oracle linux安全配置基线V1.0.docVIP

第 PAGE 4 页 共 NUMPAGES 18 页 Oracle Linux操作系统安全配置基线  目录 TOC \o 1-3 \h \z \u 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 第2章 账户口令、认证授权 5 2.1 账户管理 5 2.2.1检查特殊账号及禁用无用账号 5 2.1.2登陆超时设置 6 2.1.3 Root远程登陆限制 6 2.2 口令要求 6 2.2.1密码复杂度 6 2.2.2密码最长留存期 7 2.2.3账户锁定策略 7 2.3 认证授权 8 2.3.1用户授权指派 8 2.3.2授权账户从网络访问 8 2.3.3远程连接的安全性 9 2.3.4重要目录和文件的权限设置 9 第3章 日志审计 10 3.1 系统日志 10 3.2 审核登陆 11 3.3 系统日志远程存储 11 3.4 日志文件保护 12 第4章 共享安全 12 4.1 检查任何人都有写权限的目录 12 4.2 查找任何人都有写权限的文件 13 4.3 检查没有属主的文件 13 4.4 查找未授权的SUID/SGID文件 14 4.5 查找异常隐藏文件 14 第5章 服务安全 15 5.1 关闭不必要的服务和端口 15 5.2 禁止ICMP广播 15 5.3 NFS服务 16 5.4 禁止存在bash漏洞 16 5.5 禁止存在“心脏滴血”漏洞 17 第6章 补丁管理 17 6.1 补丁安装 17 第7章 安全防护 18 7.1 系统的core dump的状态 18 第8章 其他方面的安全 18 8.1 防火墙设置 18 概述 目的 本基线依据Oracle Linux安全配置规范要求，旨在指导主机操作系统管理人员或安全检查人员进行主机操作系统的安全配置，提高主机操作系统的安全防护能力。 适用范围 本基线适用于Oracle Linux 6.3 64位。 账户口令、认证授权 账户管理 2.2.1检查特殊账号及禁用无用账号 安全基线项目名称 Oracle Linux操作系统检查特殊账号及禁用无用账号 安全基线编号 Oracle Linux操作系统安全配置技术要求-1 安全基线项说明 应对登录操作系统的用户进行身份标识和鉴别 检测操作步骤 使用命令“cat /etc/passwd”查看口令文件，与系统管理员确认不必要的账号； 使用命令“awk -F: ($2==) /etc/shadow”查看空口令账号； 使用命令“awk -F: ($3==0) /etc/passwd”查看UID为零的账号； 基线符合性判定依据 查看显示结果的第二个字段为x或者*，且系统管理员能明确说明目前存在的各个账户的用途； 没有返回值。 只有root一个返回值。 加固方案 如果存在空口令账户，和系统管理员确认该账户是否在用，如果无人使用，建议删除或者锁定，如果有人使用，给该账户设置口令：命令为passwd username 为除root账户的其余账户设置UID值： usermod -u UID 用户名。 操作风险 高 备注 2.1.2登陆超时设置 安全基线项目名称 Oracle Linux操作系统登录超时设置 安全基线编号 Oracle Linux操作系统安全配置技术要求-2 安全基线项说明 账号与口令-检查登录超时设置 检测操作步骤 输入cat/etc/profile 基线符合性判定依据 有TMOUT的相关设置，且返回值应该大于180 加固方案 vi /etc/profile 如果有TMOUT值，且设置不合理，将其更改为180 如果返回值为空，则TMOUT=180 操作风险 低 备注 2.1.3 Root远程登陆限制 安全基线项目名称 Oracle Linux操作系统超级用户登录设置 安全基线编号 Oracle Linux操作系统安全配置技术要求-3 安全基线项说明 对SSH服务进行安全检查 检测操作步骤 使用命令“cat /etc/ssh/sshd_config”查看配置文件 基线符合性判定依据 PermitRootLogin是否为no 加固方案 vi /etc/ssh/sshd_config，将PermitRootLogin设置为no 操作风险 低 备注 口令要求 2.2.1密码复杂度 安全基线项目名称 Oracle Linux操作系统密码复杂度 安全基线编号 Oracle Linux操作系统安全配置技术要求-4 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括