Linux系统安全配置基线.doc

Linux 系统安全配置基线系统安全配置基线 Linux 系统安全配置基线 ii 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 第第 2 章章安装前准备工作安装前准备工作 1 2 1需准备的光盘 1 第第 3 章章操作系统的基本安装操作系统的基本安装 1 3 1基本安装 1 第第 4 章章账号管理 认证授权账号管理 认证授权 2 4 1账号 2 4 1 1用户口令设置 2 4 1 2检查是否存在除root之外UID为0的用户 3 4 1 3检查多余账户 3 4 1 4分配账户 4 4 1 5账号锁定 4 4 1 6检查账户权限 5 4 2认证 5 4 2 1远程连接的安全性配置 5 4 2 2限制ssh连接的IP配置 6 4 2 3用户的umask安全配置 6 4 2 4查找未授权的SUID SGID文件 7 4 2 5检查任何人都有写权限的目录 7 4 2 6查找任何人都有写权限的文件 8 4 2 7检查没有属主的文件 8 4 2 8检查异常隐含文件 9 第第 5 章章日志审计日志审计 10 5 1日志 10 5 1 1syslog登录事件记录 10 5 2审计 10 5 2 1Syslog conf的配置审核 10 5 2 2日志增强 11 5 2 3syslog系统事件审计 11 第第 6 章章其他配置操作其他配置操作 12 6 1系统状态 12 6 1 1系统超时注销 12 6 2LINUX服务 12 Linux 系统安全配置基线 iii 6 2 1禁用不必要服务 12 第第 7 章章持续改进持续改进 13 Linux 系统安全配置基线 1 第第 1 章章概述概述 1 1 目的目的 本文规定了 Linux 操作系统主机应当遵循的操作系统安全性设置标准 本文档旨在指导系统管 理人员或安全检查人员进行 Linux 操作系统的安全合规性检查和配置 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 安全管理员和相关使用人员 本配置标准适用的范围包括 Linux 服务器 1 3 适用版本适用版本 适用于 Redhat AS 5 第第 2 章章安装前准备工作安装前准备工作 2 1 需准备的光盘需准备的光盘 从 RedHat 官网下载高级企业服务器版操作系统 并制作成光盘 第第 3 章章操作系统的基本安装操作系统的基本安装 3 1 基本安装基本安装 1 应在隔离网络进行安装 选择 custom 方式 根据最小化原则 仅安装需要的软件包 2 根据服务器的实际用途来确实是否需要给 VAR HOME 划分单独的分区 3 安装完成后尽快通过合适可行的方式安装重要的补丁程序 Linux 系统安全配置基线 2 第第 4 章章账号管理 认证授权账号管理 认证授权 4 1 账号账号 4 1 1 用户口令设置用户口令设置 安全基线项安全基线项 目名称目名称 操作系统 Linux 用户口令安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令 用户口令设置 配置用户口令强度检查达到 12 位 要求用户口 令包括数字 小写字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 询问管理员是否存在如下类似的简单用户密码配置 比如 root root test test root root1234 2 执行 more etc login 检查 PASS MIN LEN 12 PASS MAX DAYS 90 PASS WARN AGE 7 3 执行 awk F 2 print 1 etc shadow 检查是否存在空口令账 号 4 编辑 etc pam d system auth 文件 将 password requisite pam cracklib so try first pass retry 3 改为 password requisite pam cracklib so try first pass retry 3 dcredit 1 ocredit 1 基线符合性基线符合性 判定依据判定依据 不允许存在简单密码 密码设置至少包括一个数字和一个特殊字符 长度至 少为 12 位 检查 grep pam cracklib etc pam d system auth 修改已有用户的口令生存期和过期告警天数 chage M 90 W 7 htsc temp Linux 系统安全配置基线 3 备注备注 4 1 2 检查是否存在除检查是否存在除 root 之外之外 UID 为为 0 的用户的用户 安全基线项安全基线项 目名称目名称 操作系统 Linux 超级用户策略安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令 检查是否存在除 root 之外 UID 为 0 的用户 检测操作步检测操作步 骤骤 执行 awk F 3 0 print 1 etc passwd 基线符合性基线符合性 判定依据判定依据 返回值包括 root 以外的条目 则低于安全要求 备注备注补充操作说明 UID 为 0 的任何用户都拥有系统的最高特权 保证只有 root 用户的 UID 为 0 4 1 3 检查多余账户检查多余账户 安全基线项安全基线项 目名称目名称 操作系统 Linux 无用账户策略安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令 检查是否存在如下不必要账户 lp sync shutdown halt news uucp operator games gopher 等 检测操作步检测操作步 骤骤 执行 cat etc passwd 如果不使用 用以下命令进行删除 deluser test01 基线符合性基线符合性 判定依据判定依据 如发现上述账户 则低于安全要求 如主机存在 gnone 则需要保留 games 账 号 备注备注 Linux 系统安全配置基线 4 4 1 4 分配账户分配账户 安全基线项安全基线项 目名称目名称 操作系统 Linux 账户策略安全基线要求项 安全基线项安全基线项 说明说明 给不同的用户分配不同的帐号 避免多个用户共享帐号 至少分配 root auditor operator 角色 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 useradd auditor 新建帐号 passwd auditor 设置口令 chmod 700 auditor 修改用户主目录权限 确保只有该用户可以读写 vi etc passwd 注释掉不用的账户 auditor 停用不用的账户 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 用新建的用户登陆系统成功 可以做常用的操作 用户不能访问其他用户的 主目录 2 检测操作 检测操作 用不同用户登陆 检查用户主目录的权 备注备注 4 1 5 账号锁定账号锁定 安全基线项安全基线项 目名称目名称 操作系统 Linuxr 认证失败锁定要求项 安全基线项安全基线项 说明说明 设置帐号在 3 次连续尝试认证失败后锁定 锁定时间为 1 分钟 避免用户 口令被暴力破解 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 建立 var log faillog 文件并设置权限 touch var log faillog chmod 600 var log faillog 编辑 etc pam d system auth 文件 在 auth required pam env so 后面添加 auth required pam tally so onerr fail deny 3 unlock time 60 基线符合性基线符合性 1 判定条件 判定条件 Linux 系统安全配置基线 5 判定依据判定依据 连续输入错误口令 3 次以上 再输正确口令 用户不能登陆 2 检测操作 检测操作 grep pam tally etc pam d system auth 备注备注 4 1 6 检查账户权限检查账户权限 安全基线项安全基线项 目名称目名称 操作系统 Linux 无用账户策略安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令 检查除 ROOT 外是否有其他账户拥有 shell 权限 检测操作步检测操作步 骤骤 执行 cat etc passwd 观察是否有非 root 账户设置 bin bash 或 bin sh 权限 基线符合性基线符合性 判定依据判定依据 无特殊应用情况下 如发现上述账户 则低于安全要求 备注备注 4 2 认证认证 4 2 1 远程连接的安全性配置远程连接的安全性配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 远程连接安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令 远程连接的安全性配置 检测操作步检测操作步 骤骤 执行 find name netrc 检查系统中是否有 netrc 文件 执行 find name rhosts 检查系统中是否有 rhosts 文件 基线符合性基线符合性 判定依据判定依据 返回值包含以上条件 则低于安全要求 备注备注补充操作说明 Linux 系统安全配置基线 6 如无必要 删除这两个文件 4 2 2 限制限制 ssh 连接的连接的 IP 配置配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 远程连接安全基线要求项 安全基线项安全基线项 说明说明 配置 tcp wrappers 限制允许远程登陆系统的 IP 范围 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 编辑 etc hosts deny 添加 sshd ALL 编辑 etc hosts allow 添加 sshd 168 8 44 0 255 255 255 0 允许 168 8 44 0 网段远程登陆 sshd 168 8 43 0 255 255 255 0 允许 168 8 43 0 网段远程登陆 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 只有网管网段可以 ssh 登陆系统 2 检测操作 检测操作 cat etc hosts deny cat etc hosts allow 备注备注对于不需要 sshd 服务的无需配置该项 中心机房以外的服务器管理 暂时不做源地址限制 4 2 3 用户的用户的 umask 安全配置安全配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 用户 umask 安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令 用户的 umask 安全配置 检测操作步检测操作步 骤骤 执行 more etc profile more etc csh login more etc csh cshrc more etc bashrc 检查是否包含 umask 值 Linux 系统安全配置基线 7 基线符合性基线符合性 判定依据判定依据 umask 值是默认的 则低于安全要求 备注备注补充操作说明 vi etc profile 建议设置用户的默认 umask 077 4 2 4 查找未授权的查找未授权的 SUID SGID 文件文件 安全基线项安全基线项 目名称目名称 操作系统 Linux SUID SGID 文件安全基线要求项 安全基线项安全基线项 说明说明 文件系统 查找未授权的 SUID SGID 文件 检测操作步检测操作步 骤骤 用下面的命令查找系统中所有的 SUID 和 SGID 程序 执行 for PART in grep v etc fstab awk 6 0 print 2 do find PART perm 04000 o perm 02000 type f xdev print Done 基线符合性基线符合性 判定依据判定依据 若存在未授权的文件 则低于安全要求 备注备注补充操作说明 建议经常性的对比 suid sgid 文件列表 以便能够及时发现可疑的后门程序 4 2 5 检查任何人都有写权限的目录检查任何人都有写权限的目录 安全基线项安全基线项 目名称目名称 操作系统 Linux 目录写权限安全基线要求项 安全基线项安全基线项 说明说明 文件系统 检查任何人都有写权限的目录 检测操作步检测操作步 骤骤 在系统中定位任何人都有写权限的目录用下面的命令 for PART in awk 3 ext2 3 ext3 print 2 etc fstab do find PART xdev type d perm 0002 a perm 1000 print Done Linux 系统安全配置基线 8 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 备注备注 4 2 6 查找任何人都有写权限的文件查找任何人都有写权限的文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 文件写权限安全基线要求项 安全基线项安全基线项 说明说明 文件系统 查找任何人都有写权限的文件 检测操作步检测操作步 骤骤 在系统中定位任何人都有写权限的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART xdev type f perm 0002 a perm 1000 print Done 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 备注备注 4 2 7 检查没有属主的文件检查没有属主的文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 文件所有权安全基线要求项 安全基线项安全基线项 说明说明 文件系统 检查没有属主的文件 检测操作步检测操作步 骤骤 定位系统中没有属主的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART nouser o nogroup print done 注意 不用管 dev 目录下的那些文件 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 Linux 系统安全配置基线 9 备注备注补充操作说明 发现没有属主的文件往往就意味着有黑客入侵你的系统了 不能允许没有属 主的文件存在 如果在系统中发现了没有属主的文件或目录 先查看它的完 整性 如果一切正常 给它一个属主 有时候卸载程序可能会出现一些没有 属主的文件或目录 在这种情况下可以把这些文件和目录删除掉 4 2 8 检查异常隐含文件检查异常隐含文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 隐含文件安全基线要求项 安全基线项安全基线项 说明说明 文件系统 检查异常隐含文件 检测操作步检测操作步 骤骤 用 find 程序可以查找到这些隐含文件 例如 find name print xdev find name print xdev cat v 同时也要注意象 xx 和 mail 这样的文件名的 这些文件名看起来 都很象正常的文件名 基线符合性基线符合性 判定依据判定依据 若返回值非空 则低于安全要求 备注备注补充操作说明 在系统的每个地方都要查看一下有没有异常隐含文件 点号是起始字符的 用 ls 命令看不到的文件 因为这些文件可能是隐藏的黑客工具或者其 它一些信息 口令破解程序 其它系统的口令文件 等等 在 UNIX LINUX 下 一个常用的技术就是用一些特殊的名 如 点点空格 或 G 点点 control G 来隐含文件或目录 Linux 系统安全配置基线 10 第第 5 章章日志审计日志审计 5 1 日志日志 5 1 1 syslog 登录事件记录登录事件记录 安全基线项安全基线项 目名称目名称 操作系统 Linux 登录审计安全基线要求项 安全基线项安全基线项 说明说明 日志审计 syslog 登录事件记录 检测操作步检测操作步 骤骤 执行命令 more etc syslog conf 查看参数 authpriv 值 Authpriv var log secure 基线符合性基线符合性 判定依据判定依据 若未对所有登录事件都记录 则低于安全要求 备注备注 5 2 审计审计 5 2 1 Syslog conf 的配置审核的配置审核 安全基线项安全基线项 目名称目名称 操作系统 Linux 配置审计安全基线要求项 安全基线项安全基线项 说明说明 开启系统的审计功能 记录用户对系统的操作 包括但不限于账号创建 删 除 权限修改和口令修改 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 chkconfig auditd on 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 系统能够审计用户操作 2 检测操作 检测操作 chkconfig list auditd Linux 系统安全配置基线 11 用 aureport ausearch 查看审计日志 备注备注 5 2 2 日志增强日志增强 安全基线项安全基线项 目名称目名称 操作系统 Linux 日志增强要求项 安全基线项安全基线项 说明说明 使 messages 只可追加 使轮循的 messages 文件不可更改 从而防止非法访 问目录或者删除日志的操作 检测操作步检测操作步 骤骤 执行命令 Chattr a var log messages Chattr i var log messages Chattr i etc shadow Chattr i etc passwd Chattr i etc group 基线符合性基线符合性 判定依据判定依据 使用 lsattr 判断属性 备注备注 5 2 3 syslog 系统事件审计系统事件审计 安全基线项安全基线项 目名称目名称 操作系统 Linux 登录审计安全基线要求项 安全基线项安全基线项 说明说明 日志审计 syslog 系统安全事件记录 方便管理员分析 检测操作步检测操作步 骤骤 执行命令 more etc syslog conf 查看参数 err kern debug daemon notice var adm messages 基线