Linux安全配置标准

Linux平安配置标准

一•目的

《Linux平安配置标准》是Qunar信息系统平安标准的一局部，主要目的

是根据信息平安管理政策的要求，为我司的Linux系统提供配置基准，并作为

Linux系统设计、实施及维护的技术和平安参考依据。

二.范围

平安标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适

用范围。

三•内容

3.1软件版本及升级策略

操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新

功能。平安组负责跟踪厂商发布的相关平安补丁，评估是否进行升级。

3.2账户及口令管理

3.2.1远程登录帐号管理

符合以下条件之一的，属”可远程登录帐号”：

(1)设置了密码，且帐号处于未锁定状态。

(2)it$HOME/.ssh/authorized_keys放置了publickey

可远程登录帐号”的管理要求为:

(1)帐号命名格式与邮件命名格式保持一致

(2)不允许多人共用一个帐号，不允许一人有多个帐号。

(3)每个帐号均需有明确的属主，离职人员帐号应当天去除。

(4)特殊帐号需向平安组报批

3.2.2守护进程帐号管理

守护进程启动帐号管理要求

(1)应建立独立帐号，禁止赋予sudo权限，禁止参加root或wheel等高权限

组。

(2)禁止使用”可远程登录帐号”启动守护进程

(3)禁止使用root帐号启动WEBSERVER/DB等守护进程。

3.2.3系统默认帐号管理(仅适用于财务管理重点关注系统)

删除默认的帐号，包括：Ip,sync,shutdown,halt,news,uucp,

operator,games,gopher•等

3.2.4口令管理

口令管理应遵循《密码口令管理制度》，具体要求为

(1)启用密码策略

/etc/login.defs

PASSMAXDAYS90

PASS_MIN_DAYS1

PASS_MIN_LEN7

PASS_WARN_AGE7

/etc/pam.d/system-auth

passwordsufficientpam_unix.so**remember=5

passwordrequisitepam_cracklib.so**minlen=7lcredit=1

ucredit=1dcredit=1ocredit=0

(2)启用帐号锁定策略，连续输错3次口令，锁定用户30分钟

/etc/pam.d/system-auth

authrequiredpam_env.so

authrequiredpam_tally2.sodeny=3unlock_time=1800

3.2.5OpenSSH平安配置

只使用协议版本2,禁止root登录，禁止空口令登录，独立记录日志到

/var/log/secureo具体配置为：

/etc/ssh/sshd_config

#defaultis2,1

Protocol2

#defaultisyes

PermitRootLoginno

#defaultisno

PermitEmptyPasswordsno

#defaultisAUTH

SyslogFacilityAUTHPRIV

3.3认证授权

3.3.1远程管理方式

(1)默认仅允许ssh一种远程管理方式，禁止使用telnet、rlogin等，如存

在以下文件，必须删除:

$HOME/.rhosts

/etc/hosts.equiv

/etc/xinetd.d/rsh

/etc/xinetd.d/rlogin

(2)跳板机只允许RSATOKEN方式登录，其它Linux效劳器只允许通过密

码和publickey方式登录。

(3)生产环境Linux效劳器，只允许来自跳板机和其它指定IP的登录，通过

tcpwarp实现。生产环境范围由平安组指定，允许登录的IP源由平安组指定。

BETA/DEV环境登录限制同生产环境。

3.3.2其它(仅适用于财务管理重点关注系统)

(1)仅允许非wheel组用户通过远程管理，配置方法：

/etc/security/access.conf

/etc/pam.d/sshd

accountrequiredpam_access.so

(2)限制普通用户控制台访问权限

禁止普通用户在控制台执行shutdown、halt以及reboot等命令。

rm-f/etc/security/console.apps/reboot

rm-f/etc/security/console.apps/halt

rm-f/etc/security/console.apps/shutdown

rm-f/etc/security/console.apps/poweroff

3.4其它

3.4.1关键文件权限(仅适用于财务管理重点关注系统)

将以下文件设置为600权限

/$HOME/.bash_logout

/$HOME/.bash_profile

/$HOME/.bashrc

3.4.2日志管理

开启以卜行为日志：用户登录1=1志、crontab执行Id志

配置方法：

/etc/syslog.conf

authpriv.*/var/log/secure

cron.*/var/log/cron

对于PCIDSS覆盖范围内的系统，所有日志应实时发送到集中的日志管理

效劳器，并确保由程序自动分析与告警。

3.4.3用户界面TIMEOUT

设置用户30分钟无操作自动退出。设置方法：

/etc/profile

TMOUT=1800

对于PCIDSS以及SOX404范围内的系统，空闲超时时间需设置为15分

伊。

3.4.4设置NTP时间同步，确保各效劳器时间保持一致

配置同机房的自行运维的NTP效劳器为NTP源。

例如（每个机房可能不一样）：

driftfile/var/db/ntp.drift

pidfile/var/run/ntpd.pid

restrictdefaultignore

restrictmasknomodiiy

内部NTP效劳必须采用行业认可的NTP源。

例如:

serverminpoll4maxpoll8iburstburstprefer

server89minpoll4maxpoll8iburstburstprefer

server42minpoll4maxpoll8iburstburstprefer

server02minpoll4maxpoll8iburstburstprefer

server38minpoll4maxpoll8iburstburstprefer

server2minpoll4maxpoll8iburstburstprefer

server14minpoll4maxpoll8iburstburstprefer

serverminpoll4maxpoll8iburstburstprefer

server4minpoll4maxpoll8iburstburstprefer

serverminpoll4maxpoll8iburstburstprefer

#individualservers

restrictdefaultignore

3.4.5禁止安装/运行不必要的效劳

当前禁止安装/运行的效劳列表为

nfs

samba

telnet

rsh-server

3.4.6安装防病毒软件（仅适用于PCIDSS范围内系统）

安装经平安组认可的防病毒软件。

每周至少升级一次防病毒定义，并使用最新定义执行系统扫描。升级以及

定期扫描应设置为自动执行任务。对于扫描出来的结果只告警，由平安组成员

手工去除病毒，禁止设置自动删除。

扫描范围至少包括：

•bin

•sbin

•home

•lib

•lib64

•opt

•usr

•var

如果日志（系统、应用）目录被包含于以上目录，需做排除处理。

3.4.7安装完整性检测工具（仅适用于PCIDSS范围内系统）

由平安组安装文件完整性检测工具，确保以下文件被篡改时及时告警：

•所有日志文件

•/etc/profile,d

•/etc/inittab

•/etc/sysconfig/init

•/etc/hosts.allow

•/etc/hosts.deny

•/etc/modprobe.conf

•/etc/ntp.conf

•/etc/snmp/snmpd.conf

•/etc/ssh/ssh_config

•/etc/ssh/sshd_config

•/etc/ssh/ssh_host_key

•/etc/sysctl.conf

•/etc/syslog,conf

•/etc/grub.conf

•/etc/shadow

•/etc/sudoers

•/etc/group

•/etc/passwd

•/etc/login.defs

•/etc/securetty

3.4.8memcached平安配置

memcached统一监听在以下端口之一：6666/11211/11212/11213,

平安组将在网络边界对这些端口实施访问控制。

memcached应以nobody权限启用，禁止使用root权限启动。

3.4.9rsyncd平安配置

rsyncd配置必须符合以下平安要求

配置项默认配置要求配¥

list默认为true,即允许枚举模块列表。注意：通过帐号认在全局酉

证和ACL无法限制枚举行为。

auth_u默认为空，即允许匿名访问，不需要帐号密码认证。应建立巾

sers