.1.4 root用戶遠(yuǎn)程登錄限制安

5、全基線項(xiàng)目名稱操作系統(tǒng)Linux遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-01-04 安全基線項(xiàng)說明 帳號(hào)與口令-root用戶遠(yuǎn)程登錄限制檢測操作步驟執(zhí)行：more /etc/securetty，檢查Console參數(shù)基線符合性判定依據(jù)建議在/etc/securetty文件中配置：CONSOLE = /dev/tty01備注1.1.5 檢查是否存在除root之外UID為0的用戶安全基線項(xiàng)目名稱操作系統(tǒng)Linux超級(jí)用戶策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-01-05 安全基線項(xiàng)說明 帳號(hào)與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：aw

6、k -F: '($3 = 0) print $1 ' /etc/passwd基線符合性判定依據(jù)返回值包括“root”以外的條目，則低于安全要求；備注補(bǔ)充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為01.1.6 root用戶環(huán)境變量的安全性安全基線項(xiàng)目名稱操作系統(tǒng)Linux超級(jí)用戶環(huán)境變量安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-01-06 安全基線項(xiàng)說明 帳號(hào)與口令-root用戶環(huán)境變量的安全性檢測操作步驟執(zhí)行：echo $PATH | egrep '(|:)(.|:|$)'，檢查是否包含父目錄，執(zhí)行：find ec

7、ho $PATH | tr ':' ' ' -type d ( -perm -002 -o -perm -020 ) -ls，檢查是否包含組目錄權(quán)限為777的目錄基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求；備注補(bǔ)充操作說明確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄1.2 認(rèn)證1.2.1 遠(yuǎn)程連接的安全性配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-01 安全基線項(xiàng)說明 帳號(hào)與口令-遠(yuǎn)程連接的安全性配置檢測操作步驟執(zhí)行：find / -name .ne

8、trc，檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find / -name .rhosts ，檢查系統(tǒng)中是否有.rhosts文件基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求；備注補(bǔ)充操作說明如無必要，刪除這兩個(gè)文件1.2.2 用戶的umask安全配置安全基線項(xiàng)目名稱操作系統(tǒng)Linux用戶umask安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-02 安全基線項(xiàng)說明 帳號(hào)與口令-用戶的umask安全配置檢測操作步驟執(zhí)行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc檢查是否包含u

9、mask值且umask=027基線符合性判定依據(jù)umask值是默認(rèn)的，則低于安全要求備注補(bǔ)充操作說明建議設(shè)置用戶的默認(rèn)umask=0271.2.3 重要目錄和文件的權(quán)限設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)Linux目錄文件權(quán)限安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-03 安全基線項(xiàng)說明 文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置檢測操作步驟執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/grou

10、pls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基線符合性判定依據(jù)若權(quán)限過低，則低于安全要求；備注補(bǔ)充操作說明對(duì)于重要目錄，建議執(zhí)行如下類似操作：# chmod -R 750 /etc/rc.d/init.d/*這樣只有root可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。1.2.4 查找未授權(quán)的SUID/SGID文件*安全基線項(xiàng)目名稱操作系統(tǒng)Linux SUID/SGID文件安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-04 安全基線項(xiàng)說明 文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件檢測操作步驟用下面的命令查找系統(tǒng)中所有的SUID和

11、SGID程序，執(zhí)行：for PART in grep -v # /etc/fstab | awk '($6 != "0") print $2 ' dofind $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基線符合性判定依據(jù)若存在未授權(quán)的文件，則低于安全要求；備注需要手工檢查。補(bǔ)充操作說明建議經(jīng)常性的對(duì)比suid/sgid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門程序1.2.5 檢查任何人都有寫權(quán)限的目錄*安全基線項(xiàng)目名稱操作系統(tǒng)Linux目錄寫權(quán)限安全基線要求項(xiàng)安全基線編號(hào)SBL-L

12、inux-02-02-05 安全基線項(xiàng)說明 文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：for PART in awk '($3 = "ext2" | $3 = "ext3") print $2 ' /etc/fstab; dofind $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注需要手工檢查。1.2.6 查找任何人都有寫權(quán)限的文件*安全基線項(xiàng)目名稱操作系

13、統(tǒng)Linux文件寫權(quán)限安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-06 安全基線項(xiàng)說明 文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：for PART in grep -v # /etc/fstab | awk '($6 != "0") print $2 ' dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注需要手工檢查。1.2.7 檢查沒有屬主的文件*安

14、全基線項(xiàng)目名稱操作系統(tǒng)Linux文件所有權(quán)安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-07 安全基線項(xiàng)說明 文件系統(tǒng)-檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的命令：for PART in grep -v # /etc/fstab | awk '($6 != "0") print $2 ' dofind $PART -nouser -o -nogroup -printdone注意：不用管“/dev”目錄下的那些文件?；€符合性判定依據(jù)若返回值非空，則低于安全要求；備注需要手工檢查。補(bǔ)充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有

15、黑客入侵你的系統(tǒng)了。不能允許沒有主人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄，先查看它的完整性，如果一切正常，給它一個(gè)主人。有時(shí)候卸載程序可能會(huì)出現(xiàn)一些沒有主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。1.2.8 檢查異常隱含文件*安全基線項(xiàng)目名稱操作系統(tǒng)Linux隱含文件安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-02-02-08 安全基線項(xiàng)說明 文件系統(tǒng)-檢查異常隱含文件檢測操作步驟用“find”程序可以查找到這些隱含文件。例如： # find / -name ". *" -print xdev # find / -name "*&qu

16、ot; -print -xdev | cat -v 同時(shí)也要注意象“.xx”和“.mail”這樣的文件名的。（這些文件名看起來都很象正常的文件名）基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注需要手工檢查。補(bǔ)充操作說明在系統(tǒng)的每個(gè)地方都要查看一下有沒有異常隱含文件（點(diǎn)號(hào)是起始字符的，用“l(fā)s”命令看不到的文件），因?yàn)檫@些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“”、“. ”（點(diǎn)點(diǎn)空格）或“.G”（點(diǎn)點(diǎn)control-G），來隱含文件或目錄。1.2.9 登錄超時(shí)設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)Lin

17、ux登錄超時(shí)設(shè)置安全基線編號(hào)SBL-Linux-02-02-09安全基線項(xiàng)說明 帳號(hào)與口令-檢查登錄超時(shí)設(shè)置檢測操作步驟使用命令“cat /etc/profile |grep TMOUT”查看TMOUT是否被設(shè)置基線符合性判定依據(jù)返回值為空或值低于180，則低于安全要求備注使用命令“vi /etc/profile”修改配置文件，添加“TMOUT=”行開頭的注釋，建議設(shè)置為“TMOUT=180”，即超時(shí)時(shí)間為3分鐘1.2.10 使用SSH遠(yuǎn)程登錄安全基線項(xiàng)目名稱操作系統(tǒng)Linux SSH安全連接要求安全基線編號(hào)SBL-Linux-02-02-10安全基線項(xiàng)說明 對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備

18、，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。檢測操作步驟查看SSH服務(wù)狀態(tài)：# service ssh status查看telnet服務(wù)狀態(tài)：# service telnet status基線符合性判定依據(jù)SSH服務(wù)狀態(tài)查看結(jié)果為：running telnet服務(wù)狀態(tài)查看結(jié)果為：not running/unrecognized備注1.2.11 Root遠(yuǎn)程登錄限制安全基線項(xiàng)目名稱操作系統(tǒng)Linux超級(jí)用戶登錄設(shè)置安全基線編號(hào)SBL-Linux-02-02-11安全基線項(xiàng)說明 對(duì)SSH服務(wù)進(jìn)行安全檢查檢測操作步驟使用命令“cat /etc/ssh/sshd_config”查看配置文件（1）檢查是否允許ro

19、ot直接登錄檢查“PermitRootLogin ”的值是否為no（2）檢查SSH使用的協(xié)議版本檢查“Protocol”的值基線符合性判定依據(jù)使用命令“vi /etc/ssh/sshd_config”編輯配置文件（1）不允許root直接登錄設(shè)置“PermitRootLogin ”的值為no（2）修改SSH使用的協(xié)議版本設(shè)置“Protocol”的版本為2備注root用戶需要使用普通用戶遠(yuǎn)程登錄后su進(jìn)行系統(tǒng)管理1.2.12 關(guān)閉不必要的服務(wù)*安全基線項(xiàng)目名稱操作系統(tǒng)Linux關(guān)閉不必要的服務(wù)安全基線編號(hào)SBL-Linux-02-02-12安全基線項(xiàng)說明 帳號(hào)與口令-關(guān)閉不必要的服務(wù)檢測操作步驟使

20、用命令“who -r”查看當(dāng)前init級(jí)別使用命令“chkconfig -list <服務(wù)名>”查看所有服務(wù)的狀態(tài)基線符合性判定依據(jù)若有不必要的系統(tǒng)在當(dāng)前級(jí)別下為on，則低于安全要求備注需要手工檢查。使用命令“chkconfig -level <init級(jí)別> <服務(wù)名> on|off|reset”設(shè)置服務(wù)在個(gè)init級(jí)別下開機(jī)是否啟動(dòng)第2章 日志審計(jì)2.1 日志2.1.1 syslog登錄事件記錄*安全基線項(xiàng)目名稱操作系統(tǒng)Linux登錄審計(jì)安全基線要求項(xiàng)安全基線編號(hào)SBL-Linux-03-01-01 安全基線項(xiàng)說明 日志審計(jì)-syslog登錄事件記錄檢測操作步驟執(zhí)行命令：more /etc/sy