Linux安全配置基線

杭州安恒信息技術有限公司Linux系統(tǒng)安全配置基線葭蹣P杭州安恒信息技術有限公司2016年12月TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"第2章 本地策略 2帳戶與口令檢查策略 2檢查系統(tǒng)中是否存在口令為空的帳戶 2\o"CurrentDocument"檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶 2\o"CurrentDocument"檢查是否按用戶分配帳號 2\o"CurrentDocument"檢查密碼最小長度 3\o"CurrentDocument"檢查密碼過期時間 3\o"CurrentDocument"檢查密碼最大重試次數(shù) 3\o"CurrentDocument"檢查是否配置口令復雜度策略 4\o"CurrentDocument"檢查是否設置系統(tǒng)引導管理器密碼 4\o"CurrentDocument"檢查口令過期前警告天數(shù) 5\o"CurrentDocument"檢查口令更改最小間隔天數(shù) 5\o"CurrentDocument"檢查是否使用PAM認證模塊禁止WHEEL組之外的用戶SU為ROOT 5\o"CurrentDocument"檢查密碼重復使用次數(shù)限制 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"檢查系統(tǒng)是否開啟了日志功能 6\o"CurrentDocument"檢查系統(tǒng)是否開啟了日志審計功能 7\o"CurrentDocument"檢查是否對登錄進行日志記錄 7\o"CurrentDocument"檢查是否記錄用戶對設備的操作 7\o"CurrentDocument"檢查SYSLOG-NG是否配置安全事件日志 8\o"CurrentDocument"檢查RSYSLOG是否配置安全事件日志 8\o"CurrentDocument"檢查SYSLOG是否配置安全事件日志 9\o"CurrentDocument"檢查是否配置SU命令使用情況記錄 9\o"CurrentDocument"檢查是否配置遠程日志功能 9\o"CurrentDocument"檢查是否啟用cron行為日志功能 10\o"CurrentDocument"檢查審計日志默認保存時間是否符合規(guī)范 11系統(tǒng)內核配置 11\o"CurrentDocument"檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp源路由 11\o"CurrentDocument"檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp重定向報文 11\o"CurrentDocument"檢查系統(tǒng)內核參數(shù)配置-send_REDiREcTS配置 12\o"CurrentDocument"檢查系統(tǒng)內核參數(shù)配置-iP_FORWARD配置 12檢查系統(tǒng)內核參數(shù)配置ICMP_ECHO_IGNORE_BROADCASTS配置 13\o"CurrentDocument"信息隱藏 13\o"CurrentDocument"檢查是否設置ssh登錄前警告Banner 13\o"CurrentDocument"檢查是否設置ssh登錄后警告Banner 14\o"CurrentDocument"檢查是否修改默認FTPBanner設置 14\o"CurrentDocument"檢查telnetBanner設置 14\o"CurrentDocument"服務端口啟動項 15\o"CurrentDocument"檢查是否啟用SSH服務 15\o"CurrentDocument"檢查是否啟用了TALK服務 15\o"CurrentDocument"檢查是否啟用了NTALK服務 16\o"CurrentDocument"檢查是否啟用了SENDMAIL服務 16\o"CurrentDocument"禁止root帳戶登錄FTP(vsftp) 17\o"CurrentDocument"禁止匿名FTP(vsftp) 17\o"CurrentDocument"檢查設備是否已禁用TELNET服務 17\o"CurrentDocument"檢查是否關閉不必要的服務和端口 18文件目錄權限 18\o"CurrentDocument"檢查環(huán)境變量目錄下是否存在權限為777的目錄 18\o"CurrentDocument"檢查環(huán)境變量目錄下是否存在權限為777的文件 18\o"CurrentDocument"檢查是否存在權限不安全的重要日志文件 19\o"CurrentDocument"檢查系統(tǒng)當前的UMAsK 19\o"CurrentDocument"檢查擁有SUID和SGID權限的文件 20檢查/usr/bin用錄下可執(zhí)行文件的擁有者屬性是否合規(guī) 20\o"CurrentDocument"訪問權限 21\o"CurrentDocument"檢查FTP用戶上傳的文件所具有的權限 21\o"CurrentDocument"檢查系統(tǒng)是否啟用了SUDo命令 21\o"CurrentDocument"檢查系統(tǒng)是否允許root帳戶SSH遠程登錄 22\o"CurrentDocument"檢查系統(tǒng)是否允許ROOT帳戶TELNET遠程登錄 22\o"CurrentDocument"檢查是否綁定可訪問主機的ip或ip段 23\o"CurrentDocument"檢查是否允許所有ip訪問主機 23\o"CurrentDocument"HOSTS.DENY文件設置SSHD： ALL 23其他安全配置 24檢查登錄超時鎖定時間 24\o"CurrentDocument"檢查root用戶的PATH環(huán)境變量是否包含相對路徑 24\o"CurrentDocument"檢查root用戶的PATH環(huán)境變量是否包含相對路徑 24\o"CurrentDocument"檢查ssh協(xié)議是否使用ssh2 25\o"CurrentDocument"檢查啟用系統(tǒng)CoREDUMP設置 25\o"CurrentDocument"檢查是否修改SNMP默認團體字 25\o"CurrentDocument"檢查系統(tǒng)是否禁用CTRL+ALT+DEL組合鍵 26\o"CurrentDocument"檢查是否關閉系統(tǒng)信任機制 26\o"CurrentDocument"檢查記錄歷史命令條數(shù)設置 26\o"CurrentDocument"檢查是否刪除了潛在危險文件 27\o"CurrentDocument"檢查磁盤使用率 27\o"CurrentDocument"檢查是否關閉數(shù)據(jù)包轉發(fā)功能(適用于不做路由功能的系統(tǒng)) 28\o"CurrentDocument"檢查是否關閉IP偽裝和綁定多IP功能 28\o"CurrentDocument"檢查/etc/aliase是否禁用不必要的別名文件 28\o"CurrentDocument"檢查是否配置定時自動屏幕鎖定(適用于具備圖形界面的設備) 29\o"CurrentDocument"檢查是否安裝CHKROOTKIT進行系統(tǒng)監(jiān)測 30\o"CurrentDocument"檢查系統(tǒng)是否開啟ASLR 30第1章概述目的本文檔規(guī)范了杭州安恒信息技術有限公司對于安裝有Linux操作系統(tǒng)的主機進行加固時應當遵循的操作系統(tǒng)安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行Linux操作系統(tǒng)的安全配置。適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。本配置標準適用的范圍包括：Linux服務器系統(tǒng)。第2章本地策略帳戶與口令檢查策略檢查系統(tǒng)中是否存在口令為空的帳戶安全基線項目名稱檢查系統(tǒng)中是否存在口令為空的帳戶安全基線項說明系統(tǒng)中不應存在口令為空的帳戶檢測與加固步驟輸入命令：cat/etc/shadow，查看是否有未設置口令的帳戶基線符合性判定依據(jù)帳戶必須配置密碼備注2.1.2檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶安全基線項目名稱檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶安全基線項說明用戶的UID大于500的都是非系統(tǒng)賬號，500以下的都為系統(tǒng)保留的賬號，比如root賬號，至高權限的賬號的UID為0,我們創(chuàng)建用戶的時候默認的賬號的UID都是大于500，系統(tǒng)中不應存在UID與root帳戶相同的帳戶，該設置將導致該帳戶擁有與root帳戶相同權限。檢測與加固步驟輸入命令：cat/etc/passwd1grep:x:0，查看輸入結果中是否有非root帳戶，基線符合性判定依據(jù)不存在uid為0的非root帳戶備注2.1.3檢查是否按用戶分配帳號安全基線項目名稱檢查是否按用戶分配帳號安全基線項說明按照用戶角色分配不同權限，確保用戶權限的最小化，避免越權操作

檢測與加固步驟1、執(zhí)行：#more/etc/passwd查看系統(tǒng)中存在的用戶，確認每個帳戶的home路徑及啟動shell;2、與管理員確認需要鎖定的帳戶基線符合性判定依據(jù)不存在無關用戶備注2.1.4檢查密碼最小長度安全基線項目名稱檢查密碼最小長度安全基線項說明檢查密碼最小長度檢測與加固步驟查看/etc/login.defs文件，查看PASS_MIN_LEN參數(shù)值基線符合性判定依據(jù)大于等于8備注2.1.5檢查密碼過期時間安全基線項目名稱檢查密碼過期時間安全基線項說明長期不修改密碼會提高密碼暴露風險，建議密碼生存周期不超過90天檢測與加固步驟查看/etc/login.defs文件，查看PASS_MAX_DAYS參數(shù)值基線符合性判定依據(jù)小于等于60天備注2.1.6檢查密碼最大重試次數(shù)安全基線項目名稱檢查密碼最大重試次數(shù)安全基線項說明配置當用戶連續(xù)認證失敗次數(shù)超過5次（不含5次），鎖定該用戶使用的賬號。

注意僅對自然人使用的帳號做此限制。檢測與加固步驟輸入cat/etc/pam.d/sshd1greppam_tally2.so，查看deny參數(shù)設置值基線符合性判定依據(jù)小于等于5備注2.1.7檢查是否配置口令復雜度策略安全基線項目名稱檢查是否配置口令復雜度策略安全基線項說明開啟密碼復雜度策略，大寫字母、小寫字母、數(shù)字、特殊字符至少支持3種檢測與加固步驟查看/etc/pam.d/system-auth文件中passwordrequisitepam_cracklib.so配置，例如：passwordrequisitepam_cracklib.soucredit=-1lcredit=-1dcredit=-1注：ucredit：大寫字母個數(shù)；lcredit：小寫字母個數(shù)；4仃?4也數(shù)字個數(shù)；ocredit：特殊字符個數(shù)。基線符合性判定依據(jù)符合復雜度要求備注2.1.8檢查是否設置系統(tǒng)引導管理器密碼安全基線項目名稱檢查是否設置系統(tǒng)引導管理器密碼安全基線項說明檢查是否設置系統(tǒng)引導管理器密碼檢測與加固步驟配置一：1.請確認系統(tǒng)引導器的類型為grub,如果不為grub,則忽略此檢查點。2.如果/boot/grub/menu.lst文件存在，編輯/boot/grub/menu.lst文件，設置password=*(*為需要設置的密碼。3.如果不存在，請檢查grub是否正確安裝，或/boot/grub/menu.lst文件是否被更名。配置二：1.請確認系統(tǒng)引導器的類型為lilo,如果不為lilo,則忽略此檢查點。2.如果/etc/lilo.conf文件存在，編輯/etc/lilo.conf文件，設置password=*(*為需要設置的密碼。3.如果不存在，請檢查lilo是否正確安裝，或/etc/lilo.conf文件是否被更名。基線符合性配置grub密碼

判定依據(jù)備注2.1.9檢查口令過期前警告天數(shù)安全基線項目名稱檢查口令過期前警告天數(shù)安全基線項說明口令過期提前警告的天數(shù)檢測與加固步驟查看/etc/login.defs文件，檢查PASS_WARN_AGE參數(shù)值基線符合性判定依據(jù)大于等于7備注2.1.10檢查口令更改最小間隔天數(shù)安全基線項目名稱檢查口令更改最小間隔天數(shù)安全基線項說明口令更改最小間隔天數(shù)檢測與加固步驟查看/etc/login.defs文件，檢查PASS_MIN_DAYS參數(shù)值基線符合性判定依據(jù)大于等于7備注2.1.11檢查是否使用PAM認證模塊禁止wheel組之外的用戶su為root安全基線項目名稱檢查口令更改最小間隔天數(shù)安全基線項說明口令更改最小間隔天數(shù)檢測與加固步驟編輯su文件(vi/etc/pam.d/su)，在開頭添加下面兩行：authsufficientpam_rootok.so和authrequiredpam_wheel.sogroup=wheel這表明只有wheel組的成員可以使用su命令成為root用戶。你可以把用戶添加到wheel組，

以使它可以使用su命令成為root用戶。添加方法為：usermod-Gwheelusername基線符合性判定依據(jù)禁止wheel組以外用戶使用su備注2.1.12檢查密碼重復使用次數(shù)限制安全基線項目名稱檢查密碼重復使用次數(shù)限制安全基線項說明檢查密碼重復使用次數(shù)限制檢測與加固步驟編輯/etc/pam.d/system-auth文件，修改設置如下passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5補充操作說明只需在passwordsufficient這一行加上remember=5即可基線符合性判定依據(jù)remember大于等于5備注日志配置檢查系統(tǒng)是否開啟了日志功能安全基線項目名稱檢查系統(tǒng)是否開啟了日志功能安全基線項說明系統(tǒng)應開啟日志服務，日志功能有助于記錄系統(tǒng)問題、用戶訪問操作、受到攻擊等等一系列操作，對于管理員防范危險、日常管理有很重要的作用。檢測與加固步驟使用命令"servicesyslogdstart”或“servicersyslogdstart”啟動日志服務（Centos6以前版本支持syslogd服務，之后版本支持rsyslogd服務，視具體系統(tǒng)而定）。基線符合性判定依據(jù)開啟日志服務備注

檢查系統(tǒng)是否開啟了日志審計功能安全基線項目名稱檢查系統(tǒng)是否開啟了日志審計功能安全基線項說明檢查系統(tǒng)是否開啟了日志審計功能檢測與加固步驟使用命令"serviceauditdstatus”查看服務狀態(tài)使用管理員權限輸入命令"serviceauditdstart”開啟審計服務，如無法開啟或不存在服務，請安裝審計安裝包(audit)后重新嘗試?；€符合性判定依據(jù)開啟日志服務備注檢查是否對登錄進行日志記錄安全基線項目名稱檢查是否對登錄進行日志記錄安全基線項說明檢查是否對登錄進行日志記錄，使得登錄記錄可查檢測與加固步驟登錄日志文件為/var/log/wtmp/var/log/utmp.這2個文件中記錄著所有登錄過主機的用戶，時間，來源等內容，這個文件不具可讀性，可用last命令來看。如果命令無結果，請聯(lián)系管理員基線符合性判定依據(jù)符合加固要求備注檢查是否記錄用戶對設備的操作安全基線項目名稱檢查是否對登錄進行日志記錄安全基線項說明檢查是否對登錄進行日志記錄，使得登錄記錄可查檢測與加固步驟通過設置日志文件可以對每個用戶的每一條命令進行記錄，這一功能默認是不開放的，為了打開它，需要安裝pacct工具，并執(zhí)行以下命令：#touch/var/log/pacct#accton/var/log/pacct執(zhí)行讀取命令lastcomm[username]-f/var/log/pacct

基線符合性判定依據(jù)符合加固要求備注檢查syslog-ng是否配置安全事件日志安全基線項目名稱檢查syslog-ng是否配置安全事件日志安全基線項說明檢查syslog-ng是否配置安全事件日志檢測與加固步驟編輯/etc/syslog-ng/syslog-ng.conf酉己置：filterf_msgs{level(err)orfacility(kern)andlevel(debug)orfacility(daemon)andlevel(notice);};destinationmsgs{file("/var/adm/msgs");};log{source(src);filter(f_msgs);destination(msgs);};其中/var/adm/msgs為日志文件。如果該文件不存在，貝U創(chuàng)建該文件，命令為：touch/var/adm/msgs，并修改權限為666.命令為：chmod666/var/adm/msgs.重啟日志服務：#/etc/init.d/syslogrestart基線符合性判定依據(jù)符合加固要求備注檢查rsyslog是否配置安全事件日志安全基線項目名稱檢查rsyslog是否配置安全事件日志安全基線項說明檢查rsyslog是否配置安全事件日志檢測與加固步驟編輯/etc/rsyslog.conf配置：*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為：touch/var/adm/messages，并修改權限為666.命令為：chmod666/var/adm/messages.重啟日志服務：#/etc/init.d/rsyslogrestart基線符合性判定依據(jù)符合加固要求備注

檢查syslog是否配置安全事件日志安全基線項目名稱檢查syslog是否配置安全事件日志安全基線項說明檢查syslog是否配置安全事件日志檢測與加固步驟編輯/etc/syslog.conf配置：*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為：touch/var/adm/messages，并修改權限為666.命令為：chmod666/var/adm/messages.重啟日志服務：#/etc/init.d/syslogrestart基線符合性判定依據(jù)符合加固要求備注檢查是否配置su命令使用情況記錄安全基線項目名稱檢查是否配置su命令使用情況記錄安全基線項說明檢查是否配置su命令使用情況記錄檢測與加固步驟1.若啟用syslog則編輯/etc/syslog.conf,若啟用rsyslog則編輯/etc/rsyslog.conf,配置：authpriv.*/var/log/secure2.若啟用syslog-ng則U編輯:/etc/syslog-ng/syslog-ng.conf。配置：filterf_secure{facility(authpriv);};destinationpriverr{file("/var/log/secure");};log{source(src);filter(f_secure);destination(priverr);};3.倉1J建/var/log/secure文件touch/var/log/secure4.重啟syslog月艮務#/etc/init.d/syslogrestarto基線符合性判定依據(jù)符合加固要求備注檢查是否配置遠程日志功能安全基線項目名稱檢查是否配置遠程日志功能安全基線項說明檢查是否配置遠程日志功能

檢測與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中配置destinationlogserver{ udp("0" port(514)); };log{source(src);destination(logserver);};可以將此處0替換為實際的IP；若啟用rsyslog日志則修改配置文件vi/etc/rsyslog.conf，加上這一行：*.*@可以將"*.*"替換為你實際需要的日志信息。比如：kern.*;mail.*等等。可以將此處替換為實際的IP或域名。；若啟用syslog日志則修改配置文件vi/etc/syslog.conf，加上這一行：*.*@可以將"*.*"替換為你實際需要的日志信息。比如：kern.*；mail.*等等。可以將此處替換為實際的IP或域名?；€符合性判定依據(jù)符合加固要求備注檢查是否啟用cron行為日志功能安全基線項目名稱檢查是否啟用cron行為日志功能安全基線項說明檢查是否啟用cron行為日志功能檢測與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中添加口filterf_cron{facility(cron);};destinationcron{file("/var/log/cron");};log{source(src);filter(f_cron);destination(cron);};其中/var/log/cron為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為:touch/var/log/cron，并修改權限為666.命令為：chmod666/var/log/cron；若啟用rsyslog日志則編輯/etc/rsyslog.conf文件，配置：cron.*/var/log/cron，其中/var/log/cron為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為：touch/var/log/cron，并修改權限為666.命令為：chmod666/var/log/cron；若啟用syslog日志則編輯/etc/syslog.conf文件，配置：cron.*/var/log/cron，其中/var/log/cron為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為:touch/var/log/cron，并修改權限為666.命令為：chmod666/var/log/cron。基線符合性判定依據(jù)符合加固要求

備注檢查審計日志默認保存時間是否符合規(guī)范安全基線項目名稱檢查審計日志默認保存時間是否符合規(guī)范安全基線項說明檢查審計日志默認保存時間是否符合規(guī)范檢測與加固步驟檢查審計日志默認保存時間是否符合規(guī)范，建議保存一年內的日志。修改/08/108101210（0比，右日志輪轉周期設置為weekly（默認）則修改rotate值為53，同理若周期為daily則rotate設置為365,若周期為monthly則設置為12基線符合性判定依據(jù)符合加固要求備注系統(tǒng)內核配置檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp源路由安全基線項目名稱檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp源路由安全基線項說明檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp源路由檢測與加固步驟修改前請先備份配置文件cp-p/proc/sys/net/ipv4/conf/all/accept_source_route/proc/sys/net/ipv4/conf/all/accept_source_route.bak,執(zhí)行命令#sysctl-wnet.ipv4.conf.all.accept_source_route="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_source_route的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp重定向報文安全基線項目名稱檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp重定向報文

安全基線項說明檢查系統(tǒng)內核參數(shù)配置-是否禁止icmp源路由檢測與加固步驟修改前請先備份配置文件#cp-p/proc/sys/net/ipv4/conf/all/accept_redirects/proc/sys/net/ipv4/conf/all/accept_redirects.bak，執(zhí)行命令#sysctl-wnet.ipv4.conf.all.accept_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_redirects的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內核參數(shù)配置-send_redirects配置安全基線項目名稱檢查系統(tǒng)內核參數(shù)配置-send_redirects配置安全基線項說明檢查系統(tǒng)內核參數(shù)配置-send_redirects配置檢測與加固步驟修改前請先備份配置文件#cp-p/proc/sys/net/ipv4/conf/all/send_redirects/proc/sys/net/ipv4/conf/all/send_redirects.bak，執(zhí)行命令#sysctl-wnet.ipv4.conf.all.send_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/send_redirects的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內核參數(shù)配置-ip_forward配置安全基線項目名稱檢查系統(tǒng)內核參數(shù)配置-ip_forward配置安全基線項說明檢查系統(tǒng)內核參數(shù)配置-ip_forward配置檢測與加固步驟修改前請先備份配置文件#cp-p/proc/sys/net/ipv4/ip_forward/proc/sys/net/ipv4/ip_forward.bak，執(zhí)行命令 #sysctl-wnet.ipv4.ip_forward="0"并修改/proc/sys/net/ipv4/ip_forward的值為0基線符合性判定依據(jù)符合加固要求

備注檢查系統(tǒng)內核參數(shù)配置icmp_echo_ignore_broadcasts酉己置安全基線項目名稱檢查系統(tǒng)內核參數(shù)配置-icmp_echo_ignore_broadcasts配置安全基線項說明檢查系統(tǒng)內核參數(shù)配置-icmp_echo_ignore_broadcasts配置檢測與加固步驟修改前請先備份配置文件 #cp-p/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.bak，執(zhí)行命令#sysctl-wnet.ipv4.icmp_echo_ignore_broadcasts="1" 并 修 改/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts的值為1基線符合性判定依據(jù)符合加固要求備注信息隱藏檢查是否設置ssh登錄前警告Banner安全基線項目名稱檢查是否設置ssh登錄前警告Banner安全基線項說明檢查是否設置ssh登錄前警告Banner檢測與加固步驟1.執(zhí)行如下命令創(chuàng)建sshbanner信息文件：#touch/etc/ssh_banner#chownbin:bin/etc/ssh_banner#chmod644/etc/ssh_banner#echo"您想設置的信息”>/etc/ssh_banner可根據(jù)實際需要修改該文件的內容。2.修改/etc/ssh/sshd_config文件，添加如下行：Banner/etc/ssh_banner3.重啟sshd服務：#/etc/init.d/sshdrestart基線符合性判定依據(jù)設置ssh登錄前警告Banner備注

檢查是否設置ssh登錄后警告Banner安全基線項目名稱檢查是否設置ssh登錄后警告Banner安全基線項說明檢查是否設置ssh登錄后警告Banner檢測與加固步驟修改文件/etc/motd的內容，如沒有該文件，則創(chuàng)建它。#echo"您想設置的信息”>/etc/motd根據(jù)實際需要修改該文件的內容基線符合性判定依據(jù)設置ssh登錄后警告Banner備注檢查是否修改默認FTPBanner設置安全基線項目名稱檢查是否修改默認FTPBanner設置安全基線項說明檢查是否修改默認FTPBanner設置檢測與加固步驟修改vsftp回顯信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根據(jù)實際需要修改該文件內容。重啟服務：#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件：#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行，確保該行未被注釋。FortunesFile/usr/share/fortune/zippy編輯/usr/share/fortune/zippy文件(如沒有fortune文件夾或者zippy文件，則新建該文件夾或該文件)：#vi/usr/share/fortune/zippy將自定義BANNER寫入其中。重啟服務：#/etc/init.d/pure-ftpdrestart基線符合性判定依據(jù)修改默認FTPBanner設置備注檢查telnetBanner設置安全基線項目名稱檢查telnetBanner設置安全基線項說明檢查telnetBanner設置

檢測與加固步驟修改vsftp回顯信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根據(jù)實際需要修改該文件內容。重啟服務：#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件：#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行，確保該行未被注釋。FortunesFile/usr/share/fortune/zippy編輯/usr/share/fortune/zippy文件(如沒有fortune文件夾或者zippy文件，則新建該文件夾或該文件)：#vi/usr/share/fortune/zippy將自定義BANNER寫入其中。重啟服務：#/etc/init.d/pure-ftpdrestart基線符合性判定依據(jù)修改默認FTPBanner設置備注服務端口啟動項檢查是否啟用SSH服務安全基線項目名稱檢查是否啟用SSH服務安全基線項說明telnet缺少對口令和用戶名的有效保護措施，所有數(shù)據(jù)采用明文傳輸方式，存在較大安全隱患，ssh采用加密方式保護用戶數(shù)據(jù)，數(shù)據(jù)內容和用戶信息更為安全。檢測與加固步驟使用命令"servicesshdstatus”查看ssh遠程管理服務狀態(tài)，如未啟動，則使用命令"servicesshdstart”基線符合性判定依據(jù)啟動ssh服務備注檢查是否啟用了talk服務安全基線項目名稱檢查是否啟用了talk服務安全基線項linux中talk命令參數(shù)程序用于Internet上兩個用戶之間進行“交談”：通過鍵說明盤輸入“說話”，通過看終端屏幕“聆聽”。默認系統(tǒng)不需要開啟talk服務。

請禁用該服務。檢測與加固步驟編輯/etc/xinetd.d/talk文件，將啟用servicetalk的disable屬性值改為yes；如果發(fā)現(xiàn)/08笈達6144/目錄下包含ntalk文件，同時將ntalk文件中的disable屬性改為yes?；€符合性判定依據(jù)禁用該服務備注檢查是否啟用了ntalk服務安全基線項目名稱檢查是否啟用了ntalk服務安全基線項說明ntalk服務主要用于linux上用戶之間交談，提供了與talk相同的功能服務。默認系統(tǒng)不需要開啟ntalk服務。請禁用該服務。檢測與加固步驟編輯/etc/xinetd.d/ntalk文件，將啟用servicentalk的disable屬性值改為yes?；€符合性判定依據(jù)禁用該服務備注檢查是否啟用了sendmail服務安全基線項目名稱檢查是否啟用了sendmail服務安全基線項說明sendmail是使用smtp協(xié)議的郵件提交工具，承擔mta和MDA的作用。后臺進程：sendmail；腳本：/etc/init.d/sendmail；使用端口：25(smtp)；默認系統(tǒng)不需開啟該服務。請禁用該服務。檢測與加固步驟使用命令"servicesendmailstop”關閉當前sendmail服務；然后使用命令“chkconfigsendmailoff”關閉服務開機自動啟動?；€符合性判定依據(jù)禁用該服務備注

禁止root帳戶登錄FTP(vsftp)安全基線項目名稱禁止root帳戶登錄FTP(vsftp)安全基線項說明設置ftp權限及訪問，限制部分用戶的ftp訪問權限，一般不允許root帳戶登錄FTP，需為其分配專用帳戶檢測與加固步驟編輯/etc/vsftpd/ftpusers，添加root，以禁止root帳戶登錄FTP。基線符合性判定依據(jù)符合加固要求備注禁止匿名FTP(vsftp)安全基線項目名稱禁止root帳戶登錄FTP(vsftp)安全基線項說明不應允許用戶匿名登錄FTP。檢測與加固步驟編輯/etc/vsftpd/vsftpd.conf文件(部分計算機該文件可能在/etc目錄下)，anonymous_enable屬性值修改為NO?；€符合性判定依據(jù)符合加固要求備注檢查設備是否已禁用telnet服務安全基線項目名稱檢查設備是否已禁用telnet服務安全基線項說明telnet缺少對口令和用戶名的有效保護措施，所有數(shù)據(jù)采用明文傳輸方式，存在較大安全隱患，ssh采用加密方式保護用戶數(shù)據(jù)，數(shù)據(jù)內容和用戶信息更為安全。檢測與加固步驟在/etc/services文件中，注釋掉telnet23/tcp一行(如不生效重啟telnetd服務或xinetd服務或系統(tǒng))基線符合性判定依據(jù)符合加固要求備注

檢查是否關閉不必要的服務和端口安全基線項目名稱檢查是否關閉不必要的服務和端口安全基線項說明建議關閉不必要的端口及服務檢測與加固步驟運行chkconfig--list查看當前服務并執(zhí)行如chkconfig[--levellevels]kshelloff（注:levels為運行級別,需要重啟機器）命令關閉服務，建議關閉如下服務identlprinterlbootpsltftplkshelllkloginldaytimeltimelecholdiscardlchargenlsendmaillntalkllpdlnfslnfslocklypbind基線符合性判定依據(jù)符合加固要求備注文件目錄權限檢查環(huán)境變量目錄下是否存在權限為777的目錄安全基線項目名稱檢查環(huán)境變量目錄下是否存在權限為777的目錄安全基線項說明權限777意思是該登錄帳戶、他所在的組和其他人都擁有讀、寫、執(zhí)行權限，該權限為最高權限。環(huán)境變量目錄下不應存在該權限目錄。檢測與加固步驟輸入命令ls-l'echo$PATH1tr": 2>/dev/nulll grepdrw[xsS]rw[xsS]rw[xsS]查看環(huán)境變量中是否有777權限目錄，并使用“chmod+相應權限+文件/目錄”修改目錄權限。基線符合性判定依據(jù)不存在權限為777的目錄備注檢查環(huán)境變量目錄下是否存在權限為777的文件安全基線項目名稱檢查環(huán)境變量目錄下是否存在權限為777的文件

安全基線項說明權限777意思是該登錄帳戶、他所在的組和其他人都擁有讀、寫、執(zhí)行權限，該權限為最高權限。環(huán)境變量目錄下不應存在該權限文件。檢測與加固步驟輸入命令ls-l'echo$PATH1tr": 2>/dev/nulll grep[Ad]rw[xsS]rw[xsS]rw[xsS]Iwc-l查看環(huán)境變量中是否有777權限文件，并使用“chmod+相應權限+文件/目錄”修改文件權限?；€符合性判定依據(jù)不存在權限為777的文件備注檢查是否存在權限不安全的重要日志文件安全基線項目名稱檢查是否存在權限不安全的重要日志文件安全基線項說明檢查是否存在權限大于640的重要日志文件，日志文件中經(jīng)常會記錄用戶操作等敏感信息，應嚴格限制重要日志文件的訪問權限。檢測與加固步驟查看/etc/syslog.conf或/etc/rsyslog.conf文件中日志目錄配置情況，使用ls-1+目錄查看文件權限是否錯誤，如果存在其他權限的日志文件，則使用命令“chmod640+日志文件”修改日志文件權限基線符合性判定依據(jù)日志文件權限應為640備注檢查系統(tǒng)當前的umask安全基線項目名稱檢查系統(tǒng)當前的umask安全基線項說明系統(tǒng)umask設置，規(guī)范用戶對目錄和文件的操作，umask設置不當可能導致某些應用無法正確自動創(chuàng)建目錄或文件，從而運行異常。一般默認為0022檢測與加固步驟輸入umask命令查看umask值，如果值不為0022，則使用命令umask0022修正基線符合性判定依據(jù)0022

備注檢查擁有suid和sgid權限的文件安全基線項目名稱檢查擁有suid和sgid權限的文件安全基線項說明檢查擁有suid和sgid權限的文件是否存在異常檢測與加固步驟執(zhí)行命令：find/usr/bin/chage/usr/bin/gpasswd/usr/bin/wall/usr/bin/chfn/usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl/usr/sbin/traceroute/bin/mount/bin/umount/bin/ping/sbin/netreport-typef-perm+60002>/dev/null如果存在輸出結果，則使用chmod755文件名命令修改文件的權限。例如：chmoda-s/usr/bin/chage基線符合性判定依據(jù)擁有suid和sgid權限的文件權限為755備注檢查用5「小訪/目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線項目名稱檢查/亞死血目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線項說明檢查/usr/bin/目錄下的可執(zhí)行文件的擁有者屬性，當可執(zhí)行文件設置s屬性時，執(zhí)行時可以獲取其擁有者的權限檢測與加固步驟找出/ml/加出目錄下所有含有“s”屬性的文件，才把不必要的“s”屬性去掉，或者把不用的直接刪除。#find/usr/bin-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;#chmoda-sfilename基線符合性判定依據(jù)/usr/bin目錄下的文件不具有s屬性備注

訪問權限檢查FTP用戶上傳的文件所具有的權限安全基線項目名稱檢查FTP用戶上傳的文件所具有的權限安全基線項說明檢查FTP用戶上傳的文件所具有的權限檢測與加固步驟如果系統(tǒng)使用vsftp：修改/etc/vsftpd.conf（或者為/etc/vsftpd/vsftpd.conf）#vi/etc/vsftpd.conf確保以下行未被注釋掉，如果沒有該行，請?zhí)砑樱簑rite_enable=YES〃允許上傳。如果不需要上傳權限，此項可不進行更改。ls_recurse_enable=YESlocal_umask=022//設置用戶上傳文件的屬性為755anon_umask=022〃匿名用戶上傳文件（包括目錄）的umask重啟網(wǎng)絡服務#/etc/init.d/vsftpdrestart如果系統(tǒng)使用pure-ftp修改/etc/pure-ftpd/pure-ftpd.conf#vi/etc/pure-ftpd/pure-ftpd.conf確保以下行未被注釋掉，如果沒有該行，請?zhí)砑樱篣mask177:077重啟ftp服務#/etc/init.d/pure-ftpdrestart基線符合性判定依據(jù)根據(jù)實際情況配置備注檢查系統(tǒng)是否啟用了sudo命令安全基線項目名稱檢查系統(tǒng)是否啟用了sudo命令安全基線項說明sudo是linux系統(tǒng)管理指令，是允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或者全部的root命令的一個工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登錄和管理時間，同樣也提高了安全性。sudo不是對shell的一個代替，它是面向每個命令的。它的特性主要有這樣幾點：sudo能夠限制用戶只在某臺主機上運行某些命令。sudo提供了豐富的日志，詳細地記錄了每個用戶干了什么。它能夠將日志傳到中心主機或者日志服務器。

sudo使用時間戳文件來執(zhí)行類似的“檢票”系統(tǒng)。當用戶調用sudo并且輸入它的密碼時，用戶獲得了一張存活期為5分鐘的票（這個值可以在編譯的時候改變）。sudo的配置文件是sudoers文件，它允許系統(tǒng)管理員集中的管理用戶的使用權限和使用的主機。它所存放的位置默認是在/etc/sudoers，屬性必須為0440。檢測與加固步驟系統(tǒng)支持sudo基線符合性判定依據(jù)系統(tǒng)支持sudo備注檢查系統(tǒng)是否允許root帳戶ssh遠程登錄安全基線項目名稱檢查系統(tǒng)是否允許root帳戶ssh遠程登錄安全基線項說明不推薦使用root帳戶直接遠程登錄，請根據(jù)使用需要，配置帳戶權限檢測與加固步驟編輯/etc/ssh/sshd_config文件，修改PermitRootLogin值為no；基線符合性判定依據(jù)不允許root帳戶ssh遠程登錄備注檢查系統(tǒng)是否允許root帳戶telnet遠程登錄安全基線項目名稱檢查系統(tǒng)是否允許root帳戶telnet遠程登錄安全基線項說明不推薦使用root帳戶直接遠程登錄，請根據(jù)使用需要，配置帳戶權限檢測與加固步驟編輯/etc/pam.d/login文件，添加行"authrequiredpam_securetty.so?；€符合性判定依據(jù)不允許root帳戶遠程登錄備注

檢查是否綁定可訪問主機的ip或ip段安全基線項目名稱檢查是否綁定可訪問主機的ip或ip段安全基線項說明啟動ssh遠程服務后應限定可以遠程連接服務器的IP或IP段，提高安全性。檢測與加固步驟編輯/etc/hosts.allow，添加或修改語句“sshd:+允許的IP+:allow”實現(xiàn)允許某個ip使用ssh連接訪問?；€符合性判定依據(jù)指定特定IP或網(wǎng)段備注檢查是否允許所有ip訪問主機安全基線項目名稱檢查是否允許所有ip訪問主機安全基線項說明應限制遠程訪問主機的IP范圍，不應允許所有主機訪問檢測與加固步驟編輯/etc/hosts.allow，刪除“sshd:All”?；€符合性判定依據(jù)不出現(xiàn)sshd:All關鍵字備注hosts.deny文件設置sshd：All安全基線項目名稱hosts.deny文件設置sshd：All安全基線項說明應限制遠程訪問主機的IP范圍，不應允許所有主機訪問檢測與加固步驟編輯/etc/hosts.deny，刪除“sshd:All”?；€符合性判定依據(jù)出現(xiàn)sshd:All關鍵字備注

其他安全配置檢查登錄超時鎖定時間安全基線項目名稱檢查登錄超時鎖定時間安全基線項說明系統(tǒng)登錄一段時間后如果不進行任何操作，將會登錄鎖定的時間。登錄鎖定后需要重新輸入用戶名、密碼驗證登錄。檢測與加固步驟以root帳戶執(zhí)行，vi/etc/profile,增加exportTMOUT=600（單位：秒，可根據(jù)具體情況設定超時退出時間，要求不小于600秒），注銷用戶，再用該用戶登錄激活該功能基線符合性判定依據(jù)不小于600秒備注檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項目名稱檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項說明當環(huán)境變量中包含"."或者"..”項時，可能會發(fā)生難以預知的危險檢測與加固步驟修改文件/etc/profile或/root/.bash_profile在環(huán)境變量$PATH中刪除包含（.和..）的路徑基線符合性判定依據(jù)Root用戶環(huán)境變量中不包含相對路徑備注檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項目名稱檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項說明當環(huán)境變量中包含"."或者"..”項時，可能會發(fā)生難以預知的危險檢測與加固步驟修改文件/etc/profile或/root/.bash_profile在環(huán)境變量$PATH中刪除包含（.和..）的路徑

基線符合性判定依據(jù)Root用戶環(huán)境變量中不包含相對路徑備注檢查ssh協(xié)議是否使用ssh2安全基線項目名稱檢查ssh協(xié)議是否使用ssh2安全基線項說明檢查openssh相關配置文件中是否已配置所使用的協(xié)議為較高協(xié)議版本檢測與加固步驟1.確保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在，貝U忽略下面配置步驟。2.在sshd_config或sshd2_config中配置：Protocol2基線符合性判定依據(jù)使用ssh2版本備注檢查啟用系統(tǒng)coredump設置安全基線項目名稱檢查啟用系統(tǒng)coredump設置安全基線項說明任務發(fā)生異常時需要記錄遺言信息，因此需要記錄coredump文件。檢測與加固步驟編輯/etc/security/limits.conf文件，在文件末尾加上"*softcore0"與"*hardcore0"基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否修改snmp默認團體字安全基線項目名稱檢查是否修改snmp默認團體字安全基線項建議用戶修改這兩個缺省字符串。否則攻擊者將可以通過SNMP協(xié)議修改設說明備的設定檢測與加固編輯/etc/snmp/snmpd.conf，修改private與public默認團體字為用戶自定義團步驟體字

基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線項目名稱檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線項說明若用戶未禁用ctrl+alt+del組合鍵，則可通過ctrl+alt+del組合鍵所關聯(lián)內容進行惡意操作檢測與加固步驟編輯/etc/inittab，注釋含"ca::ctrlaltdel:*****"（*****為配置內容）內容的行之后重啟系統(tǒng)基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否關閉系統(tǒng)信任機制安全基線項目名稱檢查是否關閉系統(tǒng)信任機制安全基線項說明在信任地址列表中的來訪用戶可不用提供口令就在本地計算機上執(zhí)行遠程命令，如rexec，rcp，rlogin等等檢測與加固步驟1.執(zhí)行命令find/-maxdepth2-namehosts.equiv也2.進入至1」.hosts.equiv文件存在的目錄也3.執(zhí)行命令：mvhosts.equivhosts.equiv.bak。并以上述一樣的方式處理rhosts文件基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查記錄歷史命令條數(shù)設置安全基線項目名稱檢查記錄歷史命令條數(shù)設置安全基線項說明當設置了歷史命令條數(shù)，系統(tǒng)將保留最近設置的指定條數(shù)的命令

檢測與加固步驟編輯文件/etc/profile，修改配置HISTSIZE=10基線符合性判定依據(jù)大于等于10備注檢查是否刪除了潛在危險文件安全基線項目名稱檢查是否刪除了潛在危險文件安全基線項說明檢查是否刪除了潛在危險文件檢測與加固步驟模板條目：是否刪除hosts.equiv文件配置方法：1.執(zhí)行命令find/-maxdepth3-namehosts.equiv2>/dev/null2.進入至Uhosts.equiv文件存在的目錄3.執(zhí)行命令：mvhosts.equivhosts.equiv.bak模板條目：是否刪除.rhosts文件配置方法：1.執(zhí)行命令find/-maxdepth3-name.rhosts2>/dev/null2.進入到.rhosts文件存在的目錄3.執(zhí)行命令：mv.rhosts.rhosts.bak模板條目：是否刪除.netrc文件配置方法：1.執(zhí)行命令find/-rc2>/dev/null2.進入到.netrc文件存在的目錄3.執(zhí)行命令：rc.bak基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查磁盤使用率安全基線項目名稱檢查磁盤使用率安全基