操作系统安全技术规范

文件名称 密 级 内部 文件编号版 本 号V1.0 编写部门编 写 人 审 批 人发布时间 xxxxxxxx 网络与信息安全网络与信息安全 操作系统安全规范操作系统安全规范 保密申明保密申明 本文档版权由中国人民大学所有。未经中国人民大学书面许可，任何单位和个人不 得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播 网络与信息安全操作系统安全规范 第 2 页 共 16 页 目目 录录 1目的 .3 2范围 .3 3原则 .3 4主要内容 .4 5参考文档 .4 6UNIX 系统安全规范.4 6.1用户账号控制.5 6.2特殊用户.5 6.2.1root账户.5 6.2.2系统账户.6 6.3资源控制.7 6.3.1基线控制.7 6.3.2补丁管理.7 6.3.3文件/目录控制.7 6.4系统记账和日志.8 6.5网络服务.8 6.5.1inetd启动的服务.8 6.5.2网络服务的访问控制.9 6.5.3其它服务.9 6.5.4替代不安全的服务.9 6.6AT/CRON的安全.10 7WINDOWS 系统安全规范.10 7.1WINDOWS系统安全基本原则 .10 7.2WINDOWS安全流程 .10 7.3系统修补.12 7.3.1Windows系统修补流程.12 7.4基于的角色保护.13 7.4.1密码规范.13 7.4.2密码复杂性要求.13 7.5服务器基准规范.14 7.5.1审计规范.14 7.5.2账户锁定规范.14 7.5.3安全选项规范.14 7.6针对网络攻击的安全事项.15 8附则 .16 8.1文档信息.16 8.2版本控制.16 8.3其他信息.16 网络与信息安全操作系统安全规范 第 3 页 共 16 页 1 目的目的 各类主机操作系统由于设计缺陷，不可避免地存在着各种安全漏洞，给 移动各系统带来安全隐患。如果没有对操作系统进行安全配置，操作系统的 安全性远远不能达到它的安全设计级别。绝大部分的入侵事件都是利用操作 系统的安全漏洞和不安全配置的隐患得手的。为提高操作系统的安全性，确 保系统安全高效运行，必须对操作系统进行安全配置。 本规范的目的是指导主机操作系统的安全配置，各业务系统管理员可根 据本指南和业务情况制定各主机操作系统的安全配置规程。从而规范主机操 作系统的安全配置，提高主机操作系统的抗攻击能力，提高主机操作系统的 性能，提高主机操作系统的稳定性。 2 范围范围 本规范适用于各主流主机操作系统的安全配置，其中 Unix 系统安全配 置适用于 Solaris、AIX、HP-UX、SCO Open Server 和 Linux 等 Unix 操作系 统，Windows 系统安全配置适用于 Windows2000/XP/2003 操作系统，其他 操作系统安全配置在此规范中仅给出了安全配置指导，请查阅相关资料并同 系统供应商确认后作出详细配置。 3 原则原则 xxxx 系统安全应该遵循以下原则： 有限授权原则有限授权原则 应限定网络中每个主体所必须的最小特权，确保可 能的事故、错误、网络部件的篡改等原因造成的损失最小。 访问控制原则访问控制原则 对主体访问客体的权限或能力的限制，以及限制进 入物理区域（出入控制）和限制使用计算机系统和计算机存储数据 的过程（存取控制） 。 日志使用原则日志使用原则 日志内容应包括：软件及磁盘错误记录；登录系统 及退出系统的时间；属于系统管理员权限范围的操作。 网络与信息安全操作系统安全规范 第 4 页 共 16 页 审计原则审计原则 计算机系统能创建和维护受保护客体的访问审计跟踪记 录，并能阻止非授权的用户对它访问或破坏。 分离与制约原则分离与制约原则 将用户与系统管理人员分离；将系统管理人员与 软件开发人员分离；将系统的开发与系统运行分离；将密钥分离管 理；将系统访问权限分级管理。 4 主要内容主要内容 本文主要阐述了 UNIX 和 Windows 主机安全配置时应该遵循的原则和 基本规范。 5 UNIX 系统安全规范系统安全规范 安全控制对于一个 UNIX 系统来说非常重要，系统的安全管理主要分为 四个方面： 防止未授权存取：这是计算机安全最重要的问题，即未被授权使用 系统的人进入系统。用户意识、良好的口令管理(由系统管理员和用 户双方配合)、登录活动记录和报告、用户和网络活动的周期检查、 这些都是防止未授权存取的关键。 防止泄密：这也是计算机安全的一个重要问题。防止已授权或未授 权的用户存取相互的重要信息。文件系统查帐，SU 登录和报告， 用户意识，加密都是防止泄密的关键。 防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。 一个系统不应被一个有意试图使用过多资源的用户损害。不幸的是， UNIX 不能很好地限制用户对资源的使用，一个用户能够使用文件 系统的整个磁盘空间，而 UNIX 基本不能阻止用户这样做。系统管 理员最好用 PS 命令，记帐程序 DF 和 DU 周期地检查系统。查出 过多占用 CPU 的进程和大量占用磁盘的文件。 防止丢失系统的完整性：这一安全方面与一个好系统管理员的实际 工作(例如：周期地备份文件系统，系统崩溃后运行 FSCK 检查，修 网络与信息安全操作系统安全规范 第 5 页 共 16 页 复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软 件)和保持一个可靠的操作系统有关(即用户不能经常性地使系统崩 溃)。 5.1用户账号控制用户账号控制 UNIX 每个用户有唯一的用户名、用户 ID 和口令，文件属主取决于用 户 ID；root 可以更改文件属主；系统缺省 root 为超级用户；系统用户 adm、sys、 bin 等不允许登录；需要共享同一类文件的用户可以归入同一个 组。 大多数默认安装的 UNIX/Linux 系统，没有对账户口令进行强制限制， 因此为了保证系统的安全应该调整系统的规范对账户的密码进行长度和复杂 性的限制。 5.2特殊用户特殊用户 除了正常的系统账户，UNIX 系统还存在很多系统账户，例如： root、bin、system、admin、nobody 等。 5.2.1root 账户账户 root 是 UNIX 系统中最为特殊的一个账户，它具有最大的系统权限，能 够控制系统的所有资源。若系统管理员的 root 口令泄密了，则系统安全便岌 岌可危了，拥有了 root 口令便使得系统安全防线只有一步之遥了。即使 su 命令通常要在任何都不可读的文件中记录所有想成为 root 的企图，还可用记 帐数据或 ps 命令识别运行 su 命令的用户。正因为如此，系统管理员作为 root 运行程序时应当特别小心，对于 root 账户的使用应该注意以下问题： 应严格限制使用 root 特权的人数。 不要作为 root 或以自己的登录户头运行其他用户的程序，首先用 su 命令进入用户的户头。 决不要把当前工作目录排在 PATH 路径表的前边，那样容易招引特 网络与信息安全操作系统安全规范 第 6 页 共 16 页 洛伊木马。当系统管理员用 su 命令进入 root 时，他的 PATH 将会 改变，就让 PATH 保持这样，以避免特洛伊木马的侵入。 敲入/usr/bin/su 执行 su 命令。若有 su 源码，将其改成必须用全路径 名运行(即 su 要确认 argv0的头一个字符是/才运行)。随着时间的 推移，用户和管理员将养成使用/usr/bin/su 的习惯。 不要未注销户头就离开终端，特别是作为 root 用户时更不能这样。 不允许 root 在除控制台外的任何终端登录(这是 login 的编译时的选 项)，如果没有 login 源码，就将登录名 root 改成别的名，造成破坏 者不能在 root 登录名下猜测各种可能的口令，从而非法进入 root 的 户头。 确认 su 命令记下了想运行 su 企图的记录/var/adm/sulog，该记录文 件的许可方式是 600，并属 root 所有。这是非法者喜欢选择来替换 成特洛伊木马的文件。 不要让某人作为 root 运行，即使是几分钟，即使是系统管理员在一 旁注视着也不行。 root 口令应由系统管理员以不公开的周期更改。 不同的机器采用不同的 root 口令。 Linux 系统把 root 的权限进行了更细粒度的划分，更小的单位成为 能力(capability)，为了安全可以使用能力约束集放弃部分 root 的权 限。 5.2.2系统账户系统账户 在 Unix 系统上，大多数系统账户平时是没什么用的，包括：bin daemon adm lp mail news uucp operator games gopher rpc 等，即使不把它们删 除，也不要让它们拥有真正的 shell，检查/etc/passwd 文件，检查这些账户的 最后一个字段（shell）是否被置/sbin/nologin 或/bin/false。 另外，还要禁止这些账户使用系统的 ftp 服务，把这些系统用户放入 /etc/ftpusers 或者/etc/ftpd/ftpusers 文件。 网络与信息安全操作系统安全规范 第 7 页 共 16 页 5.3资源控制资源控制 5.3.1基线控制基线控制 基线是一个系统快照数据库，保存操作系统文件、应用和用户。通过基 线检查，对比系统当前和原始的快照，可以快速检测系统非授权及没有记录 的变化，系统出现非授权的修改表示系统可能遭到入侵。系统中的配置文件、 可执行文件、动态连接库等不会经常变动的文件应该纳入基线控制的范畴， 而/tmp、/var 等系统目录，以及其它一些经常发生变动的文件不可以进行基 线控制。 在 UNIX 系统中经常用到的基线控制工具包括：Tripwire、AIDE 等。 5.3.2补丁管理补丁管理 补丁对于系统安全和稳定具有重要的意义，因此应该密切关注每个系统 的补丁。各种 UNIX/Linux 系统的厂商都会不定期地针对新出现的漏洞发布 安全补丁或者软件升级包，下表是一些常见 UNIX/Linux 系统的补丁发布方 式和获取手段： 操作系统补丁类型修补方式 Solaris单个补丁和补丁集pkgadd、installpatch Linux(Redhat、R edFlag、Turbo) 替代的升级软件包rpm HP-UX单个补丁和补丁集swinstall AIX单个补丁和补丁集instfix 5.3.3文件文件/目录控制目录控制 UNIX 文件和目录有一组许可权位，采用标准的读、写和执行来定义三 个级别的许可权：用户（文件属主） 、组和其他人，另外附加的三种许可权 位是 SUID、SGID 和 t（粘着位） 。 带 SUID 位的可执行文件意味着文件运行时，其进程以文件的有效 UID 运行。Shell 程序不支持 SUID，SUID 对目录无意义；带 SGID 位的可执行 网络与信息安全操作系统安全规范 第 8 页 共 16 页 文件意味着文件运行时，其进程以文件属组的有效 GID 运行；带 SGID 的目 录表示在该目录下创建的文件/目录将继承目录的组 ID，而忽略创建者的属 组；UNIX 中的粘着位对文件无意义，带粘着位的目录意味着：即使对目录 具有写许可权（如/tmp）,用户也不能随便删除目录下的文件，除非是文件属 主或目录属主。 5.4系统记账和日志系统记账和日志 安全性日志是系统安全的重要保障，有经验的系统管理员经常使用其做 安全性检查。 5.5网络服务网络服务 作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所 以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与 服务器服务无关的服务关闭，比如：一台作为 www 和 ftp 服务器的机器， 应该只开放 80 和 25 端口，而将其他无关的服务如：fingerauth 等服务关掉， 以减少系统漏洞。 5.5.1inetd 启动的服务启动的服务 inetd 在系统启动时可由启动程序(/etc/rc.d/init.d/inet)启动。inetd 监视文 件(/etc/inetd.conf)中所设置的端口并等待连接要求(请求包)。一旦有连接请求 时，判断与 inetd.conf 所指定的端口相对应的服务，进而启动提供该服务的 服务器程序,连接请求本身当连接终止时，被启动的服务也随之停止运行， 从而节省了大量的系统资源。 通过 inetd 启动的服务多属于没有必要的网络服务，这些网络服务或者 本身的安全非常低，例如：rlogin、rsh 等；或者提供此种网络服务的软件存 在安全缺陷，因此为了系统的安全和稳定，需要关闭这些服务。比较便捷的 方式是重新创建一个/etc/inetd.conf 文件，在里面加入必须的网络服务，例如： telnet、ftp 等。 网络与信息安全操作系统安全规范 第 9 页 共 16 页 5.5.2网络服务的访问控制网络服务的访问控制 对于启用的服务，应该使用 TCP_Wrapper 进行封装，实现基于 IP 地质 的访问控制。TCP_Wrapper(tcpd)在 inetd 接到客户的请求时启动，具有存取 管理启动目标服务器程序的功能。tcpd 启动时, 可读入允许/etc/hosts.allow 服务的主机和禁止/etc/hosts.deny 主机的设置文件。 5.5.3其它服务其它服务 除了由 inetd/xinetd 启动的服务之外，系统在缺省的情况下会自动启用 一些没用的服务，例如：LPD、Sendmail、NFS。这些服务给系统带来了极 大的安全隐患，而且系统功能越单纯，结构越简单，可能出现的漏洞越少， 因此越容易进行安全维护。因此，应该禁止这些不必要的服务，检查 /etc/rc.d/目录下的各个目录中的文件，删除不必要的文件。 5.5.4替代不安全的服务替代不安全的服务 在 UNIX 系统中，很多服务经常会被用到，但是本身安全性比较低。例 如，telnet 服务使用明文进行网络的数据传输，很容易遭到网络窃听，泄漏 用户名、密码等敏感数据。因此，需要使用更为安全的 ssh 协议进行替代， SSH 是一个使用加密连接的安全的远程管理/数据传输协议。它可以用来替 代 telnet, r 命令、ftp 等传统的不安全的协议/命令。 OpenSSH 是 SSH （Secure SHell） 协议的免费开源实现，支持 SSH 协议的版本 1.3、1.5、2。OpenSSH 几乎可以用于所有的 UNIX/Linux 系统。 5.6at/cron 的安全的安全 在 UNIX/Linux 下使用 cron 和 at 进行任务日程安排。在多数系统上通 常只有系统管理员才需要运行这些命令。 网络与信息安全操作系统安全规范 第 10 页 共 16 页 6 Windows 系统安全规范系统安全规范 6.1Windows 系统安全基本原则系统安全基本原则 所有磁盘分区都是 NTFS 文件系统。 管理员账户有一个强口令。 禁止所有不必要的服务。 删除或禁止所有不必要的账号。 关闭所有不必要的共享目录。 设置访问控制列表。 设置严格的安全规范。 安装最新的服务包和补丁程序。 安装反病毒软件。 6.2Windows 安全流程安全流程 下面的图表显示了帮助实现服务器安全（获得安全）和保持其安全性 （保持安全）所需的步骤。 网络与信息安全操作系统安全规范 第 11 页 共 16 页 图 1.Windows 系统安全过程 网络与信息安全操作系统安全规范 第 12 页 共 16 页 6.3系统修补系统修补 6.3.1Windows 系统修补流程系统修补流程 图 2.Windows 系统修补流程 分析，分析，了解当前环境和潜在的威胁。确定必须部署的修补程序以减 网络与信息安全操作系统安全规范 第 13 页 共 16 页 少对您的环境的威胁。 规划，规划，确定应部署哪些修补程序以抵御潜在的威胁和弥补已经发现 的漏洞。确定执行测试和部署任务的人选和执行步骤。 测试，测试，检查可用的修补程序并根据您的环境对它们进行分类，测试 所有已经确定的修补程序，以确保它们可以在您的环境中工作，并 且不会产生任何副作用。了解修补程序的作用以及它会对您的环境 产生何种影响。验证它是否能按规划的要求运行。 部署，部署，部署正确的修补程序以保护您的环境安全。 监视，监视，在部署修补程序后检查所有系统，以确认没有任何副作用。 审查，审查，作为日常管理过程的一部分，您需要定期审查已发布的新修 补程序、您的环境以及您的 xxxx 需要哪些修补程序。如果您在审 查过程中发现需要新的修补程序，请重新开始管理过程的第一个步 骤。 6.4基于的角色保护基于的角色保护 6.4.1密码规范密码规范 默认情况下，将对域中的所有服务器强制执行一个标准密码规范。下表 列出了一个标准密码规范的设置以及针对您的环境建议的最低设置。 规范规范默认设置默认设置推荐最低设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 24 个密码 密码最长期限42 天42 天 密码最短期限0 天2 天 最短密码长度0 个字符8 个字符 密码必须符合复杂性要求禁用启用 为域中所有用户使用可还原的加密来储存密码禁用禁用 6.4.2密码复杂性要求密码复杂性要求 组规范的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 网络与信息安全操作系统安全规范 第 14 页 共 16 页 6 个字符长（但我们建议您将此值设置为 8 个字符） 。它还要求密码中必须 包含下面类别中至少三个类别的字符： 英语大写字母 A, B, C, Z 。 英语小写字母 a, b, c, z 。 西方阿拉伯数字 0, 1, 2, 9 。 非字母数字字符，如标点符号 。 6.5服务器基准规范服务器基准规范 基准规范配置设定的一些方面包括： 审计规范，确定如何在您的服务器上执行审计。 安全选项，使用注册表值确定特定的安全设置。 注册表访问控制列表，确定谁可以访问注册表。 文件访问控制列表，确定谁可以访问文件系统。 服务配置，确定哪些服务需要启动、停止、禁用等。 6.5.1审计规范审计规范 应用程序、安全性和系统事件日志的设置都在该规范中配置并应用到域 中的所有成员服务器。各日志的大小都设置为 10 兆字节 (MB)，而且各日 志都配置为不改写事件。所以，管理员必须定期查看日志并根据需要进行归 档或清理。 6.5.2账户锁定规范账户锁定规范 有效的账户锁定规范有助于防止攻击者猜出账户的密码。 6.5.3安全选项规范安全选项规范 对匿名连接的附加限制对匿名连接的附加限制 对服务器的任何匿名访问都将被禁止，而 且对任何资源都将要求显式访问。 网络与信息安全操作系统安全规范 第 15 页 共 16 页 LAN Manager 身份验证级别身份验证级别 通过使用 NTLMv2 对 Windows 9x 和 Windows NT 强制执行一个更安全的身份验证协议。 在关机时清理虚拟内存页面交换文件在关机时清理虚拟内存页面交换文件 如果启用此选项