1、linux系统安全加固规范Linux主机操作系统加固规范第1章 概述 31.1目的 错误!未定义书签。1.2适用范围 错误!未定义书签。1.3适用版本 错误!未定义书签。1.4实施 错误!未定义书签。1.5例外条款 错误!未定义书签。第2章 账号管理、认证授权 42.1账号 42.1.1用户口令设置 42.1.2root用户远程登录限制 42.1.3检查是否存在除root之外UID为0的用户 52.1.4root用户环境变量的安全性 52.2认证 错误!未定义书签。2.2.1远程连接的安全性配置 62.2.2用户的umask安全配置 62.2.3重要目录和文件的权限设置 62.2.4查找未授权
2、的SUID/SGID文件 72.2.5检查任何人都有写权限的目录 82.2.6查找任何人都有写权限的文件 82.2.7检查没有属主的文件 92.2.8检查异常隐含文件 9第3章 日志审计 113.1日志 113.1.1syslog 登录事件记录 113.2审计 113.2.1Syslog.conf 的配置审核 11第4章 系统文件 134.1系统状态 134.1.1系统 core dump 状态 13第1章概述1.1适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。1.2适用版本LINUX系列服务器;第2章 账号管理、认证授权2.1账号2.1.1用户口令设置安全基线
3、 项目名称操作系统Linux用户口令安全基线要求项安全基线 编号SBL-Li nux-02-01-01安全基线 项说明帐号与口令-用户口令设置检测操作 步骤1、 询问管理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root12342、 执行:more /etc/login,检杳PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE 参数3、 执行:awk -F: ($2 = ) print $1 /etc/shadow, 检杳是否存在空口令账号基线符合 性判定依据建议在 /etc/log
4、in 文件中配置:PASS_MIN_LEN=6不允许存在简单密码,密码设置符合策略,如长度至少为 6不存在空口令账号备注2.1.2 root用户远程登录限制安全基线 项目名称操作系统Linux远程登录安全基线要求项安全基线 编号SBL-Li nux-02-01-02安全基线 项说明帐号与口令-root用户远程登录限制检测操作 步骤执行:more /etc/securetty,检杳 Con sole 参数基线符合 性判定依据建议在 /etc/securetty 文件中配置:CONSOLE = /dev/tty01备注2.1.3 检查是否存在除root之外UID为0的用户安全基线 项目名称操作系统
5、Linux超级用户策略安全基线要求项安全基线 编号SBL-Li nux-02-01-03安全基线 项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作 步骤执行:awk -F: ($3 = 0) print $1 /etc/passwd基线符合 性判定依据返回值包括“ root”以外的条目,则低于安全要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID 为 02.1.4 root用户环境变量的安全性安全基线 项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线 编号SBL-L inu x-02-01-04安全基线 项说明帐号与
6、口令-root用户环境变量的安全性检测操作 步骤执行:echo $PATH | egrep (八|:)(.|:|$),检查是否包含父目录, 执行:find echo $PATH | tr : 、-type d ( -perm -002 -o -perm -020 ) -Is,检查是否包含组目录权限为 777的目录基线符合 性判定依据返回值包含以上条件,则低于安全要求;find echo $PATH | tr : 、-type d ( -perm -777 -o -perm -777 ) -Is注补充操作说明确保root用户的系统路径中不包含父目录, 在非必要的情况下,不应包含组权限为777的目
7、录2.1.5远程连接的安全性配置安全基线 项目名称操作系统Linux远程连接安全基线要求项安全基线 编号SBL-L inu x-02-02-01安全基线 项说明帐号与口令-远程连接的安全性配置检测操作 步骤执行:find / -name .netrc,检杳系统中是否有.netrc文件,执行:find / -name .rhosts ,检杳系统中是否有.rhosts文件基线符合 性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明如无必要,删除这两个文件2.1.6 用户的umask安全配置安全基线 项目名称操作系统Linux用户umask安全基线要求项安全基线 项说明帐号与口令-用户的
8、umask安全配置检测操作 步骤执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrcmore /etc/bashrc检杳是否包含umask值基线符合 性判定依 据umask值是默认的,则低于安全要求备注补充操作说明直接vi /etc/bashrc建议设置用户的默认umask=077 数据库机器不装。2.1.7重要目录和文件的权限设置安全基线 项目名称操作系统Linux目录文件权限安全基线要求项安全基线 编号SBL-L inu x-02-02-03安全基线 项说明文件系统-重要目录和文件的权限设置检测操作执行以下命令检查目录和文
9、件的权限设置情况:步骤Is-/etc/Is-/etc/rc.d/i ni t.d/Is-/tmpIs-/etc/i netd.co nfIs-/etc/passwdIs-/etc/shadowIs-/etc/groupIs-/etc/securityIs-/etc/servicesIs-I/etc/rc*.d基线符合 性判定依据若权限过低,贝血于安全要求;备注补充操作说明对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2.1.8 查找未授权的SUID/SGID文件安全基线 项目名称操作系统L
10、inux SUID/SGID文件安全基线要求项安全基线 编号SBL-L inu x-02-02-04安全基线 项说明文件系统-查找未授权的SUID/SGID文件检测操作 步骤用下面的命令查找系统中所有的 SUID和SGID程序,执行: for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、; do find / ( -perm -04000 -o -perm -02000 ) -type f -xdev -pri nt Done基线符合 性判定依据若存在未授权的文件,则低于安全要求;备注补充操作说明建议经常性的对比suid/sg
11、id文件列表,以便能够及时发现可疑的 后门程序2.1.9检查任何人都有写权限的目录安全基线 项目名称操作系统Linux目录写权限安全基线要求项安全基线 编号SBL-L inu x-02-02-05安全基线 项说明文件系统-检查任何人都有写权限的目录检测操作 步骤在系统中定位任何人都有写权限的目录用下面的命令:for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合 性判定依据若返回值非空,则
12、低于安全要求;备注2.1.10查找任何人都有写权限的文件安全基线 项目名称操作系统Linux文件写权限安全基线要求项安全基线 编号SBL-L inu x-02-02-06安全基线 项说明文件系统-查找任何人都有写权限的文件检测操作 步骤在系统中定位任何人都有写权限的文件用下面的命令:for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、; do find $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -print Done基线符合 性判定依据若返回值非空,则低于安全要求
13、;备注2.1.11检查没有属主的文件安全基线 项目名称操作系统Linux文件所有权安全基线要求项安全基线 编号SBL-L inu x-02-02-07安全基线 项说明文件系统-检查没有属主的文件检测操作 步骤定位系统中没有属主的文件用下面的命令:for PART in grep -v A# /etc/fstab | awk ($6 != 0) print $2 、; do find $PART -no user -o -no group -pri nt done注意:不用管“ /dev”目录下的那些文件。基线符合 性判定依据若返回值非空,则低于安全要求;备注补充操作说明发现没有属主的文件往往就
14、意味着有黑客入侵你的系统了。不能允 许没有主人的文件存在。如果在系统中发现了没有主人的文件或目 录,先查看它的完整性,如果一切正常,给它一个主人。有时候卸 载程序可能会出现一些没有主人的文件或目录,在这种情况下可以 把这些文件和目录删除掉。2.1.12检查异常隐含文件安全基线 项目名称操作系统Linux隐含文件安全基线要求项安全基线 编号SBL-L inu x-02-02-08安全基线 项说明文件系统-检查异常隐含文件检测操作 步骤用“find”程序可以查找到这些隐含文件。例如:#find / -n ame . * -pri nt -(dev#find / -n ame * -pri nt -
15、xdev | cat -v同时也要注意象“ .xx”和“.mail ”这样的文件名的。(这些文件名 看起来都很象正常的文件名)基线符合若返回值非空,则低于安全要求;性判定依 据备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始 字符的,用“Is”命令看不到的文件),因为这些文件可能是隐藏的 黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件, 等等)。在UNIX下,一个常用的技术就是用一些特殊的名,如:“”、“. ”(点点空格)或“ .AG ”(点点control-G),来隐含文件或目录。第3章日志审计3.1日志3.1.1 syslog 登录事件记录安全基线 项
16、目名称操作系统Linux登录审计安全基线要求项安全基线 编号SBL-Li nux-03-01-01安全基线 项说明日志审计-syslog登录事件记录检测操作 步骤执行命令: more /etc/syslog.c onf 查看参数authpriv值基线符合 性判定依据若未对所有登录事件都记录,则低于安全要求;备注3.2审计3.2.1 Syslog.co nf 的配置审核安全基线 项目名称操作系统Linux配置审计安全基线要求项安全基线 编号SBL-L inu x-03-02-01安全基线 项说明日志审计-Syslog.conf的配置审核检测操作 步骤执行:more /etc/syslog.con
17、f,查看是否设置了下列项: kern.warni ng;*.err;authpriv. non etloghost*.i nfo;mail. non e;authpriv. non e;cro n.non etloghost *.emergtloghostIocal7.*tloghost基线符合若未设置,则低于安全要求;性判定依据备注补充操作说明建议配置专门的日志服务器,加强日志信息的异地同步备份第4章系统文件4.1系统状态4.1.1 系统 core dump 状态安全基线 项目名称操作系统Linux core dump 状态安全基线要求项安全基线 编号SBL-Li nux-04-01-01安全基线 项说明系统文件-系统core dump状态检测操作 步骤执行:more /etc/security/limits.conf 检杳是否包含下列项:*soft core 0*hard core 0基线符合 性判定依 据若不存在,则低于安全要求备注补充操作说明core dump中可能包括系统信息,易被入侵者利用,建议关闭
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1