Linux系统安全配置基线

1、Linux系统安全配置基线第1章概述 11.1 目的11.2 适用范围11.3 适用版本1第2章安装前准备工作 12.1 需准备的光盘1第3章操作系统的基本安装 23.1 基本安装2第4章账号管理、认证授权 24.1 账号24.1.1 用户口令设置24.1.2 检查是否存在除root之外UID为0的用户 34.1.3 检查多余账户44.1.4 分配账户44.1.5 账号锁定54.1.6 检查账户权限64.2 认证74.2.1 远程连接的安全性配置 7422限制ssh连接的IP配置74.2.3 用户的 umask 安全配置84.2.4 查找未授权的SUID/SGID文件94.2.5 检查任何人都

2、有写权限的目录94.2.6 查找任何人都有写权限的文件 .7 检查没有属主的文件.8 检查异常隐含文件11.第5章 日志审计135.1 日志135.1.1 syslog 登录事件记录 审计135.2.1 Syslog.conf 的配置审核 .2 日志增强 syslog 系统事件审计1.5.第6章其他配置操作 156.1 系统状态156.1.1 系统超时注销 LINUX 服务166.2.1 禁用不必要服务16.第7章持续改进17第1章概述1.1目的本文规定了 Linux操作系统主机应当遵循的操作系统安全性设

3、置标准，本文档旨在指导系统管 理人员或安全检查人员进行Lin ux操作系统的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括：Lin ux服务器。1.3适用版本适用于 Redhat AS 5。第2章安装前准备工作2.1需准备的光盘从RedHat官网下载高级企业服务器版操作系统，并制作成光盘。第3章操作系统的基本安装3.1基本安装(1 )应在隔离网络进行安装。选择custom 方式，根据最小化原则，仅安装需要的软件包。(2)根据服务器的实际用途来确实是否需要给/VAR，/HOME划分单独的分区。(3)安装完成后尽快通

4、过合适可行的方式安装重要的补丁程序。第4章账号管理、认证授权4.1账号4.1.1用户口令设置安全基线项目名称操作系统Linux用户口令安全基线要求项安全基线项说明帐号与口令-用户口令设置，配置用户口令强度检查达到12位，要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置，比如：root/root, test/test, root/root12342、 执行：more /etc/logi n，检查PASS_MIN_LEN 12PASS_MAX_DAYS 90PASS_WARN_AGE 73、执行：awk -F: ($2

5、= ”) pri nt $1 /etc/shadow,检查是否存在空口令账号4、编辑 /etc/pam.d/system-auth文件，将passwordrequisitepam_cracklib.so try_first_pass retry=3改为passwordrequisitepam_cracklib.so try_first_pass retry=3dcredit=-1 ocredit=-1基线符合性不允许存在简单密码，密码设置至少包括一个数字和一个特殊字符，长度至判定依据少为12位检查 grep pam cracklib /etc/pam.d/system-auth修改已有用户的口

6、令生存期和过期告警天数#chage -M 90 -W 7 htsc_temp备注4.1.2检查是否存在除root之外UID为0的用户安全基线项操作系统Linux超级用户策略安全基线要求项目名称安全基线项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步执行：awk -F: ($3 = 0) print $1 /etc/passwd骤基线符合性判定依据返回值包括“root ”以外的条目，则低于安全要求。备注补充操作说明UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为04.1.3检查多余账户安全基线项目名称操作系统Linux无用账户策略安全基线要求项安全基

7、线项帐号与口令-检查是否存在如下不必要账户：Ip, sync, shutdown, halt,说明n ews, uucp, operator, games, gopher等,检测操作步执行：cat /etc/passwd骤如果不使用，用以下命令进行删除。#deluser test01基线符合性如发现上述账户，则低于安全要求。如主机存在gnone,则需要保留games判定依据账号备注4.1.4分配账户安全基线项操作系统Linux账户策略安全基线要求项目名称安全基线项给不同的用户分配不同的帐号，避免多个用户共享帐号。说明至少分配己 root ， auditor ， operator 角色。检测操作

8、步1、参考配置操作骤#useradd auditor# 新建帐号#passwd auditor# 设置口令#chmod 700 auditor#修改用户主目录权限，确保只有该用户可以读写#vi /etc/passwd注释掉不用的账户 auditor#停用不用的账户基线符合性1、判定条件判定依据用新建的用户登陆系统成功，可以做常用的操作，用户不能访问其他用户的主目录。2、检测操作用不同用户登陆，检查用户主目录的权备注4.1.5账号锁定安全基线项目名称操作系统Linuxr认证失败锁定要求项安全基线项说明设置帐号在3次连续尝试认证失败后锁定，锁定时间为 令被暴力破解。1分钟，避免用户口检测操作步1、

9、参考配置操作骤建立/var/log/faillog文件并设置权限#touch /var/log/faillog#chmod 600 /var/log/faillog编辑 /etc/pam.d/system-auth文件，在authrequiredpam_e nv.so后面添加auth required pam_tally.so on err=fail deny=3 uni ock_time=60基线符合性判定依据1、判定条件连续输入错误口令 3次以上，再输正确口令，用户不能登陆。2、检测操作grep pam_tally /etc/pam.d/system-auth备注4.1.6检查账户权限安全

10、基线项目名称操作系统Linux无用账户策略安全基线要求项安全基线项帐号与口令-检查除ROOT外是否有其他账户拥有 shell权限说明检测操作步执行：cat /etc/passwd观察是否有非 root账户设置/bin/bash 或/bin/sh骤权限基线符合性无特殊应用情况下，如发现上述账户，则低于安全要求。判定依据备注4.2认证4.2.1远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线项帐号与口令-远程连接的安全性配置说明检测操作步执行：find / -rc，检查系统中是否有.netrc文件；骤执行：find / -name.rhosts

11、，检查系统中是否有 .rhosts文件基线符合性返回值包含以上条件，则低于安全要求。判定依据备注补充操作说明如无必要，删除这两个文件4.2.2限制ssh连接的IP配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线项配置tcp_wrappers ，限制允许远程登陆系统的IP范围。说明检测操作步1、参考配置操作骤编辑 /etc/hosts.de ny添加sshd:ALL编辑 /etc/hosts.allow添加sshd: /# 允许 网段远程登陆sshd: /# 允许

12、 网段远程登陆基线符合性判定依据1、判定条件只有网管网段可以ssh登陆系统。2、检测操作cat /etc/hosts.de nycat /etc/hosts.allow备注对于不需要sshd服务的无需配置该项。中心机房以外的服务器管理，暂时不做源地址限制。423用户的umask 安全配置安全基线项操作系统Linux用户umask安全基线要求项目名称安全基线项帐号与口令-用户的umask安全配置说明检测操作步执行： more /etc/profilemore /etc/csh.logi nmore /etc/csh.cshrc骤more /etc/bashrc检查是否包含

13、umask值基线符合性判定依据umask值是默认的，则低于安全要求。备注补充操作说明：vi /etc/profile建议设置用户的默认 umask=077424查找未授权的 SUID/SGID 文件安全基线项目名称操作系统Linux SUID/SGID文件安全基线要求项安全基线项文件系统-查找未授权的SUID/SGID文件说明检测操作步用下面的命令查找系统中所有的SUID和SGID程序，执行：骤for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、； dofind $PART ( -perm -04000 -o -perm -0

14、2000 ) -type f -xdev -pri ntDone基线符合性若存在未授权的文件，则低于安全要求。判定依据备注补充操作说明建议经常性的对比suid/sgid文件列表，以便能够及时发现可疑的后门程序425检查任何人都有写权限的目录安全基线项操作系统Linux目录写权限安全基线要求项目名称安全基线项说明文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令：for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind $PART -xdev -type d ( -perm

15、-0002 -a ! -perm -1000 ) -pri ntDone基线符合性判定依据若返回值非空，则低于安全要求。备注426查找任何人都有写权限的文件安全基线项目名称操作系统Linux文件与权限安全基线要求项安全基线项说明文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令：for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、； dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -pri ntDone基线符合性

16、判定依据若返回值非空，则低于安全要求。备注427检查没有属主的文件安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线项说明文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令：for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、； do find $PART -nouser -o -nogroup -print done注意：不用管“ /dev ”目录下的那些文件基线符合性判定依据若返回值非空，则低于安全要求。备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没

17、有属 主的文件存在。如果在系统中发现了没有属主的文件或目录，先查看它的完 整性，如果一切正常，给它一个属主。有时候卸载程序可能会出现一些没有 属主的文件或目录，在这种情况下可以把这些文件和目录删除掉。428检查异常隐含文件安全基线项操作系统Linux隐含文件安全基线要求项目名称安全基线项说明文件系统-检查异常隐含文件检测操作步用“find ”程序可以查找到这些隐含文件。例如：骤# find/ -n ame . * -pri nt-dev# find / -n ame * -pri nt -xdev | cat -v同时也要注意象“ .xx”和“ .mail ”这样的文件名的。（这些文件名看起来

18、都很象正常的文件名）基线符合性若返回值非空，则低于安全要求。判定依据备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“Is”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX/LINUX下，一个常用的技术就是用一些特殊的名，如：“”、“.”（点点空格）或.AG（点点controI-G ）,来隐含文件或目录。第5章日志审计5.1日志5.1.1 syslog 登录事件记录安全基线项目名称操作系统Linux登录审计安全基线要求项安全基线项日志审计-syslog登录事件记录说明检测操作步执行命令

19、：more /etc/syslog.c onf骤查看参数 authpriv 值Authpriv.*/var/log/secure基线符合性若未对所有登录事件都记录，则低于安全要求。判定依据备注5.2审计5.2.1 Syslog.conf的配置审核安全基线项目名称操作系统Linux配置审计安全基线要求项安全基线项说明开启系统的审计功能，记录用户对系统的操作，包括但不限于账号创建、删 除，权限修改和口令修改。检测操作步1、参考配置操作骤#chkc onfig auditd on基线符合性1、判定条件判定依据系统能够审计用户操作。2、检测操作chkc onfig -list auditd用 aure

20、port、ausearch 查看审计日志。备注522日志增强安全基线项目名称操作系统Linux日志增强要求项安全基线项使messages只可追加，使轮循的messages文件不可更改，从而防止非法说明访问目录或者删除日志的操作检测操作步执行命令：骤Chattr +a /var/log/messagesChattr +i /var/log/messages.*Chattr +i /etc/shadowChattr +i /etc/passwdChattr +i /etc/group基线符合性使用lsattr判断属性判定依据备注523 syslog系统事件审计安全基线项操作系统Linux登录审计安全基线要求项目名称安全基线项日志审计-syslog系统安全事件记录，方便管理员分析说明检测操作步执行命令：more /etc/syslog.c onf骤查看参数：*.err;ker n. debug;daem o