Linux安全配置基線_第1頁(yè)
Linux安全配置基線_第2頁(yè)
Linux安全配置基線_第3頁(yè)
Linux安全配置基線_第4頁(yè)
Linux安全配置基線_第5頁(yè)
已閱讀5頁(yè),還剩28頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

杭州安恒信息技術(shù)有限公司Linux系統(tǒng)安全配置基線葭蹣P杭州安恒信息技術(shù)有限公司2016年12月TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"第2章 本地策略 2帳戶與口令檢查策略 2檢查系統(tǒng)中是否存在口令為空的帳戶 2\o"CurrentDocument"檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶 2\o"CurrentDocument"檢查是否按用戶分配帳號(hào) 2\o"CurrentDocument"檢查密碼最小長(zhǎng)度 3\o"CurrentDocument"檢查密碼過(guò)期時(shí)間 3\o"CurrentDocument"檢查密碼最大重試次數(shù) 3\o"CurrentDocument"檢查是否配置口令復(fù)雜度策略 4\o"CurrentDocument"檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼 4\o"CurrentDocument"檢查口令過(guò)期前警告天數(shù) 5\o"CurrentDocument"檢查口令更改最小間隔天數(shù) 5\o"CurrentDocument"檢查是否使用PAM認(rèn)證模塊禁止WHEEL組之外的用戶SU為ROOT 5\o"CurrentDocument"檢查密碼重復(fù)使用次數(shù)限制 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"檢查系統(tǒng)是否開(kāi)啟了日志功能 6\o"CurrentDocument"檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能 7\o"CurrentDocument"檢查是否對(duì)登錄進(jìn)行日志記錄 7\o"CurrentDocument"檢查是否記錄用戶對(duì)設(shè)備的操作 7\o"CurrentDocument"檢查SYSLOG-NG是否配置安全事件日志 8\o"CurrentDocument"檢查RSYSLOG是否配置安全事件日志 8\o"CurrentDocument"檢查SYSLOG是否配置安全事件日志 9\o"CurrentDocument"檢查是否配置SU命令使用情況記錄 9\o"CurrentDocument"檢查是否配置遠(yuǎn)程日志功能 9\o"CurrentDocument"檢查是否啟用cron行為日志功能 10\o"CurrentDocument"檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范 11系統(tǒng)內(nèi)核配置 11\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由 11\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報(bào)文 11\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-send_REDiREcTS配置 12\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-iP_FORWARD配置 12檢查系統(tǒng)內(nèi)核參數(shù)配置ICMP_ECHO_IGNORE_BROADCASTS配置 13\o"CurrentDocument"信息隱藏 13\o"CurrentDocument"檢查是否設(shè)置ssh登錄前警告Banner 13\o"CurrentDocument"檢查是否設(shè)置ssh登錄后警告Banner 14\o"CurrentDocument"檢查是否修改默認(rèn)FTPBanner設(shè)置 14\o"CurrentDocument"檢查telnetBanner設(shè)置 14\o"CurrentDocument"服務(wù)端口啟動(dòng)項(xiàng) 15\o"CurrentDocument"檢查是否啟用SSH服務(wù) 15\o"CurrentDocument"檢查是否啟用了TALK服務(wù) 15\o"CurrentDocument"檢查是否啟用了NTALK服務(wù) 16\o"CurrentDocument"檢查是否啟用了SENDMAIL服務(wù) 16\o"CurrentDocument"禁止root帳戶登錄FTP(vsftp) 17\o"CurrentDocument"禁止匿名FTP(vsftp) 17\o"CurrentDocument"檢查設(shè)備是否已禁用TELNET服務(wù) 17\o"CurrentDocument"檢查是否關(guān)閉不必要的服務(wù)和端口 18文件目錄權(quán)限 18\o"CurrentDocument"檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄 18\o"CurrentDocument"檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件 18\o"CurrentDocument"檢查是否存在權(quán)限不安全的重要日志文件 19\o"CurrentDocument"檢查系統(tǒng)當(dāng)前的UMAsK 19\o"CurrentDocument"檢查擁有SUID和SGID權(quán)限的文件 20檢查/usr/bin用錄下可執(zhí)行文件的擁有者屬性是否合規(guī) 20\o"CurrentDocument"訪問(wèn)權(quán)限 21\o"CurrentDocument"檢查FTP用戶上傳的文件所具有的權(quán)限 21\o"CurrentDocument"檢查系統(tǒng)是否啟用了SUDo命令 21\o"CurrentDocument"檢查系統(tǒng)是否允許root帳戶SSH遠(yuǎn)程登錄 22\o"CurrentDocument"檢查系統(tǒng)是否允許ROOT帳戶TELNET遠(yuǎn)程登錄 22\o"CurrentDocument"檢查是否綁定可訪問(wèn)主機(jī)的ip或ip段 23\o"CurrentDocument"檢查是否允許所有ip訪問(wèn)主機(jī) 23\o"CurrentDocument"HOSTS.DENY文件設(shè)置SSHD: ALL 23其他安全配置 24檢查登錄超時(shí)鎖定時(shí)間 24\o"CurrentDocument"檢查root用戶的PATH環(huán)境變量是否包含相對(duì)路徑 24\o"CurrentDocument"檢查root用戶的PATH環(huán)境變量是否包含相對(duì)路徑 24\o"CurrentDocument"檢查ssh協(xié)議是否使用ssh2 25\o"CurrentDocument"檢查啟用系統(tǒng)CoREDUMP設(shè)置 25\o"CurrentDocument"檢查是否修改SNMP默認(rèn)團(tuán)體字 25\o"CurrentDocument"檢查系統(tǒng)是否禁用CTRL+ALT+DEL組合鍵 26\o"CurrentDocument"檢查是否關(guān)閉系統(tǒng)信任機(jī)制 26\o"CurrentDocument"檢查記錄歷史命令條數(shù)設(shè)置 26\o"CurrentDocument"檢查是否刪除了潛在危險(xiǎn)文件 27\o"CurrentDocument"檢查磁盤(pán)使用率 27\o"CurrentDocument"檢查是否關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能(適用于不做路由功能的系統(tǒng)) 28\o"CurrentDocument"檢查是否關(guān)閉IP偽裝和綁定多IP功能 28\o"CurrentDocument"檢查/etc/aliase是否禁用不必要的別名文件 28\o"CurrentDocument"檢查是否配置定時(shí)自動(dòng)屏幕鎖定(適用于具備圖形界面的設(shè)備) 29\o"CurrentDocument"檢查是否安裝CHKROOTKIT進(jìn)行系統(tǒng)監(jiān)測(cè) 30\o"CurrentDocument"檢查系統(tǒng)是否開(kāi)啟ASLR 30第1章概述目的本文檔規(guī)范了杭州安恒信息技術(shù)有限公司對(duì)于安裝有Linux操作系統(tǒng)的主機(jī)進(jìn)行加固時(shí)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn),本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Linux操作系統(tǒng)的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括:服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括:Linux服務(wù)器系統(tǒng)。第2章本地策略帳戶與口令檢查策略檢查系統(tǒng)中是否存在口令為空的帳戶安全基線項(xiàng)目名稱檢查系統(tǒng)中是否存在口令為空的帳戶安全基線項(xiàng)說(shuō)明系統(tǒng)中不應(yīng)存在口令為空的帳戶檢測(cè)與加固步驟輸入命令:cat/etc/shadow,查看是否有未設(shè)置口令的帳戶基線符合性判定依據(jù)帳戶必須配置密碼備注2.1.2檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶安全基線項(xiàng)目名稱檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶安全基線項(xiàng)說(shuō)明用戶的UID大于500的都是非系統(tǒng)賬號(hào),500以下的都為系統(tǒng)保留的賬號(hào),比如root賬號(hào),至高權(quán)限的賬號(hào)的UID為0,我們創(chuàng)建用戶的時(shí)候默認(rèn)的賬號(hào)的UID都是大于500,系統(tǒng)中不應(yīng)存在UID與root帳戶相同的帳戶,該設(shè)置將導(dǎo)致該帳戶擁有與root帳戶相同權(quán)限。檢測(cè)與加固步驟輸入命令:cat/etc/passwd1grep:x:0,查看輸入結(jié)果中是否有非root帳戶,基線符合性判定依據(jù)不存在uid為0的非root帳戶備注2.1.3檢查是否按用戶分配帳號(hào)安全基線項(xiàng)目名稱檢查是否按用戶分配帳號(hào)安全基線項(xiàng)說(shuō)明按照用戶角色分配不同權(quán)限,確保用戶權(quán)限的最小化,避免越權(quán)操作

檢測(cè)與加固步驟1、執(zhí)行:#more/etc/passwd查看系統(tǒng)中存在的用戶,確認(rèn)每個(gè)帳戶的home路徑及啟動(dòng)shell;2、與管理員確認(rèn)需要鎖定的帳戶基線符合性判定依據(jù)不存在無(wú)關(guān)用戶備注2.1.4檢查密碼最小長(zhǎng)度安全基線項(xiàng)目名稱檢查密碼最小長(zhǎng)度安全基線項(xiàng)說(shuō)明檢查密碼最小長(zhǎng)度檢測(cè)與加固步驟查看/etc/login.defs文件,查看PASS_MIN_LEN參數(shù)值基線符合性判定依據(jù)大于等于8備注2.1.5檢查密碼過(guò)期時(shí)間安全基線項(xiàng)目名稱檢查密碼過(guò)期時(shí)間安全基線項(xiàng)說(shuō)明長(zhǎng)期不修改密碼會(huì)提高密碼暴露風(fēng)險(xiǎn),建議密碼生存周期不超過(guò)90天檢測(cè)與加固步驟查看/etc/login.defs文件,查看PASS_MAX_DAYS參數(shù)值基線符合性判定依據(jù)小于等于60天備注2.1.6檢查密碼最大重試次數(shù)安全基線項(xiàng)目名稱檢查密碼最大重試次數(shù)安全基線項(xiàng)說(shuō)明配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)5次(不含5次),鎖定該用戶使用的賬號(hào)。

注意僅對(duì)自然人使用的帳號(hào)做此限制。檢測(cè)與加固步驟輸入cat/etc/pam.d/sshd1greppam_tally2.so,查看deny參數(shù)設(shè)置值基線符合性判定依據(jù)小于等于5備注2.1.7檢查是否配置口令復(fù)雜度策略安全基線項(xiàng)目名稱檢查是否配置口令復(fù)雜度策略安全基線項(xiàng)說(shuō)明開(kāi)啟密碼復(fù)雜度策略,大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符至少支持3種檢測(cè)與加固步驟查看/etc/pam.d/system-auth文件中passwordrequisitepam_cracklib.so配置,例如:passwordrequisitepam_cracklib.soucredit=-1lcredit=-1dcredit=-1注:ucredit:大寫(xiě)字母?jìng)€(gè)數(shù);lcredit:小寫(xiě)字母?jìng)€(gè)數(shù);4仃?4也數(shù)字個(gè)數(shù);ocredit:特殊字符個(gè)數(shù)?;€符合性判定依據(jù)符合復(fù)雜度要求備注2.1.8檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼安全基線項(xiàng)目名稱檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼安全基線項(xiàng)說(shuō)明檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼檢測(cè)與加固步驟配置一:1.請(qǐng)確認(rèn)系統(tǒng)引導(dǎo)器的類(lèi)型為grub,如果不為grub,則忽略此檢查點(diǎn)。2.如果/boot/grub/menu.lst文件存在,編輯/boot/grub/menu.lst文件,設(shè)置password=*(*為需要設(shè)置的密碼。3.如果不存在,請(qǐng)檢查grub是否正確安裝,或/boot/grub/menu.lst文件是否被更名。配置二:1.請(qǐng)確認(rèn)系統(tǒng)引導(dǎo)器的類(lèi)型為lilo,如果不為lilo,則忽略此檢查點(diǎn)。2.如果/etc/lilo.conf文件存在,編輯/etc/lilo.conf文件,設(shè)置password=*(*為需要設(shè)置的密碼。3.如果不存在,請(qǐng)檢查lilo是否正確安裝,或/etc/lilo.conf文件是否被更名?;€符合性配置grub密碼

判定依據(jù)備注2.1.9檢查口令過(guò)期前警告天數(shù)安全基線項(xiàng)目名稱檢查口令過(guò)期前警告天數(shù)安全基線項(xiàng)說(shuō)明口令過(guò)期提前警告的天數(shù)檢測(cè)與加固步驟查看/etc/login.defs文件,檢查PASS_WARN_AGE參數(shù)值基線符合性判定依據(jù)大于等于7備注2.1.10檢查口令更改最小間隔天數(shù)安全基線項(xiàng)目名稱檢查口令更改最小間隔天數(shù)安全基線項(xiàng)說(shuō)明口令更改最小間隔天數(shù)檢測(cè)與加固步驟查看/etc/login.defs文件,檢查PASS_MIN_DAYS參數(shù)值基線符合性判定依據(jù)大于等于7備注2.1.11檢查是否使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root安全基線項(xiàng)目名稱檢查口令更改最小間隔天數(shù)安全基線項(xiàng)說(shuō)明口令更改最小間隔天數(shù)檢測(cè)與加固步驟編輯su文件(vi/etc/pam.d/su),在開(kāi)頭添加下面兩行:authsufficientpam_rootok.so和authrequiredpam_wheel.sogroup=wheel這表明只有wheel組的成員可以使用su命令成為root用戶。你可以把用戶添加到wheel組,

以使它可以使用su命令成為root用戶。添加方法為:usermod-Gwheelusername基線符合性判定依據(jù)禁止wheel組以外用戶使用su備注2.1.12檢查密碼重復(fù)使用次數(shù)限制安全基線項(xiàng)目名稱檢查密碼重復(fù)使用次數(shù)限制安全基線項(xiàng)說(shuō)明檢查密碼重復(fù)使用次數(shù)限制檢測(cè)與加固步驟編輯/etc/pam.d/system-auth文件,修改設(shè)置如下passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5補(bǔ)充操作說(shuō)明只需在passwordsufficient這一行加上remember=5即可基線符合性判定依據(jù)remember大于等于5備注日志配置檢查系統(tǒng)是否開(kāi)啟了日志功能安全基線項(xiàng)目名稱檢查系統(tǒng)是否開(kāi)啟了日志功能安全基線項(xiàng)說(shuō)明系統(tǒng)應(yīng)開(kāi)啟日志服務(wù),日志功能有助于記錄系統(tǒng)問(wèn)題、用戶訪問(wèn)操作、受到攻擊等等一系列操作,對(duì)于管理員防范危險(xiǎn)、日常管理有很重要的作用。檢測(cè)與加固步驟使用命令"servicesyslogdstart”或“servicersyslogdstart”啟動(dòng)日志服務(wù)(Centos6以前版本支持syslogd服務(wù),之后版本支持rsyslogd服務(wù),視具體系統(tǒng)而定)?;€符合性判定依據(jù)開(kāi)啟日志服務(wù)備注

檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能安全基線項(xiàng)目名稱檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能安全基線項(xiàng)說(shuō)明檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能檢測(cè)與加固步驟使用命令"serviceauditdstatus”查看服務(wù)狀態(tài)使用管理員權(quán)限輸入命令"serviceauditdstart”開(kāi)啟審計(jì)服務(wù),如無(wú)法開(kāi)啟或不存在服務(wù),請(qǐng)安裝審計(jì)安裝包(audit)后重新嘗試?;€符合性判定依據(jù)開(kāi)啟日志服務(wù)備注檢查是否對(duì)登錄進(jìn)行日志記錄安全基線項(xiàng)目名稱檢查是否對(duì)登錄進(jìn)行日志記錄安全基線項(xiàng)說(shuō)明檢查是否對(duì)登錄進(jìn)行日志記錄,使得登錄記錄可查檢測(cè)與加固步驟登錄日志文件為/var/log/wtmp/var/log/utmp.這2個(gè)文件中記錄著所有登錄過(guò)主機(jī)的用戶,時(shí)間,來(lái)源等內(nèi)容,這個(gè)文件不具可讀性,可用last命令來(lái)看。如果命令無(wú)結(jié)果,請(qǐng)聯(lián)系管理員基線符合性判定依據(jù)符合加固要求備注檢查是否記錄用戶對(duì)設(shè)備的操作安全基線項(xiàng)目名稱檢查是否對(duì)登錄進(jìn)行日志記錄安全基線項(xiàng)說(shuō)明檢查是否對(duì)登錄進(jìn)行日志記錄,使得登錄記錄可查檢測(cè)與加固步驟通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶的每一條命令進(jìn)行記錄,這一功能默認(rèn)是不開(kāi)放的,為了打開(kāi)它,需要安裝pacct工具,并執(zhí)行以下命令:#touch/var/log/pacct#accton/var/log/pacct執(zhí)行讀取命令lastcomm[username]-f/var/log/pacct

基線符合性判定依據(jù)符合加固要求備注檢查syslog-ng是否配置安全事件日志安全基線項(xiàng)目名稱檢查syslog-ng是否配置安全事件日志安全基線項(xiàng)說(shuō)明檢查syslog-ng是否配置安全事件日志檢測(cè)與加固步驟編輯/etc/syslog-ng/syslog-ng.conf酉己置:filterf_msgs{level(err)orfacility(kern)andlevel(debug)orfacility(daemon)andlevel(notice);};destinationmsgs{file("/var/adm/msgs");};log{source(src);filter(f_msgs);destination(msgs);};其中/var/adm/msgs為日志文件。如果該文件不存在,貝U創(chuàng)建該文件,命令為:touch/var/adm/msgs,并修改權(quán)限為666.命令為:chmod666/var/adm/msgs.重啟日志服務(wù):#/etc/init.d/syslogrestart基線符合性判定依據(jù)符合加固要求備注檢查rsyslog是否配置安全事件日志安全基線項(xiàng)目名稱檢查rsyslog是否配置安全事件日志安全基線項(xiàng)說(shuō)明檢查rsyslog是否配置安全事件日志檢測(cè)與加固步驟編輯/etc/rsyslog.conf配置:*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages為日志文件。如果該文件不存在,則創(chuàng)建該文件,命令為:touch/var/adm/messages,并修改權(quán)限為666.命令為:chmod666/var/adm/messages.重啟日志服務(wù):#/etc/init.d/rsyslogrestart基線符合性判定依據(jù)符合加固要求備注

檢查syslog是否配置安全事件日志安全基線項(xiàng)目名稱檢查syslog是否配置安全事件日志安全基線項(xiàng)說(shuō)明檢查syslog是否配置安全事件日志檢測(cè)與加固步驟編輯/etc/syslog.conf配置:*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages為日志文件。如果該文件不存在,則創(chuàng)建該文件,命令為:touch/var/adm/messages,并修改權(quán)限為666.命令為:chmod666/var/adm/messages.重啟日志服務(wù):#/etc/init.d/syslogrestart基線符合性判定依據(jù)符合加固要求備注檢查是否配置su命令使用情況記錄安全基線項(xiàng)目名稱檢查是否配置su命令使用情況記錄安全基線項(xiàng)說(shuō)明檢查是否配置su命令使用情況記錄檢測(cè)與加固步驟1.若啟用syslog則編輯/etc/syslog.conf,若啟用rsyslog則編輯/etc/rsyslog.conf,配置:authpriv.*/var/log/secure2.若啟用syslog-ng則U編輯:/etc/syslog-ng/syslog-ng.conf。配置:filterf_secure{facility(authpriv);};destinationpriverr{file("/var/log/secure");};log{source(src);filter(f_secure);destination(priverr);};3.倉(cāng)1J建/var/log/secure文件touch/var/log/secure4.重啟syslog月艮務(wù)#/etc/init.d/syslogrestarto基線符合性判定依據(jù)符合加固要求備注檢查是否配置遠(yuǎn)程日志功能安全基線項(xiàng)目名稱檢查是否配置遠(yuǎn)程日志功能安全基線項(xiàng)說(shuō)明檢查是否配置遠(yuǎn)程日志功能

檢測(cè)與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中配置destinationlogserver{ udp("0" port(514)); };log{source(src);destination(logserver);};可以將此處0替換為實(shí)際的IP;若啟用rsyslog日志則修改配置文件vi/etc/rsyslog.conf,加上這一行:*.*@可以將"*.*"替換為你實(shí)際需要的日志信息。比如:kern.*;mail.*等等??梢詫⒋颂幪鎿Q為實(shí)際的IP或域名。;若啟用syslog日志則修改配置文件vi/etc/syslog.conf,加上這一行:*.*@可以將"*.*"替換為你實(shí)際需要的日志信息。比如:kern.*;mail.*等等。可以將此處替換為實(shí)際的IP或域名?;€符合性判定依據(jù)符合加固要求備注檢查是否啟用cron行為日志功能安全基線項(xiàng)目名稱檢查是否啟用cron行為日志功能安全基線項(xiàng)說(shuō)明檢查是否啟用cron行為日志功能檢測(cè)與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中添加口filterf_cron{facility(cron);};destinationcron{file("/var/log/cron");};log{source(src);filter(f_cron);destination(cron);};其中/var/log/cron為日志文件。如果該文件不存在,則創(chuàng)建該文件,命令為:touch/var/log/cron,并修改權(quán)限為666.命令為:chmod666/var/log/cron;若啟用rsyslog日志則編輯/etc/rsyslog.conf文件,配置:cron.*/var/log/cron,其中/var/log/cron為日志文件。如果該文件不存在,則創(chuàng)建該文件,命令為:touch/var/log/cron,并修改權(quán)限為666.命令為:chmod666/var/log/cron;若啟用syslog日志則編輯/etc/syslog.conf文件,配置:cron.*/var/log/cron,其中/var/log/cron為日志文件。如果該文件不存在,則創(chuàng)建該文件,命令為:touch/var/log/cron,并修改權(quán)限為666.命令為:chmod666/var/log/cron?;€符合性判定依據(jù)符合加固要求

備注檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范安全基線項(xiàng)目名稱檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范安全基線項(xiàng)說(shuō)明檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范檢測(cè)與加固步驟檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范,建議保存一年內(nèi)的日志。修改/08/108101210(0比,右日志輪轉(zhuǎn)周期設(shè)置為weekly(默認(rèn))則修改rotate值為53,同理若周期為daily則rotate設(shè)置為365,若周期為monthly則設(shè)置為12基線符合性判定依據(jù)符合加固要求備注系統(tǒng)內(nèi)核配置檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由安全基線項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件cp-p/proc/sys/net/ipv4/conf/all/accept_source_route/proc/sys/net/ipv4/conf/all/accept_source_route.bak,執(zhí)行命令#sysctl-wnet.ipv4.conf.all.accept_source_route="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_source_route的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報(bào)文安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報(bào)文

安全基線項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件#cp-p/proc/sys/net/ipv4/conf/all/accept_redirects/proc/sys/net/ipv4/conf/all/accept_redirects.bak,執(zhí)行命令#sysctl-wnet.ipv4.conf.all.accept_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_redirects的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置安全基線項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件#cp-p/proc/sys/net/ipv4/conf/all/send_redirects/proc/sys/net/ipv4/conf/all/send_redirects.bak,執(zhí)行命令#sysctl-wnet.ipv4.conf.all.send_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/send_redirects的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置安全基線項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件#cp-p/proc/sys/net/ipv4/ip_forward/proc/sys/net/ipv4/ip_forward.bak,執(zhí)行命令 #sysctl-wnet.ipv4.ip_forward="0"并修改/proc/sys/net/ipv4/ip_forward的值為0基線符合性判定依據(jù)符合加固要求

備注檢查系統(tǒng)內(nèi)核參數(shù)配置icmp_echo_ignore_broadcasts酉己置安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-icmp_echo_ignore_broadcasts配置安全基線項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-icmp_echo_ignore_broadcasts配置檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件 #cp-p/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.bak,執(zhí)行命令#sysctl-wnet.ipv4.icmp_echo_ignore_broadcasts="1" 并 修 改/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts的值為1基線符合性判定依據(jù)符合加固要求備注信息隱藏檢查是否設(shè)置ssh登錄前警告Banner安全基線項(xiàng)目名稱檢查是否設(shè)置ssh登錄前警告Banner安全基線項(xiàng)說(shuō)明檢查是否設(shè)置ssh登錄前警告Banner檢測(cè)與加固步驟1.執(zhí)行如下命令創(chuàng)建sshbanner信息文件:#touch/etc/ssh_banner#chownbin:bin/etc/ssh_banner#chmod644/etc/ssh_banner#echo"您想設(shè)置的信息”>/etc/ssh_banner可根據(jù)實(shí)際需要修改該文件的內(nèi)容。2.修改/etc/ssh/sshd_config文件,添加如下行:Banner/etc/ssh_banner3.重啟sshd服務(wù):#/etc/init.d/sshdrestart基線符合性判定依據(jù)設(shè)置ssh登錄前警告Banner備注

檢查是否設(shè)置ssh登錄后警告Banner安全基線項(xiàng)目名稱檢查是否設(shè)置ssh登錄后警告Banner安全基線項(xiàng)說(shuō)明檢查是否設(shè)置ssh登錄后警告Banner檢測(cè)與加固步驟修改文件/etc/motd的內(nèi)容,如沒(méi)有該文件,則創(chuàng)建它。#echo"您想設(shè)置的信息”>/etc/motd根據(jù)實(shí)際需要修改該文件的內(nèi)容基線符合性判定依據(jù)設(shè)置ssh登錄后警告Banner備注檢查是否修改默認(rèn)FTPBanner設(shè)置安全基線項(xiàng)目名稱檢查是否修改默認(rèn)FTPBanner設(shè)置安全基線項(xiàng)說(shuō)明檢查是否修改默認(rèn)FTPBanner設(shè)置檢測(cè)與加固步驟修改vsftp回顯信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根據(jù)實(shí)際需要修改該文件內(nèi)容。重啟服務(wù):#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件:#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行,確保該行未被注釋。FortunesFile/usr/share/fortune/zippy編輯/usr/share/fortune/zippy文件(如沒(méi)有fortune文件夾或者zippy文件,則新建該文件夾或該文件):#vi/usr/share/fortune/zippy將自定義BANNER寫(xiě)入其中。重啟服務(wù):#/etc/init.d/pure-ftpdrestart基線符合性判定依據(jù)修改默認(rèn)FTPBanner設(shè)置備注檢查telnetBanner設(shè)置安全基線項(xiàng)目名稱檢查telnetBanner設(shè)置安全基線項(xiàng)說(shuō)明檢查telnetBanner設(shè)置

檢測(cè)與加固步驟修改vsftp回顯信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根據(jù)實(shí)際需要修改該文件內(nèi)容。重啟服務(wù):#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件:#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行,確保該行未被注釋。FortunesFile/usr/share/fortune/zippy編輯/usr/share/fortune/zippy文件(如沒(méi)有fortune文件夾或者zippy文件,則新建該文件夾或該文件):#vi/usr/share/fortune/zippy將自定義BANNER寫(xiě)入其中。重啟服務(wù):#/etc/init.d/pure-ftpdrestart基線符合性判定依據(jù)修改默認(rèn)FTPBanner設(shè)置備注服務(wù)端口啟動(dòng)項(xiàng)檢查是否啟用SSH服務(wù)安全基線項(xiàng)目名稱檢查是否啟用SSH服務(wù)安全基線項(xiàng)說(shuō)明telnet缺少對(duì)口令和用戶名的有效保護(hù)措施,所有數(shù)據(jù)采用明文傳輸方式,存在較大安全隱患,ssh采用加密方式保護(hù)用戶數(shù)據(jù),數(shù)據(jù)內(nèi)容和用戶信息更為安全。檢測(cè)與加固步驟使用命令"servicesshdstatus”查看ssh遠(yuǎn)程管理服務(wù)狀態(tài),如未啟動(dòng),則使用命令"servicesshdstart”基線符合性判定依據(jù)啟動(dòng)ssh服務(wù)備注檢查是否啟用了talk服務(wù)安全基線項(xiàng)目名稱檢查是否啟用了talk服務(wù)安全基線項(xiàng)linux中talk命令參數(shù)程序用于Internet上兩個(gè)用戶之間進(jìn)行“交談”:通過(guò)鍵說(shuō)明盤(pán)輸入“說(shuō)話”,通過(guò)看終端屏幕“聆聽(tīng)”。默認(rèn)系統(tǒng)不需要開(kāi)啟talk服務(wù)。

請(qǐng)禁用該服務(wù)。檢測(cè)與加固步驟編輯/etc/xinetd.d/talk文件,將啟用servicetalk的disable屬性值改為yes;如果發(fā)現(xiàn)/08笈達(dá)6144/目錄下包含ntalk文件,同時(shí)將ntalk文件中的disable屬性改為yes?;€符合性判定依據(jù)禁用該服務(wù)備注檢查是否啟用了ntalk服務(wù)安全基線項(xiàng)目名稱檢查是否啟用了ntalk服務(wù)安全基線項(xiàng)說(shuō)明ntalk服務(wù)主要用于linux上用戶之間交談,提供了與talk相同的功能服務(wù)。默認(rèn)系統(tǒng)不需要開(kāi)啟ntalk服務(wù)。請(qǐng)禁用該服務(wù)。檢測(cè)與加固步驟編輯/etc/xinetd.d/ntalk文件,將啟用servicentalk的disable屬性值改為yes?;€符合性判定依據(jù)禁用該服務(wù)備注檢查是否啟用了sendmail服務(wù)安全基線項(xiàng)目名稱檢查是否啟用了sendmail服務(wù)安全基線項(xiàng)說(shuō)明sendmail是使用smtp協(xié)議的郵件提交工具,承擔(dān)mta和MDA的作用。后臺(tái)進(jìn)程:sendmail;腳本:/etc/init.d/sendmail;使用端口:25(smtp);默認(rèn)系統(tǒng)不需開(kāi)啟該服務(wù)。請(qǐng)禁用該服務(wù)。檢測(cè)與加固步驟使用命令"servicesendmailstop”關(guān)閉當(dāng)前sendmail服務(wù);然后使用命令“chkconfigsendmailoff”關(guān)閉服務(wù)開(kāi)機(jī)自動(dòng)啟動(dòng)?;€符合性判定依據(jù)禁用該服務(wù)備注

禁止root帳戶登錄FTP(vsftp)安全基線項(xiàng)目名稱禁止root帳戶登錄FTP(vsftp)安全基線項(xiàng)說(shuō)明設(shè)置ftp權(quán)限及訪問(wèn),限制部分用戶的ftp訪問(wèn)權(quán)限,一般不允許root帳戶登錄FTP,需為其分配專用帳戶檢測(cè)與加固步驟編輯/etc/vsftpd/ftpusers,添加root,以禁止root帳戶登錄FTP。基線符合性判定依據(jù)符合加固要求備注禁止匿名FTP(vsftp)安全基線項(xiàng)目名稱禁止root帳戶登錄FTP(vsftp)安全基線項(xiàng)說(shuō)明不應(yīng)允許用戶匿名登錄FTP。檢測(cè)與加固步驟編輯/etc/vsftpd/vsftpd.conf文件(部分計(jì)算機(jī)該文件可能在/etc目錄下),anonymous_enable屬性值修改為NO。基線符合性判定依據(jù)符合加固要求備注檢查設(shè)備是否已禁用telnet服務(wù)安全基線項(xiàng)目名稱檢查設(shè)備是否已禁用telnet服務(wù)安全基線項(xiàng)說(shuō)明telnet缺少對(duì)口令和用戶名的有效保護(hù)措施,所有數(shù)據(jù)采用明文傳輸方式,存在較大安全隱患,ssh采用加密方式保護(hù)用戶數(shù)據(jù),數(shù)據(jù)內(nèi)容和用戶信息更為安全。檢測(cè)與加固步驟在/etc/services文件中,注釋掉telnet23/tcp一行(如不生效重啟telnetd服務(wù)或xinetd服務(wù)或系統(tǒng))基線符合性判定依據(jù)符合加固要求備注

檢查是否關(guān)閉不必要的服務(wù)和端口安全基線項(xiàng)目名稱檢查是否關(guān)閉不必要的服務(wù)和端口安全基線項(xiàng)說(shuō)明建議關(guān)閉不必要的端口及服務(wù)檢測(cè)與加固步驟運(yùn)行chkconfig--list查看當(dāng)前服務(wù)并執(zhí)行如chkconfig[--levellevels]kshelloff(注:levels為運(yùn)行級(jí)別,需要重啟機(jī)器)命令關(guān)閉服務(wù),建議關(guān)閉如下服務(wù)identlprinterlbootpsltftplkshelllkloginldaytimeltimelecholdiscardlchargenlsendmaillntalkllpdlnfslnfslocklypbind基線符合性判定依據(jù)符合加固要求備注文件目錄權(quán)限檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄安全基線項(xiàng)目名稱檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄安全基線項(xiàng)說(shuō)明權(quán)限777意思是該登錄帳戶、他所在的組和其他人都擁有讀、寫(xiě)、執(zhí)行權(quán)限,該權(quán)限為最高權(quán)限。環(huán)境變量目錄下不應(yīng)存在該權(quán)限目錄。檢測(cè)與加固步驟輸入命令ls-l'echo$PATH1tr": 2>/dev/nulll grepdrw[xsS]rw[xsS]rw[xsS]查看環(huán)境變量中是否有777權(quán)限目錄,并使用“chmod+相應(yīng)權(quán)限+文件/目錄”修改目錄權(quán)限?;€符合性判定依據(jù)不存在權(quán)限為777的目錄備注檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件安全基線項(xiàng)目名稱檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件

安全基線項(xiàng)說(shuō)明權(quán)限777意思是該登錄帳戶、他所在的組和其他人都擁有讀、寫(xiě)、執(zhí)行權(quán)限,該權(quán)限為最高權(quán)限。環(huán)境變量目錄下不應(yīng)存在該權(quán)限文件。檢測(cè)與加固步驟輸入命令ls-l'echo$PATH1tr": 2>/dev/nulll grep[Ad]rw[xsS]rw[xsS]rw[xsS]Iwc-l查看環(huán)境變量中是否有777權(quán)限文件,并使用“chmod+相應(yīng)權(quán)限+文件/目錄”修改文件權(quán)限?;€符合性判定依據(jù)不存在權(quán)限為777的文件備注檢查是否存在權(quán)限不安全的重要日志文件安全基線項(xiàng)目名稱檢查是否存在權(quán)限不安全的重要日志文件安全基線項(xiàng)說(shuō)明檢查是否存在權(quán)限大于640的重要日志文件,日志文件中經(jīng)常會(huì)記錄用戶操作等敏感信息,應(yīng)嚴(yán)格限制重要日志文件的訪問(wèn)權(quán)限。檢測(cè)與加固步驟查看/etc/syslog.conf或/etc/rsyslog.conf文件中日志目錄配置情況,使用ls-1+目錄查看文件權(quán)限是否錯(cuò)誤,如果存在其他權(quán)限的日志文件,則使用命令“chmod640+日志文件”修改日志文件權(quán)限基線符合性判定依據(jù)日志文件權(quán)限應(yīng)為640備注檢查系統(tǒng)當(dāng)前的umask安全基線項(xiàng)目名稱檢查系統(tǒng)當(dāng)前的umask安全基線項(xiàng)說(shuō)明系統(tǒng)umask設(shè)置,規(guī)范用戶對(duì)目錄和文件的操作,umask設(shè)置不當(dāng)可能導(dǎo)致某些應(yīng)用無(wú)法正確自動(dòng)創(chuàng)建目錄或文件,從而運(yùn)行異常。一般默認(rèn)為0022檢測(cè)與加固步驟輸入umask命令查看umask值,如果值不為0022,則使用命令umask0022修正基線符合性判定依據(jù)0022

備注檢查擁有suid和sgid權(quán)限的文件安全基線項(xiàng)目名稱檢查擁有suid和sgid權(quán)限的文件安全基線項(xiàng)說(shuō)明檢查擁有suid和sgid權(quán)限的文件是否存在異常檢測(cè)與加固步驟執(zhí)行命令:find/usr/bin/chage/usr/bin/gpasswd/usr/bin/wall/usr/bin/chfn/usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl/usr/sbin/traceroute/bin/mount/bin/umount/bin/ping/sbin/netreport-typef-perm+60002>/dev/null如果存在輸出結(jié)果,則使用chmod755文件名命令修改文件的權(quán)限。例如:chmoda-s/usr/bin/chage基線符合性判定依據(jù)擁有suid和sgid權(quán)限的文件權(quán)限為755備注檢查用5「小訪/目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線項(xiàng)目名稱檢查/亞死血目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線項(xiàng)說(shuō)明檢查/usr/bin/目錄下的可執(zhí)行文件的擁有者屬性,當(dāng)可執(zhí)行文件設(shè)置s屬性時(shí),執(zhí)行時(shí)可以獲取其擁有者的權(quán)限檢測(cè)與加固步驟找出/ml/加出目錄下所有含有“s”屬性的文件,才把不必要的“s”屬性去掉,或者把不用的直接刪除。#find/usr/bin-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;#chmoda-sfilename基線符合性判定依據(jù)/usr/bin目錄下的文件不具有s屬性備注

訪問(wèn)權(quán)限檢查FTP用戶上傳的文件所具有的權(quán)限安全基線項(xiàng)目名稱檢查FTP用戶上傳的文件所具有的權(quán)限安全基線項(xiàng)說(shuō)明檢查FTP用戶上傳的文件所具有的權(quán)限檢測(cè)與加固步驟如果系統(tǒng)使用vsftp:修改/etc/vsftpd.conf(或者為/etc/vsftpd/vsftpd.conf)#vi/etc/vsftpd.conf確保以下行未被注釋掉,如果沒(méi)有該行,請(qǐng)?zhí)砑樱簑rite_enable=YES〃允許上傳。如果不需要上傳權(quán)限,此項(xiàng)可不進(jìn)行更改。ls_recurse_enable=YESlocal_umask=022//設(shè)置用戶上傳文件的屬性為755anon_umask=022〃匿名用戶上傳文件(包括目錄)的umask重啟網(wǎng)絡(luò)服務(wù)#/etc/init.d/vsftpdrestart如果系統(tǒng)使用pure-ftp修改/etc/pure-ftpd/pure-ftpd.conf#vi/etc/pure-ftpd/pure-ftpd.conf確保以下行未被注釋掉,如果沒(méi)有該行,請(qǐng)?zhí)砑樱篣mask177:077重啟ftp服務(wù)#/etc/init.d/pure-ftpdrestart基線符合性判定依據(jù)根據(jù)實(shí)際情況配置備注檢查系統(tǒng)是否啟用了sudo命令安全基線項(xiàng)目名稱檢查系統(tǒng)是否啟用了sudo命令安全基線項(xiàng)說(shuō)明sudo是linux系統(tǒng)管理指令,是允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或者全部的root命令的一個(gè)工具,如halt,reboot,su等等。這樣不僅減少了root用戶的登錄和管理時(shí)間,同樣也提高了安全性。sudo不是對(duì)shell的一個(gè)代替,它是面向每個(gè)命令的。它的特性主要有這樣幾點(diǎn):sudo能夠限制用戶只在某臺(tái)主機(jī)上運(yùn)行某些命令。sudo提供了豐富的日志,詳細(xì)地記錄了每個(gè)用戶干了什么。它能夠?qū)⑷罩緜鞯街行闹鳈C(jī)或者日志服務(wù)器。

sudo使用時(shí)間戳文件來(lái)執(zhí)行類(lèi)似的“檢票”系統(tǒng)。當(dāng)用戶調(diào)用sudo并且輸入它的密碼時(shí),用戶獲得了一張存活期為5分鐘的票(這個(gè)值可以在編譯的時(shí)候改變)。sudo的配置文件是sudoers文件,它允許系統(tǒng)管理員集中的管理用戶的使用權(quán)限和使用的主機(jī)。它所存放的位置默認(rèn)是在/etc/sudoers,屬性必須為0440。檢測(cè)與加固步驟系統(tǒng)支持sudo基線符合性判定依據(jù)系統(tǒng)支持sudo備注檢查系統(tǒng)是否允許root帳戶ssh遠(yuǎn)程登錄安全基線項(xiàng)目名稱檢查系統(tǒng)是否允許root帳戶ssh遠(yuǎn)程登錄安全基線項(xiàng)說(shuō)明不推薦使用root帳戶直接遠(yuǎn)程登錄,請(qǐng)根據(jù)使用需要,配置帳戶權(quán)限檢測(cè)與加固步驟編輯/etc/ssh/sshd_config文件,修改PermitRootLogin值為no;基線符合性判定依據(jù)不允許root帳戶ssh遠(yuǎn)程登錄備注檢查系統(tǒng)是否允許root帳戶telnet遠(yuǎn)程登錄安全基線項(xiàng)目名稱檢查系統(tǒng)是否允許root帳戶telnet遠(yuǎn)程登錄安全基線項(xiàng)說(shuō)明不推薦使用root帳戶直接遠(yuǎn)程登錄,請(qǐng)根據(jù)使用需要,配置帳戶權(quán)限檢測(cè)與加固步驟編輯/etc/pam.d/login文件,添加行"authrequiredpam_securetty.so?;€符合性判定依據(jù)不允許root帳戶遠(yuǎn)程登錄備注

檢查是否綁定可訪問(wèn)主機(jī)的ip或ip段安全基線項(xiàng)目名稱檢查是否綁定可訪問(wèn)主機(jī)的ip或ip段安全基線項(xiàng)說(shuō)明啟動(dòng)ssh遠(yuǎn)程服務(wù)后應(yīng)限定可以遠(yuǎn)程連接服務(wù)器的IP或IP段,提高安全性。檢測(cè)與加固步驟編輯/etc/hosts.allow,添加或修改語(yǔ)句“sshd:+允許的IP+:allow”實(shí)現(xiàn)允許某個(gè)ip使用ssh連接訪問(wèn)。基線符合性判定依據(jù)指定特定IP或網(wǎng)段備注檢查是否允許所有ip訪問(wèn)主機(jī)安全基線項(xiàng)目名稱檢查是否允許所有ip訪問(wèn)主機(jī)安全基線項(xiàng)說(shuō)明應(yīng)限制遠(yuǎn)程訪問(wèn)主機(jī)的IP范圍,不應(yīng)允許所有主機(jī)訪問(wèn)檢測(cè)與加固步驟編輯/etc/hosts.allow,刪除“sshd:All”?;€符合性判定依據(jù)不出現(xiàn)sshd:All關(guān)鍵字備注hosts.deny文件設(shè)置sshd:All安全基線項(xiàng)目名稱hosts.deny文件設(shè)置sshd:All安全基線項(xiàng)說(shuō)明應(yīng)限制遠(yuǎn)程訪問(wèn)主機(jī)的IP范圍,不應(yīng)允許所有主機(jī)訪問(wèn)檢測(cè)與加固步驟編輯/etc/hosts.deny,刪除“sshd:All”?;€符合性判定依據(jù)出現(xiàn)sshd:All關(guān)鍵字備注

其他安全配置檢查登錄超時(shí)鎖定時(shí)間安全基線項(xiàng)目名稱檢查登錄超時(shí)鎖定時(shí)間安全基線項(xiàng)說(shuō)明系統(tǒng)登錄一段時(shí)間后如果不進(jìn)行任何操作,將會(huì)登錄鎖定的時(shí)間。登錄鎖定后需要重新輸入用戶名、密碼驗(yàn)證登錄。檢測(cè)與加固步驟以root帳戶執(zhí)行,vi/etc/profile,增加exportTMOUT=600(單位:秒,可根據(jù)具體情況設(shè)定超時(shí)退出時(shí)間,要求不小于600秒),注銷(xiāo)用戶,再用該用戶登錄激活該功能基線符合性判定依據(jù)不小于600秒備注檢查root用戶的PATH環(huán)境變量是否包含相對(duì)路徑安全基線項(xiàng)目名稱檢查root用戶的PATH環(huán)境變量是否包含相對(duì)路徑安全基線項(xiàng)說(shuō)明當(dāng)環(huán)境變量中包含"."或者"..”項(xiàng)時(shí),可能會(huì)發(fā)生難以預(yù)知的危險(xiǎn)檢測(cè)與加固步驟修改文件/etc/profile或/root/.bash_profile在環(huán)境變量$PATH中刪除包含(.和..)的路徑基線符合性判定依據(jù)Root用戶環(huán)境變量中不包含相對(duì)路徑備注檢查root用戶的PATH環(huán)境變量是否包含相對(duì)路徑安全基線項(xiàng)目名稱檢查root用戶的PATH環(huán)境變量是否包含相對(duì)路徑安全基線項(xiàng)說(shuō)明當(dāng)環(huán)境變量中包含"."或者"..”項(xiàng)時(shí),可能會(huì)發(fā)生難以預(yù)知的危險(xiǎn)檢測(cè)與加固步驟修改文件/etc/profile或/root/.bash_profile在環(huán)境變量$PATH中刪除包含(.和..)的路徑

基線符合性判定依據(jù)Root用戶環(huán)境變量中不包含相對(duì)路徑備注檢查ssh協(xié)議是否使用ssh2安全基線項(xiàng)目名稱檢查ssh協(xié)議是否使用ssh2安全基線項(xiàng)說(shuō)明檢查openssh相關(guān)配置文件中是否已配置所使用的協(xié)議為較高協(xié)議版本檢測(cè)與加固步驟1.確保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在,貝U忽略下面配置步驟。2.在sshd_config或sshd2_config中配置:Protocol2基線符合性判定依據(jù)使用ssh2版本備注檢查啟用系統(tǒng)coredump設(shè)置安全基線項(xiàng)目名稱檢查啟用系統(tǒng)coredump設(shè)置安全基線項(xiàng)說(shuō)明任務(wù)發(fā)生異常時(shí)需要記錄遺言信息,因此需要記錄coredump文件。檢測(cè)與加固步驟編輯/etc/security/limits.conf文件,在文件末尾加上"*softcore0"與"*hardcore0"基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否修改snmp默認(rèn)團(tuán)體字安全基線項(xiàng)目名稱檢查是否修改snmp默認(rèn)團(tuán)體字安全基線項(xiàng)建議用戶修改這兩個(gè)缺省字符串。否則攻擊者將可以通過(guò)SNMP協(xié)議修改設(shè)說(shuō)明備的設(shè)定檢測(cè)與加固編輯/etc/snmp/snmpd.conf,修改private與public默認(rèn)團(tuán)體字為用戶自定義團(tuán)步驟體字

基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線項(xiàng)目名稱檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線項(xiàng)說(shuō)明若用戶未禁用ctrl+alt+del組合鍵,則可通過(guò)ctrl+alt+del組合鍵所關(guān)聯(lián)內(nèi)容進(jìn)行惡意操作檢測(cè)與加固步驟編輯/etc/inittab,注釋含"ca::ctrlaltdel:*****"(*****為配置內(nèi)容)內(nèi)容的行之后重啟系統(tǒng)基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否關(guān)閉系統(tǒng)信任機(jī)制安全基線項(xiàng)目名稱檢查是否關(guān)閉系統(tǒng)信任機(jī)制安全基線項(xiàng)說(shuō)明在信任地址列表中的來(lái)訪用戶可不用提供口令就在本地計(jì)算機(jī)上執(zhí)行遠(yuǎn)程命令,如rexec,rcp,rlogin等等檢測(cè)與加固步驟1.執(zhí)行命令find/-maxdepth2-namehosts.equiv也2.進(jìn)入至1」.hosts.equiv文件存在的目錄也3.執(zhí)行命令:mvhosts.equivhosts.equiv.bak。并以上述一樣的方式處理rhosts文件基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查記錄歷史命令條數(shù)設(shè)置安全基線項(xiàng)目名稱檢查記錄歷史命令條數(shù)設(shè)置安全基線項(xiàng)說(shuō)明當(dāng)設(shè)置了歷史命令條數(shù),系統(tǒng)將保留最近設(shè)置的指定條數(shù)的命令

檢測(cè)與加固步驟編輯文件/etc/profile,修改配置HISTSIZE=10基線符合性判定依據(jù)大于等于10備注檢查是否刪除了潛在危險(xiǎn)文件安全基線項(xiàng)目名稱檢查是否刪除了潛在危險(xiǎn)文件安全基線項(xiàng)說(shuō)明檢查是否刪除了潛在危險(xiǎn)文件檢測(cè)與加固步驟模板條目:是否刪除hosts.equiv文件配置方法:1.執(zhí)行命令find/-maxdepth3-namehosts.equiv2>/dev/null2.進(jìn)入至Uhosts.equiv文件存在的目錄3.執(zhí)行命令:mvhosts.equivhosts.equiv.bak模板條目:是否刪除.rhosts文件配置方法:1.執(zhí)行命令find/-maxdepth3-name.rhosts2>/dev/null2.進(jìn)入到.rhosts文件存在的目錄3.執(zhí)行命令:mv.rhosts.rhosts.bak模板條目:是否刪除.netrc文件配置方法:1.執(zhí)行命令find/-rc2>/dev/null2.進(jìn)入到.netrc文件存在的目錄3.執(zhí)行命令:rc.bak基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查磁盤(pán)使用率安全基線項(xiàng)目名稱檢查磁盤(pán)使用率安全基

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論