收藏
下载资源

针对suse操作系统的主机进行安全加固

上传人:n**** 文档编号:118702050 上传时间:2019-12-23 格式:DOC 页数:60 大小:595.50KB
返回 下载 相关 举报
针对suse操作系统的主机进行安全加固_第1页
第1页 / 共60页
针对suse操作系统的主机进行安全加固_第2页
第2页 / 共60页
针对suse操作系统的主机进行安全加固_第3页
第3页 / 共60页
针对suse操作系统的主机进行安全加固_第4页
第4页 / 共60页
针对suse操作系统的主机进行安全加固_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《针对suse操作系统的主机进行安全加固》由会员分享,可在线阅读,更多相关《针对suse操作系统的主机进行安全加固(60页珍藏版)》请在金锄头文库上搜索。

1、SUSE Linux 主机安全加固通用操作指导书(SUSE Linux)_主机安全加固操作指导目录1 文档使用说明61.1 适用范围62 实施前准备62.2 系统检查72.3 业务检查72.4 备份73 加固实施93.1 帐号103.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号103.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号113.1.3 SEC-SUSE-ACCT-03-用户帐号分组133.2 口令143.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度143.2.2 SEC-SUSE-PWD-02-配置用户口令期限153.2.3 SEC-SUSE

2、-PWD-03-配置用户口令重复使用次数173.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略183.3 服务203.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口203.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务213.3.3 SEC-SUSE-SVC-03-配置NTP时间同步223.3.4 SEC-SUSE-SVC-04-停用NFS服务243.3.5 SEC-SUSE-SVC-05-禁用无关启动服务263.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名273.4 访问控制293.4.1 SEC-SUSE-AU

3、TH-01-限制关键文件和目录访问权限293.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限303.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码313.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆323.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录333.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录353.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录353.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间373.4.9 SEC-SUSE-AUTH-

4、09-设置图形界面超时退出时间383.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围393.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限403.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性413.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del423.5 日志审计433.5.1 SEC-SUSE-LOG-01-记录用户登录信息433.5.2 SEC-SUSE-LOG-02-开启系统记帐功能443.5.3 SEC-SUSE-LOG-03-记录系统安全事件453.5.4 SE

5、C-SUSE-LOG-04-日志集中存放473.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作493.5.6 SEC-SUSE-LOG-06-系统服务日志493.6 登陆显示513.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner513.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner513.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner523.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner533.7 IP协议553.7.1 SEC-SUSE-IP-01-禁止ICMP重定

6、向553.7.2 SEC-SUSE-IP-02-关闭网络数据包转发563.8 内核参数573.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出573.9 补丁/软件573.9.1 SEC-SUSE-SW-01-安装OS补丁574 实施后验证584.1 系统检查584.2 启动双机和业务594.3 业务检查595 风险回退595.1 故障信息收集:605.2 系统恢复:62第61页, 共61页1 文档使用说明1.1 适用范围1. 适用OS版本:SLES 9,SLES 10SLES:SUSE Linux Enterprise Edition2. 适用人员:一线维护工程师和安全专业服务

7、工程师。要求使用人员熟悉Unix命令、系统管理和维护,熟悉安全加固流程。2 实施前准备1. 预计操作时间: 30分钟,可提前完成2. 操作人员:华为办事处业务维护工程师、华为专业安全服务工程师或交付合作方3. 操作影响:无影响1) 现网设备加固需要提前提交现网施工申请,一般要求凌晨0:00后才能开始实施。2) 加固前一定要对机器作健康检查,确认无软硬件故障、重启正常、双机切换正常和业务运行正常后,才能对主机进行加固操作。否则建议修复后再加固。3) 双机加固应该严格按照如下顺序执行:双机切换备机重启备机检查备机加固备机重启加固后检查备机启动业务双机切换业务测试加固当前备机。2.2 系统检查步骤

8、1 执行# dmesg查看系统硬件配置。步骤 2 执行#more /var/log/messages检查是否有错误日志。步骤 3 检查系统性能情况。# top# vmstat 5 10# sar 5 10并把相关结果记录下来2.3 业务检查根据业务加固策略要求,检查业务运行状态,详细请参考对应产品的主机安全加固项目交付指导书。2.4 备份(需要具体步骤及相应执行命令)步骤 1 对操作系统进行全备份可以使用YAST工具中的系统备份功能实现。# yastSystem - System Backup根据提示进行系统备份步骤 2 对数据库进行备份根据业务备份要求备份数据库。步骤 3 对实施过程需修改的

9、安全配置文件进行备份加固过程中可能会修改如下文件:/etc/passwd/etc/shadow/etc/group/etc/security/pam_pwcheck.conf/etc/pam.d/passwd/etc/login.defs/etc/default/useradd/etc/pam.d/login/etc/pam.d/sshd/etc/ssh/sshd_config/etc/xinetd.d/*/etc/ntp.conf/etc/fstab/etc/exports (may no exist)/etc/snmpd.conf (SUSE 9)/etc/snmp/snmpd.conf

10、(SUSE 10)/etc/profile$home/.profile(或.bash_profile) #即用户家目录下的.profile文件或者.bash_profile文件/etc/securetty/etc/pam.d/su/etc/ftpusers/etc/vsftpd.conf/etc/pure-ftpd/pure-ftpd.conf/etc/hosts.allow/etc/hosts.deny/etc/inittab/etc/syslog.conf (SUSE 9)/etc/syslog-ng/syslog-ng.conf (SUSE 10)/etc/motd/etc/sshban

11、ner (may no exist)/etc/ssh/sshd_config/etc/issue/etc/ p 系统文件 备份文件 /其中参数-p表示拷贝文件权限。3 加固实施1. 预计操作时间: 60分钟2. 操作人员:华为专业安全服务工程师或交付合作方3. 操作影响:部分策略实施可能会造成业务中断, 在双机系统中,实施时需先实施备机,确保备机没问题后,再实施主机。4. 其他约定:如果没有特殊说明,文中的操作均以root用户完成。3.1 帐号3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号安全要求:应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信

12、使用的账号共享。通用策略:需要按维护人员角色新增维护帐号,利用工号等唯一标志做识别,需询问客户意见。通常华为业务系统上需新增两个华为方维护帐号:maintain和admin_hw。风险说明:无操作方法:步骤 1 创建帐号# useradd -d homedir -G group,. -g gid -m -p password -u uid -s shell account参数说明:d表示帐号主目录G表示帐号所属组的列表g表示帐号主所属组IDm表示帐号组目录不存在时是否创建p表示密码u表示帐号IDs表示Shell类型步骤 2 设置密码:# passwd account修改权限:# chmod 7

13、55 homedir其中755为设置的权限,可根据实际情况设置相应的权限,homedir是要更改权限的目录步骤 3 修改帐号# usermod -d homedir -G group,. -g gid -m -p password -u uid -s shell -L -U account参数说明:d表示帐号主目录G表示帐号所属组的列表g表示帐号主所属组IDm表示帐号组目录改变时是否移动原目录中文件p表示密码u表示帐号IDs表示Shell类型L表示锁定帐号U表示解除锁定帐号步骤 4 删除帐号# userdel -r-f account参数说明:r表示是否删除帐号主目录f表示当帐号主目录存在其他

14、帐号所有文件时是否强制删除操作验证:1. 验证方法:# more /etc/passwd2. 预期结果:不同用户使用各自不同帐号。3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号安全要求:锁定/删除与设备运行、维护等工作无关的账号。被锁定的账号无法使用交互式登陆。通用策略:根据业务加固策略确定系统账号、业务账号的锁定/删除操作,根据客户意见确定维护账号的锁定/删除操作。建议锁定的系统账号:bin daemon ftp nobody nobody4 lp games named at irc mysql ldap postfix postgres wwwrun mail pop snort squid mail man news uucp在实际加固过程中,对于系统帐号,建议只锁定,不删除。风险说明:1. 可能有第三方系统使用了被锁定的帐号,造成第三方系统不可用,请在实施方案制定时,收集第三方系统对账号加固的要求。2. 锁定的用户不能直接登录系统,需经管理员帐号解锁后方可登录。操作方法:步骤 1 锁定用户:# pa

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号