Linux系统安全配置基线

1、Linux 系统安全配置基线系统安全配置基线 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 第第 2 章章安装前准备工作安装前准备工作.1 2.1需准备的光盘.1 第第 3 章章操作系统的基本安装操作系统的基本安装.1 3.1基本安装.1 第第 4 章章账号管理、认证授权账号管理、认证授权.2 4.1账号.2 4.1.1用户口令设置.2 4.1.2检查是否存在除root之外UID为0的用户.3 4.1.3检查多余账户.3 4.1.4分配账户.4 4.1.5账号锁定.4 4.1.6检查账户权限.5 4.2认证.5 4.2.1远程连接的安全性配置.

2、5 4.2.2限制ssh连接的IP配置.6 4.2.3用户的umask安全配置.6 4.2.4查找未授权的SUID/SGID文件.7 4.2.5检查任何人都有写权限的目录.7 4.2.6查找任何人都有写权限的文件.8 4.2.7检查没有属主的文件.8 4.2.8检查异常隐含文件.9 第第 5 章章日志审计日志审计.10 5.1日志.10 5.1.1syslog登录事件记录.10 5.2审计.10 5.2.1Syslog.conf的配置审核.10 5.2.2日志增强.11 5.2.3syslog系统事件审计.11 第第 6 章章其他配置操作其他配置操作.12 6.1系统状态.12 6.1.1系统

3、超时注销.12 6.2LINUX服务 .12 6.2.1禁用不必要服务.12 第第 7 章章持续改进持续改进.13 第第 1 章章概述概述 1.1 目的目的 本文规定了 Linux 操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管 理人员或安全检查人员进行 Linux 操作系统的安全合规性检查和配置。 1.2 适用范围适用范围 本配置标准的使用者包括：服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括：Linux 服务器。 1.3 适用版本适用版本 适用于 Redhat AS 5。 第第 2 章章安装前准备工作安装前准备工作 2.1 需准备的光盘需准备的光

4、盘 从 RedHat 官网下载高级企业服务器版操作系统，并制作成光盘。 第第 3 章章操作系统的基本安装操作系统的基本安装 3.1 基本安装基本安装 （1）应在隔离网络进行安装。选择 custom 方式，根据最小化原则，仅安装需要的软件包。 （2）根据服务器的实际用途来确实是否需要给/VAR，/HOME 划分单独的分区。 （3）安装完成后尽快通过合适可行的方式安装重要的补丁程序。 第第 4 章章账号管理、认证授权账号管理、认证授权 4.1 账号账号 4.1.1 用户口令设置用户口令设置 安全基线项安全基线项 目名称目名称 操作系统 Linux 用户口令安全基线要求项 安全基线项安全基线项 说明

5、说明 帐号与口令-用户口令设置, 配置用户口令强度检查达到 12 位，要求用户口 令包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。 检测操作步检测操作步 骤骤 1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root1234 2、执行：more /etc/login，检查 PASS_MIN_LEN 12 PASS_MAX_DAYS 90 PASS_WARN_AGE 7 3、执行：awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令账 号 4、编辑/etc/pam.d/sys

6、tem-auth 文件，将 password requisite pam_cracklib.so try_first_pass retry=3 改为 password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 ocredit=-1 基线符合性基线符合性 判定依据判定依据 不允许存在简单密码，密码设置至少包括一个数字和一个特殊字符，长度至 少为 12 位 检查 grep pam_cracklib /etc/pam.d/system-auth 修改已有用户的口令生存期和过期告警天数 #chage -M 90 -W 7 h

7、tsc_temp 备注备注 4.1.2 检查是否存在除检查是否存在除 root 之外之外 UID 为为 0 的用户的用户 安全基线项安全基线项 目名称目名称 操作系统 Linux 超级用户策略安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户 检测操作步检测操作步 骤骤 执行：awk -F: ($3 = 0) print $1 /etc/passwd 基线符合性基线符合性 判定依据判定依据 返回值包括“root”以外的条目，则低于安全要求。 备注备注补充操作说明 UID 为 0 的任何用户都拥有系统的最高特权，保证只有 root

8、用户的 UID 为 0 4.1.3 检查多余账户检查多余账户 安全基线项安全基线项 目名称目名称 操作系统 Linux 无用账户策略安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令-检查是否存在如下不必要账户：lp, sync, shutdown, halt, news, uucp, operator, games, gopher 等, 检测操作步检测操作步 骤骤 执行：cat /etc/passwd 如果不使用，用以下命令进行删除。 #deluser test01 基线符合性基线符合性 判定依据判定依据 如发现上述账户，则低于安全要求。如主机存在 gnone,则需要保留 games

9、 账 号 备注备注 4.1.4 分配账户分配账户 安全基线项安全基线项 目名称目名称 操作系统 Linux 账户策略安全基线要求项 安全基线项安全基线项 说明说明 给不同的用户分配不同的帐号，避免多个用户共享帐号。 至少分配 root，auditor，operator 角色。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 #useradd auditor #新建帐号 #passwd auditor #设置口令 #chmod 700 auditor #修改用户主目录权限，确保只有该用户可以读写 #vi /etc/passwd 注释掉不用的账户 auditor #停用不用的账户 基线

10、符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 用新建的用户登陆系统成功，可以做常用的操作，用户不能访问其他用户的 主目录。 2、检测操作、检测操作 用不同用户登陆，检查用户主目录的权 备注备注 4.1.5 账号锁定账号锁定 安全基线项安全基线项 目名称目名称 操作系统 Linuxr 认证失败锁定要求项 安全基线项安全基线项 说明说明 设置帐号在 3 次连续尝试认证失败后锁定，锁定时间为 1 分钟，避免用户 口令被暴力破解。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 建立/var/log/faillog 文件并设置权限 #touch /var/log/faillo

11、g #chmod 600 /var/log/faillog 编辑/etc/pam.d/system-auth 文件，在 auth required pam_env.so 后面添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=60 基线符合性基线符合性 1、判定条件、判定条件 判定依据判定依据 连续输入错误口令 3 次以上，再输正确口令，用户不能登陆。 2、检测操作、检测操作 grep pam_tally /etc/pam.d/system-auth 备注备注 4.1.6 检查账户权限检查账户权限 安全基线项安全基线项 目名称

12、目名称 操作系统 Linux 无用账户策略安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令-检查除 ROOT 外是否有其他账户拥有 shell 权限 检测操作步检测操作步 骤骤 执行：cat /etc/passwd 观察是否有非 root 账户设置/bin/bash 或/bin/sh 权限 基线符合性基线符合性 判定依据判定依据 无特殊应用情况下，如发现上述账户，则低于安全要求。 备注备注 4.2 认证认证 4.2.1 远程连接的安全性配置远程连接的安全性配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 远程连接安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令

13、-远程连接的安全性配置 检测操作步检测操作步 骤骤 执行：find / -name .netrc，检查系统中是否有.netrc 文件； 执行：find / -name .rhosts ，检查系统中是否有.rhosts 文件 基线符合性基线符合性 判定依据判定依据 返回值包含以上条件，则低于安全要求。 备注备注补充操作说明 如无必要，删除这两个文件 4.2.2 限制限制 ssh 连接的连接的 IP 配置配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 远程连接安全基线要求项 安全基线项安全基线项 说明说明 配置 tcp_wrappers，限制允许远程登陆系统的 IP 范围。 检测操

14、作步检测操作步 骤骤 1、参考配置操作、参考配置操作 编辑/etc/hosts.deny 添加 sshd:ALL 编辑/etc/hosts.allow 添加 sshd:/ #允许 网段远程登陆 sshd:/ #允许 网段远程登陆 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 只有网管网段可以 ssh 登陆系统。 2、检测操作、检测操作 cat /etc/hosts.deny cat /etc/hosts.allow 备注备注对于不需要 ssh

15、d 服务的无需配置该项。 中心机房以外的服务器管理，暂时不做源地址限制。 4.2.3 用户的用户的 umask 安全配置安全配置 安全基线项安全基线项 目名称目名称 操作系统 Linux 用户 umask 安全基线要求项 安全基线项安全基线项 说明说明 帐号与口令-用户的 umask 安全配置 检测操作步检测操作步 骤骤 执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值 基线符合性基线符合性 判定依据判定依据 umask 值是默认的，则低于安全要求。 备注备注

16、补充操作说明：vi /etc/profile 建议设置用户的默认 umask=077 4.2.4 查找未授权的查找未授权的 SUID/SGID 文件文件 安全基线项安全基线项 目名称目名称 操作系统 Linux SUID/SGID 文件安全基线要求项 安全基线项安全基线项 说明说明 文件系统-查找未授权的 SUID/SGID 文件 检测操作步检测操作步 骤骤 用下面的命令查找系统中所有的 SUID 和 SGID 程序，执行： for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; do find $PART ( -perm -04

17、000 -o -perm -02000 ) -type f -xdev -print Done 基线符合性基线符合性 判定依据判定依据 若存在未授权的文件，则低于安全要求。 备注备注补充操作说明 建议经常性的对比 suid/sgid 文件列表，以便能够及时发现可疑的后门程序 4.2.5 检查任何人都有写权限的目录检查任何人都有写权限的目录 安全基线项安全基线项 目名称目名称 操作系统 Linux 目录写权限安全基线要求项 安全基线项安全基线项 说明说明 文件系统-检查任何人都有写权限的目录 检测操作步检测操作步 骤骤 在系统中定位任何人都有写权限的目录用下面的命令： for PART in a

18、wk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; do find $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -print Done 基线符合性基线符合性 判定依据判定依据 若返回值非空，则低于安全要求。 备注备注 4.2.6 查找任何人都有写权限的文件查找任何人都有写权限的文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 文件写权限安全基线要求项 安全基线项安全基线项 说明说明 文件系统-查找任何人都有写权限的文件 检测操作步检测操作步 骤骤 在系统中定位任何人都有写权限

19、的文件用下面的命令： for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; do find $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -print Done 基线符合性基线符合性 判定依据判定依据 若返回值非空，则低于安全要求。 备注备注 4.2.7 检查没有属主的文件检查没有属主的文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 文件所有权安全基线要求项 安全基线项安全基线项 说明说明 文件系统-检查没有属主的文件 检测操作步检测操作步 骤骤 定位系

20、统中没有属主的文件用下面的命令： for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; do find $PART -nouser -o -nogroup -print done 注意：不用管“/dev”目录下的那些文件 基线符合性基线符合性 判定依据判定依据 若返回值非空，则低于安全要求。 备注备注补充操作说明 发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属 主的文件存在。如果在系统中发现了没有属主的文件或目录，先查看它的完 整性，如果一切正常，给它一个属主。有时候卸载程序可能会出现一些没有 属主的文件或目

21、录，在这种情况下可以把这些文件和目录删除掉。 4.2.8 检查异常隐含文件检查异常隐含文件 安全基线项安全基线项 目名称目名称 操作系统 Linux 隐含文件安全基线要求项 安全基线项安全基线项 说明说明 文件系统-检查异常隐含文件 检测操作步检测操作步 骤骤 用“find”程序可以查找到这些隐含文件。例如： # find / -name . * -print xdev # find / -name * -print -xdev | cat -v 同时也要注意象“.xx”和“.mail”这样的文件名的。 （这些文件名看起来 都很象正常的文件名） 基线符合性基线符合性 判定依据判定依据 若返回值

22、非空，则低于安全要求。 备注备注补充操作说明 在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的， 用“ls”命令看不到的文件） ，因为这些文件可能是隐藏的黑客工具或者其 它一些信息（口令破解程序、其它系统的口令文件，等等） 。在 UNIX/LINUX 下，一个常用的技术就是用一些特殊的名，如：“” 、 “. ” （点点空格）或“.G” （点点 control-G） ，来隐含文件或目录。 第第 5 章章日志审计日志审计 5.1 日志日志 5.1.1 syslog 登录事件记录登录事件记录 安全基线项安全基线项 目名称目名称 操作系统 Linux 登录审计安全基线要求项 安全基线项

23、安全基线项 说明说明 日志审计-syslog 登录事件记录 检测操作步检测操作步 骤骤 执行命令：more /etc/syslog.conf 查看参数 authpriv 值 Authpriv.* /var/log/secure 基线符合性基线符合性 判定依据判定依据 若未对所有登录事件都记录，则低于安全要求。 备注备注 5.2 审计审计 5.2.1 Syslog.conf 的配置审核的配置审核 安全基线项安全基线项 目名称目名称 操作系统 Linux 配置审计安全基线要求项 安全基线项安全基线项 说明说明 开启系统的审计功能，记录用户对系统的操作，包括但不限于账号创建、删 除，权限修改和口令修

24、改。 检测操作步检测操作步 骤骤 1、参考配置操作、参考配置操作 #chkconfig auditd on 基线符合性基线符合性 判定依据判定依据 1、判定条件、判定条件 系统能够审计用户操作。 2、检测操作、检测操作 chkconfig -list auditd 用 aureport、ausearch 查看审计日志。 备注备注 5.2.2 日志增强日志增强 安全基线项安全基线项 目名称目名称 操作系统 Linux 日志增强要求项 安全基线项安全基线项 说明说明 使 messages 只可追加，使轮循的 messages 文件不可更改，从而防止非法访 问目录或者删除日志的操作 检测操作步检测操

25、作步 骤骤 执行命令： Chattr +a /var/log/messages Chattr +i /var/log/messages.* Chattr +i /etc/shadow Chattr +i /etc/passwd Chattr +i /etc/group 基线符合性基线符合性 判定依据判定依据 使用 lsattr 判断属性 备注备注 5.2.3 syslog 系统事件审计系统事件审计 安全基线项安全基线项 目名称目名称 操作系统 Linux 登录审计安全基线要求项 安全基线项安全基线项 说明说明 日志审计-syslog 系统安全事件记录，方便管理员分析 检测操作步检测操作步 骤骤 执行命令：more /etc/syslog.conf 查看参数： *.err;kern.debug;daemon.notice;