Linux系统安全配置标准V10.docx
《Linux系统安全配置标准V10.docx》由会员分享,可在线阅读,更多相关《Linux系统安全配置标准V10.docx(9页珍藏版)》请在冰豆网上搜索。
Linux系统安全配置标准V10
服务器系统安全加固技术要求
——Linux服务器
中国电信股份有限公司广州研究院
2009年3月
目 录
1补丁
1.1系统补丁
要求及时安装系统补丁。
更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证。
系统补丁安装方法为(以下示例若无特别说明,均以RedHatLinux为例):
使用up2date命令自动升级或在下载对应版本补丁手工单独安装。
对于企业版5及之后的版本,可以直接使用yum工具进行系统补丁升级:
yumupdate
1.2其他应用补丁
除Linux开发商官方提供的系统补丁之外,基于Linux系统开发的服务和应用(如APACHE、PHP、OPENSSL、MYSQL等)也必须安装最新的安全补丁。
以RedHatLinux为例,具体安装方法为:
首先确认机器上安装了gcc及必要的库文件。
然后再应用官方网站下载对应的源代码包,如*.tar.gz,并解压:
tarzxfv*.tar.gz
根据使用情况对编译配置进行修改,或直接采用默认配置。
cd*
./configure
进行编译和安装:
make
makeinstall
注意:
补丁更新要慎重,可能出现硬件不兼容、或者影响当前应用系统的情况。
安装补丁前,应该在测试机上进行测试。
2账号和口令安全配置基线
2.1账号安全控制要求
系统中的临时测试账号、过期无用账号等必须被删除或锁定。
以RedHatLinux为例,设置方法如下:
锁定账号:
/usr/sbin/usermod-L-s/dev/null$name
删除账号:
/usr/sbin/user$name
2.2口令策略配置要求
要求设置口令策略以提高系统的安全性。
例如要将口令策略设置为:
非root用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。
以RedHatLinux为例,可在/etc/login.def文件中进行如下设置:
vi/etc/login.def
PASS_MAX_DAYS90
PASS_MIN_DAYS7
PASS_MIN_LEN6
PASS_WARN_AGE28
2.3root登录策略的配置要求
禁止直接使用root登陆,必须先以普通用户登录,然后再su成root。
禁止root账号远程登录,以RedHatLinux为例,设置方法为:
touch/etc/securetty
echo“console”>/etc/securetty
2.4root的环境变量基线
root环境变量基线设置要求如表2-1所示:
表21root环境变量基线设置
修改文件
安全设置
操作说明
/etc/profile
PATH设置中不含本地目录(.)
1.查看root账号的环境变量,env
2.如果root的PATH变量包含本地目录,则去掉本地目录”.”。
3网络与服务安全配置标准
3.1最小化启动服务
1、Xinetd服务
如果xinetd服务中的服务,都不需要开放,则可以直接关闭xinetd服务。
chkconfig--level12345xinetdoff
2、关闭邮件服务
1)如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。
chkconfig--level12345sendmailoff
2)如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置Sendmail不运行在daemon模式。
编辑/etc/sysconfig/senmail文件,增添以下行:
DAEMON=no
QUEUE=1h
设置配置文件访问权限:
cd/etc/sysconfig
/bin/chownroot:
rootsendmail
/bin/chmod644sendmail
3、关闭图形登录服务(XWindows)
在不需要图形环境进行登录和操作的情况下,要求关闭XWindows。
编辑/etc/inittab文件,修改id:
5:
initdefault:
行为id:
3:
initdefault:
设置配置文件访问权限:
chownroot:
root/etc/inittab
chmod0600/etc/inittab
4、关闭Xfont服务器服务
如果关闭了XWindows服务,则Xfont服务器服务也应该进行关闭。
chkconfigxfsoff
5、关闭其他默认启动服务
系统默认会启动很多不必要的服务,有可能造成安全隐患。
建议关闭以下不必要的服务:
apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcups
chkconfig--level12345服务名off
在关闭上述服务后,应同时对这些服务在系统中的使用的账号(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等)予以锁定或删除。
usermod-L要锁定的用户
3.2最小化xinetd网络服务
1、停止默认服务
要求禁止以下Xinetd默认服务:
chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices
chkconfig服务名off
2、其他
对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用SSH和SSL对原明文的服务进行替换。
如果条件允许,可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。
4文件与目录安全配置
4.1临时目录权限配置标准
临时目录/tmp、/var/tmp必须包含粘置位,以避免普通用户随意删除由其他用户创建的文件。
chmod+t/tmp——为/tmp增加粘置位。
4.2重要文件和目录权限配置标准
在Linux系统中,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc目录为系统配置目录,包括账号文件、系统配置、网络配置文件等,这些目录和文件相对重要。
重要文件及目录的权限配置标准必须按照表4-1进行配置。
表41重要文件和目录权限配置标准列表
文件或目录
属主
属组
权限
/etc/passwd
root
Root
-rw-r--r--
/etc/group
root
Root
-rw-r--r--
/etc/hosts
root
Root
-rw-rw-r--
/etc/inittab
root
Root
-rw-------
4.3umask配置标准
umask命令用于设置新创建文件的权限掩码。
要求编辑/etc/profile文件,设置umask为027;在系统转成信任模式后,可设置umask为077。
4.4SUID/SGID配置标准
SUID/SGID的程序在运行时,将有效用户ID改变为该程序的所有者(组)ID,使得进程拥有了该程序的所有者(组)的特权,因而可能存在一定的安全隐患。
对于这些程序,必须在全部检查后形成基准,并定期对照基准进行检查。
查找此类程序的命令为:
#find/-perm-4000-user0–ls――查找SUID可执行程序
#find/-perm-2000-user0–ls――查找SGID可执行程序
5信任主机的设置
1.原则上关闭所有R系列服务:
rlogin、rsh、rexec
2.对于需要以信任主机方式访问的业务系统,按照表5-1所示方式设置:
表51信任主机的设置方法
修改文件
安全设置
操作说明
1./etc/hosts.equiv
(全局配置文件)
2.~/.rhosts
(单独用户的配置文件)
限定信任的主机、账号
不能有单行的"+"或"++"的配置信息
1.编辑/etc/host.equiv文件或者~/.rhosts文件,不能只采用主机信任的方式,而必须采用账号和主机的方式,删除不必要的信任主机设置。
2.更改/etc/hosts.equiv文件的属性,只允许root可读写。
6系统Banner的配置
要求修改系统banner,以避免泄漏操作系统名称、版本号、主机名称等,并且给出登陆告警信息。
1.修改/etc/issue文件,加入:
ATTENTION:
Youhaveloggedontoasecuredserver..ONLYAuthorizeduserscanaccess..
2.修改/etc/文件,加入:
ATTENTION:
Youhaveloggedontoasecuredserver..ONLYAuthorizeduserscanaccess..
3.修改/etc/inetd.conf文件,在telnet一行的最后,更改telnetd为telnetd–b/etc/issue,增加读取banner参数。
4.重启inetd进程。
Kill–HUP“inetd进程pid”
7内核参数
要求调整以下内核参数,以提高系统安全性:
Ø设置tcp_max_syn_backlog,以限定SYN队列的长度
Ø设置rp_filter为1,打开反向路径过滤功能,防止ip地址欺骗
Ø设置accept_source_route为0,禁止包含源路由的ip包
Ø设置accept_redirects为0,禁止接收路由重定向报文,防止路由表被恶意更改
Ø设置secure_redirects为1,只接受来自网关的“重定向”icmp报文
配置方法为:
编辑/etc/sysctl.conf,增加以下行:
net.ipv4.tcp_max_syn_backlog=4096
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.default.accept_source_route=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.default.secure_redirects=0
设置配置文件权限:
/bin/chownroot:
root/etc/sysctl.conf
/bin/chmod0600/etc/sysctl.conf
在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置。
Ø设置ip_forward为0,禁止ip转发功能
Ø设置send_redirects为0,禁止转发重定向报文
配置方法如下:
编辑/etc/sysctl.conf,增加:
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0
8syslog日志的配置
1.syslog的基线配置要求如表8-1所示:
表81syslog日志安全配置列表
修改文件
安全设置
操作说明
/etc/syslog.conf
配置文件中包含以下日志记录:
*.err/var/adm/errorlog
*.alert/var/adm/alertlog
*.cri/var/adm/critlog
auth,authpriv.info/var/adm/authlog
Syslog的配置文件
/etc/rc.config.d/syslogd
SYSLOGD_OPTS=“-DN”
Syslogd不接收远程主机的日志
2.要求将日志输出至专用日志服务器,或者至少输出至本地文件中。
附件:
选装安全工具
工具名称
TCPWrapper
工具用途
该软件为大多数网络服务提供访问控制与日志记录的功能。
相关信息
工具名称
Tripwire
工具用途
该工具为关键文件创建检验值数据库,当这些关键文件发生变化时,给root以提示信息。
相关信息
工具名称
Lsof
工具用途
该工具报告进程打开的文件、进程侦听的端口等信息。
相关信息
工具名称
SSH
工具用途
该工具为主机间远程通讯提供加密通道。
用来代替rsh、rlogin、telnet等远程登录工具。
相关信息
工具名称
Logwatch
工具用途
该工具为一款系统日志分析工具,比如用户登录失败信息、SSH登录信息、磁盘空间使用等.
相关信息
工具名称
Chkrootkit
工具用途
该工具为一款rootkit检测工具,定期在主机上运行可检测出流行的rootkit。
相关信息
升级会员 