Linux系統安全配置基線

一：共享帳號檢查

配置名稱：用戶帳號分配檢查，避免共享帳號存在
配置要求：一、系統需按照實際用戶分配帳號； 二、避免不一樣用戶間共享帳號，避免用戶帳號和服務器間通訊使用的帳號共享。 操做指南：參考配置操做：cat /etc/passwd查看當前全部用戶的狀況； 檢查方法：命令cat /etc/passwd查看當前全部用戶的信息，與管理員確認是否有共享帳號狀況存在。 配置方法：如需創建用戶，參考以下： #useradd username #建立帳號 #passwd username #設置密碼 使用該命令爲不一樣的用戶分配不一樣的帳號，設置不一樣的口令及權限信息等。 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

二：多餘帳戶鎖定策略

配置名稱：多餘帳戶鎖定策略
配置要求：應鎖定與設備運行、維護等工做無關的帳號。
操做指南：參考配置操做：
          查看鎖定用戶：
          # cat /etc/password，查看哪些帳戶的shell域中爲nologin； 檢查方法：人工檢查：  # cat /etc/password後查看多餘帳戶的shell域爲nologin爲符合； BVS基線檢查：  多餘帳戶處於鎖定狀態爲符合。 配置方法：鎖定用戶： 修改/etc/password文件，將須要鎖定的用戶的shell域設爲nologin； 或經過#passwd –l username鎖定帳戶； 只有具有超級用戶權限的使用者方可以使用#passwd –l username鎖定用戶,用#passwd –d username解鎖後原有密碼失效，登陸需輸入新密碼。 補充操做說明： 通常狀況下，須要鎖定的用戶：lp,nuucp,hpdb,www,demon 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

三：root帳戶遠程登陸限制

配置名稱：root帳戶遠程登陸帳戶限制
配置要求：一、限制具有超級管理員權限的用戶遠程登陸。 二、遠程執行管理員權限操做，應先以普通權限用戶遠程登陸後，再切換到超級管理員權限帳號後執行相應操做。 操做指南：使用root帳戶遠程嘗試登錄 檢查方法：一、root遠程登陸不成功，提示「Not on system console」； 二、普通用戶能夠登陸成功，並且能夠切換到root用戶； 配置方法：修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改成PermitRootLogin no，重啓sshd服務。 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

四：口令複雜度策略

配置名稱：操做系統口令複雜度策略
配置要求：口令長度至少12位，幷包括數字、小寫字母、大寫字母和特殊符號。
操做指南：一、參考配置操做
        # cat /etc/pam.d/system-auth，找到password模塊接口的配置部分，找到相似以下的配置行： password requisite /lib/security/$ISA/pam_cracklib.so minlen =6 二、補充操做說明 參數說明以下： 一、retry=N，肯定用戶建立密碼時容許重試的次數； 二、minlen=N，肯定密碼最小長度要求，事實上，在默認配置下，此參數表明密碼最小長度爲N-1； 三、dcredit=N，當N小於0時，表明新密碼中數字字符數量不得少於（-N）個。例如，dcredit=-2表明密碼中要至少包含兩個數字字符； 四、ucredit=N，當N小於0時，表明則新密碼中大寫字符數量不得少於（-N）個； 五、lcredit=N，當N小於0時，表明則新密碼中小寫字符數量不得少於（-N）個； 六、ocredit=N，當N小於0時，表明則新密碼中特殊字符數量不得少於（-N）個； 檢查方法：# cat /etc/pam.d/system-auth，參考操做指南檢查對應參數  口令的最小長度至少12位  口令最少應包含的字符數量  口令中最少應包含的字母字符數量  口令中最少應包含的非字母數字字符數量 經過以上4子項的輸出綜合判斷該項是否知足。 配置方法：# vi /etc/pam.d/system-auth，找到password模塊接口的配置部分，按照配置要求內容修改對應屬性。 適用版本：Linux Redhat AS 4

五： 口令最長生存期策略

配置名稱：口令最長生存期策略
配置要求：要求操做系統的帳戶口令的最長生存期不長於90天 操做指南：# cat /etc/login.defs文件中指定配置項，其中： PASS_MAX_DAYS配置項決定密碼最長使用期限； PASS_MIN_DAYS配置項決定密碼最短使用期限； PASS_WARN_AGE配置項決定密碼到期提醒時間。 檢查方法：PASS_MAX_DAYS值小於等於90爲符合； 「對於採用靜態口令認證技術的設備，帳戶口令的生存期不長於90天」項的當前值：表示當前的口令生存期長度。 配置方法：vi /etc/login.defs文件，修改PASS_MAX_DAYS值爲小於等於9 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

六：系統關鍵目錄權限控制

配置名稱：關鍵目錄權限控制
配置要求：根據安全須要，配置某些關鍵目錄其所需的最小權限；
          重點要求password配置文件、shadow文件、group文件權限。 當前主流版本的linux系統在默認狀況下即對重要文件作了必要的權限設置，在平常管理和操做過程當中應避免修改此類文件權限，除此之外， 應按期對權限進行檢查及複覈，確保權限設置正確。 操做指南：查看關鍵目錄的用戶對應權限參考命令 ls -l /etc/passwd ls -l /etc/shadow ls -l /etc/group 檢查方法：與管理員確認已有權限爲最小權限。 配置方法：參考配置操做： 經過chmod命令對目錄的權限進行實際設置。 補充操做說明： /etc/passwd 全部用戶均可讀，root用戶可寫 –rw-r—r— 配置命令：chmod 644 /etc/passwd /etc/shadow 只有root可讀 –r-------- 配置命令：chmod 600 /etc/shadow； /etc/group 必須全部用戶均可讀，root用戶可寫 –rw-r—r— 配置命令：chmod 644 /etc/group； 若是是有寫權限，就需移去組及其它用戶對/etc的寫權限（特殊狀況除外）執行命令#chmod -R go-w,o-r /etc 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

七：用戶缺省權限控制

配置名稱：用戶缺省權限控制
配置要求：控制用戶缺省訪問權限，當在建立新文件或目錄時應屏蔽掉新文件或目錄不該有的訪問容許權限,防止同屬於
該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。
操做指南：一、# cat /etc/bashrc 查看全局默認設置umask值 二、查看具體用戶home目錄下bash_profile，具體用戶的umask 檢查方法：查看全局默認設置umask值爲027或更小權限爲符合（若有特許權限需求，可根據實際狀況判斷）； 查看具體用戶的umask，本着最小權限的原則。 配置方法：參考配置操做： 單獨針對用戶設置 可修改用戶home目錄下的.bash_profile腳本文件，例如，可增長一條語句：umask 027；對於權限要求較嚴格的場合，建議設置爲077。 全局默認設置： 默認經過全局腳本/etc/bashrc設置全部用戶的默認umask值，修改腳本便可實現對用戶默認umask值的全局性修改， 一般建議將umask設置爲027以上，對於權限要求較嚴格的場合，建議設置爲077。 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

八：安全日誌完備性要求

配置名稱：安全日誌完備性要求
配置要求：系統應配置完備日誌記錄，記錄對與系統相關的安全事件。
操做指南：一、# cat /etc/syslog.conf查看是否有對應配置 二、# cat /var/log/secure查看是否有對應配置 檢查方法：一、cat /etc/syslog.conf確認有對應配置； 二、查看/var/log/secure，應記錄有須要的設備相關的安全事件。 配置方法：修改配置文件vi /etc/syslog.conf。 配置以下相似語句： authpriv.* /var/log/secure 定義爲須要保存的設備相關安全事件。 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

九：統一遠程日誌服務器配置

配置名稱：統一遠程日誌服務器配置
配置要求：當前系統應配置遠程日誌功能，將須要重點關注的日誌內容傳輸到日誌服務器進行備份。
操做指南：# cat /etc/syslog.conf查看是否有對應配置 檢查方法：配置了遠程日誌服務器爲符合 配置方法：一、參考配置操做 修改配置文件vi /etc/syslog.conf， 加上這一行： *.* @192.168.0.1 能夠將"*.*"替換爲你實際須要的日誌信息。好比：kern.* / mail.* 等等；能夠將此處192.168.0.1替換爲實際的IP或域名。 從新啓動syslog服務，執行下列命令： services syslogd restart 二、補充操做說明 注意：*.*和@之間爲一個Tab 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

十：設置history時間戳

配置名稱：設置history時間戳
配置要求：配置history時間戳，便於審計。
操做指南：# cat /etc/bashrc查看是否有對應配置 檢查方法：已添加，如：「export HISTTIMEFORMAT="%F %T」配置爲符合。 配置方法：參考配置操做： 在/etc/bashrc文件中增長以下行： export HISTTIMEFORMAT="%F %T 適用版本：Linux Redhat AS 4

十一：SSH登陸配置

配置名稱：SSH登陸配置
配置要求：系統應配置使用SSH等加密協議進行遠程登陸維護，並安全配置SSHD的設置。不使用TELENT進行遠程登陸維護。
操做指南：一、查看SSH服務狀態：# ps –elf|grep ssh； 二、查看telnet服務狀態：# ps –elf|grep telnet。 檢查方法：一、 不能使用telnet進行遠程維護； 二、 應使用SSH進行遠程維護； 三、 SSH配置要符合以下要求； Protocol 2 #使用ssh2版本 X11Forwarding yes #容許窗口圖形傳輸使用ssh加密 IgnoreRhosts yes#徹底禁止SSHD使用.rhosts文件 RhostsAuthentication no #不設置使用基於rhosts的安全驗證 RhostsRSAAuthentication no #不設置使用RSA算法的基於rhosts的安全驗證 HostbasedAuthentication no #不容許基於主機白名單方式認證 PermitRootLogin no #不容許root登陸 PermitEmptyPasswords no #不容許空密碼 Banner /etc/motd #設置ssh登陸時顯示的banner 四、以上條件都知足爲符合。 配置方法：一、參考配置操做 編輯 sshd_config，添加相關設置，SSHD相關安全設置選項參考檢查方法中的描述。 二、補充操做說明 查看SSH服務狀態：# ps –elf|grep ssh 適用版本：Linux Redhat AS 4

十二：關閉沒必要要的系統服務

配置名稱：關閉沒必要要的系統服務
配置要求：根據每臺機器的不一樣角色，關閉不須要的系統服務。操做指南中的服務項提供參考，根據服務器的角色和應用狀況對啓動項進行修改。
如無特殊須要，應關閉Sendmail、Telnet、Bind等服務。
操做指南：執行命令 #chkconfig --list，查看哪些服務開放。 檢查方法：與管理員確認無用服務已關閉 配置方法：一、參考配置操做 使用以下方式禁用沒必要要的服務 #service <服務名> stop #chkconfig --level 35 off 二、參考說明 Linux/Unix系統服務中，部分服務存在較高安全風險，應當禁用，包括： 「lpd」，此服務爲行式打印機後臺程序，用於假脫機打印工做的UNIX後臺程序，此服務一般狀況下不用，建議禁用； 「telnet」，此服務採用明文傳輸數據，登錄信息容易被竊取，建議用ssh代替； 「routed」，此服務爲路由守候進程，使用動態RIP路由選擇協議，建議禁用； 「sendmail」，此服務爲郵件服務守護進程，非郵件服務器應將其關閉； 「Bluetooth」，此服務爲藍牙服務，若是不須要藍牙服務時應關閉； 「identd」，此服務爲AUTH服務，在提供用戶信息方面與finger相似，通常狀況下該服務不是必須的，建議關閉； 「xfs」，此服務爲Linux中X Window的字體服務，關於該服務歷史上出現過信息泄露和拒絕服務等漏洞，應以減小系統風險； R服務（「rlogin」、「rwho」、「rsh」、「rexec」），R服務設計上存在嚴重的安全缺陷，僅適用於封閉環境中信任主機之間便捷訪問， 其餘場合下均必須禁用； 基於inetd/xinetd的服務（daytime、chargen、echo等），此類服務建議禁用。 適用版本：Linux Redhat AS 三、Linux Redhat AS 4

十三：禁止Control-Alt-Delete鍵盤關閉命令

配置名稱：禁止Control-Alt-Delete鍵盤關閉命令 配置要求：應禁止使用Control-Alt-Delete組合鍵重啓服務器，防止誤操做 操做指南：命令cat /etc/inittab，查看配置 檢查方法：/etc/inittab 中應有：「#ca::ctrlaltdel:/sbin/shutdown -t3 -r now」配置爲符合。 配置方法：一、參考配置操做 在「/etc/inittab」 文件中註釋掉下面這行（使用#）： ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改成： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 爲了使此改動生效，輸入下面這個命令： # /sbin/init q 二、補充說明 禁止ctl-alt-del使得在控制檯直接按ctl-alt-del不能從新啓動計算機。 適用版本：Linux Redhat AS 4

十四：安裝操做系統更新補丁

配置名稱：安裝操做系統更新補丁
配置要求：安裝操做系統更新補丁，修復系統漏洞
操做指南：一、查看當前系統補丁版本 二、檢查官網當前系統版本是否發佈安全更新。 檢查方法：版本應保持爲最新 配置方法：經過訪問 https://rhn.redhat.com/errata/下載補丁安裝包，在打開的頁面上，選擇與本身使用相對應的系統後，點擊鏈接進入補丁包下載列表界面， 選擇須要的補丁下載。 下載的補丁爲rpm安裝包，將該安裝包複製到目標系統上，使用命令rpm –ivh xxx.rpm進行安裝，隨後從新啓動系統， 檢查所安裝補丁的服務或應用程序是否運行正常，即完成該補丁的安裝和升級工做。 適用版本：Linux Redhat AS 3 Linux Redhat AS 4