2022 linux加固手册指南v2

2022linux加固手册类别核查项名称麒麟凝思红帽说明备注口令策略口令锁定策略/etc/pam.d/system-auth文件authrequiredpam_tally.soper_useronerr=faildeny=5unlock_time=600even_deny_root_accountauditv4.2/etc/pam.d/passwdv6.0/etc/pam.d/common-passwordauthrequiredpam_tally.sodeny=5onerr=failno_magic_rootunlock_time=600或authrequiredpam_tally2.sodeny=5onerr=failno_magic_rootunlock_time=600/etc/pam.d/system-auth文件authrequiredpam_tally.sodeny=5onerr=failno_magic_rootunlock_time=600或authrequiredpam_tally2.sodeny=5onerr=failno_magic_rootunlock_time=600authrequiredpam_tally.sodeny=5onerr=failno_magic_rootunlock_time=600或authrequiredpam_tally2.sodeny=5onerr=failno_magic_rootunlock_time=600说明：deny=5，输错5次锁定，unlock_time=600，锁定10分钟，no_magic_root对root账号也要生效口令策略口令生存期/etc/login.defs文件pass_max_days90pass_min_days10pass_warn_age7/etc/login.defs文件pass_max_days90pass_min_days10pass_warn_age7/etc/login.defs文件pass_max_days90pass_min_days10pass_warn_age7pass_max_days90#账号使用最长期天pass_min_days10 #限为10天pass_warn_age7 #最后期限前7醒工作站可做，服务器不做口令策略口令复杂度策略/etc/pam.d/system-auth文件麒麟3.0:passwordrequiredpam_passwdpc.somin=disabled,40,8,8,8max=40retry=3passwordsufficientpam_unix.somd5shadownulloktry_first_passusr_authtokremember=5v4.2/etc/pam.d/passwdv6.0/etc/pam.d/common-passwordpasswwordrequisitepam_crackilb.sotry_first_passretry=3dcredit=-1lcredit=-1ucredit=-1ocredit=-1minlen=8或passwordrequsite/lib64/security/pam_cracklib.sotry_first_passretry=3dcredit=-1lcredit=-1ucredit=-1ocredit=-1minlen=8/etc/pam.d/passwd文件redhat/linux:passwwordrequisitepam_crackilb.sotry_first_passretry=3dcredit=-1lcredit=-1ucredit=-1ocredit=-1minlen=8对于采用静态口令认证技术的设备，口令长度至少8位并包括数字、小写字母、大写字母和特殊符号4类中至少3类。认证授权限制root用户SSH远程登录/etc/ssh/sshd_config文件PermitRootLoginno备注：麒麟操作系统不能限制，否则root不能登录/etc/ssh/sshd_config文件PermitRootLoginno/etc/ssh/sshd_config文件PermitRootLoginno禁止root用户通过ssh协议远程登录麒麟操作系统慎做认证授权使用SSH协议进行远程维护使用以下命令查看telnet和ssh服务态： #chkconfig--list|grep"telnet|ssh"如果输出有telnet，需关闭telnet服务使用以下命令查看telnet和ssh服务状态：#chkconfig--list|grep"telnet|ssh"如果输出有telnet，需关闭telnet服务使用以下命令查看telnet和ssh服务状态：#chkconfig--list|grep"telnet|ssh"如果输出有telnet，需关闭telnet服务只允许ssh远程运维主机认证授权配置用户最小授权/etc/passwd644#默认/etc/shadow文件的权限小于等于400#凝思要修改，麒麟、红帽不需要改/etc/group文件的权限小于等于644#麒麟、红帽默认文件权限小于等于644#麒麟、红帽默认/etc/inetd.conf（凝思）文件权限小于等于600#凝思要修改（inetd.conf凝思独有），麒麟无该文件/etc/security目录权限权限小于等于600#麒麟、红帽等都不满足以上六者同时满足则合规，否则不合规。/etc/passwd文件的权限小于等于644 #默认/etc/shadow文件的权限小于等于400 #凝思要修改，麒麟、红帽不需要改/etc/group文件的权限小于等于644 #麟、红帽默认/etc/services文件权限小于等于644 #麒麟、红帽默认凝思）文件权限小于等于600 #凝思要修改（inetd.conf凝思独有），麒麟无该文件/etc/security目录权限权限小于等于600#麒麟、红帽等都不满足以上六者同时满足则合规，否则不合规。/etc/passwd文件的权限小于等于644 认/etc/shadow文件的权限小于等于400 #凝思要修改，麒麟、红帽不需要改/etc/group文件的权限小于等于644 #麒麟、红帽默认/etc/services文件权限小于等于644 #麟、红帽默认/etc/inetd.conf（凝思）文件权限小于等于600 #凝思要修改（inetd.conf凝思独有麒麟无该文件6./etc/security目录权限权限小于等于600#麒麟、红帽等都不满足以上六者同时满足则合规，否则不合规。用户最小权限认证授权使用PAM认证模块禁止wheel组之外的用户su为root凝思无wheel组，麒麟和红帽有；不能加固，麒麟无su命令。使用PAM禁止任何人su为root。使用pam_rootok.so认证模块认证且配置了只允许wheel组的用户才能su为root则合规，否则不合规。备注:不明白。是否必须？认证授权记录cron行为日志检查/etc/syslog.conf配置了cron行为日志记录方法：1、文件/etc/syslog.conf配置了cron行为日志记录。2、文件/etc/rsyslog.conf配置了cron行为日志记录。3、文件/etc/syslog-ng/syslog-ng.conf配置了cron行为日志记录。三者满足其一则合规，否则不不合规。检查/etc/syslog.conf配置了cron行为日志记录方法：/etc/syslog.conf配置了cron行为日志记录。2、文件/etc/rsyslog.conf配置了cron行为日志记录。配置了cron行为日志记录。三者满足其一则合规，否则不不合规。检查/etc/syslog.conf配置了cron行为日志记录方法：1、文件/etc/syslog.conf配置了cron行为日志记录。2、文件/etc/rsyslog.conf配置了cron行为日志记录。3、文件/etc/syslog-ng/syslog-ng.conf配置了cron行为日志记录。三者满足其一则合规，否则不不合规。文件权限建议删除潜在危险文件.rhosts，.netrc，hosts.equiv等文件都具有潜在的危险，如果没有应用，应该删除。如果是root用户能够在rlogin时不输入密码（即建立信任机制）的话就要在.rhosts文件中加入对方hostname而普通用户要建立信任机制只要在/etc/hosts.equiv中加入对方的hostname就可以了简单的说hosts.equiv是不同主机间的信任关系，.rhosts是同一用户在不同主机间的信任。host.equiv信任被信主机的所有用户，.hosts只信任被信主机的相应的某个用户.netrc：ftp信任，即用户可不输入密码自动登录ftp.rhosts，.netrc，hosts.equiv等文件都具有潜在的危险，如果没有应用，应该删除。如果是root用户能够在rlogin时不输入密码（即建立信任机制）的话就要在.rhosts文件中加入对方hostname而普通用户要建立信任机制只要在/etc/hosts.equiv中加入对方的hostname就可以了简单的说hosts.equiv是不同主机间的信任关系，.rhosts是同一用户在不同主机间的信任。host.equiv信任被信主机的所有用户，.hosts只信任被信主机的相应的某个用户.netrc：ftp信任，即用户可不输入密码自动登录ftp删除.rhosts，.netrc，hosts.equiv文件麒麟和凝思默认不存在该文件，默认合规文件权限文件与目录缺省权限控制/etc/profile中umask027/etc/bashrc中umask027其中/etc/bashrc优先级高于/etc/profile缺省权限为027umask027source/etc/profile及时生效/etc/profile中umask027/etc/bashrc中umask027其中/etc/bashrc优先级高于/etc/profile/etc/profile中umask027/etc/bashrc中umask027其中/etc/bashrc优先级高于/etc/profile设置umask值，控制新建文件权限文件权限禁止UID为0的用户存在多个检查/etc/passwd文件中uid=0只能是root账号检查/etc/passwd文件中uid=0只能是root账号检查/etc/passwd文件中uid=0只能是root账号禁用多个超级账号系统服务配置NFS服务限制1、查看系统是否存在如下NFS程:rpc.lockdrpc.nfsdrpc.statd，rpc.mountd2、查看NFS服务状态：#chkconfig--list|grepnfsnfs0:off1:off2:off3:off4:off5:off6:offnfslock0:off1:off2:off3:on4:on 5:on 6:off3、查看是否对NFS#more/etc/hosts.allow#more/etc/hosts.deny1、不存在与NFS有关的守护进程2、如果存在NFS守护进程，但/etc/hosts.allow设置了允许访问nfs的远程地址且/etc/hosts.deny设置了拒绝所有访问NFS的远程地址。二者满足其中之一则合规，否则不合规。1、查看系统是否存在如下NFS程:rpc.lockdrpc.nfsdrpc.statd，rpc.mountd2、查看NFS服务状态：#chkconfig--list|grepnfsnfs0:off1:off2:off3:off4:off5:off6:offnfslock0:off1:off2:off3:on 5:on 6:off3、查看是否对NFS#more/etc/hosts.allow#more/etc/hosts.deny1、不存在与NFS有关的守护进程2、如果存在NFS守护进程，但/etc/hosts.allow设置了允许访问nfs的远程地址且/etc/hosts.deny设置了拒绝所有访问NFS的远程地址。二者满足其中之一则合规，否则不合规。1、查看系统是否存在如下NFS程:rpc.lockdrpc.nfsdrpc.statd，rpc.mountd2、查看NFS服务状态：#chkconfig--list|grepnfsnfs0:off1:off2:off3:off4:off5:off6:offnfslock0:off1:off2:off3:on 4:on 5:on6:off3、查看是否对NFS#more/etc/hosts.allow#more/etc/hosts.deny1、不存在与NFS有关的守护进程2、如果存在NFS守护进程，但/etc/hosts.allow设置了允许访问nfs的远程地址且/etc/hosts.deny设置了拒绝所有访问NFS的远程地址。二者满足其中之一则合规，否则不合规。NFS服务：如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP范围。系统服务禁止组合键关机文件/etc/inittab中不存在如下内容则合规，否则不合规：ca::ctrlaltdel:/sbin/shutdown-r-t4now备注：未验证组合件能否关机,需要验证功能。文件/etc/inittab中不存在如下内容则合规，否则不合规：ca::ctrlaltdel:/sbin/shutdown-r-t4now备注：未验证组合件能否关机,需要验证功能。文件/etc/inittab中不存在如下内容则合规，否则不合规：ca::ctrlaltdel:/sbin/shutdown-r-t4now备注：未验证组合件能否关机,需要验证功能。系统服务控制远程访问的IP地址1、/etc/hosts.allow中设置了允许访问的IP地址范围。2、/etc/hosts.deny中设置了拒绝所有远程访问。1、/etc/hosts.allow中设置了允许访问的IP地址范围。2、/etc/hosts.deny中设置了拒绝所有远程访问。1、/etc/hosts.allow中设置了允许访问的IP地址范围。2、/etc/hosts.deny中设置了拒绝所有远程访问。系统服务配置NTP1、执行以下命令验证NTP服务是否开启#ps-ef|egrep"ntp|ntpd"|grep-vgrep2、如果NTP服务未开启，执行以下命令启动服务#/etc/init.d/ntpdstart (凝思4.2、麒麟)或#/etc/init.d/ntpstart (凝思3、查看文件/etc/ntp.conf或/etc/ntp/ntp.conf中是否有类似server的行：server1、NTP服务处于开启状态备注：部分系统没有对时服务器，手动同步时间。1、执行以下命令验证NTP服务是否开启#ps-ef|egrep"ntp|ntpd"|grep-vgrep2、如果NTP服务未开启，执行以下命令启动服务#/etc/init.d/ntpdstart (凝思4.2、麒麟)或#/etc/init.d/ntpstart (凝思6.0)或/etc/ntp/ntp.conf中是否有类似server的行：server1、NTP服务处于开启状态备注：部分系统没有对时服务器，手动同步时间。1、执行以下命令验证NTP服务是否开启#ps-ef|egrep"ntp|ntpd"|grep-vgrep2、如果NTP服务未开启，执行以下命令启动服务#/etc/init.d/ntpdstart (凝思4.2、麒麟)或#/etc/init.d/ntpstart (凝思6.0)3、查看文件/etc/ntp.conf或/etc/ntp/ntp.conf中是否有类似server的行：server1、NTP服务处于开启状态间。若有ntp服务器，需加固系统服务修改SNMP的默认Community1、查看snmpd服务状态：#chkconfigsnmpd2、查看SNMP共同体字符串配置：、SUSE9：#cat/etc/snmpd.conf、SUSE10：#cat/etc/snmp/snmpd.conf#cat/etc/snmp/snmpd.conf1、SNMP服务未开启2、SNMP服务开启，且修改了默认团体名称两个条件满足其中一个则合规，否则不合规。1、查看snmpd服务状态：#chkconfigsnmpd2、查看SNMP共同体字符串配置：、SUSE9：#cat/etc/snmpd.conf、SUSE10：#cat/etc/snmp/snmpd.conf#cat/etc/snmp/snmpd.conf1、SNMP服务未开启2、SNMP服务开启，且修改了默认团体名称两个条件满足其中一个则合规，否则不合规。1、查看snmpd服务状态：#chkconfigsnmpd2、查看SNMP共同体字符串配置：、SUSE9：#cat/etc/snmpd.conf、SUSE10：#cat/etc/snmp/snmpd.conf#cat/etc/snmp/snmpd.conf1、SNMP服务未开启2、SNMP服务开启，且修改了默认团体名称两个条件满足其中一个则合规，否则不合规。系统服务设置屏幕锁定的值为true#启用空闲激活的值为true#启用屏幕锁定3、/apps/gnome-screensaver/mode的值为blank-only #屏保模4、idle_delay的值<=15#空闲激活时间四个条件同时满足则合规，否则不合规。的值为true#启用空闲激活的值为true#启用屏幕锁定3、/apps/gnome-screensaver/mode的值为blank-only #屏保模式4、idle_delay的值<=15#空闲激活时间四个条件同时满足则合规，否则不合规。的值为true#启用空闲激活的值为true#启用屏幕锁定3、/apps/gnome-screensaver/mode的值为blank-only 屏保模式4、idle_delay的值<=15#空闲激活时间四个条件同时满足则合规，否则不合规。监控工作站，大屏不做；服务器可做系统服务更改主机解析地址的顺序nospoofon/etc/host.conf方法：1.vi/etc/host.conf2.检查，查漏补缺3.如果没有，追加三行；ordermoltionnospoofonnospoofon/etc/host.conf方法：1.vi/etc/host.conf2.检查，查漏补缺3.如果没有，追加三行；ordermoltionnospoofonnospoofon/etc/host.conf方法：1.vi/etc/host.conf2.检查，查漏补缺3.如果没有，追加三行；ordermoltionnospoofon系统服务打开syncookie缓解synflood攻击cat/proc/sys/net/ipv4/tcp_syncookiestcp_syncookies的值为1则合规，否则为不合规。（红帽，凝思，麒麟默认合规）cat/proc/sys/net/ipv4/tcp_syncookiestcp_syncookies的值为1则合规，否则为不合规。cat/proc/sys/net/ipv4/tcp_syncookiestcp_syncookies的值为1则合规，否则为不合规。系统服务历史命令设置编辑文件/etc/profile，配置HISTFILESIZE=5编辑文件/etc/profile，将HISTSIZE值修改为5编辑文件/etc/profile，配置HISTFILESIZE=5编辑文件/etc/profile，将HISTSIZE值修改为5/etc/profile中HISTFILESIZE和HISTSIZE的值小于等于5则合规系统服务关闭不需要的系统通用服务检查操作系统是否开启了E-Mail、Web、FTP等不必要的通用网络服务E-Mail(25、110)、Web(80、8080)、FTP（20、21）、telnet（23）、rlogin（23）服务、SMB(445、139)方法：chkconfigxxx服务offservicexxx服务stop检查操作系统是否开启了E-Mail、Web、FTP等不必要的通用网络服务E-Mail(25、110)、Web(80、8080)、FTP（20、21）、telnet（23）、rlogin（23）服务、SMB(445、139)方法：chkconfigxxx服务offservicexxx服务stop检查操作系统是否开启了E-Mail、Web、FTP等不必要的通用网络服务E-Mail(25、110)、Web(80、8080)、FTP（20、21）、telnet（23）、rlogin（23）服务、SMB(445、139)方法：chkconfigxxx服务offservicexxx服务stop系统服务检查主机USB、光驱等接口封闭情况root账户下打开终端命令行输入：卸载USB:卸载驱动模块modprobe-rusbstoragecd/lib/modules/2.6.18-3.ky3.skl.4/kernel/drivers/usb/storage/3.mvusb-storage.kousb-storage.ko.bak恢复驱动modprobeusbstorage卸载光驱:cd/lib/modules/版本号/kernel/drivers/cdrom后mvcdrom.kocdrom.ko.bak主机加固的方法：注意：系统加固时的操作:mv/lib/modules/`uname-r`/kernel/drivers/usb/storage/usb-storage.ko/lib/modules/`unamestorage.ko.smprmmodusb_storage卸载光驱:cd/lib/modules/版本号/kernel/drivers/cdrom后mvcdrom.kocdrom.ko.bak备注：主机卸载usb驱动后，还需要停用，不然不生效。主机加固的方法：注意：系统加固时的操作:mv/lib/modules/`uname-r`/kernel/drivers/usb/storage/usb-storage.ko/lib/modules/`unamestorage.ko.smprmmodusb_storage卸载光驱:cd/lib/modules/版本号/kernel/drivers/cdrom后mvcdrom.kocdrom.ko.bak备注：主机卸载usb驱动后，还需要停用，不然不生效。备注：modprobe-r=rmmod；因为部分系统版本没有modprobe-r命令恢复USB驱动modprobeusbstorage帐号管理登陆超时时间设置/etc/profile文件TMOUT=600/etc/profile文件TMOUT=600/etc/profile文件TMOUT=600ssh登录10分钟超时帐号管理账号文件权限设置1/etc/passwd文件的权限<=644(所有用户必须要有读权限,只有root用户有写的权限)2/etc/shadow文件的权限<=400(只有root用户拥有该文件的读写权限)3/etc/group文件的权限<=644(所有用户必须要有读权限，只有root用户有写的权限)以上三个条件同时满足则合规，否则不合规。1/etc/passwd文件的权限<=644(所有用户必须要有读权限,只有root用户有写的权限)2/etc/shadow文件的权限<=400(只有root用户拥有该文件的读写权限)3/etc/group文件的权限<=644(所有用户必须要有读权限，只有root用户有写的权限)以上三个条件同时满足则合规，否则不合规。1/etc/passwd文件的权限<=644(所有用户必须要有读权限,只有root用户有写的权限)2/etc/shadow文件的权限<=400(只有root用户拥有该文件的读写权限)3/etc/group文件的权限<=644(所有用户必须要有读权限，只有root用户有写的权限)以上三个条件同时满足则合规，否则不合规。帐号管理删除无关帐号/etc/passwd文件lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在，或存在检查/etc/shadow文件对应密码以*或!!开头/etc/passwd文件lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在，或存在检查/etc/shadow文件对应密码以*或!!开头/etc/passwd文件lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在，或存在检查/etc/shadow文件对应密码以*或!!开头帐号管理操作系统启动为非root账