Linux操作系統(tǒng)安全加固實(shí)施方案

Linux操作系統(tǒng)安全加固實(shí)施方案

信息中心

2022年11月09日

Linux操作系統(tǒng)安全加固實(shí)施方案

版本控制

版本版本控制信息更新日期更新人審批人

VI.0創(chuàng)建2022年11月

Linux操作系統(tǒng)安全加固實(shí)施方案

目錄

一、實(shí)施時(shí)間.....................................................................4

二、實(shí)施方法.....................................................................4

三、實(shí)施人員.....................................................................4

四、實(shí)施范圍.....................................................................4

五、安全力口固方案.................................................................5

5.1賬號鎖定策略............................................................5

5.2登錄超時(shí)時(shí)間設(shè)置........................................................6

5.3口令生存期..............................................................6

5.4口令復(fù)雜度..............................................................7

5.5口令重復(fù)次數(shù)限制........................................................8

5.6禁止空密碼賬號..........................................................9

2.7刪除無關(guān)賬號...........................................................10

2.8禁止UID為0的用戶存在多個(gè)............................................12

2.9root用戶環(huán)境變量安全...................................................13

2.10使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root..........................................14

三、文件與權(quán)限..................................................................15

3.1文件與目錄缺省權(quán)限控制.................................................15

3.2重要文件權(quán)限設(shè)置.......................................................16

3.3不存在未授權(quán)SUID、SGID文件...........................................17

3.4刪除潛在危險(xiǎn)文件.......................................................18

3.5刪除所有用戶都有寫權(quán)限目錄的寫權(quán)限....................................19

3.6刪除所有用戶都有寫權(quán)限文件的寫權(quán)限....................................21

3.7刪除沒有屬主的文件.....................................................22

3.8系統(tǒng)coredump狀態(tài).....................................................23

四、日志與審計(jì)..................................................................24

4.1開啟遠(yuǎn)程日志功能.......................................................24

4.2記錄安全事件日志.......................................................25

4.3記錄用戶登錄日志.......................................................26

4.4記錄su命令使用日志....................................................27

4.5記錄cron行為日志......................................................28

五、系統(tǒng)服務(wù)....................................................................29

5.1限制root用戶SSH遠(yuǎn)程登錄..............................................29

5.2使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root............................................30

5.3禁止IP路由轉(zhuǎn)發(fā)........................................................31

5.4配置NFS服務(wù)限制......................................................32

5.5禁止Ctrl+Alt+Delete組合鍵關(guān)機(jī)...........................................34

5.6限制遠(yuǎn)程訪問的IP地址..................................................34

5.7配置NTP...............................................................................................................................35

5.8禁止ICMP重定向.......................................................37

5.9禁止IP源路由...........................................................37

5.10設(shè)置屏幕鎖定..........................................................38

5.11關(guān)閉不必要啟動(dòng)項(xiàng)......................................................40

II

Linux操作系統(tǒng)安全加固實(shí)施方案

5.12關(guān)閉不必要的服務(wù)和端口...............................................40

5.13更改主機(jī)解析地址的順序...............................................41

5.14歷史命令設(shè)置..........................................................42

5.15對root為歸、rm設(shè)置別名..............................................43

5.16修改SNMP的默認(rèn)Community.......................................................................................44

5.17打開syncookie緩解synflood攻擊........................................45

III

Linux操作系統(tǒng)安全加固實(shí)施方案

一、實(shí)施時(shí)間

實(shí)施時(shí)間：2022年11月日至

二、實(shí)施方法

采用工具掃描和人工評估兩種相結(jié)合的方式，依據(jù)《Linux主機(jī)

系統(tǒng)安全基線標(biāo)準(zhǔn)與加固指南》對單位Linux操作系統(tǒng)進(jìn)行評估與安

全加固。

三、實(shí)施人員

四、實(shí)施范圍

序號IP地址（范圍）備注

1172.16.39.1-172.16.39.60

2172.16.49.1-172.16.49.60

3172.16.59.1-172.16.59.64

4

Linux操作系統(tǒng)安全加固實(shí)施方案

五、安全加固方案

5.1賬號鎖定策略

安全加固Linux操作系統(tǒng)賬號鎖定策略

項(xiàng)目名稱

安全加固Linux-01-Ol

編號

安全加固對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，當(dāng)賬號連續(xù)認(rèn)證失敗次數(shù)超過

項(xiàng)說明5次，自動(dòng)鎖定該賬號

安全加固參考配置操作

實(shí)施步驟1、執(zhí)行備份

#cp-p/etc/pam.d/system-auth/etc/pam.d/system-

auth_bak

2、修改策略,編輯文件/etc/pam.d/system-auth增加如下內(nèi)容:

authrequiredpam_tally2.sodeny=5onerr=fail

no_magic_rootunlock_time=300#unlock_time單位為秒

accountrequiredpam_tally2.so

回退方案備份文件/etc/pam.d/system-auth_bak覆蓋至

/etc/pam.d/system-auth文件

是否實(shí)施□是

口否

實(shí)施結(jié)果口成功

口失敗，已回滾

備注(1)解鎖用戶faillog-u＜用戶名》

(2)RedHat5.1以上版本支持pam_tally2.so,其他版本及suse只

支持pam_tally.so

5

Linux操作系統(tǒng)安全加固實(shí)施方案

5.2登錄超時(shí)時(shí)間設(shè)置

安全加固Linux操作系統(tǒng)用戶登錄超時(shí)時(shí)間設(shè)置

項(xiàng)目名稱

安全加固Linux-01-02

編號

安全加固Linux操作系統(tǒng)用戶登錄空閑時(shí)間超過300秒自動(dòng)登出

項(xiàng)說明

安全加固1、執(zhí)行備份

實(shí)施步驟#cp-p/etc/profile/etc/profi1e_bak

2、在/etc/profile文件增加以下兩行（如果存在則修改，否則手工

添加）:

#vi/etc/profile

TMOUT=300

exportTMOUT

回退方案將備份文件/etc/profile_bak覆蓋至/etc/profile文件

是否實(shí)施□是

□否

實(shí)施結(jié)果口成功

□失敗，已回滾

備注TM0UT以秒為單位

5.3口令生存期

安全加固Linux操作系統(tǒng)用戶口令生存期策略

項(xiàng)目名稱

安全加固Linux-01-03

6

Linux操作系統(tǒng)安全加固實(shí)施方案

編號

安全加固對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令生存周期最大值應(yīng)小

項(xiàng)說明于等于90天

安全加固1、執(zhí)行備份：

實(shí)施步驟#cp-p/etc/login.defs/etc/login.defs_bak

2、修改策略設(shè)置，編輯文件/etc/login.defs(vi

/etc/login.defs),在文件中加入如下內(nèi)容(如果存在則修改，不存

在則添加)：

PASS_MAX_DAYS90

PASS_MIN_DAYS10

PASS_WARN_AGE7

回退方案將備份文件/etc/login.defs_bak覆蓋至/etc/login.defs文件

是否實(shí)施口是

□否

實(shí)施結(jié)果□成功

口失敗，已回滾

備注

5.4口令復(fù)雜度

安全加固Linux操作系統(tǒng)用戶口令復(fù)雜度策略

項(xiàng)目名稱

安全加固Linux-01-04

編號

安全加固對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令長度至少8位，并包

項(xiàng)說明

括數(shù)字、小寫字母、大寫字母和特殊符號。

加固實(shí)施1、執(zhí)行備份：

步驟

#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak

2、編輯文件/etc/pam.d/system-auth,在文件中找到如下內(nèi)容：

passwordrequisitepam_cracklib.so,將其修改為：

7

Linux操作系統(tǒng)安全加固實(shí)施方案

passwordrequisitepam_cracklib.sotry_first_pass

retry=3dcredit=-llcredit=-1ucredit=-locredit=-l

minlen=8#至少包含一個(gè)數(shù)字、一個(gè)小寫字母、一個(gè)大寫

字母、一個(gè)特殊字符、且密碼長度〉二8

回退方案將備份文件/etc/pam.d/system-auth_bak覆蓋至

/etc/pam.d/system-auth文件

是否實(shí)施□是

□否

實(shí)施結(jié)果口成功

口失敗，已回滾

備注

5.5口令重復(fù)次數(shù)限制

安全加固Linux操作系統(tǒng)用戶口令重復(fù)次數(shù)限制策略

項(xiàng)目名稱

安全加固Linux-01-05

編號

安全加固對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令不能重復(fù)使用最近5

項(xiàng)說明次（含5次）內(nèi)已使用的口令

加固方案1、執(zhí)行備份

#cp-p/etc/pam.d/system-auth/etc/pam.d/system-

auth.bak

2、創(chuàng)建文件/etc/security/opasswd用于存儲(chǔ)舊密碼,并設(shè)置權(quán)限。

#touch/etc/security/opasswd

#chownroot：root/etc/security/opasswd

ftchmod600/etc/security/opasswd

3、修改策略設(shè)置

#vi/etc/pam.d/system-auth在passwordsufficient

pam_unix.so所在行末尾增加remember=5,中間以空格隔開，如果

8

Linux操作系統(tǒng)安全加固實(shí)施方案

沒有則新增，例如：

passwordsufficientpam_unix.somd5shadow

nulloktry_first_passuse_authtokremember=5

回退方案將備份文件/etc/pam.d/system-auth.bak覆蓋至

/etc/pam.d/system-aut文件

是否實(shí)施□是

□否

實(shí)施結(jié)果口成功

口失敗，已回滾

備注

5.6禁止空密碼賬號

安全加固Linux操作系統(tǒng)禁止空密碼賬號

項(xiàng)目名稱

安全加固Linux-01-06

編號

安全加固對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令不能為空。

項(xiàng)說明

安全加固1、執(zhí)行以下命令檢查是否存在空口令賬戶，若返回結(jié)果為0則表

實(shí)施步驟示不存在空口令賬號。

#awk-F：'($2==""){print$1}'/etc/shadow

2、上述執(zhí)行結(jié)果不為0,繼續(xù)以下步驟

#cp-p/etc/passwd/etc/passwd_bak

#cp-p/etc/shadow/etc/shadow_bak

3、為帳戶設(shè)置滿足密碼復(fù)雜度的密碼：

#passwdusername

回退方案無

9

Linux操作系統(tǒng)安全加固實(shí)施方案

是否實(shí)施口是

□否

實(shí)施結(jié)果口成功

□失敗，已回滾

備注

2.7刪除無關(guān)賬號

安全基線Linux操作系統(tǒng)禁止空密碼賬號

項(xiàng)目名稱

安全基線Linux-01-07

編號

安全基線對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令不能為空。

項(xiàng)說明

檢測操作1、查看/etc/shadow文件，確認(rèn)以下用戶

步驟(Ip|synchalt|newsuucpoperatorgamesgopher|smmspnfsno

bodynobody)的密碼列字段是否以*或者?。￠_頭：

ttegrep

HIp：|sync：,"halt：「news：uucp：|operator：games：gop

her：smmsp：nfsnobody：nobody：,r/etc/shadowawk-F：

r($2!7>/)&&($2!~/l!/){print$1"："}'

2、查看/etc/passwd文件確認(rèn)以下用戶

(Ip|synchalt|newsuucp|operatorgamesgopher|smmsp|nfsno

bodynobody)的shell域字段值是否為/bin/false

#egrep

MIp：「sync：halt：「news：uucp：|operator：games：gop

her：smmsp：nfsnobody：nobody：,r/etc/passwd|awk-F：

10

Linux操作系統(tǒng)安全加固實(shí)施方案

1($7!^/bin\/false/){print$1"："$7}'

基線符合判定依據(jù)

性判定依1、Ipsynchaltnewsuucpoperatorgamesgophersmmsp

據(jù)nfsnobody|nobody用戶不存在或/etc/shadow文件中對應(yīng)密碼字段

以*或者??！開頭

2、Ipsynchaltnewsuucpoperatorgamesgophersmmsp

nfsnobodynobody用戶不存在或者/etc/passwd文件中對應(yīng)shell

域?yàn)?bin/false

以上二者均滿足則合規(guī)，否則不合規(guī)。

加固方案參考配置操作

1、如果以下用戶(Ipsynchaltnewsuucpoperatorgames

gophersmmspnfsnobodynobody)沒有被刪除或鎖定，可以使用如

下命令對其進(jìn)行操作：

(1)、刪除用戶：

#userdelusername

(2)、鎖定用戶：

ftpasswd-1username#鎖定用戶，只有具備超級

用戶權(quán)限的使用者方可使用。

ttpasswd-dusername#解鎖用戶，解鎖后原有密

碼失效，登錄設(shè)置新密碼才能登錄。

ttpasswd-uusername#解鎖用戶后，原密碼仍然

有效。

(3)、修改用戶shell域?yàn)?bin/false

#usermod-s/bin/falseusername#命令來更

改相應(yīng)用戶的shell為/bin/false,其中［username］為要修改的具

體用戶名。

備注

11

Linux操作系統(tǒng)安全加固實(shí)施方案

2.8禁止UID為0的用戶存在多個(gè)

安全基線Linux操作系統(tǒng)禁止存在多個(gè)UID為0的用戶

項(xiàng)目名稱

安全基線Linux-01-08

編號

安全基線Linux操作系統(tǒng)禁止存在多個(gè)UID為0的用戶

項(xiàng)說明

檢測操作通過如下命令查看/etc/passwd文件中UID為0的賬號：

步驟#awk-F：'($3==0){print$1}'/etc/passwd

基線符合判定依據(jù)

性判定依不存在root用戶外的其他用戶UID為0則合規(guī)，否則不合規(guī)。

據(jù)

加固方案參考配置操作

1、執(zhí)行配置文件備份：

#pc-p/etc/passwd/etc/passwd_bak

#pc-p/etc/shadow/etc/shadow_bak

#pc-p/etc/group/etc/group_bak

2、查詢UID為0的賬號信息

#wak-F：'（$3=二0）{print$1}1/etc/passwd

如果命令的輸出存在非root賬號，則使用如下命令刪除該賬

戶（切記不要?jiǎng)h除root用戶）。

#userdelusername

備注root用戶的UID值為0,切記不要?jiǎng)h除root用戶。

12

Linux操作系統(tǒng)安全加固實(shí)施方案

2.9root用戶環(huán)境變量安全

安全基線Linux操作系統(tǒng)root用戶環(huán)境變量的安全性

項(xiàng)目名稱

安全基線Linux-01-09

編號

安全基線Linux操作系統(tǒng)root用戶環(huán)境變量的安全性

項(xiàng)說明

檢測操作使用命令echo$PATH查看PATH環(huán)境變量的值，確認(rèn)PATH環(huán)境變

步驟量中是否存在.或者..的路徑：

.：/usr/bin：..：/usr/sbin

echo$PATH

echo"result=echo$PATHegrep

"A.\：?A.\.\：A：\.$：\：\.\.$A：\.\：l\：\.\.\："|wc"1'"

/usr/local/inotify/bin：/usr/local/sbin：/usr/local/bin：/sb

in：/bin：/usr/sbin：/usr/bin：/usr/local/server/tengine/bin：

/usr/local/server/tengine/sbin：/usr/local/server/php/bin：

/root/bin

基線符合判定依據(jù)

性判定依$PATH環(huán)境變量中不存在.或者..的路徑則合規(guī)，否則不合

鼐規(guī)。

result實(shí)際值：為0則表示path環(huán)境變量中不存在.或..的路

徑；為非0則表示存在.或..的值。

加固方案參考配置操作

修改文件/etc/profile或/root/.bash_profile

修改環(huán)境變量$PATH,刪除環(huán)境變量值包含的（.和..）的路徑。

13

Linux操作系統(tǒng)安全加固實(shí)施方案

備注

2.10使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root

安全基線使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root

項(xiàng)目名稱

安全基線Linux-01-10

編號

安全基線Linux操作系統(tǒng)應(yīng)使用PAM認(rèn)證模塊進(jìn)行su權(quán)限控制，禁止wheel

項(xiàng)說明組之外的用戶su為root

檢測操作執(zhí)行命令cat/etc/pam.d/su,查看文件中是否存在如下配置：

步驟authsufficientpam_rootok.so

authrequiredpam_wheel.sogroup=wheel

基線符合判定依據(jù)

性判定依使用pamrootok.so認(rèn)證模塊認(rèn)證且配置了只允許wheel組

據(jù)的用戶才能su為root則合規(guī)，否則不合規(guī)。

加固方案參考配置操作

編輯文件(vi/etc/pam.d/su),在文件開頭加入如下兩行(有則修

改,沒有則添加)：

authsufficientpam_rootok.so

authrequiredpam_wheel.souse_

uid

#注意auth與sufficient之間由兩個(gè)tab建隔開，sufficient與

動(dòng)態(tài)庫路徑之間使用一個(gè)tab建隔開

備注安全加固后，只有wheel組中的用戶可以使用su命令成為root用

14

Linux操作系統(tǒng)安全加固實(shí)施方案

戶?？梢酝ㄟ^把用戶添加到wheel組，以使它可以使用su命令成

為root用戶。）

添加方法：

ttusermod-Gwheelusernamettusername為需要

添加至wheel組的賬戶名稱。

三、文件與權(quán)限

3.1文件與目錄缺省權(quán)限控制

安全基線Linux操作系統(tǒng)文件與目錄缺省權(quán)限控制策略

項(xiàng)目名稱

安全基線Linux-02-Ol

編號

安全基線Linux操作系統(tǒng)用戶文件與目錄缺省權(quán)限不應(yīng)設(shè)置過高，建議設(shè)置

項(xiàng)說明用戶的默認(rèn)umask=027

檢測操作查看文件/etc/profile的末尾是否設(shè)置umask值：

步驟#awk'{print$1"："$2}'/etc/profile|grepumask|tail-

nl

基線符合/etc/profile文件末尾存在umask027,則合規(guī),否則為不合規(guī)。

性判定依

據(jù)

加固方案參考配置操作

1、對/etc/profile進(jìn)行備份：

#cp/etc/profile/etc/profile.bak

2、編輯文件/etc/profile,在文件末尾加上如下內(nèi)容：

umask027

15

Linux操作系統(tǒng)安全加固實(shí)施方案

3、執(zhí)行以下命令讓配置生效：

ftsource/etc/profile

備注

3.2重要文件權(quán)限設(shè)置

安全基線Linux操作系統(tǒng)重要文件權(quán)限設(shè)置策略

項(xiàng)目名稱

安全基線Linux-02-02

編號

安全基線Linux操作系統(tǒng)/etc/passwd/etc/shadow等重要文件權(quán)限不應(yīng)設(shè)

項(xiàng)說明置過高

檢測操作執(zhí)行以下命令查看用戶及組文件權(quán)限

步驟#sl-IL/etc/passwd

#sl-IL/etc/group

#sl-IL/etc/services

#sl-IL/etc/shadow

#sl-IL/etc/xinetd.conf

Sis-ILd/etc/security

#sl-ILd/etc/rsyslog.conf

Slsattr/var/log/messages

基線符合1、/etc/passwd文件的權(quán)限小于等于644

性判定依2、/etc/shadow文件的權(quán)限小于等于400

據(jù)3、/etc/group文件的權(quán)限小于等于644

4、/etc/services文件權(quán)限小于等于644

5、/etc/xinetd.conf文件權(quán)限小于等于600

6、/etc/security目錄權(quán)限小于等于600

16

Linux操作系統(tǒng)安全加固實(shí)施方案

7、/etc/rsyslog.conf文件權(quán)限小于等于640

8、/var/log/messages文件的權(quán)限第六位為a屬性

以上八者同時(shí)滿足則合規(guī)，否則不合規(guī)。

加固方案參考配置操作

1、使用如下命令查看文件的權(quán)限：

#sl-alL/etc/passwd/etc/shadow/etc/group

2、執(zhí)行備份:使用cp命令備份需要修改權(quán)限的文件或目錄。

3、權(quán)限修改：

ttchmod644/etc/passwd

ttchmod400/etc/shadow

#chmod644/etc/group

ftchmod644/etc/services

ttchmod600/etc/xinetd.conf

#chmod600/etc/security

Schmod640/etc/rsyslog.conf

#chattr+a/var/log/messages

備注

3.3不存在未授權(quán)SUID、SGID文件

安全基線Linux操作系統(tǒng)不存在未授權(quán)的SUID、SGID文件

項(xiàng)目名稱

安全基線Linux-02-03

編號

安全基線Linux操作系統(tǒng)不存未授權(quán)的SUID、SGID文件

項(xiàng)說明

檢測操作用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：

步驟#forPARTin'grep-v#/etc/fstabawk'($6!=

17

Linux操作系統(tǒng)安全加固實(shí)施方案

"0"){print$2

do

find$PART-typef\(-perm-04000-o-perm-02000

\)-xdev-execIsTg{}\；2?/dev/null

done

基線符合結(jié)合實(shí)情情況，人工判斷該文件是否合法

性判定依

據(jù)

加固方案參考配置操作

1、找出系統(tǒng)中所有含有“S”屬性的文件，把不必要的“S”屬性去

掉，或者把不用的直接刪除。

#forPARTin'grep-v/etc/fstab|awk'($6!=

"0"){print$2}''

do

find$PART-typef\(-perm-04000-o-perm-02000\)

-xdev-execIs-1g{}\；2?/dev/null

done

2、使用如下命令去掉文件的s屬性：

ttchmoda_s<filename>

備注

3.4刪除潛在危險(xiǎn)文件

安全基線刪除Linux操作系統(tǒng)潛在危險(xiǎn)文件

項(xiàng)目名稱

安全基線Linux-02-04

18

Linux操作系統(tǒng)安全加固實(shí)施方案

編號

安全基線刪除Linux操作系統(tǒng).rhosts,.netrc,hosts,equiv等潛在危險(xiǎn)文

項(xiàng)說明件

檢測操作1、通過如下命令查看系統(tǒng)中是否存在這三個(gè)文件

步驟(,rhosts,.netrc,hosts,equiv)：

#find/-maxdepth3-name.netrc2>/dev/nullwc-1

#find/-maxdepth3-name.rhosts2>/dev/null|wc-1

#find/-maxdepth3-namehosts,equiv2>/dev/null|wc

-1

基線符合系統(tǒng)中不存在文件.rhosts,.netrc,hosts,equiv則合規(guī),否則

性判定依不合規(guī)。

據(jù)

加固方案參考配置操作

1、需要?jiǎng)h除的文件(.netrc、.rhosts、hosts,equiv)

(1)、備份

ttmv.rhost.rhost.bak

#vm.netr.netr.bak

#vmhost.equivhost.equiv.bak

(2)、刪除

#mr.netrc

#mr.rhosts

#mrhosts,equiv

備注刪除前需確認(rèn)正常業(yè)務(wù)應(yīng)用是否會(huì)用到上述文件

3.5刪除所有用戶都有寫權(quán)限目錄的寫權(quán)限

安全基線刪除Linux操作系統(tǒng)所有用戶都有寫權(quán)限目錄的寫權(quán)限

項(xiàng)目名稱

19

Linux操作系統(tǒng)安全加固實(shí)施方案

安全基線Linux-02-05

編號

安全基線刪除Linux操作系統(tǒng)所有用戶都有寫權(quán)限目錄的寫權(quán)限

項(xiàng)說明

檢測操作使用如下命令查看系統(tǒng)中任何人都有寫權(quán)限的目錄：

步驟#forPARTin'grep-v#/etc/fstabawk'($6!=

"0"){print$2

do

find$PART-xdev-typed\(-perm-0002-a!-perm

-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

基線符合如果存在任何人都有寫權(quán)限的目錄則不合規(guī)，否則合規(guī)。

性判定依

據(jù)

加固方案參考配置操作

1、查看系統(tǒng)中任何用戶都有寫權(quán)限的目錄(使用以下命令)：

#forPARTin'grep-v#/etc/fstabawk*($6!="0")

{print$2}''

do

find$PART-xdev-typed\(-perm-0002-a!-perm

-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

2、去掉步驟1輸出文件的其他用戶寫權(quán)限。

#chmodo-w<directory>

備注

20

Linux操作系統(tǒng)安全加固實(shí)施方案

3.6刪除所有用戶都有寫權(quán)限文件的寫權(quán)限

安全基線刪除Linux操作系統(tǒng)所有用戶都有寫權(quán)限文件的寫權(quán)限

項(xiàng)目名稱

安全基線Linux-02-06

編號

安全基線刪除Linux操作系統(tǒng)所有用戶都有寫權(quán)限文件的寫權(quán)限

項(xiàng)說明

檢測操作使用如下命令查看系統(tǒng)中任何人都有寫權(quán)限的文件：

步驟#forPARTin'grep-v#/etc/fstab|awk'($6!=

〃0"){print$2

do

find$PART-xdev-typef\(-perm-0002-a!

-perm-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

基線符合系統(tǒng)中不存在任何人都有寫權(quán)限的文件則合規(guī)，否則不合規(guī)。

性判定依

據(jù)

加固方案參考配置操作

系統(tǒng)中任何用戶都有寫權(quán)限的文件(使用以下命令)：

#forPARTingrep-v#/etc/fstabawk'($6!="0")

{print$2}

do

find$PART-xdev-typef\(-perm-0002-a!-perm

-1000\)-xdev-execIs-Id{}\；2>>/dev/null；

done

2、去掉步驟1輸出文件的其他用戶寫權(quán)限。

ftchmodo-w<filename>

21

Linux操作系統(tǒng)安全加固實(shí)施方案

備注

3.7刪除沒有屬主的文件

安全基線刪除Linux操作系統(tǒng)所有沒有屬主的文件

項(xiàng)目名稱

安全基線Linux-02-07

編號

安全基線刪除Linux操作系統(tǒng)所有沒有屬主的文件

項(xiàng)說明

檢測操作查看系統(tǒng)中沒有屬主的（沒有所屬用戶或所屬主）文件（使用如下命

步驟令）：

#forPARTin'grep-v#/etc/fstabawk'（$6!=

"0"）{print$2

do

find$PART-nouser-o-nogroup-print

2>>/dev/null

done

基線符合如果存在沒有屬主的文件則不合規(guī)，否則合規(guī)。

性判定依

據(jù)

加固方案參考配置操作

1、查看系統(tǒng)中沒有屬主的文件（使用以下命令）：

#forPARTin'grep-v飛/etc/fstabawk'（$6!="0"）

{print$2}―

do

find$PART-nouser-o-nogroup-print2?/dev/null

22

Linux操作系統(tǒng)安全加固實(shí)施方案

done

2、給步驟1輸出的文件賦予一個(gè)屬主或者刪除該文件。

#chown<username>：<groupname><filename>

備注ttuname為用戶名稱，groupname為組名稱,filename為要賦予其屬

主的文件名稱

3.8系統(tǒng)coredump狀態(tài)

安全基線檢查Linux操作系統(tǒng)系統(tǒng)coredump狀態(tài)

項(xiàng)目名稱

安全基線Linux-02-08

編號

安全基線檢查Linux操作系統(tǒng)系統(tǒng)coredump狀態(tài)

項(xiàng)說明

檢測操作1、查看/etc/security/limits.conf文件中是否配置如下內(nèi)容：

步驟*softcore0

*hardcore0

2、查看/etc/profile文件中是否存在如下配置，存在則注釋掉：

ulimit-S-c0>/dev/null2>&1

基線符合1、/etc/security/limits.conf文件設(shè)置

性判定依*softcore0

據(jù)*hardcore0

2、/etc/profile注釋掉ulimit-S-c0>/dev/null2>&1

上述2條同時(shí)滿足則合規(guī)，否則不合規(guī)。

加固方案參考配置操作

1、編輯文件/etc/security/limits.conf,在文件末尾加入如下兩

行（存在則修改，不存在則新增）：

23

Linux操作系統(tǒng)安全加固實(shí)施方案

*softcore0

*hardcore0

2、編輯文件/etc/profile(vi/etc/profile)注釋掉如下行：

ttulimit-S-c0>/dev/null2>&1

備注

四、日志與審計(jì)

4.1開啟遠(yuǎn)程日志功能

安全基線Linux操作系統(tǒng)開啟遠(yuǎn)程日志功能

項(xiàng)目名稱

安全基線Linux-03-Ol

編號

安全基線Linux操作系統(tǒng)應(yīng)開啟遠(yuǎn)程日志功能

項(xiàng)說明

檢測操作查看文件/etc/syslog.conf或者/etc/rsyslog.conf存在類似如

步驟下語句：

*.*@192.26.39.253

基線符合Linux操作系統(tǒng)設(shè)置遠(yuǎn)程日志服務(wù)器實(shí)際值：為遠(yuǎn)程日志服務(wù)器地

性判定依址或者域名合規(guī)，否則不合規(guī)。

據(jù)

加固方案參考配置操作

1、編輯文件/etc/syslog.conf或者/etc/rsyslog.conf,增加如

下內(nèi)容：

*.*@〈日志服務(wù)器ip或者域名》

2、重啟syslog服務(wù)

24

Linux操作系統(tǒng)安全加固實(shí)施方案

#/etc/init.d/syslogstop

#/etc/init.d/syslogstart

備注/etc/rsyslog.conf文件中@192,26.39.253需改成SYSLOGSERVER

實(shí)際IP地址

4.2記錄安全事件日志

安全基線Linux操作系統(tǒng)開啟安全事件日志記錄

項(xiàng)目名稱

安全基線Linux-03-02

編號

安全基線Linux操作系統(tǒng)應(yīng)開啟安全事件日志記錄

項(xiàng)說明

檢測操作查看/etc/rsyslog.conf文件是否有如下內(nèi)容：

步驟*.err；kern,debug；daemon,notice/var/adm/messages

基線符合/etc/rsyslog.conf文件包含如下內(nèi)容:

性判定依*.err；kern,debug；daemon,notice/var/adm/messages

據(jù)如是表明配置了記錄安全事件日志則合規(guī)，否則不合規(guī)。

加固方案參考配置操作

1、編輯/etc/rsyslog.conf,在文件中加入如下內(nèi)容:

*.err；kern,debug；daemon,notice/var/adm/messages,其中

/var/adm/messages為日志文件。

(1)如果該文件不存在，則創(chuàng)建該文件，命令為：

#touch/var/adm/messages

(2)修改權(quán)限為666,命令為：

ttchmod666/var/adm/messages

2、重啟日志服務(wù)：

#/etc/init.d/syslogrestart

25

Linux操作系統(tǒng)安全加固實(shí)施方案

備注

4.3記錄用戶登錄日志

安全基線Linux操作系統(tǒng)開啟用戶登錄日志記錄

項(xiàng)目名稱

安全基線Linux-03-03

編號

安全基線Linux操作系統(tǒng)應(yīng)開啟用戶登錄日志記錄

項(xiàng)說明

檢測操作查看文件/etc/rsyslog.conf存在類似如下語句：

步驟authpriv.*/var/1og/auth1og

或者

authpriv.info/var/log/authlog

基線符合查看文件/etc/rsyslog.conf存在類似如下語句：

性判定依authpriv.*/var/1og/authlog

據(jù)或者

authpriv.info/var/log/authlog

如是表明配置了記錄用戶登錄日志則合規(guī)，否則不合規(guī)。

加固方案參考配置操作

1、查看文件/etc/rsyslog.conf,增加如下內(nèi)容：

authpriv.*/var/1og/authlog

或者

authpriv.info/var/1og/authlog

2、創(chuàng)建日志文件，并賦予其權(quán)限

#touch/var/log/authlog

#chmod640/var/log/authlog

26

Linux操作系統(tǒng)安全加固實(shí)施方