Linux操作系统安全配置基线检查指导文件

Linux操作系统安全配置基线

目录

第I章概述......................................................................1

1.1目的......................................................................1

1.2适用范围..................................................................1

1.3适用版本..................................................................1

1.4安全基线说明..............................................................1

笫2章基本安全配置规范..........................................................2

2.1账户管理..................................................................2

2.1.1检查是否存在除root之外UID为0的用户..................................2

2.2口令配置..................................................................2

2.2.1用户口令设置...........................................................2

2.2.2用户口令强度要求.......................................................4

2.2.3用户锁定策略...........................................................5

2.2.4登录超时设置...........................................................5

2.2.5Root远程登录限制.......................................................6

2.3认证授权..................................................................7

2.3.1远程连接的安全性配置...................................................7

2.3.2用户的umask安全配置...................................................8

2.3.3重要目录和文件的权限设置...............................................9

2.3.4检查任何人都有写权限的目录............................................10

2.3.5查找任何人都有写权限的文件............................................11

2.3.6检查没有属主的文件.....................................................II

2.3.7使用SSH远程登录......................................................12

2.3.8关闭不必要的服务.......................................................13

2.4日志审计.................................................................14

2.4.1syslog登录事伫记录.....................................................14

2.4.2Syslog.conf的配置审核...................................................15

2.5系统状态.................................................................16

2.5.1系统coredump状态.....................................................16

Linux操作系统安全配置基线

第1章概述

1.1目的

本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全

合规性检查和配置。

1.2适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管

理员。

本配置标准适用的范围包括：LINUX服务器系统。

1.3适用版本

LINUX系列服务器。

1.4安全基线说明

本安全基线标注主要包含账户管理、口令配置、认证授权、日志审计、系

统状态等儿个方面，基线内容包括17项安全基线。

第1页共17页

Linux操作系统安全配置基线

第2章基本安全配置规范

2.1账户管理

2.1.1检查是否存在除root之外UID为0的用户

安全基线项目名称操作系统Linux超级用户策略安全基线要求项

安全基线编号Linux-01

因为UID为0的任何用户都拥有系统的最高特权，保证只

安全基线项说明有root用户的U1D为Oo需要检查是否存在除root之外

UID为0的用户

检测操作步骤执行：awk-F:($3==0){print$1}'/etc/passwd

基线符合性

返回值包括“root”以外的条目，则低于安全要求；

判定依据

|[rootferacleawk-F:'($3--0){print$11'/etc/passwd^^B

加固标准IrootMM

6.2.1.3主机安全：1）身份鉴别（S3）,a）应为操作系统

和数据库系统的不同用户分配不同的用户名，确保用户名

等级保护

具有唯一性；

基本要求

6.2.1.3主机安全：2）访问控制（S3）,e）应及时删除多

余的、过期的帐户，避免共享帐户的存在。

现状

检查结果□符合_____________口不符合_____________

整改结果

备注

2.2口令配置

221用户口令设置

安全基线项目名称操作系统Linux用户口令设置安全基线要求项

第2页共17页

Linux操作系统安全配置基线

安全基线编号Linux-02

对于采用静态口令认证技术的设备，帐户口令的生存期不

安全基线项说明

长于90天。

1.询问管理员是否存在如下类似的简单用户密码配置，比

如：

root/root,test/test,root/rootl234

检测操作步骤2.执行：more/etc/login.defs,检查PASS_MAX_DAYS/

PASS_MIN_DAYS/PASS_WARN_AGE参数

3.执行:awk-F:'($2==""){print$1}'/etc/shadow

检查是否存在空口令帐号

建议在/etc/login.defs文件中配置：

PASS_MAX_DAYS90#新建用户的密码最长使用天数

基线符合性PASS_MIN_DAYS0#新建用户的密码最短使用天数

判定依据PASS_WARN_AGE7#新建用户的密码到期提前提醒天

数

不存在空口令帐号

Vi/etc/login.defs进入到配置文件，按i键进入编辑模

式，找到相应的修改项修改值，修改完后，按esc键退出

编辑模式，按shift+:键，输入wq保存退出。

[root@oracIe]#vi/etc/login.defs

加固标准

[root?oracl^^w^T($^^^nrinnn^etc/shadow^^^^^B

[roo墉racleI

6.2.1.3主机安全：1)身份鉴别(S3),b)应对登录操作

系统和数据库系统的用户进行身份标识和鉴别；

等级保护6.2.1.3主机安全：1)身份鉴别(S3),c)操作系统和数

基本要求据库系统管理用户身份标识应具有不易被冒用的特点，系

统的静态口令应在7位以上并由字母、数字、符号等混合

组成并每三个月更换口令；

第3页共17页

Linux操作系统安全配置基线

现状

检查结果□符合_____________口不符合_____________

整改结果

备注

2.2・2用户口令强度要求

安全基线项目名称操作系统Linux用户口令强度安全基线要求项

安全基线编号Linux-03

对于采用静态口令认证技术的设备，口令长度至少8位，

安全基线项说明并包括数字、小写字母、大写字母和特殊符号4类中至少2

类。

/etc/pam.d/system-auth文件中是否对pam_cracklib.so

检测操作步骤

的参数进行了正确设置。

建议在/etc/pam.d/system-auth文件中配置：

基线符合性passwordrequisitepamcracklib.sodifok=3minlen=8

判定依据ucrcdit=-llcrcdit=-ldcrcdit=l

至少8位，包含一位大写字母，一位小写字母和一位数字

Vi/etc/pam.d/system-auth进入到配置文件,按i键进

入编辑模式，找到相应的修改项进行修改，修改完后，按

加固标准

esc键退出编辑模式，按shift+:键，输入wq保存退出。

passwordrequisitepam_cracklib.sodifok=3minlen=8ucredit=-llcredit=-ldcred

6.2.1.3主机安全：1）身份鉴别（S3）,b）c）操作系统

等级保护和数据库系统管理用户身份标识应具有不易被冒用的特

基本要求点，系统的静态口令应在7位以上并由字母、数字、符号

等混合组成并每三个月更换口令；

现状

枪查结果□符合_____________口不符合_____________

整改结果

第4页共17页

Linux操作系统安全配置基线

备注

2.2.3用户锁定策略

安全基线项目名称操作系统Linux用户口令锁定策略安全基线要求项

安全基线编号Linux-04

对于采用静态口令认证技术的设备，应配置当用户连续认

安全基线项说明

证失败次数超过10次，锁定该用户使用的帐号。

/etc/pam.d/system-auth文件中是否对pam_tally.so的

检测操作步骤

参数进行了正确设置。

设置连续输错10次密码，帐号锁定5分钟，

基线符合性使用命令"vi/etc/pam.d/system-auth”修改配置文件，添加

authrequiredpam_tally.sooncrr=faildcny=10unlock_timc=300

判定依据

注：解锁用户faillog-u〈用户名＞-r

Vi/etc/pam.d/syslem-auth进入到配置文件，按i键进入编辑模式，

找到相应的修改项进行修改，修改完后，按esc键退出编辑模式，

加固标准按shif1+:键，输入wq保存退出。

Heahrequiredpaijally.soonerr=fail|deny=10unlock_tiniez300H

6.2.1.3主机安全：1）身份鉴别（S3）,d）应启用登录失

等级保护

败处理功能，可采取结束会话、限制登录间隔、限制非法

基本要求

登录次数和自动退出等措施；

现状

检查结果□符合_____________口不符合_____________

整改结果

备注

2.2.4登录超时设置

安全基线项目名称操作系统Linux登录超时设置

安全基线编号Linux-05

安全基线项说明帐号与口令-检查登录超时设置

检测操作步骤使用命令"vi/etc/profile”修改配置文件,添加“TMOUT二"

第5页共17页

Linux操作系统安全配置基线

行开头的注释，建议设置为“TM0UT=180"，即超时时间为3

分钟。

基线符合性

返回值为空或值低于180,则低于安全要求

判定依据

vi/etc/profile进入到配置文件，按i键进入编辑模式，修改或添加

;<TMOUT=180,;修改完后，按esc键退出编辑模式,按shift+:键,

输入wq保存退出。

加固标准

HISTSIZE=1000

TM0UT=180

6.2.1.3主机安全：1）身份鉴别（S3）,d）应启用登录失

等级保护

败处理功能，可采取结束会话、限制登录间隔、限制非法

基本要求

登录次数和自动退出等措施；

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.2.5Root远程登录限制

安全基线项目名称操作系统Linux超级用户登录设置

安全基线编号Linux-06

安全基线项说明对SSH服务进行安全检查

使用命令"cat/etc/ssh/sshd_config”查看配置文件

1.检查是否允许root直接登录

检测操作步骤检查"PermitRoolLogin”的值是否为no

2.检查SSH使用的协议版本

检查"Protocol"的值

使用命令wvi/ete/ssh/sshd_configv编辑配置文件

基线符合性1.不允许root直接登录

设置MPermitRootLogin”的值为no

判定依据2.修改SSH使用的协议版本

设置"Protocol”的版本为2

vi/etc/ssh/sshd_config进入到配置文件，按i键进入编辑模式，找到

加固标准相应的修改项进行修改”，修改完后，按CSC键退出编辑模式，按

shift+:键，输入wq保存退出。

第6页共17页

Linux操作系统安全配置基线

6.2.1.3主机安全：2）访问控制（S3）,a）应启用访问控

等级保护制功能，依据安全策略控制用户对资源的访问；

基本要求6.2.1.3主机安全：7）资源控制（A3）,a）应通过设定终

端接入方式、网络地址范围等条件限制终端登录。

现状

枪查结果□符合_____________口不符合_____________

整改结果

备注root用户需要使用普通用户远程登录后su进行系统管理

2.3认证授权

2.3.1远程连接的安全性配置

安全基线项目名称操作系统Linux远程连接安全基线要求项

安全基线编号Linux-07

安全基线项说明帐号与口令-远程连接的安全性配置

执行：find/-name.netrc,检查系统中是否有.netrc

文件，

检测操作步骤

执行：find/-name.rhosts,检查系统中是否

有.「hosts文件

基线符合性

返回值包含以上条件，则低于安全要求；

判定依据

[root@oraclefind/-name.netrc

加固标准

[root@oracle~1#

第7页共17页

Linux操作系统安全配置基线

[root@oraclefind/-name.rhosts

[root@oracle

等级保护6.2.1.3主机安全：7)资源控制(A3),a)应通过设定终

基本要求端接入方式、网络地址范围等条件限制终端登录。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注如无必要，删除这两个文件

232用户的umask安全配置

安全基线项目名称操作系统Linux用户umask安全基线要求项

安全基线编号Linux-08

安全基线项说明帐号与口令-用户的umask安全配置

执行：

more/etc/profile

more/etc/csh.login

检测操作步骤

more/etc/csh.cshrc

more/etc/bashrc

检查是否包含umask值且umask=027

基线符合性

umask值是默认的，则低于安全要求

判定依据

Vi/etc/profile或vi/etc/csh.login或more

/etc/csh.cshrc或more/etc/bashrc进入配置文件，按i

键进入编辑模式，找到相应的项进行修改。按esc键退出

加固标准

编辑模式，输入wq同车保存退出。

l[root@oracleumask

1"),，♦■■■■■■

等级保护6.2.1.3主机安全：2)访问控制(S3),f)宜对重要信息

基木要求资源设置敏感标记。

第8页共17页

Linux操作系统安全配置基线

6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全策

略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.3.3重要目录和文件的权限设置

安全基线项目名称操作系统Linux目录文件权限安全基线要求项

安全基线编号Linux-09

安全基线项说明文件系统-重要目录和文件的权限设置

执行以下命令检查目录和文件的权限设置情况：

Is-1/etc/

Is-1/etc/rc.d/init.d/

Is-1/tmp

Is-1/ctc/inctd.conf

Is-1/etc/passwd

Is-1/etc/shadow

检测操作步骤

Is-1/etc/group

Is-1/etc/security

Is-1/etc/services

Is-1/etc/rc*.d

对于重要目录，建议执行如下类似操作：

#chmod-R750/etc/rc.d/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

基线符合性

若权限过低，则低于安全要求；

判定依据

加固标准[root@oraclechmod-R750XXXX

等级保护6.2.1.3主机安全：2）访问控制（S3）,f）宜对重要信息

第9页共17页

Linux操作系统安全配置基线

基本要求资源设置敏感标记。

6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全策

略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合_____________口不符合_____________

整改结果

备注

2.3.4检查任何人都有写权限的目录

安全基线项目名称操作系统Linux目录写权限安全基线要求项

安全基线编号Linux-10

安全基线项说明文件系统-检查任何人都有写权限的目录

在系统中定位任何人都有写权限的目录用下面的命令：

forPARTinawk($3二二〃ext2"$3=二〃ext3〃)\

{print$2}'/etc/fstab;do

检测操作步骤

find$PART-xdev-typed\(-perm-0002-a!-perm-1000

\)-print

Done

基线符合性

若返回值非空，则低于安全要求；

判定依据

6.2.1.3主机安全：2）访问控制（S3）,f）宜对重要信息

等级保护资源设置敏感标记。

基本要求6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全策

略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合_____________口不符合_____________

整改结果

备注

第10页共17页

Linux操作系统安全配置基线

2.3.5查找任何人都有写权限的文件

安全基线项目名称操作系统Linux文件写权限安全基线要求项

安全基线编号Linux-11

安全基线项说明文件系统-查找任何人都有写权限的文件

在系统中定位任何人都有写权限的文件用下面的命令：

forPARTingrep-v/etc/fstabawk($6!="0〃)

{print$2}'';do

检测操作步骤

find$PART-xdev-typef\(-perm-0002-a!-perm-1000

\)-print

Done

基线符合性

若返回值非空，则低于安全要求；

判定依据

6.2.1.3主机安全：2）访问控制（S3）,f）宜对重要信息

等级保护资源设置敏感标记。

基本要求6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全策

略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.3.6检查没有属主的文件

安全基线项目名称操作系统Linux文件所有权安全基线要求项

安全基线编号Linux-12

安全基线项说明文件系统-检查没有属主的文件

定位系统中没有属主的文件用下面的命令：

检测操作步骤forPARTingrep-v/etc/fstabawk($6!="0〃)

{print$2}'':do

第11页共17页

Linux操作系统安全配置基线

find$PART-nouser-o-nogroup-print

done

注意：不用管"/dev”目录下的那些文件。

基线符合性

若返回值非空，则低于安全要求；

判定依据

6.2.1.3主机安全：2）访问控制（S3）,f）宜对重要信息

等级保护资源设置敏感标记。

基本要求6.2.1.3主机安全：2）访问控制（S3）,g）宜依据安全策

略严格控制用户对有敏感标记重要信息资源的操作。

现状

检查结果□符合_____________口不符合_____________

整改结果

备注

237使用SSH远程登录

操作系统LinuxSSH安全连接要求

安全基线项目名称

安全基线编号Linux-13

对于使用IP协议进行远程维护的设备，设备应配置使用SSH

安全基线项说明

等加密协议。

查看SSH服务状态：

#servicesshdstatus

检测操作步骤

查看telnet服务状态：

#servicetelnetstatus

基线符合性SSH服务状态查看结果为：running

判定依据telnet服务状态查看结果为：notrunning/unrecognized

[rootSoracle/]#servicesshdstatus

加固标准

openssh-daemon(pid2047)正在运行...

第12页共17页

Linux操作系统安全配置基线

[root@oracle/]#servicetelnetstatus

telnet:未被识别的服务

等级保护6.2.1.3主机安全：7）资源控制（A3）,a）应通过设定终端

基本要求接入方式、网络地址范围等条件限制终端登录。

现状

检查结果□符合_____________□不符合_____________

整改结果

备注

2.3.8关闭不必要的服务

安全基线项目名称操作系统Linux关闭不必要的服务

安全基线编号Linux-14

安全基线项说明帐号与口令-关闭不必要的服务

使用命令"who-r”查看当前init级别

检测操作步骤使用命令"chkconfig—list〈服务名）”查看所有服务的

状态

基线符合性

若有不必要的系统在当前级别下为on,则低于安全要求

判定依据

等级保护6.2.1.3主机安全：7）资源控制（A3）,e）应能够对系统

基本要求的服务水平降低到预先规定的最小值进行检测和报警。

现状

检查结果□符合________________口不符合

整改结果

需要手工检查。

备注使用命令achkconfig-level<init级别》<服务名〉

on|off|reset”设置服务在个init级别下开机是否启动

第13页共17页

Linux操作系统安全配置基线

2.4日志审计

2.4.1syslog登录事件记录

安全基线项目名称操作系统Linux登录审计安全基线要求项

安全基线编号Linux-15

安全基线项说明日志审计-syslog登录事件记录

执行命令：more/etc/syslog.conf查看是否设置了下列

项：

kern,warning;*.err;authpriv.none\t@loghost

*.info;mail.nonc;authpriv.none;cron.none\t@loghost

检测操作步骤*.emerg\t@loghost

local7.*\t@loghost

建议配置专门的日志服务器，加强日志信息的异地同步备

份

查看参数authpriv值

基线符合性

若未对所有登录事件都记录，则低于安全要求；

判定依据

6.2.1.3主机安全：3)安全审计(G3),a)审计范围应覆

盖到服务器和重要客户端上的每个操作系统用户和数据库

用户。

6.2.1.3主机安全：3)安全审计(G3),b)审计内容应包

括重要用户行为、系统资源的异常使用和重要系统命令的

等级保护

使用、账号的分配、创建与变更、审计策略的调整、审计

基本要求

系统功能的关闭与启动等系统内重要的安全相关事件；

6.2.1.3主机安全：3)安全审计(G3),c)审计记录应包

括事件的日期、时间、类型、主体标识、客体标识和结果

等，并定期备份审计记录，涉及敏感数据的记录保存时间

不少于半年；

第14页共1