Linux系统加固规范.doc

Linux 系统加固规范系统加固规范 山东省计算中心山东省计算中心 20192019 年年 3 3 月月 1 1 1 1 账号管理、认证授权账号管理、认证授权账号管理、认证授权账号管理、认证授权 ..1 Linux-01-01-01Linux-01-01-01Linux-01-01-01Linux-01-01-01 编号 Linux-01-01-01 名称为不同的管理员分配不同的账号 实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。 问题影响账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态cat /etc/passwd 记录当前用户列表 实施步骤 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中 755 为设置的权限，可根据 实际情况设置相应的权限，directory 是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令 及权限信息等。 回退方案恢复 httpd.conf 文件，重启 APACHE 判断依据判断是否漏洞。 实施风险中 重要等级 ..2 Linux-01-01-02Linux-01-01-02Linux-01-01-02Linux-01-01-02 编号 Linux-01-01-02 名称去除不需要的帐号、修改默认帐号的 shell 变量 实施目的删除系统不需要的默认帐号、更改危险帐号缺省的 shell 变量 问题影响允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记 录当前密码配置 实施步骤 1、参考配置操作 # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话，建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的 shell 变量，例如 uucp,ftp 和 news 等， 还有一些仅仅需要 FTP 功能的帐号，一定不要给他们设置 /bin/bash 或者/bin/sh 等 Shell 变量。可以在/etc/passwd 中将它 们的 shell 变量设为/bin/false 或者/dev/null 等，也可以使用 usermod -s /dev/null username 命令来更改 username 的 shell 为/dev/null。 回退方案恢复账号或者 SHELL 判断依据如上述用户不需要，则锁定。 实施风险中 重要等级 备注 ..3 Linux-01-01-03Linux-01-01-03Linux-01-01-03Linux-01-01-03 编号 Linux-01-01-03 名称限制超级管理员远程登录 实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员 权限操作，应先以普通权限用户远程登录后，再切换到超级 管理员权限账。 问题影响允许 root 远程非法登陆 系统当前状态 cat /etc/ssh/sshd_config cat /etc/securetty 实施步骤 1、 参考配置操作 SSH: #vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 #service sshd restart CONSOLE: 在/etc/securetty 文件中配置：CONSOLE = /dev/tty01 回退方案 还原配置文件 /etc/ssh/sshd_config 判断依据/etc/ssh/sshd_config 中 PermitRootLogin no 实施风险高 重要等级 备注 ..4 Linux-01-01-04Linux-01-01-04Linux-01-01-04Linux-01-01-04 编号 Linux-01-01-04 名称对系统账号进行登录限制 实施目的 对系统账号进行登录限制，确保系统账号仅被守护进程和服 务使用。 问题影响可能利用系统进程默认账号登陆，账号越权使用 系统当前状态cat /etc/passwd 查看各账号状态。 实施步骤 1、 参考配置操作 Vi /etc/passwd 例如修改 lynn:x:500:500:/home/lynn:/sbin/bash 更改为： lynn:x:500:500:/home/lynn:/sbin/nologin 该用户就无法登录了。 禁止所有用户登录。 touch /etc/nologin 除 root 以外的用户不能登录了。 2、补充操作说明 禁止交互登录的系统账号，比如 daemon,bin,sys、adm、lp、 uucp、nuucp、smmsp 等等 回退方案还原/etc/passwd 文件配置 判断依据/etc/passwd 中的禁止登陆账号的 shell 是 /sbin/nologin 实施风险中 重要等级 备注 ..5 Linux-01-01-05Linux-01-01-05Linux-01-01-05Linux-01-01-05 编号 Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = “)print $1 /etc/passwd 实施步骤 awk -F: ($2 = “)print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户增 加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..6 Linux-01-01-06Linux-01-01-06Linux-01-01-06Linux-01-01-06 编号 Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = “)print $1 /etc/passwd 实施步骤 awk -F: ($2 = “)print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户增 加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..7 Linux-01-01-07Linux-01-01-07Linux-01-01-07Linux-01-01-07 编号 Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = “)print $1 /etc/passwd 实施步骤 awk -F: ($2 = “)print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户增 加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..8 Linux-01-01-08Linux-01-01-08Linux-01-01-08Linux-01-01-08 编号 Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = “)print $1 /etc/passwd 实施步骤 awk -F: ($2 = “)print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户增 加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..9 Linux-01-01-09Linux-01-01-09Linux-01-01-09Linux-01-01-09 编号 Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = “)print $1 /etc/passwd 实施步骤 awk -F: ($2 = “)print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户增 加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..10Linux-01-01-10Linux-01-01-10Linux-01-01-10Linux-01-01-10 编号 Linux-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。 问题影响用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 = “)print $1 /etc/passwd 实施步骤 awk -F: ($2 = “)print $1 /etc/passwd 用 root 用户登陆 Linux 系统，执行 passwd 命令，给用户增 加口令。 例如：passwd test test。 回退方案 Root 身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat /etc/passwd 实施风险高 重要等级 备注 ..11Linux-01-01-11Linux-01-01-11Linux-01-01-11Linux-01-01-11 ..12Linux-01-01-12Linux-01-01-12Linux-01-01-12Linux-01-01-12 ..13Linux-01-01-05Linux-01-01-05Linux-01-01-05Linux-01-01-05 ..14Linux-01-01-05Linux-01-01-05Linux-01-01-05Linux-01-01-05 ..15Linux-01-01-05Linux-01-01-05Linux-01-01-05Linux-01-01-05 ..16Linux-01-01-05Linux-01-01-05Linux-01-01-05Linux-01-01-05 ..17Linux-01-01-05Linux-01-01-05Linux-01-01-05Linux-01-01-05 2 2 2 日志配置日志配置日志配置日志配置 ..1 Linux-02-01-01Linux-02-01-01Linux-02-01-01Linux-02-01-01 编号 Linux-02-01-01 名称审核登陆 实施目的 对运行错误、用户访问等进行记录，记录内容包括时间，用户使 用的 IP 地址等内容。 问题影响非法访问，恶意攻击。 系统当前状态 查看 httpd.conf 文件中的 ErrorLog 、LogFormat（cat httpd.conf | grep ErrorLog） 查看 ErrorLog 指定的日志文件如 logs/error_log 中的内容是否完整 (cat logs/error_log) 实施步骤 1、参考配置操作、参考配置操作 编辑 httpd.conf 配置文件，设置日志记录文件、记录内容、记录格 式。 LogLevel notice ErrorLog logs/error_log LogFormat “%h %l %u %t “%r“ %s %b “%Accepti“ “%Refereri“ “%User-Agenti“ combined CustomLog logs/access_log combined ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的日 志文件，Apache httpd 将在这个文件中存放诊断信息和处理请求中 出现的错误。若要将错误日志送到 Syslog，则设置：ErrorLog syslog。 CustomLog 指令设置访问日志的文件名和位置。访问日志中会记录 服务器所处理的所有请求。 LogFormat 设置日志格式。LogLevel 用于调整记录在错误日志中的 信息的详细程度，建议设置为 notice。 回退方案恢复原始状态。 判断依据查看 logs 目录中相关日志文件内容，记录完整。 实施风险中 重要等级 备注 3 3 3 通信协议通信协议通信协议通信协议 ..1 Linux-03-01-01Linux-03-01-01Linux-03-01-01Linux-03-01-01 编号 Linux-03-01-01 名称更改默认端口 实施目的更改 Apache 服务器默认端口，防止非法访问。 问题影响恶意攻击。 系统当前状态查看 httpd.conf 文件，查看端口是否与原来相同。 实施步骤 1、参考配置操作、参考配置操作 （1）修改 httpd.conf 配置文件，更改默认端口到 8080 Listen x.x.x.x:8080 （2）重启 Apache 服务 回退方案恢复原始状态。 判断依据 1、判定条件、判定条件 使用 8080 端口登陆页面成功 2、检测操作、检测操作 登陆 http:/ip:8080 实施风险高 重要等级 备注 4 4 4 设备其他安全要求设备其他安全要求设备其他安全要求设备其他安全要求 ..1 Linux-04-01-01Linux-04-01-01Linux-04-01-01Linux-04-01-01 编号 Linux-04-01-01 名称补丁修复 实施目的升级 APACHE 修复漏洞 问题影响容易引起恶意攻击。 系统当前状态 查看版本 Linux : apachectl -V 实施步骤 到 下载新版本的 APACHE 公开的 apache 漏洞 2008-08-11 Apache Tomcat Connection: close Content-length: -1 LF LF 实施风险中 重要等级 备注 ..5 Linux-04-01-05Linux-04-01-05Linux-04-01-05Linux-04-01-05 编号 Linux-04-01-05 名称限制请求消息长度 实施目的限制 http 请求的消息主体的大小。 问题影响恶意攻击。 系统当前状态Cat httpd.conf 文件，看是否与原来相同。 实施步骤 1、参考配置操作、参考配置操作 编辑 httpd.conf 配置文件，修改为 102400Byte LimitRequestBody 102400 回退方案恢复原始状态。 判断依据 1、判定条件、判定条件 检查配置文件设置。 2、检测操作、检测操作 上传文件超过 100K 将报错。 实施风险中 重要等级 备注 ..6 Linux-04-01-06Linux-04-01-06Linux-04-01-06Linux-04-01-06 编号 Linux-04-01-06 名称错误页面处理 实施目的Apache 错误页面重定向。 问题影响恶意攻击。 系统当前状态 查看 httpd.conf 文件，查看 ErrorDocument 文件是否与修改前相 同。 实施步骤 1、参考配置操作、参考配置操作 (1) 修改 httpd.conf 配置文件： ErrorDocument 400 /custom400.html ErrorDocument 401 /custom401.html ErrorDocument 403 /custom403.html ErrorDocument 404 /custom404.html ErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.html Customxxx.html 为要设置的错误页面。 (2)重新启动 Apache 服务 回退方案恢复原始状态。 判断依据 1、判定条件、判定条件 指向指定错误页面 2、检测操作、检测操作 URL 地址栏中输入 http:/ip/xxxxxxx（一个不存在的页面） 实施风险高 重要等级 备注 4.1.74