Linux系统安全配置标准V0

1、CHINA TELECOM效劳器系统平安加固技术要求Linux效劳器中国电信股份广州研究院2021年3月1 补丁 11.1 系统补丁 11.2 其他应用补丁 12 账号和口令平安配置基线 22.1 账号平安限制要求 22.2 口令策略配置要求 22.3 root登录策略的配置要求 22.4 root的环境变量基线 33 网络与效劳平安配置标准 43.1 最小化启动效劳 43.2 最小化 xinetd网络效劳 54 文件与目录平安配置 74.1 临时目录权限配置标准 74.2 重要文件和目录权限配置标准 74.3 umask 配置标准 74.4 SUID/SGID 配置标准75 信任主机的设置

2、96 系统 Banner 的配置 107 内核参数 118 syslog 日志的配置 13附件：选装平安工具 141补丁1.1 系统补丁要求及时安装系统补丁.更新补丁前,要求先在测试系统上对补丁进行可用 性和兼容性验证.系统补丁安装方法为以下例如假设无特别说明,均以 RedHat Linux为例： 使用up2date命令自动升级或在下载对应版本补丁手工单独安装.对于企业版5及之后的版本,可以直接使用yum工具进行系统补丁升级：yum update1.2 其他应用补丁除Linux开发商官方提供的系统补丁之外,基于 Linux系统开发的效劳和应用如APACHE、PHP、OPENSSL MYSQL等

3、也必须安装最新的平安补丁.以RedHat Linux为例,具体安装方法为：首先确认机器上安装了 gcc及必要的库文件.然后再应用官方网站下载对应的源代码包,如*tar.gz,并解压：tar zxfv *.tar.gz根据使用情况对编译配置进行修改,或直接采用默认配置cd *./configure进行编译和安装:makemake install注意：补丁更新要慎重,可能出现硬件不兼容、或者影响当前应用系统的情 况.安装补丁前,应该在测试机上进行测试2账号和口令平安配置基线2.1 账号平安限制要求系统中的临时测试账号、过期无用账号等必须被删除或锁定.以RedHat Linux 为例,设置方法如下：

4、锁定账号：/usr/sbin/usermod -L -s /dev/null $name删除账号：/usr/sbin/user $name2.2 口令策略配置要求要求设置口令策略以提升系统的平安性.例如要将口令策略设置为：非 root 用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期 的28天前接受到系统的提示、口令的最小长度为 6位.以RedHat Linux为例, 可在/etc/login.def文件中进行如下设置：vi /etc/login.defPASS_MAX_DAYS 90PASS_MIN_DAYS 7PASS_MIN_LEN 6PASS_WARN_AGE 2

5、82.3 root登录策略的配置要求禁止直接使用root登陆,必须先以普通用户登录,然后再su成root.禁止 root账号远程登录,以RedHat Linux为例,设置方法为：touch /etc/securettyecho “console > /etc/securetty2.4 root的环境变量基线root环境变量基线设置要求如表2-1所示:表2-1 root环境变量基线设置修改文件平安设置操作说明/etc/profilePATHS置中不含本 地目录.1 .查看root账号的环境变重,env2 .如果root的PATH变量包含本地目录, 那么去掉本地目录.3网络与效劳平安配置标准

6、3.1 最小化启动效劳1、 Xinetd 效劳如果xinetd效劳中的效劳,都不需要开放,那么可以直接关闭xinetd效劳.chkconfig -level 12345 xinetd off2、 关闭邮件效劳1)如果系统不需要作为邮件效劳器,并不需要向外面发邮件,可以直接关 闭邮件效劳.chkconfig -level 12345 sendmail off2)如果不需要作为邮件效劳器,但是允许用户发送邮件,可以设置Sendmail 不运行在daemon模式.编辑/etc/sysconRg/senmail文件,增添以下行：DAEMON=noQUEUE=1h设置配置文件访问权限：cd /etc/s

7、ysconfig/bin/chown root:root sendmail/bin/chmod 644 sendmail3、 关闭图形登录效劳(X Windows)在不需要图形环境进行登录和操作的情况下,要求关闭X Windows.编辑/etc/inittab 文件,修改 id:5:initdefault:行为 id:3:initdefault:设置配置文件访问权限：chown root:root /etc/inittabchmod 0600 /etc/inittab4、 关闭X font效劳器效劳如果关闭了 X Windows效劳,那么X font效劳器效劳也应该进行关闭.chkconfig

8、 xfs off5、 关闭其他默认启动效劳系统默认会启动很多不必要的效劳,有可能造成平安隐患.建议关闭以下不 必要的效劳：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassinwine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache d tux snmpd named postgresql mysqld w

9、ebmin kudzu squid cupschkconfig -level 12345 效劳名 off在关闭上述效劳后,应同时对这些效劳在系统中的使用的账号如rpc、rpcuser lp、 apache 、 d、 named dns、 mysql、 postgres squid 等予 以锁定或删除.usermod -L要锁定的用户3.2 最小化xinetd网络效劳1、 停止默认效劳要求禁止以下Xinetd默认效劳：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap

10、imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers serviceschkconfig 效劳名 off2、 其他对于xinet必须开放的效劳,应该注意效劳软件的升级和平安配置,并推荐 使用SSH和SSL对原明文的效劳进行替换.如果条件允许,可以使用系统自带 的iptables或tcp-wrapper功能对访问IP地址进行限制.4 文件与目录平安配置4.1 临时目录权限配置标准临时目录/tmp、/var/tmp 必须包含粘置位,以预防普通用户随意删除由其 他用户创

11、立的文件.chmod +t /tmp 为/tmp增加粘置位.4.2 重要文件和目录权限配置标准在Linux 系统中,/usr/bin 、/bin、/sbin 目录为可执行文件目录,/etc 目录为系统配置目录,包括账号文件、系统配置、网络配置文件等,这些目录和 文件相对重要.重要文件及目录的权限配置标准必须根据表4-1进行配置.表4-1重要文件和目录权限配置标准列表文件或目录属主属组权限/etc/passwdrootRoot-rw-r-r-/etc/grouprootRoot-rw-r-r-/etc/hostsrootRoot-rw-rw-r-/etc/inittabrootRoot-rw4.

12、3 umask配置标准umask命令用于设置新创立文件的权限掩码.要求编辑 /etc/profile 文件, 设置umask为027；在系统转成信任模式后,可设置 umask为077.4.4 SUID/SGID配置标准SUID/SGID的程序在运行时,将有效用户ID改变为该程序的所有者组ID, 使得进程拥有了该程序的所有者组的特权,因而可能存在一定的平安隐患. 对于这些程序,必须在全部检查后形成基准,并定期对照基准进行检查.查找此 类程序的命令为：# find / -perm -4000 -user 0ls查找SUID可执行程序查找SGID可执行程序# find / -perm -2000 -

13、user 0- Is5信任主机的设置1.原那么上关闭所有R系列效劳：rlogin、rsh、rexec2.对于需要以信任主机方式访问的业务系统,根据表5-1所示方式设置:表5-1信任主机的设置方法修改文件平安设置操作说明1.1. /etc/hosts.equiv全局配置文件2. /.rhosts单独用户的配置文件限定信任的主机、账号不能有单行的"+"或"+ +"的配置信息2.编辑/etc/host.equiv文件或者/.rhosts 文件,不能只采用主机 信任的方式,而必须采用账号和主 机的方式,删除不必要的信任主机 设置.更改/etc/hosts.equ

14、iv文件的属性,只允许root可读写.6系统Banner的配置要求修改系统banner,以预防泄漏操作系统名称、版本号、主机名称等,并且给出登陆告警信息.1 .修改/etc/issue文件,参加：ATTENTION:Yohave logged onto a secured server.ONLY Authorized users can access.2 .修改/etc/文件,参加：ATTENTION:Yohave logged onto a secured server.ONLY Authorized users can access.3 .修改/etc/inetd.conf文件,在teln

15、et 一行的最后,更改 telnetd 为telnetd - b /etc/issue ,增加读取 banner 参数.4 .重启inetd进程.Kill - HUP “inetd 进程 pid 7内核参数要求调整以下内核参数,以提升系统平安性：? 设置tcp_max_syn_backlog ,以限定SYN队列的长度? 设置rp_filter 为1,翻开反向路径过滤功能,预防ip地址欺骗? 设置accept_source_route 为0, 禁止包含源路由的ip包? 设置accept_redirects 为0,禁止接收路由重定向报文,预防路由表被恶意更改? 设置secure_redirects

16、 为1,只接受来自网关的“重定向"icmpi文配置方法为：编辑/etc/sysctl.conf ,增加以下行：net.ipv4.tcp_max_syn_backlog = 4096net.ipv4.conf.all.rp_filter = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.secure_redirects = 0net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.default.

17、accept_source_route = 0net.ipv4.conf.default.accept_redirects = 0net.ipv4.conf.default.secure_redirects = 0设置配置文件权限：/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置.? 设置ip_forward为0,禁止ip转发功能? 设置send_redirects 为0, 禁止转发重定向报文配置方法如下：编辑/etc/sysctl.conf ,增

18、力口 ：net.ipv4.ip_forward = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 08 syslog日志的配置1. syslog的基线配置要求如表8-1所示：表8-1 syslog日志平安配置列表一修改文件-平安设置操作说明/etc/syslog. conf配置文件中包含以下日志记录：*.err/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,/var/adm/authlogSyslog的配置文件/etc/rc.conf ig.d/syslogdSYSLOGD_OPTS = -DNfSyslogd不接收远程主机的日志2.要求将日志输出至专用日志效劳器,或者至少输出至本地文件中附件：选装平安工具工具名称TCP Wrapper工具用途该软件为大多数网络效劳提供访问限制与日志记录的功能.相关信息