Linux主机操作系统加固规范docWord下载.docx

资源描述

Linux主机操作系统加固规范docWord下载.docx

《Linux主机操作系统加固规范docWord下载.docx》由会员分享，可在线阅读，更多相关《Linux主机操作系统加固规范docWord下载.docx（76页珍藏版）》请在冰豆网上搜索。

Linux主机操作系统加固规范docWord下载.docx

1.1.2SHG-Linux-01-01-02

SHG-Linux-01-01-02

去除不需要的帐号、修改默认帐号的shell变量

删除系统不需要的默认帐号、更改危险帐号缺省的shell变量

允许非法利用系统默认账号

cat/etc/passwd记录当前用户列表，cat/etc/shadow记录当前密码配置

#userdellp

#groupdellp

如果下面这些系统默认帐号不需要的话，建议删除。

lp,sync,shutdown,halt,news,uucp,operator,games,gopher

修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。

可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等，也可以使用usermod-s/dev/nullusername命令来更改username的shell为/dev/null。

恢复账号或者SHELL

如上述用户不需要，则锁定。

1.1.3SHG-Linux-01-01-03

SHG-Linux-01-01-03

限制超级管理员远程登录

限制具备超级管理员权限的用户远程登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。

允许root远程非法登陆

cat/etc/ssh/sshd_config

cat/etc/securetty

SSH:

#vi/etc/ssh/sshd_config

把

PermitRootLoginyes

改为

PermitRootLoginno

重启sshd服务

#servicesshdrestart

CONSOLE:

在/etc/securetty文件中配置：

CONSOLE=/dev/tty01

还原配置文件

/etc/ssh/sshd_config

/etc/ssh/sshd_config中PermitRootLoginno

1.1.4SHG-Linux-01-01-04

SHG-Linux-01-01-04

对系统账号进行登录限制

对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。

可能利用系统进程默认账号登陆，账号越权使用

cat/etc/passwd查看各账号状态。

Vi/etc/passwd

例如修改

lynn:

500:

/home/lynn:

/sbin/bash

更改为：

/sbin/nologin

该用户就无法登录了。

禁止所有用户登录。

touch/etc/nologin

除root以外的用户不能登录了。

2、补充操作说明

禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等

还原/etc/passwd文件配置

/etc/passwd中的禁止登陆账号的shell是/sbin/nologin

★

1.1.5SHG-Linux-01-01-05

SHG-Linux-01-01-05

为空口令用户设置密码

禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。

用户被非法利用

cat/etc/passwd

awk-F:

（$2=="

）{print$1}'

/etc/passwd

用root用户登陆Linux系统，执行passwd命令，给用户增加口令。

例如：

passwdtesttest。

Root身份设置用户口令，取消口令

如做了口令策略则失败

登陆系统判断

Cat/etc/passwd

1.1.6SHG-Linux-01-01-06

SHG-Linux-01-01-06

除root之外UID为0的用户

帐号与口令-检查是否存在除root之外UID为0的用户

账号权限过大，容易被非法利用

（$3==0）{print$1}'

删除处root以外的UID为0的用户。

无

返回值包括“root”以外的条目，则低于安全要求；

UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0

1.2口令

1.2.1SHG-Linux-01-02-01

SHG-Linux-01-02-01

缺省密码长度限制

防止系统弱口令的存在，减少安全隐患。

对于采用静态口令认证技术的设备，口令长度至少8位。

增加密码被暴力破解的成功率

cat/etc/login.defs

#vi/etc/login.defs

把下面这行

PASS_MIN_LEN5改为

PASS_MIN_LEN8

vi/etc/login.defs，修改设置到系统加固前状态。

低

1.2.2SHG-Linux-01-02-02

SHG-Linux-01-02-02

缺省密码生存周期限制

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。

密码被非法利用，并且难以管理

运行cat/etc/login.defs查看状态，并记录。

PASS_MAX_DAYS90

PASS_MIN_DAYS0

Vi/etc/login.defs，修改设置到系统加固前状态。

1.2.3SHG-Linux-01-02-03

SHG-Linux-01-02-03

口令过期提醒

口令到期前多少天开始通知用户口令即将到期

PASS_WARN_AGE7

1.3文件与授权

1.3.1SHG-Linux-01-03-01

SHG-Linux-01-03-01

设置关键目录的权限

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

非法访问文件

运行ls–al/etc/记录关键目录的权限

通过chmod命令对目录的权限进行实际设置。

etc/passwd必须所有用户都可读，root用户可写–rw-r—r—

/etc/shadow只有root可读–r--------

/etc/group必须所有用户都可读，root用户可写–rw-r—r—

使用如下命令设置：

chmod644/etc/passwd

chmod600/etc/shadow

chmod644/etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）

执行命令#chmod-Rgo-w/etc

通过chmod命令还原目录权限到加固前状态。

[root@localhostsysconfig]#ls-al/etc/passwd|grep'

^...-.--.--'

-rw-r--r--1root16473Ô

719:

05/etc/passwd

[root@localhostsysconfig]#ls-al/etc/group|grep'

-rw-r--r--1root6243Ô

04/etc/group

[root@localhostsysconfig]#ls-al/etc/shadow|grep'

^...-------'

-r--------1root11403Ô

06/etc/shadow

1.3.2SHG-Linux-01-03-02

SHG-Linux-01-03-02

修改umask值

控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。

防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

非法访问目录

more/etc/profile

more/etc/csh.login

more/etc/csh.cshrc

more/etc/bashrc

检查是否包含umask值

设置默认权限：

vi/etc/profile

vi/etc/csh.login

vi/etc/csh.cshrc

vi/etc/bashrc

在末尾增加umask027

修改文件或目录的权限，操作举例如下：

#chmod444dir;

#修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；

对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

修改

文件到加固前状态。

umask027

1.3.3SHG-Linux-01-03-03

SHG-Linux-01-03-03

资源限制

限制用户对系统资源的使用，可以避免拒绝服务（如：

创建很多进程、消耗系统的内存，等等）这种攻击方式。

这些限制必须在用户登录之前设定。

拒绝服务攻击

Cat/etc/security/limits.conf

Cat/etc/pam.d/login

✧第一步

编辑“limits.conf”文件

（vi/etc/security/limits.conf），加入或改变下面这些行：

*softcore0

*hardcore0

*hardrss5000

*hardnproc20

如果限制limitu用户组对主机资源的使用，

加入：

@limitusoftcore0

@limituhardnproc30

@limitu-maxlogins5

这些行的的意思是：

“core0”表示禁止创建core文件；

“nproc20”把最多进程数限制到20；

“rss5000”表示除了root之外，其他用户都最多只能用5M内存。

上面这些都只对登录到系统中的用户有效。

通过上面这些限制，就能更好地控制系统中的用户对进程、core文件和内存的使用情况。

星号“*”表示的是所有登录到系统中的用户。

✧第二步

必须编辑“/etc/pam.d/login”文件，在文件末尾加入下面这一行：

sessionrequired/lib/security/pam_limits.so

补充说明：

加入这一行后“/etc/pam.d/login”文件是这样的：

#%PAM-1.0

authrequired/lib/security/pam_securetty.so

authrequired/lib/security/pam_pwdb.soshadownullok

authrequired/lib/security/pam_nologin.so

accountrequired/lib/security/pam_pwdb.so

passwordrequired/lib/security/pam_cracklib.so

passwordrequired/lib/security/pam_pwdb.sonullokuse_authtokmd5shadow

sessionrequired/lib/security/pam_pwdb.so

#sessionoptional/lib/security/pam_console.sodaemon

统计进程数量

psax|grephttpd|wc-l

/etc/security/limits.conf

/etc/pam.d/login

恢复加固前状态

/etc/security/limits.conf中包含

hardcore0

*hardnproc20的定义

/etc/pam.d/login中包含

1.3.4SHG-Linux-01-03-04

SHG-Linux-01-03-04

设置目录权限

查看重要文件和目录权限：

ls–l并记录。

ls–l

更改权限：

对于重要目录，建议执行如下类似操作：

#chmod-R750/etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

使用chmod命令还原被修改权限的目录。

判断/etc/init.d/*下的文件权限750以下

1.3.5SHG-Linux-01-03-05

SHG-Linux-01-03-05

设置关键文件的属性

增强关键文件的属性，减少安全隐患。

使messages文件只可追加。

使轮循的messages文件不可更改。

非法访问目录,或者删除日志

#lsattr/var/log/messages

#lsattr/var/log/messages.*

#lsattr/etc/shadow

#lsattr/etc/passwd

#lsattr/etc/group

#chattr+a/var/log/messages

#chattr+i/var/log/messages.*

#chattr+i/etc/shadow

#chattr+i/etc/passwd

#chattr+i/etc/group

建议管理员对关键文件进行特殊设置（不可更改或只能追加等）。

使用chattr命令还原被修改权限的目录。

判断属性

★★

1.3.6SHG-Linux-01-03-06

SHG-Linux-01-03-06

对root为ls、rm设置别名

为ls设置别名使得root可以清楚的查看文件的属性（包括不可更改等特殊属性）。

为rm设置别名使得root在删除文件时进行确认，避免误操作。

非法执行指令

查看当前shell：

#echo$SHELL

如果是csh：

#vi~/.cshrc

如果是bash：

#vi~/.bashrc

加入

aliaslsls-aol

aliasrmrm-i

重新登录之后查看是否生效。

aliasrm=’rm–i’

类似的定义

1.3.7SHG-Linux-01-03-07

SHG-Linux-01-03-07

使用PAM禁止任何人su为root

避免任何人可以su为root，减少安全隐患。

用户提权

cat/etc/pam.d/su

编辑su文件（vi/etc/pam.d/su），在开头添加下面两行：

authsufficient/lib/security/pam_rootok.soauthrequired/lib/security/pam_wheel.sogroup=wheel

这表明只有wheel组的成员可以使用su命令成为root用户。

你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。

添加方法为：

#chmod–G10username

恢复/etc/pam.d/su到加固前状态。

Cat/etc/pam.d/su

1.3.8SHG-Linux-01-03-08

SHG-Linux-01-03-08

查看/tmp目录属性

开放tmp目录的权限

用户没有完整进入该目录，去浏览、删除和移动文件的权限

ls-al/|greptmp

Chmod+t/tmp

T或T（Sticky）：

/tmp和/var/tmp目录供所有用户暂时存取文件，亦即每位用户皆拥有完整的权限进入该目录，去浏览、删除和移动文件。

Chmod回复加固之前的状态

#ls-al/|greptmp

drwxrwxrwt7root4096May1120:

07tmp/

2日志配置

2.1.1SHG-Linux-02-01-01

SHG-Linux-02-01-01

启用日志记录功能

登陆认证服务记录

无法对用户的登陆进行日志记录

运行cat/etc/syslog.conf查看状态，并记录。

cat/etc/syslog.conf

#Theauthprivfilehasrestrictedaccess.

authpriv.*/var/log/secure

*auth,authpriv：

主要认证有关机制，例如telnet,login,ssh等需要认证的服务都是使用此一机制

vi/etc/syslog.conf，修改设置到系统加固前状态。

2.1.2SHG-Linux-02-01-02

SHG-Linu

展开阅读全文