linux安全配置規(guī)范標準

1、Linux平安配置規(guī)2021年3月第一章 概述1.1適用圍適用于中國電信使用Linux操作系統(tǒng)的設(shè)備。本規(guī)明確了平安配置的根本要 求，適用于所有的平安等級，可作為編制設(shè)備入網(wǎng)測試、平安驗收、平安檢查規(guī) 等文檔的參考。由于版本不同，配置操作有所不同，本規(guī)以核版本 2.6與以上為例，給出參 考配置操作。第二章平安配置要求2.1賬號編號：1要求容應(yīng)按照不冋的用戶分配不冋的賬號。防止不冋用戶間共享賬號。防止用戶賬號和設(shè)備間通信使用的賬號共享。操作指南1、參考配置操作為用戶創(chuàng)立賬號：#useradd user name # 倉 U建賬號#passwd user name # 設(shè)置密碼修改權(quán)限：#chmo

2、d 750 directory #其中750為設(shè)置的權(quán)限，可根據(jù)實際情況設(shè)置相應(yīng)的權(quán)限，directory 是要更改權(quán)限的目錄使用該命令為不冋的用戶分配不冋的賬號，設(shè)置不冋的口令與權(quán)限信息等。2、補充操作說明檢測方法1、判定條件能夠登錄成功并且可以進展常用操作；2、檢測操作使用不冋的賬號進展登錄并進展一些常用操作；3、補充說明編號：2要求容應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。操作指南1、參考配置操作刪除用戶：#userdel user name;鎖定用戶：1) 修改/etc/shadow 文件，用戶名后加*LK*2) 將/etc/passwd 文件中的 shell 域設(shè)置成 /bin

3、/false3) #passwd -l user name只有具備超級用戶權(quán)限的使用者方可使用，#passwd -l username鎖定用戶，用#passwd - d username解鎖后原有密碼失效，登錄需 輸入新密碼，修改/etc/shadow 能保存原有密碼。2、補充操作說明需 要鎖定 的用戶:listen,gdm,webservd,nobody,nobody4、noaccess 。注：無關(guān)的賬號主要指測試、共享、長期不用賬號半年以上未用等檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補充說明需 要鎖定 的用戶:list

4、en,gdm,webservd,nobody,nobody4、noaccess 。編號：3要求容根據(jù)系統(tǒng)要求與用戶的業(yè)務(wù)需求， 應(yīng)的組。建立多組，將用戶賬號分配到相操作指南1、參考配置操作Cat /etc/passwdCat /etc/group2、補充操作說明檢測方法1、判定條件 人工分析判斷2、檢測操作編號：4要求容使用PAM禁止任何人su為root操作指南參考操作：編輯su文件(vi /etc/pam.d/su)，在開頭添加下面兩行：auth sufficie nt /lib/security/pam_rootok.so auth required /lib/security/pam_w

5、heel.sogroup=wheel 這說明只有wheel組的成員可以使用su命令成為root用戶。你可以把用戶添加到wheel組，以使匕可以使用su命令成為root用戶。添加 方法為：# chmod - G10 user name檢測方法1、判定條件2、檢測操作Cat /etc/pam.d/su2.2 口令編號：1要求容對于米用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少3類。操作指南1、參考配置操作vi /etc/logi n. defs，修改設(shè)置如下PASS_MIN_LEN-8設(shè)定最小用戶密碼長度為8位Linux 用戶 密碼 的復雜度可以通

6、過 pam_cracklib module 或pam passwdqc module 進展設(shè)置檢測方法1、判定條件不符合密碼強度的時候，系統(tǒng)對口令強度要求進展提示；符合密碼強度的時候，可以成功設(shè)置；2、檢測操作1、檢查口令強度配置選項是否可以進展如下配置：i. 配置口令的最小長度；ii. 將口令配置為強口令。2、創(chuàng)立一個普通賬號，為用戶配置與用戶名一樣的口令、只包含字符或數(shù)字的簡單口令以與長度短于8的口令，查看系統(tǒng)是否對口令強度要求進展提示； 輸入帶有特殊符號的復雜口令、 普通復雜口 令，查看系統(tǒng)是否可以成功設(shè)置。3、補充說明pam_cracklib 主要參數(shù)說明：tretry-N:重試多少次

7、后返回密碼修改錯誤difok-N:新密碼必需與舊密碼不同的位數(shù)dcredit-N: N >- 0:密碼中最多有多少個數(shù)字；N < 0 密碼中最少有多少個數(shù)字.lcredit-N:小寶字母的個數(shù)ucredit-N 大寶字母的個數(shù) credit-N: 特殊字母的個數(shù)minclass-N:密碼組成大/小字母，數(shù)字，特殊字符pam_passwdqc主要參數(shù)說明 ：mix:設(shè)置口令字最小長度，默認值是mix=disabled 。max:設(shè)置口令字的最大長度，默認值是max-40)passphrase:設(shè)置口令短語中單詞的最少個數(shù)，默認值是 passphrase=3，如果為0那么禁用口令短語。

8、atch:設(shè)置密碼串的常見程序，默認值是match=4。similar:設(shè)置當我們重設(shè)口令時，重新設(shè)置的新口令能否與舊口令 相似，它可以是 similar=permit允許相似或 similar=deny 不允許相似。random:設(shè)置隨機生成口令字的默認長度。默認值是random=42。設(shè)為0那么禁止該功能。enforce:設(shè)置約束圍，enforce-none表示只警告弱口令字，但不禁止它們使用；en force-users將對系統(tǒng)上的全體非根用戶實行這一 限制；enforce-everyone 將對包括根用戶在的全體用戶實行這一限 制。non-u nix:它告訴這個模塊不要使用傳統(tǒng)的get

9、pw nam函數(shù)調(diào)用獲得用戶信息。retry:設(shè)置用戶輸入口令字時允許重試的次數(shù)，默認值是retry-3 。密碼復雜度通過/etc/pam.d/system-auth實施編號：2要求容對于米用靜態(tài)口令認證技術(shù)的設(shè)備，口令的生存期不長于90天。操作指南1、參考配置操作vi / etc/login.defsPASS MAX DAYS-90#設(shè)定口令的生存期不長于90天檢測方法1、判定條件登錄不成功；2、檢測操作使用超過90天的口令登錄；3、補充說明測試時可以將90天的設(shè)置縮短來做測試；2.3文件與目錄權(quán)限編號：1要求容在設(shè)備權(quán)限配置能力， 根據(jù)用戶的業(yè)務(wù)需要， 配置其所需的最小權(quán) 限。操作指南1、

10、參考配置操作通過chmod命令對目錄的權(quán)限進展實際設(shè)置。2、補充操作說明/etc/passwd必須所有用戶都可讀，root用戶可寫-rw-r r /etc/shadow 只有 root 可讀-r/etc/group須所有用戶都可讀，root用戶可寫 -rw-r r 使用如下命令設(shè)置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有寫權(quán)限，就需移去組與其它用戶對/etc的寫權(quán)限特殊情 況除外執(zhí)行命令 #chmod -R go-w /etc檢測方法1、判定條件1、設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項，并記錄對用戶進展

11、權(quán) 限配置是否必須在用戶創(chuàng)立時進展；2、記錄能夠配置的權(quán)限選項容；3、所配置的權(quán)限規(guī)那么應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)圍 之外的系統(tǒng)資源，而可以訪問授權(quán)圍之的系統(tǒng)資源。2、檢測操作1、 利用管理員賬號登錄系統(tǒng)，并創(chuàng)立2個不冋的用戶；2、創(chuàng)立用戶時查看系統(tǒng)是否提供了用戶權(quán)限級別以與可訪問系統(tǒng) 資源和命令的選項；3、 為兩個用戶分別配置不冋的權(quán)限，2個用戶的權(quán)限差異應(yīng)能夠分 別在用戶權(quán)限級別、可訪問系統(tǒng)資源以與可用命令等方面予以表達；4、分別利用2個新建的賬號訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許 訪問的容和不允許訪問的容，查看權(quán)限配置策略是否生效。3、補充說明編號：2要求容控制用戶缺省訪冋權(quán)限，當

12、在創(chuàng)立新文件或目錄時應(yīng)屏敝掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止冋屬于該組的其它用戶與別的組的用戶修改該用戶的文件或更咼限制。操作指南1、參考配置操作設(shè)置默認權(quán)限：Vi /etc/login.defs在末尾增加umask 027,將缺省訪冋權(quán)限設(shè)置為750修改文件或目錄的權(quán)限，操作舉例如下：#chmod 444 dir ; # 修改目錄dir的權(quán)限為所有人都為只讀。根據(jù)實際情況設(shè)置權(quán)限；2、補充操作說明如果用戶需要使用一個不同于默認全局系統(tǒng)設(shè)置的umask,可以在需要的時候通過命令行設(shè)置， 或者在用戶的shell啟動文件中配置。檢測方法1、判定條件權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被

13、屏蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#ls -l dir ; #查看目錄dir的權(quán)限#cat /etc/login.defs查看是否有 umask 027 容3、補充說明umask的默認設(shè)置一般為022，這給新創(chuàng)立的文件默認權(quán)限755777-022=755，這會給文件所有者讀、寫權(quán)限，但只給組成員和其他用戶讀權(quán)限。umask的計算：umask是使用八進制數(shù)據(jù)代碼設(shè)置的，對于目錄，該值等于八進制 數(shù)據(jù)代碼777減去需要的默認權(quán)限對應(yīng)的八進制數(shù)據(jù)代碼值；對于文件，該值等于八進制數(shù)據(jù)代碼666減去需要的默認權(quán)限對應(yīng)的八進制數(shù)據(jù)代碼值。編號：3要求容如果需要啟用FTP效勞，控

14、制FTP進程缺省訪問權(quán)限，當通過 FTP 效勞創(chuàng)立新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪冋允 許權(quán)限。操作指南1、參考配置操作以vsftp為例翻開/etc/vsftpd/chroot_list文件，將需要限制的用戶名參加到文件中2、補充操作說明檢測方法1、判定條件權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：3、補充說明2.4遠程登錄編號：1要求容限制具備超級管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1、參考配置操作編輯/etc/passwd

15、 ，信息的shell為/sbin/nologin的為禁止遠程登錄，如要允許，那么改成可以登錄的shell即可，女口 /bin/bash2、補充操作說明如果限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將 PermitRootLogin yes 改為 PermitRootLogin no ，重啟 sshd 服 務(wù)。檢測方法1、判定條件root遠程登錄不成功，提示“沒有權(quán)限；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測操作root從遠程使用telnet 登錄；普通用戶從遠程使用teln et登錄；root從遠程使用ssh登錄；普通用戶從遠程使用ssh

16、登錄；3、補充說明限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes 改為 PermitRootLogin no,重啟 sshd 效勞。編號：2要求容對于使用IP協(xié)議進展遠程維護的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并平安配置 SSHD勺設(shè)置。操作指南1、參考配置操作正?？梢酝ㄟ^#/etc/init.d/sshd start來啟動SSH;通過 #/etc/init.d/sshd stop來停止 SSH2、補充操作說明查看SSH效勞狀態(tài)：# ps - ef|grep ssh注：禁止使用telnet等明文傳輸協(xié)議進展遠程維護；

17、如特別需要，需采用訪問控制策略對其進展限制；檢測方法1、判定條件# ps - ef|grep ssh是否有ssh進程存在是否有telnet進程存在2、檢測操作查看SSH效勞狀態(tài)：# ps - ef|grep ssh 查看telnet效勞狀態(tài)：# ps - ef|grep telnet3、補充說明2.5補丁平安編號：1要求容在保證業(yè)務(wù)網(wǎng)絡(luò)穩(wěn)定運行的前提下，安裝最新的OS補丁。補丁在安裝前需要測試確疋。操作指南1、參考配置操作看版本是否為最新版本。執(zhí)行以下命令，查看版本與大補丁號。#uname - a2、補充操作說明檢測方法1、判定條件看版本是否為最新版本。# uname - a查看版本與大補丁號

18、RedHat Linux : .redhat./support/errata/Slackware Linux : ftp:/ftp.slackware./pub/slackware/SuSE Linux : .suse./us/support/security/index.htmlTurboLinux : .turbolinux./security/2、檢測操作在系統(tǒng)安裝時建議只安裝根本的OS部份，其余的軟件包那么以必要為原那么，非必需的包就不裝。3、補充說明2.6日志平安要求編號：1要求容啟用syslog系統(tǒng)日志審計功能操作指南1、參考配置操作#cat/etc/syslog.c onf查 看

19、 是 否 有 #authpriv.*/var/log/secure2、補充操作說明將authpirv 設(shè)備的任何級別的信息記錄到/var/log/secure中，這主要是一些和認證、權(quán)限使用相關(guān)的信息。文件檢測方法1、判定條件查看是否有 #authpriv.* /var/log/secure2、檢測操作#cat /etc/syslog.c onf3、補充說明將authpirv設(shè)備的任何級別的信息記錄到/var/log/secure文件中，這主要是一些和認證、權(quán)限使用相關(guān)的信息。編號：2要求容系統(tǒng)日志文件由syslog創(chuàng)立并且不可被其他用戶修改；其它的系 統(tǒng)日志文件不是全局可寫操作指南1、參考配

20、置操作查看如下等日志的訪冋權(quán)限#ls - l查看以下日志文件權(quán)限/var/log/messages 、/var/log/secure、/var/log/maillog、/var/log/cron、 /var/log/spooler、/var/log/boot.log2、補充操作說明檢測方法1、判定條件2、檢測操作使用ls - l命令依次檢查系統(tǒng)日志的讀寫權(quán)限3、補充說明編號：3可選要求容啟用記錄cron仃為日志功能操作指南1、參考配置操作Vi /etc/syslog.c onf # Log cron stuff cron .*cron .*檢測方法1、判定條件2、檢測操作cron .*編號：4

21、可選要求容設(shè)備配置遠程日志功能， 將需要重點關(guān)注的日志容傳輸?shù)饺罩拘?器。操作指南1、參考配置操作修改配置文件 vi /etc/syslog.co nf,加上這一行：可以將"*.*"替換為你實際需要的日志信息。比方：kern.* ; mail.*等等0可以將此處替換為實際的IP或域名。2、補充操作說明檢測方法1、判定條件設(shè)備配置遠程日志功能， 將需要重點關(guān)注的日志容傳輸?shù)饺罩拘?器。2、檢測操作查看日志效勞器上的所收到的日志文件。3、補充說明2.7不必要的效勞、端口編號：1要求容關(guān)閉不必要的效勞。操作指南1、參考配置操作查看所有開啟的效勞：#ps - ef#chkc o

22、nfig -list#cat /etc/x in etd.c onf在xin etd.co nf 中關(guān)閉不用的效勞首先復制/etc/xi netd.co nf。#cp /etc/xinetd.conf /etc/xinetd.conf.backup然后用 vi 編輯器編輯xinetd.conf 文件，對于需要注釋掉的效勞在相應(yīng)行開頭標記"#"子符，重啟xinetd效勞，即可。2、補充操作說明參考附表，根據(jù)需要關(guān)閉不必要的效勞檢測方法1、判定條件所需的效勞都列出來； 沒有不必要的效勞；2、檢測操作#ps - ef#chkc onfig -list#cat /etc/x in

23、etd.c onf3、補充說明在/etc/xi netd.co nf文件中禁止不必要的根本網(wǎng)絡(luò)效勞。注意：改變了/etc/xi netd.co nf文件之后，需要重新啟動xinetd 。對必須提供的效勞采用tcpwapper來保護2.8系統(tǒng)Banner設(shè)置要求容修改系統(tǒng)banner,防止泄漏操作系統(tǒng)名稱，版本號，主機名稱等，并且給出登陸告警信息操作指南1、參考配置操作在缺省情況下，當你登錄到linux系統(tǒng)，它會告訴你該linux發(fā)行版的名稱、版本、核版本、效勞器的名稱。應(yīng)該盡可 能的隱藏系統(tǒng)信息。首先編輯“ /etc/rc.d/rc.local"文件，在下面顯示的這些行前加一個“ #

24、，把輸出信息的命令注釋掉。# This will overwrite /etc/issue at every boot. So, make any cha nges you want to make to /etc/issue here or you will lose them whe n you reboot.#echo "" > /etc/issue#echo "$R" >> /etc/issue#echo "Ker nel $(un ame -r) on $a $(un ame -m)" >>/e

25、tc/issue#cp -f /etc/issue /etc/issue .net#echo >> /etc/issue其次刪除"/etc"目錄下的 和issue文件：# mv /etc/issue /etc/issue.bak# mv /etc/issue .net /etc/issue .n et.bak檢測方法查看Cat /etc/rc.d/rc.local注釋住處信息2.9登錄超時時間設(shè)置要求容對于具備字符交互界面的設(shè)備，配置定時自動登出操作指南1、參考配置操作通過修改賬戶中“ TMOUT參數(shù)，可以實現(xiàn)此功能。TMOU按秒計算。編輯profile 文 件

26、vi /etc/profile，在“ HISTFILESIZE="后面參加下面這行：建議TMOUT=30可根據(jù)情況設(shè)定2、補充操作說明改變這項設(shè)置后，必須先注銷用戶，再用該用戶登錄才能激 活這個功能檢測方法1、判定條件查看 TMOUT=3002.10刪除潛在危險文件要求容.rhosts , .netrc ，hosts.equiv 等文件都具有潛在的危險，如果 沒有應(yīng)用，應(yīng)該刪除操作指南1、參考配置操作執(zhí)行：find / -n ame .n etrc，檢查系統(tǒng)中是否有 .n etrc 文件，執(zhí)行：find / -n ame .rhosts，檢查系統(tǒng)中是否有 .rhosts 文件如無應(yīng)用

27、，刪除以上文件：Mv .rhost .rhost.bakMv .n etr . netr.bak2、補充操作說明注意系統(tǒng)版本，用相應(yīng)的方法執(zhí)行檢測方法1、判定條件2、檢測操作2.11 FTP 設(shè)置編號1：要求容禁止root登陸FTP操作指南1、參考配置操作在ftpaccess 文件中參加以下行 root檢測方法使用root登錄ftp會被拒絕編號2:要求容禁止匿名ftp操作指南1、參考配置操作以vsftpd為例：翻開vsftd.co nf文件，修改以下行為： anonymo us e nable二NO檢測方法匿名賬戶不能登錄編號3:要求容修改FTP banner信息操作指南1、參考配置操作使用v

28、sftpd，那么修改以下文件的容：/etc/vsftpd.d/vsftpd.c onf使用wu-ftpd ,那么需要修改文件/etc/ftpaccess ,在其中添 加：bann er /path/to/ftpba nner在指定目錄下創(chuàng)立包含ftp的banner信息的文件檢測方法1、判斷依據(jù)通過外部ftp客戶端登錄，banner按照預先設(shè)定的顯示2、檢查操作附表：端口與效勞效勞名稱端口應(yīng)用說明關(guān)閉方法處置建議daytime13/tcpRFC867白天協(xié)議chkc onfig daytime off建議關(guān)閉13/udpRFC867白天協(xié)議chkc onfig daytime offtime37

29、/tcp時間協(xié)議chkc onfig time off37/udp時間協(xié)議chkc onfig time-udp offecho7/tcpRFC862回聲協(xié)議chkc onfig echo off7/udpRFC862回聲協(xié)議chkc onfig echo-udp offdiscard9/tcpRFC863廢除協(xié)議chkc onfig discard off9/udpchkc onfig discard-udp offcharge n19/tcpRFC864字符產(chǎn)生協(xié)議chkc onfig charge n off19/udpchkc onfig charge n-udp offftp21/t

30、cp文件傳輸協(xié)議控制chkc onfig gssftp off根據(jù)情況選 擇開放tel net23/tcp虛擬終端協(xié)議chkc onfig krb5-te Inet off根據(jù)情況選擇開放sen dmail25/tcp簡單發(fā)送協(xié)議chkc onfig sen dmail off建議關(guān)閉n ameserver53/udp域名效勞chkc onfig n amed off根據(jù)情況選擇開放53/tcp域名效勞chkc onfig n amed off根據(jù)情況選 擇開放apache80/tcp萬維網(wǎng)發(fā)布效勞chkc onfig d off根據(jù)情況選擇開放logi n513/tcp遠程登錄chkc onfig logi n off根據(jù)情況選 擇開放shell514/tcp遠程