Linux操作系统配置规范--2013.docx

PAGE \* MERGEFORMAT1 Linux操作系统安全加固单 脆弱性种类 脆弱性子类 加固建议 风险值 结果描述 帐号 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等 符合 □ 不符合 □ 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后的第一个冒号后加一个感叹号“！” 2)将/etc/passwd文件中的shell域设置成/bin/nologin 3)#usermod -L username 只有具备超级用户权限的使用者方可使用，#usermod -L username锁定用户,用#usermod –U username可以解锁 2、补充操作说明 需要锁定的用户：adm,lp,mail,uucp,operator,games,gopher,ftp,nobody rpm,dbus,avahi,mailnull,smmsp,nscd,vcsa,rpc,rpcuser,nfsnobody sshd,pcap,ntp,haldaemon,distcache,apache,webalizer,squid,xfs,gdm sabayon,named。 符合 □ 不符合 □ 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作 1、限制root从远程telnet登录 Redhat 默认是关闭telnet的 #netstat –nptl |egrep “23\b” #检查23端口有没开启 如果23端口已开启，修改/etc/xinetd.d/krb5-telnet文件, 将disable=no 改成disable=yes，重启xinetd服务。 Redhat8 redhat9上的文件名为 telnet 2、限制root从远程ssh登录 修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 符合 □ 不符合 □ 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组（可选） 1、参考配置操作 创建帐户组： #groupadd –g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号； #usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明 可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。 当group_name字段长度大于八个字符，groupadd命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行 符合 □ 不符合 □ 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号（可选） 1、参考配置操作 禁止账号交互式登录： 修改/etc/shadow文件，用户名后密码列为两个感叹号“！！”； 删除账号：#userdel username; 2、补充操作说明 禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 符合 □ 不符合 □ 口令 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类 1、参考配置操作 vi /etc/login.defs ，修改设置如下 PASS_MIN_LEN = 6 #设定最小用户密码长度为6位 具体设置可以参看补充说明。 v/etc/pam.d/system-auth，修改设置如下