《Linux操作系统安全配置规范V10》由会员分享,可在线阅读,更多相关《Linux操作系统安全配置规范V10(21页珍藏版)》请在金锄头文库上搜索。
1、版版本本号号:1.0.0L i n u x 操操 作作 系系 统统 安安 全全 配配 置置 规规 范范目录1概述概述.11.1适用范围 .11.2外部引用说明 .11.3术语和定义 .11.4符号和缩略语 .12LINUX 设备安全配置要求设备安全配置要求.12.1账号管理、认证授权 .22.1.1账号.22.1.2口令.42.1.3授权.102.2日志配置要求 .112.3IP 协议安全配置要求.132.3.1IP 协议安全.132.4设备其他安全配置要求 .142.4.1检查SSH安全配置.142.4.2检查是否启用信任主机方式,配置文件是否配置妥当.152.4.3检查是否关闭不必要服务.
2、152.4.4检查是否设置登录超时.162.4.5补丁管理.1711 概述概述1.1 适用范围适用范围本规范适用于 LINUX 操作系统的设备。本规范明确了 LINUX 操作系统配置的基本安全要求,在未特别说明的情况下,适用于 Redhat 与 Suse 操作系统版本。1.2 外部引用说明外部引用说明1.3 术语和定义术语和定义1.4 符号和缩略语符号和缩略语(对于规范出现的英文缩略语或符号在这里统一说明。 )缩写英文描述中文描述2 LINUX 设备安全配置设备安全配置要求要求本规范所指的设备为采用 LINUX 操作系统的设备。本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用 LI
3、NUX 操作系统的设备。本规范从运行 LINUX 操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。22.1 账号管理、认证授权账号管理、认证授权2.1.1 账号账号2.1.1.1检查是否删除或锁定无关账号检查是否删除或锁定无关账号检查项名称检查是否删除或锁定无关账号中文编号英文编号要求内容应删除或锁定与设备运行、维护等工作无关的账号。 检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤1、执行: #more /etc/passwd /etc/shadow 查看是否存在以下可能
4、无用的帐户: lp uucp nobody games rpm smmsp nfsnobody。 Adm、sync、shutdown、halt、news、operator判定条件lp uucp nobody games rpm smmsp nfsnobody 这些帐户不存在或者它们 的密码字段为!,则这些帐户被锁定,符合安全要求,否则低于安全 要求。补充说明加固方案类别参考操作配置1、执行备份: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak 2、锁定无用帐户: 方法一: #vi /etc/shadow
5、 在需要锁定的用户名的密码字段前面加!,如 test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7: 方法二: #passwd -l test 3、将/etc/passwd 文件中的 shell 域设置成/bin/false。补充操作说明lp uucp nobody games rpm smmsp nfsnobody Adm、sync、shutdown、halt、news、operator 这些帐户不存在或者它 们的密码字段为!32.1.1.2检查是否限制检查是否限制 root 远程登录远程登录检查项名称检查是否限制 root 远程登录
6、中文编号英文编号要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤查看配置文件 # more /etc/securetty # more /etc/ssh/sshd_config判定条件# more /etc/securetty 检查是否有下列行: pts/x(x 为一个十进制整数) #more /etc/ssh/sshd_config 检查下列行设置是否为 no 并且未被注释: Permit
7、RootLogin 不存在 pts/x 则禁止了 telnet 登录,PermitRootLogin no 禁止了 ssh 登 录,符合以上条件则禁止了 root 远程登录,符合安全要求,否则低 于安全要求。补充说明# Authentication: #LoginGraceTime 2m #PermitRootLogin yes #StrictModes yes #MaxAuthTries 6PermitRootLogin 的值改为 no,不允许 root 远程登录加固方案类别参考操作配置1、执行备份: #cp -p /etc/securetty /etc/securetty_bak #cp
8、-p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2、新建一个普通用户并设置高强度密码: #useradd username #passwd username 3、禁止 root 用户远程登录系统: #vi /etc/securetty 注释形如 pts/x 的行,保存退出,则禁止了 root 从 telnet 登录。 #vi /etc/ssh/sshd_config 修改 PermitRootLogin 设置为 no 并不被注释,保存退出,则禁止了 root 从 ssh 登录。4#/etc/init.d/sshd restart补充操作说明以下为测试 telnet 登录结果
