收藏
下载资源

Linux系统安全系统配置基线

上传人:博****1 文档编号:504628183 上传时间:2023-05-02 格式:DOC 页数:15 大小:128KB
返回 下载 相关 举报
Linux系统安全系统配置基线_第1页
第1页 / 共15页
Linux系统安全系统配置基线_第2页
第2页 / 共15页
Linux系统安全系统配置基线_第3页
第3页 / 共15页
Linux系统安全系统配置基线_第4页
第4页 / 共15页
Linux系统安全系统配置基线_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《Linux系统安全系统配置基线》由会员分享,可在线阅读,更多相关《Linux系统安全系统配置基线(15页珍藏版)》请在金锄头文库上搜索。

1、wordLinux系统安全配置基线目 录第1章概述1111第2章安装前准备工作11第3章操作系统的根本安装11第4章账号管理、认证授权22233445556677889第5章日志审计10101010101111第6章其他配置操作1212121212第7章持续改良13 / 第1章 概述1.1 目的本文规定了Linux 操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进展Linux 操作系统的安全合规性检查和配置。1.2 适用X围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的X围包括:Linux 服务器。1.3 适用版本适

2、用于Redhat AS 5。第2章 安装前准备工作2.1 需准备的光盘从RedHat官网下载高级企业服务器版操作系统,并制作成光盘。第3章 操作系统的根本安装3.1 根本安装1应在隔离网络进展安装。选择custom方式,根据最小化原如此,仅安装需要的软件包。2根据服务器的实际用途来确实是否需要给/VAR,/HOME划分单独的分区。3安装完成后尽快通过适宜可行的方式安装重要的补丁程序。第4章 账号管理、认证授权4.1 账号4.1.1 用户口令设置安全基线项目名称操作系统Linux用户口令安全基线要求项安全基线项说明 某某与口令-用户口令设置, 配置用户口令强度检查达到12位,要求用户口令包括数字

3、、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root12342、执行:more /etc/login,检查PASS_MIN_LEN 12PASS_MAX_DAYS 90PASS_WARN_AGE 73、执行:awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令账号4、编辑/etc/pam.d/system-auth文件,将password requisite pam_cracklib.so try_first_pass retry

4、=3改为password requisite pam_cracklib.so try_first_pass retry=3dcredit=-1 ocredit=-1基线符合性判定依据不允许存在简单密码,密码设置至少包括一个数字和一个特殊字符,长度至少为12位修改已有用户的口令生存期和过期告警天数#chage -M 90 -W 7 htsc_temp备注4.1.2 检查是否存在除root之外UID为0的用户安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线项说明 某某与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行:awk -F: ($3 = 0) print

5、 $1 /etc/passwd基线符合性判定依据返回值包括“root以外的条目,如此低于安全要求。备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为04.1.3 检查多余账户安全基线项目名称操作系统Linux无用账户策略安全基线要求项安全基线项说明 某某与口令-检查是否存在如下不必要账户:lp, sync, shutdown, halt, news, uucp, operator, games, gopher等,检测操作步骤执行:cat /etc/passwd如果不使用,用以下命令进展删除。#deluser test01基线符合性判定依据如发现上述账户,如

6、此低于安全要求。如主机存在gnone,如此需要保存games账号备注4.1.4 分配账户安全基线项目名称操作系统Linux账户策略安全基线要求项安全基线项说明 给不同的用户分配不同的某某,防止多个用户共享某某。至少分配root,auditor,operator角色。检测操作步骤1、参考配置操作#useradd auditor #新建某某#passwd auditor #设置口令#chmod 700 auditor #修改用户主目录权限,确保只有该用户可以读写#vi /etc/passwd注释掉不用的账户auditor #停用不用的账户 基线符合性判定依据1、判定条件用新建的用户登陆系统成功,可

7、以做常用的操作,用户不能访问其他用户的主目录。2、检测操作用不同用户登陆,检查用户主目录的权备注4.1.5 账号锁定安全基线项目名称操作系统Linuxr认证失败锁定要求项安全基线项说明 设置某某在3次连续尝试认证失败后锁定,锁定时间为1分钟,防止用户口令被暴力破解。检测操作步骤1、参考配置操作建立/var/log/faillog文件并设置权限#touch /var/log/faillog#chmod 600 /var/log/faillog编辑/etc/pam.d/system-auth文件,在后面添加auth required pam_tally.so onerr=fail deny=3 u

8、nlock_time=60基线符合性判定依据1、判定条件连续输入错误口令3次以上,再输正确口令,用户不能登陆。2、检测操作备注4.1.6 检查账户权限安全基线项目名称操作系统Linux无用账户策略安全基线要求项安全基线项说明 某某与口令-检查除ROOT外是否有其他账户拥有shell权限检测操作步骤执行:cat /etc/passwd观察是否有非root账户设置/bin/bash或/bin/sh权限基线符合性判定依据无特殊应用情况下,如发现上述账户,如此低于安全要求。备注4.2 认证4.2.1 远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线项说明 某某与口令

9、-远程连接的安全性配置检测操作步骤执行:find / -name .netrc,检查系统中是否有.netrc文件;基线符合性判定依据返回值包含以上条件,如此低于安全要求。备注补充操作说明如无必要,删除这两个文件4.2.2 限制ssh连接的IP配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线项说明 配置tcp_wrappers,限制允许远程登陆系统的IPX围。检测操作步骤1、参考配置操作添加sshd:ALL添加sshd: #允许网段远程登陆sshd: #允许网段远程登陆基线符合性判定依据1、判定条件只有网管网段可以ssh登陆系统。2、检测操作备注对于不需要sshd服务的无需配

10、置该项。中心机房以外的服务器管理,暂时不做源地址限制。4.2.3 用户的umask安全配置安全基线项目名称操作系统Linux用户umask安全基线要求项安全基线项说明 某某与口令-用户的umask安全配置检测操作步骤执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值基线符合性判定依据umask值是默认的,如此低于安全要求。备注补充操作说明:vi /etc/profile建议设置用户的默认umask=0774.2.4 查找未授权的SUID/SGID文件安全基线项目名称操

11、作系统Linux SUID/SGID文件安全基线要求项安全基线项说明 文件系统-查找未授权的SUID/SGID文件检测操作步骤用下面的命令查找系统中所有的SUID和SGID程序,执行:for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基线符合性判定依据假如存在未授权的文件,如此低于安全要求。备注补充操作说明建议经常性的比照suid/sgid文件列表,以便能够与时发现可疑的后门程序4.2.

12、5 检查任何人都有写权限的目录安全基线项目名称操作系统Linux目录写权限安全基线要求项安全基线项说明 文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令:for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合性判定依据假如返回值非空,如此低于安全要求。备注4.2.6 查找任何人都有写权限的文件安全基线项目名称操作系统Linux文件写权限

13、安全基线要求项安全基线项说明 文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令:for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合性判定依据假如返回值非空,如此低于安全要求。备注4.2.7 检查没有属主的文件安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线项说明 文件系统-检查没有属主的文件检测操作步骤定位系统中没有

14、属主的文件用下面的命令:for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -nouser -o -nogroup -printdone注意:不用管“/dev目录下的那些文件基线符合性判定依据假如返回值非空,如此低于安全要求。备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属主的文件存在。如果在系统中发现了没有属主的文件或目录,先查看它的完整性,如果一切正常,给它一个属主。有时候卸载程序可能会出现一些没有属主的文件或目录,在这种情况下可以把这些文件和目录删除掉。4.2.8 检查异常隐含文件安全基线项目名称操作系统Linux隐含文件安全基线要求项安全基线项说明 文件系统-检查异常隐含文件检测操作步骤

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号