绿盟Linux安全配置基线

1、绿盟安全加固项目Linux系统安全配置基线绿盟2009年3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。绿盟第3页共15页第1章概述 11.1 目的 错误！未定义书签。1.2 适用范围错误！未定义书签。1.3 适用版本 错误！未定义书签。1.4 实施 错误！未定义书签。1.5 例外条款 错误！未定义书签。第2章账号管理、认证授权 22.1 账号22.1.1 用户口令设置22.1.2 root 用户远程登录限制 22.1.3 检查是否存在除root之外UID为0的用户 32.1.4 root用户环境

2、变量的安全性 32.2 认证42.2.1 远程连接的安全性配置 42.2.2 用户的umask安全配置 42.2.3 重要目录和文件的权限设置 42.2.4 查找未授权的SUID/SGID文件52.2.5 检查任何人都有写权限的目录 62.2.6 查找任何人都有写权限的文件 62.2.7 检查没有属主的文件 72.2.8 检查异常隐含文件7第3章日志审计93.1 日志93.1.1 syslog 登录事件记录 93.2 审计93.2.1 Syslog.conf 的配置审核 9第4章系统文件114.1系统状态114.1.1 系统 core dump 状态11第5章评审与修订12绿盟安全加固项目第1

3、章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX服务器系统。1.3适用版本LINUX系列服务器；1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例

4、外条款，申请人必须准备书面申请文件，说明业务需求和原因， 送交中国移动通信有限公司管理信息系统部进行审批备案。第2章账号管理、认证授权2.1账号2.1.1用户口令设置王基线项 目名称操作系统Linux用户口令安全基线要求项王基线编号SBL-Linux-02-01-01王基线项 说明帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置，比如：root/root, test/test, root/root12342、执行：more /etc/login ,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_W ARN_AG

5、E参数3、 执行：awk -F: '($2 = "") print $1 ' /etc/shadow,检查是否存在空 口令账号基线符合性 判定依据建议在 /etc/login 文件中配置：PASS_MIN_LEN=6不允许存在简单密码，密码设置符合策略，如长度至少为6不存在空口令账号备注2.1.2 root用户远程登录限制王基线项 目名称操作系统Linux远程登录安全基线要求项王基线编 号SBL-Linux-02-01-02王基线项 说明帐号与口令-root用户远程登录限制检测操作步执行： more /etc/securetty, 检查 Console 参数

6、骤基线符合性 判定依据建议在 /etc/securetty 文件中配置：CONSOLE = /dev/tty01备注2.1.3检查是否存在除 root之外UID为0的用户王基线项 目名称操作系统Linux超级用户策略安全基线要求项王基线编号SBL-Linux-02-01-03王基线项 说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步 骤执行：awk -F: '($3 = 0) print $1 ' /etc/passwd基线符合性 判定依据返回值包括“root”以外的条目，则低于安全要求；备注补充操作说明UID为0的任何用户都拥有系统的最高特权，保证只有ro

7、ot用户的UID为02.1.4 root用户环境变虽的安全性王基线项 目名称操作系统Linux超级用户环境变量安全基线要求项王基线编号SBL-Linux-02-01-04王基线项 说明朴与口令-root用户环境变量的安全性检测操作步骤执行：echo $PATH | egrep '(A|:)(.|:|$)',检查是否包含父目录，执行：find 'echo $PATH | tr ':' ' '' -type d ( -perm -002 -o -perm -020 ) -Is ，检查是否包含组目录权限为777的目录基线符合性 判定依据

8、返回值包含以上条件，则低于安全要求；备注补充操作说明确保root用户的系统路径中不包含父目录，在非必要的情况下，不应包含组 权限为777的目录2.2认证2.2.1远程连接的安全性配置王基线项 目名称操作系统Linux远程连接安全基线要求项王基线编号SBL-Linux-02-02-01王基线项 说明帐号与口令-远程连接的安全性配置检测操作步骤执行：find / -name .netrc，检查系统中是否有 .netrc文件，执行：find / -name .rhosts，检查系统中是否有 .rhosts文件基线符合性 判定依据返回值包含以上条件，则低于安全要求；备注补充操作说明如无必要，删除这两个

9、文件2.2.2用户的umask安全配置王基线项 目名称操作系统Linux用户umask安全基线要求项王基线编号SBL-Linux-02-02-02王基线项 说明帐号与口令-用户的umask安全配置检测操作步骤执行： more /etc/profile more /etc/csh.login more /etc/csh.cshrc more/etc/bashrc检查是否包含 umask值基线符合性 判定依据umask值是默认的，则低于安全要求备注补充操作说明建议设置用户的默认 umask=0772.2.3重要目录和文件的权限设置王基线项 目名称操作系统Linux目录文件权限安全基线要求项王基线编

10、号SBL-Linux-02-02-03绿盟第3页共15页绿盟安全加固项目王基线项 说明文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况：lsT/etc/lsT/etc/rc.d/init.d/IsT/tmpIsT/etc/inetd.confIsT/etc/passwdIsT/etc/shadowIsT/etc/grouplsT/etc/securitylsT/etc/servicesls -l /etc/rc*.d基线符合性 判定依据若权限过低，则低于安全要求；备注补充操作说明对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/r

11、c.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2.2.4查找未授权的SUID/SGID文件王基线项 目名称操作系统Linux SUID/SGID文件安全基线要求项王基线编号SBL-Linux-02-02-04王基线项 说明文件系统-查找未授权的SUID/SGID文件检测操作步骤用下面的命令查找系统中所有的SUID和SGID程序，执行：for PART in 'grep -v A# /etc/fstab | awk '($6 != "0") (print $2 '' do find $PART ( -perm -04

12、000 -o -perm -02000 ) -type f -xdev -print Done基线符合性 判定依据若存在未授权的文件，则低于安全要求；备注补充操作说明建议经常性的对比suid/sgid文件列表，以便能够及时发现可疑的后门程序2.2.5检查任何人都有写权限的目录王基线项 目名称操作系统Linux目录与权限安全基线要求项王基线编号SBL-Linux-02-02-05王基线项 说明文件系统-检查任何人都有写权限的目录检测操作步 骤在系统中定位任何人都有写权限的目录用下面的命令：for PART in 'awk '($3 = "ext2" | $3

13、= "ext3") ( print $2 ' /etc/fstab' dofind $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合性 判定依据若返回值非空，则低于安全要求；备注2.2.6查找任何人都有写权限的文件王基线项 目名称操作系统Linux文件与权限安全基线要求项王基线编号SBL-Linux-02-02-06王基线项 说明文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令：for PART in 'grep -v

14、A# /etc/fstab | awk '($6 != "0") (print $2 '' do find $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -print Done基线符合性 判定依据若返回值非空，则低于安全要求；备注2.2.7检查没有属主的文件王基线项 目名称操作系统Linux文件所有权安全基线要求项王基线编号SBL-Linux-02-02-07王基线项 说明文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令：for PART in 'grep

15、 -v A# /etc/fstab | awk '($6 != "0") (print $2 '' dofind $PART -nouser -o -nogroup -printdone注意：不用管“ /dev”目录下的那些文件。基线符合性 判定依据若返回值非空，则低于安全要求；备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有主 人的文件存在。如果在系统中发现了没有主人的文件或目录，先查看它的完 整性，如果一切正常，给它一个主人。有时候卸载程序可能会出现一些没有 主人的文件或目录，在这种情况卜PJ以把这些文件和目录删除

16、掉。2.2.8检查异常隐含文件王基线项 目名称操作系统Linux隐含文件安全基线要求项王基线编号SBL-Linux-02-02-08王基线项 说明文件系统-检查异常隐含文件检测操作步骤用“find”程序可以查找到这些隐含文件。例如：# find / -name ". *" -print dev# find / -name "*" -print -xdev | cat -v同时也要注意象" .xx”和".mail ”这样的文件名的。（这些文件名看起来都 很象正常的文件名）基线符合性 判定依据若返回值非空，则低于安全要求；备注补充操作说明

17、在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“ls”命令看而IJ的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX下，一个常用的技术就是用一些特殊的名，如：“，”、".”（点点空格）或".AG”（点点control-G ）,来隐含文件或目录。绿盟第13页共15页第3章日志审计3.1日志3.1.1 syslog登录事件记录王基线项 目名称操作系统Linux登录审计安全基线要求项王基线编 号SBL-Linux-03-01-01王基线项 说明日志审计-syslog登录事件记录检测操作步骤执行命令

18、：more /etc/syslog.conf查数 authpriv 值基线符合性 判定依据若未对所有登录事件都记录，则低于安全要求；备注3.2审计3.2.1 Syslog.conf 的配置审核王基线项 目名称操作系统Linux配置审计安全基线要求项王基线编号SBL-Linux-03-02-01王基线项 说明日志审计-Syslog.conf的配置审核检测操作步骤执行：more /etc/syslog.conf,查看是否设置了下列项：kern.warning;*.err;authpriv.nonetloghost*.info;mail.none;authpriv.none;cron.nonetloghost*.emergtloghostlocal7.*tloghost基线符合性若未设置，则低于安全要求；判定依据备注补充操作说明建议配置专门的日志服务器，加强日志信息的异地同步备份第4章系统文件4.1系统状态4.1.1