linux安全配置规范

1、Linux安全配置规范2011年3月第一章 概述1.1适用范围适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本 要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查 规范等文档的参考。由于版本不同，配置操作有所不同，本规范以内核版本 2.6及以上为例，给 出参考配置操作。第二章安全配置要求2.1账号编号：1要求内容应按照不同的用户分配不同的账号。避免不同用户间 共享账号。避免用户账号和设备间通信使用的账号共 享。操作指南1、参考配置操作为用户创建账号：#useradd user name # 仓 U建账号#passwd user name # 设置密码修

2、改权限：#chmod 750 directory # 其中750为设置的权限，可根据实际情况设置相应的权限，directory 是要更改权限的目录）使用该命令为不冋的用户分配不冋的账号，设置不冋 的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行 些常用操作；3、补充说明编号：2要求内容应删除或锁疋与设备运仃、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdel user name;锁定用户：1）修改/etc/shadow 文件，用户名后加*LK*2)将尼tc/passwd 文件中的 shell

3、域设置成/bi n/false3)#passwd -l user name只有具备超级用户权限的使用者方可使用，#passwd-l user name 锁定用户,用 #passwd - d user name 解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：liste n, gdm,webservd ,n obody ,n obody4、no access。注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上未用）等检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；

4、3、补充说明需要锁定的用户：liste n, gdm,webservd ,n obody ,n obody4、no access。编号：3要求内容根据系统要求及用户的业务需求，建立多帐户组，将 用户账号分配到相应的帐户组。操作指南1、参考配置操作Cat /etc/passwdCat /etc/group2、补充操作说明检测方法1、判定条件人工分析判断2、检测操作编号：4要求内容使用PAM禁止任何人su为root操作指南参考操作：编辑su文件(vi /etc/pam.d/su),在开头添加下面两行：authsufficie nt/lib/security/pam_rootok.soauthreq

5、uired/lib/security/pam_wheel.so group二wheel 这表明只有 wheel组的 成员可以使用su命令成为root用户。你可以把用户添加到 wheel组，以使它可以使用su命令成为root用户。添加方法为：# chmod - G10 user name检测方法1、判定条件2、检测操作Cat /etc/pam.d/su2.2 口令编号：1要求内容对于米用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小与字母、大与字母和特殊符号 4 类中至少3类。操作指南1、参考配置操作vi /etc/logi n.defs，修改设置如下PASS_MIN_LEN=8设

6、定最小用户密码长度为8位Linux 用户密码的复杂度可以通过 pam_cracklib module 或 pam_passwdqc module 进行设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令，查看系统是否对口令强度要求进行提示；输入 带有特殊符号的复杂口令、普通复杂口令，查看系统 是否可以成功设置。3、补充说明pam_c

7、racklib 主要参数说明:? tretry=N:重试多少次后返回密码修改错误? difok=N:新密码必需与旧密码不同的位数? dcredit二N:N >= 0:密码中最多有多少个数字 ；N <0密码中最少有多少个数字.? lcredit=N:小宝字母的个数? ucredit=N 大宝字母的个数? credit二N: 特殊字母的个数? min class二N:密码组成（大/小字母，数字，特殊字 符）pam_passwdqc主要参数说明:mix:设置口令字最小长度，默认值是mix二disabled 。max:设置口令字的最大长度，默认值是max=4（。passphrase: 设置

8、口令短语中单词的最少个数，默 认值是passphrase=3，如果为0则禁用口令短语。atch:设置密码串的常见程序，默认值是match=4。similar:设置当我们重设口令时，重新设置的新口令能否与旧口令相似，它可以是similar二permit允许相似或similar二deny 不允许相似。ran dom:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。enforce:设置约束范围，enforce二none 表示只警告弱口令字，但不禁止它们使用；en force二users 将对系统上的全体非根用户实行这一限制； en force二everyo ne将对包括

9、根用户在内的全体用户实 行这一限制。non-un ix:它告诉这个模块不要使用传统的getpw nam函数调用获得用户信息。retry:设置用户输入口令字时允许重试的次数，默认值是retry=3 。密码复杂度通过/etc/pam.d/system-auth实施编号：2要求内容对于爪用静态口令认证技术的设备，帐户口令的生存 期不长于90天。操作指南1、参考配置操作vi / etc/login.defsPASS_MAX_DAYS=90#设定口令的生存期不长于90天检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；2.3文件及

10、目录权限编号：1要求内容在设备权限配置能力内，根据用户的业务需要，配置 其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd必须所有用户都可读，root用户可写rw-r r /etc/shadow 只有 root 可读r/etc/group须所有用户都可读，root用户可写rw-r r 使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对尼tc的写权限（特殊情况除外）执行命令 #chmod -R

11、go-w /etc检测方法1、判定条件1、 设备系统能够提供用户权限的配置选项，并记录对 用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访 问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及 可访问系统资源和命令的选项；3、 为两个用户分别配置不同的权限，2个用户的权限 差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统， 并分别尝 试访问允许

12、访问的内容和不允许访问的内容，查看权 限配置策略是否生效。3、补充说明编号：2要求内容控制用户缺省访问权限，当在创建新文件或目录时 应 屏蔽掉新文件或目录不应有的访问允许权限。防止冋 属于该组的其它用户及别的组的用户修改该用户的文 件或更咼限制。操作指南1、参考配置操作设置默认权限：Vi /etc/login.defs在末尾增加 umask 027，将缺省访问权限设置为750修改文件或目录的权限，操作举例如下：#chmod 444 dir ; # 修改目录 dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时

13、候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏 蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/login.defs查看是否有 umask 027 内容3、补充说明umask的默认设置一般为022,这给新创建的文件默认权限755( 777-022=755)，这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该 值等于八进制数据代码 777减去需要的默认权限对应 的八进

14、制数据代码值；对于文件，该值等于八进制数 据代码666减去需要的默认权限对应的八进制数据代 码值。编号：3要求内容如果需要启用FTP服务，控制FTP进程缺省访问权限， 当通过FTP服务创建新文件或目录时应屏蔽掉新文件 或目录不应有的访问允许权限。操作指南1、参考配置操作以vsftp为例打幵/etc/vsftpd/chroot_list文件，将需要限制的用户名加入到文件中2、补充操作说明检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏 蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：3、补充说明2.4远程登录编号：1要求内容限制具备超级管理员权限的用户远程登录。远程

15、执行管理员权限操作，应先以普通权限用户远程 登录后，再切换到超级管理员权限账号后执行相应操 作。操作指南1、参考配置操作编辑/etc/passwd ， 帐号信息的 shell 为/sbi n/no log in的为禁止远程登录，如要允许，则改成可以登录的 shell即可，女口 /bin/bash2、补充操作说明如果限制root 从远程 ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin改为 PermitRootLogin no ，重启 sshd 服务。yes检测方法1、判定条件root远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以

16、切换到root用户；2、检测操作root从远程使用telnet 登录；普通用户从远程使用teln et登录；root从远程使用ssh登录；普通用户从远程使用 ssh登录；3、补充说明限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin改为 PermitRootLogin no ，重启 sshd 服务。yes编号：2要求内容对于使用IP协议进行远程维护的设备， 设备应配置使 用SSH等加密协议，并安全配置 SSHD勺设置。操作指南1、参考配置操作正常可以通过#/etc/init.d/sshd start来启动SSH;通过#/e

17、tc/init.d/sshd stop来停止 SSH2、补充操作说明查看SSHR服务状态：# ps - ef|grep ssh注：禁止使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制；检测方法1、判定条件# ps - ef|grep ssh是否有ssh进程存在是否有tel net进程存在2、检测操作查看SSHI!务状态：# ps - ef|grep ssh查看telnet服务状态：# ps - ef|grep telnet3、补充说明2.5补丁安全编号：1要求内容在保证业务网络稳定运行的前提下，安装最新的OS补丁。补丁在安装前需要测试确疋。操作指南1、参考

18、配置操作看版本疋否为最新版本。执行下列命令，查看版本及大补丁号。#un ame 2、补充操作说明检测方法1、判定条件看版本疋否为最新版本。# un ame 查看版本及大补丁号RedHat Linux :Slackware LinuxSuSE Linux :TurboLinux :2、检测操作在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。3、补充说明2.6日志安全要求编号：1要求内容启用syslog系统日志审计功能操作指南1、参考配置操作#cat /etc/syslog.conf查看 是否有 #authpriv.*/var/log/secure2、补充操作说

19、明将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限使用相关的信息。检测方法1、判定条件查看是否有 #authpriv.* /var/log/secure2、检测操作#cat /etc/syslog.c onf3、补充说明将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限使用相关的信息。编号：2要求内容系统日志文件由syslog创立并且不可被其他用户修 改；其它的系统日志文件不是全局可写操作指南1、参考配置操作查看如下等日志的访问权限#ls - l查看下列日志文件权限/var/log

20、/messages、/var/log/secure、?/var/log/maillog、/var/log/cro n、/var/log/boot.log2、补充操作说明?/var/log/spooler、检测方法1、判定条件2、检测操作使用Is - l命令依次检查系统日志的读写权限3、补充说明编号：3 （可选）要求内容启用记录cron仃为日志功能操作指南1、参考配置操作Vi /etc/syslog.c onf # Log cron stuff cron .* cron .*检测方法1、判定条件2、检测操作cron .*编号：4 （可选）要求内容设备配置远程日志功能，将需要重点关注的日志内容 传

21、输到日志服务器。操作指南1、参考配置操作修改配置文件 vi /etc/syslog.conf,加上这一行：可以将"*.*"替换为你实际需要的日志信息。比如：kern.* ; mail.*等等。可以将此处2、补充操作说明检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明2.7不必要的服务、端口编号：1要求内容关闭不必要的服务。操作指南1、参考配置操作查看所有幵启的服务：#ps - ef#chkc onfig -list#cat /etc/x in etd.c onf在xinetd.c

22、onf中关闭不用的服务 首先复制/etc/x in etd.c onf。#cp /etc/xi netd.c onf /etc/x然后用vi编辑器编辑xinetd.conf文件，对于需要注释掉的服务在相应行幵 头标记"#"字符，重启xinetd服务,即可。2、补充操作说明参考附表，根据需要关闭不必要的服务检测方法1、判定条件所需的服务都列出来；没有不必要的服务；2、检测操作#ps - ef#chkc onfig -list#cat /etc/x in etd.c onf3、补充说明在/etc/xi netd.co nf文件中禁止不必要的基本网络服务。注意：改变了/etc/x

23、i netd.c onf文件之后，需要重新启动xinetd 。对必须提供的服务采用tcpwapper来保护2.8系统Banner设置要求内容修改系统banner,避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息操作指南1、参考配置操作在缺省情况下，当你登录到lin ux系统，它会告诉你该 linux发行版的名称、版本、内核版本、服务器的名称。应该尽可能的隐藏系统信息。首先编辑“尼tc/rc.d/rc.local” 文件，在下面显示的这些行前加一个“ #”把输出信息的命令注释掉。# This will overwrite /etc/issue at every boot.So, m

24、akeany cha nges you want to make to /etc/issue hereor youwill lose them whe n you reboot.#echo "" > /etc/issue#echo "$R" >> /etc/issue#echo "Ker nel $(un ame -r) on $a $(un ame -m)" >>/etc/issue#cp -f /etc/issue /etc/issue .net#echo >> /etc/issue其次删

25、除"/etc"目录下的和issue文件：# mv /etc/issue /etc/issue.bak检测方法查看Cat /etc/rc.d/rc.local注释住处信息2.9登录超时时间设置要求内容对于具备字符交互界面的设备，配置定时帐户自动登 出操作指南1、参考配置操作通过修改账户中“ TMOUT参数，可以实现此功能。TMOU按秒计算。编辑profile文件(vi /etc/profile)，在“ HISTFILESIZE二”后面加入下面这行：建议TMOUT=30Q可根据情况设定)2、补充操作说明改变这项设置后，必须先注销用户，再用该用户登录才能激活这个功能检测方法1、判

26、定条件查看 TMOUT=3002.10删除潜在危险文件要求内容.rhosts ，.netrc ，hosts.equiv 等文件都具有潜在的危险，如果 没有应用，应该删除操作指南1、参考配置操作执行：find / -name .netrc，检杳系统中是否有.netrc文件，执行：find /-name .rhosts，检杳 系统 中是否有.rhosts 文件如无应用，删除以上文件：Mv .rhost .rhost.bakMv .n etr . netr.bak2、补充操作说明注意系统版本，用相应的方法执行检测方法1、判定条件2、检测操作2.11 FTP 设置编号1:要求内容禁止root登陆FTP

27、操作指南1、参考配置操作在ftpaccess文件中加入下列行 root检测方法使用root帐号登录ftp会被拒绝编号2:要求内容禁止匿名ftp操作指南1、参考配置操作以vsftpd为例：打开vsftd.co nf文件，修改下列行为： anonymo us e nable二NO检测方法匿名账户不能登录编号3:要求内容修改FTP banner信息操作指南1、参考配置操作使用vsftpd，则修改下列文件的内容：/etc/vsftpd.d/vsftpd.c onf使用wu-ftpd ，则需要修改文件/etc/ftpaccess ，在其中添加： bann er /path/to/ftpba nner在指

28、定目录下创建包含ftp的banner信息的文件检测方法1、判断依据通过外部ftp客户端登录，banner按照预先设定的显示2、检杳操作附表：端口及服务服务名称端口应用说明关闭方法处置建议daytime13/tcpRFC867 白天协议chkc onfig daytime off建议关闭13/udpRFC867 白天协议chkc onfig daytime offtime37/tcp时间协议chkc onfig timeoff37/udp时间协议chkc onfig time-udp offecho7/tcpRFC862_回声协议chkc onfig echooff7/udpRFC862_回声协

29、议chkc onfig echo-udpoffdiscard9/tcpRFC863废除协议chkc onfig discard off9/udpchkc onfig discard-udp offcharge n19/tcpRFC864 字符产生协议chkc onfig charge n off19/udpchkc onfig charge n-udp offftp21/tcp文件传输协议（控制）chkc onfig gssftp off根据情况选 择开放tel net23/tcp虚拟终端协议chkc onfig krb5-te Inet off根据情况选 择开放sen dmail25/tcp简单邮件发送协议chkc onfig sen dmail off建议关闭n ameserver53/udp域名服务chkc onfig n amed off根据情况选 择开放53/tcp域名服务chkc onfig n amed off根据情况选择开放apache80/tcpHTTP万维网发布 服务chkc onfig httpd off根据情况选 择开放logi n513/tcp远程登录chkc onfig logi noff根据情况选择开放shell514/tcp