Linux操作系统安全配置规范V10

1、版版本本号号：1.0.0 l i n u x 操操 作作 系系 统统 安安 全全 配配 置置 规规 范范 目录 1概述概述.1 1.1适用范围 .1 1.2外部引用说明 .1 1.3术语和定义 .1 1.4符号和缩略语 .1 2linux 设备安全配置要求设备安全配置要求.1 2.1账号管理、认证授权 .2 2.1.1账号.2 2.1.2口令.4 2.1.3授权.10 2.2日志配置要求 .11 2.3ip 协议安全配置要求.13 2.3.1ip 协议安全.13 2.4设备其他安全配置要求 .14 2.4.1检查ssh安全配置.14 2.4.2检查是否启用信任主机方式，配置文件是否配置妥当.1

2、5 2.4.3检查是否关闭不必要服务.15 2.4.4检查是否设置登录超时.16 2.4.5补丁管理.17 1 概述概述 1.1 适用范围适用范围 本规范适用于 linux 操作系统的设备。本规范明确了 linux 操作系统配 置的基本安全要求，在未特别说明的情况下，适用于 redhat 与 suse 操作系统 版本。 1.2 外部引用说明外部引用说明 1.3 术语和定义术语和定义 1.4 符号和缩略语符号和缩略语 （对于规范出现的英文缩略语或符号在这里统一说明。 ） 缩写英文描述中文描述 2 linux 设备安全配置设备安全配置要求要求 本规范所指的设备为采用 linux 操作系统的设备。本

3、规范提出的安全配 置要求，在未特别说明的情况下，均适用于采用 linux 操作系统的设备。 本规范从运行 linux 操作系统设备的认证授权功能、安全日志功能、ip 网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。 2.1 账号管理、认证授权账号管理、认证授权 2.1.1 账号账号 检查是否删除或锁定无关账号检查是否删除或锁定无关账号 检查项名称检查是否删除或锁定无关账号 中文编号 英文编号 要求内容应删除或锁定与设备运行、维护等工作无关的账号。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤1、

4、执行： #more /etc/passwd /etc/shadow 查看是否存在以下可能无用的帐户： lp uucp nobody games rpm smmsp nfsnobody。 adm、sync、shutdown、halt、news、operator 判定条件lp uucp nobody games rpm smmsp nfsnobody 这些帐户不存在或者它们 的密码字段为!，则这些帐户被锁定，符合安全要求，否则低于安全 要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shado

5、w /etc/shadow_bak 2、锁定无用帐户： 方法一： #vi /etc/shadow 在需要锁定的用户名的密码字段前面加!，如 test:!$1$qd1ju03h$lbv4vdbbpw.my0hz2d/im1:14805:0:99999:7: 方法二： #passwd -l test 3、将/etc/passwd 文件中的 shell 域设置成/bin/false。 补充操作说明lp uucp nobody games rpm smmsp nfsnobody adm、sync、shutdown、halt、news、operator 这些帐户不存在或者它 们的密码字段为! 2.1.1

6、.2检查是否限制检查是否限制 root 远程登录远程登录 检查项名称检查是否限制 root 远程登录 中文编号 英文编号 要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应 先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应 操作。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤查看配置文件 # more /etc/securetty # more /etc/ssh/sshd_config 判定条件# more /etc/securetty 检查是否有下列行： pts/x（x 为一个十进

7、制整数） #more /etc/ssh/sshd_config 检查下列行设置是否为 no 并且未被注释： permitrootlogin 不存在 pts/x 则禁止了 telnet 登录，permitrootlogin no 禁止了 ssh 登 录，符合以上条件则禁止了 root 远程登录，符合安全要求，否则低 于安全要求。 补充说明# authentication: #logingracetime 2m #permitrootlogin yes #strictmodes yes #maxauthtries 6 permitrootlogin 的值改为 no，不允许 root 远程登录 加固

8、方案类别 参考操作配置1、执行备份： #cp -p /etc/securetty /etc/securetty_bak #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2、新建一个普通用户并设置高强度密码： #useradd username #passwd username 3、禁止 root 用户远程登录系统： #vi /etc/securetty 注释形如 pts/x 的行，保存退出，则禁止了 root 从 telnet 登录。 #vi /etc/ssh/sshd_config 修改 permitrootlogin 设置为 no

9、并不被注释，保存退出，则禁止了 root 从 ssh 登录。 #/etc/init.d/sshd restart 补充操作说明以下为测试 telnet 登录结果： /etc/pam.d/login /etc/seruretty 结果 注释掉 存在文件，存在 pts 能登录 注释掉 存在文件，不存在 pts 不能登录 注释掉 不存在文件 能登录 不注释 不存在文件 能登陆 不注释 存在文件，不存在 pts 不能登录 不注释 存在文件，存在 pts 能登录 /etc/ssh/sshd_config 文件中 permitrootlogin 值为 no，并且 /etc/security/user 下值

10、为 pts 2.1.2 口令口令 检查口令策略设置是否符合复杂度要求检查口令策略设置是否符合复杂度要求 检查项名称检查口令策略设置是否符合复杂度要求 中文编号安全要求-设备-通用-配置-4 英文编号 要求内容对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小 写字母、大写字母和特殊符号 4 类中至少 2 类。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤#more /etc/pam.d/system-auth 检查以下参数配置： password requisite pam_crackli

11、b.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 是否配置了 minlen=8，minclass=2。 或者 password requisite pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3 password sufficient pam_unix.so nullok use_authtok md

12、5 shadow 是否配置了 min=n0,n1,n2,n3,n4。其中 n1 代表使用两种字符时， 口令最短长度。 判定条件使用 pam_cracklib 模块时，配置了 minclass 大于等于 2，minlen 大于 等于 6，符合安全要求，否则低于安全要求； 如果使用 pam_passwdqc 模块，配置了 min=n0,n1,n2,n3,n4,其中 n1 大于等于 6，符合安全要要求，否则低于安全要求。 补充说明可使用 pam pam_cracklib module 或 pam_passwdqc module 实现密码 复杂度，两者不能同时使用。 pam_cracklib 主要参数

13、说明: tretry=n：重试多少次后返回密码修改错误 difok=n：新密码必需与旧密码不同的位数 dcredit=n：n = 0 密码中最多有多少个数字；n = 0 密码中最多有多少个数字；n 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤执行： # more /etc/login.defs 检查 pass_max_days/pass_min_days/pass_warn_age 参 数。 判定条件pass_max_days 值不大于 90 天则符合安全要求，否则低于安全 要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp -p /et

14、c/login.defs /etc/login.defs_bak 2、修改策略设置： #vi /etc/login.defs 修改 pass_min_len 的值为 8，修改 pass_max_days 的值为 90，按要求修改 pass_min_days/pass_warn_age 的值，保存 退出 补充操作说明/etc/login.defs 文件中 pass_max_days 值不大于 90 检查口令重复次数限制检查口令重复次数限制 检查项名称检查口令重复次数限制 中文编号安全要求-设备-通用-配置-6-可选 英文编号 要求内容对于采用静态口令认证技术的设备，应配置设备，使用

15、户不能重复使用最 近 5 次（含 5 次）内已使用的口令。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤#cat /etc/pam.d/system-auth 检查 password required pam_unix.so 所在行是否存在 remember=5 判定条件存在 remember 大于等于 5，则符合安全要求，否则低于安全要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak 2、创建文件/

16、etc/security/opasswd，并设置权限： #touch /etc/security/opasswd #chown root:root /etc/security/opasswd #chmod 600 /etc/security/opasswd 3、修改策略设置： #vi /etc/pam.d/system-auth 在 password required pam_unix.so 所在行增加 remember=5，保存退出； 补充操作说明/etc/pam.d/system-auth 文件中存在 passwordxxxremember=值大于等于 5 检查口令锁定策略检

17、查口令锁定策略 检查项名称检查口令锁定策略 中文编号安全要求-设备-通用-配置-7-可选 英文编号 要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次），锁定该用户使用的账号。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤1、执行： #cat /etc/pam.d/system-auth 检查是否存在 auth required pam_env.so auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlo

18、ck_time=120 判定条件存在 deny 的值小于等于 6，则符合安全要求，否则低于安全要要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak 2、修改策略设置： #vi /etc/pam.d/system-auth 增加 auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120 到第二行。 保存退出； 补充操作说明使配置生效需重启服务器。root 帐户不在锁定范围内。帐户被锁

19、定后， 可使用 faillog -u -r 或 pam_tally -user -reset 解锁。 /etc/pam.d/system-auth 文件中存在 deny 的值小于等于 6 检查检查 ftp 是否禁止匿名登录是否禁止匿名登录 检查项名称检查 ftp 是否禁止匿名登录 中文编号 英文编号 要求内容ftp 是否禁止匿名登录。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤执行命令：ftp localhost 输出成果：使用 anonymous 用户登录， 输入密码：，测试是否 成功。 判定条件符合：

20、使用 anonymous 用户登录， 输入密码：，登录失败 不符合：使用 anonymous 用户登录， 输入密码：，登录成功 补充说明 加固方案类别 参考操作配置 补充操作说明 检查是否存在弱口令检查是否存在弱口令 检查项名称检查是否存在弱口令 中文编号 英文编号 要求内容用户密码不能是易猜测破解的简单密码，要求修改为复杂密码，符 合密码复杂度要求并且不易联想猜测的密码 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤查看密码是否是易猜测破解的简单密码 判定条件是否存在弱口令 补充说明 加固方案类别 参考操作

21、配置更改口令使口令满足复杂度要求并且不易猜测 补充操作说明 2.1.3 授权授权 检查帐号文件权限设置检查帐号文件权限设置 检查项名称检查帐号文件权限设置 中文编号 英文编号 要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤执行： #ls -l /etc/passwd /etc/shadow /etc/group /etc/passwd 必须所有用户都可读，root 用户可写 rw-rr /etc/shadow 只有 root 可读 r-

22、 /etc/group 必须所有用户都可读，root 用户可写 rw-rr 判定条件/etc/passwd 权限为 644，/etc/shadow 权限为 400，/etc/group 权限为 644，则符合安全要要求，如果权限高，则低于安全要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp p /etc/passwd /etc/passwd_bak #cp p /etc/shadow /etc/shadow_bak #cp p /etc/group /etc/group_bak 2、修改文件权限： #chmod 0644 /etc/passwd #chmod 0400 /et

23、c/shadow #chmod 0644 /etc/group 补充操作说明/etc/passwd 权限为 644，/etc/shadow 权限为 400，/etc/group 权限为 644 2.2 日志配置要求日志配置要求 本部分对 linux 操作系统设备的日志功能提出要求，主要考察设备所具备 的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件 定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违 反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分 析工具，发现安全隐患。如出现大量违反 acl 规则的事件时，通过对日志的审 计分析，能发

24、现隐患，提高设备维护人员的警惕性，防止恶化。 检查是否记录安全事件日志检查是否记录安全事件日志 检查项名称检查是否记录安全事件日志 中文编号 英文编号 要求内容设备应配置日志功能，记录对与设备相关的安全事件。 检查项类型日志配置 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤执行： #more /etc/syslog.conf 存在类似如下语句： *.err;kern.debug;daemon.notice; /var/log/messages 判定条件存在类似*.err;kern.debug;daemon.notice; /var/lo

25、g/messages 配 置，则符合安全要求，否则低于安全要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp -p /etc/syslog.conf /etc/syslog.conf_bak 2、修改配置： #vi /etc/syslog.conf 配置形如*.err; /var/adm/messages 的语句，保存退出 3、重启 syslog 服务 #/etc/init.d/syslog stop #/etc/init.d/syslog start 补充操作说明/etc/syslog.conf 文件中存在*.info 或者 filter f_message

26、s 或者 *.err; 检查是否配置远程日志保存检查是否配置远程日志保存 检查项名称检查是否配置远程日志保存 中文编号安全要求-设备-通用-配置-14-可选 英文编号 要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 检查项类型日志配置 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤redhat6 以下版本执行： #more /etc/syslog.conf redhat6 以上版本执行： #more /etc/rsyslog.conf 存在类似如下语句： *.* 18 或者*.

27、* 17 判定条件配置日志发送到远程日志服务器，则符合安全要求，否则低于安全 要求。 补充说明 加固方案类别 参考操作配置1、执行备份： #cp -p /etc/syslog.conf /etc/syslog.conf_bak（redhat6 以上版本使用 rsyslog 替换 syslog） 2、修改配置： #vi /etc/syslog.conf（redhat6 以上版本使用 rsyslog 替换 syslog） 加上这一行： *.* 18 或者 *.* 17 可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.*

28、 等 等。18 与 17 修改为实际的日志服务器。*.*和之 间为一个 tab。 3、重启 syslog 服务 #/etc/init.d/syslog stop #/etc/init.d/syslog start 补充操作说明/etc/syslog.conf 中存在类似 ip 或者 udp ip 注意： *.*和之间为一个 tab 2.3 ip 协议安全配置要求协议安全配置要求 .1 ipip 协议安全协议安全 检查检查 snmp 配置配置-修改修改 snmp 的默认的默认 community 检查项名称检查 snmp 配置-修

29、改 snmp 的默认 community 中文编号安全要求-设备-linux-配置-21-可选 英文编号 要求内容如果采用了默认的 snmp 配置，那么，snmp 的通讯字符串将是默认的 public（只读）和 private（可写），应对其进行更改。 检查项类型其他配置 - 操作系统 - linux 发布日期 2010-03-03 检查方式自动 检测操作步骤1、检查 snmp 是否开启，若未开启，则符合要求。若开启，执行第 2 步。 检查操作： chkconfig -list snmpd 显示 snmpd 服务是否启动，所有运行级别下均为 关闭，则符合要求。 2、若 snmp 开启，检查是否

30、使用默认字符串，如未修改，则不符合要求。 检查操作： r 执行：cat /etc/snmp/snmpd.conf 输出结果：检查 snmp 的通讯字符串 rocommunity 或 rwcommunity 是否 是默认的 public（只读）和 private（可写） （备注：应更改默认团体名 public 和 private，才能满足安全要求） 判定条件符合：未开启 snmp 或连接字符串未设置为 public、private 不符合：连接字符串设置为 public、private 补充说明 加固方案类别 参考操作配置 补充操作说明 2.4 设备其他安全设备其他安全配置要求配置要求 本部分作

31、为对于 linux 操作系统设备除账号认证、日志、协议等方面外的 安全配置要求的补充，对 linux 操作系统设备提出上述安全功能需求。包括补 丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分安全配置 要求的补充。 2.4.1 检查检查 ssh 安全配置安全配置 检查项名称检查 ssh 安全配置 中文编号 英文编号 要求内容检查是否只允许协议 2 检查项类型账号口令和认证授权 - 操作系统 - linux 发布日期 检查方式 检测操作步骤检查操作： 执行：grep protocol /etc/ssh/sshd_config 输出结果：“protocol 2” （备注：若为“prot

32、ocol 2”则符合安全要求。 ） 备注：如果 protocol 行被注释，利用 ssh 登录工具（如 securecrt）登录，如果允许协议 1，则不符合要求。 判定条件符合：protocol 2 不符合：protocol 2 不存在或被注释 补充说明 加固方案类别 参考操作配置 补充操作说明 2.4.2 检查是否启用信任主机方式，配置文件是否配置检查是否启用信任主机方式，配置文件是否配置 妥当妥当 检查项名称检查是否启用信任主机方式，配置文件是否配置妥当 中文编号 英文编号 要求内容检查 root,数据库管理账号目录下的.rhosts、hosts.equiv 检查项类型其他配置 - 操作系

33、统 - linux 发布日期 检查方式 检测操作步骤执行命令：cat $home/.rhosts 或者 cat /etc/hosts.equiv 结果输出：(不能设置+，要配置具体的 ip 地址或主机名） 判定条件符合：/.rhosts、/etc/hosts.equiv 不存在+、只配置了具体 ip 地址或 主机名 不符合：/.rhosts、/etc/hosts.equiv 存在+ 补充说明 加固方案类别 参考操作配置 补充操作说明 2.4.3 检查是否关闭不必要服务检查是否关闭不必要服务 检查项名称检查是否关闭不必要服务 中文编号 英文编号 要求内容列出所需要服务的列表(包括所需的系统服务)

34、，不在此列表的服务需 关闭。 检查项类型其他配置 - 操作系统 - linux 发布日期 检查方式 检测操作步骤执行： #chkconfig -list #所有服务的开启关闭列表 检查基本的网络服务的开启或禁止情况，以下服务都需要关闭： amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlog

35、in rsh rsync talk tcpmux- server telnet tftp time-dgram time-stream uucp; shell, login, exec, finger, auth，anancron，cups，gpm，isdn，kudzu，pcmcia，rhnsd，send mail 判定条件以下服务都需要关闭： amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2

36、 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk tcpmux- server telnet tftp time-dgram time-stream uucp; shell, login, exec, finger, auth，anancron，cups，gpm，isdn，kudzu，pcmcia，rhnsd，send mail 补充说明 加固方案类别 参考操作配置1、#chkconfig -list 2、禁止非必要服务：#chkconfig service off 开启服务为：#chkconfig service on 补充操作说明以下服务都需要关闭： amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk tcpmux- server telnet tftp time-dgram time-stream uu