linux系統(tǒng)安全加固規(guī)范

-.z.Linu*主機操作系統(tǒng)加固標(biāo)準(zhǔn)目錄第1章概述31.1目的錯誤！未定義書簽。1.2適用范圍錯誤！未定義書簽。1.3適用版本錯誤！未定義書簽。1.4實施錯誤！未定義書簽。1.5例外條款錯誤！未定義書簽。第2章賬號管理、認(rèn)證授權(quán)32.1賬號3用戶口令設(shè)置3用戶遠(yuǎn)程登錄限制3檢查是否存在除root之外UID為0的用戶3用戶環(huán)境變量的平安性32.2認(rèn)證錯誤！未定義書簽。遠(yuǎn)程連接的平安性配置3用戶的umask平安配置3重要目錄和文件的權(quán)限設(shè)置3查找未授權(quán)的SUID/SGID文件3檢查任何人都有寫權(quán)限的目錄3查找任何人都有寫權(quán)限的文件3檢查沒有屬主的文件3檢查異常隱含文件3第3章日志審計33.1日志3登錄事件記錄33.2審計3的配置審核3第4章系統(tǒng)文件34.1系統(tǒng)狀態(tài)3系統(tǒng)coredump狀態(tài)3_Toc224717185-.z.概述適用范圍本配置標(biāo)準(zhǔn)的使用者包括：效勞器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)平安管理員。適用版本LINU*系列效勞器；賬號管理、認(rèn)證授權(quán)賬號用戶口令設(shè)置平安基線工程名稱操作系統(tǒng)Linu*用戶口令平安基線要求項平安基線編號SBL-Linu*-02-01-01平安基線項說明**與口令-用戶口令設(shè)置檢測操作步驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比方：root/root,test/test,root/root12342、執(zhí)行：more/etc/login，檢查PASS_MA*_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE參數(shù)3、執(zhí)行：awk-F:'($2==""){print$1}'/etc/shadow,檢查是否存在空口令賬號基線符合性判定依據(jù)建議在/etc/login文件中配置：PASS_MIN_LEN=6不允許存在簡單密碼，密碼設(shè)置符合策略，如長度至少為6不存在空口令賬號備注root用戶遠(yuǎn)程登錄限制平安基線工程名稱操作系統(tǒng)Linu*遠(yuǎn)程登錄平安基線要求項平安基線編號SBL-Linu*-02-01-02平安基線項說明**與口令-root用戶遠(yuǎn)程登錄限制檢測操作步驟執(zhí)行：more/etc/securetty，檢查Console參數(shù)基線符合性判定依據(jù)建議在/etc/securetty文件中配置：CONSOLE=/dev/tty01備注檢查是否存在除root之外UID為0的用戶平安基線工程名稱操作系統(tǒng)Linu*超級用戶策略平安基線要求項平安基線編號SBL-Linu*-02-01-03平安基線項說明**與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：awk-F:'($3==0){print$1}'/etc/passwd基線符合性判定依據(jù)返回值包括"root〞以外的條目，則低于平安要求；備注補充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為0root用戶環(huán)境變量的平安性平安基線工程名稱操作系統(tǒng)Linu*超級用戶環(huán)境變量平安基線要求項平安基線編號SBL-Linu*-02-01-04平安基線項說明**與口令-root用戶環(huán)境變量的平安性檢測操作步驟執(zhí)行：echo$PATH|egrep'(^|:)(\.|:|$)'，檢查是否包含父目錄，執(zhí)行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組目錄權(quán)限為777的目錄基線符合性判定依據(jù)返回值包含以上條件，則低于平安要求；find`echo$PATH|tr':'''`-typed\(-perm-777-o-perm-777\)-ls注補充操作說明確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄遠(yuǎn)程連接的平安性配置平安基線工程名稱操作系統(tǒng)Linu*遠(yuǎn)程連接平安基線要求項平安基線編號SBL-Linu*-02-02-01平安基線項說明**與口令-遠(yuǎn)程連接的平安性配置檢測操作步驟執(zhí)行：find/-rc，檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find/-name.rhosts，檢查系統(tǒng)中是否有.rhosts文件基線符合性判定依據(jù)返回值包含以上條件，則低于平安要求；備注補充操作說明如無必要，刪除這兩個文件用戶的umask平安配置平安基線工程名稱操作系統(tǒng)Linu*用戶umask平安基線要求項平安基線項說明**與口令-用戶的umask平安配置檢測操作步驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認(rèn)的，則低于平安要求備注補充操作說明直接vi/etc/bashrc建議設(shè)置用戶的默認(rèn)umask=077數(shù)據(jù)庫機器不裝。重要目錄和文件的權(quán)限設(shè)置平安基線工程名稱操作系統(tǒng)Linu*目錄文件權(quán)限平安基線要求項平安基線編號SBL-Linu*-02-02-03平安基線項說明文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置檢測操作步驟執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：ls–l/etc/ls–l/etc/rc.d/init.d/ls–l/tmpls–l/etc/inetd.confls–l/etc/passwdls–l/etc/shadowls–l/etc/groupls–l/etc/securityls–l/etc/servicesls-l/etc/rc*.d基線符合性判定依據(jù)假設(shè)權(quán)限過低，則低于平安要求；備注補充操作說明對于重要目錄，建議執(zhí)行如下類似操作：#chmod-R750/etc/rc.d/init.d/*這樣只有root可以讀、寫和執(zhí)行這個目錄下的腳本。查找未授權(quán)的SUID/SGID文件平安基線工程名稱操作系統(tǒng)Linu*SUID/SGID文件平安基線要求項平安基線編號SBL-Linu*-02-02-04平安基線項說明文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件檢測操作步驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind/\(-perm-04000-o-perm-02000\)-typef-*dev-printDone基線符合性判定依據(jù)假設(shè)存在未授權(quán)的文件，則低于平安要求；備注補充操作說明建議經(jīng)常性的比照suid/sgid文件列表，以便能夠及時發(fā)現(xiàn)可疑的后門程序檢查任何人都有寫權(quán)限的目錄平安基線工程名稱操作系統(tǒng)Linu*目錄寫權(quán)限平安基線要求項平安基線編號SBL-Linu*-02-02-05平安基線項說明文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTin`awk'($3=="e*t2"||$3=="e*t3")\{print$2}'/etc/fstab`;dofind/-*dev-typed\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)假設(shè)返回值非空，則低于平安要求；備注查找任何人都有寫權(quán)限的文件平安基線工程名稱操作系統(tǒng)Linu*文件寫權(quán)限平安基線要求項平安基線編號SBL-Linu*-02-02-06平安基線項說明文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-*dev-typef\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)假設(shè)返回值非空，則低于平安要求；備注檢查沒有屬主的文件平安基線工程名稱操作系統(tǒng)Linu*文件所有權(quán)平安基線要求項平安基線編號SBL-Linu*-02-02-07平安基線項說明文件系統(tǒng)-檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的命令：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone注意：不用管"/dev〞目錄下的那些文件?；€符合性判定依據(jù)假設(shè)返回值非空，則低于平安要求；備注補充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有主人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄，先查看它的完整性，如果一切正常，給它一個主人。有時候卸載程序可能會出現(xiàn)一些沒有主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。檢查異常隱含文件平安基線工程名稱操作系統(tǒng)Linu*隱含文件平安基線要求項平安基線編號SBL-Linu*-02-02-08平安基線項說明文件系統(tǒng)-檢查異常隱含文件檢測操作步驟用"find〞程序可以查找到這些隱含文件。例如：#find/-name"..*"-print–*dev#find/-name"…*"-print-*dev|cat-v同時也要注意象".**〞和".mail〞這樣的文件名的。〔這些文件名看起來都很象正常的文件名〕基線符合性判定依據(jù)假設(shè)返回值非空，則低于平安要求；備注補充操作說明在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件〔點號是起始字符的，用"ls〞命令看不到的文件〕，因為這些文件可能是隱藏的黑客工具或者其它一些信息〔口令破解程序、其它系統(tǒng)的口令文件，等等〕。在UNI*下，一個常用的技術(shù)就是用一些特殊的名，如："…〞、"..〞〔點點空格〕或"..^G〞〔點點control-G〕，來隱含文件或目錄。日志審計日志syslog登錄事件記錄平安基線工程名稱操作系統(tǒng)Linu*登錄審計平安基線要求項平安基線編號SBL-