![linux系统安全加固规范_第1页](http://file3.renrendoc.com/fileroot_temp3/2022-3/9/82e05101-a800-4823-b5f6-9cebd2106173/82e05101-a800-4823-b5f6-9cebd21061731.gif)
![linux系统安全加固规范_第2页](http://file3.renrendoc.com/fileroot_temp3/2022-3/9/82e05101-a800-4823-b5f6-9cebd2106173/82e05101-a800-4823-b5f6-9cebd21061732.gif)
![linux系统安全加固规范_第3页](http://file3.renrendoc.com/fileroot_temp3/2022-3/9/82e05101-a800-4823-b5f6-9cebd2106173/82e05101-a800-4823-b5f6-9cebd21061733.gif)
![linux系统安全加固规范_第4页](http://file3.renrendoc.com/fileroot_temp3/2022-3/9/82e05101-a800-4823-b5f6-9cebd2106173/82e05101-a800-4823-b5f6-9cebd21061734.gif)
![linux系统安全加固规范_第5页](http://file3.renrendoc.com/fileroot_temp3/2022-3/9/82e05101-a800-4823-b5f6-9cebd2106173/82e05101-a800-4823-b5f6-9cebd21061735.gif)
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、精选文档LinuxLinux 主机操作系统加固规范主机操作系统加固规范精选文档目目 录录第第 1 章章概述概述 .11.1目的 .11.2适用范围.11.3适用版本.11.4实施 .11.5例外条款.1第第 2 章章账号管理、认证授权账号管理、认证授权.22.1账号 .22.1.1用户口令设置.22.1.2root 用户远程登录限制.22.1.3检查是否存在除 root 之外 UID 为 0 的用户.32.1.4root 用户环境变量的平安性 .32.2认证 .42.2.1远程连接的平安性配置.42.2.2用户的 umask 平安配置.42.2.3重要名目和文件的权限设置.42.2.4查找未授
2、权的 SUID/SGID 文件.52.2.5检查任何人都有写权限的名目 .62.2.6查找任何人都有写权限的文件 .62.2.7检查没有属主的文件.72.2.8检查特别隐含文件 .7第第 3 章章日志审计日志审计.93.1日志 .93.1.1syslog 登录大事记录.93.2审计 .93.2.1Syslog.conf 的配置审核.9第第 4 章章系统文件系统文件.114.1系统状态.114.1.1系统 core dump 状态.11精选文档第第 1 章章 概述概述1.1适用范围适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络平安管理员。1.2适用版本适用版本LINUX 系列
3、服务器;精选文档第第 2 章章 账号管理、认证授权账号管理、认证授权2.1账号账号2.1.1 用户口令设置用户口令设置平安基线平安基线项目名称项目名称操作系统 Linux 用户口令平安基线要求项平安基线平安基线编号编号SBL-Linux-02-01-01 平安基线平安基线项说明项说明 帐号与口令-用户口令设置检测操作检测操作步骤步骤1、询问管理员是否存在如下类似的简洁用户密码配置,比如:root/root, test/test, root/root12342、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_W
4、ARN_AGE 参数3、执行:awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令账号基线符合基线符合性判定依性判定依据据建议在/etc/login 文件中配置:PASS_MIN_LEN=6不允许存在简洁密码,密码设置符合策略,如长度至少为 6不存在空口令账号备注备注2.1.2 root 用户远程登录限制用户远程登录限制平安基线平安基线项目名称项目名称操作系统 Linux 远程登录平安基线要求项平安基线平安基线编号编号SBL-Linux-02-01-02 平安基线平安基线项说明项说明 帐号与口令-root 用户远程登录限制检测操作检测操作步骤步骤执行:
5、more /etc/securetty,检查 Console 参数精选文档基线符合基线符合性判定依性判定依据据建议在/etc/securetty 文件中配置:CONSOLE = /dev/tty01备注备注2.1.3 检查是否存在除检查是否存在除 root 之外之外 UID 为为 0 的用户的用户平安基线平安基线项目名称项目名称操作系统 Linux 超级用户策略平安基线要求项平安基线平安基线编号编号SBL-Linux-02-01-03 平安基线平安基线项说明项说明 帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户检测操作检测操作步骤步骤执行:awk -F: ($3 = 0)
6、print $1 /etc/passwd基线符合基线符合性判定依性判定依据据返回值包括“root”以外的条目,则低于平安要求;备注备注补充操作说明UID 为 0 的任何用户都拥有系统的最高特权,保证只有 root 用户的 UID 为 02.1.4 root 用户环境变量的平安性用户环境变量的平安性平安基线平安基线项目名称项目名称操作系统 Linux 超级用户环境变量平安基线要求项平安基线平安基线编号编号SBL-Linux-02-01-04 平安基线平安基线项说明项说明 帐号与口令-root 用户环境变量的平安性检测操作检测操作步骤步骤执行:echo $PATH | egrep (|:)(.|:
7、|$),检查是否包含父名目,执行:find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls,检查是否包含组名目权限为 777 的名目基线符合基线符合性判定依性判定依据据返回值包含以上条件,则低于平安要求;find echo $PATH | tr : -type d ( -perm -777 -o -perm -777 ) -ls注注补充操作说明确保 root 用户的系统路径中不包含父名目,在非必要的状况下,精选文档不应包含组权限为 777 的名目2.1.5 远程连接的平安性配置远程连接的平安性配置平安基线平安基线项目名称项目
8、名称操作系统 Linux 远程连接平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-01 平安基线平安基线项说明项说明 帐号与口令-远程连接的平安性配置检测操作检测操作步骤步骤执行:find / -name .netrc,检查系统中是否有.netrc 文件,执行:find / -name .rhosts ,检查系统中是否有.rhosts 文件基线符合基线符合性判定依性判定依据据返回值包含以上条件,则低于平安要求;备注备注补充操作说明如无必要,删除这两个文件2.1.6 用户的用户的 umask 平安配置平安配置平安基线平安基线项目名称项目名称操作系统 Linux 用户 uma
9、sk 平安基线要求项平安基线平安基线项说明项说明 帐号与口令-用户的 umask 平安配置检测操作检测操作步骤步骤执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值基线符合基线符合性判定依性判定依据据umask 值是默认的,则低于平安要求备注备注补充操作说明 直接 vi /etc/bashrc建议设置用户的默认 umask=077 数据库机器不装。2.1.7 重要名目和文件的权限设置重要名目和文件的权限设置平安基线平安基线项目名称项目名称操作系统 Linux 名
10、目文件权限平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-03 精选文档平安基线平安基线项说明项说明 文件系统-重要名目和文件的权限设置检测操作检测操作步骤步骤执行以下命令检查名目和文件的权限设置状况:ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基线符合基线符合性判定依性判定依据据若权限过低,则低于平
11、安要求;备注备注补充操作说明对于重要名目,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有 root 可以读、写和执行这个名目下的脚本。2.1.8 查找未授权的查找未授权的 SUID/SGID 文件文件平安基线平安基线项目名称项目名称操作系统 Linux SUID/SGID 文件平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-04 平安基线平安基线项说明项说明 文件系统-查找未授权的 SUID/SGID 文件检测操作检测操作步骤步骤用下面的命令查找系统中全部的 SUID 和 SGID 程序,执行:for PART in gr
12、ep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind / ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基线符合基线符合若存在未授权的文件,则低于平安要求;精选文档性判定依性判定依据据备注备注补充操作说明建议经常性的对比 suid/sgid 文件列表,以便能够准时发觉可疑的后门程序2.1.9 检查任何人都有写权限的名目检查任何人都有写权限的名目平安基线平安基线项目名称项目名称操作系统 Linux 名目写权限平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-
13、05 平安基线平安基线项说明项说明 文件系统-检查任何人都有写权限的名目检测操作检测操作步骤步骤在系统中定位任何人都有写权限的名目用下面的命令:for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合基线符合性判定依性判定依据据若返回值非空,则低于平安要求;备注备注2.1.10 查找任何人都有写权限的文件查找任何人都有写权限的文件平安基线平安基线项目名称项目名称操作系统 Linux 文件写权
14、限平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-06 平安基线平安基线项说明项说明 文件系统-查找任何人都有写权限的文件检测操作检测操作步骤步骤在系统中定位任何人都有写权限的文件用下面的命令:for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合基线符合若返回值非空,则低于平安要求;精选文档性判定依性判定依据据备注备注2.1.11 检查没有属主的文件检查没有属
15、主的文件平安基线平安基线项目名称项目名称操作系统 Linux 文件全部权平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-07 平安基线平安基线项说明项说明 文件系统-检查没有属主的文件检测操作检测操作步骤步骤定位系统中没有属主的文件用下面的命令:for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -nouser -o -nogroup -printdone留意:不用管“/dev”名目下的那些文件。基线符合基线符合性判定依性判定依据据若返回值非空,则低于平安要求;备注备注补充操作说
16、明发觉没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有仆人的文件存在。假如在系统中发觉了没有仆人的文件或名目,先查看它的完整性,假如一切正常,给它一个仆人。有时候卸载程序可能会消灭一些没有仆人的文件或名目,在这种状况下可以把这些文件和名目删除掉。2.1.12 检查特别隐含文件检查特别隐含文件平安基线平安基线项目名称项目名称操作系统 Linux 隐含文件平安基线要求项平安基线平安基线编号编号SBL-Linux-02-02-08 平安基线平安基线项说明项说明 文件系统-检查特别隐含文件检测操作检测操作步骤步骤用“find”程序可以查找到这些隐含文件。例如: # find / -name
17、 . * -print xdev精选文档 # find / -name * -print -xdev | cat -v 同时也要留意象“.xx”和“.mail”这样的文件名的。 (这些文件名看起来都很象正常的文件名)基线符合基线符合性判定依性判定依据据若返回值非空,则低于平安要求;备注备注补充操作说明在系统的每个地方都要查看一下有没有特别隐含文件(点号是起始字符的,用“ls”命令看不到的文件) ,由于这些文件可能是隐蔽的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等) 。在 UNIX 下,一个常用的技术就是用一些特殊的名,如:“” 、 “. ” (点点空格)或“.G” (点点
18、 control-G) ,来隐含文件或名目。精选文档第第 3 章章 日志审计日志审计3.1日志日志3.1.1 syslog 登录大事记录登录大事记录平安基线平安基线项目名称项目名称操作系统 Linux 登录审计平安基线要求项平安基线平安基线编号编号SBL-Linux-03-01-01 平安基线平安基线项说明项说明 日志审计-syslog 登录大事记录检测操作检测操作步骤步骤执行命令:more /etc/syslog.conf查看参数 authpriv 值基线符合基线符合性判定依性判定依据据若未对全部登录大事都记录,则低于平安要求;备注备注3.2审计审计3.2.1 Syslog.conf 的配置审核的配置审核平安基线平安基线项目名称项目名称操作系统 Linux 配置审计平安基线要求项平安基线平安基线编号编号SBL-Linux-
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 外包服务商业辅助行业发展全景调研与投资趋势预测研究报告
- 提供心理治疗行业发展全景调研与投资趋势预测研究报告
- 小学教师节校园广播稿
- 汽车加润滑油服务行业发展趋势及前景展望分析报告
- 农村环保产业行业发展全景调研与投资趋势预测研究报告
- 电影摄影设备出租行业相关项目现状分析及对策
- 大学生自我介绍范文(汇编15篇)
- 闭经诊断治疗指南解读
- 2024年汽车货物运输合同模板一
- 2024年公司代理商加盟协议书
- 2023年深圳市罗湖区数学六年级第二学期期末综合测试试题含解析
- 《和大人一起读》整本阅读(教案)部编版语文一年级上册
- 夏季预防中暑及中暑急救培训PPT
- 钻芯法检测混凝土强度技术规程
- 经空气传播疾病医院感染预防与控制规范试题(附答案)
- 违法违纪典型案例剖析材料3篇
- 物流系统规划与设计(高举红)ch02物流节点系统规划与设计
- 初中历史学科培养学生家国情怀的策略研究
- 中国药科大学 药学专业 病理生理学-2023修改整理
- 小儿常见消化道畸形影像表现课件
- 观看永远吹冲锋号第四集心得体会五篇
评论
0/150
提交评论