Linux安全配置基线

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业杭州安恒信息技术有限公司Linux 系统安全配置基线杭州安恒信息技术有限公司2016年 12月 目 录 TOC o 1-3 h z u 概述 目的本文档规范了杭州安恒信息技术有限公司对于安装有Linux操作系统的主机进行加固时应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Linux 操作系统的安全配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：Linux 服务器系统。本地策略帐户与口令检查策

2、略 检查系统中是否存在口令为空的帐户安全基线项目名称检查系统中是否存在口令为空的帐户安全基线项说明 系统中不应存在口令为空的帐户检测与加固步骤输入命令：cat /etc/shadow，查看是否有未设置口令的帐户基线符合性判定依据帐户必须配置密码备注 检查系统中是否存在UID与root帐户相同的帐户安全基线项目名称检查系统中是否存在UID与root帐户相同的帐户安全基线项说明 用户的UID大于500的都是非系统账号，500以下的都为系统保留的账号，比如root账号，至高权限的账号的UID为0,我们创建用户的时候默认的账号的UID都是大于500，系统中不应存在UID与root帐户相同的帐户，该设置

3、将导致该帐户拥有与root帐户相同权限。检测与加固步骤输入命令：cat /etc/passwd | grep :x:0 ，查看输入结果中是否有非root帐户，基线符合性判定依据不存在uid为0的非root帐户备注 检查是否按用户分配帐号安全基线项目名称检查是否按用户分配帐号安全基线项说明 按照用户角色分配不同权限，确保用户权限的最小化，避免越权操作检测与加固步骤1、执行：#more /etc/passwd查看系统中存在的用户，确认每个帐户的home路径及启动shell；2、与管理员确认需要锁定的帐户基线符合性判定依据不存在无关用户备注 检查密码最小长度安全基线项目名称检查密码最小长度安全基线项

4、说明 检查密码最小长度检测与加固步骤查看/etc/login.defs文件，查看PASS_MIN_LEN参数值基线符合性判定依据大于等于8备注 检查密码过期时间安全基线项目名称检查密码过期时间安全基线项说明 长期不修改密码会提高密码暴露风险，建议密码生存周期不超过90天检测与加固步骤查看/etc/login.defs文件，查看PASS_MAX_DAYS参数值基线符合性判定依据小于等于60天备注 检查密码最大重试次数安全基线项目名称检查密码最大重试次数安全基线项说明 配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。注意仅对自然人使用的帐号做此限制。检测与加固步骤输入 cat

5、 /etc/pam.d/sshd | grep pam_tally2.so ，查看deny参数设置值基线符合性判定依据小于等于5备注 检查是否配置口令复杂度策略安全基线项目名称检查是否配置口令复杂度策略安全基线项说明 开启密码复杂度策略，大写字母、小写字母、数字、特殊字符至少支持3种检测与加固步骤查看/etc/pam.d/system-auth文件中 password requisite pam_cracklib.so配置， 例如：password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 注：ucredit：大写字母

6、个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数。基线符合性判定依据符合复杂度要求备注 检查是否设置系统引导管理器密码安全基线项目名称检查是否设置系统引导管理器密码安全基线项说明 检查是否设置系统引导管理器密码检测与加固步骤配置一：1.请确认系统引导器的类型为grub,如果不为grub,则忽略此检查点。 2.如果/boot/grub/menu.lst文件存在，编辑/boot/grub/menu.lst文件,设置password=*（*为需要设置的密码。 3.如果不存在，请检查grub是否正确安装，或/boot/grub/menu.lst文件是否被更名。

7、配置二：1.请确认系统引导器的类型为lilo,如果不为lilo,则忽略此检查点。 2.如果/etc/lilo.conf文件存在，编辑/etc/lilo.conf文件,设置password=*（*为需要设置的密码。 3.如果不存在，请检查lilo是否正确安装，或/etc/lilo.conf文件是否被更名。基线符合性判定依据配置grub密码备注 检查口令过期前警告天数安全基线项目名称检查口令过期前警告天数安全基线项说明 口令过期提前警告的天数检测与加固步骤查看/etc/login.defs文件，检查PASS_WARN_AGE参数值基线符合性判定依据大于等于7备注检查口令更改最小间隔天数安全基线项目

8、名称检查口令更改最小间隔天数安全基线项说明 口令更改最小间隔天数检测与加固步骤查看/etc/login.defs文件，检查PASS_MIN_DAYS参数值基线符合性判定依据大于等于7备注检查是否使用PAM认证模块禁止wheel组之外的用户su为root安全基线项目名称检查口令更改最小间隔天数安全基线项说明 口令更改最小间隔天数检测与加固步骤编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient pam_rootok.so 和 auth required pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令

9、成为root用户。 你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。 添加方法为：usermod G wheel username基线符合性判定依据禁止wheel组以外用户使用su备注检查密码重复使用次数限制安全基线项目名称检查密码重复使用次数限制安全基线项说明 检查密码重复使用次数限制检测与加固步骤编辑/etc/pam.d/system-auth文件，修改设置如下 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5 补充操作说明 只需在passw

10、ord sufficient这一行加上remember=5即可基线符合性判定依据remember大于等于5备注日志配置 检查系统是否开启了日志功能应用1：在Unix类上，rsyslog广泛应用于系统日志。rsyslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。安全基线项目名称检查系统是否开启了日志功能安全基线项说明 系统应开启日志服务，日志功能有助于记录系统问题、用户访问操作、受到攻击等等一系列操作

11、，对于管理员防范危险、日常管理有很重要的作用。检测与加固步骤使用命令“service syslogd start”或“service rsyslogd start”启动日志服务（Centos 6以前版本支持syslogd服务，之后版本支持rsyslogd服务，视具体系统而定）。基线符合性判定依据开启日志服务备注 检查系统是否开启了日志审计功能安全基线项目名称检查系统是否开启了日志审计功能安全基线项说明 检查系统是否开启了日志审计功能检测与加固步骤使用命令“service auditd status”查看服务状态使用管理员权限输入命令“service auditd start”开启审计服务，如无

12、法开启或不存在服务，请安装审计安装包(audit)后重新尝试。基线符合性判定依据开启日志服务备注 检查是否对登录进行日志记录应用2：who、w 和 users 等命令通过 utmp(/var/run/utmp) 文件查询当前登录用户的信息。last 和 ac 命令通过 wtmp(/var/log/wtmp) 文件查询当前与过去登录系统的用户的信息。lastb 命令通过 btmp(/var/log/btmp) 文件查询所有登录系统失败的用户的信息。lastlog 命令通过 lastlog(/var/log/lastlog) 文件查询用户最后一次登录的信息。安全基线项目名称检查是否对登录进行日志记

13、录安全基线项说明 检查是否对登录进行日志记录，使得登录记录可查检测与加固步骤登录日志文件为/var/log/wtmp,/var/log/utmp.这2个文件中记录着所有登录过主机的用户，时间，来源等内容，这个文件不具可读性，可用last命令来看。 如果命令无结果，请联系管理员基线符合性判定依据符合加固要求备注检查是否记录用户对设备的操作安全基线项目名称检查是否对登录进行日志记录安全基线项说明 检查是否对登录进行日志记录，使得登录记录可查检测与加固步骤通过设置日志文件可以对每个用户的每一条命令进行记录，这一功能默认是不开放的，为了打开它，需要安装pacct工具，并执行以下命令： #touch /

14、var/log/pacct #accton /var/log/pacct 执行读取命令lastcomm user name f /var/log/pacct基线符合性判定依据符合加固要求备注 检查syslog-ng是否配置安全事件日志安全基线项目名称检查syslog-ng是否配置安全事件日志安全基线项说明 检查syslog-ng是否配置安全事件日志检测与加固步骤编辑/etc/syslog-ng/syslog-ng.conf 配置： filter f_msgs level(err) or facility(kern) and level(debug) or facility(daemon) an

15、d level(notice); ; destination msgs file(/var/adm/msgs); ; log source(src); filter(f_msgs); destination(msgs); ; 其中/var/adm/msgs为日志文件。 如果该文件不存在，则创建该文件，命令为： touch /var/adm/msgs，并修改权限为666.命令为：chmod 666 /var/adm/msgs. 重启日志服务： #/etc/init.d/syslog restart基线符合性判定依据符合加固要求备注检查rsyslog是否配置安全事件日志安全基线项目名称检查rsys

16、log是否配置安全事件日志安全基线项说明 检查rsyslog是否配置安全事件日志检测与加固步骤编辑/etc/rsyslog.conf 配置： *.err;kern.debug;daemon.notice /var/adm/messages 其中/var/adm/messages为日志文件。 如果该文件不存在，则创建该文件，命令为： touch /var/adm/messages，并修改权限为666.命令为：chmod 666 /var/adm/messages. 重启日志服务： #/etc/init.d/rsyslog restart基线符合性判定依据符合加固要求备注检查syslog是否配置安

17、全事件日志安全基线项目名称检查syslog是否配置安全事件日志安全基线项说明 检查syslog是否配置安全事件日志检测与加固步骤编辑/etc/syslog.conf 配置： *.err;kern.debug;daemon.notice /var/adm/messages 其中/var/adm/messages为日志文件。 如果该文件不存在，则创建该文件，命令为： touch /var/adm/messages，并修改权限为666.命令为：chmod 666 /var/adm/messages. 重启日志服务： #/etc/init.d/syslog restart基线符合性判定依据符合加固要求

18、备注检查是否配置su命令使用情况记录安全基线项目名称检查是否配置su命令使用情况记录安全基线项说明 检查是否配置su命令使用情况记录检测与加固步骤1. 若启用syslog则编辑/etc/syslog.conf, 若启用rsyslog则编辑/etc/rsyslog.conf, 配置: authpriv.* /var/log/secure 2. 若启用syslog-ng则编辑:/etc/syslog-ng/syslog-ng.conf。 配置: filter f_secure facility(authpriv); ; destination priverr file(/var/log/secur

19、e); ; log source(src); filter(f_secure); destination(priverr); ; 3. 创建/var/log/secure文件 touch /var/log/secure 4. 重启syslog服务 #/etc/init.d/syslog restart。基线符合性判定依据符合加固要求备注检查是否配置远程日志功能安全基线项目名称检查是否配置远程日志功能安全基线项说明 检查是否配置远程日志功能检测与加固步骤若启用syslog-no日志则在/etc/syslog-ng/syslog-ng.conf中配置destination logserver ud

20、p(0 port(514); ; log source(src); destination(logserver); ; 可以将此处0替换为实际的IP；若启用rsyslog日志则修改配置文件vi /etc/rsyslog.conf， 加上这一行： *.* 可以将*.*替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。 可以将此处替换为实际的IP或域名。；若启用syslog日志则修改配置文件vi /etc/syslog.conf， 加上这一行： *.* 可以将*.*替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。 可以将此处替换为实际的IP或域名。基线

21、符合性判定依据符合加固要求备注检查是否启用cron行为日志功能安全基线项目名称检查是否启用cron行为日志功能安全基线项说明 检查是否启用cron行为日志功能检测与加固步骤若启用syslog-no日志则在/etc/syslog-ng/syslog-ng.conf中添加 filter f_cron facility(cron); ; destination cron file(/var/log/cron); ; log source(src); filter(f_cron); destination(cron); ; 其中/var/log/cron为日志文件。 如果该文件不存在，则创建该文件，命

22、令为： touch /var/log/cron，并修改权限为666.命令为：chmod 666 /var/log/cron；若启用rsyslog日志则编辑/etc/rsyslog.conf文件， 配置： cron.* /var/log/cron ， 其中/var/log/cron为日志文件。 如果该文件不存在，则创建该文件，命令为： touch /var/log/cron，并修改权限为666.命令为：chmod 666 /var/log/cron；若启用syslog日志则编辑/etc/syslog.conf文件， 配置： cron.* /var/log/cron ， 其中/var/log/cr

23、on为日志文件。 如果该文件不存在，则创建该文件，命令为： touch /var/log/cron，并修改权限为666.命令为：chmod 666 /var/log/cron。基线符合性判定依据符合加固要求备注检查审计日志默认保存时间是否符合规范安全基线项目名称检查审计日志默认保存时间是否符合规范安全基线项说明 检查审计日志默认保存时间是否符合规范检测与加固步骤检查审计日志默认保存时间是否符合规范，建议保存一年内的日志。修改/etc/logrotate.conf，若日志轮转周期设置为weekly（默认）则修改rotate值为53，同理若周期为daily则rotate设置为365，若周期为mon

24、thly则设置为12基线符合性判定依据符合加固要求备注系统内核配置 检查系统内核参数配置-是否禁止icmp源路由安全基线项目名称检查系统内核参数配置-是否禁止icmp源路由安全基线项说明 检查系统内核参数配置-是否禁止icmp源路由检测与加固步骤修改前请先备份配置文件cp -p /proc/sys/net/ipv4/conf/all/accept_source_route /proc/sys/net/ipv4/conf/all/accept_source_route.bak，执行命令 #sysctl -w net.ipv4.conf.all.accept_source_route=0 并修改/

25、proc/sys/net/ipv4/conf/all/accept_source_route的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置-是否禁止icmp重定向报文安全基线项目名称检查系统内核参数配置-是否禁止icmp重定向报文安全基线项说明 检查系统内核参数配置-是否禁止icmp源路由检测与加固步骤修改前请先备份配置文件 #cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak ，执行命令 #sysctl -w net.ipv4.c

26、onf.all.accept_redirects=0 并修改/proc/sys/net/ipv4/conf/all/accept_redirects的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置-send_redirects配置安全基线项目名称检查系统内核参数配置-send_redirects配置安全基线项说明 检查系统内核参数配置-send_redirects配置检测与加固步骤修改前请先备份配置文件 #cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redire

27、cts.bak ，执行命令 #sysctl -w net.ipv4.conf.all.send_redirects=0 并修改/proc/sys/net/ipv4/conf/all/send_redirects的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置-ip_forward配置安全基线项目名称检查系统内核参数配置-ip_forward配置安全基线项说明 检查系统内核参数配置-ip_forward配置检测与加固步骤修改前请先备份配置文件 #cp -p /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward.bak

28、 ，执行命令 #sysctl -w net.ipv4.ip_forward=0 并修改/proc/sys/net/ipv4/ip_forward的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置icmp_echo_ignore_broadcasts配置安全基线项目名称检查系统内核参数配置-icmp_echo_ignore_broadcasts配置安全基线项说明 检查系统内核参数配置-icmp_echo_ignore_broadcasts配置检测与加固步骤修改前请先备份配置文件 #cp -p /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

29、 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.bak ，执行命令 #sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 并修改/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts的值为1基线符合性判定依据符合加固要求备注信息隐藏检查是否设置ssh登录前警告Banner安全基线项目名称检查是否设置ssh登录前警告Banner安全基线项说明 检查是否设置ssh登录前警告Banner检测与加固步骤1. 执行如下命令创建ssh banner信息文件： #touch /

30、etc/ssh_banner #chown bin:bin /etc/ssh_banner #chmod 644 /etc/ssh_banner #echo 您想设置的信息 /etc/ssh_banner 可根据实际需要修改该文件的内容。 2. 修改/etc/ssh/sshd_config文件，添加如下行： Banner /etc/ssh_banner 3.重启sshd服务： #/etc/init.d/sshd restart基线符合性判定依据设置ssh登录前警告Banner备注检查是否设置ssh登录后警告Banner安全基线项目名称检查是否设置ssh登录后警告Banner安全基线项说明 检查

31、是否设置ssh登录后警告Banner检测与加固步骤修改文件/etc/motd的内容，如没有该文件，则创建它。 #echo 您想设置的信息 /etc/motd根据实际需要修改该文件的内容基线符合性判定依据设置ssh登录后警告Banner备注检查是否修改默认FTP Banner设置安全基线项目名称检查是否修改默认FTP Banner设置安全基线项说明 检查是否修改默认FTP Banner设置检测与加固步骤修改vsftp回显信息 # vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf) ftpd_banner=” Authorized users only. A

32、ll activity will be monitored and reported.” 可根据实际需要修改该文件内容。 重启服务： # /etc/init.d/vsftpd restart 2.修改pure-ftp配置文件： #vi /etc/pure-ftpd/pure-ftpd.conf 找到以下行，确保该行未被注释。 FortunesFile /usr/share/fortune/zippy 编辑/usr/share/fortune/zippy文件（如没有fortune文件夹或者zippy文件，则新建该文件夹或该文件）： #vi /usr/share/fortune/zippy 将自定

33、义BANNER写入其中。 重启服务： # /etc/init.d/pure-ftpd restart基线符合性判定依据修改默认FTP Banner设置备注检查telnet Banner 设置安全基线项目名称检查telnet Banner 设置安全基线项说明 检查telnet Banner 设置检测与加固步骤修改vsftp回显信息 # vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf) ftpd_banner=” Authorized users only. All activity will be monitored and reported.” 可根据

34、实际需要修改该文件内容。 重启服务： # /etc/init.d/vsftpd restart 2.修改pure-ftp配置文件： #vi /etc/pure-ftpd/pure-ftpd.conf 找到以下行，确保该行未被注释。 FortunesFile /usr/share/fortune/zippy 编辑/usr/share/fortune/zippy文件（如没有fortune文件夹或者zippy文件，则新建该文件夹或该文件）： #vi /usr/share/fortune/zippy 将自定义BANNER写入其中。 重启服务： # /etc/init.d/pure-ftpd resta

35、rt基线符合性判定依据修改默认FTP Banner设置备注服务端口启动项检查是否启用SSH服务安全基线项目名称检查是否启用SSH服务安全基线项说明 telnet缺少对口令和用户名的有效保护措施，所有数据采用明文传输方式，存在较大安全隐患，ssh采用加密方式保护用户数据，数据内容和用户信息更为安全。检测与加固步骤使用命令“service sshd status”查看ssh远程管理服务状态，如未启动，则使用命令“service sshd start”基线符合性判定依据启动ssh服务备注检查是否启用了talk服务安全基线项目名称检查是否启用了talk服务安全基线项说明 linux中talk命令参数程

36、序用于Internet上两个用户之间进行“交谈”：通过键盘输入“说话”，通过看终端屏幕“聆听”。默认系统不需要开启talk服务。请禁用该服务。检测与加固步骤编辑/etc/xinetd.d/talk文件，将启用service talk的disable属性值改为yes；如果发现/etc/xinetd.d/目录下包含ntalk文件，同时将ntalk文件中的disable属性改为yes。基线符合性判定依据禁用该服务备注检查是否启用了ntalk服务安全基线项目名称检查是否启用了ntalk服务安全基线项说明 ntalk服务主要用于linux上用户之间交谈，提供了与talk相同的功能服务。默认系统不需要开启

37、ntalk服务。请禁用该服务。检测与加固步骤编辑/etc/xinetd.d/ntalk文件，将启用service ntalk的disable属性值改为yes。基线符合性判定依据禁用该服务备注检查是否启用了sendmail服务安全基线项目名称检查是否启用了sendmail服务安全基线项说明 sendmail 是使用smtp协议的邮件提交工具，承担mta和MDA的作用。后台进程：sendmail；脚本：/etc/init.d/sendmail；使用端口：25(smtp)；默认系统不需开启该服务。请禁用该服务。检测与加固步骤使用命令“service sendmail stop”关闭当前sendmai

38、l服务；然后使用命令“chkconfig sendmail off”关闭服务开机自动启动。基线符合性判定依据禁用该服务备注禁止root帐户登录FTP (vsftp)应用三安全基线项目名称禁止root帐户登录FTP (vsftp)安全基线项说明 设置ftp权限及访问，限制部分用户的ftp访问权限，一般不允许root帐户登录FTP，需为其分配专用帐户检测与加固步骤编辑/etc/vsftpd/ftpusers，添加root，以禁止root帐户登录FTP。基线符合性判定依据符合加固要求备注禁止匿名FTP (vsftp)应用四安全基线项目名称禁止root帐户登录FTP (vsftp)安全基线项说明 不应

39、允许用户匿名登录FTP。检测与加固步骤编辑/etc/vsftpd/vsftpd.conf文件（部分计算机该文件可能在/etc目录下），anonymous_enable属性值修改为NO。基线符合性判定依据符合加固要求备注检查设备是否已禁用telnet服务安全基线项目名称检查设备是否已禁用telnet服务安全基线项说明 telnet缺少对口令和用户名的有效保护措施，所有数据采用明文传输方式，存在较大安全隐患，ssh采用加密方式保护用户数据，数据内容和用户信息更为安全。检测与加固步骤在/etc/services 文件中，注释掉 telnet 23/tcp 一行(如不生效重启telnetd服务或xin

40、etd服务或系统)基线符合性判定依据符合加固要求备注检查是否关闭不必要的服务和端口安全基线项目名称检查是否关闭不必要的服务和端口安全基线项说明 建议关闭不必要的端口及服务检测与加固步骤运行chkconfig -list查看当前服务并执行如chkconfig -level levels kshell off（注:levels为运行级别,需要重启机器）命令关闭服务，建议关闭如下服务ident|printer|bootps|tftp|kshell|klogin|daytime|time|echo|discard|chargen|sendmail|ntalk|lpd|nfs|nfslock|ypbin

41、d基线符合性判定依据符合加固要求备注文件目录权限 检查环境变量目录下是否存在权限为777的目录安全基线项目名称检查环境变量目录下是否存在权限为777的目录安全基线项说明 权限777意思是该登录帐户、他所在的组和其他人都拥有读、写、执行权限，该权限为最高权限。环境变量目录下不应存在该权限目录。检测与加固步骤输入命令 ls -l echo $PATH | tr : 2/dev/null| grep drwxsSrwxsSrwxsS查看环境变量中是否有777权限目录，并使用“chmod + 相应权限 + 文件/目录”修改目录权限。基线符合性判定依据不存在权限为777的目录备注检查环境变量目录下是否存

42、在权限为777的文件安全基线项目名称检查环境变量目录下是否存在权限为777的文件安全基线项说明 权限777意思是该登录帐户、他所在的组和其他人都拥有读、写、执行权限，该权限为最高权限。环境变量目录下不应存在该权限文件。检测与加固步骤输入命令ls -l echo $PATH | tr : 2/dev/null| grep drwxsSrwxsSrwxsS |wc -l查看环境变量中是否有777权限文件，并使用“chmod + 相应权限 + 文件/目录”修改文件权限。基线符合性判定依据不存在权限为777的文件备注检查是否存在权限不安全的重要日志文件安全基线项目名称检查是否存在权限不安全的重要日志文

43、件安全基线项说明 检查是否存在权限大于640的重要日志文件，日志文件中经常会记录用户操作等敏感信息，应严格限制重要日志文件的访问权限。检测与加固步骤查看/etc/syslog.conf或/etc/rsyslog.conf文件中日志目录配置情况，使用ls l +目录查看文件权限是否错误，如果存在其他权限的日志文件，则使用命令“chmod 640 + 日志文件”修改日志文件权限基线符合性判定依据日志文件权限应为640备注检查系统当前的umask安全基线项目名称检查系统当前的umask安全基线项说明 系统umask设置，规范用户对目录和文件的操作，umask设置不当可能导致某些应用无法正确自动创建目

44、录或文件，从而运行异常。一般默认为0022检测与加固步骤输入 umask命令查看umask值，如果值不为0022，则使用命令umask 0022修正基线符合性判定依据0022备注检查拥有suid和sgid权限的文件安全基线项目名称检查拥有suid和sgid权限的文件安全基线项说明 检查拥有suid和sgid权限的文件是否存在异常检测与加固步骤执行命令: find /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/us

45、ernetctl /usr/sbin/traceroute /bin/mount /bin/umount /bin/ping /sbin/netreport -type f -perm +6000 2/dev/null 如果存在输出结果，则使用chmod 755 文件名 命令修改文件的权限。 例如：chmod a-s /usr/bin/chage基线符合性判定依据拥有suid和sgid权限的文件权限为755备注检查/usr/bin/目录下可执行文件的拥有者属性是否合规安全基线项目名称检查/usr/bin/目录下可执行文件的拥有者属性是否合规安全基线项说明 检查/usr/bin/目录下的可执行文

46、件的拥有者属性，当可执行文件设置s属性时，执行时可以获取其拥有者的权限检测与加固步骤找出/usr/bin/目录下所有含有“s”属性的文件，把不必要的“s”属性去掉，或者把不用的直接删除。 # find /usr/bin -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg ; # chmod a-s filename基线符合性判定依据/usr/bin目录下的文件不具有s属性备注访问权限 检查FTP用户上传的文件所具有的权限安全基线项目名称检查FTP用户上传的文件所具有的权限安全基线项说明 检查FTP用户上传的文件所具有的权限检测与加固步骤如

47、果系统使用vsftp： 修改/etc/vsftpd.conf（或者为/etc/vsftpd/vsftpd.conf） # vi /etc/vsftpd.conf 确保以下行未被注释掉，如果没有该行，请添加： write_enable=YES /允许上传。如果不需要上传权限，此项可不进行更改。 ls_recurse_enable=YES local_umask=022 /设置用户上传文件的属性为755 anon_umask=022 /匿名用户上传文件(包括目录)的 umask 重启网络服务 # /etc/init.d/vsftpd restart 如果系统使用pure-ftp 修改/etc/pu

48、re-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf 确保以下行未被注释掉，如果没有该行，请添加： Umask 177:077 重启ftp服务 #/etc/init.d/pure-ftpd restart基线符合性判定依据根据实际情况配置备注检查系统是否启用了sudo命令安全基线项目名称检查系统是否启用了sudo命令安全基线项说明 sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性。

49、sudo不是对shell的一个代替，它是面向每个命令的。它的特性主要有这样几点：sudo能够限制用户只在某台主机上运行某些命令。sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票（这个值可以在编译的时候改变）。sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers，属性必须为0440。检测与加固步骤系统支持sudo基线符合性判定依据系统支持sudo

50、备注检查系统是否允许root帐户ssh远程登录安全基线项目名称检查系统是否允许root帐户ssh远程登录安全基线项说明 不推荐使用root帐户直接远程登录，请根据使用需要，配置帐户权限检测与加固步骤编辑/etc/ssh/sshd_config文件，修改PermitRootLogin值为no；基线符合性判定依据不允许root帐户ssh远程登录备注检查系统是否允许root帐户telnet远程登录安全基线项目名称检查系统是否允许root帐户telnet远程登录安全基线项说明 不推荐使用root帐户直接远程登录，请根据使用需要，配置帐户权限检测与加固步骤编辑 /etc/pam.d/login文件，添加

51、行auth required pam_securetty.so。基线符合性判定依据不允许root帐户远程登录备注检查是否绑定可访问主机的ip或ip段安全基线项目名称检查是否绑定可访问主机的ip或ip段安全基线项说明 启动ssh远程服务后应限定可以远程连接服务器的IP或IP段，提高安全性。检测与加固步骤编辑/etc/hosts.allow，添加或修改语句“sshd:+允许的IP+:allow”实现允许某个ip使用ssh连接访问。基线符合性判定依据指定特定IP或网段备注检查是否允许所有ip访问主机安全基线项目名称检查是否允许所有ip访问主机安全基线项说明 应限制远程访问主机的IP范围，不应允许所有

52、主机访问检测与加固步骤编辑/etc/hosts.allow，删除“sshd:All”。基线符合性判定依据不出现sshd:All关键字备注hosts.deny文件设置sshd：All安全基线项目名称hosts.deny文件设置sshd：All安全基线项说明 应限制远程访问主机的IP范围，不应允许所有主机访问检测与加固步骤编辑/etc/hosts. deny，删除“sshd:All”。基线符合性判定依据出现sshd:All关键字备注其他安全配置检查登录超时锁定时间安全基线项目名称检查登录超时锁定时间安全基线项说明 系统登录一段时间后如果不进行任何操作，将会登录锁定的时间。登录锁定后需要重新输入用户

53、名、密码验证登录。检测与加固步骤以root帐户执行，vi /etc/profile,增加 export TMOUT=600(单位：秒，可根据具体情况设定超时退出时间，要求不小于600秒),注销用户，再用该用户登录激活该功能基线符合性判定依据不小于600秒备注检查root用户的PATH环境变量是否包含相对路径安全基线项目名称检查root用户的PATH环境变量是否包含相对路径安全基线项说明 当环境变量中包含.或者.项时，可能会发生难以预知的危险检测与加固步骤修改文件/etc/profile或/root/.bash_profile 在环境变量$PATH中删除包含（.和.）的路径基线符合性判定依据Ro

54、ot用户环境变量中不包含相对路径备注检查root用户的PATH环境变量是否包含相对路径安全基线项目名称检查root用户的PATH环境变量是否包含相对路径安全基线项说明 当环境变量中包含.或者.项时，可能会发生难以预知的危险检测与加固步骤修改文件/etc/profile或/root/.bash_profile 在环境变量$PATH中删除包含（.和.）的路径基线符合性判定依据Root用户环境变量中不包含相对路径备注检查ssh协议是否使用ssh2安全基线项目名称检查ssh协议是否使用ssh2安全基线项说明 检查openssh相关配置文件中是否已配置所使用的协议为较高协议版本检测与加固步骤1.确保/e

55、tc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在，则忽略下面配置步骤。 2.在sshd_config或sshd2_config中配置：Protocol 2基线符合性判定依据使用ssh2版本备注检查启用系统core dump设置安全基线项目名称检查启用系统core dump设置安全基线项说明 任务发生异常时需要记录遗言信息，因此需要记录coredump文件。检测与加固步骤编辑/etc/security/limits.conf文件，在文件末尾加上* soft core 0与* hard core 0基线符合性判定依据根据加固要求配置备注检查是否

56、修改snmp默认团体字安全基线项目名称检查是否修改snmp默认团体字安全基线项说明 建议用户修改这两个缺省字符串。否则攻击者将可以通过SNMP协议修改设备的设定检测与加固步骤编辑/etc/snmp/snmpd.conf，修改private与public默认团体字为用户自定义团体字基线符合性判定依据根据加固要求配置备注检查系统是否禁用ctrl+alt+del组合键安全基线项目名称检查系统是否禁用ctrl+alt+del组合键安全基线项说明 若用户未禁用ctrl+alt+del组合键，则可通过ctrl+alt+del组合键所关联内容进行恶意操作检测与加固步骤编辑/etc/inittab，注释含ca

57、:ctrlaltdel:*(*为配置内容)内容的行之后重启系统基线符合性判定依据根据加固要求配置备注检查是否关闭系统信任机制安全基线项目名称检查是否关闭系统信任机制安全基线项说明 在信任地址列表中的来访用户可不用提供口令就在本地计算机上执行远程命令，如 rexec，rcp，rlogin 等等检测与加固步骤1.执行命令find / -maxdepth 2 -name hosts.equiv n2.进入到. hosts.equiv文件存在的目录 n3.执行命令：mv hosts.equiv hosts.equiv.bak。并以上述一样的方式处理rhosts文件基线符合性判定依据根据加固要求配置备注

58、检查记录历史命令条数设置安全基线项目名称检查记录历史命令条数设置安全基线项说明 当设置了历史命令条数，系统将保留最近设置的指定条数的命令检测与加固步骤编辑文件/etc/profile，修改配置 HISTSIZE=10基线符合性判定依据大于等于10备注检查是否删除了潜在危险文件安全基线项目名称检查是否删除了潜在危险文件安全基线项说明 检查是否删除了潜在危险文件检测与加固步骤模板条目: 是否删除hosts.equiv文件配置方法：1.执行命令find / -maxdepth 3 -name hosts.equiv 2/dev/null 2.进入到hosts.equiv文件存在的目录 3.执行命令：

59、mv hosts.equiv hosts.equiv.bak模板条目: 是否删除.rhosts 文件配置方法：1.执行命令find / -maxdepth 3 -name .rhosts 2/dev/null 2.进入到.rhosts文件存在的目录 3.执行命令：mv .rhosts .rhosts.bak模板条目: 是否删除.netrc 文件配置方法：1.执行命令find / -maxdepth 3 -name .netrc 2/dev/null 2.进入到.netrc文件存在的目录 3.执行命令：mv .netrc .netrc.bak基线符合性判定依据根据加固要求配置备注检查磁盘使用率安

60、全基线项目名称检查磁盘使用率安全基线项说明 检测系统磁盘根分区已使用空间是否维持在80%以下检测与加固步骤输入命令df k，查看磁盘使用情况基线符合性判定依据根据加固要求配置备注检查是否关闭数据包转发功能（适用于不做路由功能的系统）安全基线项目名称检查是否关闭数据包转发功能（适用于不做路由功能的系统）安全基线项说明 对于不做路由功能的系统，检查是否关闭数据包转发功能检测与加固步骤可通过以下命令来查看数据包转发功能是否关闭： # cat /proc/sys/net/ipv4/ip_forward 如果返回值为0，说明数据包转发功能已经关闭，为1则开启。 关闭数据包转发功能： 命令： #sysct