Linux系统安全配置基线.doc

Linux系统安全配置基线  目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 第2章 安装前准备工作 1 2.1 需准备的光盘 1 第3章 操作系统的基本安装 1 3.1 基本安装 1 第4章 账号管理、认证授权 2 4.1 账号 2 4.1.1 用户口令设置 2 4.1.2 检查是否存在除root之外UID为0的用户 3 4.1.3 检查多余账户 3 4.1.4 分配账户 4 4.1.5 账号锁定 4 4.1.6 检查账户权限 5 4.2 认证 5 4.2.1 远程连接的安全性配置 5 4.2.2 限制ssh连接的IP配置 6 4.2.3 用户的umask安全配置 6 4.2.4 查找未授权的SUID/SGID文件 7 4.2.5 检查任何人都有写权限的目录 7 4.2.6 查找任何人都有写权限的文件 8 4.2.7 检查没有属主的文件 8 4.2.8 检查异常隐含文件 9 第5章 日志审计 10 5.1 日志 10 5.1.1 syslog登录事件记录 10 5.2 审计 10 5.2.1 Syslog.conf的配置审核 10 5.2.2 日志增强 11 5.2.3 syslog系统事件审计 11 第6章 其他配置操作 12 6.1 系统状态 12 6.1.1 系统超时注销 12 6.2 Linux服务 12 6.2.1 禁用不必要服务 12 第7章 持续改进 13 概述 目的 本文规定了 操作系统主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行 操作系统的安全。 本的使用者包括：服务器系统管理员、安全管理员。本适用的范围包括： 服务器 安装前准备工作 需准备的光盘 从RedHat官网下载高级企业服务器版操作系统，并制作成光盘。 操作系统的基本安装 基本安装 （1）应在隔离网络进行安装。选择custom方式，根据最小化原则，仅安装需要的软件包。 （2）根据服务器的实际用途来确实是否需要给/VAR，/HOME划分单独的分区。 （3）安装完成后尽快通过合适可行的方式安装重要的补丁程序。 账号管理、认证授权 账号 用户口令设置 安全基线项目名称 操作系统Linux用户口令安全基线要求项 安全基线项说明 帐号与口令-用户口令设置, 配置用户口令强度检查达到12位，要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。 检测操作步骤 1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root1234 2、执行：more /etc/login，检查 PASS_MIN_LEN 12 PASS_MAX_DAYS 90 PASS_WARN_AGE 7 3、执行：awk -F: ($2 == ) { print $1 } /etc/shadow, 检查是否存在空口令账号 4、编辑/etc/pam.d/system-auth文件，将 password requisite pam_cracklib.so try_first_pass retry=3 改为 password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 ocredit=-1 基线符合性判定依据 不允许存在简单密码，密码设置至少包括一个数字和一个特殊字符，长度至少为12位 检查grep pam_cracklib /etc/pam.d/system-auth 修改已有用户的口令生存期和过期告警天数 #chage -M 90 -W 7 htsc_temp 备注 检查是否存在除root之外UID为0的用户 安全基线项目名称 操作系统Linux超级用户策略安全基线要求项 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户 检测操作步骤 执行：awk -F: ($3 == 0) { print $1 } /etc/passwd 基线符合性判定依据 返回值包括“root”以外的条目，则低于安全要求。 备注 补充操作说明 UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0 检查多余账户 安全基线项目名称 操作系统Linux无用账户策略安全基线要求项 安全基线项说明 帐号与口令-检查是否存在如下不必要账户：lp, sync, shutdown, halt, news, uucp, operator, games, gopher等, 检测操作步骤 执行：cat /etc/passwd 如果不使用，用