LINUX操作系統(tǒng)配置規(guī)范

1、本規(guī)范適用于某運營商使用 Linux操作系統(tǒng)的設(shè)備。本規(guī)范明確了 Linux操作系統(tǒng)在安全配置方面的基本要求，適用 于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。LINUX 操作系統(tǒng)配置規(guī)范目錄i概述2上架規(guī)范2.1 配置iLo管理口2.2 硬盤RAID 配置2.3 服務(wù)器安裝導(dǎo)軌2.4 服務(wù)器插線要求3系統(tǒng)安裝3.1 系統(tǒng)版本要求3.2 分區(qū)要求3.3 安裝包要求3.4 用戶要求3.5 時間同步要求3.6 字符集3.7 網(wǎng)卡綁定3.8 配置 snmp3.9 連存儲的服務(wù)器3.10 多路徑軟件3.11 udev 配置（塊設(shè)備管理、ASM組）3.12 CVE漏洞軟

2、件包版本4補丁4.1 系統(tǒng)補?。▋H供參考）4.2 其他應(yīng)用補?。▋H供參考）4.3 名、賬號和口令安全配置基線5.1 主機命名規(guī)范5.2 賬號安全控制要求5.3 口令策略配置要求5.4 口令復(fù)雜度和密碼鎖定策略配置要求5.5 口令重復(fù)次數(shù)限制配置要求5.6 設(shè)置登錄Banner5.7 設(shè)置 openssh 登BBanner5.8 Pam 的設(shè)置5.9 root 登錄策略的配置要求5.10 root的環(huán)境變量基線6網(wǎng)絡(luò)與服務(wù)安全配置標(biāo)準(zhǔn)6.1 最小化啟動服務(wù)6.2 最小化xinetd 網(wǎng)絡(luò)服務(wù)7文件與目錄安全配置7.1 臨時目錄權(quán)限配置標(biāo)準(zhǔn)7.2 重要文件和目錄權(quán)限配置標(biāo)準(zhǔn)7.3 umask 配置

3、標(biāo)準(zhǔn)7.4 core dump 狀態(tài)7.5 ssh的安全設(shè)置7.6 bash 歷史記錄7.7其他注意事項8系統(tǒng)Banner 的配置9防病毒軟件安裝10 ITSM 監(jiān)才Sagent安裝11內(nèi)核參數(shù)優(yōu)化12 syslog 日志的配置13重啟服務(wù)器附件：安全工具1_概述本規(guī)范適用于某運營商使用 Linux操作系統(tǒng)的設(shè)備。本規(guī)范明確了 Linux操作系統(tǒng)在安全配置方面 的基本要求，適用于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的疹蒼O由于版本不同，配置操作有所不同，本規(guī)范以Redhat 6.6 為例，給出參考配置操作。2_上架規(guī)范2.1 配置iLo管理口國2.2 硬盤RAI

4、D配置國2.3 服務(wù)器安裝導(dǎo)軌2.4 服務(wù)器插線要求1、集成網(wǎng)卡服務(wù)器業(yè)務(wù)網(wǎng)絡(luò)要求使用eth0、ethl兩網(wǎng)口做雙網(wǎng)卡綁定。（個別應(yīng)用默認(rèn)順序取第一個接口mac地址,要求使用前兩個端口做業(yè)務(wù)網(wǎng)絡(luò)接口）網(wǎng)卡插線參考如下圖方式：回2、非集成網(wǎng)卡服務(wù)器要求充分考慮網(wǎng)卡與網(wǎng)卡、網(wǎng)口與網(wǎng)口冗余、充分考慮網(wǎng)卡間散熱問題。光口卡同理操作。網(wǎng)卡插線參考如下圖方式：回3 系統(tǒng)安裝3.1 系統(tǒng)版本要求新上系統(tǒng)全部使用rhel6.6 64位操作系統(tǒng)。rhel-server-6.6-x86_64-dvd.iso 3.52 GBSHA-256:16044cb7264f4bc0150f5b6f3f66936ccf2d36

5、e0a4152c00d9236fb7dcae5f32rootrhel6-6 /$ uname -aLinux rhel6-6 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014x86_64 x86_64 x86_64 GNU/Linux目前機房生產(chǎn)平臺用的較多的是rhel5.7 和rhel6.1 。有特殊要求的則仍使用rhel6.1 。3.2 分區(qū)要求使用LVM分區(qū)、文件系統(tǒng)格式采用 ext4 o回3.3 安裝包要求安裝系統(tǒng)當(dāng)中要將GCC等所有的開發(fā)包和管理包打全，以防后期存在缺包現(xiàn)象。以下包全部安裝Administration

6、ToolsDevelopment ToolsSystem Toolstelnet ftp Irzsz（這三個包要求安裝）系統(tǒng)管理”菜單：所有包全選安裝因開發(fā)”菜單：所有包全選安裝回語言支持”菜單：要求安裝英文語言包、簡體中文語言包！因 3.4 用戶要求根據(jù)主機運維工作的實際需求，要求系統(tǒng)初始用戶包括以下用戶。密碼根據(jù)項目整體要求配置 rootroot用戶密碼根據(jù)要求進(jìn)行配置pcloud新創(chuàng)建用戶且附加組為 wheel參考命令：#useradd -G wheel pcloudbestpay新創(chuàng)建用戶#useradd bestpaylogview新創(chuàng)建用戶且附加組為 bestpay參考命令：#us

7、eradd G bestpay logview分區(qū)賦權(quán)在root用戶根目錄下按3.3小節(jié)分區(qū)要求，給分區(qū)重新賦權(quán)/data : ochown R bestpay:bestpay/data o ochmod 0750 /datao/tools :ochown R bestpay:bestpay /toolso ochmod 0700 /toolso /admin :ochown R bestpay:bestpay /admin oochmod 0750 /admin3.5 時間同步要求在root 用戶下執(zhí)行crontab e*/5 * * * * /usr/sbin/ntpdate 172.18

8、.70.10 015 7 * * * /sbin/hwclockw3.6 字符集使用系統(tǒng)缺省字符集配置。系統(tǒng)缺省字符集為en_US.UTF-8 ；有特殊需求，另行配置。修改字符集可以在文件/etc/sysconfig/i18n里改。33.7 網(wǎng)卡綁定將服務(wù)器網(wǎng)卡兩兩做綁定，網(wǎng)卡綁定為主備模式。服務(wù)器網(wǎng)卡要求使用第一塊網(wǎng)卡1 口和第二塊網(wǎng)卡1 口；第一塊網(wǎng)卡2 口和第二塊網(wǎng)卡2 口；即避免由于單塊網(wǎng)卡故障導(dǎo)致的業(yè)務(wù)中斷，可以冗余以下為配置示例：配置虛擬網(wǎng)卡：rootrhel6 network-scripts# cp ifcfg-eth0 ifcfg-bond0rootrhe

9、l6 network-scripts# vi ifcfg-bond0DEVICE=bond0BOOTPROTO=noneIPADDR=00NETMASK=ONBOOT=yesTAPE=EthernetGATEWAY=54USERCTL=no配置真實網(wǎng)卡：rootrhel6 network-scripts# vi ifcfg-eth0DEVICE=eth0BOOTPROTO=noneONBOOT=yesUSERCTL=noSLAVE=yes-寫上就不用加開機啟動MASTER=bond0- 寫上就不用加開機啟動rootrhel6

10、 network-scripts# vi ifcfg-eth1DEVICE=eth0BOOTPROTO=noneONBOOT=yesUSERCTL=noSLAVE=yes-寫上就不用加開機啟動MASTER=bond0 -寫上就不用加開機啟動加載模塊讓系統(tǒng)支持：rootrhel6 vi/etc/modprobe.d/dist.conf alias bond。bonding模式1為主備options bond。miimon=100 mode=1重啟網(wǎng)絡(luò)并檢查配置：service network restartIsmod | grep bondcat/proc/net/bonding/bond03.

11、8 配置 snmp參照其他平臺，共同提名不能使用public ,長度必須8位以上，至少三種（大小寫字母，符號，特殊符號）結(jié)合，配置snmp服務(wù)器并指向采集服務(wù)器，采集服務(wù)器ip為5、6、7ITSM 二期要求新增采集地址：/24;團(tuán)體字為Itsm2014roJK!以下為配置示例：檢查系統(tǒng)是否安裝snmp服務(wù)rootrheI6 # rpm -qa| grep snmpnet-snmp-deveI-5.5-31.eI6.x86_64net-snmp-utiIs-5.5-31.eI6.x86_64net-snmp-5

12、.5-31.eI6.x86_64net-snmp-Iibs-5.5-31.eI6.x86_64net-snmp-python-5.5-31.eI6.x86_64net-snmp-perI-5.5-31.eI6.x86_64SNMP若無以上包，則安裝SNMP服務(wù)1 .配置好本地yum服務(wù)，使用yum安裝yum install -y net-snmp*2 .配置SNMP服務(wù)開機啟動#service snmpd start#chkconfig snmpd on#chkconfig -list | grep snmpd查看開機啟動設(shè)置是否成功snmpd0:關(guān)閉1:關(guān)閉 2:啟用 3:啟用 4:啟用 5

13、:啟用 6:關(guān)閉驗證SNMP服務(wù)1 .使用snmpwalk 獲取主機名rootrhel6 # snmpwalk -v 2c -c public localhost sysName.0SNMPv2-MIB:sysName.0 = STRING: rhel6.1#snmpwalk 用法snmpwalk -v 112c|3（代表 SNMP 版本）-ccommunity stringIP地址 OID（對象標(biāo)示符）2 .使用snmptranslate 命令，檢查snmp 工具是否可以使用# snmptranslate -To | head.....

14、......查出了部分oid ,則表示snmp工具可以正常使用配置SNMP服務(wù)配置項包括但不限于：community sec.model查看設(shè)備節(jié)點權(quán)限view all ；被允許查看的sec.model組指定檢測的Process checksdisk checksExecutables/scriptsload average checks國回3.9 連存儲的服務(wù)器必須使用雙hba卡；確保連接到兩個控制器的 HBA卡/接口冗余;單個HBA卡故障，或

15、單個HBA卡某個接口故障，都滿足冗余3.10 多路徑軟件1、多路徑配置要求多路徑必須綁定別名；設(shè)置多路徑服務(wù)為開機啟動；屏蔽掉本地磁盤，本地磁盤不做聚合；結(jié)合數(shù)據(jù)庫規(guī)范等配置實施版本系統(tǒng)自帶multipath 即可，要求做盤符別名綁定。比如要確保數(shù)據(jù)庫的兩個節(jié)點掃描到的盤符 一致。注意在blacklist里面過濾本地磁盤！blacklist里面需要有以下參數(shù)：blacklist devnode i(ram|raw|loop|fd|md|dm-|sr|scd|st)0-9*devnode Ahda-zdevnode Asda-d過濾條件視實際情況，防止過濾掉多路徑塊設(shè)備！2、多路徑安裝及配置參數(shù)

16、簡介檢查multipath是否安裝成功：#lsmod |grep dm_multipath如果輸出沒有，則進(jìn)行安裝#yum y install device-mapper device-mapper-multipath查看多路徑狀態(tài)查看模塊是否加載成功rootrhel6 # multipath -llJan 01 02:36:12 | /etc/multipath.conf does not exist, blacklisting all devices.配置文件沒有Jan 01 02:36:12 | A sample multipath.conflocated atJan 01 02:36:

17、12 | /usr/share/doc/device-mapper-multipath-0.4.9/multipath.confJan 01 02:36:12 | You can run /sbin/mpathconf to create or modify/etc/multipath.confJan 01 02:36:12 | DM multipath kernel driver not loaded-DM 模塊沒加載如果模塊沒有加載成功請使用下列命初始化DM,或重啟系統(tǒng)rootrhel6 # modprobe dm-multipathrootrhel6 # modprobe dm-roun

18、d-robinrootrhel6 # service multipathd start正在啟動守護(hù)進(jìn)程multipathd :查看系統(tǒng)是否安裝多路徑rootrhel6 mapper# rpm -qa | grep mapperdevice-mapper-libs-1.02.62-3.el6.x86_64device-mapper-multipath-libs-0.4.9-41.el6.x86_64device-mapper-multipath-0.4.9-41.el6.x86_64device-mapper-event-libs-1.02.62-3.el6.x86_64device-mappe

19、r-1.02.62-3.el6.x86_64device-mapper-event-1.02.62-3.el6.x86_64multipath.conf配置說明的配置文件接下來的工作就是要編輯/etc/multipath.confmultipath.conf主要包括 defaults 、 blacklist 、 multipaths 、 devices 三部份的配置defaults是全局配置參數(shù)blacklist用來過濾不需綁定的設(shè)備multipaths用來綁定別名devices用來定義存儲廠商和自定義規(guī)則blacklist 配置blacklist devnode A(ram|raw|loop

20、|fd|md|dm-|sr|scd|st)0-9*devnode Ahda-zdevnode Asda-d Multipaths 部分配置 multipaths 和devices兩部份的配置。multipaths multipath wwid *# 止匕值 multipath -ll可以獲取alias datal#映射后的別名，可以隨便取Devices部分配置 devices 廠商名稱device vendor iSCSI-Enterprise #product Virtual disk #產(chǎn)品型號path_grouping_policymultibus #默認(rèn)的路徑組策略getuid_cal

21、lout/sbin/scsi_id -g -u -s /block/%n #獲得唯一設(shè)備號path_checkerreadsector。#決定路徑狀態(tài)的方法path_selectorround-robin 0#選擇那條路徑進(jìn)行下一個IO操作的方法failbackimmediate# 故障恢復(fù)的模式有 immediate 和 failover 兩種no_path_retryqueue #在disable queue 之前系統(tǒng)嘗試使用失效路徑的次數(shù)的數(shù)值rr_min_io100 # 在當(dāng)前的用戶組中，在切換到另外一條路徑之前的IO請求的數(shù)目3、多路徑配置范例1)舊M存儲DS8000 系列官方推薦配

22、置defaults user_friendly_names yesblacklist devnode Ahda-zdevnode A(ram|raw|loop|fd|md|dm-|sr|scd|st)0-9* devnode Acciss.*devices device vendor IBMproduct 2107900”path_grouping_policy multibusgetuid_callout /lib/udev/scsi_id -whitelisted -device=/dev/%n”path_selector round-robin 0path_checker turfeat

23、ures 1 queue_if_no_path”hardware_handler 0prio constrr_weight uniformrr_min_io 1000multipaths multipath wwid 3600a3495d47*aliasdatal2）舊M存儲DS4800 系列官方推薦配置defaults user_friendly_names yesblacklist devnode Ahda-zdevnode A(ram|raw|loop|fd|md|dm-|sr|scd|st)0-9*devnode Acciss.*devices device vendor IBMpro

24、duct 1815path_grouping_policy group_by_priogetuid_callout /sbin/scsi_id -g -u -s /block/%npath_selector round-robin 0path_checker rdacfeatures 0hardware_handler 1 rdacprio_callout /sbin/mpath_prio_rdac /dev/%nfailback immediate rr_weight uniformno_path_retry queuerr_min_io 1000multipaths multipath w

25、wid 3600a3495d47*aliasdatal3)NetApp存儲官方推薦配置defaults user_friendly_names yesmax_fds maxflush_on_last_del yesqueue_without_daemon noblacklist devnode Ahda-zdevnode A(ram|raw|loop|fd|md|dm-|sr|scd|st)0-9*devnode Acciss.*devices device vendor NETAPPproduct LUNpath_grouping_policy group_by_priofeatures 3

26、 queue_if_no_path pg_init_retries 50prio aluapath_checker turfailback immediatepath_selector round-robin 0hardware_handler 1 aluarr_weight uniformrr_min_io 128getuid_callout /lib/udev/scsi_id -g -u -d /dev/%nmultipaths multipath wwid 3600a3495d47*aliasdata13.11 udev配置（塊設(shè)備管理、ASM組）以下只針對數(shù)據(jù)庫服務(wù)器，或有多路徑需求的

27、服務(wù)器，否則可跳過本小節(jié)。1、 配置注意事項multipath配置中將本地磁盤或SCSI設(shè)備加入黑名單blacklistmultipath第一次配置完成后重啟操作系統(tǒng)；應(yīng)用上線后使用 multipath v2、multipath ll、service multipath reload命令執(zhí)行初始化掃描檢查udev第一次配置完成后，執(zhí)行 start_udev 掃盤操作應(yīng)用上線后使用以下命令掃盤# udevadm control -reload-rules# udevadm trigger -type=devices -action=change2、 將LUN加載到主機將剛剛創(chuàng)建的幾個LUN加載到

28、數(shù)據(jù)庫的主機組里，映射，后臺同步。分別在節(jié)點1和節(jié)點2進(jìn)行如下操作：先查看機器有幾塊HBA卡# ls /sys/class/fc_host/host1 host2 host3寫入-到“scan”文件，有幾張HBA卡就寫幾次。# echo /sys/class/scsi_host/host1/scan# echo /sys/class/scsi_host/host2/scan# echo /sys/class/scsi_host/host3/scan然后就可以通過如下命令查看新增的磁盤#fdisk l3、 使用UDEV綁定磁盤以root用戶登錄數(shù)據(jù)庫服務(wù)器節(jié)點1 ,修改以下文件：vi/etc/u

29、dev/rules.d/99-oracle.rules添加以下內(nèi)容：KERNEL=dm-*, PROGRAM=scsi_id -page=0x83 -whitelisted-device=/dev/%k”,RESULT=3600a3495d474c457a4c62, OWNER:=grid,GROUP:=asmadmin”KERNEL=dm-*, PROGRAM=scsi_id -page=0x83 -whitelisted-device=/dev/%k”,RESULT=3600a3495d474c457a4c4c”, OWNER:=grid,GROUP:=asmadmin”有幾塊盤，添加幾條

30、，RESULT結(jié)果是 WWWN 號以root用戶登錄數(shù)據(jù)庫服務(wù)器節(jié)點2,修改以下文件：vi/etc/udev/rules.d/99-oracle.rules添加以下內(nèi)容：KERNEL=dm-*, PROGRAM=scsi_id -page=0x83 -whitelisted-device=/dev/%k”,RESULT=3600a3495d474c457a4c62, OWNER:=grid,GROUP:=asmadmin”KERNEL=dm-*, PROGRAM=scsi_id -page=0x83 -whitelisted-device=/dev/%k”,RESULT=3600a3495d4

31、74c457a4c4c”, OWNER:=grid,GROUP:=asmadmin”有幾塊盤，添加幾條，RESULT結(jié)果是 WWWN 號4、 查看磁盤所有者及權(quán)限通過udev相關(guān)命令重新掃描硬件改動：（此處謹(jǐn)慎操作，注意數(shù)據(jù)庫狀態(tài)）# udevadm control -reload-rules# udevadm trigger -type=devices -action=change在/dev/目錄下查看存儲磁盤asm-disk$i#cd /dev/#ll |grep asm-disk注意磁盤權(quán)限跟進(jìn)數(shù)據(jù)庫安裝要求進(jìn)行配置，一般權(quán)限為grid:grid后續(xù)查看ASM空間情況、進(jìn)行 ASM相關(guān)配

32、置。3.12 CVE漏洞軟件包版本請務(wù)必安裝以下對應(yīng)無漏洞版本軟件包。Bash版本要求：Red Hat Enterprise Linux 6 bash-4.1.2-15.el6_5.2Red Hat Enterprise Linux 5 bash-3.2-33.el5_11.4Red Hat Enterprise Linux 4 bash-3.0-27.el4.4Red Hat Enterprise Linux 7 bash-4245-5.el7_0.4OpenSSH版本要求：Red Hat Enterprise Linux 6 openssh-6.9p1Red Hat Enterprise

33、Linux 5 openssh-6.9p1OpenSSL版本要求：Red Hat Enterprise Linux 6 affected openssl-1.0.2dRed Hat Enterprise Linux 5 not affected openssl-1.0.2dGlibc漏洞修復(fù)版本要求：Red Hat Enterprise Linux Server 5 glibc-2.5-123.el5_11.1.x86_64Red Hat Enterprise Linux Server 6 glibc-2.12-1.149.el6_6.5.x86_644 補丁4.1 系統(tǒng)補?。▋H供參考）如廠商

34、對安裝的Linux操作系統(tǒng)版本有安全公告的，需進(jìn)行對應(yīng)的補丁升級。要求及時安裝系統(tǒng)補丁。更新補丁前，要求先在測試系統(tǒng)上對補丁進(jìn)行可用性和兼容性驗證 系統(tǒng)補丁安裝方法為（以下示例若無特別說明，均以 RedHat Linux 為例）：使用up2date 命令自動升級或在下載對應(yīng)版本補丁手工單獨安裝。對于企業(yè)版5及之后的版本，可以直接使用yum工 具進(jìn)行系統(tǒng)補丁升級:um update4.2 其他應(yīng)用補?。▋H供參考） 除Linux開發(fā)商官方提供的系統(tǒng)補丁之外，基于Linux系統(tǒng)開發(fā)的服務(wù)和應(yīng)用（如APACHE、PHP、OPENSSL、MYSQL等）也必須安裝最新的安全補丁。以RedHat Linux

35、 為例，具體安裝方法為：首先確認(rèn)機器上安裝了gcc及必要的庫文件。然后再應(yīng)用官方網(wǎng)站下載對應(yīng)的源代碼包，如 *tar.gz ,并解壓:r zxfv *tar.gz根據(jù)使用情況對編譯配置進(jìn)行修改，或直接采用默認(rèn)配置。./configure進(jìn)行編譯和安裝:make install注意：補丁更新要慎重，可能出現(xiàn)硬件不兼容、或者影響當(dāng)前應(yīng)用系統(tǒng)的情況。安裝補丁前，應(yīng)該在 測試機上進(jìn)行測試。主機名、賬號和口令安全配置基線5.1 主機命名規(guī)范為區(qū)分不同主機的不同功能，我們對主機名進(jìn)行統(tǒng)一命名，命名方式按以下規(guī)則:主機名=平臺名-應(yīng)用服務(wù)器名-IP后兩位；例如，個帳nginx服務(wù)器2

36、,主機名應(yīng)該設(shè)置為：grzh-nginx-168-82其中平臺名按照平臺的全程縮寫，如：個人賬戶=grzh應(yīng)用服務(wù)器按照實際應(yīng)用起名，如：apache=apache IP 即 ip 的后兩位下面舉例個人賬戶平臺nginx應(yīng)用服務(wù)器為例，假設(shè)其內(nèi)網(wǎng)IP為2那么舉例如下：修改主機名，及對應(yīng)的IP運行如下命令echo “ 2 grzh-nginx-168- 82 /etc/hosts生效當(dāng)前配置運行如下命令hostname grzh-nginx-168-82又t/etc/sysconfig/network、/etc/hosts都要進(jìn)行修改注：主機命名中

37、，只能包含字母、數(shù)字、連字符 （-,）并且名稱不能以連字符結(jié)尾。連字符”英文名稱hyphen”,不是中劃線，請務(wù)必區(qū)別。5.2 賬號安全控制要求系統(tǒng)中的臨時測試賬號、過期無用賬號等必須被刪除或鎖定。以 RedHat Linux 為例，設(shè)置方法如下：西5.3 口令策略配置要求要求設(shè)置口令策略以提高系統(tǒng)的安全性。例如要將口令策略設(shè)置為：非 root用戶強制在90天內(nèi)更改口令、之后的10天之內(nèi)禁止更改口令、用戶在口令過期的28天前接受到系統(tǒng)的提示、口令的最小長度為8位。以RedHat Linux 為例，可在/etc/login.defs文件中進(jìn)行如下設(shè)置：因5.4 口令復(fù)雜度和密碼鎖定策略配置要求要

38、求口令輸錯6次鎖定300秒，設(shè)定口令輸錯三次斷開連接，最少 8位，最少1位小寫字母，最少1位數(shù)字，最少一位特殊符號。以 RedHat Linux 為例，在/etc/pam.d/system-auth 進(jìn)行如下設(shè)置：（redhat5.1以上版本支持 pam_tally2.so,其他版本使用pam_tally.so）國5.5 口令重復(fù)次數(shù)限制配置要求要求口令重復(fù)不能超過 5次。以RedHat Linux 為例，在/etc/pam.d/system-auth進(jìn)行如下設(shè)置：05.6 設(shè)置登錄Banner設(shè)置系統(tǒng)登錄Banner回35.7 設(shè)置 openssh 登陸 Banner通過配置文件配置open

39、ssh的Banner步驟1執(zhí)行如下命令創(chuàng)建ssh banner 信息文件：國_5.8 Pam的設(shè)置指定wheel組用戶可以使用su命令vi /etc/pam.d/su可發(fā)看到如下內(nèi)容#authrequiredpam_wheel.so use_uid或#authrequired /lib/security/$ISA/pam_wheel.so use_uid去掉前面的注釋符“# 號。若沒有時可以添加，但注意順序。請在# Uncomment the following line to require a user to be in the wheel group.說明下的首行添加。5.9 root登

40、錄策略的配置要求禁止直接使用root登陸，必須先以普通用戶pcloud登錄，然后再su成root國（確保已正確配置了 /etc/pam.d/su ）將用戶pcloud加入wheel組：Usermod -G wheel pcloud05.10 root的環(huán)境變量基線root環(huán)境變量基線設(shè)置要求如表2-1所示：06網(wǎng)絡(luò)與服務(wù)安全配置標(biāo)準(zhǔn)所有生產(chǎn)系統(tǒng)，不允許用管理員權(quán)限r(nóng)oot等用戶起應(yīng)用程序。常見的apache等中間件等所有服務(wù)請新建立普通用戶啟動進(jìn)程。6.1 最小化啟動服務(wù)1、 關(guān)閉防火墻、selinux執(zhí)行：chkconfig -level 12345 iptables offchkconfi

41、g -level 12345 ip6tables off編輯/etc/selinux/config ,修改為SELINUX=disabled” 禁用狀態(tài)2、 Xinetd 服務(wù)（可選）如果xinetd服務(wù)中的服務(wù)，都不需要開放，則可以直接關(guān)閉 xinetd服務(wù)?；?、關(guān)閉郵件服務(wù)1）如果系統(tǒng)不需要作為郵件服務(wù)器，并不需要向外面發(fā)郵件，可以直接關(guān)閉郵件服務(wù)。國4、 關(guān)閉圖形登錄服務(wù)（X Windows ）在不需要圖形環(huán)境進(jìn)行登錄和操作的情況下，要求關(guān)閉X Windows o05、 關(guān)閉Xfont服務(wù)器服務(wù)如果關(guān)閉了 X Windows 服務(wù)，則X font服務(wù)器服務(wù)也應(yīng)該進(jìn)行關(guān)閉。固6、關(guān)閉其他

42、默認(rèn)啟動服務(wù)系統(tǒng)默認(rèn)會啟動很多不必要的服務(wù)，有可能造成安全隱患。建議關(guān)閉以下不必要的服務(wù)：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate Ivs mars-nwe oki4daemonprivoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbindypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresqlmysqld webmin kudzu sq

43、uid cupskrb5-telnetekrb5-telnet回在關(guān)閉上述服務(wù)后，應(yīng)同時對這些服務(wù)在系統(tǒng)中的使用的賬號（如rpc、rpcuser、lp、apache、http、httpd 、 named 、dns、mysql 、postgres 、squid 等）予以鎖定或刪除。再6.2 最小化xinetd網(wǎng)絡(luò)服務(wù)1、停止默認(rèn)服務(wù)要求禁止以下Xinetd默認(rèn)服務(wù)：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssimaps ipop2 ipop3 krb5-telnet klogin

44、 kshell ktalk ntalk pop3s rexec rlogin rsh rsyncservers services0_2、 其他對于xinet必須開放的服務(wù)，應(yīng)該注意服務(wù)軟件的升級和安全配置，并推薦使用SSH和SSL對原明文的服務(wù)進(jìn)行替換。7 文件與目錄安全配置7.1 臨時目錄權(quán)限配置標(biāo)準(zhǔn)臨時目錄/tmp 、/var/tmp必須包含粘置位，以避免普通用戶隨意刪除由其他用戶創(chuàng)建的文件。因7.2 重要文件和目錄權(quán)限配置標(biāo)準(zhǔn)在Linux系統(tǒng)中，/usr/bin 、/bin、/sbin目錄為可執(zhí)行文件目錄，/etc目錄為系統(tǒng)配置目錄，包 括賬號文件、系統(tǒng)配置、網(wǎng)絡(luò)配置文件等，這些目錄和文

45、件相對重要。重要文件及目錄的權(quán)限配置標(biāo) 準(zhǔn)必須按照表4-1進(jìn)行配置。7.3 umask配置標(biāo)準(zhǔn)027umask命令用于設(shè)置新創(chuàng)建文件的權(quán)限掩碼。要求編輯/etc/profile 文件，設(shè)置umask7.4 core dump 狀態(tài)執(zhí)行：more /etc/security/limits.conf檢查是否包含下列項:* soft core 0* hard core 0建議：關(guān)閉系統(tǒng)的core dumpcore dump中可能包括系統(tǒng)信息，易被入侵者利用7.5 ssh的安全設(shè)置vi /etc/ssh/sshd_config設(shè)定下列選項PermitRootLogin no禁止root用戶直接登錄Us

46、eDNS no 禁用解析/etc/init.d/sshd restart設(shè)置完重啟sshd服務(wù)7.6 bash歷史記錄為了安全的記錄登陸用戶所使用的命令內(nèi)容和時間，請在 /etc/profile下添加如下腳本：TMOUT=300HISTSIZE=2000此行在原有配置上修改數(shù)字便可HISTTIMEFORMAT=%F-%T:為使全局變量生效，運行如下命令source /etc/profile7.7 其他注意事項如果服務(wù)器安裝有ftp ,請限制ftp用戶的根目錄，不允許匿名用戶登錄ftp服務(wù)器，不允許root登錄ftp服務(wù)器，將ftp用戶的bash改成false或nologin ,將ftp的登錄b

47、anner 改成非系統(tǒng)默 認(rèn)。關(guān)閉本地的iptables 和selinux8 系統(tǒng)Banner_的配置要求修改系統(tǒng)banner ,以避免泄漏操作系統(tǒng)名稱、版本號、主機名稱等，并且給出登陸告警信息。1,修改/etc/issue 文件，加入：ATTENTION:You have logged onto a secured server. ONLY Authorized users can access.2,修改/etc/ 文件，加入：ATTENTION:You have logged onto a secured server. ONLY Authorized users can access.為

48、了服務(wù)器的安裝，安裝完統(tǒng)一安裝防病毒軟件具體安裝方法見上海某運營商 SAV for Linux 客戶端安裝配置維護(hù)手冊防病毒軟件介質(zhì)通過ftp下載：地址：端口：用戶名： 密鑰：10 ITSM_監(jiān)S agent 安裝為了實現(xiàn)對主機運行狀態(tài)的監(jiān)控，需要安裝ITSM監(jiān)控代理。通過FTP服務(wù)器上傳安裝文件nimldr.tar.Z至服務(wù)器/tmp 目錄下。具體操作步驟如下：chmod +x nimldr.tar#增加可執(zhí)行權(quán)限./nimldr#執(zhí)行安裝在安裝的過程中須要注意以下幾點：安裝需要使用root權(quán)限。安裝過程中需要輸入的 HUB的IP是：1安裝中需要輸入的服務(wù)器賬號和密碼是： administrator/ ibCAadmin980回退操作：卸載時運行命令：Tu