Linux安全配置基线

Linux系统安全配置基线

中国移动通信有限企业管理信息系统部

3月

版本版本控制信息更新日期更新人审批人

V1.0创立1月

备注：

若此文档需要A来更新，请创立人填写版本控制表格，否则删除版本控制表格。

目录

第I章概述......................................................错误!未定义书签。

U目........................................................错误!未定义书签。

1.2合用范围..................................................错误!未定义书签。

1.3合用版本..................................................错误!未定义书签。

1.4实行......................................................错误!未定义书签。

L5例外条款..................................................错误!未定义书签。

第2章账号管理、认证授权........................................错误!未定义书签。

2.1账号......................................................错误!未定义书签。

2.1.1顾客口令设置’.........................................错误!未定义书签。

2.1.2root顾客远程登录限制..................................错误!未定义书签。

2.1.3检查与否存在除mot之外UID为0顾客...................错误!未定义书签。

2.1.4root顾客环境变量安全性.................................错误!未定义书签。

2.2认证.....................................................错误!未定义书签。

2.2.1远程连接安全性配置...................................错误!未定义书签。

2.2.2顾客umask安全配置....................................错误!未定义书签。

2.2.3重要目录和文献权限设置...............................错误!未定义书签。

2.2.4查找未授权SU1D/SG1D文献.............................错误!未定义书签。

2.2.5检查任何人均有写权限目录.............................错误!未定义书签。

2.2.6查找任何人均有写权限文献.............................错误!未定义书签。

2.2.7检查没有属主文献.....................................错误!未定义书签。

2.2.8检查异常隐含文献.....................................错误!未定义书签。

第3章日志审计..................................................错误!未定义书签。

3.1日志......................................................错误!未定义书签。

3.1.1syslog登录事件记录.....................................错误!未定义书签。

3.2审计......................................................错误!未定义书签。

3.2.1Syslog.conf配置审核......................................错误!未定义书签。

第4章系统文献..................................................错误!未定义书签。

4.1系统状态..................................................错误!未定义书签。

4.1.1系统coredump状态....................................错误!未定义书签。

第5章评审与修订...............................................错误!未定义书签.

第1章概述

1.1目

1.2本文档规定了中国移动通信有限企业管理信息系统部门

所维护管理LINUX操作系统主机应当遵照操作系统安

全性设置原则，本文档意在指导系统管理人员或安全检

查人员进行LINUX操作系统安全合规性检查和配置。

1.3合用范围

1.4本配置原则使用者包括：服务器系统管理员、应用管理

员、网络安全管理员。

1.5本配置原则合用范围包括：中国移动总部和各省企业信

息化部门维护管理LINUX服务器系统。

1.6合用版本

LINUX系列服务器；

1.7实行

本原则解释权和修改权属于中国移动集团管理信息系统部，在木原则执行过程中若有

任何疑问或提议，应及时反馈。

本原则公布之日起生效。

1.8例外条款

欲申请本原则例外条款，申请人必须准备书面申请文献，阐明业务需求和原因，送交中

国移动通信有限企业管理信息系统部进行审批立案。

第2章账号管理、认证授权

2.1账号

2.L1顾客口令设置

安全基线项

操作系统Linux顾客口令安全基线规定项

目名称

安全基线编

SBL-Linux-02-01-01

号

安全基线项帐号与口令-顾客口令设置

阐明

检测操作环

1.问询管理员与否存在如下类似简朴顾客密码配置，例如：

节

root/root,test/lest,root/root1234

2.执行：more/etc/login,检查

PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE

参数

3、执行:awk-F:'($2==",u){print$1},/etc/shadow,检查与否存在空口令账号

3.执行:awk-F:,($2=,M,){print$1},/ctc/shadow,检查与否存在空口令账号

3、执行：awk-F:'(S2==""){print$1},/etc/shadow,检查与否存在空口令账

号

基线符合性提议在/etcilogin文献中配置：PASS_M1N_LEN=6

鉴定根据不容许存在简朴密码，密码设置符合方略，如长度至少为6

不存在空口令账号

备注

2.1.2root顾客远程登录限制

安全基线项

操作系统Linux远程登录安全基线规定项

目名称

安全基线编SBL-Linux-02-01-02

号

安全基线项

帐号与口令-rool顾客远程登录限制

阐明

检测操作环

执行：more/etc/securetty,检查Console参数

节

基线符合性提议在/etcisecuretty文献中配置：CONSOLE=/dev/ttyOl

鉴定根据

备注

2.1.3检查与否存在除root之外UID为0顾客

安全基线项

操作系统Linux超级顾客方略安全基线规定项

目名称

安全基线编

SBL-Linux-02-01-03

号

安全基线项帐号与口令-检查与否存在除root之外UID为0顾客

阐明

检测操作环

执行:awk-F:'($3==0){print$1}'/ctc/passwd

节

基线符合性返回值包括“root”以外条目，则低于安全规定；

鉴定根据

备注补充操作阐明

UID为0任何顾客都拥有系统最高特权，保证只有root顾客UID为0

UID为0任何顾客都拥有系统最高特权，保证只有root顾客UID为0

2.1.4root顾客环境变量安全性

安全基线项

操作系统Linux超级顾客环境变量安全基线规定项

目名称

安全基线编SBL-Linux-02-01-04

号

安全基线项帐号与口令-root顾客环境变量安全性

阐明

检测操作环

执行:echo$PATH|egrep'(A|:)(\.|:|$),,检查与否包括父目录，

节

执行:find'echoSPATH|tr-typed\(-perm-002-o-perm-020\)-Is,检查

与否包括组目录权限为777目录

执行：find'echo$PATH|trTyped\(-perm-002-o-perm-020\)-Is,检查

与否包括组目录权限为777目录

执行：find'echo$PATH|tr'''-typed\(-perm-002-o-perm-020\)-Is,检查

与否包括组目录权限为777目录

基线符合性返回值包括以上条件，则低于安全规定；

鉴定根据

备注补充操作阐明

保证root顾客系统途径中不包括父目录，在非必要状况下，不应包括组权限

为777目录

保证「。。1顾客系统途径中不包括父目录，在非必要状况下，不应包括组权限

为777目录

2.2认证

2.2.1远程连接安全性配置

安全基线项操作系统Linux远程连接安全基线规定项

目名称

安全基线编

SBL-Linux-02-02-01

号

安全基线项帐号与口令-远程连接安全性配置

阐明

检测操作环

执行：find/-name.nelrc,检查系统中与否有.nelrc文献，

节

执行：find/-name.rhosts,检查系统1与否有.rhosts义献

执行：find/-name.rhosts,检查系统中与否有.「hosts文献

执行：find/-name.rhosts,检查系统中与否有.rhosts文献

基线符合性返回值包括以上条件，则低于安全规定；

鉴定根据

备注补充操作阐明

如无必要，删除这两个文献

如无必要，删除这两个文献

2.2.2顾客umask安全配置

安全基线项

操作系统Linux顾客umask安全基线规定项

目名称

安全基线编

SBL-Linux-02-02-02

号

安全基线项

帐号与口令-顾客umask安全配置

阐明

检测操作环

执行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore

节

/etc/bashrc检查与否包括umask值

基线符合性

umask值是默认，则低于安全规定

鉴定根据

备注补充操作阐明

提议设置顾客默认umask=077

223重要目录和文献权限设置

安全基线项

操作系统Linux目录文献权限安全基线规定项

目名称

安全基线编

SBL-Linux-02-02-03

号

安全基线项文献系统-重要目录和文献权限设置

阐明

检测操作环执行如下命令检查目录和文献权限设置状况：

节

Is-1/etc/

Is-1/etc/rc.d/init.d/

Is-1Amp

Is-1/etc/inetd.conf

Is-1/etc/passwd

Is-1/etc/shadow

Is-1/etc/group

Is-1/etc/security

Is-1/etc/services

Is-1/etc/rc*.d

基线符合性若权限过低，则低于安全规定；

鉴定根据

备注补充操作阐明

对于重要目录,提议执行如下类似操作：

#chmod-R750/e(c/rc.d/init.d/*

这样只有mot可以读、写和执行这个目录下脚本。

2.2.4查找未授权SUID/SGID文献

安全基线项

操作系统LinuxSUID/SGID文献安全基线规定项

目名称

安全基线编SBL-Linux-02-02-04

号

安全基线项

文献系统-查找未授权SUID/SGID文献

阐明

检测操作环

用下面命令查找系统中所有SUID和SGID程序，执行：

节

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}'、；do

find$PART\(-perm-04(X)0-o-perm-0\)-typef-xdev-print

Done

基线符合性若存在未授权文献，则低于安全规定；

鉴定根据

备注补充操作阐明

提议常常性时比suid/sgid文献列表，以便可以及时发现可疑后门程序

提议常常性对比suid/sgid文献列表，以便可以及时发现可疑后门程序

2.2.5检查任何人均有写权限目录

安全基线项

操作系统Linux目录写权限安全基线规定项

目名称

安全基线编

SBL-Linux-02-02-05

号

安全基线项文献系统-检查任何人均有写权限目录

阐明

检测操作环在系统中定位任何人均有写权限目录取下面命令：

节

forPARTin'awk'($3=="ext2"||$3=="ext3M)\

{print$2}'/etc/fstab';do

find$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-print

Done

基线符合性若返回值非空，则低于安全规定：

鉴定根据

备注

2.2.6查找任何人均有写权限文献

安全基线项

操作系统Linux文献写权限安全基线规定项

目名称

安全基线编

SBL-Linux-02-02-06

号

安全基线项文献系统-查找任何人均有写权限文献

阐明

检测操作环在系统中定位任何人均有写权限文献用下面命令：

节

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}";do

find$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-print

Done

基线符合性若返回值非空，则低于安全规定；

鉴定根据

备注

2.2.7检查没有属主文献

安全基线项

操作系统Linux文献所有权安全基线规定项

目名称

安全基线编SBL-Linux-02-02-07

号

安全基线项文献系统-检查没有属主文献

阐明

检测操作环定位系统中没有属主文献用下面命令：

节

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}'、；do

find$PART-nouser-o-nogroup-print

done

注意：不用管"/dev”目录下那些文献。

注意：不用管"/dev”目录下那些文献。

基线符合性若返回值非空，则低于安全规定；

鉴定根据

备注补充操作阐明

发现没有属主文献往往就意味着有黑客入侵你系统了。不能容许没有主人文

献存在。假如在系统中发现了没有主人文献或目录，先查看它完整性，假如一

切正常，给它一种主人。有时候卸载程序也许会出现某些没有主人文献或目

录，在这种状况下可以把这些文献和FI录删除掉。

发现没有属主文献往往就意味着有黑客入侵你系统了。不能容许没有主人文

献存在。假如在系统中发现了没有主人文献或目录，先查看它完整性，假如

一切正常，给它一种主人。有时候卸载程序也许会出现某些没有主人文献或

目录，在这种状况下可以把这些文献和目录删除掉。

2.2.8检查异常隐含文献

安全基线项

操作系统Linux隐含文献安全基线规定项

目名称

安全基线编

SBL-Linux-02-02-08

号

安全基线项文献系统-检查异常隐含文献

阐明

检测操作环用“find”程序可以查找到这些隐含文献，例如：

节

...fin..-nam."..*.-prin.-xdev

#find/-name.*'*-print-xdev|cat-v

同步也要注意象".XX”和“.mail”这样文献名。（这些文献名看起来都很象

正常文献名）

基线符合性若返回值非空，则低于安全规定；

鉴定根据

备注补充操作阐明

在系统每个地方都要杳看一下有无异常隙含文献（点号是起始字符,用“k”

命令看不到文献），由于这些文献也许是隐藏黑客工具或者其他某些信息（口

令破解程序、其他系统口令文献，等等）。在UNIX下，一种常用技术就是用

某些特殊名，如：'”（点点空格）或“JG"（点点conlrol-G］，来

隐含文献或目录。

在系统每个地方都要查看一下有无异常隐含文献（点号是起始字符，用“Is”

命令看不到文献），由于这些文献也许是隐藏黑客工具或者其他某些信息（口

令破解程序、其他系统口令文献，等等）。在UNIX下，一种常用技术就是用

某些特殊名，如：“一”、”..”（点点空格）或“JG"（点点control-G）,来

隐含文献或目录。

在系统每个地方都要查看一下有无异常隐含文献（点号是起始字符，用“1S”

命令看不到文献），由于这些文献也许是隐藏黑客工具或者其他某些信息（口

令破解程序、其他系统口令文献，等等）。在UNIX下，一种常用技术就是用

某些特殊名，如：“一”、”..”（点点空格）或“JG"（点点control-G）,

来隐含文献或目录。

在系统每个地方都要查看一下有无异常隐含文献（点号是起始字符，用“1s”

命令看不到文献），由于这曲文献也许是隐藏黑客工具或者其他某曲信息（口

令破解程序、其他系统口令文献，等等）。在UNIX下，一种常用技术就是用

某些特殊名，如：“”（点点空格）或“JG"（点点controLG）,

来隐含文献或目录。

第3章日志审计

3.1日志

3.1.1syslog登录事件记录

安全基线项操作系统Linux登录审计安全基线规定项

目名称

安全基线编

SBL-Linux-03-01-01

号

安全基线项