收藏
下载资源

Linux安全配置标准

上传人:灯火****19 文档编号:122005151 上传时间:2020-02-29 格式:DOC 页数:12 大小:98.92KB
返回 下载 相关 举报
Linux安全配置标准_第1页
第1页 / 共12页
Linux安全配置标准_第2页
第2页 / 共12页
Linux安全配置标准_第3页
第3页 / 共12页
Linux安全配置标准_第4页
第4页 / 共12页
Linux安全配置标准_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《Linux安全配置标准》由会员分享,可在线阅读,更多相关《Linux安全配置标准(12页珍藏版)》请在金锄头文库上搜索。

1、页 2Linux安全配置标准一.目的Linux安全配置标准是Qunar信息系统安全标准的一部分,主要目的是根据信息安全管理政策的要求,为我司的Linux系统提供配置基准,并作为Linux系统设计、实施及维护的技术和安全参考依据。 二.范围安全标准所有条款默认适用于所有Linux系统,某些特殊的会明确指定适用范围。 三.内容3.1 软件版本及升级策略操作系统内核及各应用软件,默认采用较新的稳定版本,不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。 3.2 账户及口令管理3.2.1 远程登录帐号管理符合以下条件之一的,属可远程登录帐号: (1) 设置了密码,且帐号处于未

2、锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key 可远程登录帐号的管理要求为: (1) 帐号命名格式与邮件命名格式保持一致 (2) 不允许多人共用一个帐号,不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主,离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理守护进程启动帐号管理要求 (1) 应建立独立帐号,禁止赋予sudo权限,禁止加入root或wheel等高权限组。 (2) 禁止使用可远程登录帐号启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默

3、认帐号管理(仅适用于财务管理重点关注系统)删除默认的帐号,包括:lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理口令管理应遵循密码口令管理制度,具体要求为 (1) 启用密码策略 /etc/login.defsPASS_MAX_DAYS 90PASS_MIN_DAYS 1PASS_MIN_LEN 7PASS_WARN_AGE 7/etc/pam.d/system-authpassword sufficient pam_unix.so * remember=5password requisite pam_

4、cracklib.so * minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0(2) 启用帐号锁定策略,连续输错3次口令,锁定用户30分钟 /etc/pam.d/system-authauth required pam_env.soauth required pam_tally2.so deny=3 unlock_time=18003.2.5 OpenSSH安全配置只使用协议版本2,禁止root登录,禁止空口令登录,独立记录日志到/var/log/secure。具体配置为: /etc/ssh/sshd_config#default is 2,1Pr

5、otocol 2#default is yesPermitRootLogin no#default is noPermitEmptyPasswords no#default is AUTHSyslogFacility AUTHPRIV3.3 认证授权3.3.1 远程管理方式(1) 默认仅允许ssh一种远程管理方式,禁止使用telnet、rlogin等,如存在以下文件,必须删除: $HOME/.rhosts/etc/hosts.equiv/etc/xinetd.d/rsh/etc/xinetd.d/rlogin(2) 跳板机只允许RSA TOKEN方式登录,其它Linux服务器只允许通过密码和p

6、ublic key方式登录。 (3) 生产环境Linux服务器,只允许来自跳板机和其它指定IP的登录,通过tcp warp实现。生产环境范围由安全组指定,允许登录的IP源由安全组指定。BETA/DEV环境登录限制同生产环境。 3.3.2 其它(仅适用于财务管理重点关注系统)(1) 仅允许非wheel组用户通过远程管理,配置方法: /etc/security/access.conf-:wheel:ALL EXCEPT LOCAL .win.tue.nl/etc/pam.d/sshdaccount required pam_access.so(2) 限制普通用户控制台访问权限 禁止普通用户在控制台

7、执行shutdown、halt以及reboot等命令。 rm -f /etc/security/console.apps/rebootrm -f /etc/security/console.apps/haltrm -f /etc/security/console.apps/shutdownrm -f /etc/security/console.apps/poweroff3.4 其它3.4.1 关键文件权限(仅适用于财务管理重点关注系统)将以下文件设置为600权限 /$HOME/.bash_logout/$HOME/.bash_profile/$HOME/.bashrc3.4.2 日志管理开启以

8、下行为日志:用户登录日志、crontab执行日志 配置方法: /etc/syslog.confauthpriv.* /var/log/securecron.* /var/log/cron对于PCI DSS覆盖范围内的系统,所有日志应实时发送到集中的日志管理服务器,并确保由程序自动分析与告警。 3.4.3 用户界面TIMEOUT设置用户30分钟无操作自动退出。设置方法: /etc/profileTMOUT=1800对于PCI DSS以及SOX404范围内的系统,空闲超时时间需设置为15分钟。3.4.4 设置NTP时间同步,确保各服务器时间保持一致配置同机房的自行运维的NTP服务器为NTP源。 示

9、例(每个机房可能不一样): driftfile /var/db/ntp.driftpidfile /var/run/ntpd.pidserver 192.168.0.117server 192.168.0.78server 192.168.0.77restrict default ignorerestrict 127.0.0.1restrict 192.168.0.0 mask 255.255.0.0 nomodifyrestrict 192.168.0.117restrict 192.168.0.78restrict 192.168.0.77内部NTP服务必须采用行业认可的NTP源。 示例:

10、 server 133.100.9.2 minpoll 4 maxpoll 8 iburst burst preferserver 140.112.4.189 minpoll 4 maxpoll 8 iburst burst preferserver 128.250.33.242 minpoll 4 maxpoll 8 iburst burst preferserver 216.218.254.202 minpoll 4 maxpoll 8 iburst burst preferserver 209.51.161.238 minpoll 4 maxpoll 8 iburst burst pre

11、ferserver 218.21.130.42 minpoll 4 maxpoll 8 iburst burst preferserver 202.130.120.114 minpoll 4 maxpoll 8 iburst burst preferserver 66.187.233.4 minpoll 4 maxpoll 8 iburst burst preferserver 210.72.145.44 minpoll 4 maxpoll 8 iburst burst preferserver 209.81.9.7 minpoll 4 maxpoll 8 iburst burst prefe

12、r# individual serversrestrict default ignorerestrict 133.100.9.2restrict 140.112.4.189restrict 128.250.33.242restrict 216.218.254.202restrict 209.51.161.238restrict 218.21.130.42restrict 202.130.120.114restrict 66.187.233.4restrict 210.72.145.44restrict 209.81.9.73.4.5 禁止安装/运行不必要的服务当前禁止安装/运行的服务列表为 n

13、fssambatelnetrsh-server3.4.6 安装防病毒软件(仅适用于PCI DSS范围内系统)安装经安全组认可的防病毒软件。 每周至少升级一次防病毒定义,并使用最新定义执行系统扫描。升级以及定期扫描应设置为自动执行任务。对于扫描出来的结果只告警,由安全组成员手工清除病毒,禁止设置自动删除。 扫描范围至少包括: bin sbin home lib lib64 opt usr var如果日志(系统、应用)目录被包含于以上目录,需做排除处理。 3.4.7 安装完整性检测工具(仅适用于PCI DSS范围内系统)由安全组安装文件完整性检测工具,确保以下文件被篡改时及时告警: 所有日志文件

14、/etc/profile.d /etc/inittab /etc/sysconfig/init /etc/hosts.allow /etc/hosts.deny /etc/modprobe.conf /etc/ntp.conf /etc/snmp/snmpd.conf /etc/ssh/ssh_config /etc/ssh/sshd_config /etc/ssh/ssh_host_key /etc/sysctl.conf /etc/syslog.conf /etc/grub.conf /etc/shadow /etc/sudoers /etc/group /etc/passwd /etc/login.defs /etc/securetty3.4.8 memcached安全配置memcached统一监听在以下端口之一:6666/11211/11212/11213,安全组将在网络边界对这些端口实施访问控制。 memcached应以nobody权限启用,禁止使用root权限启动。 3.4.9 rsyncd安全配置rsyncd配置必须符合以下安全要求 配置项默认配置要求配置list默认为true,即允许枚举模块列表。注意:通过帐号认证和ACL无法限制枚举行为。在全局配置设置为false或noauth_users

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号