收藏
下载资源

linux安全配置规范

上传人:cl****1 文档编号:467775536 上传时间:2022-10-16 格式:DOCX 页数:38 大小:29.22KB
返回 下载 相关 举报
linux安全配置规范_第1页
第1页 / 共38页
linux安全配置规范_第2页
第2页 / 共38页
linux安全配置规范_第3页
第3页 / 共38页
linux安全配置规范_第4页
第4页 / 共38页
linux安全配置规范_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《linux安全配置规范》由会员分享,可在线阅读,更多相关《linux安全配置规范(38页珍藏版)》请在金锄头文库上搜索。

1、Linux安全配置规范2011年3月第一章概述1.1适用范围适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求,适用 于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同,本规范以内核版本及以上为例, 给出参 考配置操作。第二章 安全配置要求账号编号:1要求内容应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1参考配置操作为用户创建账号:#useradd user name # 仓 U 建账号#passwd user name # 设置密石马修改权限:#chm

2、od 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)使用该命令为不同的用户分配不问的账号,设置不问的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行些常用操作;3补充说明编号:2要求内容应删除或锁7E与设备运仃、维护等工作无关的账号。操作指南1 参考配置操作删除用户:#userdel user name;锁定用户:1)修改/etc/shadow文件,用户名后加*LK*2)将尼tc/passwd文件中的shell域设置成/bi n/false

3、3)#passwd -I user name只有具备超级用户权限的使用者方可使用,#passwd-I user name 锁定用户,用 #passwd - d user name 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的 用户:liste n, gdm,webservd ,n obody ,n obody4、no access 注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等检测方法1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的 用户

4、:liste n, gdm,webservd ,n obody ,n obody4、no access 编号:3要求内容根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。操作指南1、参考配置操作Cat /etc/passwdCat /etc/group2、补充操作说明检测方法1 判定条件人工分析判断2、检测操作编号:4要求内容使用PAM禁止任何人su为root操作指南参考操作:编辑SU文件(VI /etc/su),在开头添加下面两行:authsufficie nt /lib/security/auth required /lib/security/group二wheel

5、这表明只有wheel组的成员可以使用su命令成 为 root用户。你可以把用户添加到wheel组,以使七口以使用su命 令成为root用户。添加方法为:# chmod - G10 user name检测方法1判定条件2检测操作Cat /etc/su口令编号:1要求内容对于米用静态口令认证技术的设备,口令长度至少8位,并包括数字、小与字母、大与字母和特殊符号4类中至少3类。操作指南1 参考配置操作vi /etc/ ,修改设置如下PASS_MIN_LEN=8设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module 进

6、行设置检测方法1判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作 1、检查口令强度配置选项是否可以进行如下配置:I.配置口令的最小长度;ii.将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;输入带有 特殊符号的复杂口令、普通复杂口令,查看系统是否可以 成功设置。3补充说明pam_cracklib主要参数说明:? tretry=N:重试多少次后返回密码修改错误? dfok=N:新密码必需与旧密码不同的位数? dcredit二N:N =

7、 0:密码中最多有多少个数字;N 0密码中最少有多少个数字.? lcredit=N: 小宝字母的个数? ucredit=N大宝字母的个数? credit二N:特殊字母的个数mix:设置口令字最小长度,默认值是mix 二 disabled。max:设置口令字的最大长度,默认值是max=4 (。passphrase:设置口令短语中单词的最少个数,默 认值是passphrase=3,如果为0则禁用口令短语。a忙h:设置密码串的常见程序,默认值是match=4Osimilar: 设置当我们重设口令时,重新设置的新口 令能否与旧口令相似,它可以是similar二permit 允许 相似或similar二

8、deny不允许相似。ran dom:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。enforce: 设置约束范围,enforce二none表示只警 告弱口令字,但不禁止它们使用; en force二users将 对系统上的全体非根用户实行这一限制;en force二 everyo ne将对包括根用户在内的全体用户实 行这一限制。non-un ix:它告诉这个模块不要使用传统的getpw nam函数调用获得用户信息。retry:设置用户输入口令字时允许重试的次数, 默编号:2要求内容对于爪用静态口令认证技术的设备,帐户口令的生存 期不长于90天。操作指南1、参考配

9、置操作vi / etc/PASS_MAX_DAYS=90#设定口令的生存期不长于 90天检测方法1判定条件登录不成功;2、检测操作使用超过90天的帐户口令登录;3补充说明测试时可以将90天的设置缩短来做测试;文件及目录权限编号:1要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd 必须所有用户都可读,root用户可写rw-r r /etc/shadow 只有 root 可读一r/etc/group须所有用户都可读, root用户可写rw-r r 使用如下命令设置:chm

10、od 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限,就需移去组及其它用户对尼tc的写权限(特殊情况除外)检测方法执行命令 #chmod -R go-w /etc1、判定条件1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;2、记录能够配置的权限选项内容;3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。2、检测操作1 利用管理员账号登录系统,并创建2个不同的用户;2、创建用户时查看系统是否提供了用户权限级别以及可访问

11、系统资源和命令的选项;3为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;4、分别利用2个新建的账号访问设备系统,并分别尝试 访问允许访问的内容和不允许访问的内容,查看权限配置 策略是否生效。3、补充说明编号:2要求内容控制用户缺省访问权限,当在创建新文件或目录时应屏蔽 掉新文件或目录不应有的访问允许权限。防止同属于该组 的其它用户及别的组的用户修改该用户的文件或更局限 制。操作指南1参考配置操作设置默认权限:Vi /etc/在木尾增加umask 027,将缺省访可权限设置为750修改文件或目录的权限,操作举例如下:#chmod

12、 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限;2补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用检测方法1判定条件权限设置符合实际需要;不应有的访问允许权限被屏 蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#ls -I dir; #查看目录dir的权限#cat /etc/查看是否有umask 027内容3补充说明umask的默认设置一般为022,这给新创建的文件默认权限755( 7-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。umask的计算:uma

13、sk是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制就+用八7: /古 七4工 + /4 .方/古生工 八生明 +点人工 ddd、印编号:3要求内容如果需要启用FTP服务,控制FTP进程缺省访问权限,当 通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录 不应有的访问允许权限。操作指南1 参考配置操作以vsftp为例fJH/etc/vsftpd/chroot_list文件,将需要限制的用户名加入到文件中2、补充操作说明检测方法1 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:3

14、、补充说明远程登录编号:1要求内容限制具备超级管埋员权限的用户远程登录。远程执行管埋员权限操作,应先以普通权限用户远程登录后,再切换到超级管埋员权限账号后执行相应操作。操作指南1参考配置操作编辑/etc/passwd,帐号信息的shell为/sbi n/no log in 的为禁止远程登录,如要允许,则改成可以登录的shell K|J nJ,女口 /bin/bash2、补充操作说明如果限制root从远程ssh登录,修改/etc/ssh/sshd_config 文件,将 PermitRootLogin yes改为 PermitRootLogin no ,重启 sshd 服务。检测方法1判定条件root远程登录不成功,提示“没有权限”;普通用户可以登录成功,而且可以切换到root用户;2检测操作root从远程使用telnet登录;普通用户从远程使用teln et登录;root从远程使用ssh登录;普通用户从远程使用SSh登录;3补充说明限制root从远程ssh登录,修改/etc/ssh/sshd

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号