Linux安全配置标准

Linux安全配置标准一.目的《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux系统设计、实施及维护的技术和安全参考依据。二.范围安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。三.内容3.1软件版本及升级策略操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。3.2账户及口令管理3.2.1远程登录帐号管理符合以下条件之一的，属"可远程登录帐号"：(1)设置了密码，且帐号处于未锁定状态。(2)在$HOME/.ssh/authorized_keys放置了publickey"可远程登录帐号"的管理要求为：(1)帐号命名格式与邮件命名格式保持一致(2)不允许多人共用一个帐号，不允许一人有多个帐号。(3)每个帐号均需有明确的属主，离职人员帐号应当天清除。(4)特殊帐号需向安全组报批3.2.2守护进程帐号管理守护进程启动帐号管理要求(1)应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。(2)禁止使用"可远程登录帐号"启动守护进程(3)禁止使用root帐号启动WEBSERVER/DB等守护进程。3.2.3系统默认帐号管理（仅适用于财务管理重点关注系统）删除默认的帐号，包括：lp,sync,shutdown,halt,news,uucp,operator,games,gopher等3.2.4口令管理口令管理应遵循《密码口令管理制度》，具体要求为(1)启用密码策略/etc/login.defsPASS_MAX_DAYS90PASS_MIN_DAYS1PASS_MIN_LEN7PASS_WARN_AGE7/etc/pam.d/system-authpasswordsufficientpam_unix.so**remember=5passwordrequisitepam_cracklib.so**minlen=7lcredit=1ucredit=1dcredit=1ocredit=0(2)启用帐号锁定策略，连续输错3次口令，锁定用户30分钟/etc/pam.d/system-authauthrequiredpam_env.soauthrequiredpam_tally2.sodeny=3unlock_time=18003.2.5OpenSSH安全配置只使用协议版本2，禁止root登录，禁止空口令登录，独立记录日志到/var/log/secure。具体配置为：/etc/ssh/sshd_config#defaultis2,1Protocol2#defaultisyesPermitRootLoginno#defaultisnoPermitEmptyPasswordsno#defaultisAUTHSyslogFacilityAUTHPRIV3.3认证授权3.3.1远程管理方式(1)默认仅允许ssh一种远程管理方式，禁止使用telnet、rlogin等，如存在以下文件，必须删除：$HOME/.rhosts/etc/hosts.equiv/etc/xinetd.d/rsh/etc/xinetd.d/rlogin(2)跳板机只允许RSATOKEN方式登录，其它Linux服务器只允许通过密码和publickey方式登录。(3)生产环境Linux服务器，只允许来自跳板机和其它指定IP的登录，通过tcpwarp实现。生产环境范围由安全组指定，允许登录的IP源由安全组指定。BETA/DEV环境登录限制同生产环境。3.3.2其它（仅适用于财务管理重点关注系统）(1)仅允许非wheel组用户通过远程管理，配置方法：/etc/security/access.conf-:wheel:ALLEXCEPTLOCAL.win.tue.nl/etc/pam.d/sshdaccountrequiredpam_access.so(2)限制普通用户控制台访问权限禁止普通用户在控制台执行shutdown、halt以及reboot等命令。rm-f/etc/security/console.apps/rebootrm-f/etc/security/console.apps/haltrm-f/etc/security/console.apps/shutdownrm-f/etc/security/console.apps/poweroff3.4其它3.4.1关键文件权限（仅适用于财务管理重点关注系统）

将以下文件设置为600权限/$HOME/.bash_logout/$HOME/.bash_profile/$HOME/.bashrc3.4.2日志管理开启以下行为日志：用户登录日志、crontab执行日志配置方法：/etc/syslog.confauthpriv.*/var/log/securecron.*/var/log/cron对于PCIDSS覆盖范围内的系统，所有日志应实时发送到集中的日志管理服务器，并确保由程序自动分析与告警。3.4.3用户界面TIMEOUT设置用户30分钟无操作自动退出。设置方法：/etc/profileTMOUT=1800对于PCIDSS以及SOX404范围内的系统，空闲超时时间需设置为15分钟。3.4.4设置NTP时间同步，确保各服务器时间保持一致配置同机房的自行运维的NTP服务器为NTP源。示例（每个机房可能不一样）：driftfile/var/db/ntp.driftpidfile/var/run/ntpd.pidserver17server8server7restrictdefaultignorerestrictrestrictmasknomodifyrestrict17restrict8restrict7内部NTP服务必须采用行业认可的NTP源。示例：serverminpoll4maxpoll8iburstburstpreferserver89minpoll4maxpoll8iburstburstpreferserver42minpoll4maxpoll8iburstburstpreferserver02minpoll4maxpoll8iburstburstpreferserver38minpoll4maxpoll8iburstburstpreferserver2minpoll4maxpoll8iburstburstpreferserver14minpoll4maxpoll8iburstburstpreferserverminpoll4maxpoll8iburstburstpreferserver4minpoll4maxpoll8iburstburstpreferserverminpoll4maxpoll8iburstburstprefer#individualserversrestrictdefaultignorerestrictrestrict89restrict42restrict02restrict38restrict2restrict14restrictrestrict4restrict3.4.5禁止安装/运行不必要的服务当前禁止安装/运行的服务列表为nfssambatelnetrsh-server3.4.6安装防病毒软件（仅适用于PCIDSS范围内系统）安装经安全组认可的防病毒软件。每周至少升级一次防病毒定义，并使用最新定义执行系统扫描。升级以及定期扫描应设置为自动执行任务。对于扫描出来的结果只告警，由安全组成员手工清除病毒，禁止设置自动删除。扫描范围至少包括：binsbinhomeliblib64optusrvar如果日志（系统、应用）目录被包含于以上目录，需做排除处理。3.4.7安装完整性检测工具（仅适用于PCIDSS范围内系统）由安全组安装文件完整性检测工具，确保以下文件被篡改时及时告警：所有日志文件/etc/profile.d/etc/inittab/etc/sysconfig/init/etc/hosts.allow/etc/hosts.deny/etc/modprobe.conf/etc/ntp.conf/etc/snmp/snmpd.conf/etc/ssh/ssh_config/etc/ssh/sshd_config/etc/ssh/ssh_host_key/etc/sysctl.conf/etc/syslog.conf/etc/grub.conf/etc/shadow/etc/sudoers/etc/group/etc/passwd/etc/login.defs/etc/securetty3.4.8memcached安全配置memcached统一监听在以下端口之一：6666/11211/11212/11213，安全组将在网络边界对这些端口实施访问控制。memcached应以nobody权限启用，禁止使用root权限启动。3.4.9rsyncd安全配置rsyncd配置必须符合以下安全要求配置项

默认配置

要求配置

list

默认为true，即允许枚举模块列表。注意：通过帐号认证和ACL无法限制枚举行为。

在全局配置设置为false或no

auth_users

默认为空，即允许匿名访问，不需要帐号密码认证。

应建立帐号/密码进行认证，密码必须符合复杂度要求

hosts_allow

默认为空，即允许从任意源IP访问。

应精确限制可访问的源IP或主机名，禁止设置整个网段。

3.4.10WEB目录下禁止存放危险文件WEB目录下禁止存在以下类型的危险文件：各种类型的压缩文件，如：zip|gz|tgz|bz|7z|tar|rar|arj|bz2|bzip2|cab|cpio|gzip|lzh|lha|iso