Linux信息安全基线.docx

*人寿保险有限公司信息安全基线 CentOS版本号修订内容修订人审核人更新日期V1.0起草2016.8.18根据公司实际业务需要，增加和修改了账号分配、yum源/统一应用目录等配置。并删除不必要的配置。2018.1.41、目的本文档用于规范*人寿保险有限公司（以下简称公司）对CentOS平台的基本配置，并提供审查方法用于安全审查。本文内容阐述的配置方法是CentOS系统最低安全标准。2、适用范围本文适用于公司所有生产环境CentOS服务器，本文所涉及的管理办法适用于所有接触到公司信息资产的人员，包括但不限于公司所属集团公司人员、集团其他下属公司人员、外包人员、审查人员等。3、参考文件信息安全技术 信息系统安全等级保护基本要求（GB/T22239-2008）4、配置要求3.1 账户与登录设置3.1.1 禁止root直接登录要求内容限制root用户直接登录系统执行管理员权限操作，应该先以普通权限用户登录服务器后，切换到root账号执行相应操作检测方法SSH登录检查/etc/ssh/sshd_config文件,看PermitRootLogin是否设置。配置方法SSH登录修改/etc/ssh/sshd_config文件,配置PermitRootLogin no。重启服务：/etc/init.d/sshd restart。3.1.2 建立应用管理账号和只读账号要求内容系统配置gelcmw账号，用于应用管理，配置devuser账号用于应用故障诊断（只读权限）检测方法查看/etc/profile文件中是否设置TMOUT值配置方法gelcmw账号属组为appuser。/app目录的所有者为gelcmw，目录权限为027devuser 的账号属组为appuser3.1.3 登录超时时间要求内容用户登录超时秒数为1800秒检测方法查看/etc/profile文件中是否设置TMOUT值配置方法在/etc/profile文件中加入：Export TMOUT=18003.1.4 登录尝试过多时锁定要求内容某个账号连续登录失败10次后锁定该账户，锁定后10分钟自动解锁检测方法检查/etc/pam.d/sshd文件中是否有相关配置配置方法编辑/etc/pam.d/sshd文件中配置: auth required pam_tally.so deny=10 unlocktime=6003.2 口令策略3.2.1 口令最短长度要求内容口令长度不得少于8位检测方法查看/etc/login.defs文件中的PASS_MIN_LEN设置配置方法修改/etc/login.defs文件中的PASS_MIN_LEN为83.2.2 口令复杂度要求内容口令至少包含大写字母、小写字母、数字、特殊字符中3种。检测方法查看/etc/pam.d/system-auth文件中的password requisite pam_cracklib.so后面是否有设置minclass=3配置方法在/etc/pam.d/system-auth文件中的password requisite pam_cracklib.so一行后面加入minclass=33.2.3 口令历史要求内容密码不得使用最近5次用过的密码。检测方法检查/etc/pam.d/system-auth文件中password sufficient pam_unix.so一行是否有设置remember的值大于等于5配置方法在/etc/pam.d/system-auth文件中password sufficient pam_unix.so一行加入：remember=53.3 系统配置要求内容Deamon Umask不得小于027检测方法查看/etc/profile文件里umask设置是否均为027或更高配置方法修改/etc/profile，设置umask为027并修改/etc/profile文件，设置umask=0273.4 服务配置3.4.1 关闭不必要的服务要求内容如非必要，禁用下列服务：telnetvsftpdwu-ftpdSendmail ftp检测方法查看开启的服务配置方法停止服务3.4.2 配置统一的yum源要求内容设置yum源为公司统一的yum服务器，避免因更新造成异常。检测方法检查/etc/yum.repos.d/目录下的repo文件，只能包含公司的yum源配置方法在/etc/yum.repos.d/下新建centos-local.repo文件，设置iso的baseurl=/centosEpel的Baseurl=/epel3.4.3 配置统一的应用目录要求内容公司的应用统一部署在/app/路径下，目录所有者为gelcmw检测方法无配置方法无3.5 文件权限要求内容Passwd，shadow和group文件的owner和group必须设置为root。Passwd，group文件的权限必须为644；Shadow文件的权限必须设置为000检测方法查看上述文件的文件属性配置方法通过chown、chgrp、chmod等命令修改文件属性3.6 日志设置3.6.1 启用安全日志记录要求内容启用安全事件审计功能检测方法查看/etc/rsyslog.conf中是否有authpriv.* /var/log/secure配置方法在/etc/rsyslog.conf中必须包含：authpriv.* /var/log/secure重启syslog服务3.6.3 日志文件归档要求内容将系统日志同步至日志服务器检测方法查看/etc/rsyslog.conf中是否配置了远程日志服务器配置方法在/etc/rsyslog.conf中必须包含：*.* :5144、系统管理4.1 警示标语修改 /etc/motd配置文件，增加登陆系统合法警告提示。警示标语中应告知系统安全责任和义务。4.2 变更管理生产环境主机的配置变更，必须遵守系统变更