《Linu系统安全配置基线》由会员分享,可在线阅读,更多相关《Linu系统安全配置基线(14页珍藏版)》请在金锄头文库上搜索。
1、L Li in nu u 系系统统安安全全配配置置基基线线 SANY GROUP system office room 【SANYUA16H-LinuxLinux 系统安全配置基线系统安全配置基线目录目录第第 1 1 章章概述概述 . 1. 11.11.21.3目的 . 1适用范围 . 1适用版本 . 1第第 2 2 章章安装前准备工作安装前准备工作 . 1 . 12.1需准备的光盘 . 1第第 3 3 章章操作系统的基本安装操作系统的基本安装 . 1 . 13.1基本安装 . 1第第 4 4 章章账号管理、认证授权账号管理、认证授权 . 2 . 24.1账号 . 24.1.1用户口令设置.2
2、4.1.2检查是否存在除root之外UID为0 的用户 . 34.1.3检查多余账户.34.1.4分配账户.44.1.5账号锁定.44.1.6检查账户权限.54.2认证 . 54.2.1远程连接的安全性配置 .54.2.2限制ssh连接的IP 配置 .64.2.3用户的umask安全配置 .64.2.4查找未授权的SUID/SGID文件 .74.2.5检查任何人都有写权限的目录 .74.2.6查找任何人都有写权限的文件 .84.2.7检查没有属主的文件 .84.2.8检查异常隐含文件 .9第第 5 5 章章日志审计日志审计 . 10. 105.1日志 . 105.1.1 syslog登录事件记
3、录.105.2审计 . 105.2.1 Syslog.conf的配置审核.105.2.2日志增强.115.2.3 syslog系统事件审计.11第第 6 6 章章其他配置操作其他配置操作 . 12 . 126.1系统状态 . 126.1.1系统超时注销.126.2LINUX服务. 126.2.1禁用不必要服务 .12第第 7 7 章章持续改进持续改进 . 13. 13第第1 1章章 概述概述1.11.1 目的目的本文规定了 Linux操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行 Linux 操作系统的安全合规性检查和配置。1.21.2 适用范围适用
4、范围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括:Linux服务器。1.31.3 适用版本适用版本适用于 RedhatAS5。第第2 2章章 安装前准备工作安装前准备工作2.12.1 需准备的光盘需准备的光盘从 RedHat 官网下载高级企业服务器版操作系统,并制作成光盘。第第3 3章章 操作系统的基本安装操作系统的基本安装3.13.1 基本安装基本安装(1)应在隔离网络进行安装。选择 custom 方式,根据最小化原则,仅安装需要的软件包。(2)根据服务器的实际用途来确实是否需要给/VAR,/HOME 划分单独的分区。(3)安装完成后尽快通过合
5、适可行的方式安装重要的补丁程序。第第4 4章章 账号管理、认证授权账号管理、认证授权4.14.1 账号账号4.1.14.1.1用户口令设置用户口令设置操作系统 Linux用户口令安全基线要求项帐号与口令-用户口令设置,配置用户口令强度检查达到 12位,要求用户口令包括数字、小写字母、大写字母和特殊符号 4类中至少 2 类。1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root,test/test,root/root12342、执行:more/etc/login,检查PASS_MIN_LEN12PASS_MAX_DAYS90PASS_WARN_AGE73、执行:awk-F:(
6、$2=)print$1/etc/shadow,检查是否存在空口令账号4、编辑/etc/pam.d/system-auth文件,将passwordrequisitepam_cracklib.sotry_first_passretry=3改为passwordrequisitepam_cracklib.sotry_first_passretry=3dcredit=-1ocredit=-1安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据不允许存在简单密码,密码设置至少包括一个数字和一个特殊字符,长度至少为 12位检查 greppa
7、m_cracklib/etc/pam.d/system-auth修改已有用户的口令生存期和过期告警天数备注备注#chage-M90-W7htsc_temp4.1.24.1.2检查是否存在除检查是否存在除 rootroot 之外之外 UIDUID 为为 0 0 的用户的用户操作系统 Linux超级用户策略安全基线要求项安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户执行:awk-F:($3=0)print$1/etc/passwd返回值包括“root”
8、以外的条目,则低于安全要求。补充操作说明UID为 0的任何用户都拥有系统的最高特权,保证只有 root用户的 UID为 04.1.34.1.3检查多余账户检查多余账户操作系统 Linux无用账户策略安全基线要求项帐号与口令-检查是否存在如下不必要账户:lp,sync,shutdown,halt,news,uucp,operator,games,gopher等,安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注执行:cat/etc/passwd如果不使用,用以下命令进行删除。#delusertest01如发现上述账户,
9、则低于安全要求。如主机存在 gnone,则需要保留 games账号4.1.44.1.4分配账户分配账户操作系统 Linux账户策略安全基线要求项给不同的用户分配不同的帐号,避免多个用户共享帐号。至少分配 root,auditor,operator角色。1 1、参考配置操作、参考配置操作#useraddauditor#新建帐号#passwdauditor#设置口令#chmod700auditor#修改用户主目录权限,确保只有该用户可以读写#vi/etc/passwd注释掉不用的账户 auditor#停用不用的账户安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤
10、基线符合基线符合性判定依性判定依据据1 1、判定条件、判定条件用新建的用户登陆系统成功,可以做常用的操作,用户不能访问其他用户的主目录。2 2、检测操作、检测操作用不同用户登陆,检查用户主目录的权备注备注4.1.54.1.5账号锁定账号锁定操作系统 Linuxr认证失败锁定要求项设置帐号在 3 次连续尝试认证失败后锁定,锁定时间为1 分钟,避免用户口令被暴力破解。1 1、参考配置操作、参考配置操作建立/var/log/faillog文件并设置权限#touch/var/log/faillog#chmod600/var/log/faillog编辑/etc/pam.d/system-auth文件,在
11、authrequiredpam_env.so后面添加authrequiredpam_tally.soonerr=faildeny=3unlock_time=60安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注1 1、判定条件、判定条件连续输入错误口令 3 次以上,再输正确口令,用户不能登陆。2 2、检测操作、检测操作greppam_tally/etc/pam.d/system-auth4.1.64.1.6检查账户权限检查账户权限操作系统 Linux无用账户策略安全基线要求项帐号与口令-检查除 ROOT外是否有其他账
12、户拥有 shell 权限执行:cat/etc/passwd观察是否有非 root账户设置/bin/bash 或/bin/sh权限无特殊应用情况下,如发现上述账户,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注4.24.2 认证认证4.2.14.2.1远程连接的安全性配置远程连接的安全性配置操作系统 Linux远程连接安全基线要求项帐号与口令-远程连接的安全性配置执行:find/-rc,检查系统中是否有.netrc文件;执行:find/-name.rhosts,检查系统中是否有.rhosts 文件返
13、回值包含以上条件,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注补充操作说明如无必要,删除这两个文件4.2.24.2.2限制限制 sshssh 连接的连接的 IPIP 配置配置操作系统 Linux远程连接安全基线要求项配置 tcp_wrappers,限制允许远程登陆系统的IP 范围。1 1、参考配置操作、参考配置操作编辑/etc/hosts.deny添加sshd:ALL编辑/etc/hosts.allow添加sshd:#允许 0 网段远程登陆sshd:#允许 0 网段远程登陆安全基线安全基线项目名
14、称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据1 1、判定条件、判定条件只有网管网段可以 ssh 登陆系统。2 2、检测操作、检测操作cat/etc/hosts.denycat/etc/hosts.allow备注备注对于不需要 sshd 服务的无需配置该项。中心机房以外的服务器管理,暂时不做源地址限制。4.2.34.2.3用户的用户的 umaskumask 安全配置安全配置操作系统 Linux用户 umask安全基线要求项帐号与口令-用户的 umask安全配置执行:more/etc/profilemore/etc/csh.loginmore/
15、etc/csh.cshrcmore/etc/bashrc检查是否包含 umask值umask 值是默认的,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注补充操作说明:vi/etc/profile建议设置用户的默认 umask=0774.2.44.2.4查找未授权的查找未授权的 SUID/SGIDSUID/SGID 文件文件操作系统 LinuxSUID/SGID文件安全基线要求项文件系统-查找未授权的 SUID/SGID文件用下面的命令查找系统中所有的 SUID和 SGID 程序,执行:forPAR
16、Tingrep-v#/etc/fstab|awk($6!=0)print$2;dofind$PART(-perm-04000-o-perm-02000)-typef-xdev-printDone若存在未授权的文件,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注补充操作说明建议经常性的对比 suid/sgid文件列表,以便能够及时发现可疑的后门程序4.2.54.2.5检查任何人都有写权限的目录检查任何人都有写权限的目录操作系统 Linux目录写权限安全基线要求项文件系统-检查任何人都有写权限的目录在
17、系统中定位任何人都有写权限的目录用下面的命令:forPARTinawk($3=ext2|$3=ext3)print$2/etc/fstab;dofind$PART-xdev-typed(-perm-0002-a!-perm-1000)-print安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤Done基线符合基线符合性判定依性判定依据据备注备注若返回值非空,则低于安全要求。4.2.64.2.6查找任何人都有写权限的文件查找任何人都有写权限的文件操作系统 Linux文件写权限安全基线要求项文件系统-查找任何人都有写权限的文件在系统中定位任何人都有写权限的文件用
18、下面的命令:forPARTingrep-v#/etc/fstab|awk($6!=0)print$2;dofind$PART-xdev-typef(-perm-0002-a!-perm-1000)-printDone若返回值非空,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注4.2.74.2.7检查没有属主的文件检查没有属主的文件操作系统 Linux文件所有权安全基线要求项文件系统-检查没有属主的文件定位系统中没有属主的文件用下面的命令:forPARTingrep-v#/etc/fstab|awk
19、($6!=0)print$2;dofind$PART-nouser-o-nogroup-printdone注意:不用管“/dev”目录下的那些文件若返回值非空,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属主的文件存在。如果在系统中发现了没有属主的文件或目录,先查看它的完整性,如果一切正常,给它一个属主。有时候卸载程序可能会出现一些没有属主的文件或目录,在这种情况下可以把这些文件和目录删除掉。4.2.84.2.8检查异常
20、隐含文件检查异常隐含文件操作系统 Linux隐含文件安全基线要求项文件系统-检查异常隐含文件用“find”程序可以查找到这些隐含文件。例如:#find/-name.*-printxdev#find/-name*-print-xdev|cat-v同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名)若返回值非空,则低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件
21、),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。在 UNIX/LINUX下,一个常用的技术就是用一些特殊的名,如:“”、“.”(点点空格)或“.G”(点点 control-G),来隐含文件或目录。第第5 5章章 日志审计日志审计5.15.1 日志日志5.1.15.1.1syslogsyslog 登录事件记录登录事件记录操作系统 Linux登录审计安全基线要求项日志审计-syslog登录事件记录执行命令:more/etc/syslog.conf查看参数 authpriv值Authpriv.*/var/log/secure若未对所有登录事件都记录,则
22、低于安全要求。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注5.25.2 审计审计5.2.15.2.1Syslog.confSyslog.conf 的配置审核的配置审核操作系统 Linux配置审计安全基线要求项开启系统的审计功能,记录用户对系统的操作,包括但不限于账号创建、删除,权限修改和口令修改。1 1、参考配置操作、参考配置操作#chkconfigauditdon1 1、判定条件、判定条件系统能够审计用户操作。2 2、检测操作、检测操作chkconfig-listauditd用 aureport、ausear
23、ch 查看审计日志。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注5.2.25.2.2日志增强日志增强操作系统 Linux日志增强要求项使 messages只可追加,使轮循的 messages文件不可更改,从而防止非法访问目录或者删除日志的操作执行命令:Chattr+a/var/log/messagesChattr+i/var/log/messages.*Chattr+i/etc/shadowChattr+i/etc/passwdChattr+i/etc/group使用 lsattr 判断属性安全基线安全基线项目
24、名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注5.2.35.2.3syslogsyslog 系统事件审计系统事件审计操作系统 Linux登录审计安全基线要求项日志审计-syslog系统安全事件记录,方便管理员分析安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注执行命令:more/etc/syslog.conf查看参数:*.err;kern.debug;daemon.notice;/var/adm/messages若未对所有登录事件都记录,则低于安全要求。
25、第第6 6章章 其他配置操作其他配置操作6.16.1 系统状态系统状态6.1.16.1.1系统超时注销系统超时注销操作系统超时注销要求项设置帐号超时自动注销。1 1、参考配置操作、参考配置操作编辑/etc/profile文件,添加TMOUT=300用户登陆后如果 300 秒内没有做任何操作,则自动注销登陆。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤基线符合基线符合性判定依性判定依据据备注备注1 1、判定条件、判定条件用户登陆后,在指定的时间内没进行操作,可以自动注销。2 2、检测操作、检测操作登陆系统,在设定时间内不做任何操作动作,检查是否注销。6.2
26、6.2 LinuxLinux 服务服务6.2.16.2.1禁用不必要服务禁用不必要服务操作系统系统服务管理安全基线要求项根据实际情况,关闭不必要的系统服务,如:finger,kudzu,isdn,nfs,apm,sound,pcmcia,vsftpd,rhnsd,Bluetooth,sendmail,lpd,netfs,telnet,RPC,imap 等服务。安全基线安全基线项目名称项目名称安全基线安全基线项说明项说明检测操作检测操作步骤步骤1. grep-v#/etc/inetd.conf 检查不必要开启的服务。2. #chkconfig-list#显示服务列表#chkconfigservicenameoff#关闭服务自启动基线符合基线符合性判定依性判定依据据备注备注#servicestopservicename #关闭指定服务在无特殊应用情况下,若有上述提到的服务开启,则不符合要求。第第7 7章章 持续改进持续改进本文件由 XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
