Linux操作系统配置规范--2013.doc

Linux操作系统安全加固单脆弱性种类脆弱性子类加固建议风险值结果描述帐号应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等 符合 不符合 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后的第一个冒号后加一个感叹号“！”2)将/etc/passwd文件中的shell域设置成/bin/nologin3)#usermod -L username只有具备超级用户权限的使用者方可使用，#usermod -L username锁定用户,用#usermod U username可以解锁2、补充操作说明需要锁定的用户：adm,lp,mail,uucp,operator,games,gopher,ftp,nobodyrpm,dbus,avahi,mailnull,smmsp,nscd,vcsa,rpc,rpcuser,nfsnobodysshd,pcap,ntp,haldaemon,distcache,apache,webalizer,squid,xfs,gdmsabayon,named。 符合 不符合 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作1、限制root从远程telnet登录Redhat 默认是关闭telnet的#netstat nptl |egrep “23b” #检查23端口有没开启如果23端口已开启，修改/etc/xinetd.d/krb5-telnet文件, 将disable=no 改成disable=yes，重启xinetd服务。Redhat8 redhat9上的文件名为 telnet2、限制root从远程ssh登录修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 符合 不符合 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组（可选）1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行 符合 不符合 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号（可选）1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为两个感叹号“！”；删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 符合 不符合 口令对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类1、参考配置操作 vi /etc/login.defs ，修改设置如下PASS_MIN_LEN = 6 #设定最小用户密码长度为6位具体设置可以参看补充说明。 v/etc/pam.d/system-auth，修改设置如下password requisite pam_cracklib.so lcredit=-2 ocredit=-1当用root帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明MAIL_DIR /var/spool/mail 注：创建用户时，要在目录/var/spool/mail中创建一个用户mail文件；PASS_MAX_DAYS 99999 注：用户的密码不过期最多的天数；PASS_MIN_DAYS 0 注：密码修改之间最小的天数；PASS_MIN_LEN 6 注：密码最小长度；PASS_WARN_AGE 7 注：密码过期前7天给用户警告信息UID_MIN 500 注：最小UID为500 ，也就是说添加用户时，UID 是从500开始的；UID_MAX 60000 注：最大UID为60000；# Min/max values for automatic gid selection in groupadd#GID_MIN 500 注：GID 是从500开始；GID_MAX 60000# If defined, this command is run when removing a user.# It should remove any at/cron/print jobs etc. owned by# the user to be removed (passed as the first argument).#USERDEL_CMD /usr/sbin/userdel_local# If useradd should create home directories for users by default# On RH systems, we do. This option is ORed with the -m flag on# useradd command line.#CREATE_HOME yes 注：是否创用户家目录，要求创建；NIS系统无法生效，非NIS系统或NIS+系统能够生效。/etc/login.defs的设置对root用户不生效；如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选 符合 不符合 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天1、参考配置操作vi /etc/login.defs 文件：PASS_MAX_DAYS 90密码的最大生存周期为90天；（REDHAT 8&10）2、补充操作说明为已存在的用户设密码周期请用以下命令：#chage M 90 W 7 usernameNIS系统无法生效，非NIS系统或NIS+系统能够生效。 符合 不符合 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令（可选）1、参考配置操作vi /etc/pam.d/system-auth ，修改设置如下password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5 2、 补充操作说明只需在password sufficient这一行加上remember=5即可NIS系统无法生效，非NIS系统或NIS+系统能够生效。 符合 不符合 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号（可选）1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：#vi /etc/pam.d/system-auth增加以下两行：auth required pam_tally.so deny=5 unlock_time=600 no_lock_timeaccount required pam_tally.so参数说明：deny #连续认证失败次数超过的次数unlock_time #锁定的时间，单位为秒2、补充操作说明Redhat 89设置如下：#vi /etc/pam.d/system-auth增加以下两行：auth required pam_tally.so onerr=failaccount required pam_tally.so deny=5 no_magic_root resetRedhat 89没有锁定时间设置，会一直锁定用户root账号不在锁定的限制范围内，一旦用户被锁定，可以用root账号来给用户解锁，命令如下#faillog r u usernameNIS系统无法生效，非NIS系统或NIS+系统能够生效。 符合 不符合 授权在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明etc/passwd 必须所有用户都可读，root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 必须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w /etc符合 不符合 日志配置设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址1、参考配置操作Redhat 默认已记录上面所述的登录日志。REDHAT登录日志文件为/var/log/wtmp,wtmp文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。2、补充操作说明注意：系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵符合 不符合 设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果（可选）通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行以下命令：#touch /var/log/pacct#accton /var/log/pacct执行读取命令lastcomm user name f /var/log/pacct符合 不符合 设备应配置日志功能，记录对与设备相关的安全事件（可选）修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。符合 不符合 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器（可选）1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这一行：*.* 可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。可以将此处替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：/etc/init.d/syslog stop/etc/init.d/syslog start 2、补充操作说明注意：*.*和之间为一个Tab适用于REDHAT 8/ 9 ，REDHAT AS 3/4/5；符合 不符合 设备应配置日志功能，记录用户使用SU命令的情况，记录不良的尝试记录（可选）Redhat 默认已记录用户使用SU命令的情况。查看su日志，记载着普通用户尝试su成为其它用户的纪录，egrep “bsu” /var/log/secure |less符合 不符合 系统上运行的应用/服务也应该配置相应日志选项，比如cron（可选）对所有的cron行为进行审计：在 /var/log/cron文件里面记录corn的动作。符合 不符合 IP协议安全配置对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议（可选）1、参考配置操作REDHAT启用SSH服务的命令：chkconfig -level 2345 sshd on如果是刚安装完openssh正常可以通过#/etc/init.d/sshd start来启动SSH;通过#/etc/init.d/sshd stop来停止SSH2、补充操作说明查看SSH服务状态：# /etc/init.d/sshd status若有如下字样，即为生效。sshd (pid xxxx xxxx) is running还可以通过命令：#ps aux |grep ssh# netstat ntpl |grep sshd符合 不符合 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表（可选）1、参考配置操作开放的服务列表命令: #chkconfig list |grep on开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /etc/services2、补充操作说明ftp-data 20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsmtp 25/tcppop2 109/tcppop3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpiso-tsap 102/tcpx400 103/tcp x400-snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp符合 不符合 对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定（可选）编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi /etc/hosts.allow增加一行 : 允许访问的IP；举例如下：all:4:allow #允许单个IP；sshd:192.168.1.:allow #允许192.168.1的整个网段的PC通过SSH来访问本机vi /etc/hosts.deny增加一行 all:all重启进程：#/etc/init.d/xinetd restart符合 不符合 超时保护对于具备字符交互界面的设备，应配置定时帐户自动登出（可选）可以在用户的.profile文件中HISTFILESIZE=后面增加如下行：vi/etc/profile$ TMOUT=180 改变这项设置后，重新登录才能有效。符合 不符合 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定（可选）在屏幕上面的面板中，打开“系统”“首选项”“屏幕保护程序”；符合 不符合 文件系统及访问权限涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改（可选）1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2、补充操作说明检查、更改以下配置文件权限chmod 700 /bin/rpm chmod 600 /etc/exports #NFS共享目录配置文件chmod 600 /etc/hosts.* #主机访问控制文件chmod R 751 /var/log #日志文件chmod 644 /var/log/messages#系统日志配置文件chmod 640 /etc/syslog.confchmod 660 /var/log/wtmpchmod 640 /var/log/lastlogchmod 600 /etc/ftpusers#用户口令文件chmod 644 /etc/passwdchmod 600 /etc/shadow#校验模块配置文件目录chmod R 750 /etc/pam.d chmod 600 /etc/lilo.conf#终端配置文件chmod 600 /etc/securettychmod 400 /etc/shutdown.allow#系统访问安全配置文件chmod 700 /etc/security#网络系统配置文件chmod R 751 /etc/sysconfig#超级守护进程配置文件chmod 600 /etc/xinetd.confchmod 600 /etc/inetd.confchmod R 750 /etc/rc.d/init.d/chmod 750 /etc/rc.d/init.d/*#自动运行程序控制文件chmod 600 /etc/crontabchmod 400 /etc/cron.*#SSH配置文件chmod 750 /etc/ssh#内核控制配置文件chmod 400 /etc/sysctl.confg符合 不符合 补丁管理在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装（可选）1、参考配置操作查询/etc/redhat-release文件，看版本发布日期。执行下列命令，查看版本。#uname a补丁安装方法：（1）REDHAT AS补丁SRPMS下载/pub/redhat/linux/updates/enterprise/xAS/en/os/SRPMS/下载到的是源码包，使用rpm -vih xx.rpm 后在/usr/src/redhat/SPECS 下会有个 xx.spec运行rpmbuild -bb xx.spec就会在/usr/src/redhat/RPMS/i386(or i486 etc.) 目录下生成对应的RPM包（2）其它补丁包：如有一名为xzvf aaaa.diff.gz的补丁，安装方法如下：tar