收藏
下载资源

linux操作系统安全配置规范v1.0

上传人:suns****4568 文档编号:117480153 上传时间:2019-12-05 格式:DOC 页数:21 大小:296KB
返回 下载 相关 举报
linux操作系统安全配置规范v1.0_第1页
第1页 / 共21页
linux操作系统安全配置规范v1.0_第2页
第2页 / 共21页
linux操作系统安全配置规范v1.0_第3页
第3页 / 共21页
linux操作系统安全配置规范v1.0_第4页
第4页 / 共21页
linux操作系统安全配置规范v1.0_第5页
第5页 / 共21页
点击查看更多>>
资源描述

《linux操作系统安全配置规范v1.0》由会员分享,可在线阅读,更多相关《linux操作系统安全配置规范v1.0(21页珍藏版)》请在金锄头文库上搜索。

1、版版本本号号:1.0.0 L i n u x 操操 作作 系系 统统 安安 全全 配配 置置 规规 范范 目录 1概述概述1 1.1适用范围 .1 1.2外部引用说明 .1 1.3术语和定义 .1 1.4符号和缩略语 .1 2LINUX 设备安全配置要求设备安全配置要求1 2.1账号管理、认证授权 .2 2.1.1账号.2 2.1.2口令.4 2.1.3授权.10 2.2日志配置要求 .11 2.3IP 协议安全配置要求.13 2.3.1IP 协议安全13 2.4设备其他安全配置要求 .14 2.4.1检查SSH安全配置14 2.4.2检查是否启用信任主机方式,配置文件是否配置妥当.15 2.

2、4.3检查是否关闭不必要服务.15 2.4.4检查是否设置登录超时.16 2.4.5补丁管理.17 1 1 概述概述 1.1 适用范围适用范围 本规范适用于 LINUX 操作系统的设备。本规范明确了 LINUX 操作系统配 置的基本安全要求,在未特别说明的情况下,适用于 Redhat 与 Suse 操作系统 版本。 1.2 外部引用说明外部引用说明 1.3 术语和定义术语和定义 1.4 符号和缩略语符号和缩略语 (对于规范出现的英文缩略语或符号在这里统一说明。 ) 缩写英文描述中文描述 2 LINUX 设备安全配置设备安全配置要求要求 本规范所指的设备为采用 LINUX 操作系统的设备。本规范

3、提出的安全配 置要求,在未特别说明的情况下,均适用于采用 LINUX 操作系统的设备。 本规范从运行 LINUX 操作系统设备的认证授权功能、安全日志功能、IP 网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。 2 2.1 账号管理、认证授权账号管理、认证授权 2.1.1 账号账号 2.1.1.1检查是否删除或锁定无关账号检查是否删除或锁定无关账号 检查项名称检查是否删除或锁定无关账号 中文编号 英文编号 要求内容应删除或锁定与设备运行、维护等工作无关的账号。 检查项类型账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式自动 检测操作步骤1、

4、执行: #more /etc/passwd /etc/shadow 查看是否存在以下可能无用的帐户: lp uucp nobody games rpm smmsp nfsnobody。 Adm、sync、shutdown、halt、news、operator 判定条件lp uucp nobody games rpm smmsp nfsnobody 这些帐户不存在或者它们 的密码字段为!,则这些帐户被锁定,符合安全要求,否则低于安全 要求。 补充说明 加固方案类别 参考操作配置1、执行备份: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shado

5、w /etc/shadow_bak 2、锁定无用帐户: 方法一: #vi /etc/shadow 在需要锁定的用户名的密码字段前面加!,如 test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7: 方法二: #passwd -l test 3、将/etc/passwd 文件中的 shell 域设置成/bin/false。 补充操作说明lp uucp nobody games rpm smmsp nfsnobody Adm、sync、shutdown、halt、news、operator 这些帐户不存在或者它 们的密码字段为! 3 2.1

6、.1.2检查是否限制检查是否限制 root 远程登录远程登录 检查项名称检查是否限制 root 远程登录 中文编号 英文编号 要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应 先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应 操作。 检查项类型账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式自动 检测操作步骤查看配置文件 # more /etc/securetty # more /etc/ssh/sshd_config 判定条件# more /etc/securetty 检查是否有下列行: pts/x(x 为一个

7、十进制整数) #more /etc/ssh/sshd_config 检查下列行设置是否为 no 并且未被注释: PermitRootLogin 不存在 pts/x 则禁止了 telnet 登录,PermitRootLogin no 禁止了 ssh 登 录,符合以上条件则禁止了 root 远程登录,符合安全要求,否则低 于安全要求。 补充说明# Authentication: #LoginGraceTime 2m #PermitRootLogin yes #StrictModes yes #MaxAuthTries 6 PermitRootLogin 的值改为 no,不允许 root 远程登录

8、加固方案类别 参考操作配置1、执行备份: #cp -p /etc/securetty /etc/securetty_bak #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2、新建一个普通用户并设置高强度密码: #useradd username #passwd username 3、禁止 root 用户远程登录系统: #vi /etc/securetty 注释形如 pts/x 的行,保存退出,则禁止了 root 从 telnet 登录。 #vi /etc/ssh/sshd_config 修改 PermitRootLogin 设置为 n

9、o 并不被注释,保存退出,则禁止了 root 从 ssh 登录。 4 #/etc/init.d/sshd restart 补充操作说明以下为测试 telnet 登录结果: /etc/pam.d/login /etc/seruretty 结果 注释掉 存在文件,存在 PTS 能登录 注释掉 存在文件,不存在 PTS 不能登录 注释掉 不存在文件 能登录 不注释 不存在文件 能登陆 不注释 存在文件,不存在 PTS 不能登录 不注释 存在文件,存在 PTS 能登录 /etc/ssh/sshd_config 文件中 PermitRootLogin 值为 no,并且 /etc/security/use

10、r 下值为 pts 2.1.2 口令口令 2.1.2.1检查口令策略设置是否符合复杂度要求检查口令策略设置是否符合复杂度要求 检查项名称检查口令策略设置是否符合复杂度要求 中文编号安全要求-设备-通用-配置-4 英文编号 要求内容对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小 写字母、大写字母和特殊符号 4 类中至少 2 类。 检查项类型账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式自动 检测操作步骤#more /etc/pam.d/system-auth 检查以下参数配置: password requisite pam_cra

11、cklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 是否配置了 minlen=8,minclass=2。 或者 password requisite pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3 password sufficient pam_unix.so nullok use_authto

12、k md5 shadow 是否配置了 min=N0,N1,N2,N3,N4。其中 N1 代表使用两种字符时, 5 口令最短长度。 判定条件使用 pam_cracklib 模块时,配置了 minclass 大于等于 2,minlen 大于 等于 6,符合安全要求,否则低于安全要求; 如果使用 pam_passwdqc 模块,配置了 min=N0,N1,N2,N3,N4,其中 N1 大于等于 6,符合安全要要求,否则低于安全要求。 补充说明可使用 pam pam_cracklib module 或 pam_passwdqc module 实现密码 复杂度,两者不能同时使用。 pam_crackli

13、b 主要参数说明: tretry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数 dcredit=N:N = 0 密码中最多有多少个数字;N = 0 密码中最多有多少个数字;N 操作系统 - LINUX 发布日期 2010-03-03 检查方式自动 检测操作步骤执行: # more /etc/login.defs 检查 PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE 参 数。 判定条件PASS_MAX_DAYS 值不大于 90 天则符合安全要求,否则低于安全 要求。 补充说明 加固方案类别 参考操作配置1、执行备份: #cp

14、-p /etc/login.defs /etc/login.defs_bak 8 2、修改策略设置: #vi /etc/login.defs 修改 PASS_MIN_LEN 的值为 8,修改 PASS_MAX_DAYS 的值为 90,按要求修改 PASS_MIN_DAYS/PASS_WARN_AGE 的值,保存 退出 补充操作说明/etc/login.defs 文件中 PASS_MAX_DAYS 值不大于 90 2.1.2.3检查口令重复次数限制检查口令重复次数限制 检查项名称检查口令重复次数限制 中文编号安全要求-设备-通用-配置-6-可选 英文编号 要求内容对于采用静态口令认证技术的设备,

15、应配置设备,使用户不能重复使用最 近 5 次(含 5 次)内已使用的口令。 检查项类型账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式自动 检测操作步骤#cat /etc/pam.d/system-auth 检查 password required pam_unix.so 所在行是否存在 remember=5 判定条件存在 remember 大于等于 5,则符合安全要求,否则低于安全要求。 补充说明 加固方案类别 参考操作配置1、执行备份: #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

16、 2、创建文件/etc/security/opasswd,并设置权限: #touch /etc/security/opasswd #chown root:root /etc/security/opasswd #chmod 600 /etc/security/opasswd 3、修改策略设置: #vi /etc/pam.d/system-auth 在 password required pam_unix.so 所在行增加 remember=5,保存退出; 补充操作说明/etc/pam.d/system-auth 文件中存在 passwordxxxremember=值大于等于 5 2.1.2.4检查口令锁定策略检查口令锁定策略 9 检查项名称检查口令锁定策略 中文编号安全要求-设备-通用-配置-7-可选 英文编号 要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号。 检查项类型账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式自

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号