《(完整word版)Linux安全配置基线-2018.5.23.doc》由会员分享,可在线阅读,更多相关《(完整word版)Linux安全配置基线-2018.5.23.doc(18页珍藏版)》请在金锄头文库上搜索。
1、|Linux 系统安全配置基线文件名称Linux 系统安全配置基线密级内部文件编号MJX-AQJX-Linux-2018版 本 号v1.0编写部门技术部编 写 人杨辉审 批 人杨辉发布时间2018.5.18Linux 系统安全配置基线内部公开武汉明嘉信信息安全检测评估有限公司文档变更记录序号修订前版本修订内容完成日期修订人修订后版本1V1.0初稿2018.5.18杨辉v1.02345备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第1章概述41.1目的41.2适用范围41.3适用版本41.4实施41.5例外条款4第2章帐号管理、认证授权52.1帐号52.
2、1.1用户口令设置52.1.2用户口令强度要求52.1.3用户锁定策略62.1.4root用户远程登录限制62.1.5检查是否存在除root之外UID为0的用户72.1.6root用户环境变量的安全性72.2认证82.2.1远程连接的安全性配置82.2.2用户的umask安全配置82.2.3重要目录和文件的权限设置82.2.4查找未授权的SUID/SGID文件*92.2.5检查任何人都有写权限的目录*102.2.6查找任何人都有写权限的文件*102.2.7检查没有属主的文件*112.2.8检查异常隐含文件*112.2.9登录超时设置122.2.10使用SSH远程登录122.2.11Root远程
3、登录限制132.2.12关闭不必要的服务*13第3章日志审计153.1日志153.1.1syslog登录事件记录*153.2审计153.2.1Syslog.conf的配置审核*15第4章系统文件174.1系统状态174.1.1系统core dump状态17第5章评审与修订18第1章 概述1.1 目的本文档规定了武汉明嘉信信息安全检测评估有限公司技术部所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本
4、配置标准适用的范围包括:武汉明嘉信信息安全检测评估有限公司技术部维护管理的LINUX 服务器系统。1.3 适用版本LINUX系列服务器。1.4 实施本标准的解释权和修改权属于武汉明嘉信信息安全检测评估有限公司技术部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。第2章 帐号管理、认证授权2.1 帐号2.1.1 用户口令设置安全基线项目名称操作系统Linux用户口令设置安全基线要求项安全基线编号SBL-Linux-02-01-01 安全基线项说明 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置
5、,比如:root/root, test/test, root/root12342、执行:more /etc/login.defs,检查PASS_MAX_DAYS/ PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行:awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令帐号基线符合性判定依据建议在/etc/login.defs文件中配置:PASS_MAX_DAYS 90 #新建用户的密码最长使用天数PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数不存在空口令帐号备
6、注2.1.2 用户口令强度要求安全基线项目名称操作系统Linux用户口令强度安全基线要求项安全基线编号SBL-Linux-02-01-02 安全基线项说明 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤/etc/pam.d/system-auth文件中是否对pam_cracklib.so的参数进行了正确设置。基线符合性判定依据建议在/etc/pam.d/system-auth 文件中配置:password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcred
7、it=-1 dcredit=1 至少8位,包含一位大写字母,一位小写字母和一位数字备注2.1.3 用户锁定策略安全基线项目名称操作系统Linux用户口令锁定策略安全基线要求项安全基线编号SBL-Linux-02-01-03 安全基线项说明 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次,锁定该用户使用的帐号。检测操作步骤/etc/pam.d/system-auth文件中是否对pam_tally.so的参数进行了正确设置。基线符合性判定依据设置连续输错10次密码,帐号锁定5分钟,使用命令“vi /etc/pam.d/ system-auth”修改配置文件,添加auth r
8、equired pam_tally.so onerr=fail deny=10 unlock_time=300注:解锁用户 faillog -u -r备注2.1.4 root用户远程登录限制安全基线项目名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-04 安全基线项说明 帐号与口令-root用户远程登录限制检测操作步骤执行:more /etc/securetty,检查Console参数基线符合性判定依据建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01备注2.1.5 检查是否存在除root之外UID为0的用户安全基线项
9、目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-05 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行:awk -F: ($3 = 0) print $1 /etc/passwd基线符合性判定依据返回值包括“root”以外的条目,则低于安全要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为02.1.6 root用户环境变量的安全性安全基线项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线编号SBL-Linux-02-01-06 安全基线项说明 帐号与口令
10、-root用户环境变量的安全性检测操作步骤执行:echo $PATH | egrep (|:)(.|:|$),检查是否包含父目录,执行:find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录2.2 认证2.2.1 远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线编号SBL-Linux-02-02
11、-01 安全基线项说明 帐号与口令-远程连接的安全性配置检测操作步骤执行:find / -name .netrc,检查系统中是否有.netrc文件,执行:find / -name .rhosts ,检查系统中是否有.rhosts文件基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明如无必要,删除这两个文件2.2.2 用户的umask安全配置安全基线项目名称操作系统Linux用户umask安全基线要求项安全基线编号SBL-Linux-02-02-02 安全基线项说明 帐号与口令-用户的umask安全配置检测操作步骤执行:more /etc/profile more /etc/
12、csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值且umask=027基线符合性判定依据umask值是默认的,则低于安全要求备注补充操作说明建议设置用户的默认umask=0272.2.3 重要目录和文件的权限设置安全基线项目名称操作系统Linux目录文件权限安全基线要求项安全基线编号SBL-Linux-02-02-03 安全基线项说明 文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况:ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/ine
13、td.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基线符合性判定依据若权限过低,则低于安全要求;备注补充操作说明对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2.2.4 查找未授权的SUID/SGID文件*安全基线项目名称操作系统Linux SUID/SGID文件安全基线要求项安全基线编号SBL-Linux-02-02-04 安全基线项说明 文件系统-查找未授权的SUID/SGID文件检测操作步骤用下面的命令查找系统中所有的SUID和SGID程序,执行:for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基线符合性判定依据若存在未授权的文件,则低于安全要求;备注需要手工检查。补充操作说明建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序2.2.5 检查任何人都有写权限的目录*
