中国电信Linux操作系统安全配置规范标准

《中国电信Linux操作系统安全配置规范标准》由会员分享，可在线阅读，更多相关《中国电信Linux操作系统安全配置规范标准（17页珍藏版）》请在装配图网上搜索。

1、.wd.保密等级：公开发放中国电信集团公司 发布2011-4实施2011-4发布中国电信Linux操作系统安全配置标准Specification for Linux OS Configuration Used in China TelecomQ/CT 2339-2011中国电信集团公司技术标准目 录目录I前言II1 范围12 标准性引用文件13 缩略语23.1 缩略语24 安全配置要求24.1 账号24.2 口令44.3 文件及目录权限64.4 远程登录74.5 补丁安全94.6 日志安全要求94.7 不必要的服务、端口114.8 系统Banner设置124.9 登陆超时时间设置124.10

2、删除潜在不安全文件134.11 FTP设置13附录A：端口及服务14前 言为了在工程验收、运行维护、安全检查等环节，标准并落实安全配置要求，中国电信编制了一系列的安全配置标准，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。本标准是中国电信安全配置系列标准之一。该系列标准的构造及名称预计如下：1AIX操作系统安全配置标准2HP-UX操作系统安全配置标准3Solaris操作系统安全配置标准4Linux操作系统安全配置标准本标准5Windows 操作系统安全配置标准6MS SQL server数据库安全配置标准7MySQL数据库安全配置标准8Oracle数据库安全配置标准9Apache安

3、全配置标准10IIS安全配置标准11Tomcat安全配置标准12WebLogic安全配置标准本标准由中国电信集团公司提出并归口。1 范围适用于中国电信使用Linux操作系统的设备。本标准明确了安全配置的 基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查标准等文档的参考。由于版本不同，配置操作有所不同，本标准以内核版本2.6及以上为例，给出参考配置操作。2 标准性引用文件Linux操作系统配置标准符合以下标准性文件：GB/T22239-2008?信息安全技术 信息系统安全等级保护 基本要求?YD/T 1732-2008?固定通信网安全防护要求?YD/T 1734-200

4、8?移动通信网安全防护要求?YD/T 1736-2008?互联网安全防护要求?YD/T 1738-2008?增值业务网消息网安全防护要求?YD/T 1740-2008?增值业务网智能网安全防护要求?YD/T 1758-2008?非核心生产单元安全防护要求?YD/T 1742-2008?接入网安全防护要求?YD/T 1744-2008?传送网安全防护要求?YD/T 1746-2008?IP承载网安全防护要求?YD/T 1748-2008?信令网安全防护要求?YD/T 1750-2008?同步网安全防护要求?YD/T 1752-2008?支撑网安全防护要求?YD/T 1756-2008?电信网和互

5、联网管理安全等级保护要求?3 缩略语以下缩略语适用于本标准：FTPFile Transfer Protocol文件传输协议UDPUser Datagram Protocol用户数据包协议TCPTransmission Control Protocol传输控制协议4 安全配置要求4.1 账号编号： 1要求内容应按照不同的用户分配不同的账号。防止不同用户间共享账号。防止用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创立账号：#useradd username #创立账号#passwd username #设置密码修改权限：#chmod 750 directory #其中750为

6、设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进展常用操作；2、检测操作使用不同的账号进展登录并进展一些常用操作；3、补充说明编号： 2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只

7、有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保存原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。注：无关的账号主要指测试帐户、共享帐号、长期不用账号半年以上未用等检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noac

8、cess。编号： 3 要求内容根据系统要求及用户的业务需求，建设多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作Cat /etc/passwdCat /etc/group2、补充操作说明检测方法1、判定条件人工分析判断2、检测操作编号：4要求内容使用PAM制止任何人su为root操作指南参考操作：编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这说明只有wheel

9、组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为： # chmod G10 username检测方法1、判定条件2、检测操作Cat /etc/pam.d/su 4.2 口令编号：1要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi /etc/login.defs ，修改设置如下PASS_MIN_LEN=8 #设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdq

10、c module进展设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进展提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进展如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创立一个普通账号，为用户配置与用户名一样的口令、只包含字符或数字的简单口令以及长度短于8的口令，查看系统是否对口令强度要求进展提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明pam_cracklib主要参数说明: tretry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数 dcred

11、it=N: N = 0:密码中最多有多少个数字;N /etc/issue #echo $R /etc/issue #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue #cp -f /etc/issue /etc/ #echo /etc/issue 其次删除/etc目录下的和issue文件： # mv /etc/issue /etc/issue.bak # mv /etc/ /etc/.bak 检测方法查看Cat /etc/rc.d/rc.local 注释住处信息4.9 登陆超时时间设置要求内容对于具备字符交互界面的设备，配置定时帐户自动登

12、出操作指南1、 参考配置操作通过修改账户中“TMOUT参数，可以实现此功能。TMOUT按秒计算。编辑profile文件vi /etc/profile，在“HISTFILESIZE=后面参加下面这行： 建议TMOUT=300可根据情况设定2、补充操作说明改变这项设置后，必须先注销用户，再用该用户登录才能激活这个功能检测方法1、判定条件查看TMOUT=3004.10 删除潜在不安全文件要求内容.rhosts，.netrc，hosts.equiv等文件都具有潜在的不安全，如果没有应用，应该删除操作指南1、参考配置操作执行：find / -name .netrc，检查系统中是否有.netrc 文件，执

13、行：find / -name .rhosts ，检查系统中是否有.rhosts 文件如无应用，删除以上文件：Mv .rhost .rhost.bak Mv .netr .netr.bak 2、补充操作说明注意系统版本，用相应的方法执行检测方法1、判定条件2、检测操作4.11 FTP设置编号1：要求内容制止root登陆FTP操作指南1、参考配置操作在ftpaccess文件中参加以下行root检测方法使用root帐号登录ftp会被拒绝编号2：要求内容制止匿名ftp操作指南1、参考配置操作以vsftpd为例：翻开vsftd.conf文件，修改以下行为：anonymous_enable=NO检测方法匿

14、名账户不能登录编号3：要求内容修改FTP banner 信息操作指南1、参考配置操作使用vsftpd，那么修改以下文件的内容：/etc/vsftpd.d/vsftpd.conf使用wu-ftpd，那么需要修改文件/etc/ftpaccess，在其中添加：banner /path/to/ftpbanner在指定目录下创立包含ftp的banner信息的文件检测方法1、 判断依据通过外部ftp客户端登录，banner按照预先设定的显示2、 检查操作附录A：端口及服务服务名称端口应用说明关闭方法处置建议daytime13/tcpRFC867 白天协议chkconfig daytime off 建议关闭

15、13/udpRFC867 白天协议chkconfig daytime off time37/tcp时间协议chkconfig time off 37/udp时间协议chkconfig time-udp off echo7/tcpRFC862_回声协议chkconfig echo off 7/udpRFC862_回声协议chkconfig echo-udp off discard9/tcpRFC863 废除协议chkconfig discard off 9/udpchkconfig discard-udp offchargen19/tcpRFC864 字符产生协议chkconfig charge

16、n off 19/udpchkconfig chargen-udp off ftp21/tcp文件传输协议(控制)chkconfig gssftp off 根据情况选择开放telnet23/tcp虚拟终端协议chkconfig krb5-telnet off 根据情况选择开放sendmail25/tcp简单邮件发送协议chkconfig sendmail off建议关闭nameserver53/udp域名服务chkconfig named off 根据情况选择开放53/tcp域名服务chkconfig named off 根据情况选择开放apache80/tcp 万维网发布服务chkconfi

17、g d off 根据情况选择开放login513/tcp远程登录chkconfig login off根据情况选择开放shell514/tcp远程命令, no passwd usedchkconfig shell off根据情况选择开放exec512/tcpremote execution, passwd requiredchkconfig exec off根据情况选择开放ntalk518/udpnew talk, conversationchkconfig ntalk off建议关闭ident113/tcpauthchkconfig ident off建议关闭printer515/tcp远程

18、打印缓存chkconfig printer off强烈建议关闭bootps67/udp引导协议服务端chkconfig bootps off建议关闭68/udp引导协议客户端chkconfig bootps off建议关闭tftp69/udp普通文件传输协议chkconfig tftp off强烈建议关闭kshell544/tcpKerberos remote shell -kfallchkconfig kshell off建议关闭klogin543/tcpKerberos rlogin -kfallchkconfig klogin off建议关闭portmap111/tcp端口映射chkco

19、nfig portmap off根据情况选择开放snmp161/udp简单网络管理协议Agentchkconfig snmp off根据情况选择开放snmp trap161/tcp简单网络管理协议Agentchkconfig snmp off根据情况选择开放snmp-trap162/udp简单网络管理协议Trapschkconfig snmptrap off根据情况选择开放syslogd514/udp系统日志服务chkconfig syslog off建议保存lpd515/tcp远程打印缓存chkconfig lpd off强烈建议关闭nfs2049/tcpNFS远程文件系统chkconfig nfs off强烈建议关闭2049/udpNFS远程文件系统chkconfig nfs off强烈建议关闭nfs.lock动态端口rpc服务chkconfig nfslock off强烈建议关闭ypbind动态端口rpc服务chkconfig ypbind off强烈建议关闭欢迎您的光临，Word文档下载后可修改编辑.双击可删除页眉页脚.谢谢！你的意见是我进步的动力，希望您提出您珍贵的意见！让我们共同学习共同进步！学无止境.更上一层楼。