中国电信Linux操作系统安全配置规范.doc

《中国电信Linux操作系统安全配置规范.doc》由会员分享，可在线阅读，更多相关《中国电信Linux操作系统安全配置规范.doc（18页珍藏版）》请在金锄头文库上搜索。

1、保密等级：公开发放中国电信集团公司 发布2011-4实施2011-4发布中国电信Linux操作系统安全配置规范Specification for Linux OS Configuration Used in China TelecomQ/CT 2339-2011中国电信集团公司技术标准目 录目 录I前 言II1 范围12 规范性引用文件13 缩略语23.1 缩略语24 安全配置要求24.1 账号24.2 口令44.3 文件及目录权限64.4 远程登录74.5 补丁安全94.6 日志安全要求94.7 不必要的服务、端口114.8 系统Banner设置124.9 登陆超时时间设置124.10 删除

2、潜在危险文件134.11 FTP设置13附录A：端口及服务14前 言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下：（1）AIX操作系统安全配置规范（2）HP-UX操作系统安全配置规范（3）Solaris操作系统安全配置规范（4）Linux操作系统安全配置规范（本标准）（5）Windows 操作系统安全配置规范（6）MS SQL server数据库安全配置规范（7）MySQL数据库安全配置规范（8）Oracle数据

3、库安全配置规范（9）Apache安全配置规范（10）IIS安全配置规范（11）Tomcat安全配置规范（12）WebLogic安全配置规范本标准由中国电信集团公司提出并归口。1 范围适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以内核版本2.6及以上为例，给出参考配置操作。2 规范性引用文件Linux操作系统配置规范符合下列规范性文件：GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求YD/T 1732-2008固定通信网安全

4、防护要求YD/T 1734-2008移动通信网安全防护要求YD/T 1736-2008互联网安全防护要求YD/T 1738-2008增值业务网消息网安全防护要求YD/T 1740-2008增值业务网智能网安全防护要求YD/T 1758-2008非核心生产单元安全防护要求YD/T 1742-2008接入网安全防护要求YD/T 1744-2008传送网安全防护要求YD/T 1746-2008IP承载网安全防护要求YD/T 1748-2008信令网安全防护要求YD/T 1750-2008同步网安全防护要求YD/T 1752-2008支撑网安全防护要求YD/T 1756-2008电信网和互联网管理安全

5、等级保护要求3 缩略语下列缩略语适用于本标准：FTPFile Transfer Protocol文件传输协议UDPUser Datagram Protocol用户数据包协议TCPTransmission Control Protocol传输控制协议4 安全配置要求4.1 账号编号： 1要求内容应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中750为设置的权限，可

6、根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户

7、权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上未用）等检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。

8、编号： 3 要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作Cat /etc/passwdCat /etc/group2、补充操作说明检测方法1、判定条件人工分析判断2、检测操作编号：4要求内容使用PAM禁止任何人su为root操作指南参考操作：编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可

9、以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为： # chmod G10 username检测方法1、判定条件2、检测操作Cat /etc/pam.d/su 4.2 口令编号：1要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi /etc/login.defs ，修改设置如下PASS_MIN_LEN=8 #设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc mod

10、ule进行设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明pam_cracklib主要参数说明: tretry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数 dcredit=N:

11、 N = 0:密码中最多有多少个数字;N 0密码中最少有多少个数字. lcredit=N:小宝字母的个数 ucredit=N大宝字母的个数 credit=N:特殊字母的个数 minclass=N:密码组成(大/小字母,数字,特殊字符)pam_passwdqc主要参数说明: mix:设置口令字最小长度，默认值是mix=disabled。 max:设置口令字的最大长度，默认值是max=40。 passphrase:设置口令短语中单词的最少个数，默认值是passphrase=3，如果为0则禁用口令短语。 atch:设置密码串的常见程序，默认值是match=4。 similar:设置当我们重设口令时，

12、重新设置的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。 random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。 enforce:设置约束范围，enforce=none表示只警告弱口令字，但不禁止它们使用；enforce=users将对系统上的全体非根用户实行这一限制；enforce=everyone将对包括根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设置用户输入口令字时允许重试的次数，默认值是retry=3

13、。密码复杂度通过/etc/pam.d/system-auth实施编号： 2要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作vi /etc/login.defsPASS_MAX_DAYS=90 #设定口令的生存期不长于90天检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；4.3 文件及目录权限编号：1要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd

14、 必须所有用户都可读，root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并