Linux操作系统安全配置规范V10.doc

上传人：仙人指路1688

文档编号：2388008

上传时间：2023-02-17

格式：DOC

页数：18

大小：270.50KB

《Linux操作系统安全配置规范V10.doc》由会员分享，可在线阅读，更多相关《Linux操作系统安全配置规范V10.doc（18页珍藏版）》请在三一办公上搜索。

1、Linux操作系统安全配置规范版本号：1.0.0目录1概述11.1适用范围11.2外部引用说明11.3术语和定义11.4符号和缩略语12LINUX设备安全配置要求12.1账号管理、认证授权22.1.1账号22.1.2口令42.1.3授权102.2日志配置要求112.3IP协议安全配置要求132.3.1IP协议安全132.4设备其他安全配置要求142.4.1检查SSH安全配置142.4.2检查是否启用信任主机方式，配置文件是否配置妥当152.4.3检查是否关闭不必要服务152.4.4检查是否设置登录超时162.4.5补丁管理171 概述1.1 适用范围本规范适用于LINUX操作系统的设备。本规范

2、明确了LINUX操作系统配置的基本安全要求，在未特别说明的情况下，适用于Redhat与Suse操作系统版本。1.2 外部引用说明1.3 术语和定义1.4 符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2 LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用LINUX操作系统的设备。本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。2.1 账号管理、认证授权2.1.1 账号2.1.1.1 检查是否删除或

3、锁定无关账号检查项名称检查是否删除或锁定无关账号中文编号英文编号要求内容应删除或锁定与设备运行、维护等工作无关的账号。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤1、执行：#more /etc/passwd /etc/shadow查看是否存在以下可能无用的帐户：lp uucp nobody games rpm smmsp nfsnobody。Adm、sync、shutdown、halt、news、operator判定条件lp uucp nobody games rpm smmsp nfsnobody这些帐户不存在或者它们的密

4、码字段为!，则这些帐户被锁定，符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定无用帐户：方法一：#vi /etc/shadow在需要锁定的用户名的密码字段前面加!，如test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:方法二：#passwd -l test3、将/etc/passwd文件中的shell域设置成/bin/false。补充操作说明lp uucp no

5、body games rpm smmsp nfsnobodyAdm、sync、shutdown、halt、news、operator这些帐户不存在或者它们的密码字段为!2.1.1.2 检查是否限制root远程登录检查项名称检查是否限制root远程登录中文编号英文编号要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤查看配置文件# more /etc/securetty# more /etc/s

6、sh/sshd_config判定条件# more /etc/securetty检查是否有下列行：pts/x（x为一个十进制整数）#more /etc/ssh/sshd_config检查下列行设置是否为no并且未被注释：PermitRootLogin不存在pts/x则禁止了telnet登录，PermitRootLogin no禁止了ssh登录，符合以上条件则禁止了root远程登录，符合安全要求，否则低于安全要求。补充说明# Authentication:#LoginGraceTime 2m#PermitRootLogin yes#StrictModes yes#MaxAuthTries 6Per

7、mitRootLogin的值改为no，不允许root远程登录加固方案类别参考操作配置1、执行备份：#cp -p /etc/securetty /etc/securetty_bak#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useradd username#passwd username3、禁止root用户远程登录系统：#vi /etc/securetty注释形如pts/x的行，保存退出，则禁止了root从telnet登录。#vi /etc/ssh/sshd_config修改PermitRootL

8、ogin设置为no并不被注释，保存退出，则禁止了root从ssh登录。#/etc/init.d/sshd restart补充操作说明以下为测试telnet登录结果：/etc/pam.d/login /etc/seruretty 结果注释掉存在文件，存在PTS 能登录注释掉存在文件，不存在PTS 不能登录注释掉不存在文件能登录不注释不存在文件能登陆不注释存在文件，不存在PTS 不能登录不注释存在文件，存在PTS 能登录 /etc/ssh/sshd_config文件中PermitRootLogin值为no，并且/etc/security/user下值为pts2.1.2 口令2.1.

9、2.1 检查口令策略设置是否符合复杂度要求检查项名称检查口令策略设置是否符合复杂度要求中文编号安全要求-设备-通用-配置-4英文编号要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤#more /etc/pam.d/system-auth检查以下参数配置：password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 mincl

10、ass=2 minlen=8password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok是否配置了minlen=8，minclass=2。或者password requisite pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3password sufficient pam_unix.so nullok use_authtok md5 shadow是否配置了min=N0,N1,N2,N3,N4。其中N1代表使用两种字符时，口令最短长度。判定条件使用p

11、am_cracklib模块时，配置了minclass大于等于2，minlen大于等于6，符合安全要求，否则低于安全要求；如果使用pam_passwdqc模块，配置了min=N0,N1,N2,N3,N4,其中N1大于等于6，符合安全要要求，否则低于安全要求。补充说明可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度，两者不能同时使用。pam_cracklib主要参数说明: tretry=N：重试多少次后返回密码修改错误 difok=N：新密码必需与旧密码不同的位数 dcredit=N：N = 0密码中最多有多少个数字；N = 0密码中最多有

12、多少个数字；N 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行：# more /etc/login.defs检查PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE参数。判定条件PASS_MAX_DAYS值不大于90天则符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/login.defs /etc/login.defs_bak2、修改策略设置：#vi /etc/login.defs修改PASS_MIN_LEN的值为8，修改PASS_MAX_DAYS的值为90，按要求修改PAS

13、S_MIN_DAYS/PASS_WARN_AGE的值，保存退出补充操作说明/etc/login.defs文件中PASS_MAX_DAYS值不大于902.1.2.3 检查口令重复次数限制检查项名称检查口令重复次数限制中文编号安全要求-设备-通用-配置-6-可选英文编号要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤#cat /etc/pam.d/system-auth检查password required pam_unix.so所

14、在行是否存在remember=5判定条件存在remember大于等于5，则符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak2、创建文件/etc/security/opasswd，并设置权限：#touch /etc/security/opasswd#chown root:root /etc/security/opasswd#chmod 600 /etc/security/opasswd3、修改策略设置：#vi /etc/pam.d/system-auth在

15、password required pam_unix.so所在行增加remember=5，保存退出；补充操作说明/etc/pam.d/system-auth文件中存在passwordxxxremember=值大于等于52.1.2.4 检查口令锁定策略检查项名称检查口令锁定策略中文编号安全要求-设备-通用-配置-7-可选英文编号要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤1、执行：#cat /etc/pam.d/sys

16、tem-auth检查是否存在auth required pam_env.soauth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120判定条件存在deny的值小于等于6，则符合安全要求，否则低于安全要要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak2、修改策略设置：#vi /etc/pam.d/system-auth增加auth required pam_tally2.so deny=6

17、onerr=fail no_magic_root unlock_time=120到第二行。保存退出；补充操作说明使配置生效需重启服务器。root帐户不在锁定范围内。帐户被锁定后，可使用faillog -u -r或pam_tally -user -reset解锁。/etc/pam.d/system-auth文件中存在deny的值小于等于62.1.2.5 检查FTP是否禁止匿名登录检查项名称检查FTP是否禁止匿名登录中文编号英文编号要求内容FTP是否禁止匿名登录。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行命令：ftp lo

18、calhost输出成果：使用anonymous用户登录，输入密码：test，测试是否成功。判定条件符合：使用anonymous用户登录，输入密码：test，登录失败不符合：使用anonymous用户登录，输入密码：test，登录成功补充说明加固方案类别参考操作配置补充操作说明2.1.2.6 检查是否存在弱口令检查项名称检查是否存在弱口令中文编号英文编号要求内容用户密码不能是易猜测破解的简单密码，要求修改为复杂密码，符合密码复杂度要求并且不易联想猜测的密码检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤查看密码是否是易猜测破解

19、的简单密码判定条件是否存在弱口令补充说明加固方案类别参考操作配置更改口令使口令满足复杂度要求并且不易猜测补充操作说明2.1.3 授权2.1.3.1 检查帐号文件权限设置检查项名称检查帐号文件权限设置中文编号英文编号要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行：#ls -l /etc/passwd /etc/shadow /etc/group/etc/passwd 必须所有用户都可读，root用户可写 rw-rr/etc/shadow 只有root可读

20、r-/etc/group 必须所有用户都可读，root用户可写 rw-rr判定条件/etc/passwd权限为644，/etc/shadow权限为400，/etc/group权限为644，则符合安全要要求，如果权限高，则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp p /etc/passwd /etc/passwd_bak#cp p /etc/shadow /etc/shadow_bak#cp p /etc/group /etc/group_bak2、修改文件权限：#chmod 0644 /etc/passwd#chmod 0400 /etc/shadow#chmod 0

21、644 /etc/group补充操作说明/etc/passwd权限为644，/etc/shadow权限为400，/etc/group权限为6442.2 日志配置要求本部分对LINUX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。2.2.1.1 检查是否记录安全事件日

22、志检查项名称检查是否记录安全事件日志中文编号英文编号要求内容设备应配置日志功能，记录对与设备相关的安全事件。检查项类型日志配置 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行：#more /etc/syslog.conf存在类似如下语句：*.err;kern.debug;daemon.notice; /var/log/messages判定条件存在类似*.err;kern.debug;daemon.notice; /var/log/messages配置，则符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/

23、syslog.conf /etc/syslog.conf_bak2、修改配置：#vi /etc/syslog.conf配置形如*.err;auth.info /var/adm/messages的语句，保存退出3、重启syslog服务#/etc/init.d/syslog stop#/etc/init.d/syslog start补充操作说明/etc/syslog.conf文件中存在*.info或者filter f_messages或者*.err;auth.info2.2.1.2 检查是否配置远程日志保存检查项名称检查是否配置远程日志保存中文编号安全要求-设备-通用-配置-14-可选英文编号要求

24、内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检查项类型日志配置 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤Redhat6以下版本执行：#more /etc/syslog.confRedhat6以上版本执行：#more /etc/rsyslog.conf存在类似如下语句：*.* 10.4.83.218或者*.* 10.4.83.217判定条件配置日志发送到远程日志服务器，则符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/syslog.conf /etc/syslog.conf_b

25、ak（Redhat6以上版本使用rsyslog替换syslog）2、修改配置：#vi /etc/syslog.conf（Redhat6以上版本使用rsyslog替换syslog）加上这一行： *.* 10.4.83.218或者 *.* 10.4.83.217可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。10.4.83.218与10.4.83.217修改为实际的日志服务器。*.*和之间为一个Tab。3、重启syslog服务#/etc/init.d/syslog stop#/etc/init.d/syslog start补充操作说明/etc/syslog.co

26、nf中存在类似 IP或者udp IP注意： *.*和之间为一个Tab2.3 IP协议安全配置要求2.3.1 IP协议安全2.3.1.1 检查SNMP配置-修改SNMP的默认Community检查项名称检查SNMP配置-修改SNMP的默认Community中文编号安全要求-设备-LINUX-配置-21-可选英文编号要求内容如果采用了默认的SNMP配置，那么，SNMP的通讯字符串将是默认的public（只读）和private（可写），应对其进行更改。检查项类型其他配置 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤1、检查SNMP是否开启，若未开启，则符合要求。

27、若开启，执行第2步。检查操作：chkconfig -list snmpd 显示snmpd服务是否启动，所有运行级别下均为关闭，则符合要求。2、若SNMP开启，检查是否使用默认字符串，如未修改，则不符合要求。检查操作：R 执行：cat /etc/snmp/snmpd.conf 输出结果：检查SNMP的通讯字符串rocommunity或rwcommunity是否是默认的public（只读）和private（可写）（备注：应更改默认团体名public和private，才能满足安全要求）判定条件符合：未开启SNMP或连接字符串未设置为public、private不符合：连接字符串设置为public、p

28、rivate补充说明加固方案类别参考操作配置补充操作说明2.4 设备其他安全配置要求本部分作为对于LINUX操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充，对LINUX操作系统设备提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分安全配置要求的补充。2.4.1 检查SSH安全配置检查项名称检查SSH安全配置中文编号英文编号要求内容检查是否只允许协议2检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期检查方式检测操作步骤检查操作：执行：grep Protocol /etc/ssh/sshd_config 输出结果：“Pro

29、tocol 2” （备注：若为“Protocol 2”则符合安全要求。）备注：如果Protocol行被注释，利用SSH登录工具（如SecureCRT）登录，如果允许协议1，则不符合要求。判定条件符合：Protocol 2不符合：Protocol 2不存在或被注释补充说明加固方案类别参考操作配置补充操作说明2.4.2 检查是否启用信任主机方式，配置文件是否配置妥当检查项名称检查是否启用信任主机方式，配置文件是否配置妥当中文编号英文编号要求内容检查root,数据库管理账号目录下的.rhosts、hosts.equiv检查项类型其他配置 - 操作系统 - LINUX发布日期检查方式检测操作步骤执行

30、命令：cat $HOME/.rhosts或者cat /etc/hosts.equiv结果输出：(不能设置+，要配置具体的IP地址或主机名）判定条件符合：/.rhosts、/etc/hosts.equiv不存在+、只配置了具体IP地址或主机名不符合：/.rhosts、/etc/hosts.equiv存在+补充说明加固方案类别参考操作配置补充操作说明2.4.3 检查是否关闭不必要服务检查项名称检查是否关闭不必要服务中文编号英文编号要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检查项类型其他配置 - 操作系统 - LINUX发布日期检查方式检测操作步骤执行：#chkc

31、onfig -list #所有服务的开启关闭列表检查基本的网络服务的开启或禁止情况，以下服务都需要关闭：amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk tcpmux-server telnet tftp time-dgram time-stream

32、uucp;shell, login, exec, finger, auth，Anancron，Cups，Gpm，Isdn，Kudzu，Pcmcia，Rhnsd，sendmail判定条件以下服务都需要关闭：amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk

33、 tcpmux-server telnet tftp time-dgram time-stream uucp;shell, login, exec, finger, auth，Anancron，Cups，Gpm，Isdn，Kudzu，Pcmcia，Rhnsd，sendmail补充说明加固方案类别参考操作配置1、#chkconfig -list2、禁止非必要服务：#chkconfig service off开启服务为：#chkconfig service on补充操作说明以下服务都需要关闭：amanda chargen chargen-udp cups cups-lpd daytime dayt

34、ime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk tcpmux-server telnet tftp time-dgram time-stream uucp;shell, login, exec, finger, auth，Anancron，Cups，Gpm，Isdn，Kudzu，Pcmcia，Rhnsd，sendmail2.4.4 检查是否设置登录超时检查项名称检查是否设置登录超时中文编号英文编号要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出。检查项类型其他配置 - 操作系统 - LINUX发布日期检查方式检测操作步骤1、查看/etc/profile文件中是否有TMOUT；#cat /etc/profile |grep -i TMOUT2、查看文件/etc/csh.cshrc中是否有set autologout =30#cat /etc/csh.cshrc |grep -i autologout判定条