Linux系統(tǒng)安全配置基線

Linux系統(tǒng)平安配置基線目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述1目的i\o"CurrentDocument"適用范圍I\o"CurrentDocument"適用版本I\o"CurrentDocument"第2章安裝前準(zhǔn)備工作1\o"CurrentDocument"2.1需準(zhǔn)備的光盤1\o"CurrentDocument"第3章操作系統(tǒng)的根本安裝1\o"CurrentDocument"3.I根本安裝I\o"CurrentDocument"第4章賬號(hào)治理、認(rèn)證授權(quán)2賬號(hào)2用戶口令設(shè)置2

目名稱平安基線項(xiàng)說(shuō)明配置tcp_wrappers,限制允許遠(yuǎn)程登陸系統(tǒng)的IP范圍.檢測(cè)操作步驟1、參考配置操作編輯/etc/hosts.deny添加sshd：ALL編輯/etc/hosts.allow添加sshd：/#允許網(wǎng)段遠(yuǎn)程登陸sshd：/#允許網(wǎng)段遠(yuǎn)程登陸基線符合性判定依據(jù)1、判定條件只有網(wǎng)管網(wǎng)段可以ssh登陸系統(tǒng).2、檢測(cè)操作cat/etc/hosts.denycat/etc/hosts.allow備注對(duì)于不需要sshd效勞的無(wú)需配置該項(xiàng).中央機(jī)房以外的效勞器治理，暫時(shí)不做源地址限制.用戶的umask平安配置

平安基線項(xiàng)目名稱操作系統(tǒng)Linux用戶umask平安基線要求項(xiàng)平安基線項(xiàng)帳號(hào)與口令?用戶的umask平安配置說(shuō)明檢測(cè)操作步驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認(rèn)的，那么低于平安要求.備注補(bǔ)充操作說(shuō)明：vi/etc/profile建議設(shè)置用戶的默認(rèn)umask=077424查找未授權(quán)的SUID/SGID文件平安基線項(xiàng)目名稱操作系統(tǒng)LinuxSUID/SGID文件平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件檢測(cè)操作步驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序,執(zhí)行：forPARTin'grep-v"#/etc/fstab|awk'($6!="0"){print$2}"；dofind$PART\(-perm-04000-o-perm-02000\)-typef-xdev-printDone基線符合性判定依據(jù)假設(shè)存在未授權(quán)的文件,那么低于平安要求.備注補(bǔ)充操作說(shuō)明建議經(jīng)常性的比照suid/sgid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門程序425檢查任何人都有寫權(quán)限的目錄平安基線項(xiàng)操作系統(tǒng)Linux目錄寫權(quán)限平安基線要求項(xiàng)

目名稱平安基線項(xiàng)說(shuō)明文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄檢測(cè)操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTin'awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab'；dofind$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)假設(shè)返回值非空,那么低于平安要求.備注426查找任何人都有寫權(quán)限的文件

平安基線項(xiàng)目名稱操作系統(tǒng)Linux文件寫權(quán)限平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明文件系統(tǒng)?查找任何人都有寫權(quán)限的文件檢測(cè)操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin'grep-v"#/etc/fstab|awk'($6!="0"){print$2}"：dofind$PART-xdev-typef\(-perm-0002-aI-perm-1000\)-printDone基線符合性判定依據(jù)假設(shè)返回值非空,那么低于平安要求.備注檢查沒(méi)有屬主的文件平安基線項(xiàng)目名稱操作系統(tǒng)Linux文件所有權(quán)平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明文件系統(tǒng)?檢查沒(méi)有屬主的文件檢測(cè)操作步驟定位系統(tǒng)中沒(méi)有屬主的文件用下面的命令：forPARTin'grep-v"#/etc/fstab|awk'($6!="0"){print$2}"：dofind$PART-nouser-o-nogroup-printdone注意：不用管〃/dev"目錄下的那些文件基線符合性判定依據(jù)假設(shè)返回值非空,那么低于平安要求.備注補(bǔ)充操作說(shuō)明發(fā)現(xiàn)沒(méi)有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了.不能允許沒(méi)有屬主的文件存在.如果在系統(tǒng)中發(fā)現(xiàn)了沒(méi)有屬主的文件或目錄，先查看它的完整性,如果一切正常,給它一個(gè)屬主.有時(shí)候卸載程序可能會(huì)出現(xiàn)一些沒(méi)有屬主的文件或目錄,在這種情況下可以把這些文件和目錄刪除掉.428檢查異常隱含文件

平安基線項(xiàng)目名稱操作系統(tǒng)Linux隱含文件平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明文件系統(tǒng)?檢查異常隱含文件檢測(cè)操作步驟用“仙?”程序可以查找到這些隱含文件.例如：find/-name*"-print-xdevfind/-name-print-xdev|cat-v同時(shí)也要注意象"〃乂"和".mail”這樣的文件名的.1這些文件名看起來(lái)都很象正常的文件名）基線符合性判定依據(jù)假設(shè)返回值非空,那么低于平安要求.備注補(bǔ)充操作說(shuō)明在系統(tǒng)的每個(gè)地方都要杳看一下有沒(méi)有異常隱含文件（點(diǎn)號(hào)是起始字符的，用“l(fā)s〃命令看不到的文件），由于這些文件可能是隘藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件,等等）.在UNIX/LINUX下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“一〃、〃..”（點(diǎn)點(diǎn)空格）或“「G"（點(diǎn)點(diǎn)contro卜G）,來(lái)隱含文件或目錄.第5章日志審計(jì)5.1日志5.1.1syslog登錄事件記錄平安基線項(xiàng)目名稱操作系統(tǒng)Linux登錄審計(jì)平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明日志審計(jì)-syslog登錄事件記錄檢測(cè)操作步驟執(zhí)行命令：more/etc/syslog.conf查看參數(shù)authpriv值

Authpriv.*/var/log/secure基線符合性判定依據(jù)假設(shè)未對(duì)所有登錄事件都記錄,那么低于平安要求.備注5.2審計(jì)5.2.1Syslog.conf的配置審核平安基線項(xiàng)操作系統(tǒng)Linux配置審計(jì)平安基線要求項(xiàng)目名稱平安基線項(xiàng)開啟系統(tǒng)的審計(jì)功能,記錄用戶對(duì)系統(tǒng)的操作,包括但不限于賬號(hào)創(chuàng)立、刪說(shuō)明除，權(quán)限修改和口令修改.檢測(cè)操作步1、參考配置操作驟#chkconfigauditdon基線符合性1、判定條件判定依據(jù)系統(tǒng)能夠?qū)徲?jì)用戶操作.2、檢測(cè)操作chkconfig-listauditd用aureportsausearch查看審計(jì)日志.備注日志增強(qiáng)

平安基線項(xiàng)目名稱操作系統(tǒng)Linux日志增強(qiáng)要求項(xiàng)平安基線項(xiàng)使messages只可追加，使輪循的messages文件不可更改,從而預(yù)防非法訪說(shuō)明問(wèn)目錄或者刪除日志的操作檢測(cè)操作步驟執(zhí)行命令：Chattr+a/var/log/messagesChattr+i/var/log/messages.*Chattr+i/etc/shadowChattr+i/etc/passwdChattr+i/etc/group基線符合性判定依據(jù)使用Isattr判斷屬性備注系統(tǒng)事件審計(jì)平安基線項(xiàng)目名稱操作系統(tǒng)Linux登錄審計(jì)平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明日志審計(jì)-syslog系統(tǒng)平安事件記錄,方便治理員分析檢測(cè)操作步驟執(zhí)行命令：more/etc/syslog.conf查看參數(shù)：*.err;kern.debug;daemon.notice;Zvar/adm/messages基線符合性判定依據(jù)假設(shè)未對(duì)所有登錄事件都記錄,那么低于平安要求.備注

第6章其他配置操作系統(tǒng)狀態(tài)系統(tǒng)超時(shí)注銷平安基線項(xiàng)操作系統(tǒng)超時(shí)注銷要求項(xiàng)目名稱平安基線項(xiàng)設(shè)置帳號(hào)超時(shí)自動(dòng)注銷.說(shuō)明檢測(cè)操作步1、參考配置操作驟編輯/etc/profile文件,添加TMOUT=300用戶登陸后如果300秒內(nèi)沒(méi)有做任何操作，那么自動(dòng)注銷登陸.基線符合性1、判定條件判定依據(jù)用戶登陸后,在指定的時(shí)間內(nèi)沒(méi)進(jìn)行操作，可以自動(dòng)注銷.2、檢測(cè)操作登陸系統(tǒng)，在設(shè)定時(shí)間內(nèi)不做任何操作動(dòng)作，檢查是否注銷.備注Linux月艮務(wù)禁用不必要效勞平安基線項(xiàng)操作系統(tǒng)系統(tǒng)效勞治理平安基線要求項(xiàng)目名稱

平安基線項(xiàng)根據(jù)實(shí)際情況,關(guān)閉不必要的系統(tǒng)效勞，如：finger,kudzu,isdn,nfs,apm,說(shuō)明sound,pcmcia,vsftpd,rhnsd,Bluetooth,sendmail,lpd,netfs,telnet,RPC,imap等月月艮務(wù).檢測(cè)操作步驟grep-v/etc八netd.conf檢查不必要開后的效勞.#chkconfig-list#顯示效勞列表#chkconfigservicenameoff#關(guān)閉效勞自信動(dòng)#servicestopservicename#關(guān)閉指定效勞基線符合性判定依據(jù)在無(wú)特殊應(yīng)用情況下，假設(shè)有上述提到的效勞開啟，那么不符合要求.備注第7章持續(xù)改良本文件由XXX定期進(jìn)行審查,根據(jù)審查結(jié)果修訂標(biāo)準(zhǔn),并重新頒發(fā)執(zhí)行.TOC\o"1-5"\h\z\o"CurrentDocument"檢查是否存在除root之外UID為0的用戶3\o"CurrentDocument"檢查多余賬戶3\o"CurrentDocument"分配賬戶4\o"CurrentDocument"賬號(hào)鎖定5\o"CurrentDocument"檢查賬戶權(quán)限54.2認(rèn)證6\o"CurrentDocument"遠(yuǎn)程連接的平安性配置6\o"CurrentDocument"限制ssh連接的IP配置6\o"CurrentDocument"用戶的umask平安配置7\o"CurrentDocument"查找未授權(quán)的SUID/SGID文件8\o"CurrentDocument"檢查任何人都有寫權(quán)限的目錄8\o"CurrentDocument"查找任何人都有寫權(quán)限的文件9\o"CurrentDocument"檢杳沒(méi)有屬主的文件1..0.\o"CurrentDocument"檢查異常隱含文件1..0.\o"CurrentDocument"第5章日志審計(jì)11日志11\o"CurrentDocument"syslog登錄事件記錄11審計(jì)12\o"CurrentDocument"Syslog.conf的配置審核12\o"CurrentDocument"日志增強(qiáng)1.2..\o"CurrentDocument"syslog系統(tǒng)事件審計(jì)13\o"CurrentDocument"第6章其他配置操作14系統(tǒng)狀態(tài)14系統(tǒng)超時(shí)注銷1.4..LINUX效勞I4\o"CurrentDocument"禁用不必要效勞1..4.\o"CurrentDocument"第7章持續(xù)改良15第1章概述目的本文規(guī)定了Linux操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)平安性設(shè)置標(biāo)準(zhǔn),本文檔旨在指導(dǎo)系統(tǒng)管理人員或平安檢查人員進(jìn)行Linux操作系統(tǒng)的平安合規(guī)性檢查和配置.適用范圍本配置標(biāo)準(zhǔn)的使用者包括：效勞器系統(tǒng)治理員、平安治理員和相關(guān)使用人員.本配置標(biāo)準(zhǔn)適用的范圍包括：Linux效勞器.適用版本適用于RedhatAS5.第2章安裝前準(zhǔn)備工作2.1需準(zhǔn)備的光盤從RedHat官網(wǎng)下載高級(jí)企業(yè)效勞器版操作系統(tǒng)，并制作成光盤.第3章操作系統(tǒng)的根本安裝3.1根本安裝(1)應(yīng)在隔離網(wǎng)絡(luò)進(jìn)行安裝?選擇川夕。01方式,根據(jù)最小化原那么,僅安裝需要的軟件包?（2）根據(jù)效勞器的實(shí)際用途來(lái)確實(shí)是否需要給/VAR,/HOME劃分單獨(dú)的分區(qū).（3）安裝完成后盡快通過(guò)適宜可行的方式安裝重要的補(bǔ)丁程序.第4章賬號(hào)治理、認(rèn)證授權(quán)賬號(hào)用戶口令設(shè)置

平安基線項(xiàng)目名稱操作系統(tǒng)Linux用戶口令平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明帳號(hào)與口令-用戶口令設(shè)置,配置用戶口令強(qiáng)度檢查到達(dá)12位，要求用戶口令包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類.檢測(cè)操作步驟1、詢問(wèn)治理員是否存在如下類似的簡(jiǎn)單用戶密碼配置，比方：root/root,test/test,root/root12342、執(zhí)行：more/etc/login,檢查PASS_MIN_LEN12PASS_MAX_DAYS90PASS_WARN_AGE73、執(zhí)行：awk-F:<$2==""){print$1}，/etc/shadow,檢查是否存在空口令賬號(hào)4、編輯/etc/pam.d/system-auth文件，將passwordrequisitepam_cracklib.sotry_first_passretry=3改為passwordrequisitepam_cracklib.sotry_first_passretry=3dcredit=-1ocredit=-1基線符合性不允許存在簡(jiǎn)單密碼,密碼設(shè)置至少包括一個(gè)數(shù)字和一個(gè)特殊字符,長(zhǎng)度至判定依據(jù)少為12位檢查greppam_cracklib/etc/pam.d/system-auth修改已有用戶的口令生存期和過(guò)期告警天數(shù)#chage-M90-W7htscjemp備注檢查是否存在除root之外UID為0的用戶平安基線項(xiàng)目名稱操作系統(tǒng)Linux超級(jí)用戶策略平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明帳號(hào)與口令-檢查是否存在除root之外UID為0的用戶檢測(cè)操作步驟執(zhí)行：awk-F：'($3==0){print$1}'/etc/passwd基線符合性判定依據(jù)返回值包括“root"以外的條禮那么低于平安要求.備注補(bǔ)充操作說(shuō)明UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán),保證只有root用戶的UID為0檢查多余賬戶平安基線項(xiàng)操作系統(tǒng)Linux無(wú)用賬戶策略平安基線要求項(xiàng)目名稱

備注平安基線項(xiàng)帳號(hào)與口令-檢查是否存在如下不必要賬戶：Ip,sync,shutdown,halt,news,說(shuō)明uucp,operator,games,gopher等，檢測(cè)操作步執(zhí)行：cat/etc/passwd驟如果不使用，用以下命令進(jìn)行刪除.#delusertestOI基線符合性如發(fā)現(xiàn)上述賬戶，那么低于平安要求.如主機(jī)存在gnone,那么需要保存games賬判定依據(jù)號(hào)分配賬戶平安基線項(xiàng)目名稱操作系統(tǒng)Linux賬戶策略平安基線要求項(xiàng)平安基線項(xiàng)說(shuō)明給不同的用戶分配不同的帳號(hào),預(yù)防多個(gè)用戶共享帳號(hào).至少分配root,auditor,operator角色.檢測(cè)操作步驟1、參考配置操作#useraddauditor#新建帳號(hào)#passwdauditor#設(shè)置口令#chmod700-auditor#修改用戶主目錄權(quán)限，保證只有該用戶可以讀寫#vi/etc/passwd注釋掉不用的賬戶auditor#停用不用的賬戶基線符合性判定依據(jù)1、判定條件用新建的用戶登陸系統(tǒng)成功,可以做常用的操作，用戶不能訪問(wèn)其他用戶的主目錄