Linux系統(tǒng)安全配置基線

Linux系統(tǒng)安全配置基線TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"1。1 目的 11。2 適用范圍 1\o"CurrentDocument"1。3 適用版本 1\o"CurrentDocument"第2章 安裝前準備工作 1\o"CurrentDocument"2.1 需準備的光盤 1\o"CurrentDocument"第3章 操作系統(tǒng)的基本安裝 1\o"CurrentDocument"3。1 基本安裝 1第4章 賬號管理、認證授權 241 賬號 2411 用戶口令設詈 2\o"CurrentDocument"4.12 檢杳是否存在除“〃之外UID為0的用戶 3413 檢杳多余賬戶. 3\o"CurrentDocument"4.1。4 分配賬戶 3\o"CurrentDocument"4。1.5 賬號鎖定 4\o"CurrentDocument"4.16 檢杳賬戶權限 54。2 認訐 5\o"CurrentDocument"421 遠程連接的安全性配置 54。22 限制s,仍連接的IP配置 5\o"CurrentDocument"4。2.3 用戶的umask安全配置 6\o"CurrentDocument"4 杳找未授權的SUID/SGID文件 74。2。5檢杳任何人都有寫權限的目守 7\o"CurrentDocument"4。2.6 杳找任何人都有寫權限的文彳" 84。2。7檢杳沒有屬主的文 84。2.8 檢杳異常隱含文 9\o"CurrentDocument"第5章日志審計 9\o"CurrentDocument"5.1 日志 95。1。1 syslog登錄事件記錄9\o"CurrentDocument"5^2審計 1052LSyslog.conf的配置審本% 105。22日志增強 10Linux系統(tǒng)安全配置基線TOC\o"1-5"\h\z5.2。3syslog系統(tǒng)事件審計 11\o"CurrentDocument"第6章其他配置操作 12\o"CurrentDocument"61 系統(tǒng)狀態(tài) 12\o"CurrentDocument"6.1。1系統(tǒng)超時注銷. 12\o"CurrentDocument"62 LINU戲務 12\o"CurrentDocument"6。2。1禁用不必要服務 12\o"CurrentDocument"第7章持續(xù)改進 13Linux系統(tǒng)安全配置基線第1章概述目的本文規(guī)定了Linux操作系統(tǒng)主機應當遵循的操作系統(tǒng)安全性設置標準，本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行Linux操作系統(tǒng)的安全合規(guī)性檢查和配置.適用范|本配置標準的使用者包括：服務器系統(tǒng)管理員、安全管理員和相關使用人員。本配置標準適用的范圍包括:Linux服務器。適用版本適用于RedhatAS5.第2章安裝前準備工作需準備的光盤從RedHat官網(wǎng)下載高級企業(yè)服務器版操作系統(tǒng)，并制作成光盤。第3章操作系統(tǒng)的基本安裝基本安裝(1)應在隔離網(wǎng)絡進行安裝。選擇custom方式，根據(jù)最小化原則，僅安裝需要的軟件包。(2)根據(jù)服務器的實際用途來確實是否需要給/VAR，/HOME劃分單獨的分區(qū)。(3)安裝完成后盡快通過合適可行的方式安裝重要的補丁程序。

Linux系統(tǒng)安全配置基線第4章賬號管理、認證授權4.1賬號4.1.1用戶口令設置安全基線項目名稱操作系統(tǒng)Linux用戶口令安全基線要求項安全基線項說明帳號與口令一用戶口令設置，配置用戶口令強度檢查達到12位，要求用戶口令包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。檢測操作步驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root，test/test,root/root12342、執(zhí)行:more/etc/login，檢查PASS_MIN_LEN12PASS_MAX_DAYS90PASS_WARN_AGE73、執(zhí)行力亞女一F:'($2==""){print$1}'/etc/shadow，檢查是否存在空口令賬號4、編輯/etc/pam.d/system-auth文件，將password requisite pam_cracklib.sotry_first_passretry=3改為password requisite pam_cracklib。sotry_first_passretry=3dcredit=-1ocredit=—1基線符合性判定依據(jù)不允許存在簡單密碼，密碼設置至少包括一個數(shù)字和一個特殊字符,長度至少為12位檢查greppam_cracklib/etc/pam。d/system—auth修改已有用戶的口令生存期和過期告警天數(shù)#chage-M90-W7htsc_temp備注2Linux系統(tǒng)安全配置基線檢查是否存在除root之外UID為0的用戶安全基線項目名稱操作系統(tǒng)Linux超級用戶策略安全基線要求項安全基線項說明帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：awk—F:‘($3==0){print$1}'/etc/passwd基線符合性判定依據(jù)返回值包括“root"以外的條目，則低于安全要求.備注補充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權，保證只有root用戶的UID為0檢查多余賬戶安全基線項目名稱操作系統(tǒng)Linux無用賬戶策略安全基線要求項安全基線項說明帳號與口令-檢查是否存在如下不必要賬戶：lp,sync,shutdown,halt,news,uucp,operator,games,gopher等，檢測操作步驟執(zhí)行:cat/etc/passwd如果不使用，用以下命令進行刪除.#delusertest01基線符合性判定依據(jù)如發(fā)現(xiàn)上述賬戶，則低于安全要求。如主機存在gnone,則需要保留games賬號備注分配賬戶安全基線項 操作系統(tǒng)Linux賬戶策略安全基線要求項目名稱

Linux系統(tǒng)安全配置基線安全基線項說明給不同的用戶分配不同的帳號，避免多個用戶共享帳號.至少分配root，auditor，operator角色。檢測操作步驟1、參考配置操作useraddauditor #新建帳號#passwdauditor #設置口令chmod700-auditor#修改用戶主目錄權限，確保只有該用戶可以讀寫vi/etc/passwd注釋掉不用的賬戶auditor #停用不用的賬戶基線符合性判定依據(jù)1、判定條件用新建的用戶登陸系統(tǒng)成功，可以做常用的操作，用戶不能訪問其他用戶的主目錄.2、檢測操作用不同用戶登陸，檢查用戶主目錄的權備注賬號鎖定安全基線項目名稱操作系統(tǒng)Linuxr認證失敗鎖定要求項安全基線項說明設置帳號在3次連續(xù)嘗試認證失敗后鎖定，鎖定時間為1分鐘，避免用戶口令被暴力破解.檢測操作步驟1、參考配置操作建立/va"log/fai110g文件并設置權限#touch/var/log/faillog#chmod600/var/log/faillog編輯/etc/pam.d/system-auth文件，在auth required pam_env。so后面添加authrequiredpam_tally.soonerr=faildeny=3unlock_time=60基線符合性判定依據(jù)1、判定條件連續(xù)輸入錯誤口令3次以上，再輸正確口令用戶不能登陸.2、檢測操作greppam_tally/etc/pam。d/system-auth備注

Linux系統(tǒng)安全配置基線檢查賬戶權限安全基線項目名稱操作系統(tǒng)Linux無用賬戶策略安全基線要求項安全基線項說明帳號與口令一檢查除ROOT外是否有其他賬戶擁有shell權限檢測操作步驟執(zhí)彳?。篶at/etc/passwd觀察是否有非root賬戶設置/bin/bash或/bin/sh權限基線符合性判定依據(jù)無特殊應用情況下，如發(fā)現(xiàn)上述賬戶，則低于安全要求.備注4.2認證遠程連接的安全性配置安全基線項目名稱操作系統(tǒng)Linux遠程連接安全基線要求項安全基線項說明帳號與口令一遠程連接的安全性配置檢測操作步驟執(zhí)彳?。篺ind/—rc,檢查系統(tǒng)中是否有.netrc文件；執(zhí)彳丁：find/-name。rhosts，檢查系統(tǒng)中是否有。rhosts文件基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求.備注補充操作說明如無必要，刪除這兩個文件限制ssh連接的IP配置安全基線項目名稱操作系統(tǒng)Linux遠程連接安全基線要求項

Linux系統(tǒng)安全配置基線安全基線項說明配置tcp_wrappers，限制允許遠程登陸系統(tǒng)的IP范圍。檢測操作步驟1、參考配置操作編輯/etc/hosts.deny添加sshd:ALL編輯/etc/hosts.allow添加sshd:168。8。44.0/255。255。255.0#允許168。8.44.0網(wǎng)段遠程登陸sshd:168.8。43.0/255.255.255。0#允許168。8。43。0網(wǎng)段遠程登陸基線符合性判定依據(jù)1、判定條件只有網(wǎng)管網(wǎng)段可以ssh登陸系統(tǒng)。2、檢測操作cat/etc/hosts。denycat/etc/hosts.allow備注對于不需要sshd服務的無需配置該項。中心機房以外的服務器管理，暫時不做源地址限制。用戶的umask安全配置安全基線項目名稱操作系統(tǒng)Linux用戶umask安全基線要求項安全基線項說明帳號與口令一用戶的umask安全配置檢測操作步驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh。cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認的，則低于安全要求.備注補充操作說明：vi/etc/profile建議設置用戶的默認umask=077

Linux系統(tǒng)安全配置基線查找未授權的SUID/SGID文件安全基線項目名稱操作系統(tǒng)LinuxSUID/SGID文件安全基線要求項安全基線項說明文件系統(tǒng)-查找未授權的SUID/SGID文件檢測操作步驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin'grep-vA#/etc/fstab1awk'($6!="0”){print$2}’、；dofind$PART\(-perm-04000-o—perm-02000\)—typef-xdev—printDone基線符合性判定依據(jù)若存在未授權的文件，則低于安全要求。備注補充操作說明建議經(jīng)常性的對比suid/sgid文件列表，以便能夠及時發(fā)現(xiàn)可疑的后門程序檢查任何人都有寫權限的目錄安全基線項目名稱操作系統(tǒng)Linux目錄寫權限安全基線要求項安全基線項說明文件系統(tǒng)一檢查任何人都有寫權限的目錄檢測操作步驟在系統(tǒng)中定位任何人都有寫權限的目錄用下面的命令：forPARTin'awk’($3=="ext2"II$3=="ext3")\{print$2}’/etc/fstab';dofind$PART—xdev—typed\(-perm—0002—a!—perm—1000\)—printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注

Linux系統(tǒng)安全配置基線查找任何人都有寫權限的文件安全基線項目名稱操作系統(tǒng)Linux文件寫權限安全基線要求項安全基線項說明文件系統(tǒng)-查找任何人都有寫權限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權限的文件用下面的命令：forPARTin'grep-vA#/etc/fstab1awk'($6!="0”){print$2}’、；dofind$PART-xdev-typef\(-perm-0002-a!-perm—1000\)-printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注檢查沒有屬主的文件安全基線項目名稱操作系統(tǒng)Linux文件所有權安全基線要求項安全基線項說明文件系統(tǒng)一檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的命令：forPARTin'grep—va#/etc/fstab1awk’($6!="0"){print$2}'、；dofind$PART-nouser-o-nogroup-printdone注意：不用管"/dev”目錄下的那些文件基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注補充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了.不能允許沒有屬主的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有屬主的文件或目錄，先查看它的完

Linux系統(tǒng)安全配置基線整性,如果一切正常，給它一個屬主.有時候卸載程序可能會出現(xiàn)一些沒有屬主的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。檢查異常隱含文件安全基線項目名稱操作系統(tǒng)Linux隱含文件安全基線要求項安全基線項說明文件系統(tǒng)-檢查異常隱含文件檢測操作步驟用“圓d'程序可以查找到這些隱含文件。例如：find/—name”.。 *”-print-xdevfind/—name”…*”一print—xdev1cat-v同時也要注意象'%乂”和“。mail”這樣的文件名的.（這些文件名看起來都很象正常的文件名）基線符合性判定依據(jù)若返回值非空，則低于安全要求。備注補充操作說明在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件（點號是起始字符的，用“l(fā)s”命令看不到的文件），因為這些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX/LINUX下，一個常用的技術就是用一些特殊的名，如：“…”、”。。 ”（點點空格）或“。。八G"（點點control-G）,來隱含文件或目錄.第5章日志審計日志syslog登錄事件記錄安全基線項操作系統(tǒng)Linux登錄審計安全基線要求項9

Linux系統(tǒng)安全配置基線目名稱安全基線項說明日志審計-syslog登錄事件記錄檢測操作步驟執(zhí)行命令：more/etc/syslog.conf查看參數(shù)authpriv值Authprivo*/var/log/secure基線符合性判定依據(jù)若未對所有登錄事件都記錄，則低于安全要求。備注審計Syslog.conf的配置審核安全基線項目名稱操作系統(tǒng)Linux配置審計安全基線要求項安全基線項說明開啟系統(tǒng)的審計功能，記錄用戶對系統(tǒng)的操作，包括但不限于賬號創(chuàng)建、刪除，權限修改和口令修改。檢測操作步驟1、參考配置操作#chkconfigauditdon基線符合性判定依據(jù)1、判定條件系統(tǒng)能夠審計用戶操作。2、檢測操作chkconfig--listauditd用aureport、ausearch查看審計日志。備注日志增強安全基線項目名稱操作系統(tǒng)Linux日志增強要求項安全基線項使messages只可追加，使輪循的messages文件不可更改，從而防止非法訪10

Linux系統(tǒng)安全配置基線說明問目錄或者刪除日志的操作檢測操作步驟執(zhí)行命令：Chattr+a/var/log/messagesChattr+i/var/log/messages。*Chattr+i/etc/shadowChattr+i/etc/passwdChattr+i/etc/group基線符合性判定依據(jù)使用Isattr判斷屬性備注syslog系統(tǒng)