Linux系统安全配置基线Word格式.docx
《Linux系统安全配置基线Word格式.docx》由会员分享,可在线阅读,更多相关《Linux系统安全配置基线Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
(3)安装完成后尽快通过合适可行的方式安装重要的补丁程序。
第4章账号管理、认证授权
4.1账号
4.1.1用户口令设置
安全基线项目名称
操作系统Linux用户口令安全基线要求项
安全基线项说明
帐号与口令—用户口令设置,配置用户口令强度检查达到12位,要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
1、询问管理员是否存在如下类似的简单用户密码配置,比如:
root/root,test/test,root/root1234
2、执行:
more/etc/login,检查
PASS_MIN_LEN12
PASS_MAX_DAYS90
PASS_WARN_AGE7
3、执行:
awk-F:
'
($2=="
"
){print$1}'
/etc/shadow,检查是否存在空口令账号
4、编辑/etc/pam。
d/system—auth文件,将
passwordrequisitepam_cracklib。
sotry_first_passretry=3
改为
passwordrequisitepam_cracklib.sotry_first_passretry=3dcredit=—1ocredit=—1
基线符合性判定依据
不允许存在简单密码,密码设置至少包括一个数字和一个特殊字符,长度至少为12位
检查greppam_cracklib/etc/pam.d/system-auth
修改已有用户的口令生存期和过期告警天数
#chage—M90-W7htsc_temp
备注
4.1.2检查是否存在除root之外UID为0的用户
操作系统Linux超级用户策略安全基线要求项
帐号与口令-检查是否存在除root之外UID为0的用户
执行:
awk-F:
($3==0){print$1}'
/etc/passwd
返回值包括“root"
以外的条目,则低于安全要求。
补充操作说明
UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0
4.1.3检查多余账户
操作系统Linux无用账户策略安全基线要求项
帐号与口令—检查是否存在如下不必要账户:
lp,sync,shutdown,halt,news,uucp,operator,games,gopher等,
执行:
cat/etc/passwd
如果不使用,用以下命令进行删除。
#delusertest01
如发现上述账户,则低于安全要求.如主机存在gnone,则需要保留games账号
4.1.4分配账户
操作系统Linux账户策略安全基线要求项
给不同的用户分配不同的帐号,避免多个用户共享帐号.
至少分配root,auditor,operator角色。
1、参考配置操作
#useraddauditor#新建帐号
#passwdauditor#设置口令
#chmod700~auditor#修改用户主目录权限,确保只有该用户可以读写
#vi/etc/passwd注释掉不用的账户auditor#停用不用的账户
1、判定条件
用新建的用户登陆系统成功,可以做常用的操作,用户不能访问其他用户的主目录。
2、检测操作
用不同用户登陆,检查用户主目录的权
4.1.5账号锁定
操作系统Linuxr认证失败锁定要求项
设置帐号在3次连续尝试认证失败后锁定,锁定时间为1分钟,避免用户口令被暴力破解.
建立/var/log/faillog文件并设置权限
#touch/var/log/faillog
#chmod600/var/log/faillog
编辑/etc/pam.d/system-auth文件,在
authrequiredpam_env。
so
后面添加
authrequiredpam_tally.soonerr=faildeny=3unlock_time=60
连续输入错误口令3次以上,再输正确口令,用户不能登陆.
greppam_tally/etc/pam。
d/system—auth
4.1.6检查账户权限
帐号与口令-检查除ROOT外是否有其他账户拥有shell权限
cat/etc/passwd观察是否有非root账户设置/bin/bash或/bin/sh权限
无特殊应用情况下,如发现上述账户,则低于安全要求。
4.2认证
4.2.1远程连接的安全性配置
操作系统Linux远程连接安全基线要求项
帐号与口令-远程连接的安全性配置
find/—name。
netrc,检查系统中是否有。
netrc文件;
find/-name。
rhosts,检查系统中是否有。
rhosts文件
返回值包含以上条件,则低于安全要求。
如无必要,删除这两个文件
4.2.2限制ssh连接的IP配置
配置tcp_wrappers,限制允许远程登陆系统的IP范围。
编辑/etc/hosts.deny
添加
sshd:
ALL
编辑/etc/hosts。
allow
sshd:
168。
8.44。
0/255.255.255。
0#允许168。
8。
44。
0网段远程登陆
168.8.43。
0/255。
255。
255.0#允许168。
8.43。
只有网管网段可以ssh登陆系统。
cat/etc/hosts.deny
cat/etc/hosts.allow
对于不需要sshd服务的无需配置该项.
中心机房以外的服务器管理,暂时不做源地址限制.
4.2.3用户的umask安全配置
操作系统Linux用户umask安全基线要求项
帐号与口令-用户的umask安全配置
more/etc/profilemore/etc/csh.loginmore/etc/csh。
cshrcmore/etc/bashrc检查是否包含umask值
umask值是默认的,则低于安全要求。
补充操作说明:
vi/etc/profile
建议设置用户的默认umask=077
4.2.4查找未授权的SUID/SGID文件
操作系统LinuxSUID/SGID文件安全基线要求项
文件系统-查找未授权的SUID/SGID文件
用下面的命令查找系统中所有的SUID和SGID程序,执行:
forPARTin`grep-v^#/etc/fstab|awk’($6!
=”0”){print$2}’`;
do
find$PART\(-perm—04000—o—perm—02000\)—typef—xdev-print
Done
若存在未授权的文件,则低于安全要求。
建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序
4.2.5检查任何人都有写权限的目录
操作系统Linux目录写权限安全基线要求项
文件系统—检查任何人都有写权限的目录
在系统中定位任何人都有写权限的目录用下面的命令:
forPARTin`awk'
($3=="
ext2”||$3==”ext3"
)\
{print$2}'
/etc/fstab`;
find$PART—xdev-typed\(-perm—0002-a!
—perm-1000\)—print
若返回值非空,则低于安全要求。
4.2.6查找任何人都有写权限的文件
操作系统Linux文件写权限安全基线要求项
文件系统-查找任何人都有写权限的文件
在系统中定位任何人都有写权限的文件用下面的命令:
forPARTin`grep-v^#/etc/fstab|awk'
($6!
="
0”){print$2}'
`;
find$PART-xdev-typef\(—perm-0002-a!
-perm-1000\)-print
若返回值非空,则低于安全要求。
4.2.7检查没有属主的文件
操作系统Linux文件所有权安全基线要求项
文件系统—检查没有属主的文件
定位系统中没有属主的文件用下面的命令:
forPARTin`grep—v^#/etc/fstab|awk’($6!
0”){print$2}’`;
find$PART—nouser—o-nogroup-print
done
注意:
不用管“/dev”目录下的那些文件
发现没有属主的文件往往就意味着有黑客入侵你的系统了。
不能允许没有属主的文件存在。
如果在系统中发现了没有属主的文件或目录,先查看它的完整性,如果一切正常,给它一个属主.有时候卸载程序可能会出现一些没有属主的文件或目录,在这种情况下可以把这些文件和目录删除掉。
4.2.8检查异常隐含文件
操作系统Linux隐含文件安全基线要求项
文件系统—检查异常隐含文件
检测操