LINUX操作系統(tǒng)配置規(guī)范

1、于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。LINUX操作系統(tǒng)配置規(guī)范目錄i概述2上架規(guī)范2.1配置iLo管理口2.2硬盤RAID配置2.3服務(wù)器安裝導(dǎo)軌2.4服務(wù)器插線要求3系統(tǒng)安裝3.1系統(tǒng)版本要求3.2分區(qū)要求3.3安裝包要求3.4用戶要求3.5時(shí)間同步要求3.6字符集3.7網(wǎng)卡綁定3.8配置snmp3.9連存儲(chǔ)的服務(wù)器3.10多路徑軟件3.11 udev配置（塊設(shè)備管理、ASM組）3.12 CVE漏洞軟件包版本4補(bǔ)丁4.1系統(tǒng)補(bǔ)?。▋H供參考）4.2其他應(yīng)用補(bǔ)?。▋H供參考）5主機(jī)名、賬號(hào)和口令安全配置基線5.1主機(jī)命名規(guī)范5.2賬號(hào)安全控制要求5.3 口

2、令策略配置要求5.4 口令復(fù)雜度和密碼鎖定策略配置要求5.5 口令重復(fù)次數(shù)限制配置要求5.6設(shè)置登錄Banner5.7 設(shè)置openssh登陸B(tài)anner5.8 Pam的設(shè)置5.9 root登錄策略的配置要求5.10 root的環(huán)境變量基線6網(wǎng)絡(luò)與服務(wù)安全配置標(biāo)準(zhǔn)6.1最小化啟動(dòng)服務(wù)6.2最小化xinetd網(wǎng)絡(luò)服務(wù)7文件與目錄安全配置7.1臨時(shí)目錄權(quán)限配置標(biāo)準(zhǔn)7.2重要文件和目錄權(quán)限配置標(biāo)準(zhǔn)7.3 umask配置標(biāo)準(zhǔn)7.4 coredump狀態(tài)7.5 ssh的安全設(shè)置7.6 bash歷史記錄7.7其他注意事項(xiàng)8系統(tǒng)Banner的配置9防病毒軟件安裝10ITSM監(jiān)控agent安裝11內(nèi)核參數(shù)優(yōu)化

3、12syslog日志的配置13重啟服務(wù)器附件：安全工具1概述本規(guī)范適用于某運(yùn)營商使用Linux操作系統(tǒng)的設(shè)備。本規(guī)范明確了Linux操作系統(tǒng)在安全配置方面的基本要求，適用于所有的安全等級，可作為編制設(shè)備入網(wǎng)測試、安全驗(yàn)收、安全檢查規(guī)范等文檔的由于版本不同，配置操作有所不同，本規(guī)范以Redhat6.6為例，給出參考配置操作。2上架規(guī)范2.1配置iLo管理口2.2硬盤RAID配置n2.3服務(wù)器安裝導(dǎo)軌n2.4服務(wù)器插線要求1、集成網(wǎng)卡服務(wù)器業(yè)務(wù)網(wǎng)絡(luò)要求使用eth0、ethl兩網(wǎng)口做雙網(wǎng)卡綁定。（個(gè)別應(yīng)用默認(rèn)順序取第一個(gè)接口mac地址，要求使用前兩個(gè)端口做業(yè)務(wù)網(wǎng)絡(luò)接口）網(wǎng)卡插線參考如下圖方式：畫2、

4、非集成網(wǎng)卡服務(wù)器要求充分考慮網(wǎng)卡與網(wǎng)卡、網(wǎng)口與網(wǎng)口冗余、充分考慮網(wǎng)卡間散熱問題。光口卡同理操作。網(wǎng)卡插線參考如下圖方式：3 系統(tǒng)安裝3.1系統(tǒng)版本要求新上系統(tǒng)全部使用rhel6.664位操作系統(tǒng)。rhel-server-6.6-x86_64-dvd.iso3.52GBSHA-256:16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32rootrhel6-6/$uname-aLinuxrhel6-62.6.32-504.el6.x86_64#1SMPTueSep1601:56:35EDT2014X86_64X86_64x

5、86_64GNU/Linux目前機(jī)房生產(chǎn)平臺(tái)用的較多的是rhel5.7和rhe【6.1。有特殊要求的則仍使用rhel6.1。3.2分區(qū)要求使用LVM分區(qū)、文件系統(tǒng)格式采用ext4。畫3.3安裝包要求安裝系統(tǒng)當(dāng)中要將GCC等所有的開發(fā)包和管理包打全，以防后期存在缺包現(xiàn)象。以下包全部安裝AdministrationToolsDevelopmentToolsSystemToolstelnetftpIrzsz（這三個(gè)包要求安裝）“系統(tǒng)管理”菜單：所有包全選安裝0“開發(fā)”菜單：所有包全選安裝叵|“語言支持”菜單：要求安裝英文語言包、簡體中文語言包！03.4用戶要求根據(jù)主機(jī)運(yùn)維工作的實(shí)際需求，要求系統(tǒng)初始

6、用戶包括以下用戶。密碼根據(jù)項(xiàng)目整體要求配置rootroot用戶密碼根據(jù)要求進(jìn)行配置pcloud新創(chuàng)建用戶且附加組為wheel參考命令：#useradd-Gwheelpcloudbestpay新創(chuàng)建用戶#useraddbestpaylogview新創(chuàng)建用戶且附加組為bestpay參考命令：#useradd-Gbestpaylogview分區(qū)賦權(quán)在root用戶根目錄下按3.3小節(jié)分區(qū)要求，給分區(qū)重新賦權(quán)/data：chown-Rbestpay:bestpay/dataoochmod0750/datao/tools：chown-Rbestpay:bestpay/toolsoochmod0700/to

7、olso/admin：chown-Rbestpay:bestpay/adminochmod0750/admin3.5時(shí)間同步要求在root用戶下執(zhí)行crontab-e*/5*/usr/sbin/ntpdate00157*/sbin/hwclock-w3.6字符集使用系統(tǒng)缺省字符集配置。系統(tǒng)缺省字符集為en_US.UTF-8；有特殊需求，另行配置。修改字符集可以在文件/etc/sysconf(g/18n里改。03.7網(wǎng)卡綁定將服務(wù)器網(wǎng)卡兩兩做綁定，網(wǎng)卡綁定為主備模式。服務(wù)器網(wǎng)卡要求使用第一塊網(wǎng)卡1口和第二塊網(wǎng)卡1口；第一塊網(wǎng)卡2口和第二塊網(wǎng)卡2口；即避

8、免由于單塊網(wǎng)卡故障導(dǎo)致的業(yè)務(wù)中斷，可以冗余。以下為配置示例：配置虛擬網(wǎng)卡：rootrhel6network-scripts#cpifcfg-eth0ifcfg-bond0rootrhel6network-scripts#viifcfg-bond0DEVICE=bond0BOOTPROTO=noneIPADDR=00NETMASK=ONBOOT=yesTAPE=EthernetGATEWAY=54USERCTL=no配置真實(shí)網(wǎng)卡：rootrhel6network-scripts#viifcfg-eth0DEVICE二eth0B

9、OOTPROTO二noneONBOOT=yesUSERCTL=noSLAVE二yes寫上就不用加開機(jī)啟動(dòng)MASTER=bond0寫上就不用加開機(jī)啟動(dòng)rootrhel6network-scripts#viifcfg-eth1DEVICE二eth0BOOTPROTO二noneONBOOT=yesUSERCTL=noSLAVE二yes寫上就不用加開機(jī)啟動(dòng)MASTER=bond0寫上就不用加開機(jī)啟動(dòng)加載模塊讓系統(tǒng)支持：rootrhel6vi/etc/modprobe.d/dist.confaliasbond0bonding確保連接到兩個(gè)控制器的HBA卡/接口冗余;模式1為主備optionsbondOm

10、iimon=100mode=1重啟網(wǎng)絡(luò)并檢查配置：servicenetworkrestartIsmod|grepbondcat/proc/net/bonding/bondO3.8配置snmp參照其他平臺(tái)，共同提名不能使用public，長度必須8位以上，至少三種（大小寫字母，符號(hào)，特殊符號(hào)）結(jié)合，配置snmp服務(wù)器并指向采集服務(wù)器，采集服務(wù)器ip為5、6、7ITSM二期要求新增采集地址：/24；團(tuán)體字為Itsm2014roJK!以下為配置示例：檢查系統(tǒng)是否安裝snmp服務(wù)rootrhel6#rpm-qagrep

11、snmpnet-snmp-devel-5.5-31.el6.x86_64net-snmp-utils-5.5-31.el6.x86_64net-snmp-5.5-31.el6.x86_64netsnmphbs5.531.el6.x86_64net-snmp-python-5.5-31.el6.x86_64net-snmp-perl-5.5-31.el6.x86_64SNMP1配置好本地yum服務(wù)，使用yum安裝yuminstall-ynet-snmp*2.配置SNMP服務(wù)開機(jī)啟動(dòng)#servicesnmpdstart#chkconfigsnmpdon#chkconfig-listgrepsnmp

12、d查看開機(jī)啟動(dòng)設(shè)置是否成功snmpd0：關(guān)閉1：關(guān)閉2:啟用3:啟用4:啟用5:啟用6:關(guān)閉驗(yàn)證SNMP服務(wù)1. 使用snmpwalk獲取主機(jī)名rootrhel6#snmpwalk-v2c-cpubliclocalhostsysName.0SNMPv2-MIB：sysName.0=STRING:rhel6.1#snmpwalk用法snmpwalk-v12c3（代表SNMP版本）-c<communitystringIP地址OID（對象標(biāo)示符）2. 使用snmptranslate命令，檢查snmp工具是否可以使用#snmptranslate-To|head...1

13、...1.21361211361211136121111361211213612113查出了部分oid,則表示snmp工具可以正常使用配置SNMP服務(wù)配置項(xiàng)包括但不限于：sec.model查看設(shè)備節(jié)點(diǎn)權(quán)限“viewall”；被允許查看的sec.model組指定檢測的ProcesschecksdiskchecksExecutables/scriptsloadaveragechecks叵|3.9連存儲(chǔ)的服務(wù)器必須使用雙hba卡;單個(gè)HBA卡故障，或單個(gè)HBA卡某個(gè)接口故障，都滿足冗余3.10多路徑軟件1、多路徑配置要求多路徑

14、必須綁定別名；設(shè)置多路徑服務(wù)為開機(jī)啟動(dòng)；屏蔽掉本地磁盤，本地磁盤不做聚合；結(jié)合數(shù)據(jù)庫規(guī)范等配置實(shí)施版本系統(tǒng)自帶multipath即可，要求做盤符別名綁定。比如要確保數(shù)據(jù)庫的兩個(gè)節(jié)點(diǎn)掃描到的盤符一致。注意在blacklist里面過濾本地磁盤！blacklist里面需要有以下參數(shù)：blacklistdevnode"(ramrawllooplfdlmdldm-lsrlscdlst)0-9*"devnode"hda-z"devnode"“sda-d"過濾條件視實(shí)際情況，防止過濾掉多路徑塊設(shè)備！2、多路徑安裝及配置參數(shù)簡介檢查multipath

15、是否安裝成功：#lsmodIgrepdm_multipath如果輸出沒有，則進(jìn)行安裝#yum-yinstalldevice-mapperdevice-mapper-multipath查看多路徑狀態(tài)查看模塊是否加載成功rootrhel6#multipath-llJan0102:36:12|/etc/multipath.confdoesnotexist,blacklistingalldevices.一配置文件沒有Jan0102:36:12Asamplemultipath.conflocatedatJan0102:36:12|/usr/share/doc/device-mapper-multipat

16、h-0.4.9/multipath.confJan0102:36:12|Youcanrun/sbin/mpathconftocreateormodify/etc/multipath.confJan0102:36:12DMmultipathkerneldrivernotloaded-DM模塊沒加載如果模塊沒有加載成功請使用下列命初始化DM,或重啟系統(tǒng)rootrhel6#modprobedm-multipathrootrhel6#modprobedm-round-robinrootrhel6#servicemultipathdstart正在啟動(dòng)守護(hù)進(jìn)程multipathd：查看系統(tǒng)是否安裝多路徑r

17、ootrhel6mapper#rpm-qagrepmapperdevice-mapper-libs-1.02.62-3.el6.x86_64device-mapper-multipath-libs-0.4.9-41.el6.x86_64device-mapper-multipath-0.4.9-41.el6.x86_64device-mapper-event-libs-1.02.62-3.el6.x86_64device-mapper-1.02.62-3.el6.x86_64device-mapper-event-1.02.62-3.el6.x86_64multipath.conf配置說明接下

18、來的工作就是要編輯/etc/multipath.conf的配置文件multipath.conf主要包括defaults、blacklist、multipaths、devices三部份的配置defaults是全局配置參數(shù)blacklist用來過濾不需綁定的設(shè)備multipaths用來綁定別名devices用來定義存儲(chǔ)廠商和自定義規(guī)則blacklist配置blacklistdevnode"(ramrawllooplfdlmdldm-lsrlscdlst)0-9*"devnode"hda-z"devnode"sda-d"Multipaths

19、部分配置multipaths和devices兩部份的配置。multipathsmultipathwwid*#此值multipath-ll可以獲取aliasdatal#映射后的別名，可以隨便取Devices部分配置devicesdevicevendor"iSCSI-Enterprise"#廠商名稱product"Virtualdisk"#產(chǎn)品型號(hào)path_grouping_policymultibus#默認(rèn)的路徑組策略getuid_callout"/sbin/scsi_id-g-u-s/block/%n"#獲得唯一設(shè)備號(hào)path_che

20、ckerreadsectorQ#決定路徑狀態(tài)的方法path_selector"round-robin0"#選擇那條路徑進(jìn)行下一個(gè)IO操作的方法failbackimmediate#故障恢復(fù)的模式有immediate和failover兩種no_path_retryrr_min_ioqueue#在disablequeue之前系統(tǒng)嘗試使用失效路徑的次數(shù)的數(shù)值100#在當(dāng)前的用戶組中，在切換到另外一條路徑之前的IO請求的數(shù)目3、多路徑配置范例1)IBM存儲(chǔ)DS8000系列官方推薦配置defaultsuser_friendly_namesyesblacklistdevnode"

21、;人hda-z"devnode"(ramrawllooplfdlmdldm-lsrlscdlst)0-9*"devnode"cciss.*"devicesdevicevendor"IBM"product"2107900"path_grouping_policymultibusgetuid_callout"/lib/udev/scsi_id-whitelisted-device=/dev/%n"path_selector"round-robin0"path_check

22、erturfeatures"1queue_if_no_path"hardware_handler"0"prioconstrr_weightuniformrr_min_io1000multipathsmultipathwwid3600a3495d47*aliasdata12)IBM存儲(chǔ)DS4800系列官方推薦配置defaultsuser_friendly_namesyesblacklistdevnode"hda-z"devnode"(ramrawllooplfdlmdldm-lsrlscdlst)0-9*"devno

23、de"八cciss.*"devicesdevicevendor"IBM"product"1815"path_grouping_policygroup_by_priogetuid_callout"/sbin/scsi_id-g-u-s/block/%n"path_selector"round-robin0"path_checkerrdacfeatures"0"hardware_handler"1rdac"prio_callout"/sbin/mpa

24、th_prio_rdac/dev/%n"failbackimmediaterr_weightuniformno_path_retryqueuerr_min_io1000multipathsmultipathwwid3600a3495d47*aliasdatal3)NetApp存儲(chǔ)官方推薦配置defaultsuser_friendly_namesyesmax_fdsmaxflush_on_last_delyesqueue_without_daemonnoblacklistdevnode"hda-z"devnode"(ramrawllooplfdlmdldm

25、-lsrlscdlst)0-9*"devnode"cciss.*"devicesdevicevendor"NETAPP"product"LUN"path_grouping_policygroup_by_priofeatures"3queue_if_no_pathpg_init_retries50"prio"alua"path_checkerturfailbackimmediatepath_selector"round-robin0"hardware_handler&

26、quot;1alua"rr_weightuniformrr_min_io128getuid_callout"/lib/udev/scsi_id-g-u-d/dev/%n"multipathsmultipathwwid3600a3495d47*aliasdata13.11udev配置（塊設(shè)備管理、ASM組）以下只針對數(shù)據(jù)庫服務(wù)器，或有多路徑需求的服務(wù)器，否則可跳過本小節(jié)。1、配置注意事項(xiàng)multipath配置中將本地磁盤或SCSI設(shè)備加入黑名單blacklistmultipath第一次配置完成后重啟操作系統(tǒng)；應(yīng)用上線后使用multipath-v2、multipath

27、一ll、servicemultipathreload命令執(zhí)行初始化掃描檢查udev第一次配置完成后，執(zhí)行start_udev掃盤操作應(yīng)用上線后使用以下命令掃盤# udevadmcontrol-reload-rules# udevadmtrigger-type=devices-action=change2、將LUN加載到主機(jī)將剛剛創(chuàng)建的幾個(gè)LUN加載到數(shù)據(jù)庫的主機(jī)組里，映射，后臺(tái)同步。分別在節(jié)點(diǎn)1和節(jié)點(diǎn)2進(jìn)行如下操作：先查看機(jī)器有幾塊HBA卡# ls/sys/class/fc_host/host1host2host3寫入"-"到“scan”文件，有幾張HBA卡就寫幾次。#ec

28、ho"">/sys/class/scsi_host/host1/scan# echo"">/sys/class/scsi_host/host2/scan# echo"">/sys/class/scsi_host/host3/scan然后就可以通過如下命令查看新增的磁盤#fdisk-l3、使用UDEV綁定磁盤以root用戶登錄數(shù)據(jù)庫服務(wù)器節(jié)點(diǎn)1,修改以下文件：vi/etc/udev/rules.d/99-oracle.rules添加以下內(nèi)容：KERNEL="dm-*",PROGRAM="s

29、csi_id-page=0x83一-whitelisted-device=/dev/%k",RESULT="3600a3495d474c457a4c62",OWNER:="grid",GROUP:="asmadmin"KERNEL="dm-*",PROGRAM="scsi_id-page=0x83-whitelisted-device=/dev/%k",RESULT="3600a3495d474c457a4c4c",OWNER:="grid",G

30、ROUP:="asmadmin"有幾塊盤，添加幾條，RESULT結(jié)果是WWWN號(hào)以root用戶登錄數(shù)據(jù)庫服務(wù)器節(jié)點(diǎn)2,修改以下文件：vi/etc/udev/rules.d/99-oracle.rules添加以下內(nèi)容：KERNEL="dm-*",PROGRAM="scsi_id-page=0x83-whitelisted-device=/dev/%k",RESULT="3600a3495d474c457a4c62",OWNER:="grid",GROUP:="asmadmin"

31、KERNEL="dm-*",PROGRAM=""scsi_id-_page=0x83-whitelisted-device=/dev/%k",RESULT="3600a3495d474c457a4c4c",OWNER:="grid"",GROUP:="asmadmin"有幾塊盤，添加幾條，RESULT結(jié)果是WWWN號(hào)4、查看磁盤所有者及權(quán)限通過udev相關(guān)命令重新掃描硬件改動(dòng)：（此處謹(jǐn)慎操作，注意數(shù)據(jù)庫狀態(tài)）# udevadmcontrol-reload-rules# ude

32、vadmtrigger-type=devices-action=change在/dev/目錄下查看存儲(chǔ)磁盤asm-disk$i#cd/dev/#llgrepasm-disk注意磁盤權(quán)限跟進(jìn)數(shù)據(jù)庫安裝要求進(jìn)行配置，一般權(quán)限為grid：grid后續(xù)查看ASM空間情況、進(jìn)行ASM相關(guān)配置。3.12CVE漏洞軟件包版本請務(wù)必安裝以下對應(yīng)無漏洞版本軟件包。Bash版本要求：RedHatEnterpriseLinux6bash-4.1.2-15.el6_5.2RedHatEnterpriseLinux5bash-3.2-33.el5_11.4RedHatEnterpriseLinux4bash-3.0-2

33、7.el4.4RedHatEnterpriseLinux7bash-4.2.45-5.el7_0.4OpenSSH版本要求：RedHatEnterpriseLinux6openssh-6.9p1RedHatEnterpriseLinux5openssh-6.9p1OpenSSL版本要求：RedHatEnterpriseLinux6affectedopenssl-1.0.2dRedHatEnterpriseLinux5notaffectedopenssl-1.0.2dGlibc漏洞修復(fù)版本要求：RedHatEnterpriseLinuxServer5glibc-2.5-123.el5_11.1.

34、x86_64RedHatEnterpriseLinuxServer6glibc-2.12-1.149.el6_6.5.x86_644 補(bǔ)丁4.1系統(tǒng)補(bǔ)?。▋H供參考）如廠商對安裝的Linux操作系統(tǒng)版本有安全公告的，需進(jìn)行對應(yīng)的補(bǔ)丁升級。系統(tǒng)補(bǔ)丁安裝方法為（以下示例若無特別說明，均以RedHatLinux為例）：使用up2date命令自動(dòng)升級或在下載對應(yīng)版本補(bǔ)丁手工單獨(dú)安裝。對于企業(yè)版5及之后的版本，可以直接使用yum工具進(jìn)行系統(tǒng)補(bǔ)丁升級：yumupdate4.2其他應(yīng)用補(bǔ)丁（僅供參考）除Linux開發(fā)商官方提供的系統(tǒng)補(bǔ)丁之外，基于Linux系統(tǒng)開發(fā)的服務(wù)和應(yīng)用（如APACHE、PHP、OPEN

35、SSL、MYSQL等）也必須安裝最新的安全補(bǔ)丁。以RedHatLinux為例，具體安裝方法為：首先確認(rèn)機(jī)器上安裝了gcc及必要的庫文件。然后再應(yīng)用官方網(wǎng)站下載對應(yīng)的源代碼包，如*.tar.gz，并解壓：tarzxfv*.tar.gz根據(jù)使用情況對編譯配置進(jìn)行修改，或直接采用默認(rèn)配置。cd*./configure進(jìn)行編譯和安裝：makemakeinstall注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容、或者影響當(dāng)前應(yīng)用系統(tǒng)的情況。安裝補(bǔ)丁前，應(yīng)該在測試機(jī)上進(jìn)行測試。5 主機(jī)名、賬號(hào)和口令安全配置基線5.1主機(jī)命名規(guī)范為區(qū)分不同主機(jī)的不同功能，我們對主機(jī)名進(jìn)行統(tǒng)一命名，命名方式按以下規(guī)則:主機(jī)名=平臺(tái)

36、名-應(yīng)用服務(wù)器名-IP后兩位；例如，個(gè)帳nginx服務(wù)器2，主機(jī)名應(yīng)該設(shè)置為：grzh-ngi'nX-168-82其中平臺(tái)名按照平臺(tái)的全程縮寫，如：個(gè)人賬戶=grzh應(yīng)用服務(wù)器按照實(shí)際應(yīng)用起名，如：apache=apacheIP即ip的后兩位下面舉例個(gè)人賬戶平臺(tái)nginx應(yīng)用服務(wù)器為例，假設(shè)其內(nèi)網(wǎng)IP為2那么舉例如下：修改主機(jī)名，及對應(yīng)的IP運(yùn)行如下命令echo“2grzh-nginx-168-82”>>/etc/hosts生效當(dāng)前配置運(yùn)行如下命令hostnamegrzh-nginx-168-82對/e

37、tc/sysconfg/network、/etc/hosts都要進(jìn)行修改注：主機(jī)命名中，只能包含字母、數(shù)字、連字符(-'),并且名稱不能以連字符結(jié)尾?！斑B字符”英文名稱“hyphen”，不是中劃線，請務(wù)必區(qū)別。5.2賬號(hào)安全控制要求系統(tǒng)中的臨時(shí)測試賬號(hào)、過期無用賬號(hào)等必須被刪除或鎖定。以RedHatLinux為例，設(shè)置方法如下：5.3 口令策略配置要求要求設(shè)置口令策略以提高系統(tǒng)的安全性。例如要將口令策略設(shè)置為：非root用戶強(qiáng)制在90天內(nèi)更改口令、之后的10天之內(nèi)禁止更改口令、用戶在口令過期的28天前接受到系統(tǒng)的提示、口令的最小長度為8位。以RedHatLinux為例，可在/etc/l

38、ogin.defs文件中進(jìn)行如下設(shè)置：05.4 口令復(fù)雜度和密碼鎖定策略配置要求要求口令輸錯(cuò)6次鎖定300秒，設(shè)定口令輸錯(cuò)三次斷開連接，最少8位，最少1位小寫字母，最少1位數(shù)字，最少一位特殊符號(hào)。以RedHatLinux為例，在/etc/pam.d/system-auth進(jìn)行如下設(shè)置：（redhat5.1以上版本支持pam_tally2.so,其他版本使用pam_tally.so）叵|5.5 口令重復(fù)次數(shù)限制配置要求要求口令重復(fù)不能超過5次。以RedHatLinux為例，在/etc/pam.d/system-auth進(jìn)行如下設(shè)置：115.6設(shè)置登錄Banner設(shè)置系統(tǒng)登錄Banner115.7

39、設(shè)置openssh登陸B(tài)anner通過配置文件配置openssh的Banner步驟1執(zhí)行如下命令創(chuàng)建sshbanner信息文件：5.8 Pam的設(shè)置指定wheel組用戶可以使用su命令vi/etc/pam.d/su可發(fā)看到如下內(nèi)容#authrequiredpam_wheel.souse_uid或#authrequired/lib/security/$ISA/pam_wheel.souse_uid去掉前面的注釋符“#”號(hào)。若沒有時(shí)可以添加，但注意順序。請?jiān)?Uncommentthefollowinglinetorequireausertobeinthe"wheel"group

40、.說明下的首行添加。5.9 root登錄策略的配置要求禁止直接使用root登陸，必須先以普通用戶pcloud登錄，然后再su成root。m（確保已正確配置了/etc/pam.d/su）將用戶pcloud加入wheel組：Usermod-Gwheelpcloud05.10root的環(huán)境變量基線root環(huán)境變量基線設(shè)置要求如表2-1所示：06 網(wǎng)絡(luò)與服務(wù)安全配置標(biāo)準(zhǔn)所有生產(chǎn)系統(tǒng)，不允許用管理員權(quán)限r(nóng)oot等用戶起應(yīng)用程序。常見的apache等中間件等所有服務(wù)請新建立普通用戶啟動(dòng)進(jìn)程。6.1最小化啟動(dòng)服務(wù)1、關(guān)閉防火墻、selinux執(zhí)行：chkconfig-level12345iptablesof

41、fchkconfig-level12345ip6tablesoff編輯/etc/selinux/config，修改為“SELINUX=disabled”禁用狀態(tài)2、Xinetd服務(wù)（可選）叵I3、關(guān)閉郵件服務(wù)1）如果系統(tǒng)不需要作為郵件服務(wù)器，并不需要向外面發(fā)郵件，可以直接關(guān)閉郵件服務(wù)。S4、關(guān)閉圖形登錄服務(wù)（XWindows）在不需要圖形環(huán)境進(jìn)行登錄和操作的情況下，要求關(guān)閉XWindows.n5、關(guān)閉Xfont服務(wù)器服務(wù)如果關(guān)閉了XWindows服務(wù)，則Xfont服務(wù)器服務(wù)也應(yīng)該進(jìn)行關(guān)閉。6、關(guān)閉其他默認(rèn)啟動(dòng)服務(wù)系統(tǒng)默認(rèn)會(huì)啟動(dòng)很多不必要的服務(wù)，有可能造成安全隱患。建議關(guān)閉以下不必要的服務(wù)：ap

42、mdcannaFreeWnngpmhpojinndirdaisdnkdcrotateIvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcupskrb5-telnetekrb5-telnet0在關(guān)閉上述服務(wù)后，應(yīng)同時(shí)對這些服務(wù)在系統(tǒng)中的使用的賬號(hào)（如rpc、rpcuser、lp、apache,

43、http、httpd、named>dns、mysql.postgres、squid等）予以鎖定或刪除。6.2最小化xinetd網(wǎng)絡(luò)服務(wù)1、停止默認(rèn)服務(wù)要求禁止以下Xinetd默認(rèn)服務(wù)：chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices叵|2、其他對于xinet必須開放的服務(wù)，應(yīng)該注意服務(wù)軟件的升級和安全配置，并推薦使用SSH

44、和SSL對原明文的服務(wù)進(jìn)行替換。7 文件與目錄安全配置7.1臨時(shí)目錄權(quán)限配置標(biāo)準(zhǔn)臨時(shí)目錄/tmp./var/tmp必須包含粘置位，以避免普通用戶隨意刪除由其他用戶創(chuàng)建的文件。gj7.2重要文件和目錄權(quán)限配置標(biāo)準(zhǔn)在Linux系統(tǒng)中，/usr/bin./bin./sbin目錄為可執(zhí)行文件目錄，/etc目錄為系統(tǒng)配置目錄，包括賬號(hào)文件、系統(tǒng)配置、網(wǎng)絡(luò)配置文件等，這些目錄和文件相對重要。重要文件及目錄的權(quán)限配置標(biāo)準(zhǔn)必須按照表4-1進(jìn)行配置。n7.3umask配置標(biāo)準(zhǔn)umask命令用于設(shè)置新創(chuàng)建文件的權(quán)限掩碼。要求編輯/etc/profile文件，設(shè)置umask為027。7.4 coredump狀態(tài)執(zhí)行

45、：more/etc/security/limits.conf檢查是否包含下列項(xiàng)：* softcore0* hardcore0建議：關(guān)閉系統(tǒng)的coredumpcoredump中可能包括系統(tǒng)信息，易被入侵者利用7.5 ssh的安全設(shè)置vi/etc/ssh/sshd_config設(shè)定下列選項(xiàng)PermitRootLoginno禁止root用戶直接登錄UseDNSno禁用解析/etc/init.d/sshdrestart設(shè)置完重啟sshd服務(wù)7.6bash歷史記錄為了安全的記錄登陸用戶所使用的命令內(nèi)容和時(shí)間，請?jiān)?etc/profile下添加如下腳本：TMOUT=300HISTSIZE=2000此行在原

46、有配置上修改數(shù)字便可HISTTIMEFORMAT="%F-%T:"為使全局變量生效，運(yùn)行如下命令source/etc/profile7.7其他注意事項(xiàng)如果服務(wù)器安裝有ftp,請限制ftp用戶的根目錄，不允許匿名用戶登錄ftp服務(wù)器，不允許root登錄ftp服務(wù)器，將ftp用戶的bash改成false或nologin，將ftp的登錄banner改成非系統(tǒng)默認(rèn)。關(guān)閉本地的iptables和selinux8 系統(tǒng)Banner的配置要求修改系統(tǒng)banner，以避免泄漏操作系統(tǒng)名稱、版本號(hào)、主機(jī)名稱等，并且給出登陸告警信息。1. 修改/etc/issue文件，加入：ATTENTION

47、:Youhaveloggedontoasecuredserver.ONLYAuthorizeduserscanaccess.2. 修改/etc/文件，加入：ATTENTION:Youhaveloggedontoasecuredserver.ONLYAuthorizeduserscanaccess.9防病毒軟件安裝為了服務(wù)器的安裝，安裝完統(tǒng)一安裝防病毒軟件具體安裝方法見上海某運(yùn)營商SAVforLinux客戶端安裝配置維護(hù)手冊防病毒軟件介質(zhì)通過ftp下載：地址：端口：用戶名：密鑰：10ITSM監(jiān)控agent安裝為了實(shí)現(xiàn)對主機(jī)運(yùn)行狀態(tài)的監(jiān)控，需要安裝ITSM監(jiān)控代理。通過FTP服務(wù)器上傳安裝文件(nimldr.tar.Zn至服務(wù)器/tmp目錄下。具體操作步驟如下：chmod+xnimldr.tar#增加可執(zhí)行權(quán)限./nimldr#執(zhí)行安裝在安裝的過程中須要注意以下幾點(diǎn)：安裝需要使用root權(quán)限。安裝過程中需要輸入的HUB的IP是：1安裝中需要輸入