Lnu系统安全配置标准V

Lnu系统安全配置标准V全加固技术要求——Linux服务器1.1系统补丁要求及时安装系统补丁。更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证。系统补丁安装方法为(以下示例若无特别说明，均以RedHatLinux为例)：使用up2date命令自动升级或在下载对应版本补丁手工单独安装。对于date1.2其他应用补丁应用(如APACHE、PHP、OPENSSL、MYSQL等)也必须安装最新的安全补丁。tartarzxfv*.emakeinstall注意：补丁更新要慎重，可能出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前，应该在测试机上进行测试。2账号和口令安全配置基线2.1账号安全控制要求系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHatLinux为例，设置方法如下：锁定账号：/usr/sbin/usermod-L-s/dev/null$name删除账号：/usr/sbin/user$name要求设置口令策略以提高系统的安全性。例如要将口令策略设置为：非root用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。以RedHatMAXDAYSPASS_MIN_DAYS7PASSMIN_LEN6SWARNAGE2.3root登录策略的配置要求2.4root的环境变量基线表2-1root环境变量基线设置修改文件安全设置操作说明/etc/profile地目录(.)3网络与服务安全配置标准3.1最小化启动服务如果xinetd服务中的服务，都不需要开放，则可以直接关闭xinetd服chkconfigchkconfig--level12345xinetdoff1)如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关chkconfigchkconfig--level12345sendmailoffSendmail不运行在daemon模式。编编辑/etc/sysconfig/senmail文件，增添以下行：DAEMON=noQUEUE=1hcd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail3、关闭图形登录服务(XWindows)在不需要图形环境进行登录和操作的情况下，要求关闭XWindows。编辑/编辑/etc/inittab文件，修改id:5:initdefault:行为id:3:initdefault:inittababf系统默认会启动很多不必要的服务，有可能造成安全隐患。建议关闭以下apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcupschkconfigchkconfiglevel2345服务名off在关闭上述服务后，应同时对这些服务在系统中的使用的账号(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等)予以锁定或删除。usermodusermodL锁定的用户chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpopsrexecrloginrshrsyncserversservicesff对于xinet必须开放的服务，应该注意服务软件的升级和安全配置，并推4文件与目录安全配置4.1临时目录权限配置标准chmodchmod+t/tmp——为/tmp增加粘置位。4.2重要文件和目录权限配置标准表4-1重要文件和目录权限配置标准列表/etc/passwdootoot-rw-r--r--/etc/groupootoot-rw-r--r--/etc/hostsootoot-rw-rw-r--/etc/inittabrootRoot-rw-------4.3umask配置标准4.4SUID/SGID配置标准(组)ID，使得进程拥有了该程序的所有者(组)的特权，因而可能存在一定的安全隐患。对于这些程序，必须在全部检查后形成基准，并定期对照基准进行。查找此类程序的命令为：D5信任主机的设置表5-1信任主机的设置方法(全局配置文件)~/.rhosts(单独用户的配置文1.编辑/etc/文件或者~/.rhosts文件，不能只采用主机信任的方式，而必须采用账号和主机的方式，删除不必要的信任主机设.更改/etc/文件的属性，只允许ATTENTIONATTENTION:Youhaveloggedontoasecuredserver..ONLYAuthorizedusersuserscanaccess..ATTENTIONATTENTION:Youhaveloggedontoasecuredserver..ONLYAuthorizedusersuserscanaccess..KillKillHUPinetdpid”7内核参数0/bin/chownroot:root/etc//bin/chmod0600/etc/表8-1syslog日志安全配置列表配置文件中包含以下日志记录:*.err操作说明/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/cri