linux安全配置规范标准

1、Linux平安配置规2021年3月第一章 概述1.1适用围适用于中国电信使用Linux操作系统的设备。本规明确了平安配置的根本要 求，适用于所有的平安等级，可作为编制设备入网测试、平安验收、平安检查规 等文档的参考。由于版本不同，配置操作有所不同，本规以核版本 2.6与以上为例，给出参 考配置操作。第二章平安配置要求2.1账号编号：1要求容应按照不冋的用户分配不冋的账号。防止不冋用户间共享账号。防止用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创立账号：#useradd user name # 仓 U建账号#passwd user name # 设置密码修改权限：#chmo

2、d 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory 是要更改权限的目录使用该命令为不冋的用户分配不冋的账号，设置不冋的口令与权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进展常用操作；2、检测操作使用不冋的账号进展登录并进展一些常用操作；3、补充说明编号：2要求容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdel user name;锁定用户：1) 修改/etc/shadow 文件，用户名后加*LK*2) 将/etc/passwd 文件中的 shell 域设置成 /bin

3、/false3) #passwd -l user name只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户，用#passwd - d username解锁后原有密码失效，登录需 输入新密码，修改/etc/shadow 能保存原有密码。2、补充操作说明需 要锁定 的用户:listen,gdm,webservd,nobody,nobody4、noaccess 。注：无关的账号主要指测试、共享、长期不用账号半年以上未用等检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需 要锁定 的用户:list

4、en,gdm,webservd,nobody,nobody4、noaccess 。编号：3要求容根据系统要求与用户的业务需求， 应的组。建立多组，将用户账号分配到相操作指南1、参考配置操作Cat /etc/passwdCat /etc/group2、补充操作说明检测方法1、判定条件 人工分析判断2、检测操作编号：4要求容使用PAM禁止任何人su为root操作指南参考操作：编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行：auth sufficie nt /lib/security/pam_rootok.so auth required /lib/security/pam_w

5、heel.sogroup=wheel 这说明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使匕可以使用su命令成为root用户。添加 方法为：# chmod - G10 user name检测方法1、判定条件2、检测操作Cat /etc/pam.d/su2.2 口令编号：1要求容对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi /etc/logi n. defs，修改设置如下PASS_MIN_LEN-8设定最小用户密码长度为8位Linux 用户 密码 的复杂度可以通

6、过 pam_cracklib module 或pam passwdqc module 进展设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进展提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进展如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创立一个普通账号，为用户配置与用户名一样的口令、只包含字符或数字的简单口令以与长度短于8的口令，查看系统是否对口令强度要求进展提示； 输入带有特殊符号的复杂口令、 普通复杂口 令，查看系统是否可以成功设置。3、补充说明pam_cracklib 主要参数说明：tretry-N:重试多少次

7、后返回密码修改错误difok-N:新密码必需与旧密码不同的位数dcredit-N: N >- 0:密码中最多有多少个数字；N < 0 密码中最少有多少个数字.lcredit-N:小宝字母的个数ucredit-N 大宝字母的个数 credit-N: 特殊字母的个数minclass-N:密码组成大/小字母，数字，特殊字符pam_passwdqc主要参数说明 ：mix:设置口令字最小长度，默认值是mix=disabled 。max:设置口令字的最大长度，默认值是max-40)passphrase:设置口令短语中单词的最少个数，默认值是 passphrase=3，如果为0那么禁用口令短语。

8、atch:设置密码串的常见程序，默认值是match=4。similar:设置当我们重设口令时，重新设置的新口令能否与旧口令 相似，它可以是 similar=permit允许相似或 similar=deny 不允许相似。random:设置随机生成口令字的默认长度。默认值是random=42。设为0那么禁止该功能。enforce:设置约束围，enforce-none表示只警告弱口令字，但不禁止它们使用；en force-users将对系统上的全体非根用户实行这一 限制；enforce-everyone 将对包括根用户在的全体用户实行这一限 制。non-u nix:它告诉这个模块不要使用传统的get

9、pw nam函数调用获得用户信息。retry:设置用户输入口令字时允许重试的次数，默认值是retry-3 。密码复杂度通过/etc/pam.d/system-auth实施编号：2要求容对于米用静态口令认证技术的设备，口令的生存期不长于90天。操作指南1、参考配置操作vi / etc/login.defsPASS MAX DAYS-90#设定口令的生存期不长于90天检测方法1、判定条件登录不成功；2、检测操作使用超过90天的口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；2.3文件与目录权限编号：1要求容在设备权限配置能力， 根据用户的业务需要， 配置其所需的最小权 限。操作指南1、

10、参考配置操作通过chmod命令对目录的权限进展实际设置。2、补充操作说明/etc/passwd必须所有用户都可读，root用户可写-rw-r r /etc/shadow 只有 root 可读-r/etc/group须所有用户都可读，root用户可写 -rw-r r 使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组与其它用户对/etc的写权限特殊情 况除外执行命令 #chmod -R go-w /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进展

11、权 限配置是否必须在用户创立时进展；2、记录能够配置的权限选项容；3、所配置的权限规那么应能够正确应用，即用户无法访问授权围 之外的系统资源，而可以访问授权围之的系统资源。2、检测操作1、 利用管理员账号登录系统，并创立2个不冋的用户；2、创立用户时查看系统是否提供了用户权限级别以与可访问系统 资源和命令的选项；3、 为两个用户分别配置不冋的权限，2个用户的权限差异应能够分 别在用户权限级别、可访问系统资源以与可用命令等方面予以表达；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许 访问的容和不允许访问的容，查看权限配置策略是否生效。3、补充说明编号：2要求容控制用户缺省访冋权限，当

12、在创立新文件或目录时应屏敝掉新文件或目录不应有的访问允许权限。防止冋属于该组的其它用户与别的组的用户修改该用户的文件或更咼限制。操作指南1、参考配置操作设置默认权限：Vi /etc/login.defs在末尾增加umask 027,将缺省访冋权限设置为750修改文件或目录的权限，操作举例如下：#chmod 444 dir ; # 修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置， 或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被

13、屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/login.defs查看是否有 umask 027 容3、补充说明umask的默认设置一般为022，这给新创立的文件默认权限755777-022=755，这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制 数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。编号：3要求容如果需要启用FTP效劳，控

14、制FTP进程缺省访问权限，当通过 FTP 效劳创立新文件或目录时应屏蔽掉新文件或目录不应有的访冋允 许权限。操作指南1、参考配置操作以vsftp为例翻开/etc/vsftpd/chroot_list文件，将需要限制的用户名参加到文件中2、补充操作说明检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：3、补充说明2.4远程登录编号：1要求容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/passwd

15、 ，信息的shell为/sbin/nologin的为禁止远程登录，如要允许，那么改成可以登录的shell即可，女口 /bin/bash2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes 改为 PermitRootLogin no ，重启 sshd 服 务。检测方法1、判定条件root远程登录不成功，提示“没有权限；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet 登录；普通用户从远程使用teln et登录；root从远程使用ssh登录；普通用户从远程使用ssh

16、登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 效劳。编号：2要求容对于使用IP协议进展远程维护的设备，设备应配置使用SSH等加密协议，并平安配置 SSHD勺设置。操作指南1、参考配置操作正常可以通过#/etc/init.d/sshd start来启动SSH;通过 #/etc/init.d/sshd stop来停止 SSH2、补充操作说明查看SSH效劳状态：# ps - ef|grep ssh注：禁止使用telnet等明文传输协议进展远程维护；

17、如特别需要，需采用访问控制策略对其进展限制；检测方法1、判定条件# ps - ef|grep ssh是否有ssh进程存在是否有telnet进程存在2、检测操作查看SSH效劳状态：# ps - ef|grep ssh 查看telnet效劳状态：# ps - ef|grep telnet3、补充说明2.5补丁平安编号：1要求容在保证业务网络稳定运行的前提下，安装最新的OS补丁。补丁在安装前需要测试确疋。操作指南1、参考配置操作看版本是否为最新版本。执行以下命令，查看版本与大补丁号。#uname - a2、补充操作说明检测方法1、判定条件看版本是否为最新版本。# uname - a查看版本与大补丁号

18、RedHat Linux : .redhat./support/errata/Slackware Linux : ftp:/ftp.slackware./pub/slackware/SuSE Linux : .suse./us/support/security/index.htmlTurboLinux : .turbolinux./security/2、检测操作在系统安装时建议只安装根本的OS部份，其余的软件包那么以必要为原那么，非必需的包就不装。3、补充说明2.6日志平安要求编号：1要求容启用syslog系统日志审计功能操作指南1、参考配置操作#cat/etc/syslog.c onf查 看

19、 是 否 有 #authpriv.*/var/log/secure2、补充操作说明将authpirv 设备的任何级别的信息记录到/var/log/secure中，这主要是一些和认证、权限使用相关的信息。文件检测方法1、判定条件查看是否有 #authpriv.* /var/log/secure2、检测操作#cat /etc/syslog.c onf3、补充说明将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限使用相关的信息。编号：2要求容系统日志文件由syslog创立并且不可被其他用户修改；其它的系 统日志文件不是全局可写操作指南1、参考配

20、置操作查看如下等日志的访冋权限#ls - l查看以下日志文件权限/var/log/messages 、/var/log/secure、/var/log/maillog、/var/log/cron、 /var/log/spooler、/var/log/boot.log2、补充操作说明检测方法1、判定条件2、检测操作使用ls - l命令依次检查系统日志的读写权限3、补充说明编号：3可选要求容启用记录cron仃为日志功能操作指南1、参考配置操作Vi /etc/syslog.c onf # Log cron stuff cron .*cron .*检测方法1、判定条件2、检测操作cron .*编号：4

21、可选要求容设备配置远程日志功能， 将需要重点关注的日志容传输到日志效劳 器。操作指南1、参考配置操作修改配置文件 vi /etc/syslog.co nf,加上这一行：可以将"*.*"替换为你实际需要的日志信息。比方：kern.* ; mail.*等等0可以将此处替换为实际的IP或域名。2、补充操作说明检测方法1、判定条件设备配置远程日志功能， 将需要重点关注的日志容传输到日志效劳 器。2、检测操作查看日志效劳器上的所收到的日志文件。3、补充说明2.7不必要的效劳、端口编号：1要求容关闭不必要的效劳。操作指南1、参考配置操作查看所有开启的效劳：#ps - ef#chkc o

22、nfig -list#cat /etc/x in etd.c onf在xin etd.co nf 中关闭不用的效劳首先复制/etc/xi netd.co nf。#cp /etc/xinetd.conf /etc/xinetd.conf.backup然后用 vi 编辑器编辑xinetd.conf 文件，对于需要注释掉的效劳在相应行开头标记"#"子符，重启xinetd效劳，即可。2、补充操作说明参考附表，根据需要关闭不必要的效劳检测方法1、判定条件所需的效劳都列出来； 没有不必要的效劳；2、检测操作#ps - ef#chkc onfig -list#cat /etc/x in

23、etd.c onf3、补充说明在/etc/xi netd.co nf文件中禁止不必要的根本网络效劳。注意：改变了/etc/xi netd.co nf文件之后，需要重新启动xinetd 。对必须提供的效劳采用tcpwapper来保护2.8系统Banner设置要求容修改系统banner,防止泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息操作指南1、参考配置操作在缺省情况下，当你登录到linux系统，它会告诉你该linux发行版的名称、版本、核版本、效劳器的名称。应该尽可 能的隐藏系统信息。首先编辑“ /etc/rc.d/rc.local"文件，在下面显示的这些行前加一个“ #

24、，把输出信息的命令注释掉。# This will overwrite /etc/issue at every boot. So, make any cha nges you want to make to /etc/issue here or you will lose them whe n you reboot.#echo "" > /etc/issue#echo "$R" >> /etc/issue#echo "Ker nel $(un ame -r) on $a $(un ame -m)" >>/e

25、tc/issue#cp -f /etc/issue /etc/issue .net#echo >> /etc/issue其次删除"/etc"目录下的 和issue文件：# mv /etc/issue /etc/issue.bak# mv /etc/issue .net /etc/issue .n et.bak检测方法查看Cat /etc/rc.d/rc.local注释住处信息2.9登录超时时间设置要求容对于具备字符交互界面的设备，配置定时自动登出操作指南1、参考配置操作通过修改账户中“ TMOUT参数，可以实现此功能。TMOU按秒计算。编辑profile 文 件

26、vi /etc/profile，在“ HISTFILESIZE="后面参加下面这行：建议TMOUT=30可根据情况设定2、补充操作说明改变这项设置后，必须先注销用户，再用该用户登录才能激 活这个功能检测方法1、判定条件查看 TMOUT=3002.10删除潜在危险文件要求容.rhosts , .netrc ，hosts.equiv 等文件都具有潜在的危险，如果 没有应用，应该删除操作指南1、参考配置操作执行：find / -n ame .n etrc，检查系统中是否有 .n etrc 文件，执行：find / -n ame .rhosts，检查系统中是否有 .rhosts 文件如无应用

27、，删除以上文件：Mv .rhost .rhost.bakMv .n etr . netr.bak2、补充操作说明注意系统版本，用相应的方法执行检测方法1、判定条件2、检测操作2.11 FTP 设置编号1：要求容禁止root登陆FTP操作指南1、参考配置操作在ftpaccess 文件中参加以下行 root检测方法使用root登录ftp会被拒绝编号2:要求容禁止匿名ftp操作指南1、参考配置操作以vsftpd为例：翻开vsftd.co nf文件，修改以下行为： anonymo us e nable二NO检测方法匿名账户不能登录编号3:要求容修改FTP banner信息操作指南1、参考配置操作使用v

28、sftpd，那么修改以下文件的容：/etc/vsftpd.d/vsftpd.c onf使用wu-ftpd ,那么需要修改文件/etc/ftpaccess ,在其中添 加：bann er /path/to/ftpba nner在指定目录下创立包含ftp的banner信息的文件检测方法1、判断依据通过外部ftp客户端登录，banner按照预先设定的显示2、检查操作附表：端口与效劳效劳名称端口应用说明关闭方法处置建议daytime13/tcpRFC867白天协议chkc onfig daytime off建议关闭13/udpRFC867白天协议chkc onfig daytime offtime37

29、/tcp时间协议chkc onfig time off37/udp时间协议chkc onfig time-udp offecho7/tcpRFC862回声协议chkc onfig echo off7/udpRFC862回声协议chkc onfig echo-udp offdiscard9/tcpRFC863废除协议chkc onfig discard off9/udpchkc onfig discard-udp offcharge n19/tcpRFC864字符产生协议chkc onfig charge n off19/udpchkc onfig charge n-udp offftp21/t

30、cp文件传输协议控制chkc onfig gssftp off根据情况选 择开放tel net23/tcp虚拟终端协议chkc onfig krb5-te Inet off根据情况选择开放sen dmail25/tcp简单发送协议chkc onfig sen dmail off建议关闭n ameserver53/udp域名效劳chkc onfig n amed off根据情况选择开放53/tcp域名效劳chkc onfig n amed off根据情况选 择开放apache80/tcp万维网发布效劳chkc onfig d off根据情况选择开放logi n513/tcp远程登录chkc onfig logi n off根据情况选 择开放shell514/tcp远程