Linux安全配置基线

杭州安恒信息技术有限公司Linux系统安全配置基线葭蹒P杭州安恒信息技术有限公司2016年12月TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"适用范围 1\o"CurrentDocument"第2章 本地策略 2帐户与口令检查策略 2检查系统中是否存在口令为空的帐户 2\o"CurrentDocument"检查系统中是否存在UID与root帐户相同的帐户 2\o"CurrentDocument"检查是否按用户分配帐号 2\o"CurrentDocument"检查密码最小长度 3\o"CurrentDocument"检查密码过期时间 3\o"CurrentDocument"检查密码最大重试次数 3\o"CurrentDocument"检查是否配置口令复杂度策略 4\o"CurrentDocument"检查是否设置系统引导管理器密码 4\o"CurrentDocument"检查口令过期前警告天数 5\o"CurrentDocument"检查口令更改最小间隔天数 5\o"CurrentDocument"检查是否使用PAM认证模块禁止WHEEL组之外的用户SU为ROOT 5\o"CurrentDocument"检查密码重复使用次数限制 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"检查系统是否开启了日志功能 6\o"CurrentDocument"检查系统是否开启了日志审计功能 7\o"CurrentDocument"检查是否对登录进行日志记录 7\o"CurrentDocument"检查是否记录用户对设备的操作 7\o"CurrentDocument"检查SYSLOG-NG是否配置安全事件日志 8\o"CurrentDocument"检查RSYSLOG是否配置安全事件日志 8\o"CurrentDocument"检查SYSLOG是否配置安全事件日志 9\o"CurrentDocument"检查是否配置SU命令使用情况记录 9\o"CurrentDocument"检查是否配置远程日志功能 9\o"CurrentDocument"检查是否启用cron行为日志功能 10\o"CurrentDocument"检查审计日志默认保存时间是否符合规范 11系统内核配置 11\o"CurrentDocument"检查系统内核参数配置-是否禁止icmp源路由 11\o"CurrentDocument"检查系统内核参数配置-是否禁止icmp重定向报文 11\o"CurrentDocument"检查系统内核参数配置-send_REDiREcTS配置 12\o"CurrentDocument"检查系统内核参数配置-iP_FORWARD配置 12检查系统内核参数配置ICMP_ECHO_IGNORE_BROADCASTS配置 13\o"CurrentDocument"信息隐藏 13\o"CurrentDocument"检查是否设置ssh登录前警告Banner 13\o"CurrentDocument"检查是否设置ssh登录后警告Banner 14\o"CurrentDocument"检查是否修改默认FTPBanner设置 14\o"CurrentDocument"检查telnetBanner设置 14\o"CurrentDocument"服务端口启动项 15\o"CurrentDocument"检查是否启用SSH服务 15\o"CurrentDocument"检查是否启用了TALK服务 15\o"CurrentDocument"检查是否启用了NTALK服务 16\o"CurrentDocument"检查是否启用了SENDMAIL服务 16\o"CurrentDocument"禁止root帐户登录FTP(vsftp) 17\o"CurrentDocument"禁止匿名FTP(vsftp) 17\o"CurrentDocument"检查设备是否已禁用TELNET服务 17\o"CurrentDocument"检查是否关闭不必要的服务和端口 18文件目录权限 18\o"CurrentDocument"检查环境变量目录下是否存在权限为777的目录 18\o"CurrentDocument"检查环境变量目录下是否存在权限为777的文件 18\o"CurrentDocument"检查是否存在权限不安全的重要日志文件 19\o"CurrentDocument"检查系统当前的UMAsK 19\o"CurrentDocument"检查拥有SUID和SGID权限的文件 20检查/usr/bin用录下可执行文件的拥有者属性是否合规 20\o"CurrentDocument"访问权限 21\o"CurrentDocument"检查FTP用户上传的文件所具有的权限 21\o"CurrentDocument"检查系统是否启用了SUDo命令 21\o"CurrentDocument"检查系统是否允许root帐户SSH远程登录 22\o"CurrentDocument"检查系统是否允许ROOT帐户TELNET远程登录 22\o"CurrentDocument"检查是否绑定可访问主机的ip或ip段 23\o"CurrentDocument"检查是否允许所有ip访问主机 23\o"CurrentDocument"HOSTS.DENY文件设置SSHD： ALL 23其他安全配置 24检查登录超时锁定时间 24\o"CurrentDocument"检查root用户的PATH环境变量是否包含相对路径 24\o"CurrentDocument"检查root用户的PATH环境变量是否包含相对路径 24\o"CurrentDocument"检查ssh协议是否使用ssh2 25\o"CurrentDocument"检查启用系统CoREDUMP设置 25\o"CurrentDocument"检查是否修改SNMP默认团体字 25\o"CurrentDocument"检查系统是否禁用CTRL+ALT+DEL组合键 26\o"CurrentDocument"检查是否关闭系统信任机制 26\o"CurrentDocument"检查记录历史命令条数设置 26\o"CurrentDocument"检查是否删除了潜在危险文件 27\o"CurrentDocument"检查磁盘使用率 27\o"CurrentDocument"检查是否关闭数据包转发功能(适用于不做路由功能的系统) 28\o"CurrentDocument"检查是否关闭IP伪装和绑定多IP功能 28\o"CurrentDocument"检查/etc/aliase是否禁用不必要的别名文件 28\o"CurrentDocument"检查是否配置定时自动屏幕锁定(适用于具备图形界面的设备) 29\o"CurrentDocument"检查是否安装CHKROOTKIT进行系统监测 30\o"CurrentDocument"检查系统是否开启ASLR 30第1章概述目的本文档规范了杭州安恒信息技术有限公司对于安装有Linux操作系统的主机进行加固时应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Linux操作系统的安全配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：Linux服务器系统。第2章本地策略帐户与口令检查策略检查系统中是否存在口令为空的帐户安全基线项目名称检查系统中是否存在口令为空的帐户安全基线项说明系统中不应存在口令为空的帐户检测与加固步骤输入命令：cat/etc/shadow，查看是否有未设置口令的帐户基线符合性判定依据帐户必须配置密码备注2.1.2检查系统中是否存在UID与root帐户相同的帐户安全基线项目名称检查系统中是否存在UID与root帐户相同的帐户安全基线项说明用户的UID大于500的都是非系统账号，500以下的都为系统保留的账号，比如root账号，至高权限的账号的UID为0,我们创建用户的时候默认的账号的UID都是大于500，系统中不应存在UID与root帐户相同的帐户，该设置将导致该帐户拥有与root帐户相同权限。检测与加固步骤输入命令：cat/etc/passwd1grep:x:0，查看输入结果中是否有非root帐户，基线符合性判定依据不存在uid为0的非root帐户备注2.1.3检查是否按用户分配帐号安全基线项目名称检查是否按用户分配帐号安全基线项说明按照用户角色分配不同权限，确保用户权限的最小化，避免越权操作

检测与加固步骤1、执行：#more/etc/passwd查看系统中存在的用户，确认每个帐户的home路径及启动shell;2、与管理员确认需要锁定的帐户基线符合性判定依据不存在无关用户备注2.1.4检查密码最小长度安全基线项目名称检查密码最小长度安全基线项说明检查密码最小长度检测与加固步骤查看/etc/login.defs文件，查看PASS_MIN_LEN参数值基线符合性判定依据大于等于8备注2.1.5检查密码过期时间安全基线项目名称检查密码过期时间安全基线项说明长期不修改密码会提高密码暴露风险，建议密码生存周期不超过90天检测与加固步骤查看/etc/login.defs文件，查看PASS_MAX_DAYS参数值基线符合性判定依据小于等于60天备注2.1.6检查密码最大重试次数安全基线项目名称检查密码最大重试次数安全基线项说明配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。

注意仅对自然人使用的帐号做此限制。检测与加固步骤输入cat/etc/pam.d/sshd1greppam_tally2.so，查看deny参数设置值基线符合性判定依据小于等于5备注2.1.7检查是否配置口令复杂度策略安全基线项目名称检查是否配置口令复杂度策略安全基线项说明开启密码复杂度策略，大写字母、小写字母、数字、特殊字符至少支持3种检测与加固步骤查看/etc/pam.d/system-auth文件中passwordrequisitepam_cracklib.so配置，例如：passwordrequisitepam_cracklib.soucredit=-1lcredit=-1dcredit=-1注：ucredit：大写字母个数；lcredit：小写字母个数；4仃©4也数字个数；ocredit：特殊字符个数。基线符合性判定依据符合复杂度要求备注2.1.8检查是否设置系统引导管理器密码安全基线项目名称检查是否设置系统引导管理器密码安全基线项说明检查是否设置系统引导管理器密码检测与加固步骤配置一：1.请确认系统引导器的类型为grub,如果不为grub,则忽略此检查点。2.如果/boot/grub/menu.lst文件存在，编辑/boot/grub/menu.lst文件，设置password=*(*为需要设置的密码。3.如果不存在，请检查grub是否正确安装，或/boot/grub/menu.lst文件是否被更名。配置二：1.请确认系统引导器的类型为lilo,如果不为lilo,则忽略此检查点。2.如果/etc/lilo.conf文件存在，编辑/etc/lilo.conf文件，设置password=*(*为需要设置的密码。3.如果不存在，请检查lilo是否正确安装，或/etc/lilo.conf文件是否被更名。基线符合性配置grub密码

判定依据备注2.1.9检查口令过期前警告天数安全基线项目名称检查口令过期前警告天数安全基线项说明口令过期提前警告的天数检测与加固步骤查看/etc/login.defs文件，检查PASS_WARN_AGE参数值基线符合性判定依据大于等于7备注2.1.10检查口令更改最小间隔天数安全基线项目名称检查口令更改最小间隔天数安全基线项说明口令更改最小间隔天数检测与加固步骤查看/etc/login.defs文件，检查PASS_MIN_DAYS参数值基线符合性判定依据大于等于7备注2.1.11检查是否使用PAM认证模块禁止wheel组之外的用户su为root安全基线项目名称检查口令更改最小间隔天数安全基线项说明口令更改最小间隔天数检测与加固步骤编辑su文件(vi/etc/pam.d/su)，在开头添加下面两行：authsufficientpam_rootok.so和authrequiredpam_wheel.sogroup=wheel这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，

以使它可以使用su命令成为root用户。添加方法为：usermod-Gwheelusername基线符合性判定依据禁止wheel组以外用户使用su备注2.1.12检查密码重复使用次数限制安全基线项目名称检查密码重复使用次数限制安全基线项说明检查密码重复使用次数限制检测与加固步骤编辑/etc/pam.d/system-auth文件，修改设置如下passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5补充操作说明只需在passwordsufficient这一行加上remember=5即可基线符合性判定依据remember大于等于5备注日志配置检查系统是否开启了日志功能安全基线项目名称检查系统是否开启了日志功能安全基线项说明系统应开启日志服务，日志功能有助于记录系统问题、用户访问操作、受到攻击等等一系列操作，对于管理员防范危险、日常管理有很重要的作用。检测与加固步骤使用命令"servicesyslogdstart”或“servicersyslogdstart”启动日志服务（Centos6以前版本支持syslogd服务，之后版本支持rsyslogd服务，视具体系统而定）。基线符合性判定依据开启日志服务备注

检查系统是否开启了日志审计功能安全基线项目名称检查系统是否开启了日志审计功能安全基线项说明检查系统是否开启了日志审计功能检测与加固步骤使用命令"serviceauditdstatus”查看服务状态使用管理员权限输入命令"serviceauditdstart”开启审计服务，如无法开启或不存在服务，请安装审计安装包(audit)后重新尝试。基线符合性判定依据开启日志服务备注检查是否对登录进行日志记录安全基线项目名称检查是否对登录进行日志记录安全基线项说明检查是否对登录进行日志记录，使得登录记录可查检测与加固步骤登录日志文件为/var/log/wtmp/var/log/utmp.这2个文件中记录着所有登录过主机的用户，时间，来源等内容，这个文件不具可读性，可用last命令来看。如果命令无结果，请联系管理员基线符合性判定依据符合加固要求备注检查是否记录用户对设备的操作安全基线项目名称检查是否对登录进行日志记录安全基线项说明检查是否对登录进行日志记录，使得登录记录可查检测与加固步骤通过设置日志文件可以对每个用户的每一条命令进行记录，这一功能默认是不开放的，为了打开它，需要安装pacct工具，并执行以下命令：#touch/var/log/pacct#accton/var/log/pacct执行读取命令lastcomm[username]-f/var/log/pacct

基线符合性判定依据符合加固要求备注检查syslog-ng是否配置安全事件日志安全基线项目名称检查syslog-ng是否配置安全事件日志安全基线项说明检查syslog-ng是否配置安全事件日志检测与加固步骤编辑/etc/syslog-ng/syslog-ng.conf酉己置：filterf_msgs{level(err)orfacility(kern)andlevel(debug)orfacility(daemon)andlevel(notice);};destinationmsgs{file("/var/adm/msgs");};log{source(src);filter(f_msgs);destination(msgs);};其中/var/adm/msgs为日志文件。如果该文件不存在，贝U创建该文件，命令为：touch/var/adm/msgs，并修改权限为666.命令为：chmod666/var/adm/msgs.重启日志服务：#/etc/init.d/syslogrestart基线符合性判定依据符合加固要求备注检查rsyslog是否配置安全事件日志安全基线项目名称检查rsyslog是否配置安全事件日志安全基线项说明检查rsyslog是否配置安全事件日志检测与加固步骤编辑/etc/rsyslog.conf配置：*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages为日志文件。如果该文件不存在，则创建该文件，命令为：touch/var/adm/messages，并修改权限为666.命令为：chmod666/var/adm/messages.重启日志服务：#/etc/init.d/rsyslogrestart基线符合性判定依据符合加固要求备注

检查syslog是否配置安全事件日志安全基线项目名称检查syslog是否配置安全事件日志安全基线项说明检查syslog是否配置安全事件日志检测与加固步骤编辑/etc/syslog.conf配置：*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages为日志文件。如果该文件不存在，则创建该文件，命令为：touch/var/adm/messages，并修改权限为666.命令为：chmod666/var/adm/messages.重启日志服务：#/etc/init.d/syslogrestart基线符合性判定依据符合加固要求备注检查是否配置su命令使用情况记录安全基线项目名称检查是否配置su命令使用情况记录安全基线项说明检查是否配置su命令使用情况记录检测与加固步骤1.若启用syslog则编辑/etc/syslog.conf,若启用rsyslog则编辑/etc/rsyslog.conf,配置：authpriv.*/var/log/secure2.若启用syslog-ng则U编辑:/etc/syslog-ng/syslog-ng.conf。配置：filterf_secure{facility(authpriv);};destinationpriverr{file("/var/log/secure");};log{source(src);filter(f_secure);destination(priverr);};3.仓1J建/var/log/secure文件touch/var/log/secure4.重启syslog月艮务#/etc/init.d/syslogrestarto基线符合性判定依据符合加固要求备注检查是否配置远程日志功能安全基线项目名称检查是否配置远程日志功能安全基线项说明检查是否配置远程日志功能

检测与加固步骤若启用syslog-no日志则在/etc/syslog-ng/syslog-ng.conf中配置destinationlogserver{ udp("0" port(514)); };log{source(src);destination(logserver);};可以将此处0替换为实际的IP；若启用rsyslog日志则修改配置文件vi/etc/rsyslog.conf，加上这一行：*.*@可以将"*.*"替换为你实际需要的日志信息。比如：kern.*;mail.*等等。可以将此处替换为实际的IP或域名。；若启用syslog日志则修改配置文件vi/etc/syslog.conf，加上这一行：*.*@可以将"*.*"替换为你实际需要的日志信息。比如：kern.*；mail.*等等。可以将此处替换为实际的IP或域名。基线符合性判定依据符合加固要求备注检查是否启用cron行为日志功能安全基线项目名称检查是否启用cron行为日志功能安全基线项说明检查是否启用cron行为日志功能检测与加固步骤若启用syslog-no日志则在/etc/syslog-ng/syslog-ng.conf中添加口filterf_cron{facility(cron);};destinationcron{file("/var/log/cron");};log{source(src);filter(f_cron);destination(cron);};其中/var/log/cron为日志文件。如果该文件不存在，则创建该文件，命令为:touch/var/log/cron，并修改权限为666.命令为：chmod666/var/log/cron；若启用rsyslog日志则编辑/etc/rsyslog.conf文件，配置：cron.*/var/log/cron，其中/var/log/cron为日志文件。如果该文件不存在，则创建该文件，命令为：touch/var/log/cron，并修改权限为666.命令为：chmod666/var/log/cron；若启用syslog日志则编辑/etc/syslog.conf文件，配置：cron.*/var/log/cron，其中/var/log/cron为日志文件。如果该文件不存在，则创建该文件，命令为:touch/var/log/cron，并修改权限为666.命令为：chmod666/var/log/cron。基线符合性判定依据符合加固要求

备注检查审计日志默认保存时间是否符合规范安全基线项目名称检查审计日志默认保存时间是否符合规范安全基线项说明检查审计日志默认保存时间是否符合规范检测与加固步骤检查审计日志默认保存时间是否符合规范，建议保存一年内的日志。修改/08/108101210（0比，右日志轮转周期设置为weekly（默认）则修改rotate值为53，同理若周期为daily则rotate设置为365,若周期为monthly则设置为12基线符合性判定依据符合加固要求备注系统内核配置检查系统内核参数配置-是否禁止icmp源路由安全基线项目名称检查系统内核参数配置-是否禁止icmp源路由安全基线项说明检查系统内核参数配置-是否禁止icmp源路由检测与加固步骤修改前请先备份配置文件cp-p/proc/sys/net/ipv4/conf/all/accept_source_route/proc/sys/net/ipv4/conf/all/accept_source_route.bak,执行命令#sysctl-wnet.ipv4.conf.all.accept_source_route="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_source_route的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置-是否禁止icmp重定向报文安全基线项目名称检查系统内核参数配置-是否禁止icmp重定向报文

安全基线项说明检查系统内核参数配置-是否禁止icmp源路由检测与加固步骤修改前请先备份配置文件#cp-p/proc/sys/net/ipv4/conf/all/accept_redirects/proc/sys/net/ipv4/conf/all/accept_redirects.bak，执行命令#sysctl-wnet.ipv4.conf.all.accept_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_redirects的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置-send_redirects配置安全基线项目名称检查系统内核参数配置-send_redirects配置安全基线项说明检查系统内核参数配置-send_redirects配置检测与加固步骤修改前请先备份配置文件#cp-p/proc/sys/net/ipv4/conf/all/send_redirects/proc/sys/net/ipv4/conf/all/send_redirects.bak，执行命令#sysctl-wnet.ipv4.conf.all.send_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/send_redirects的值为0基线符合性判定依据符合加固要求备注检查系统内核参数配置-ip_forward配置安全基线项目名称检查系统内核参数配置-ip_forward配置安全基线项说明检查系统内核参数配置-ip_forward配置检测与加固步骤修改前请先备份配置文件#cp-p/proc/sys/net/ipv4/ip_forward/proc/sys/net/ipv4/ip_forward.bak，执行命令 #sysctl-wnet.ipv4.ip_forward="0"并修改/proc/sys/net/ipv4/ip_forward的值为0基线符合性判定依据符合加固要求

备注检查系统内核参数配置icmp_echo_ignore_broadcasts酉己置安全基线项目名称检查系统内核参数配置-icmp_echo_ignore_broadcasts配置安全基线项说明检查系统内核参数配置-icmp_echo_ignore_broadcasts配置检测与加固步骤修改前请先备份配置文件 #cp-p/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.bak，执行命令#sysctl-wnet.ipv4.icmp_echo_ignore_broadcasts="1" 并 修 改/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts的值为1基线符合性判定依据符合加固要求备注信息隐藏检查是否设置ssh登录前警告Banner安全基线项目名称检查是否设置ssh登录前警告Banner安全基线项说明检查是否设置ssh登录前警告Banner检测与加固步骤1.执行如下命令创建sshbanner信息文件：#touch/etc/ssh_banner#chownbin:bin/etc/ssh_banner#chmod644/etc/ssh_banner#echo"您想设置的信息”>/etc/ssh_banner可根据实际需要修改该文件的内容。2.修改/etc/ssh/sshd_config文件，添加如下行：Banner/etc/ssh_banner3.重启sshd服务：#/etc/init.d/sshdrestart基线符合性判定依据设置ssh登录前警告Banner备注

检查是否设置ssh登录后警告Banner安全基线项目名称检查是否设置ssh登录后警告Banner安全基线项说明检查是否设置ssh登录后警告Banner检测与加固步骤修改文件/etc/motd的内容，如没有该文件，则创建它。#echo"您想设置的信息”>/etc/motd根据实际需要修改该文件的内容基线符合性判定依据设置ssh登录后警告Banner备注检查是否修改默认FTPBanner设置安全基线项目名称检查是否修改默认FTPBanner设置安全基线项说明检查是否修改默认FTPBanner设置检测与加固步骤修改vsftp回显信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根据实际需要修改该文件内容。重启服务：#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件：#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行，确保该行未被注释。FortunesFile/usr/share/fortune/zippy编辑/usr/share/fortune/zippy文件(如没有fortune文件夹或者zippy文件，则新建该文件夹或该文件)：#vi/usr/share/fortune/zippy将自定义BANNER写入其中。重启服务：#/etc/init.d/pure-ftpdrestart基线符合性判定依据修改默认FTPBanner设置备注检查telnetBanner设置安全基线项目名称检查telnetBanner设置安全基线项说明检查telnetBanner设置

检测与加固步骤修改vsftp回显信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根据实际需要修改该文件内容。重启服务：#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件：#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行，确保该行未被注释。FortunesFile/usr/share/fortune/zippy编辑/usr/share/fortune/zippy文件(如没有fortune文件夹或者zippy文件，则新建该文件夹或该文件)：#vi/usr/share/fortune/zippy将自定义BANNER写入其中。重启服务：#/etc/init.d/pure-ftpdrestart基线符合性判定依据修改默认FTPBanner设置备注服务端口启动项检查是否启用SSH服务安全基线项目名称检查是否启用SSH服务安全基线项说明telnet缺少对口令和用户名的有效保护措施，所有数据采用明文传输方式，存在较大安全隐患，ssh采用加密方式保护用户数据，数据内容和用户信息更为安全。检测与加固步骤使用命令"servicesshdstatus”查看ssh远程管理服务状态，如未启动，则使用命令"servicesshdstart”基线符合性判定依据启动ssh服务备注检查是否启用了talk服务安全基线项目名称检查是否启用了talk服务安全基线项linux中talk命令参数程序用于Internet上两个用户之间进行“交谈”：通过键说明盘输入“说话”，通过看终端屏幕“聆听”。默认系统不需要开启talk服务。

请禁用该服务。检测与加固步骤编辑/etc/xinetd.d/talk文件，将启用servicetalk的disable属性值改为yes；如果发现/08笈达6144/目录下包含ntalk文件，同时将ntalk文件中的disable属性改为yes。基线符合性判定依据禁用该服务备注检查是否启用了ntalk服务安全基线项目名称检查是否启用了ntalk服务安全基线项说明ntalk服务主要用于linux上用户之间交谈，提供了与talk相同的功能服务。默认系统不需要开启ntalk服务。请禁用该服务。检测与加固步骤编辑/etc/xinetd.d/ntalk文件，将启用servicentalk的disable属性值改为yes。基线符合性判定依据禁用该服务备注检查是否启用了sendmail服务安全基线项目名称检查是否启用了sendmail服务安全基线项说明sendmail是使用smtp协议的邮件提交工具，承担mta和MDA的作用。后台进程：sendmail；脚本：/etc/init.d/sendmail；使用端口：25(smtp)；默认系统不需开启该服务。请禁用该服务。检测与加固步骤使用命令"servicesendmailstop”关闭当前sendmail服务；然后使用命令“chkconfigsendmailoff”关闭服务开机自动启动。基线符合性判定依据禁用该服务备注

禁止root帐户登录FTP(vsftp)安全基线项目名称禁止root帐户登录FTP(vsftp)安全基线项说明设置ftp权限及访问，限制部分用户的ftp访问权限，一般不允许root帐户登录FTP，需为其分配专用帐户检测与加固步骤编辑/etc/vsftpd/ftpusers，添加root，以禁止root帐户登录FTP。基线符合性判定依据符合加固要求备注禁止匿名FTP(vsftp)安全基线项目名称禁止root帐户登录FTP(vsftp)安全基线项说明不应允许用户匿名登录FTP。检测与加固步骤编辑/etc/vsftpd/vsftpd.conf文件(部分计算机该文件可能在/etc目录下)，anonymous_enable属性值修改为NO。基线符合性判定依据符合加固要求备注检查设备是否已禁用telnet服务安全基线项目名称检查设备是否已禁用telnet服务安全基线项说明telnet缺少对口令和用户名的有效保护措施，所有数据采用明文传输方式，存在较大安全隐患，ssh采用加密方式保护用户数据，数据内容和用户信息更为安全。检测与加固步骤在/etc/services文件中，注释掉telnet23/tcp一行(如不生效重启telnetd服务或xinetd服务或系统)基线符合性判定依据符合加固要求备注

检查是否关闭不必要的服务和端口安全基线项目名称检查是否关闭不必要的服务和端口安全基线项说明建议关闭不必要的端口及服务检测与加固步骤运行chkconfig--list查看当前服务并执行如chkconfig[--levellevels]kshelloff（注:levels为运行级别,需要重启机器）命令关闭服务，建议关闭如下服务identlprinterlbootpsltftplkshelllkloginldaytimeltimelecholdiscardlchargenlsendmaillntalkllpdlnfslnfslocklypbind基线符合性判定依据符合加固要求备注文件目录权限检查环境变量目录下是否存在权限为777的目录安全基线项目名称检查环境变量目录下是否存在权限为777的目录安全基线项说明权限777意思是该登录帐户、他所在的组和其他人都拥有读、写、执行权限，该权限为最高权限。环境变量目录下不应存在该权限目录。检测与加固步骤输入命令ls-l'echo$PATH1tr": 2>/dev/nulll grepdrw[xsS]rw[xsS]rw[xsS]查看环境变量中是否有777权限目录，并使用“chmod+相应权限+文件/目录”修改目录权限。基线符合性判定依据不存在权限为777的目录备注检查环境变量目录下是否存在权限为777的文件安全基线项目名称检查环境变量目录下是否存在权限为777的文件

安全基线项说明权限777意思是该登录帐户、他所在的组和其他人都拥有读、写、执行权限，该权限为最高权限。环境变量目录下不应存在该权限文件。检测与加固步骤输入命令ls-l'echo$PATH1tr": 2>/dev/nulll grep[Ad]rw[xsS]rw[xsS]rw[xsS]Iwc-l查看环境变量中是否有777权限文件，并使用“chmod+相应权限+文件/目录”修改文件权限。基线符合性判定依据不存在权限为777的文件备注检查是否存在权限不安全的重要日志文件安全基线项目名称检查是否存在权限不安全的重要日志文件安全基线项说明检查是否存在权限大于640的重要日志文件，日志文件中经常会记录用户操作等敏感信息，应严格限制重要日志文件的访问权限。检测与加固步骤查看/etc/syslog.conf或/etc/rsyslog.conf文件中日志目录配置情况，使用ls-1+目录查看文件权限是否错误，如果存在其他权限的日志文件，则使用命令“chmod640+日志文件”修改日志文件权限基线符合性判定依据日志文件权限应为640备注检查系统当前的umask安全基线项目名称检查系统当前的umask安全基线项说明系统umask设置，规范用户对目录和文件的操作，umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而运行异常。一般默认为0022检测与加固步骤输入umask命令查看umask值，如果值不为0022，则使用命令umask0022修正基线符合性判定依据0022

备注检查拥有suid和sgid权限的文件安全基线项目名称检查拥有suid和sgid权限的文件安全基线项说明检查拥有suid和sgid权限的文件是否存在异常检测与加固步骤执行命令：find/usr/bin/chage/usr/bin/gpasswd/usr/bin/wall/usr/bin/chfn/usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl/usr/sbin/traceroute/bin/mount/bin/umount/bin/ping/sbin/netreport-typef-perm+60002>/dev/null如果存在输出结果，则使用chmod755文件名命令修改文件的权限。例如：chmoda-s/usr/bin/chage基线符合性判定依据拥有suid和sgid权限的文件权限为755备注检查用5「小访/目录下可执行文件的拥有者属性是否合规安全基线项目名称检查/亚死血目录下可执行文件的拥有者属性是否合规安全基线项说明检查/usr/bin/目录下的可执行文件的拥有者属性，当可执行文件设置s属性时，执行时可以获取其拥有者的权限检测与加固步骤找出/ml/加出目录下所有含有“s”属性的文件，才把不必要的“s”属性去掉，或者把不用的直接删除。#find/usr/bin-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;#chmoda-sfilename基线符合性判定依据/usr/bin目录下的文件不具有s属性备注

访问权限检查FTP用户上传的文件所具有的权限安全基线项目名称检查FTP用户上传的文件所具有的权限安全基线项说明检查FTP用户上传的文件所具有的权限检测与加固步骤如果系统使用vsftp：修改/etc/vsftpd.conf（或者为/etc/vsftpd/vsftpd.conf）#vi/etc/vsftpd.conf确保以下行未被注释掉，如果没有该行，请添加：write_enable=YES〃允许上传。如果不需要上传权限，此项可不进行更改。ls_recurse_enable=YESlocal_umask=022//设置用户上传文件的属性为755anon_umask=022〃匿名用户上传文件（包括目录）的umask重启网络服务#/etc/init.d/vsftpdrestart如果系统使用pure-ftp修改/etc/pure-ftpd/pure-ftpd.conf#vi/etc/pure-ftpd/pure-ftpd.conf确保以下行未被注释掉，如果没有该行，请添加：Umask177:077重启ftp服务#/etc/init.d/pure-ftpdrestart基线符合性判定依据根据实际情况配置备注检查系统是否启用了sudo命令安全基线项目名称检查系统是否启用了sudo命令安全基线项说明sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录和管理时间，同样也提高了安全性。sudo不是对shell的一个代替，它是面向每个命令的。它的特性主要有这样几点：sudo能够限制用户只在某台主机上运行某些命令。sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。

sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票（这个值可以在编译的时候改变）。sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers，属性必须为0440。检测与加固步骤系统支持sudo基线符合性判定依据系统支持sudo备注检查系统是否允许root帐户ssh远程登录安全基线项目名称检查系统是否允许root帐户ssh远程登录安全基线项说明不推荐使用root帐户直接远程登录，请根据使用需要，配置帐户权限检测与加固步骤编辑/etc/ssh/sshd_config文件，修改PermitRootLogin值为no；基线符合性判定依据不允许root帐户ssh远程登录备注检查系统是否允许root帐户telnet远程登录安全基线项目名称检查系统是否允许root帐户telnet远程登录安全基线项说明不推荐使用root帐户直接远程登录，请根据使用需要，配置帐户权限检测与加固步骤编辑/etc/pam.d/login文件，添加行"authrequiredpam_securetty.so。基线符合性判定依据不允许root帐户远程登录备注

检查是否绑定可访问主机的ip或ip段安全基线项目名称检查是否绑定可访问主机的ip或ip段安全基线项说明启动ssh远程服务后应限定可以远程连接服务器的IP或IP段，提高安全性。检测与加固步骤编辑/etc/hosts.allow，添加或修改语句“sshd:+允许的IP+:allow”实现允许某个ip使用ssh连接访问。基线符合性判定依据指定特定IP或网段备注检查是否允许所有ip访问主机安全基线项目名称检查是否允许所有ip访问主机安全基线项说明应限制远程访问主机的IP范围，不应允许所有主机访问检测与加固步骤编辑/etc/hosts.allow，删除“sshd:All”。基线符合性判定依据不出现sshd:All关键字备注hosts.deny文件设置sshd：All安全基线项目名称hosts.deny文件设置sshd：All安全基线项说明应限制远程访问主机的IP范围，不应允许所有主机访问检测与加固步骤编辑/etc/hosts.deny，删除“sshd:All”。基线符合性判定依据出现sshd:All关键字备注

其他安全配置检查登录超时锁定时间安全基线项目名称检查登录超时锁定时间安全基线项说明系统登录一段时间后如果不进行任何操作，将会登录锁定的时间。登录锁定后需要重新输入用户名、密码验证登录。检测与加固步骤以root帐户执行，vi/etc/profile,增加exportTMOUT=600（单位：秒，可根据具体情况设定超时退出时间，要求不小于600秒），注销用户，再用该用户登录激活该功能基线符合性判定依据不小于600秒备注检查root用户的PATH环境变量是否包含相对路径安全基线项目名称检查root用户的PATH环境变量是否包含相对路径安全基线项说明当环境变量中包含"."或者"..”项时，可能会发生难以预知的危险检测与加固步骤修改文件/etc/profile或/root/.bash_profile在环境变量$PATH中删除包含（.和..）的路径基线符合性判定依据Root用户环境变量中不包含相对路径备注检查root用户的PATH环境变量是否包含相对路径安全基线项目名称检查root用户的PATH环境变量是否包含相对路径安全基线项说明当环境变量中包含"."或者"..”项时，可能会发生难以预知的危险检测与加固步骤修改文件/etc/profile或/root/.bash_profile在环境变量$PATH中删除包含（.和..）的路径

基线符合性判定依据Root用户环境变量中不包含相对路径备注检查ssh协议是否使用ssh2安全基线项目名称检查ssh协议是否使用ssh2安全基线项说明检查openssh相关配置文件中是否已配置所使用的协议为较高协议版本检测与加固步骤1.确保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在，贝U忽略下面配置步骤。2.在sshd_config或sshd2_config中配置：Protocol2基线符合性判定依据使用ssh2版本备注检查启用系统coredump设置安全基线项目名称检查启用系统coredump设置安全基线项说明任务发生异常时需要记录遗言信息，因此需要记录coredump文件。检测与加固步骤编辑/etc/security/limits.conf文件，在文件末尾加上"*softcore0"与"*hardcore0"基线符合性判定依据根据加固要求配置备注检查是否修改snmp默认团体字安全基线项目名称检查是否修改snmp默认团体字安全基线项建议用户修改这两个缺省字符串。否则攻击者将可以通过SNMP协议修改设说明备的设定检测与加固编辑/etc/snmp/snmpd.conf，修改private与public默认团体字为用户自定义团步骤体字

基线符合性判定依据根据加固要求配置备注检查系统是否禁用ctrl+alt+del组合键安全基线项目名称检查系统是否禁用ctrl+alt+del组合键安全基线项说明若用户未禁用ctrl+alt+del组合键，则可通过ctrl+alt+del组合键所关联内容进行恶意操作检测与加固步骤编辑/etc/inittab，注释含"ca::ctrlaltdel:*****"（*****为配置内容）内容的行之后重启系统基线符合性判定依据根据加固要求配置备注检查是否关闭系统信任机制安全基线项目名称检查是否关闭系统信任机制安全基线项说明在信任地址列表中的来访用户可不用提供口令就在本地计算机上执行远程命令，如rexec，rcp，rlogin等等检测与加固步骤1.执行命令find/-maxdepth2-namehosts.equiv也2.进入至1」.hosts.equiv文件存在的目录也3.执行命令：mvhosts.equivhosts.equiv.bak。并以上述一样的方式处理rhosts文件基线符合性判定依据根据加固要求配置备注检查记录历史命令条数设置安全基线项目名称检查记录历史命令条数设置安全基线项说明当设置了历史命令条数，系统将保留最近设置的指定条数的命令

检测与加固步骤编辑文件/etc/profile，修改配置HISTSIZE=10基线符合性判定依据大于等于10备注检查是否删除了潜在危险文件安全基线项目名称检查是否删除了潜在危险文件安全基线项说明检查是否删除了潜在危险文件检测与加固步骤模板条目：是否删除hosts.equiv文件配置方法：1.执行命令find/-maxdepth3-namehosts.equiv2>/dev/null2.进入至Uhosts.equiv文件存在的目录3.执行命令：mvhosts.equivhosts.equiv.bak模板条目：是否删除.rhosts文件配置方法：1.执行命令find/-maxdepth3-name.rhosts2>/dev/null2.进入到.rhosts文件存在的目录3.执行命令：mv.rhosts.rhosts.bak模板条目：是否删除.netrc文件配置方法：1.执行命令find/-rc2>/dev/null2.进入到.netrc文件存在的目录3.执行命令：rc.bak基线符合性判定依据根据加固要求配置备注检查磁盘使用率安全基线项目名称检查磁盘使用率安全基