UltraVR安全配置加固指南

1、 ( DOCPROPERTY ReleaseDate 2015-06-15) DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name UltraVR DOCPROPERTY ProductVersion V100R003C10 DOCPROPERTY DocumentName 安全配置加固指南 DOCPROPERTY Product&Project NameUltraVR DOCPROPERTY DocumentName 安全技术白皮书 STYLEREF Contents 目 录文档版本 DOCPROPERTY DocumentVersi

2、on * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2015-06-15) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 华为技术有限公司PAGE ii DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 华为技术有限公司PAGE ix DOCPROPERTY DocumentVersion * MERGEFORMAT 01 DO

3、CPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 华为技术有限公司 STYLEREF 1 关于本文档文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2015-06-15) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 华为技术有限公司PAGE 1操作系统安全加固Linux安全加固关于本章所有加固项除特殊说明外，均需要手动加固。 HYPERLINK l _对系

4、统账号进行登录限制 1.1.1 对系统帐号进行登录限制 HYPERLINK l _设置登录超时时间 1.1.2 设置登录超时时间 HYPERLINK l _设置关键目录的权限 1.1.3 设置关键目录的权限 HYPERLINK l _设置关键文件的属性 1.1.4 设置关键文件的属性 HYPERLINK l _修改umask_值 1.1.5 修改umask 值 HYPERLINK l _记录用户登录信息 1.1.6 记录用户登录信息 HYPERLINK l _记录系统安全事件 1.1.7 记录系统安全事件 HYPERLINK l _记录系统服务日志 1.1.8 记录系统服务日志 HYPERLI

5、NK l _更改主机解析地址的顺序 1.1.9 更改主机解析地址的顺序 HYPERLINK l _打开_syncookie 1.1.10 打开 syncookie HYPERLINK l _不响应ICMP请求 1.1.11 不响应ICMP请求 HYPERLINK l _防syn_攻击优化 1.1.12 防syn 攻击优化 HYPERLINK l _禁止ICMP重定向 1.1.13 禁止ICMP重定向 HYPERLINK l _关闭网络数据包转发 1.1.14 关闭网络数据包转发 HYPERLINK l _补丁装载 1.1.15 补丁装载 HYPERLINK l _禁用无用inetd/xinet

6、d服务 1.1.16 禁用无用inetd/xinetd服务 HYPERLINK l _为空口令用户设置密码 1.1.17 为空口令用户设置密码 HYPERLINK l _删除root之外_UID_为0 1.1.18 删除root之外 UID 为0 的用户 HYPERLINK l _缺省密码长度限制 1.1.19 缺省密码长度限制 HYPERLINK l _缺省密码生存周期限制 1.1.20 缺省密码生存周期限制 HYPERLINK l _防火墙规则设置 1.1.21 防火墙规则设置 HYPERLINK l _口令过期提醒_1 1.1.22 口令过期提醒对系统帐号进行登录限制实施目的对系统帐号进

7、行登录限制，确保系统帐号仅被守护进程和服务使用。问题影响可能利用系统进程默认帐号登录，帐号越权使用。系统当前状态cat /etc/passwd 查看各帐号状态。查看/etc/ssh/sshd_config中PermitRootLogin的值。 ISO镜像和模板方式安装已经默认加固。实施步骤一执行命令# chsh username -s /bin/false此命令通过修改用户的shell来禁止用户登录:对Tomcat、GaussDB帐号，请使用/sbin/nologin来禁止其登录权限。对其他root、ICUser以外帐号，请使用/bin/false来禁止其登录权限。对ICUser帐号，不建议禁

8、止其登录权限。对root帐号，建议只禁止远程登录权限，通过将配置文件/etc/ssh/sshd_config中的PermitRootLogin设置为no”来实现。回退方案将用户的shell修改成原来的。判断依据/etc/passwd 中的禁止登录帐号的shell 是 /bin/false或者/sbin/nologin禁止root的远程登录权限时，/etc/ssh/sshd_config中的PermitRootLogin值应为”no”实施风险高重要等级设置登录超时时间实施目的对于具备字符交互界面的设备，应配置定时帐号自动登出。问题影响管理员忘记退出被非法利用。系统当前状态查看/etc/profi

9、le 文件的配置状态，并记录。 ISO镜像和模板方式安装已经默认加固。实施步骤编辑文件/etc/profile #vi /etc/profile文件末尾增加如下行：export TMOUT=60改变这项设置后，重新登录才能有效。回退方案修改/etc/profile 的配置到加固之前的状态。判断依据TMOUT=60TMOUT=60单位秒实施风险中重要等级设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响非法访问文件。系统当前状态运行ls -al /etc/ 记录关键目录的权限。 ISO镜像和模板方式安装已经默认加固。实施步骤1、参考配置操作 通过c

10、hmod 命令对目录的权限进行实际设置。 2、补充操作说明 /etc/passwd 必须所有用户都可读， root 用户可写 rw-rr /etc/shadow 不可读写 /etc/group 必须所有用户都可读， root 用户可写 rw-rr 使用如下命令设置： chmod 644 /etc/passwd chmod 000 /etc/shadow chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc 的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc回退方案通过chmod 命令还原目录权限到加固前状态。判断依据rootlocalh

11、ost sysconfig# ls -al /etc/passwd | grep .-.-.- -rw-r-r- 1 root root 720 Mar 8 15:45 /etc/passwdrootlocalhost sysconfig# ls -al /etc/group | grep .-.-.- -rw-r-r- 1 root root 347 Jan 27 19:25 /etc/grouprootlocalhost sysconfig# ls -al /etc/shadow | grep . 1 root root 436 Mar 6 19:39 /etc/shadow实施风险高重要

12、等级设置关键文件的属性实施目的增强关键文件的属性，减少安全隐患。 使 messages文件只可追加。 使轮循的 messages文件不可更改。问题影响非法访问目录,或者删除日志。系统当前状态# lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group实施步骤# chattr +a /var/log/messages # chattr +i /var/log/messages.* # chattr +i /etc/shado

13、w # chattr +i /etc/passwd # chattr +i /etc/group 建议管理员对关键文件进行特殊设置（不可更改或只能追加等）/var/log/目录下有可能不存在message.*的文件。回退方案使用chattr 命令还原被修改权限的目录。# chattr -a /var/log/messages # chattr -i /var/log/messages.* # chattr -i /etc/shadow # chattr -i /etc/passwd # chattr -i /etc/group 使用软件包方式安装UltraVR之前，请确保该加固项被回退。判断依

14、据# lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group 判断属性当linux的文件系统为Reiserfs时,不支持使用lsattr命令。实施风险高重要等级修改umask 值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响非法访问目录。系统当前状态more /etc/profile 检查是否包含um

15、ask 值 ISO镜像和模板方式安装已经默认加固。实施步骤步骤 1设置全局默认权限：在/etc/profile修改或添加umask 077#vi /etc/profileumask 077步骤 2设置单个用户默认权限：如果用户需要使用一个不同于默认全局系统设置的umask，可以编辑该用户目录下的.profile文件或.bash_profile文件：#vi $home/.profile (或.bash_profile)修改或者添加umask 077 #具体值可以根据实际需要进行设置，umask 的默认设置一般为 022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读

16、、写权限，但只给组成员和其他用户读权限。 umask 的计算： umask 是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。回退方案修改 /etc/profile 文件到加固前状态。判断依据实施风险高重要等级记录用户登录信息实施目的设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功、登录时间、以及远程登录时、用户使用的IP地址问题影响无法对用户的登录进行日志记录系统当前状态cat /etc/login.defs，记录L

17、ASTLOG_ENAB当前配置。 ISO镜像和模板方式安装已经默认加固。实施步骤编辑/etc/login.defs：#vi /etc/login.defs修改LASTLOG_ENAB的属性：LASTLOG_ENAB yes回退方案还原“LASTLOG_ENAB”的设置到加固之前配置。判断依据1.验证方法：使用last命令察看登录日志2.预期结果：# lastroot :0/10.164.10 3 Fri Feb 20 14:29 - 16:53 (02:24) root 3 Fri Feb 20 14:29 - 16:5

18、3 (02:23) root pts/3 Fri Feb 20 14:21 - 14:28 (00:06) rokay pts/3 3 Fri Feb 20 14:16 - 14:19 实施风险低重要等级记录系统安全事件实施目的通过设置让系统记录安全事件，方便管理员分析问题影响无法记录系统的各种安全事件系统当前状态cat /etc/syslog-ng/syslog-ng.conf 实施步骤# vi /etc/syslog-ng/syslog-ng.conf添加以下行：destination d_errors file(/var/log/errors); ;filter

19、f_errors level(err); ;log source(src); filter(f_errors); destination(d_errors); ;destination d_authpriv file(/var/log/authpriv_info); ;filter f_authpriv level(info) and facility(authpriv); ;log source(src); filter(f_authpriv); destination(d_authpriv); ;destination d_auth file(/var/log/auth_none); ;f

20、ilter f_auth level(none) and facility(auth); ;log source(src); filter(f_auth); destination(d_auth); ;destination d_info file(/var/log/info); ;filter f_info level(info); ;log source(src); filter(f_info); destination(d_info); ;重启syslog-ng服务# rcsyslog restart其中log source(s_sys); filter(f_errors); desti

21、nation(d_errors); ; “src”视其源不同可能会为“s_sys”，配置时需注意。1.增加安全日志后，日志将会大大增加。要注意监控磁盘可用空间，及时备份清理安全日志文件。2.对维护有要求，需询问客户后确定是否实施。回退方案还原/etc/syslog-ng/syslog-ng.conf的设置到加固之前配置，重启syslog-ng服务。判断依据1.验证方法：查看/var/log/errors，/var/log/messages#more /var/log/errors#more /var/log/authpriv_info#more /var/log/info#more /var/

22、log/auth_none2.预期结果：记录有需要的设备相关的安全事件实施风险高重要等级记录系统服务日志实施目的系统上运行的应用/服务也应该配置相应日志选项，比如cron问题影响无法记录 cron 服务（计划任务）系统当前状态cat /etc/syslog-ng/syslog-ng.conf实施步骤# vi /etc/syslog-ng/syslog-ng.conf添加以下行：destination d_cron file(/var/log/cron); ;filter f_cron level(info) and facility(cron); ;log source(src); filte

23、r(f_cron); destination(d_cron); ;重启syslog-ng服务# rcsyslog restart其中log source(src); filter(f_cron); destination(d_cron); ; “src”视其源不同可能会为“s_sys”，配置时需注意。另外，实施此项需要开启cron服务回退方案还原/etc/syslog-ng/syslog-ng.conf的设置到加固之前配置，重启syslog-ng服务。判断依据1.验证方法执行crontab -l命令，然后查看日志文件：#more /var/log/cron2.预期结果：日志中能够列出cron服

24、务的详细日志信息实施风险低重要等级更改主机解析地址的顺序实施目的更改主机解析地址的顺序，减少安全隐患。问题影响对本机未经许可的IP欺骗。系统当前状态cat /etc/host.conf ISO镜像和模板方式安装已经默认加固。实施步骤“/etc/host.conf” 说明了如何解析地址。编辑“/etc/host.conf” 文件（ vi /etc/host.conf ）， 加 入 下 面 该 行 ： # Lookup names via DNS first then fall back to /etc/hosts. order hosts, bind# We have machines with

25、 multiple IP addresses. multi on # Check for IP address spoofing nospoof on 第一项设置首先通过 DNS 解析 IP 地址，然后通过 hosts 文件解析。第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个 IP 地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的 IP欺骗。回退方案恢复/etc/host.conf 配置文件。判断依据查看/etc/host.conf 文件中的以下配置：order bind,hosts multi onnospoof on实施风险高重要等级打开 syncoo

26、kie实施目的打开 syncookie 缓解 syn flood攻击。问题影响syn flood 攻击系统当前状态cat /proc/sys/net/ipv4/tcp_syncookies ISO镜像和模板方式安装已经默认加固。实施步骤# echo 1 /proc/sys/net/ipv4/tcp_syncookies 可以加入/etc/rc.d/rc.local中。回退方案echo 0 /proc/sys/net/ipv4/tcp_syncookies判断依据cat /proc/sys/net/ipv4/tcp_syncookies 值为 1实施风险高重要等级不响应ICMP请求实施目的不响应

27、ICMP请求,避免信息泄露。问题影响信息泄露系统当前状态cat /proc/sys/net/ipv4/icmp_echo_ignore_all实施步骤不响应ICMP请求： # echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all回退方案echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all判断依据cat /proc/sys/net/ipv4/icmp_echo_ignore_all 返回1实施风险高重要等级防syn 攻击优化实施目的提高未连接队列大小问题影响tcp_syn_flood attack系统当前状态sysc

28、tl net.ipv4.tcp_max_syn_backlog ISO镜像和模板方式安装已经默认加固。实施步骤sysctl -w net.ipv4.tcp_max_syn_backlog=4096回退方案sysctl -w net.ipv4.tcp_max_syn_backlog= 恢复加固之前的值判断依据sysctl net.ipv4.tcp_max_syn_backlog 值为 4096实施风险高重要等级禁止ICMP重定向实施目的主机系统应该禁止ICMP重定向，采用静态路由。问题影响系统当前状态sysctl -a，记录待修改属性的当前值。 ISO镜像和模板方式安装已经默认加固。实施步骤禁止

29、系统发送ICMP重定向包：# vi /etc/sysctl.conf只接受有可靠来源的重定向。net.ipv4.conf.default.secure_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.send_redirects=0net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.accept_redirects = 0net.ipv4.conf.all.accept_redirects = 0执行以下命令使设置生效：# sysctl -p根据

30、业务需求情况确定是否禁止ICMP重定向。回退方案编辑/etc/sysctl.conf，恢复原设置，执行sysctl -p使设置生效。判断依据1.验证方法：使用sysctl -a查看配置：#sysctl -a2.预期结果：相关设置符合预期实施风险高重要等级关闭网络数据包转发实施目的对于不做路由功能的系统，应该关闭数据包转发功能。问题影响系统当前状态sysctl -a，记录待修改属性的当前值。 ISO镜像和模板方式安装已经默认加固。实施步骤关闭数据包转发功能：# vi /etc/sysctl.conf关闭IP转发：net.ipv4.ip_forward = 0关闭转发源路由包：net.ipv4.c

31、onf.all.accept_source_route = 0net.ipv4.conf.default.accept_source_route = 0执行以下命令使设置生效：# sysctl -p回退方案编辑/etc/sysctl.conf，恢复原设置，执行sysctl -p使设置生效。判断依据1.验证方法：使用sysctl -a查看配置：#sysctl -a2.预期结果：相关设置符合预期实施风险高重要等级补丁装载实施目的可以使系统版本为最新并解决安全问题。问题影响系统存在严重的安全漏洞系统当前状态uname -a rpm -qa cat /proc/version实施步骤可以使用Onlin

32、e Update或Patch CD Update等方式升级系统补丁。回退方案patchrm判断依据1.验证方法：# uname -a2.预期结果：系统安装必要的补丁。实施风险高重要等级应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。禁用无用inetd/xinetd服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。ISO镜像和模板方式安装不需要执行该加固项目。问题影响不用的服务会带来很多安全隐患。系统当前状态chkconfig -l记录当前状态。实施步骤步骤 1关闭inetd服务# chkconfig 服务名 off步骤 2关闭xinetd服务修改其配置文件，在其属性中修改D

33、isable 为yes，如没有，请添加#vi /etc/xinetd.d/服务名disable = yes 步骤 3重启inetd服务# /etc/init.d/xinetd restart回退方案恢复记录的原inetd/xinetd服务状态。判断依据1.验证方法：# chkconfig -l2.预期结果：仅有允许的服务处于开启状态实施风险高重要等级建议关闭的服务：chargen、chargen-udp、cups-lpd、cvs、daytime、daytime-udp、echo、echo-udp、fam、netstat、rsync、servers、services、systat、time、ti

34、me-udp请根据需要开启相应的服务为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用。系统当前状态awk -F: ($2 = )print $1 /etc/passwd实施步骤awk -F: ($2 = )print $1 /etc/passwd ，查询空口令用户用root 用户登录Linux 系统，执行passwd 命令，给用户增加口令。例如：passwd test ISO镜像和模板方式安装已经默认加固。回退方案root 身份设置用户口令，取消口令 如做了口令策略则失败判断依据awk -F: ($2 = )print $1

35、 /etc/passwd 返回值为空实施风险高重要等级删除root之外 UID 为0 的用户实施目的帐号与口令-检查是否存在除 root 之外 UID 为0 的用户。问题影响帐号权限过大，容易被非法利用。系统当前状态awk -F: ($3 = 0) print $1 /etc/passwd ISO镜像和模板方式安装已经默认加固。实施步骤删除 除root 以外的 UID 为 0 的用户。回退方案无判断依据返回值包括“root”以外的条目，则低于安全要求。实施风险高重要等级UID 为0 的任何用户都拥有系统的最高特权，保证只有 root用户的 UID 为0缺省密码长度限制实施目的防止系统弱口令的存

36、在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少 8 位。问题影响增加密码被暴力破解的成功率。系统当前状态cat /etc/login.defs ISO镜像和模板方式安装已经默认加固。实施步骤# vi /etc/login.defs 按如下设置PASS_MIN_LEN 8退出root用户重新登录，密码设置生效。回退方案vi /etc/login.defs ，修改设置到系统加固前状态。判断依据PASS_MIN_LEN 8实施风险低重要等级缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐号口令的生存期不长于90 天，减少口令安全隐患。问题影响密码被非法利用，并且难以管理

37、。系统当前状态运行 cat /etc/login.defs 查看状态，并记录。 ISO镜像和模板方式安装已经默认加固。实施步骤# vi /etc/login.defs 按如下设置 PASS_MAX_DAYS 90 PASS_MIN_DAYS 0回退方案vi /etc/login.defs ，修改设置到系统加固前状态。判断依据PASS_MAX_DAYS 90PASS_MIN_DAYS 0实施风险低重要等级防火墙规则设置实施目的如果网络环境需要对访问服务器的网络连接做限制，如只允许连接指定的端口，那么可以配置iptables防火墙规则。问题影响系统当前状态运行 iptables -L -n -v

38、-line-numbers 查看现有规则定义的详细信息，并记录。实施步骤步骤 1设置数据包流入的默认策略为DROP：iptables -P INPUT DROP步骤 2参考通信矩阵，开放指定的端口：iptables -t filter -A INPUT -d -p tcp -dport -j ACCEPT步骤 3保存规则：iptables-save /etc/sysconfig/iptables步骤 4将如下命令加入自启动脚本/etc/init.d/boot.local：iptables-restore /etc/sysconfig/iptables请使用VNC（本地终端）登录操作系统进行配置

39、，以root身份执行。回退方案删除num参数指定的第几条规则：iptables -D num判断依据只有规则中指定的端口能被连接访问。实施风险低重要等级口令过期提醒实施目的口令到期前多少天开始通知用户口令即将到期。问题影响密码被非法利用，并且难以管理。系统当前状态运行 cat /etc/login.defs 查看状态，并记录。 ISO镜像和模板方式安装已经默认加固。实施步骤# vi /etc/login.defs 按如下设置 PASS_WARN_AGE 7回退方案vi /etc/login.defs ，修改设置到系统加固前状态。判断依据PASS_WARN_AGE 7实施风险低重要等级 DOCP

40、ROPERTY Product&Project NameUltraVR DOCPROPERTY DocumentName 安全技术白皮书 STYLEREF 1 n * MERGEFORMAT 4 STYLEREF 1 产品安全组网建议文档版本 DOCPROPERTY DocumentVersion * MERGEFORMAT 01 ( DOCPROPERTY ReleaseDate 2015-06-15) DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 华为专有和保密信息 华为技术有限公司PAGE 9数据库安全加固关于本章UltraVR V10

41、0R003C10使用的Gauss数据库，随UltraVR V100R003C10一同安装。安装时已经进行了数据库加固，请不要随意修改安全设置，避免引起安全问题。所有加固项除特殊说明外，已被加固。 HYPERLINK l ZH-CN_TOPIC_0003779906 o 2.1 修改GaussDB用户默认口令 HYPERLINK l _打开log_connections配置 o 2.2 打开log_connections配置 HYPERLINK l _打开log_disconnections配置 o 2.3 打开log_disconnections配置 HYPERLINK l _设置UNIX域套

42、接字的访问权限 o 2.4 设置UNIX域套接字的访问权限修改数据库用户默认口令实施目的软件包方式安装时，数据库管理员帐号GaussDB的密码是用户自定义的，数据库访问帐号及其密码也是用户自定义的，因此不涉及此加固项；使用ISO镜像和模板方式安装时，数据库管理员帐号GaussDB的密码是默认的，数据库访问帐号默认为RDDBUser，其密码也是默认的，因此，为了安全起见，安装后必须修改GaussDB和RDDBUser的默认密码，修改时帐号密码的复杂度要求如下:至少包含大写字母(A-Z)，小写字母(a-z)，数字(0-9)，三类字符中的两类字符。需要包含特殊字符， HYPERLINK mailto:特殊字符只能是下列字符!#$%*-_=+;:,./ 特殊字符只能是下列字符!#$%*-_=+;:,./?最少8个字符，最多15个字符。不能和用户名相同。不能和当前密码相同。问题影响为了保证用户的安全登录。系统当前状态查看系统当前的密码，查看postgres的pg_user表。 ISO镜像和模板方式安装需要进行此加固。实施步骤执行以下命令，用GaussDB帐号登录数据库修改GaussDB或RDDBUser的密码