linux安全系统配置地要求地要求规范

1、实用标准文案精彩文档Linux安全配置规范2010年11月实用标准文案第一章 概述1.1适用范围适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本 要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。第二章安全配置要求账号编写：1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd username#创建账号#passwd username#设置密码修改权限：#chmod 750 directory#其中750为设置的权限，可根据实际情况设置相应的权限，

2、directory 是要更改权限的目录）使用该命令为不同的用户分配不同的账号，设置不同的口令及权限精彩文档实用标准文案信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进彳L些常用操作；3、补充说明编写：2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdel username;锁定用户：1）修改/etc/shadow 文件，用户名后加 *LK*2）将/etc/passwd文件中的 shell 域设置成 /bin/false3）#passwd -l username只有具备超级用户

3、权限的使用者方可使用，#passwd -l username锁定用户，用#passwd-d username 解锁后原有密码失效，登录需输入新号码，修改/etc/shadow能保留原有密码。2、补充操作说明精彩文档实用标准文案需要 锁定的 用户：listen,gdm,webservd,nobody,nobody4 noaccess 。、检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要 锁定的 用户：listen,gdm,webservd,nobody,nobody4 noaccess 。、编写：3要求内容限制具备超级管理

4、员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为禁止远程登录，如要允许，则改成可以登录的shell即可，如/bin/bash2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，?各 PermitRootLogin yes 改为 PermitRootLogin no , 重启 sshd精彩文档实用标准文案服务。检测方法1、判定条件root远程登录不成功，提示“没有权限”；普通用

5、户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用 telnet登录；root从远程使用ssh登录；普通用户从远程使用 ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes 改为 PermitRootLogin no ,重启 sshd 服 务。编写：4要求内容对于使用IP协议进行远程维护的设备,密协议，并安全配置 SSHD的设置。设备应配置使用SSH等加操作指南1、参考配置操作正常可以通过 #/etc/init.d/sshd start通过 #

6、/etc/init.d/sshd stop来停止来启动SSH;SSH精彩文档实用标准文案2、补充操作说明查看SSH服务状态：# ps -ef|grep ssh禁止使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制；检测方法1、判定条件ps-ef|grep ssh是否有ssh进程存在是否有telnet进程存在2、检测操作查看SSH服务状态：ps-ef|grep ssh查有telnet服务状态：ps-ef|grep telnet3、补充说明口令编号：1要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数精彩文档实用标准文案字、小写字母、大写字母和特

7、殊符号4类中至少3类。操作指南1、参考配置操作vi / etc/login.defs，修改设置如下PASS_MIN_LEN=8 #设定最小用户密码长度为8位Linux 用户密码的复杂度可以通过pam_cracklib module 或pam_passwdqc module进行设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：配置口令的最小长度；将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令，查看系统是否对口令

8、强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明pam_cracklib主要参数说明：tretry=N:重试多少次后返回密码修改错误精彩文档实用标准文案difok=N:新密码必需与旧密码不同的位数dcredit=N: N = 0:密码中最多用多少个数字；N /etc/issue#echo $R /etc/issue精彩文档实用标准文案#echo Kernel $(uname -r) on $a $(uname -m) /etc/issue#cp -f /etc/issue HYPERLINK file:/etc/ /etc/#echo /etc

9、/issue其次删除/etc目录下的和issue文件：# mv /etc/issue /etc/issue.bak# mv HYPERLINK file:/etc/ /etc/ /etc/.bak检测方法查有Cat /etc/rc.d/rc.local注释住处信息附表：端口及服务服务名称端口应用说明关闭方法处置建议daytime13/tcpRFC867 白天协议chkconfig daytime off建议关闭13/udpRFC867 白天协议chkconfig daytime offtime37/tcp时间协议chkconfig timeoff37/udp时间协议chkconfig time

10、-udp offecho7/tcpRFC862_回声协议chkconfig echooff7/udpRFC862_回声协议chkconfig echo-udpoffdiscard9/tcpRFC863废除协议chkconfig discard off精彩文档实用标准文案9/udpchkconfig discard-udp offchargen19/tcpRFC864字符产生协议chkconfig chargen off19/udpchkconfig chargen-udp offftp21/tcp文件传输协议（控制）chkconfig gssftp off根据情况选择开放telnet23/tc

11、p虚拟终端协议chkconfig krb5-telnet off根据情况选择开放sendmail25/tcp简单邮件发送协议chkconfig sendmail off建议关闭nameserver53/udp域名服务chkconfig named off根据情况选择开放53/tcp域名服务chkconfig named off根据情况选择开放apache80/tcpHTTP万维网发布服务chkconfig httpd off根据情况选择开放login513/tcp远程登录chkconfig loginoff根据情况选择开放shell514/tcp远程命令，nopasswd usedchkcon

12、fig shelloff根据情况选择开放exec512/tcpremote execution,passwd requiredchkconfig execoff根据情况选择开放ntalk518/udpnew talk,chkconfig ntalkoff建议关闭精彩文档实用标准文案conversationident113/tcpauthchkconfig identoff建议关闭printer515/tcp远程打印缓存chkconfig printer off强烈建议关闭bootps67/udp引导协议服务端chkconfig bootpsoff建议关闭68/udp引导协议客户端chkconf

13、ig bootpsoff建议关闭tftp69/udp普通文件传输协议chkconfig tftpoff强烈建议关闭kshell544/tcpKerberos remoteshell -kfallchkconfig kshelloff建议关闭klogin543/tcpKerberos rlogin-kfallchkconfig kloginoff建议关闭portmap111/tcp端口映射chkconfig portmapoff根据情况选择开放snmp161/udp简单网络管理协议(Agent )chkconfig snmpoff根据情况选择开放snmp trap161/tcp简单网络管理协议(Agent )chkconfig snmpoff根据情况选择开放snmp-trap162/udp简单网络管理协议(Traps )chkconfig snmptrapoff根据情况选择开放syslogd514/udp系统日志服务chkconfig syslogoff建议保留Ipd5