linux系統(tǒng)安全加固規(guī)范

1、精選文檔LinuxLinux 主機(jī)操作系統(tǒng)加固規(guī)范主機(jī)操作系統(tǒng)加固規(guī)范精選文檔目目 錄錄第第 1 章章概述概述 .11.1目的 .11.2適用范圍.11.3適用版本.11.4實(shí)施 .11.5例外條款.1第第 2 章章賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán).22.1賬號(hào) .22.1.1用戶口令設(shè)置.22.1.2root 用戶遠(yuǎn)程登錄限制.22.1.3檢查是否存在除 root 之外 UID 為 0 的用戶.32.1.4root 用戶環(huán)境變量的平安性 .32.2認(rèn)證 .42.2.1遠(yuǎn)程連接的平安性配置.42.2.2用戶的 umask 平安配置.42.2.3重要名目和文件的權(quán)限設(shè)置.42.2.4查找未授

2、權(quán)的 SUID/SGID 文件.52.2.5檢查任何人都有寫權(quán)限的名目 .62.2.6查找任何人都有寫權(quán)限的文件 .62.2.7檢查沒(méi)有屬主的文件.72.2.8檢查特別隱含文件 .7第第 3 章章日志審計(jì)日志審計(jì).93.1日志 .93.1.1syslog 登錄大事記錄.93.2審計(jì) .93.2.1Syslog.conf 的配置審核.9第第 4 章章系統(tǒng)文件系統(tǒng)文件.114.1系統(tǒng)狀態(tài).114.1.1系統(tǒng) core dump 狀態(tài).11精選文檔第第 1 章章 概述概述1.1適用范圍適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)平安管理員。1.2適用版本適用版本LINUX 系列

3、服務(wù)器；精選文檔第第 2 章章 賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán)2.1賬號(hào)賬號(hào)2.1.1 用戶口令設(shè)置用戶口令設(shè)置平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 用戶口令平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-01-01 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 帳號(hào)與口令-用戶口令設(shè)置檢測(cè)操作檢測(cè)操作步驟步驟1、詢問(wèn)管理員是否存在如下類似的簡(jiǎn)潔用戶密碼配置，比如：root/root, test/test, root/root12342、執(zhí)行：more /etc/login，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_W

4、ARN_AGE 參數(shù)3、執(zhí)行：awk -F: ($2 = ) print $1 /etc/shadow, 檢查是否存在空口令賬號(hào)基線符合基線符合性判定依性判定依據(jù)據(jù)建議在/etc/login 文件中配置：PASS_MIN_LEN=6不允許存在簡(jiǎn)潔密碼，密碼設(shè)置符合策略，如長(zhǎng)度至少為 6不存在空口令賬號(hào)備注備注2.1.2 root 用戶遠(yuǎn)程登錄限制用戶遠(yuǎn)程登錄限制平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 遠(yuǎn)程登錄平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-01-02 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 帳號(hào)與口令-root 用戶遠(yuǎn)程登錄限制檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行：

5、more /etc/securetty，檢查 Console 參數(shù)精選文檔基線符合基線符合性判定依性判定依據(jù)據(jù)建議在/etc/securetty 文件中配置：CONSOLE = /dev/tty01備注備注2.1.3 檢查是否存在除檢查是否存在除 root 之外之外 UID 為為 0 的用戶的用戶平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 超級(jí)用戶策略平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-01-03 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 帳號(hào)與口令-檢查是否存在除 root 之外 UID 為 0 的用戶檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行：awk -F: ($3 = 0)

6、print $1 /etc/passwd基線符合基線符合性判定依性判定依據(jù)據(jù)返回值包括“root”以外的條目，則低于平安要求；備注備注補(bǔ)充操作說(shuō)明UID 為 0 的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有 root 用戶的 UID 為 02.1.4 root 用戶環(huán)境變量的平安性用戶環(huán)境變量的平安性平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 超級(jí)用戶環(huán)境變量平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-01-04 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 帳號(hào)與口令-root 用戶環(huán)境變量的平安性檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行：echo $PATH | egrep (|:)(.|:

7、|$)，檢查是否包含父名目，執(zhí)行：find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls，檢查是否包含組名目權(quán)限為 777 的名目基線符合基線符合性判定依性判定依據(jù)據(jù)返回值包含以上條件，則低于平安要求；find echo $PATH | tr : -type d ( -perm -777 -o -perm -777 ) -ls注注補(bǔ)充操作說(shuō)明確保 root 用戶的系統(tǒng)路徑中不包含父名目，在非必要的狀況下，精選文檔不應(yīng)包含組權(quán)限為 777 的名目2.1.5 遠(yuǎn)程連接的平安性配置遠(yuǎn)程連接的平安性配置平安基線平安基線項(xiàng)目名稱項(xiàng)目

8、名稱操作系統(tǒng) Linux 遠(yuǎn)程連接平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-01 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 帳號(hào)與口令-遠(yuǎn)程連接的平安性配置檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行：find / -name .netrc，檢查系統(tǒng)中是否有.netrc 文件，執(zhí)行：find / -name .rhosts ，檢查系統(tǒng)中是否有.rhosts 文件基線符合基線符合性判定依性判定依據(jù)據(jù)返回值包含以上條件，則低于平安要求；備注備注補(bǔ)充操作說(shuō)明如無(wú)必要，刪除這兩個(gè)文件2.1.6 用戶的用戶的 umask 平安配置平安配置平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 用戶 uma

9、sk 平安基線要求項(xiàng)平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 帳號(hào)與口令-用戶的 umask 平安配置檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 檢查是否包含 umask 值基線符合基線符合性判定依性判定依據(jù)據(jù)umask 值是默認(rèn)的，則低于平安要求備注備注補(bǔ)充操作說(shuō)明 直接 vi /etc/bashrc建議設(shè)置用戶的默認(rèn) umask=077 數(shù)據(jù)庫(kù)機(jī)器不裝。2.1.7 重要名目和文件的權(quán)限設(shè)置重要名目和文件的權(quán)限設(shè)置平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 名

10、目文件權(quán)限平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-03 精選文檔平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 文件系統(tǒng)-重要名目和文件的權(quán)限設(shè)置檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行以下命令檢查名目和文件的權(quán)限設(shè)置狀況：ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基線符合基線符合性判定依性判定依據(jù)據(jù)若權(quán)限過(guò)低，則低于平

11、安要求；備注備注補(bǔ)充操作說(shuō)明對(duì)于重要名目，建議執(zhí)行如下類似操作：# chmod -R 750 /etc/rc.d/init.d/*這樣只有 root 可以讀、寫和執(zhí)行這個(gè)名目下的腳本。2.1.8 查找未授權(quán)的查找未授權(quán)的 SUID/SGID 文件文件平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux SUID/SGID 文件平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-04 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 文件系統(tǒng)-查找未授權(quán)的 SUID/SGID 文件檢測(cè)操作檢測(cè)操作步驟步驟用下面的命令查找系統(tǒng)中全部的 SUID 和 SGID 程序，執(zhí)行：for PART in gr

12、ep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind / ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基線符合基線符合若存在未授權(quán)的文件，則低于平安要求；精選文檔性判定依性判定依據(jù)據(jù)備注備注補(bǔ)充操作說(shuō)明建議經(jīng)常性的對(duì)比 suid/sgid 文件列表，以便能夠準(zhǔn)時(shí)發(fā)覺(jué)可疑的后門程序2.1.9 檢查任何人都有寫權(quán)限的名目檢查任何人都有寫權(quán)限的名目平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 名目寫權(quán)限平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-

13、05 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 文件系統(tǒng)-檢查任何人都有寫權(quán)限的名目檢測(cè)操作檢測(cè)操作步驟步驟在系統(tǒng)中定位任何人都有寫權(quán)限的名目用下面的命令：for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合基線符合性判定依性判定依據(jù)據(jù)若返回值非空，則低于平安要求；備注備注2.1.10 查找任何人都有寫權(quán)限的文件查找任何人都有寫權(quán)限的文件平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 文件寫權(quán)

14、限平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-06 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測(cè)操作檢測(cè)操作步驟步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合基線符合若返回值非空，則低于平安要求；精選文檔性判定依性判定依據(jù)據(jù)備注備注2.1.11 檢查沒(méi)有屬主的文件檢查沒(méi)有屬

15、主的文件平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 文件全部權(quán)平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-07 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 文件系統(tǒng)-檢查沒(méi)有屬主的文件檢測(cè)操作檢測(cè)操作步驟步驟定位系統(tǒng)中沒(méi)有屬主的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -nouser -o -nogroup -printdone留意：不用管“/dev”名目下的那些文件?；€符合基線符合性判定依性判定依據(jù)據(jù)若返回值非空，則低于平安要求；備注備注補(bǔ)充操作說(shuō)

16、明發(fā)覺(jué)沒(méi)有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒(méi)有仆人的文件存在。假如在系統(tǒng)中發(fā)覺(jué)了沒(méi)有仆人的文件或名目，先查看它的完整性，假如一切正常，給它一個(gè)仆人。有時(shí)候卸載程序可能會(huì)消滅一些沒(méi)有仆人的文件或名目，在這種狀況下可以把這些文件和名目刪除掉。2.1.12 檢查特別隱含文件檢查特別隱含文件平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 隱含文件平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-02-02-08 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 文件系統(tǒng)-檢查特別隱含文件檢測(cè)操作檢測(cè)操作步驟步驟用“find”程序可以查找到這些隱含文件。例如： # find / -name

17、 . * -print xdev精選文檔 # find / -name * -print -xdev | cat -v 同時(shí)也要留意象“.xx”和“.mail”這樣的文件名的。 （這些文件名看起來(lái)都很象正常的文件名）基線符合基線符合性判定依性判定依據(jù)據(jù)若返回值非空，則低于平安要求；備注備注補(bǔ)充操作說(shuō)明在系統(tǒng)的每個(gè)地方都要查看一下有沒(méi)有特別隱含文件（點(diǎn)號(hào)是起始字符的，用“l(fā)s”命令看不到的文件） ，由于這些文件可能是隱蔽的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等） 。在 UNIX 下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“” 、 “. ” （點(diǎn)點(diǎn)空格）或“.G” （點(diǎn)點(diǎn)

18、 control-G） ，來(lái)隱含文件或名目。精選文檔第第 3 章章 日志審計(jì)日志審計(jì)3.1日志日志3.1.1 syslog 登錄大事記錄登錄大事記錄平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 登錄審計(jì)平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-03-01-01 平安基線平安基線項(xiàng)說(shuō)明項(xiàng)說(shuō)明 日志審計(jì)-syslog 登錄大事記錄檢測(cè)操作檢測(cè)操作步驟步驟執(zhí)行命令：more /etc/syslog.conf查看參數(shù) authpriv 值基線符合基線符合性判定依性判定依據(jù)據(jù)若未對(duì)全部登錄大事都記錄，則低于平安要求；備注備注3.2審計(jì)審計(jì)3.2.1 Syslog.conf 的配置審核的配置審核平安基線平安基線項(xiàng)目名稱項(xiàng)目名稱操作系統(tǒng) Linux 配置審計(jì)平安基線要求項(xiàng)平安基線平安基線編號(hào)編號(hào)SBL-Linux-