Linux操作系统安全系统配置要求规范V0

《Linux操作系统安全系统配置要求规范V0》由会员分享，可在线阅读，更多相关《Linux操作系统安全系统配置要求规范V0（30页珍藏版）》请在装配图网上搜索。

1、实用文档Linux操作系统平安配置标准版本号：1.0.0目录1 概述1.1 适用范围11.2 外部引用说明 11.3 术语和定义 11.4 符号和缩略语 12 LINUX设备平安配置要求 2.1 账号治理、认证授权 22.1.1 账号22.1.2 口令42.1.3 授权102.2 日志配置要求 112.3 IP协议平安配置要求 132.3.1 IP协议平安132.4设备其他平安配置要求 142.4.1 检查SSH平安配置14152.4.2 检查是否启用信任主机方式,配置文件是否配置妥当 2.4.3 检查是否关闭不必要效劳152.4.4 检查是否设置登录超时162.4.5 补丁治理17实用文档实

2、用文档1概述1.1适用范围本标准适用于LINUX操作系统的设备.本标准明确了 LINUX操作系统配置的 根本平安要求,在未特别说明的情况下,适用于Redhat与Suse操作系统版本.1.2外部引用说明1.3术语和定义1.4符号和缩略语对于标准出现的英文缩略语或符号在这里统一说明.缩写英文描述中文描述2 LINUX设备平安配置要求本标准所指的设备为采用LINUX操作系统的设备.本标准提出的平安配置要 求,在未特别说明的情况下,均适用于采用LINUX操作系统的设备.本标准从运行LINUX操作系统设备的认证授权功能、平安日志功能、IP网 络平安功能,其他自身平安配置功能四个方面提出平安配置要求.2.

3、1账号治理、认证授权2.1.1 账号2.1.1.1 检查是否删除或锁定无关账号检查项名称检查疋否删除或锁疋无关账号中文编号英文编号要求内容应删除或锁定与设备运行、维护等工作无关的账号.检查项类型账号口令和认证授权- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤1、执行:#more /etc/passwd /etc/shadow查看是否存在以下可能无用的帐户：lp uucp no body games rpm smmsp nfsno body . Adm sync、shutdown、halt、news、operator判定条件lp uucp no body game

4、s rpm smmsp nfsno body这些帐户不存在或者它们的密码字段为!,那么这些帐户被锁定,符合平安要求,否那么低于安 全要求.补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定无用帐户： 方法一：#vi /etc/shadow在需要锁定的用户名的密码字段前面加!,如test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/lm1:14805:0:99999:7:方法二：#passwd -l test3、 将/etc/passwd

5、 文件中的 shell 域设置成 /bin/false.补充操作说明lp uucp no body games rpm smmsp nfsno bodyAdm sync、shutdown、halt、news、operator 这些帐户不存在或者 它们的密码字段为!2.1.1.2 检查是否限制root远程登录检查项名称检查是否限制root远程登录中文编号英文编号要求内容限制具备超级治理员权限的用户远程登录.远程执行治理员权限操作,应先 以普通权限用户远程登录后,再切换到超级治理员权限账号后执行相应操 作.检查项类型账号口令和认证授权- 操作系统- LINUX发布日期2021-03-03检查方式自

6、动检测操作步骤查看配置文件# more /e tc/securetty# more /etc/ssh/sshd_c onfig判定条件# more /e tc/securetty 检查是否有以下行： pts/x x为一个十进制整数#more /etc/ssh/sshd_c onfig检查以下行设置是否为 no并且未被注释：PermitRootLogi n不存在 pts/x 那么禁止了 tel net 登录,PermitRootLogin no 禁止了 ssh 登录,符合以上条件那么禁止了root远程登录,符合平安要求,否那么低于平安要求.补充说明# Authe nticati on:#Logi

7、 nGraceTime 2m#PermitRootLogi n yes#StrictModes yes#MaxAuthTries 6PermitRootLogin 的值改为no,不允许root远程登录加固方案类别参考操作配置1、执行备份：#cp -p /e tc/securetty /etc/securetty_bak#cp -p /etc/ssh/sshd_c onfig /etc/ssh/sshd_c on fig_bak2、新建一个普通用户并设置高强度密码：#useradd user name#passwd user name3、禁止root用户远程登录系统：#vi 尼 tc/secur

8、etty注释形如pts/x的行,保存退出,那么禁止了root从tel net登录.#vi /etc/ssh/sshd_c onfig修改PermitRootLogin 设置为no并不被注释,保存退出,那么禁止了 root 从 ssh 登录.#/etc/i nit.d/sshd restart补充操作说明以下为测试telnet登录结果：/e tc/pam.d/logi n /e tc/seruretty结果注释掉存在文件,存在PTS 能登录注释掉存在文件,不存在PTS 不能登录注释掉不存在文件能登录不注释不存在文件能登陆不注释存在文件,不存在PTS 不能登录不注释存在文件,存在PTS 能登录/e

9、tc/ssh/sshd_co nfig文件中 PermitRootLogin 值为 no,并且/etc/security/user下值为 pts2.1.2 口令2.121 检查口令策略设置是否符合复杂度要求检查项名称检查口令策略设置是否符合复杂度要求中文编号平安要求-设备-通用-配置-4英文编号要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类.检查项类型账号口令和认证授权- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤#more 尼 tc/pam.d/system-auth检查以下参数配置：passw

10、ordrequisitepam_cracklib.sodcredit=-1ucredit=-1 lcredit=-1 ocredit=-1 min class=2 min le n=8passwordsufficientpam_unix.so md5 shadow nulloktry_first_pass use_authtok是否配置了 minlen=8,minclass=2.或者passwordrequisitepam_passwdqc.somi n=disabled,24,12,8,7 passphrase=3password sufficie nt pam_ uni x.so n ul

11、lok use_authtok md5 shadow是否配置了 min=N0,N1,N2,N3,N4.其中N1代表使用两种字符时,口令最短长度.判定条件使用pam_cracklib 模块时,配置了 min class 大于等于 2, mi nlen 大 于等于6,符合平安要求,否那么低于平安要求；如果使用 pam_passwdqc模块,配置了 min=N0,N1,N2,N3,N4,其中 N1 大于等于6,符合平安要要求,否那么低于平安要求.补充说明可使用 pam pam_cracklib module 或 pam_passwdqc module 实现密码 复杂度,两者不能同时使用.pam_cr

12、acklib主要参数说明：tretry=N:重试多少次后返回密码修改错误difok=N:新密码必需与旧密码不同的位数dcredit=N: N = 0 密码中最多有多少个数字；N = 0 密码中最多有多少个数字；N 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤执行：# more /etc/logi n.defs检杳 PASS MAX DAYS/PASS MIN DAYS/PASS WAR参魏GE判定条件PASS MAX DAY值不大于90天那么符合平安要求,否那么低于平安要求.补充说明加固方案类别参考操作配置1、执行备份：#cp -p /e tc/logi n.de

13、fs /e tc/logi n.defs_bak2、修改策略设置：#vi /e tc/logi n.defs修改PASS_MIN_LE的值为8,修改PASS_MAX_DAYS值为90,按要 求修改 PASS MIN DAYS/PASS WARN A值,保存退出补充操作说明/etc/login.defs文件中 PASS MAX DAYS不大于 902.123 检查口令重复次数限制检查项名称检查口令重复次数限制中文编号平安要求-设备-通用-配置-6-可选英文编号要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5次含5次内已使用的口令.检查项类型账号口令和认证授权- 操作

14、系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤#cat 尼 tc/pam.d/system-auth检查 password required pam unix.so所在行是否存在 remember=5判定条件存在remember大于等于5,那么符合平安要求,否那么低于平安要求.补充说明加固方案类别参考操作配置1、执行备份：#cp -p /e tc/pam.d/system-auth /e tc/pam.d/system-auth_bak2、 创立文件/etc/security/opasswd,并设置权限：#touch 尼 tc/security/opasswd#chow

15、 n root:root /etc/security/opasswd#chmod 600 /etc/security/opasswd3、修改策略设置：#vi /e tc/pam.d/system-auth在 password required pam_unix.so 所在行增力口 remember=5,保存退 出；补充操作说明/e tc/pam.d/system-auth文件中存在 passwordxxxremember-值大于等于52.124 检查口令锁定策略检查项名称检查口令锁定策略中文编号平安要求-设备-通用-配置-7-可选英文编号要求内容对于采用静态口令认证技术的设备,应配置当用户连续

16、认证失败次数超过6次不含6次,锁定该用户使用的账号.检查项类型账号口令和认证授权- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤1、执行:#cat 尼 tc/pam.d/system-auth检查是否存在auth required pam_e nv.soauth required pam_tally2.so deny=6 on err=fail no _magic_root un lock time=120判定条件存在deny的值小于等于6,那么符合平安要求,否那么低于平安要要求.补充说明加固方案类别参考操作配置1、执行备份：#cp -p /e tc/pam.d/

17、system-auth /e tc/pam.d/system-auth_bak2、修改策略设置：#vi /e tc/pam.d/system-auth增力口auth requiredpam_tally2.sodeny=6on err=failno _magic_root uni ock_time=120到第二行.保存退出；补充操作说明使配置生效需重启效劳器.root帐户不在锁定范围内.帐户被锁定后, 可使用 faillog -u username-r或 pam_tally -user 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤执行命令：ftp localhost

18、输岀成果：使用anonymous用户登录,输入密码：testtest ,测试是否成功.判定条件符合：使用 anonymous用户登录,输入密码：testtest ,登录失败不符合：使用 anonymous用户登录,输入密码：testtest ,登录成功补充说明加固方案类别参考操作配置补充操作说明2.126 检查是否存在弱口令检查项名称检查是否存在弱口令中文编号英文编号要求内容用户密码不能是易猜想破解的简单密码,要求修改为复杂密码,符合 密码复杂度要求并且不易联想猜想的密码检查项类型账号口令和认证授权- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤查看密码是否是易猜

19、想破解的简单密码判定条件是否存在弱口令补充说明加固方案类别参考操作配置更改口令使口令满足复杂度要求并且不易猜想补充操作说明2.1.3 授权2.131检查帐号文件权限设置检查项名称检查帐号文件权限设置中文编号英文编号要求内容在设备权限配置水平内,根据用户的业务需要,配置其所需的最小权限.检查项类型账号口令和认证授权- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤执行：#ls -l /etc/passwd /etc/shadow /e tc/group/etc/passwd必须所有用户都可读,root用户可写 -rw-r r /etc/shadow 只有 root 可

20、读-r/etc/group 必须所有用户都可读,root用户可写 -rw-r r 判定条件/etc/passwd 权限为 644,尼tc/shadow 权限为 400,/etc/group 权限 为644,贝V符合平安要要求,如果权限高,那么低于平安要求.补充说明加固方案类别参考操作配置1、执行备份：#cp - p /etc/passwd /etc/passwd_bak #cp - p /etc/shadow 尼tc/shadow_bak#cp - p /etc/group /etc/group_bak2、修改文件权限：#chmod 0644 尼 tc/passwd#chmod 0400 尼

21、tc/shadow#chmod 0644 尼 tc/group补充操作说明/etc/passwd 权限为 644,尼tc/shadow 权限为 400,/etc/group 权限 为6442.2日志配置要求本局部对LINUX操作系统设备的日志功能提出要求,主要考察设备所具备的 日志功能,保证发生平安事件后,设备日志能提供充足的信息进行平安事件定位. 根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反平安策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现平安隐患.如出现大量违反ACL规那么的事件时,通过对日志的审计分析,能发 现隐患,提升设备维护人员的警惕性

22、,预防恶化.2.2.1.1 检查是否记录平安事件日志检查项名称检查是否记录平安事件日志中文编号英文编号要求内容设备应配置日志功能,记录对与设备相关的平安事件.检查项类型日志配置- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤执行：#more /etc/syslog.c onf存在类似如下语句：*.err;ker n. debug;daem on.no tice;/var/log/messages判定条件存在类似*.err;ker n. debug;daem on.no tice;/var/log/messages配置,那么符合平安要求,否那么低于平安要求.补充说明

23、加固方案类别参考操作配置1、执行备份：#cp -p /e tc/syslog.c onf/e tc/syslog.c on f_bak2、修改配置：#vi /etc/syslog.c onf配置形女口 *err;auth.info/var/adm/messages的语句,保存退出3、重启syslog效劳#/etc/i nit.d/syslog stop#/etc/i nit.d/syslog start补充操作说明/etc/syslog.conf文件中存在 *.info 或者 filter f_messages或者*.err;auth.i nfo221.2 检查是否配置远程日志保存检查项名称检

24、查是否配置远程日志保存中文编号平安要求-设备-通用-配置-14-可选英文编号要求内容设备配置远程日志功能,将需要重点关注的日志内容传输到日志效劳器.检查项类型日志配置- 操作系统- LINUX发布日期2021-03-03检查方式自动检测操作步骤Redhat6以下版本执行：#more /etc/syslog.c onfRedhat6以上版本执行：#more /etc/rsyslog.c onf存在类似如下语句：*.* 10.4.83.218或者 *.* 10.4.83.217判定条件配置日志发送到远程日志效劳器,那么符合平安要求,否那么低于平安要 求.补充说明加固方案类别参考操作配置1、执行备份

25、：#cp -p /etc/syslog.conf/etc/syslog.conf_bak Redhat6 以上版本使用rsyslog 替换syslog2、修改配置：#vi /etc/syslog.conf Redhat6 以上版本使用 rsyslog 替换 syslog加上这一行：*.* 10483.218或者 *.* 10.4.83.217可以将*.*替换为你实际需要的日志信息.比方：kern.* / mail.*等等.10.4.83.218 与10.4.83.217 修改为实际的日志效劳器.*.* 和前间为一个Tab.3、重启syslog效劳#/etc/i nit.d/syslog sto

26、p#/etc/i nit.d/syslog start补充操作说明/etc/syslog.conf中存在类似 IP 或者 udp IP注意：*.*和之间为一个 Tab2.3 IP协议平安配置要求231IP协议平安2.3.1.1 检查SNMf配己置-修改SNMP勺默认 Community检查项名称检查SNMF配置-修改SNMF的默认Community中文编号平安要求-设备丄INUX-配置-21-可选英文编号要求内容如果采用了默认的 SNMF配置,那么,SNMF的通讯字符串将是默认的public只读和private可写,应对其进行更改.检查项类型其他配置- 操作系统- LINUX发布日期2021-

27、03-03检查方式自动检测操作步骤1、检查SNMf是否开启,假设未开启,那么符合要求.假设开启,执行第2步.检查操作：chkconfig -list snmpd显示snmpd效劳是否启动,所有运行级别下均为关闭,那么符合要求.2、假设SNMPf启,检查是否使用默认字符串,如未修改,那么不符合要求. 检查操作：R 执行： cat /etc/s nm p/s nm pd.c onf输岀结果：检查 SNMP勺通讯字符串rocommunity或rwcommunity是否是 默认的public 只读和 private可写备注：应更改默认团体名public和private ,才能满足平安要求判定条件符合：

28、未开启 SNMP或连接字符串未设置为public、private不符合：连接字符串设置为public、private补充说明加固方案类别参考操作配置补充操作说明2.4设备其他平安配置要求本局部作为对于LINUX操作系统设备除账号认证、日志、协议等方面外的安 全配置要求的补充,对LINUX操作系统设备提出上述平安功能需求. 包括补丁升 级、文件系统治理等其他方面的平安水平,该局部作为前几局部平安配置要求的 补充.241 检查SSH平安配置检查项名称检查SSH平安配置中文编号英文编号要求内容检查是否只允许协议 2检查项类型账号口令和认证授权- 操作系统- LINUX发布日期检查方式检测操作步骤检查

29、操作：执行：grep Protocol /etc/ssh/sshd_config 输出结果：“ Protocol 2 备注：假设为“ Protocol 2 那么符合平安要求.备注：如果Protocol行被注释,利用 SSH登录工具如SecureCRD 登录,如果允许协议 1那么不符合要求.判定条件符合：Protocol 2不符合：Protocol 2 不存在或被注释补充说明加固方案类别参考操作配置补充操作说明242 检查是否启用信任主机方式, 配置文件是否配置妥当检查项名称检查是否启用信任主机方式,配置文件是否配置妥当中文编号英文编号要求内容检查root,数据库治理账号目录下的 .rhosts

30、 、hosts.equiv检查项类型其他配置- 操作系统- LINUX发布日期检查方式检测操作步骤执行命令：cat $HOME/.rhosts 或者 cat 尼tc/hosts.equiv 结果输出：不能设置+,要配置具体的IP地址或主机名判定条件符合：/.rhosts 、尼tc/hosts.equiv不存在+、只配置了具体 IP地址或主机名不符合：/.rhosts 、/etc/hosts.equiv存在 +补充说明加固方案类别参考操作配置补充操作说明243 检查是否关闭不必要效劳检查项名称检查是否关闭不必要效劳中文编号英文编号要求内容列出所需要效劳的列表包括所需的系统效劳,不在此列表的效劳需

31、关闭.检查项类型其他配置- 操作系统- LINUX发布日期检查方式检测操作步骤执行：#chkco nfig -list #所有效劳的开启关闭列表检查根本的网络效劳的开启或禁止情况,以下效劳都需要关闭：ama nda charge n charge n-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogi n ekrb5-te In et fin ger gssftp imap imaps ipop2 ipop3 klogin krb5-teInetkshell ktalk ntalk rexec rloginrsh rsync t

32、alk tcpmux-server tel net tftp time-dgram time-stream uucp;shell, logi n, exec, fin ger, auth,Anancron , Cups, Gpm Isd n ,Kudzu,Pcmcia, Rhnsd, sendmail判定条件以下效劳都需要关闭：ama nda charge n charge n-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogi n ekrb5-te In et fin ger gssftp imap imaps ipop2 i

33、pop3 klogin krb5-teInetkshell ktalk ntalk rexec rloginrsh rsync talk tcpmux-server tel net tftp time-dgram time-stream uucp;shell, logi n, exec, fin ger, auth,Anancron,Cups, Gpm Isd n,Kudzu,Pcmcia, Rhnsd, sendmail补充说明加固方案类别参考操作配置1、#chkconfig -list2、 禁止非必要效劳：#chkco nfig service off开启效劳为：#chkc onfig s

34、ervice on补充操作说明以下效劳都需要关闭：ama nda charge n charge n-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogi n ekrb5-te In et fin ger gssftp imap imaps ipop2 ipop3 klogin krb5-teInetkshell ktalk ntalk rexec rloginrsh rsync talk tcpmux-server tel net tftp time-dgram time-stream uucp;shell, logi n, e

35、xec, fin ger, auth,Anancron,Cups, Gpm Isd n,Kudzu,Pcmcia, Rhnsd, sendmail244 检查是否设置登录超时检查项名称检杳是否设置登录超日寸中文编号英文编号要求内容对于具备字符交互界面的设备,应配置定时帐户自动登岀.检查项类型其他配置- 操作系统- LINUX发布日期检查方式检测操作步骤1、查看/etc/profile文件中是否有 TMOU；#cat 尼 tc/profile |grep -i TMOUT2、查看文件 尼tc/csh.cshrc中是否有 set autologout-30#cat 尼 tc/csh.cshrc |

36、grep -i autologout判定条件如果文件cat /etc/profile中配置了超时参数,那么符合平安要求,否那么低于平安要求.符合：设置了 TMOUT选项【180为建议值】补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/profile /etc/profile_bak#cp -p /e tc/csh.cshrc /etc/csh.cshrc_bak2、 在/etc/profile文件增加以下两行：#vi 尼 tc/profileTMOUT=180export TMOUT3、修改/etc/csh.cshrc 文件,添加如下行： set autologout=3

37、0改变这项设置后,重新登录才能有效补充操作说明/etc/profile文件中TMOU值小于等于600或者/etc/csh.cshrc文件中autologout 小于等于6002.4.5补丁治理245.1 检查是否安装系统补丁检查项名称检查是否安装系统补丁中文编号英文编号要求内容应根据需要及时进行补丁装载.对效劳器系统应先进行兼容性测试.检查项类型其他配置- 操作系统- LINUX发布日期检查方式自动检测操作步骤对于Redhat系统,版本查看方法：cat /etc/redhat-release对于SuSe系统,查看/etc/SuSe-release 文件： SUSE Li nux En terprise Server 10 (x86_64) VERSION = 10PATCHLEVEL= 1判定条件1. 验证方法：# un ame -a2. 预期结果：系统安装必要的补丁.补充说明加固方案类别参考操作配置可以使用 Online Update 或Patch CD Update等方式升级系统补丁.补充操作说明安装未经过产品进行兼容性测试的补丁,对业务正常运行造成的影响 难以预料.通过集团工单发布的补丁确认那些系统补丁需要安装