Linux主機(jī)操作系統(tǒng)加固規(guī)范

目錄

1賬號管理、認(rèn)證授權(quán).................................................................錯誤!未定義書簽。

1.1賬號....................................................................................錯誤!未定義書簽。

SHG-Limix-OJ-01-Ol........................................................錯誤!未定義書簽。

SHG-Linux-0!-0l-02........................................................錯誤!未定義書簽。

SHG-Linux-0!-0l-03........................................................錯誤!未定義書簽。

SHG-Linux-0!-01-04........................................................錯誤!未定義書簽。

SHG-Linux-01-01-05........................................................錯誤!未定義書簽。

SHG-Lima-O!-01-06........................................................錯誤!未定義書簽。

1.2口令.....................................................................................錯誤!未定義書簽。

SHG-Linux-O!-02-01........................................................錯誤!未定義書簽。

SHG-Linux-O1-02-02........................................................錯誤!未定義書簽。

SHG-Lima-O!-02-03........................................................錯誤!未定義書簽。

1.3文獻(xiàn)與授權(quán).........................................................................錯誤!未定義書簽。

SHG-Lima-O!-03-01........................................................錯誤!未定義書簽。

SHG-Lima-O!-03-02........................................................錯誤!未定義書簽。

SHG-Lim<x-01-03-03........................................................錯誤!未定義書簽。

SHG-Litua-O!-03-04........................................................錯誤!未定義書簽。

SHG-Lima-O!-03-05........................................................錯誤!未定義書簽。

SHG-Lima-O!-03-06........................................................錯誤!未定義書簽。

SHG-Linux-O!-03-07........................................................錯誤!未定義書簽。

SHG-Limix-01-03-08........................................................錯誤!未定義書簽。

2日志配置......................................................................................錯誤!未定義書簽。

SHG-Linux-02-01-01........................................................錯誤!未定義書簽。

SHG-Lima-02-01-02........................................................錯誤!未定義書簽。

SHG-Limix-02-01-03........................................................錯誤!未定義書簽。

SHG-Linux-02-01-04........................................................錯誤!未定義書簽。

SHG-Linux-02-01-05........................................................錯誤!未定義書簽。

3通信協(xié)議...................................................................................錯誤!未定義書簽。

3.1IP協(xié)議安全.....................................................................錯誤!未定義書簽。

SHG-Limix-03-01-01........................................................錯誤!未定義書簽。

SHG-Linnx-03-01-02........................................................錯誤!未定義書簽。

SHG-Limix-03-01-03........................................................錯誤!未定義書簽。

SHG-Limix-03-01-04........................................................錯誤!未定義書簽。

SHG-Limix-03-01-05........................................................錯誤!未定義書簽。

SHG-Lbua-03-0J-06........................................................錯誤!未定義書簽。

4設(shè)備其他安全配置規(guī)定.................................................................錯誤!未定義書簽。

4.1補(bǔ)丁管理.............................................................................錯誤!未定義書簽。

SHG-Linux-04-01-01........................................................錯誤!未定義書簽。

4.2服務(wù)進(jìn)程和啟動.................................................................錯誤!未定義書簽。

SHG-Lima-04-02-0J........................................................錯誤!未定義書簽。

SHG-Limix-04-02-02........................................................錯誤!未定義書簽。

SHG-Limix-04-02-03........................................................錯誤!未定義書簽。

SHG-Liniix-04-02-04........................................................錯誤!未定義書簽。

SHG-Limix-04-02-05........................................................錯誤!未定義書簽。

4.3BANNER與屏幕保護(hù).......................................................錯誤!未定義書簽。

SHG-Limix-04-03-01........................................................錯誤!未定義書簽。

SHG-Limix-04-03-02........................................................錯誤!未定義書簽。

SHG-Limix-04-03-03........................................................錯誤!未定義書簽。

4.4可疑文喊.......................................................錯誤!未定義書簽。

SHG-Limix-04-04-01........................................................錯誤!未定義書簽。

SHG-Limix-04-04-02........................................................錯誤!未定義書簽。

SHG-Lima-04-04-03........................................................錯誤!未定義書簽。

SHG-Limix-04-04-04........................................................錯誤!未定義書簽。

SHG-Limix-04-04-05........................................................錯誤!未定義書簽。

SHG-Lima-04-04-06........................................................錯誤!未定義書簽。

SHG-Lima-04-04-07........................................................錯誤!未定義書簽。

SHG-Lima-04-04-08........................................................錯誤!未定義書簽。

5附錄：...........................................................................................錯誤!未定義書簽。

5.1推薦安裝安全工具.............................................................錯誤!未定義書簽。

5.2LINUX可被運(yùn)用日勺漏洞（截至2023-3-8）........................錯誤!未定義書簽。

本文檔是Linux操作系統(tǒng)的對于Linux操作系統(tǒng)設(shè)備賬號認(rèn)證、日志、協(xié)議、

補(bǔ)丁升級、文獻(xiàn)系統(tǒng)管理等方面的安全配置規(guī)定，共45項(xiàng)，對系統(tǒng)的安全配置審計(jì)、

加固操作起到指導(dǎo)性作用。

1賬號管理、認(rèn)證授權(quán)

L1賬號

1.1.1SHG-Linux-01-01-01

編號SHG-Linux-Ol-Ol-Ol

名稱為不一樣的管理員分派不一樣的賬號

根據(jù)不一樣類型用途設(shè)置不一樣的帳戶賬號，提高系統(tǒng)安

實(shí)行目的

全。

問題影響賬號混淆，權(quán)限不明確，存在顧客越權(quán)使用H勺也許。

系統(tǒng)目前狀態(tài)cat/etc/passwd記錄目前顧客列表

1、參照配置操作

為顧客創(chuàng)立賬號：

#uscraddusername#創(chuàng)立賬號

實(shí)行環(huán)節(jié)

Upasswdusername#設(shè)置密碼

修改權(quán)限：

#chir.od750directory#其中755為設(shè)置的J權(quán)限，可根據(jù)

實(shí)際狀況設(shè)置對應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄）

使用該命令為不一樣的顧客分派不一樣的1賬號，設(shè)置不一樣

的口令及權(quán)限信息等。

回退方案刪除新增長日勺帳戶

判斷根據(jù)標(biāo)識顧客用途，定期建立顧客列表，比較與否有非法顧客

一.、一

實(shí)行風(fēng)險rWj

重要等級★★★

備注

1.1.2SHG-Linux-01-01-02

編號SHG-Linux-01-01-02

名稱清除不需要日勺帳號、修改默認(rèn)帳號的shell變量

實(shí)行目的刪除系統(tǒng)不需要的默認(rèn)帳號、更改危險帳號缺省的shell變量

問題影響容許非法運(yùn)用系統(tǒng)默認(rèn)賬號

cat/etc/passwd記錄目前顧客列表，cat/etc/shadow記

系統(tǒng)目前狀態(tài)

錄目前密碼配置

1、參照配置操作

#userdelIp

#groupdelIp

假如下面這些系統(tǒng)默認(rèn)帳號不需要的話，提議刪除。

實(shí)行環(huán)節(jié)Ip,sync,shutdown,halt,news,uucp,operator,games,gopher

修改某些系統(tǒng)帳號/'Jshell變量，例如uucp,ftp和news等,

尚有某些僅僅需要FTP功能H勺帳號，一定不要給他們設(shè)置

/bin/bash或者/bin/sh等Shell變量口可以在/etc/passwd中將它

mshell變量設(shè)為/bin/false或者/dcv/null等，也可以使用

usermod-s/dev/nullusername命令來更改username日勺shell

為/dev/null。

回退方案恢復(fù)賬號或者SHELL

判斷根據(jù)如上述顧客不需要，則鎖定。

一.、一

實(shí)行風(fēng)險rWj

重要等級★★★

備注

1.1.3SHG-Linux-01-01-03

編號SHG-Linux-01-01-03

名稱限制超級管理員遠(yuǎn)程登錄

限制具有超級管理員權(quán)限的顧客遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員

實(shí)行目的權(quán)限操作，應(yīng)先以一般權(quán)限顧客遠(yuǎn)程登錄后，再切換到超級

管理員權(quán)限賬。

問題影響容許root遠(yuǎn)程非法登陸

cat/etc/ssh/sshd_config

系統(tǒng)目前狀態(tài)

cat/etc/securetty

1、參照配置操作

SSH:

實(shí)行環(huán)節(jié)#vi/etc/ssh/sshd_config

把

PeriritRootLoginyes

改為

PeriritRootLoginno

重啟sshd服務(wù)

^servicesshdrestart

CONSOLE:

在/elc/securetty文獻(xiàn)中配置：CONSOLE=/dev/tty()l

還原配置文獻(xiàn)

回退方案

/etc/ssh/sshdconfig

判斷根據(jù)/etc/ssh/sshd_config中PermitRootLoginno

實(shí)行風(fēng)險高

重要等級★★★

備注

1.L4SHG-Linux-01-01-04

編號SHG-Linux-01-01-04

名稱對系統(tǒng)賬號進(jìn)行登錄限制

對系統(tǒng)賬號進(jìn)行登錄限制，保證系統(tǒng)賬號僅被守護(hù)進(jìn)程和服

實(shí)行目的

務(wù)使用。

問題影響也許運(yùn)用系統(tǒng)進(jìn)程默認(rèn)賬號登陸，賬號越權(quán)使用

系統(tǒng)目前狀態(tài)cat/etc/passwd查看各賬號狀態(tài)。

1、參照配置操作

Vi/etc/passwd

例如修改

lynn:x:500:500::/home/lynn:/sbin/bash

更改為：

lynn:x:500:500::/home/lynn:/sbin/nologin

該顧客就無法登錄了。

實(shí)行環(huán)節(jié)

嚴(yán)禁所有顧客登錄。

touch/etc/nologin

除root以外日勺顧客不能登錄了c

2、補(bǔ)充操作闡明

嚴(yán)禁交互登錄H勺系統(tǒng)賬號，例如daemon,bin,sys、adm、Ip、

uucp^nuucp>smmsp等等

回退方案還原/etc/passwd文獻(xiàn)配置

判斷根據(jù)/etc/passwd中的嚴(yán)禁登陸賬號H勺shell是/sbin/nologin

實(shí)行風(fēng)險高

重要等級★

備注

1.1.5SHG-Linux-01-01-05

編號SHG-Linux-01-01-05

名稱為空口令顧客設(shè)置密碼

嚴(yán)禁空口令顧客，存在空口令是很危險H勺，顧客不用口令認(rèn)

實(shí)行目的

證就能進(jìn)入系統(tǒng)。

問題影響顧客被非法運(yùn)用

cat/etc/passwd

系統(tǒng)目前狀態(tài)awk-F:'($2==〃"){print$1}'/etc/passwd

awk-F:($2==〃〃){print$1}'/etc/passwd

用root顧客登陸Linux系統(tǒng)，執(zhí)行passwd命令，給顧客增

實(shí)行環(huán)節(jié)

長口令。

例如：passwdtesttesto

Root身份設(shè)置顧客口令，取消口令

回退方案

如做了口令方略則失敗

登陸系統(tǒng)判斷

判斷根據(jù)

Cat/etc/passwd

實(shí)行風(fēng)險高

重要等級★

備注

1.1.6SHG-Linux-01-01-06

編號SHG-Linux-01-01-06

名稱除root之外UID為0的顧客

實(shí)行目的帳號與口令■檢查與否存在除root之外UID為0的顧客

問題影響賬號權(quán)限過大，輕易被非法運(yùn)用

系統(tǒng)目前狀態(tài)awk-F:($3==0){print$1}'/etc/passwd

刪除處root以外的UID為0的顧客。

實(shí)行環(huán)節(jié)

回退方案無

判斷根據(jù)返回值包括“root”以外的條目，則低于安全規(guī)定；

實(shí)行風(fēng)險高

重要等級★

UID為0日勺任何顧客都擁有系統(tǒng)日勺最高特權(quán)，保證只有root

備注

顧客的U1D為0

1.2口令

1.2.1SHG-Linux-01-02-01

編號SHG-Linux-01-02-01

名稱缺省密碼長度限制

防止系統(tǒng)弱口令日勺存在，減少安全隱患。對于采用靜態(tài)口令

實(shí)行目的

認(rèn)證技術(shù)的設(shè)備，口令長度至少8位。

問題影響增長密碼被暴力破解的成功率

系統(tǒng)目前狀態(tài)cat/etc/login.defs

1、參照配置操作

#vi/etc/login.defs

實(shí)行環(huán)節(jié)把下面這行

PASS_MIN_LEN5改為

PASS_MIN_LEN8

回退方案vi/etc/login.defs,修改設(shè)置到系統(tǒng)加固前狀態(tài)。

判斷根據(jù)PASSMIN_LEN8

實(shí)行風(fēng)險低

重要等級★★★

備注

1.2.2SHG-Linux-01-02-02

編號SHG-Linux-01-02-02

名稱缺省密碼生存周期限制

對于采用靜態(tài)口令認(rèn)證技術(shù)日勺設(shè)備，帳戶口令歐1生存期不長

實(shí)行目的

于90天，減少口令安全隱患。

問題影響密碼被非法運(yùn)用，并且難以管理

系統(tǒng)目前狀態(tài)運(yùn)行cat/etc/login.defs查看狀態(tài)，并記錄。

1、參照配置操作

PASS_MAX_DAYS90

實(shí)行環(huán)節(jié)PASS_MIN_DAYS0

回退方案Vi/etc/login.defs,修改設(shè)置到系統(tǒng)加固前狀態(tài)。

判斷根據(jù)PASS_MAX_DAYS90

實(shí)行風(fēng)險低

重要等級★★★

備注

1.2.3SHG-Linux-01-02-03

編號SHG-Linux-01-02-03

名稱口令過期提醒

實(shí)行目的口令到期前多少天開始告知顧客口令即將到期

問題影響密碼被非法運(yùn)用，并且難以管理

系統(tǒng)目前狀態(tài)運(yùn)行cat/etc/login.defs查看狀態(tài)，并記錄。

1、參照配置操作

PASS_WARN_AGE7

實(shí)行環(huán)節(jié)

回退方案Vi/etc/login.defs,修改設(shè)置到系統(tǒng)加固前狀態(tài)。

判斷根據(jù)PASS_WARN_AGE7

實(shí)行風(fēng)險低

重要等級★★★

備注

1.3文獻(xiàn)與授權(quán)

1.3.1SHG-Linux-01-03-01

編號SHG-Linux-01-03-01

名稱設(shè)置關(guān)鍵目錄的權(quán)限

實(shí)行目的在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)顧客的業(yè)務(wù)需要，配置其所需

的最小權(quán)限。

問題影響非法訪問文獻(xiàn)

系統(tǒng)目前狀態(tài)運(yùn)行Is-al/etc/記錄關(guān)鍵目錄的權(quán)限

1、參照配置操作

通過chmod命令對目錄口勺權(quán)限進(jìn)行實(shí)際設(shè)置。

2、補(bǔ)充操作闡明

etc/passwd必須所有顧客都可讀，root顧客可寫

-rw-r-r-

/etc/shadow只有root可讀r

/etc/group必須所有顧客都可讀，root顧客可寫

-rw-r-r—

實(shí)行環(huán)節(jié)

使用如下命令設(shè)置：

chmcd644/etc/passwd

chmcd600/etc/shadow

chmcd644/etc/group

假如是有寫權(quán)限，就需移去組及其他顧客對/etc[1勺寫權(quán)限

（特殊狀況除外）

執(zhí)行命令#chmod-Rgo-w/etc

回退方案通過chmod命令還原目錄權(quán)限到加固前狀態(tài)。

[root^localhostsysconfig]#Is-al/ctc/passwdgrep一

-rw-r-r-1root164730A719:05/etc/passwd

[rootllocalhostsysconfig]#Is-al/etc/groupgrep一.一'

判斷根據(jù)

-rw-r-r-1root6243dA719:04/etc/group

[rootalocalhostsysconfig]UIsal/etc/shadowgrep…

-i-------1root1140SOA719:06/etc/shadow

實(shí)行風(fēng)險高

重要等級★★★

備注

1.3.2SHG-Linux-01-03-02

編號SHG-Linux-01-03-02

名稱修改umask值

控制顧客缺省訪問權(quán)限，當(dāng)在創(chuàng)立新文獻(xiàn)或目錄時，屏蔽掉

實(shí)行目的新文獻(xiàn)或目錄不應(yīng)有日勺訪問容許權(quán)限。防止同屬于該組日勺其

他顧客及別n勺組的顧客修改該顧客的文獻(xiàn)或更高限制。

問題影響非法訪問目錄

more/etc/profile

more/etc/csh.login

系統(tǒng)目前狀態(tài)more/etc/csh.cshrc

more/etc/bashrc

檢查與否包括umask值

1、參照配置操作

設(shè)置默認(rèn)權(quán)限：

vi/etc/profile

vi/etc/csh.login

vi/etc/csh.cshrc

vi/etc/bashrc

在末尾增長umask027

實(shí)行環(huán)節(jié)

修改文獻(xiàn)或目錄日勺權(quán)限，操作舉例如下：

ttchrrod444dir;#修改目錄dir日勺權(quán)限為所有人都為只讀。

根據(jù)實(shí)際狀況設(shè)置權(quán)限；

2、補(bǔ)充操作闡明

假如顧客需要使用一種不一樣于默認(rèn)全局系統(tǒng)設(shè)置日勺

umask,可以在需要日勺時候通過命令行設(shè)置，或者在顧客H勺

shell啟動文獻(xiàn)中配置

3、補(bǔ)充闡明

umask的默認(rèn)設(shè)置一般為022,這給新創(chuàng)立日勺文獻(xiàn)默認(rèn)權(quán)限

755(777-022=755),這會給文獻(xiàn)所有者讀、寫權(quán)限，但只

給組組員和其他顧客讀權(quán)限。

umask日勺計(jì)算：

umask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置日勺，對于目錄，該值等于

八進(jìn)制數(shù)據(jù)代碼777減去需要的默認(rèn)權(quán)限對應(yīng)的八進(jìn)制數(shù)據(jù)

代碼值；對于文獻(xiàn)，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要

日勺默認(rèn)權(quán)限對應(yīng)日勺八進(jìn)制數(shù)據(jù)代碼值。

修改

more/etc/profile

more/etc/csh.login

回退方案

more/elc/csh.cshrc

more/etc/bashrc

文獻(xiàn)到加固前狀態(tài)。

判斷根據(jù)umask027

實(shí)行風(fēng)險高

重要等級★

備注

1.3.3SHG-Linux-01-03-03

編號SHG-Linux-01-03-03

名稱資源限制

限制顧客對系統(tǒng)資源的使用，可以防止拒絕服務(wù)(如：創(chuàng)立

實(shí)行目的1

諸多進(jìn)程、消耗系統(tǒng)的內(nèi)存，等等)這種襲擊方式。這些限

制必須在顧客登錄之前設(shè)定。

問題影響拒絕服務(wù)襲擊

Cat/etc/sccurity/limits.conf

系統(tǒng)目前狀態(tài)

Cat/etc/pam.d/login

1、參照配置操作

個第f

編輯"limits,conf”文獻(xiàn)

(vi/etc/security/limits.conf),加入或變化下面

這些行：

*softcore0

*hardcore0

*hardrss5000

*hardnproc20

假如限制limitu顧客組對主機(jī)資源的使用，

加入：

@limitusoftcore0

實(shí)行環(huán)節(jié)

@limituhardnproc30

@limitu-maxlogins5

這些行H勺的意思是：“core0”表達(dá)嚴(yán)禁創(chuàng)立core文獻(xiàn)；

"nproc20”把最多進(jìn)程數(shù)限制到20；“rss5000”表達(dá)除

了root之外，其他顧客都最多只能用5M內(nèi)存。上面這些都

只對登錄到系統(tǒng)中的顧客有效。通過上面這些限制，就能更

好地控制系統(tǒng)中的顧客對進(jìn)程、core文獻(xiàn)和內(nèi)存的使用狀

況。星號表達(dá)的是所有登錄到系統(tǒng)中日勺顧客。

令第二步

必須編輯“/etc/pam.d/login”文獻(xiàn)，在文獻(xiàn)末尾加入

下面這一行：

sessionrequired/lib/security/pam_limits.so

補(bǔ)充闡明：

加入這一行后“/etc/pam.d/login”文獻(xiàn)是這樣『、J：

#%PAM-1.0

authrequired/lib/security/pam_securetty.so

authrequired/lib/security/pam_pwdb.soshadownullok

authrequired/lib/sccurity/pam_nologin.so

accountrequired/lib/security/pampwdb.so

passwordrequired/lib/security/pam_cracklib.so

passwordrequired/lib/security/pampwdb.sonullok

use_authtokmc!5shadow

sessionrequired/lib/security/pampwdb.so

sessionrequired/lib/security/pam_limits.so

#sessionoptional/lib/security/pamconsole.sodaemon

記錄進(jìn)程數(shù)量

psax|grepd|wc-1

/etc/security/limits.conf

回退方案/etc/pam.d/login

恢復(fù)加固前狀態(tài)

/etc/security/limits.conf中包括

hardcore0

*hardrss5000

*hardnproc20/、J定義

判斷根據(jù)

/etc/pam.d/login中包括

sessionrequired/lib/security/pam_limits.so

實(shí)行風(fēng)險高

重要等級★

備注

1.3.4SHG-Linux-01-03-04

編號SHG-Linux-01-03-04

名稱設(shè)置目錄權(quán)限

實(shí)行目的1設(shè)置目錄權(quán)限，防止非法訪問目錄。

問題影響非法訪問目錄

系統(tǒng)目前狀態(tài)查看重要文獻(xiàn)和目錄權(quán)限：1s-1并記錄。

1、參照配置操作

查看重要文獻(xiàn)和目錄權(quán)限：1s-1

更改權(quán)限：

實(shí)行環(huán)節(jié)對于重要目錄，提議執(zhí)行如下類似操作：

#chmod-R750/etc/init.d/*

這樣只有root可以讀、寫和執(zhí)行這個目錄下的腳本。

回退方案使用chmod命令還原被修改權(quán)限日勺目錄。

判斷根據(jù)判斷/etc/init.d/*卜邛J文獻(xiàn)權(quán)限750如F

實(shí)行風(fēng)險高

重要等級★

備注

1.3.5SHG-Linux-01-03-05

編號SHG-Linux-01-03-05

名稱設(shè)置關(guān)鍵文獻(xiàn)的屬性

增強(qiáng)關(guān)鍵文獻(xiàn)的1屬性，減少安全隱患。

實(shí)行目的使messages義獻(xiàn)只可追加。

使輪循日勺messages文獻(xiàn)不可更改。

問題影響非法訪問目錄，或者刪除日志

#Isattr/var/log/messages

#Isattr/var/log/messages.*

系統(tǒng)目前狀態(tài)#Isattr/etc/shadow

#Isattr/etc/passwd

#Isattr/etc/group

1、參照配置操作

#chattr+a/var/log/messages

#chattr+i/var/log/messages.*

#chattr+i/etc/shadow

實(shí)行環(huán)節(jié)#chattr+i/etc/passwd

#chattr+i/etc/group

提議管理員對關(guān)鍵文獻(xiàn)進(jìn)行特殊設(shè)置（不可更改或只能追加

等）。

回退方案使用chattr命令還原被修改權(quán)限的I目錄。

#IsattrZvar/log/messages

#Isattr/var/log/messages.*

#Isattr/etc/shadow

判斷根據(jù)

#Isattr/etc/passwd

#Isattr/etc/group

判斷屬性

實(shí)行風(fēng)險高

重要等級★★

備注

1.3.6SHG-Linux-01-03-06

編號SHG-Linux-01-03-06

名稱對root為Is、rm設(shè)置別名

為Is設(shè)置別名使得root可以清晰的查看文獻(xiàn)H勺屬性（包括不

可更改等特殊屬性）。

實(shí)行目的

為nn設(shè)置別名使得root在刪除文獻(xiàn)時進(jìn)行確認(rèn)，防止誤操

作。

問題影響非法執(zhí)行指令

查看目前shell：

#echo$SHELL

假如是csh：

系統(tǒng)目前狀態(tài)#vi-/.cshrc

假如是bash：

#vi-/.bashrc

1、參照配置操作

查看目前shell：

#echo$SHELL

假如是csh：

實(shí)行環(huán)節(jié)

#vi?/.eshre

假如是bash：

#vi?/.bashre

加入

aliasIsIs-aol

aliasrmrm-i

重新登錄之后查看與否生效。

回退方案通過chmod命令還原目錄權(quán)限到加固前狀態(tài)。

aliasIsIs-aol

aliasrm='rm—i'

判斷根據(jù)

類似的定義

實(shí)行風(fēng)險低

重要等級★★

備注

1.3.7SHG-Linux-01-03-07

編號SHG-Linux-01-03-07

名稱使用PAM嚴(yán)禁任何人su為root

實(shí)行目的防止任何人可以su為root,減少安全隱患。

問題影響顧客提權(quán)

系統(tǒng)目前狀態(tài)cat/etc/pam.d/su

1、參照配置操作

編輯su文獻(xiàn)(vi/etc/pam.d/su),在開頭添加下面兩行：

authsufficient/Iib/security/pam_rootok.so

實(shí)行環(huán)節(jié)

authrequired/Iib/security/pam_wheeLsogroup=wheel

這表明只有wheel組的組員可以使用su命令成為root顧客。

你可以把顧客添加到wheel組，以使它可以使用su命令成為

root顧客。添加措施為：

#chinod-G10username

回退方案恢復(fù)/etc/pam.d/su到加固前狀態(tài)。

判斷根據(jù)Cat/etc/pam.d/su

一.、一

實(shí)行風(fēng)險rWj

重要等級★★★

備注

1.3.8SHG-Linux-01-03-08

編號SHG-Linux-01-03-08

名稱查看/tmp目錄屬性

實(shí)行目的開放tmp目錄及|權(quán)限

問題影響顧客沒有完整進(jìn)入該目錄，去瀏覽、刪除和移動文獻(xiàn)的權(quán)限

系統(tǒng)目前狀態(tài)Is-al/1greptmp

1、參照配置操作

Chmod+t/tmp

實(shí)行環(huán)節(jié)

T或T(Sticky)：/tmp和/var/tmp目錄供所有顧客臨時存取

文獻(xiàn)，亦即每位顧客皆擁有完整時權(quán)限進(jìn)入該目錄，去瀏覽、

刪除和移動文獻(xiàn)。

回退方案Chmod答復(fù)加固之前的狀態(tài)

判斷根據(jù)#Is-al/|greptmp

drwxrwxrwt7root4096May1120:07Imp/

實(shí)行風(fēng)險高

重要等級★★★

備注

2日志配置

2.1.1SHG-Linux-02-01-01

編號SHG-Linux-02-01-01

名稱啟用日志記錄功能

實(shí)行目的登陸認(rèn)證服務(wù)記錄

問題影響無法對顧客日勺登陸進(jìn)行日志記錄

系統(tǒng)目前狀態(tài)運(yùn)行cat/etc/syslog.conf查看狀態(tài)，并記錄。

1、參照配置操作

cat/etc/syslog.conf

#Theauthprivfilehasrestrictedaccess.

實(shí)行環(huán)節(jié)

authpriv.*/var/log/secure

*auth,authpriv：重要認(rèn)證有關(guān)機(jī)制，例如telnet,login,

ssh等需要認(rèn)證的服務(wù)都是使用此一機(jī)制

回退方案vi/etc/syslog.conf,修改設(shè)置到系統(tǒng)加固前狀態(tài)。

判斷根據(jù)authpriv.*/var/log/secure

實(shí)行風(fēng)險低

重要等級★★★

備注

2.1.2SHG-Linux-02-01-02

編號SHG-Linux-02-01-02

名稱記錄系統(tǒng)安全事件

實(shí)行目的通過設(shè)置讓系統(tǒng)記錄安全事件，以便管理員分析

問題影響無法記錄系統(tǒng)的1多種安全事件

系統(tǒng)目前狀態(tài)Cat/etc/syslog.conf

1、參照配置操作

修改配置文獻(xiàn)vi/etc/syslog.conf,

配置如下類似語句：

實(shí)行環(huán)節(jié)

*.err;kern.debug;daemon.notice;/var/adm/messages

定義為需耍保留日勺設(shè)備有關(guān)安全事件。

回退方案vi/etc/syslog.conf,修改設(shè)置到系統(tǒng)加固前狀態(tài)。

判斷根據(jù)記錄系統(tǒng)安全事件

實(shí)行風(fēng)險高

重要等級★

備注

2.1.3SHG-Linux-02-01-03

編號SHG-Linux-02-01-03

名稱對ssh>su登錄日志進(jìn)行記錄

實(shí)行目的對ssh、su嘗試進(jìn)行記錄

問題影響尢法記錄ssh和SU登陸時操作

cat/etc/syslog.conf

系統(tǒng)目前狀態(tài)ps-elf|grepsyslog

cat/var/log/secure

1＞參照配置操作

1、參照配置操作

#vi/etc/syslog.conf

加入

#Theaulhprivfilehasrestrictedaccess,

實(shí)行環(huán)節(jié)

authpriv.*/var/log/secure

重新啟動syslogd：

#/ctc/rc.d/init.d/syslogrestart

回退方案vi/etc/syslog.conf,修改設(shè)置到系統(tǒng)加固前狀態(tài)。

authpriv.*/var/log/secure

判斷根據(jù)

ps-elf|grepsyslog存在進(jìn)程

實(shí)行風(fēng)險低

重要等級★

備注

2.1.4SHG-Linux-02-01-04

編號SHG-Linux-02-01-04

名稱啟用記錄cron行為日志功能

實(shí)行目的對所有口勺cron行為進(jìn)行審計(jì)。

問題影響尢法記錄cron服務(wù)（計(jì)劃任務(wù)）

系統(tǒng)目前狀態(tài)Cat/etc/syslog.confgrepcron

1、參照配置操作

Vi/etc/syslog.conf

實(shí)行環(huán)節(jié)#Logcronstuff

cron.*/var/log/cron

vi/etc/syslog.conf,修改cron.設(shè)置到系統(tǒng)加固前狀

回退方案

態(tài)。

判斷根據(jù)cron.*

實(shí)行風(fēng)險低

重要等級★

備注

2.1.5SHG-Linux-02-01-05

編號SHG-Linux-02-01-05

名稱增長ftpd審計(jì)功能

實(shí)行目的增長ftpd審計(jì)功能，增強(qiáng)ftpd安全性。

問題影響無法記錄FTPD服務(wù)

系統(tǒng)目前狀態(tài)Cat/etc/inetd.conf

/etc/syslog.conf

1、參照配置操作

#vi/etc/inetd.conf

ftpstreamtcpnowaitroot/usr/libexec/ftpd

ftpd-1-r-A-S

其中：

-1成功/失敗『'Jftp會話被syslog記錄

-r使ftpd為只讀模式，任何命令都不能更改文獻(xiàn)系統(tǒng)

-A容許anonymous顧客登錄，/etc/ftpwelcome是歡迎信息

實(shí)行環(huán)節(jié)

-S對anonymousftp傳播進(jìn)行記錄

在/eic/syslog.conf中，增長

ftp.*/var/iog/ftpd

使日志產(chǎn)生到/var/log/ftpd文獻(xiàn)

重新啟動ineld進(jìn)程：

#kill-1'cat/var/run/inetd.pid'

回退方案答復(fù)/etc/inetd.conf/elc/syslog.conf至1」系統(tǒng)力H固前狀態(tài)。

ftpd-1-r-A-S

判斷根據(jù)ftp.*/var/log/ftpd

實(shí)行風(fēng)險低

重要等級★

備注

3通信協(xié)議

3.1IP協(xié)議安全

3.1.1SHG-Linux-03-01-01

編號SHG-Linux-03-01-01

名稱使用ssh加密傳播

實(shí)行目的提高遠(yuǎn)程管理安全性

問題影響使用非加密通信，內(nèi)輕易被非法監(jiān)聽

系統(tǒng)目前狀態(tài)運(yùn)行#ps-elf|grepssh查看狀態(tài)，并記錄。

1、參照配置操作

從下載SSH并安裝到系統(tǒng)。

實(shí)行環(huán)節(jié)

回退方案卸載SSH、或者停止SSH服務(wù)

判斷根據(jù)有SSH進(jìn)程

實(shí)行風(fēng)險高

重要等級★

備注

3.1.2SHG-Linux-03-01-02

編號SIlG-Linux-03-01-01

名稱設(shè)置訪問控制列表

設(shè)置訪問控制列表，使得只有可信主機(jī)才能訪問服務(wù)器在

實(shí)行目的

/etc/(x)inetd.conf中啟用日勺特定網(wǎng)絡(luò)服務(wù)。

問題影響沒有訪問控制，系統(tǒng)也許被非法登陸或使用

查看/ctc/hosts.allow>fll/etc/hosts.dcny2個文獻(xiàn)論1配置狀態(tài)，

系統(tǒng)目前狀態(tài)

并記錄。

1、參照配置操作

使用TCP_Wrappers可以使系統(tǒng)安全面對外部入侵。最佳的

方略就是制止所有的主機(jī)(在“/etc/hosts.deny”文獻(xiàn)中加入

“ALL:ALL@ALL,PARANOID”)，然后再在

“/etc/hosts.allow”文獻(xiàn)中加入所有容許訪問『、J主機(jī)列表。

第一步：編輯hosts.deny文獻(xiàn)(vi/etc/hosts.deny),加入下

面該行:

#Denyac