Linux主机操作系统加固规范docWord下载.docx

1、1.1.2 SHG-Linux-01-01-02SHG-Linux-01-01-02去除不需要的帐号、修改默认帐号的shell变量删除系统不需要的默认帐号、更改危险帐号缺省的shell变量允许非法利用系统默认账号cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置# userdel lp# groupdel lp如果下面这些系统默认帐号不需要的话，建议删除。lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，

2、还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改username的shell为/dev/null。恢复账号或者SHELL如上述用户不需要，则锁定。1.1.3 SHG-Linux-01-01-03SHG-Linux-01-01-03限制超级管理员远程登录限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员

3、权限账。允许root远程非法登陆cat /etc/ssh/sshd_configcat /etc/securettySSH:#vi /etc/ssh/sshd_config把PermitRootLogin yes改为PermitRootLogin no重启sshd服务#service sshd restartCONSOLE:在/etc/securetty文件中配置：CONSOLE = /dev/tty01还原配置文件/etc/ssh/sshd_config/etc/ssh/sshd_config 中 PermitRootLogin no1.1.4 SHG-Linux-01-01-04SHG-L

4、inux-01-01-04对系统账号进行登录限制对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。可能利用系统进程默认账号登陆，账号越权使用cat /etc/passwd查看各账号状态。Vi /etc/passwd例如修改lynn:x:500:/home/lynn:/sbin/bash更改为：/sbin/nologin该用户就无法登录了。禁止所有用户登录。touch /etc/nologin除root以外的用户不能登录了。2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等还原/etc/passwd文件配置/et

5、c/passwd中的禁止登陆账号的shell是 /sbin/nologin1.1.5 SHG-Linux-01-01-05SHG-Linux-01-01-05为空口令用户设置密码禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。用户被非法利用cat /etc/passwdawk -F: （$2 = ）print $1 /etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwd test test。Root身份设置用户口令，取消口令如做了口令策略则失败登陆系统判断Cat /etc/passwd1.1.6 SHG-Linux-

6、01-01-06SHG-Linux-01-01-06除root之外UID为0的用户帐号与口令-检查是否存在除root之外UID为0的用户账号权限过大，容易被非法利用（$3 = 0） print $1 删除 处root 以外的 UID 为 0 的用户。无返回值包括“root”以外的条目，则低于安全要求；UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为01.2口令1.2.1 SHG-Linux-01-02-01SHG-Linux-01-02-01缺省密码长度限制防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少8位。增加密码被暴力破解的成功率c

7、at /etc/login.defs# vi /etc/login.defs把下面这行PASS_MIN_LEN 5 改为PASS_MIN_LEN 8vi /etc/login.defs ，修改设置到系统加固前状态。低1.2.2 SHG-Linux-01-02-02SHG-Linux-01-02-02缺省密码生存周期限制对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。密码被非法利用，并且难以管理运行 cat /etc/login.defs 查看状态，并记录。PASS_MAX_DAYS 90PASS_MIN_DAYS 0Vi /etc/login.defs ，修改设

8、置到系统加固前状态。1.2.3 SHG-Linux-01-02-03SHG-Linux-01-02-03口令过期提醒口令到期前多少天开始通知用户口令即将到期PASS_WARN_AGE 71.3文件与授权1.3.1 SHG-Linux-01-03-01SHG-Linux-01-03-01设置关键目录的权限在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。非法访问文件运行ls al /etc/ 记录关键目录的权限通过chmod命令对目录的权限进行实际设置。etc/passwd 必须所有用户都可读，root用户可写 rw-rr/etc/shadow 只有root可读 r- /etc/g

9、roup 必须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w /etc通过chmod命令还原目录权限到加固前状态。rootlocalhost sysconfig# ls -al /etc/passwd | grep .-.-.-rw-r-r- 1 root 1647 3 7 19:05 /etc/passwdrootlocalhost sysconfi

10、g# ls -al /etc/group | grep -rw-r-r- 1 root 624 304 /etc/grouprootlocalhost sysconfig# ls -al /etc/shadow | grep .-r- 1 root 1140 306 /etc/shadow1.3.2 SHG-Linux-01-03-02SHG-Linux-01-03-02修改umask值控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。非法访问目录more /etc/profilemore /

11、etc/csh.loginmore /etc/csh.cshrcmore /etc/bashrc检查是否包含umask值设置默认权限：vi /etc/profilevi /etc/csh.loginvi /etc/csh.cshrcvi /etc/bashrc在末尾增加umask 027修改文件或目录的权限，操作举例如下：#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限；如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置3、补充说明umask的默认设置一般为022，这给新创建

12、的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。修改 文件到加固前状态。umask 0271.3.3 SHG-Linux-01-03-03SHG-Linux-01-03-03资源限制限制用户对系统资源的使用，可以避免拒绝服务（如：创建很多进程、消耗系统的内存，等等）这种攻击方式。这些限制必须在用户登录之前设定。拒绝服务攻击C

13、at /etc/security/limits.confCat /etc/pam.d/login第一步编辑“limits.conf”文件（vi /etc/security/limits.conf），加入或改变下面这些行：* soft core 0* hard core 0* hard rss 5000* hard nproc 20如果限制limitu用户组对主机资源的使用，加入：limitu soft core 0limitu hard nproc 30limitu - maxlogins 5这些行的的意思是：“core 0”表示禁止创建core文件；“nproc 20”把最多进程数限制到20

14、；“rss 5000”表示除了root之外，其他用户都最多只能用5M内存。上面这些都只对登录到系统中的用户有效。通过上面这些限制，就能更好地控制系统中的用户对进程、core文件和内存的使用情况。星号“*”表示的是所有登录到系统中的用户。第二步必须编辑“/etc/pam.d/login”文件，在文件末尾加入下面这一行：session required /lib/security/pam_limits.so补充说明：加入这一行后“/etc/pam.d/login”文件是这样的：#%PAM-1.0auth required /lib/security/pam_securetty.soauth req

15、uired /lib/security/pam_pwdb.so shadow nullokauth required /lib/security/pam_nologin.soaccount required /lib/security/pam_pwdb.sopassword required /lib/security/pam_cracklib.sopassword required /lib/security/pam_pwdb.so nullok use_authtok md5 shadowsession required /lib/security/pam_pwdb.so#session

16、optional /lib/security/pam_console.sodaemon统计进程数量ps ax | grep httpd | wc -l/etc/security/limits.conf/etc/pam.d/login恢复加固前状态/etc/security/limits.conf 中包含hard core 0* hard nproc 20的定义/etc/pam.d/login中包含1.3.4 SHG-Linux-01-03-04SHG-Linux-01-03-04设置目录权限设置目录权限，防止非法访问目录。查看重要文件和目录权限：ls l并记录。ls l更改权限：对于重要目录，

17、建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。使用chmod 命令还原被修改权限的目录。判断 /etc/init.d/* 下的文件权限750以下1.3.5 SHG-Linux-01-03-05SHG-Linux-01-03-05设置关键文件的属性增强关键文件的属性，减少安全隐患。使messages文件只可追加。使轮循的messages文件不可更改。非法访问目录,或者删除日志# lsattr /var/log/messages# lsattr /var/log/messages.*# lsattr /etc/sha

18、dow# lsattr /etc/passwd# lsattr /etc/group# chattr +a /var/log/messages# chattr +i /var/log/messages.*# chattr +i /etc/shadow# chattr +i /etc/passwd# chattr +i /etc/group建议管理员对关键文件进行特殊设置（不可更改或只能追加等）。使用chattr 命令还原被修改权限的目录。判断属性1.3.6 SHG-Linux-01-03-06SHG-Linux-01-03-06对root为ls、rm设置别名为ls设置别名使得root可以清楚的

19、查看文件的属性（包括不可更改等特殊属性）。为rm设置别名使得root在删除文件时进行确认，避免误操作。非法执行指令查看当前shell：# echo $SHELL如果是csh：# vi /.cshrc如果是bash：# vi /.bashrc加入alias ls ls -aolalias rm rm -i重新登录之后查看是否生效。alias rm =rm i类似的定义1.3.7 SHG-Linux-01-03-07SHG-Linux-01-03-07使用PAM禁止任何人su为root避免任何人可以su为root，减少安全隐患。用户提权cat /etc/pam.d/su编辑su文件（vi /etc

20、/pam.d/su），在开头添加下面两行：auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为：# chmod G10 username恢复/etc/pam.d/su到加固前状态。Cat /etc/pam.d/su1.3.8 SHG-Linux-01-03-08SHG-Linux-01-03-08查看/tmp目录

21、属性开放tmp目录的权限用户没有完整进入该目录，去浏览、删除和移动文件的权限ls -al / | grep tmpChmod +t /tmpT或T（Sticky）：/tmp和 /var/tmp目录供所有用户暂时存取文件，亦即每位用户皆拥有完整的权限进入该目录，去浏览、删除和移动文件。Chmod 回复加固之前的状态# ls -al / | grep tmpdrwxrwxrwt 7 root 4096 May 11 20:07 tmp/2日志配置2.1.1 SHG-Linux-02-01-01SHG-Linux-02-01-01启用日志记录功能登陆认证服务记录无法对用户的登陆进行日志记录运行 cat /etc/syslog.conf查看状态，并记录。cat /etc/syslog.conf# The authpriv file has restricted access.authpriv.* /var/log/secure* auth, authpriv：主要认证有关机制，例如 telnet, login, ssh 等需要认证的服务都是使用此一机制vi /etc/syslog.conf ，修改设置到系统加固前状态。2.1.2 SHG-Linux-02-01-02SHG-Linu