收藏
下载资源

移动liunx操作系统安全配置规

上传人:mg****2 文档编号:122009407 上传时间:2020-02-29 格式:DOC 页数:15 大小:168.50KB
返回 下载 相关 举报
移动liunx操作系统安全配置规_第1页
第1页 / 共15页
移动liunx操作系统安全配置规_第2页
第2页 / 共15页
移动liunx操作系统安全配置规_第3页
第3页 / 共15页
移动liunx操作系统安全配置规_第4页
第4页 / 共15页
移动liunx操作系统安全配置规_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《移动liunx操作系统安全配置规》由会员分享,可在线阅读,更多相关《移动liunx操作系统安全配置规(15页珍藏版)》请在金锄头文库上搜索。

1、 word LinuxLinux 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 3 月 word 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 word 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权账号管理 认证授权 2 2 1账号 2 2 1 1用户口令设

2、置 2 2 1 2root用户远程登录限制 2 2 1 3检查是否存在除root之外UID为0的用户 3 2 1 4root用户环境变量的安全性 3 2 2认证 4 2 2 1远程连接的安全性配置 4 2 2 2用户的umask安全配置 4 2 2 3重要目录和文件的权限设置 4 2 2 4查找未授权的SUID SGID文件 5 2 2 5检查任何人都有写权限的目录 6 2 2 6查找任何人都有写权限的文件 6 2 2 7检查没有属主的文件 7 2 2 8检查异常隐含文件 7 第第 3 章章日志审计日志审计 9 3 1日志 9 3 1 1syslog登录事件记录 9 3 2审计 9 3 2 1

3、Syslog conf的配置审核 9 第第 4 章章系统文件系统文件 11 4 1系统状态 11 4 1 1系统core dump状态 11 第第 5 章章评审与修订评审与修订 12 word 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 LINUX 操作系 统的主机应当遵循的操作系统安全性设置标准 本文档旨在指导系统管理人员或安全检查 人员进行 LINUX 操作系统的安全合规性检查和配置 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息

4、化部门维护管理的 LINUX 服务器系统 1 3 适用版本适用版本 LINUX 系列服务器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 word 第第 2 章章账号管理 认证授权账号管理 认证授权 2 1 账号账号 2 1 1 用户口令设置用户口令设置 安全基线项安全基线项 目名称目名称 操作系统 Linux 用户口令安全基线要求项 安全基线

5、编安全基线编 号号 SBL Linux 02 01 01 安全基线项安全基线项 说明说明 帐号与口令 用户口令设置 检测操作步检测操作步 骤骤 1 询问管理员是否存在如下类似的简单用户密码配置 比如 root root test test root root1234 2 执行 more etc login defs 检查 PASS MAX DAYS PASS MIN LEN PASS MIN DAYS PASS WARN AG E 参数 3 执行 awk F 2 print 1 etc shadow 检查是否存在空口令账 号 基线符合性基线符合性 判定依据判定依据 建议在 etc login

6、defs 文件中配置 PASS MIN LEN 6 不允许存在简单密码 密码设置符合策略 如长度至少为 6 不存在空口令账号 备注备注 2 1 2 root 用户远程登录限制用户远程登录限制 安全基线项安全基线项 目名称目名称 操作系统 Linux 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 01 02 安全基线项安全基线项 说明说明 帐号与口令 root 用户远程登录限制 检测操作步检测操作步 执行 more etc securetty 检查 Console 参数 word 骤骤 基线符合性基线符合性 判定依据判定依据 建议在 etc securetty 文

7、件中配置 CONSOLE dev tty01 备注备注 2 1 3 检查是否存在除检查是否存在除 root 之外之外 UID 为为 0 的用户的用户 安全基线项安全基线项 目名称目名称 操作系统 Linux 超级用户策略安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 01 03 安全基线项安全基线项 说明说明 帐号与口令 检查是否存在除 root 之外 UID 为 0 的用户 检测操作步检测操作步 骤骤 执行 awk F 3 0 print 1 etc passwd 基线符合性基线符合性 判定依据判定依据 返回值包括 root 以外的条目 则低于安全要求 备注备注 补充操

8、作说明 UID 为 0 的任何用户都拥有系统的最高特权 保证只有 root 用户的 UID 为 0 2 1 4 root 用户环境变量的安全性用户环境变量的安全性 安全基线项安全基线项 目名称目名称 操作系统 Linux 超级用户环境变量安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 01 04 安全基线项安全基线项 说明说明 帐号与口令 root 用户环境变量的安全性 检测操作步检测操作步 骤骤 执行 echo PATH egrep 检查是否包含父目录 执行 find echo PATH tr type d perm 002 o perm 020 ls 检 查是否包含组

9、目录权限为 777 的目录 基线符合性基线符合性 判定依据判定依据 返回值包含以上条件 则低于安全要求 备注备注 补充操作说明 确保 root 用户的系统路径中不包含父目录 在非必要的情况下 不应包含 组权限为 777 的目录 word 2 2 认证认证 2 2 1 远程连接的安全性配置远程连接的安全性配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 远程连接安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 01 安全基线项安全基线项 说明说明 帐号与口令 远程连接的安全性配置 检测操作步检测操作步 骤骤 执行 find name netrc 检查系统中

10、是否有 netrc 文件 执行 find name rhosts 检查系统中是否有 rhosts 文件 基线符合性基线符合性 判定依据判定依据 返回值包含以上条件 则低于安全要求 备注备注 补充操作说明 如无必要 删除这两个文件 2 2 2 用户的用户的 umask 安全配置安全配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 用户 umask 安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 02 安全基线项安全基线项 说明说明 帐号与口令 用户的 umask 安全配置 检测操作步检测操作步 骤骤 执行 more etc profile more et

11、c csh login more etc csh cshrc more etc bashrc 检查是否包含 umask 值 基线符合性基线符合性 判定依据判定依据 umask 值是默认的 则低于安全要求 备注备注 补充操作说明 建议设置用户的默认 umask 077 2 2 3 重要目录和文件的权限设置重要目录和文件的权限设置 安全基线项安全基线项 目名称目名称 操作系统 Linux 目录文件权限安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 03 word 安全基线项安全基线项 说明说明 文件系统 重要目录和文件的权限设置 检测操作步检测操作步 骤骤 执行以下命令

12、检查目录和文件的权限设置情况 ls l etc ls l etc rc d init d ls l tmp ls l etc inetd conf ls l etc passwd ls l etc shadow ls l etc group ls l etc security ls l etc services ls l etc rc d 基线符合性基线符合性 判定依据判定依据 若权限过低 则低于安全要求 备注备注 补充操作说明 对于重要目录 建议执行如下类似操作 chmod R 750 etc rc d init d 这样只有 root 可以读 写和执行这个目录下的脚本 2 2 4 查找未授

13、权的查找未授权的 SUID SGID 文件文件 安全基线项安全基线项 目名称目名称 操作系统 Linux SUID SGID 文件安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 04 安全基线项安全基线项 说明说明 文件系统 查找未授权的 SUID SGID 文件 检测操作步检测操作步 骤骤 用下面的命令查找系统中所有的 SUID 和 SGID 程序 执行 for PART in grep v etc fstab awk 6 0 print 2 do find PART perm 04000 o perm 02000 type f xdev print Done 基

14、线符合性基线符合性 判定依据判定依据 若存在未授权的文件 则低于安全要求 word 备注备注 补充操作说明 建议经常性的对比 suid sgid 文件列表 以便能够及时发现可疑的后门程序 2 2 5 检查任何人都有写权限的目录检查任何人都有写权限的目录 安全基线项安全基线项 目名称目名称 操作系统 Linux 目录写权限安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 05 安全基线项安全基线项 说明说明 文件系统 检查任何人都有写权限的目录 检测操作步检测操作步 骤骤 在系统中定位任何人都有写权限的目录用下面的命令 for PART in awk 3 ext2 3

15、ext3 print 2 etc fstab do find PART xdev type d perm 0002 a perm 1000 print Done 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 备注备注 2 2 6 查找任何人都有写权限的文件查找任何人都有写权限的文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 文件写权限安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 06 安全基线项安全基线项 说明说明 文件系统 查找任何人都有写权限的文件 检测操作步检测操作步 骤骤 在系统中定位任何人都有写权限的文件用下面的命

16、令 for PART in grep v etc fstab awk 6 0 print 2 do find PART xdev type f perm 0002 a perm 1000 print Done 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 备注备注 word 2 2 7 检查没有属主的文件检查没有属主的文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 文件所有权安全基线要求项 安全基线编安全基线编 号号 SBL Linux 02 02 07 安全基线项安全基线项 说明说明 文件系统 检查没有属主的文件 检测操作步检测操作步 骤骤 定位系统中没有属主的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART nouser o nogroup print done 注意 不用管 dev 目录下的那些文件 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 备注备注 补充操作说明 发现没有属主的文件往往就意味着有黑客入侵你的系统了 不能允许没有主

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号