1、 Linux 系統(tǒng)安全配置基線第 0 頁 共 18 頁LinuxLinux 系統(tǒng)安全配置基線系統(tǒng)安全配置基線 Linux 系統(tǒng)安全配置基線第 1 頁 共 18 頁版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V1.0創(chuàng)建2009 年 1 月V2.0更新2012 年 4 月備注：備注：1. 若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。 Linux 系統(tǒng)安全配置基線第 2 頁 共 18 頁目目 錄錄第第 1 章章概述概述.41.1目的.41.2適用范圍.41.3適用版本.41.4實施.41.5例外條款.4第第 2 章章帳號管理、認證授權(quán)帳號管理、

2、認證授權(quán).52.1帳號.52.1.1用戶口令設(shè)置.52.1.2用戶口令強度要求.52.1.3用戶鎖定策略.62.1.4root用戶遠程登錄限制.62.1.5檢查是否存在除root之外UID為0的用戶.72.1.6root用戶環(huán)境變量的安全性.72.2認證.82.2.1遠程連接的安全性配置.82.2.2用戶的umask安全配置.82.2.3重要目錄和文件的權(quán)限設(shè)置.82.2.4查找未授權(quán)的SUID/SGID文件*.92.2.5檢查任何人都有寫權(quán)限的目錄*.102.2.6查找任何人都有寫權(quán)限的文件*.102.2.7檢查沒有屬主的文件*.112.2.8檢查異常隱含文件*.112.2.9登錄超時設(shè)置.

3、122.2.10使用SSH遠程登錄.122.2.11Root遠程登錄限制.132.2.12關(guān)閉不必要的服務(wù)*.13第第 3 章章日志審計日志審計.153.1日志.153.1.1syslog登錄事件記錄* .153.2審計.153.2.1Syslog.conf的配置審核*.15第第 4 章章系統(tǒng)文件系統(tǒng)文件.174.1系統(tǒng)狀態(tài).174.1.1系統(tǒng)core dump狀態(tài).17第第 5 章章評審與修訂評審與修訂.18 Linux 系統(tǒng)安全配置基線第 3 頁 共 18 頁第第 1 章章概述概述1.1 目的目的本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行 LINUX 操作系統(tǒng)的安全合規(guī)性檢查和配置。1.

4、2 適用范圍適用范圍本配置標準的使用者包括：服務(wù)器系統(tǒng)管理員、應用管理員、網(wǎng)絡(luò)安全管理員。1.3 適用版本適用版本LINUX 系列服務(wù)器。1.4 實施實施1.5 例外條款例外條款 Linux 系統(tǒng)安全配置基線第 4 頁 共 18 頁第第 2 章章帳號管理、認證授權(quán)帳號管理、認證授權(quán)2.1 帳號帳號2.1.1 用戶口令設(shè)置用戶口令設(shè)置安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 用戶口令設(shè)置安全基線要求項安全基線編安全基線編號號SBL-Linux-02-01-01 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，帳戶口令的生存期不長于 90 天。檢測操作步檢測操作步驟驟1、

5、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root, test/test, root/root12342、執(zhí)行：more /etc/login.defs，檢查 PASS_MAX_DAYS/ PASS_MIN_DAYS/PASS_WARN_AGE 參數(shù)3、執(zhí)行：awk -F: ($2 = ) print $1 /etc/shadow, 檢查是否存在空口令帳號基線符合性基線符合性判定依據(jù)判定依據(jù)建議在/etc/login.defs 文件中配置：PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)PASS_WA

6、RN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)不存在空口令帳號備注備注2.1.2 用戶口令強度要求用戶口令強度要求安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 用戶口令強度安全基線要求項安全基線編安全基線編號號SBL-Linux-02-01-02 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少 8 位，并包括數(shù)字、小寫 Linux 系統(tǒng)安全配置基線第 5 頁 共 18 頁字母、大寫字母和特殊符號 4 類中至少 2 類。檢測操作步檢測操作步驟驟/etc/pam.d/system-auth 文件中是否對 pam_cracklib.so 的參數(shù)進行了正確設(shè)置。

7、基線符合性基線符合性判定依據(jù)判定依據(jù)建議在/etc/pam.d/system-auth 文件中配置：password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=1 至少 8 位，包含一位大寫字母，一位小寫字母和一位數(shù)字備注備注2.1.3 用戶鎖定策略用戶鎖定策略安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 用戶口令鎖定策略安全基線要求項安全基線編安全基線編號號SBL-Linux-02-01-03 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應配置當用戶連續(xù)認證失敗次

8、數(shù)超過10 次，鎖定該用戶使用的帳號。檢測操作步檢測操作步驟驟/etc/pam.d/system-auth 文件中是否對 pam_tally.so 的參數(shù)進行了正確設(shè)置?；€符合性基線符合性判定依據(jù)判定依據(jù)設(shè)置連續(xù)輸錯 10 次密碼，帳號鎖定 5 分鐘，使用命令“vi /etc/pam.d/ system-auth”修改配置文件，添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300注：解鎖用戶 faillog -u -r備注備注2.1.4 root 用戶遠程登錄限制用戶遠程登錄限制安全基線項安全基線項目名稱目名稱操作系統(tǒng)

9、 Linux 遠程登錄安全基線要求項安全基線編安全基線編號號SBL-Linux-02-01-04 安全基線項安全基線項說明說明 帳號與口令-root 用戶遠程登錄限制 Linux 系統(tǒng)安全配置基線第 6 頁 共 18 頁檢測操作步檢測操作步驟驟執(zhí)行：more /etc/securetty，檢查 Console 參數(shù)基線符合性基線符合性判定依據(jù)判定依據(jù)建議在/etc/securetty 文件中配置：CONSOLE = /dev/tty01備注備注2.1.5 檢查是否存在除檢查是否存在除 root 之外之外 UID 為為 0 的用戶的用戶安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 超級用

10、戶策略安全基線要求項安全基線編安全基線編號號SBL-Linux-02-01-05 安全基線項安全基線項說明說明 帳號與口令-檢查是否存在除 root 之外 UID 為 0 的用戶檢測操作步檢測操作步驟驟執(zhí)行：awk -F: ($3 = 0) print $1 /etc/passwd基線符合性基線符合性判定依據(jù)判定依據(jù)返回值包括“root”以外的條目，則低于安全要求；備注備注補充操作說明UID 為 0 的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有 root 用戶的 UID 為02.1.6 root 用戶環(huán)境變量的安全性用戶環(huán)境變量的安全性安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 超級用戶

11、環(huán)境變量安全基線要求項安全基線編安全基線編號號SBL-Linux-02-01-06 安全基線項安全基線項說明說明 帳號與口令-root 用戶環(huán)境變量的安全性檢測操作步檢測操作步驟驟執(zhí)行：echo $PATH | egrep (|:)(.|:|$)，檢查是否包含父目錄，執(zhí)行：find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls，檢查是否包含組目錄權(quán)限為 777 的目錄基線符合性基線符合性判定依據(jù)判定依據(jù)返回值包含以上條件，則低于安全要求；備注備注補充操作說明確保 root 用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不

12、應包含組權(quán)限為 777 的目錄 Linux 系統(tǒng)安全配置基線第 7 頁 共 18 頁2.2 認證認證2.2.1 遠程連接的安全性配置遠程連接的安全性配置安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 遠程連接安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-01 安全基線項安全基線項說明說明 帳號與口令-遠程連接的安全性配置檢測操作步檢測操作步驟驟執(zhí)行：find / -name .netrc，檢查系統(tǒng)中是否有.netrc 文件，執(zhí)行：find / -name .rhosts ，檢查系統(tǒng)中是否有.rhosts 文件基線符合性基線符合性判定依據(jù)判定依據(jù)返回值包含以上條件，

13、則低于安全要求；備注備注補充操作說明如無必要，刪除這兩個文件2.2.2 用戶的用戶的 umask 安全配置安全配置安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 用戶 umask 安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-02 安全基線項安全基線項說明說明 帳號與口令-用戶的 umask 安全配置檢測操作步檢測操作步驟驟執(zhí)行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 檢查是否包含 umask 值且 umask=027基線符合性基線符合性判定依據(jù)判定依據(jù)u

14、mask 值是默認的，則低于安全要求備注備注補充操作說明建議設(shè)置用戶的默認 umask=0272.2.3 重要目錄和文件的權(quán)限設(shè)置重要目錄和文件的權(quán)限設(shè)置安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 目錄文件權(quán)限安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-03 Linux 系統(tǒng)安全配置基線第 8 頁 共 18 頁安全基線項安全基線項說明說明 文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置檢測操作步檢測操作步驟驟執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.conf

15、ls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基線符合性基線符合性判定依據(jù)判定依據(jù)若權(quán)限過低，則低于安全要求；備注備注補充操作說明對于重要目錄，建議執(zhí)行如下類似操作：# chmod -R 750 /etc/rc.d/init.d/*這樣只有 root 可以讀、寫和執(zhí)行這個目錄下的腳本。2.2.4 查找未授權(quán)的查找未授權(quán)的 SUID/SGID 文件文件*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux SUID/SGID 文件安全基線要求項安

16、全基線編安全基線編號號SBL-Linux-02-02-04 安全基線項安全基線項說明說明 文件系統(tǒng)-查找未授權(quán)的 SUID/SGID 文件檢測操作步檢測操作步驟驟用下面的命令查找系統(tǒng)中所有的 SUID 和 SGID 程序，執(zhí)行：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基線符合性基線符合性判定依據(jù)判定依據(jù)若存在未授權(quán)的文件，則低于安全要求； Linux 系統(tǒng)安全配置基線第 9 頁

17、 共 18 頁備注備注需要手工檢查。補充操作說明建議經(jīng)常性的對比 suid/sgid 文件列表，以便能夠及時發(fā)現(xiàn)可疑的后門程序2.2.5 檢查任何人都有寫權(quán)限的目錄檢查任何人都有寫權(quán)限的目錄*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 目錄寫權(quán)限安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-05 安全基線項安全基線項說明說明 文件系統(tǒng)-檢查任何人都有寫權(quán)限的目錄檢測操作步檢測操作步驟驟在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofi

18、nd $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注需要手工檢查。2.2.6 查找任何人都有寫權(quán)限的文件查找任何人都有寫權(quán)限的文件*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 文件寫權(quán)限安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-06 安全基線項安全基線項說明說明 文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測操作步檢測操作步驟驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：for PART in grep -

19、v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注需要手工檢查。 Linux 系統(tǒng)安全配置基線第 10 頁 共 18 頁2.2.7 檢查沒有屬主的文件檢查沒有屬主的文件*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 文件所有權(quán)安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-07 安全基線項安全基線項說明說明 文件系統(tǒng)-檢

20、查沒有屬主的文件檢測操作步檢測操作步驟驟定位系統(tǒng)中沒有屬主的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -nouser -o -nogroup -printdone注意：不用管“/dev”目錄下的那些文件。基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注需要手工檢查。補充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有主人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄，先查看它的完整性，如果一切正常，給它一個主人。有時候卸

21、載程序可能會出現(xiàn)一些沒有主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。2.2.8 檢查異常隱含文件檢查異常隱含文件*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 隱含文件安全基線要求項安全基線編安全基線編號號SBL-Linux-02-02-08 安全基線項安全基線項說明說明 文件系統(tǒng)-檢查異常隱含文件檢測操作步檢測操作步驟驟用“find”程序可以查找到這些隱含文件。例如： # find / -name . * -print xdev # find / -name * -print -xdev | cat -v 同時也要注意象“.xx”和“.mail”這樣的文件名的。 （這些

22、文件名看起來都很象正常的文件名） Linux 系統(tǒng)安全配置基線第 11 頁 共 18 頁基線符合性基線符合性判定依據(jù)判定依據(jù)若返回值非空，則低于安全要求；備注備注需要手工檢查。補充操作說明在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件（點號是起始字符的，用“l(fā)s”命令看不到的文件） ，因為這些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等） 。在 UNIX 下，一個常用的技術(shù)就是用一些特殊的名，如：“” 、 “. ” （點點空格）或“.G” （點點 control-G） ，來隱含文件或目錄。2.2.9 登錄超時設(shè)置登錄超時設(shè)置安全基線項安全基線項目名稱目名稱操

23、作系統(tǒng) Linux 登錄超時設(shè)置安全基線編安全基線編號號SBL-Linux-02-02-09安全基線項安全基線項說明說明 帳號與口令-檢查登錄超時設(shè)置檢測操作步檢測操作步驟驟使用命令“cat /etc/profile |grep TMOUT”查看 TMOUT 是否被設(shè)置基線符合性基線符合性判定依據(jù)判定依據(jù)返回值為空或值低于 180，則低于安全要求備注備注使用命令“vi /etc/profile”修改配置文件，添加“TMOUT=”行開頭的注釋，建議設(shè)置為“TMOUT=180” ，即超時時間為 3 分鐘2.2.10使用使用 SSH 遠程登錄遠程登錄安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linu

24、x SSH 安全連接要求安全基線編安全基線編號號SBL-Linux-02-02-10安全基線項安全基線項說明說明 對于使用 IP 協(xié)議進行遠程維護的設(shè)備，設(shè)備應配置使用 SSH 等加密協(xié)議。檢測操作步檢測操作步驟驟查看 SSH 服務(wù)狀態(tài)：# service ssh status查看 telnet 服務(wù)狀態(tài)：# service telnet status基線符合性基線符合性判定依據(jù)判定依據(jù)SSH 服務(wù)狀態(tài)查看結(jié)果為：running Linux 系統(tǒng)安全配置基線第 12 頁 共 18 頁telnet 服務(wù)狀態(tài)查看結(jié)果為：not running/unrecognized備注備注2.2.11Root

25、遠程登錄限制遠程登錄限制安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 超級用戶登錄設(shè)置安全基線編安全基線編號號SBL-Linux-02-02-11安全基線項安全基線項說明說明 對 SSH 服務(wù)進行安全檢查檢測操作步檢測操作步驟驟使用命令“cat /etc/ssh/sshd_config”查看配置文件（1）檢查是否允許 root 直接登錄檢查“PermitRootLogin ”的值是否為 no（2）檢查 SSH 使用的協(xié)議版本檢查“Protocol”的值基線符合性基線符合性判定依據(jù)判定依據(jù)使用命令“vi /etc/ssh/sshd_config”編輯配置文件（1）不允許 root 直接登

26、錄設(shè)置“PermitRootLogin ”的值為 no（2）修改 SSH 使用的協(xié)議版本設(shè)置“Protocol”的版本為 2備注備注root 用戶需要使用普通用戶遠程登錄后 su 進行系統(tǒng)管理2.2.12關(guān)閉不必要的服務(wù)關(guān)閉不必要的服務(wù)*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 關(guān)閉不必要的服務(wù)安全基線編安全基線編號號SBL-Linux-02-02-12安全基線項安全基線項說明說明 帳號與口令-關(guān)閉不必要的服務(wù)檢測操作步檢測操作步驟驟使用命令“who -r”查看當前 init 級別使用命令“chkconfig -list ”查看所有服務(wù)的狀態(tài)基線符合性基線符合性判定依據(jù)判定依據(jù)若有

27、不必要的系統(tǒng)在當前級別下為 on，則低于安全要求 Linux 系統(tǒng)安全配置基線第 13 頁 共 18 頁備注備注需要手工檢查。使用命令“chkconfig -level on|off|reset”設(shè)置服務(wù)在個init 級別下開機是否啟動 Linux 系統(tǒng)安全配置基線第 14 頁 共 18 頁第第 3 章章日志審計日志審計3.1 日志日志3.1.1 syslog 登錄事件記錄登錄事件記錄*安全基線項安全基線項目名稱目名稱操作系統(tǒng) Linux 登錄審計安全基線要求項安全基線編安全基線編號號SBL-Linux-03-01-01 安全基線項安全基線項說明說明 日志審計-syslog 登錄事件記錄檢測操作步檢