麒麟操作系統(tǒng)安全基線配置操作手冊文件編號：KYLIN-KYOSER-V1.0聲明本手冊中所列舉的配置參數(shù)為麒麟操作系統(tǒng)初全參考。在實際使用過程中，用戶方應(yīng)在充分考慮部署環(huán)境前言性和可靠性至關(guān)重要。銀河麒麟操作系統(tǒng)已廣泛應(yīng)用關(guān)鍵行業(yè)領(lǐng)域。為貫徹落實國家網(wǎng)絡(luò)安全等級保護制作系統(tǒng)的部署與配置，有效防范和抵御潛在的安全威平，在國家工業(yè)信息安全發(fā)展研究中心和工業(yè)和信息化部網(wǎng)絡(luò)安本手冊旨在為系統(tǒng)管理員、安全運維人員和技性強的安全配置指南。手冊內(nèi)容基于國內(nèi)外安規(guī)范，結(jié)合銀河麒麟操作系統(tǒng)的技術(shù)特性，詳細闡通過遵循本手冊的指導(dǎo)進行系統(tǒng)配置，可以顯著訪問控制能力，確保數(shù)據(jù)保密性與完整性，并建業(yè)務(wù)系統(tǒng)的具體需求、性能要求及面臨的獨參編單位麒麟操作系統(tǒng)安全基線配置操作手冊I 2 2 5 8 453.1修改snmp默認團體字 47麒麟操作系統(tǒng)安全基線配置操作手冊 49 51 54 65 67 685.7檢查是否安裝入侵檢測工具AIDE 73 81 83 6.9設(shè)置守護進程的umask值 麒麟操作系統(tǒng)安全基線配置操作手冊 99 麒麟操作系統(tǒng)安全基線配置操作手冊1◆分類：用于表示當前加固項所屬的大類（安全服務(wù)、內(nèi)核參數(shù)統(tǒng)審計、系統(tǒng)設(shè)置、潛在風(fēng)險、文件權(quán)限、風(fēng)險賬戶、密碼強度V4、中標麒麟高級服務(wù)器操作系統(tǒng)V7、銀河麒麟高級服務(wù)器操作系統(tǒng)V10、銀河麒麟高級服務(wù)器操作系統(tǒng)V10SPX、銀河麒麟桌面操作系統(tǒng)V10SP1"；◆說明：用于說明該規(guī)則的要求、背景；◆檢查方法：用于表示在系統(tǒng)中通過什么方式檢查該規(guī)則是否滿足；還原方法用于表示在系統(tǒng)中通過什么方式將加固過后的系◆修改影響：用于說明系統(tǒng)如果按照該規(guī)則進行配置，對系統(tǒng)或業(yè)務(wù)造成的影響，如果沒有?V7/V10/V10SPX安裝軟件包?V4安裝軟件包：使用deb/kylin/KYLIN-ALL10.0main?V4執(zhí)行手冊中的命令需要使用sudo權(quán)限。麒麟操作系統(tǒng)安全基線配置操作手冊21.1禁用不必要的系統(tǒng)服務(wù)銀河麒麟高級服務(wù)器操作系統(tǒng)V10服務(wù)器禁用不必要的系統(tǒng)服務(wù)：cups{cups.service,cups-lpd.socket}、sendmail{sendmail.service}、nfs{nfs.service,nfs-server.service}、ident{auth.socket}、ntalk{ntalk.socket,ntalk.service}、bootps{dhcpd.service}、ypbind{ypbind.service}、nfs-lock{nfs-lock.service}、tftp{tftp.service,tftp.socket}、rsync{rsyncd.service}、vsftp{vsftpd.service}。rsync{rsync.service}、vsftp{vsftpd.service}。[root@localhost~]#systemctlis-enabled<服務(wù)名>麒麟操作系統(tǒng)安全基線配置操作手冊3disabled[root@localhost~]#systemctlis-active<服務(wù)名>inactive結(jié)果為diable代表禁止服務(wù)自啟動；結(jié)果為inactive、unknow代表服務(wù)處于[root@localhost~]#systemctldisable<服務(wù)名>[root@localhost~]#systemctlstop<服務(wù)名>[root@localhost~]#systemctlenable<服務(wù)名>[root@localhost~]#systemctlstart<服務(wù)名>cups{cups.service,cups-lpd.socket}、sendmail{sendmail.service}、nfs{nfs.service,nfs-server.service}、ident{auth.socket}、ntalk{ntalk.socket,ntalk.service}、bootps{dhcpd.service}、ypbind{ypbind.service}、nfs-lock{nfs-lock.service}、tftp{tftp.service,tftp.socket}、rsync{rsyncd.service}、vsftp{vsftpd.service}，加固項功能如麒麟操作系統(tǒng)安全基線配置操作手冊4服務(wù)功能cupsCUPS服務(wù)支持本地打印機、網(wǎng)絡(luò)打印機，并能夠共享打印機。sendmailSendmail服務(wù)是一種電子郵件傳輸代理程序，它允許用戶在本地和遠程主機之間發(fā)送和接收郵件。nfsNFS（NetworkFileSystem）是一種分布式文件系統(tǒng)協(xié)議，它允許用戶在客戶端和服務(wù)器之間共享文件和目錄。。identIndent服務(wù)是一種認證機制，它允許用戶通過網(wǎng)絡(luò)協(xié)議（如SSH）訪問服務(wù)器上的資源。ntalkNtalk是一種基于文本的聊天服務(wù)，它允許用戶通過網(wǎng)絡(luò)協(xié)議（如TCP/IP）進行實時通信。bootpsBOOTP是一種用于網(wǎng)絡(luò)設(shè)備自動配置的協(xié)議，它允許無盤工作站從網(wǎng)絡(luò)上獲取IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)等信息。。ypbindypbind（YellowPagesBind）是NIS（NetworkInformationService）的客戶端守護進程。nfs-lockNFS-Lock服務(wù)是NetworkFileSystem（NFS）的一部分，它負責(zé)在客戶端和服務(wù)器之間協(xié)調(diào)文件鎖定。tftpTFTP（TrivialFileTransferProtocol）是一種簡單的文件傳輸協(xié)議，它允許用戶在客戶端和服務(wù)器之間上傳或下載文件。rsyncRSync服務(wù)是一種文件同步工具，它允許用戶在本地和遠程主機之間進行快速、安全的數(shù)據(jù)備份和遷移。vsftpVSFTP（也稱為VSFTPD，代表“VerySecureFTPDaemon”）是一個基于GPL發(fā)布的類Unix系統(tǒng)上使用的FTP服務(wù)器軟件，其全稱是VerySecureFTP麒麟操作系統(tǒng)安全基線配置操作手冊51.2設(shè)置ssh登錄前警告Banner銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄前警告Banner。通過如下命令檢查/etc/ssh/sshd_config文件中Banner后路徑是否為/etc/：[root@localhost~]#grep"^Banner"/etc/ssh/sshd_configBanner/etc/檢查/etc/文件中是否包含如下行：Authorizedusersonly.Allactivitiesmaybemonitoredandreported.結(jié)果為Banner后路徑為/etc/；/etc/文件存在上述行，滿6編輯/etc/ssh/sshd_config文件，如果存在Banner在行首添加"#"進行注釋，在注釋行之后添加以下內(nèi)容，不存在Banner行Banner/etc/[root@localhost~]#echo"Authorizedusersonly.Allactivitiesmaybemonitoredandreported.">/etc/[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件將加固時新增的行刪除，如果文件默認存在未注banner行，去掉Banner行的注釋，恢復(fù)/etc/文件。[root@localhost~]#systemctlrestartsshd檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄前警告Banner。通過如下命令檢查/etc/ssh/sshd_config文件中Banner后路徑是否為/etc/：kylin@Kylin:~$sudogrep"^Banner"/etc/ssh/sshd_config7Banner/etc/檢查/etc/文件中是否包含如下行（默認值為KylinV10SP1Authorizedusersonly.Allactivitiesmaybemonitoredandreported.結(jié)果為Banner后路徑為/etc/；/etc/文件存在上述行，滿編輯/etc/ssh/sshd_config文件，如果存在Banner在行首添加"#"進行注釋，在注釋行之后添加以下內(nèi)容，不存在Banner行Banner/etc/kylin@Kylin:~$sudobash-c'echo"Authorizedusersonly.Allactivitiesmaybemonitoredandreported.">/etc/'kylin@Kylin:~$sudosystemctlrestartsshd編輯/etc/ssh/sshd_config文件將加固時新增的行刪除，如果文件默認存在未注banner行，去掉Banner行的注釋，恢復(fù)/etc/文件(KylinV10SP1)。kylin@Kylin:~$sudosystemctlrestartsshd81.3設(shè)置ssh成功登錄后Banner信息銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄后警告Banner。通過如下命令驗證SSH服務(wù)是否應(yīng)用pam_motd.so模塊：[root@localhost~]#grep"pam_motd.so"/etc/pam.d/sshd|grep"session"|grep"optional"sessionoptionalpam_motd.so通過如下命令檢查/etc/motd文件是否包含如下內(nèi)容:[root@localhost~]#cat/etc/motdLoginsuccess.Allactivitywillbemonitoredandreported.結(jié)果為/etc/pam.d/sshd存在上述行；/etc/motd文件存在上述行，滿足基線要求，無需加固，否則建議執(zhí)行加固方法，加固前先記錄一下/etc/motd文件的默認內(nèi)9編輯/etc/pam.d/sshd文件，添加如下行確保ssh應(yīng)用pam_motd.so模塊：sessionoptionalpam_motd.so[root@localhost~]#echo"Loginsuccess.Allactivitywillbemonitoredandreported.">/etc/motd編輯/etc/pam.d/sshd文件將加固時新增的行刪除：sessionoptionalpam_motd.so編輯/etc/motd文件恢復(fù)默認內(nèi)容，刪除添加的信息：Loginsuccess.Allactivitywillbemonitoredandreported.檢查系統(tǒng)openssh安全配置，設(shè)置ssh登錄后警告Banner。通過如下命令驗證SSH服務(wù)是否應(yīng)用pam_motd.so模塊：kylin@Kylin:~$sudogrep"pam_motd.so"/etc/pam.d/sshd|grep"session"|grep"optional"sessionoptionalpam_motd.somotd=/run/motd.dynamicsessionoptionalpam_motd.sonoupdate通過如下命令檢查/etc/update-motd.d/00-header文件是否包含如下內(nèi)容:kylin@Kylin:~$sudocat/etc/update-motd.d/00-header|grep'Loginsuccess'printf'Authorizedusersonly.Allactivitiesmaybemonitoredandreported.'結(jié)果為/etc/pam.d/sshd存在上述行；/etc/motd文件存在上述行，滿足基線要求，無需加固，否則建議執(zhí)行加固方法，加固前先記錄一下/etc/motd文件的默認內(nèi)編輯/etc/pam.d/sshd文件，添加如下行確保ssh應(yīng)用pam_motd.so模塊：sessionoptionalpam_motd.so通過如下命令在/etc/update-motd.d/00-header設(shè)置相關(guān)警告信息：kylin@Kylin:~$echo"printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'"|sudotee-a/etc/update-motd.d/00-header>/dev/null編輯/etc/pam.d/sshd文件將加固時新增的行刪除：sessionoptionalpam_motd.so編輯/etc/motd文件恢復(fù)默認內(nèi)容，刪除添加的信息：printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'1.4禁止root用戶登錄SSH銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，禁止root用戶通過ssh登錄。通過如下命令驗證是否已配置ssh禁止root登錄，配置PermitRootLogin為[root@localhost~]#grep"^PermitRootLogin"/etc/ssh/sshd_configPermitRootLoginno結(jié)果為PermitRootLoginno滿足基線要求，無需編輯/etc/ssh/sshd_config文件，如果存在未注釋的PermitRootLogin行，在行首添加"#"進行注釋，在注釋行之后添加以下內(nèi)容，不存在PermitRootLogin參數(shù)PermitRootLoginno[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件將加固時新增的行刪除，恢復(fù)文件默認內(nèi)容，重[root@localhost~]#systemctlrestartsshdroot用戶無法通過ssh服務(wù)遠程登錄本服務(wù)器。銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，ssh服務(wù)使用安全的協(xié)議版本。麒麟操作系統(tǒng)安全基線配置操作手冊SSH1：SSH1是最初的版本，主要由TatuYl?nen在1995年開發(fā)。它并未嚴格遵循IETF（InternetEngin包括公鑰認證機制。RFC4253：定義了SSH傳輸層協(xié)議，用于加密和壓縮會話數(shù)RFC4255：定義了SSH公鑰指紋格式。它們在安全性和功能上有顯著的區(qū)別：弱的加密算法，并且在密鑰交換和會話完整性保護方面不如S麒麟操作系統(tǒng)安全基線配置操作手冊[root@localhost~]#grep"^Protocol"/etc/ssh/sshd_configProtocol2編輯/etc/ssh/sshd_config文件，如果存在未注釋的Protocol行在首添加"#"進Protocol2[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件把加固時新增的行刪除，恢復(fù)文件默認內(nèi)容，然后重啟sshd服務(wù):[root@localhost~]#systemctlrestartsshd銀河麒麟高級服務(wù)器操作系統(tǒng)V10[root@localhost~]#grep"^LogLevel"/etc/ssh/sshd_configLogLevelINFO編輯/etc/ssh/sshd_config文件找到LogLevel所在行，如果存在未注釋的Loglevel在行首添加"#"進行注釋，在注釋行之后添加以下內(nèi)容不，不存在參數(shù)在文LogLevelINFO[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件把加固時新增的行刪除，再去掉查找到的LogLevel所在行的行首的"#"，然后重啟ssh服務(wù)：[root@localhost~]#systemctlrestartsshd1.7設(shè)置ssh失敗嘗試次數(shù)檢查系統(tǒng)openssh安全配置，設(shè)置SSH失敗嘗試次數(shù)。MaxAuthTries控制在斷開連接之前客戶端嘗試身份驗證的最大次數(shù)。[root@localhost~]#grep"^MaxAuthTries"/etc/ssh/sshd_configMaxAuthTries4結(jié)果為MaxAuthTries4或小于4滿足基線要求，無需加固，否則編輯/etc/ssh/sshd_config文件找到MaxAuthTries所在行，如果存在未注釋的MaxAuthTries在行首添加"#"進行注釋，在注釋行之后添加以下內(nèi)容，不存在參數(shù)MaxAuthTries4[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件把加固時新增的行刪除，恢復(fù)文件默認內(nèi)容，然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd銀河麒麟高級服務(wù)器操作系統(tǒng)V10[root@localhost~]#grep"^PermitEmptyPasswords"/etc/ssh/sshd_configPermitEmptyPasswordsno結(jié)果為PermitEmptyPasswordsno滿足基線要求，無需加固，否則建議執(zhí)行編輯/etc/ssh/sshd_config文件找到PermitEmptyPasswords所在行，如果存在未注釋的PermitEmptyPasswords行，在行首添加"#"進行注釋，在注釋行之后添加以下內(nèi)容:PermitEmptyPasswordsno然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件把加固時新增的行刪除，如果存在未注釋的[root@localhost~]#systemctlrestartsshd銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，禁用SSH環(huán)境啟用PermitUserEnvironment可能會帶來一些安全風(fēng)險，因為攻擊者可能嘗試通過修改用戶的~/.ssh/environment文件來注入惡意環(huán)境變量。[root@localhost~]#grep"^PermitUserEnvironment"/etc/ssh/sshd_configPermitUserEnvironmentno結(jié)果為PermitUserEnvironmentno滿足基線要求，無需加固，否則建議執(zhí)行編輯/etc/ssh/sshd_config文件，如果存在未注釋的PermitUserEnvironment末添加以下內(nèi)容:PermitUserEnvironmentno然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件把加固時新增的行全部刪除，恢復(fù)文件默認內(nèi)容，然后重啟sshd服務(wù)：[root@localhost~]#systemctlrestartsshd用戶在~/.ssh/environment文件中定義的環(huán)境變量不會生效。1.10開啟ssh強加密算法銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，啟用強加密算法。1987年設(shè)計的一種流密碼算法。MD5：盡管MD5在哈希領(lǐng)域廣泛使用，但由于其通過如下命令檢查系統(tǒng)加密算法中不包含弱加密算法arcfour、3des、md5、[root@localhost~]#cat/etc/ssh/sshd_config|grep-v'^#'|grepCiphersCiphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@,aes256-gcm@,chacha20-poly1305@編輯/etc/ssh/sshd_config文件Ciphers所在行，在行首添加"#"進行注釋，在Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc[root@localhost~]#systemctlrestartsshd編輯/etc/ssh/sshd_config文件把以下加固時新增的行全部刪除，再去掉查找到的Ciphers所在行的行首的"#"：Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc[root@localhost~]#systemctlrestartsshd強加密算法通常具有更高的加密強度和更復(fù)雜的加密過程，這使得數(shù)據(jù)在傳輸過1.11開啟ssh服務(wù)自啟動銀河麒麟高級服務(wù)器操作系統(tǒng)V10[root@localhost~]#systemctlis-enabledsshd.serviceenable[root@localhost~]#systemctlis-activesshd.serviceactive結(jié)果為enable代表禁止服務(wù)自啟動；結(jié)果為active代表服務(wù)處于非活躍的狀態(tài)，[root@localhost~]#systemctlenablesshd.service[root@localhost~]#systemctlstartsshd.service[root@localhost~]#systemctldisablesshd.service[root@localhost~]#systemctlstopsshd.service啟動sshd.service意味著系統(tǒng)開啟了SecureShell(SSH)服務(wù)，允許其他用戶或管理員通過網(wǎng)絡(luò)使用加密的連接方式登錄到這臺服務(wù)器。這意味著你可以在本地主銀河麒麟高級服務(wù)器操作系統(tǒng)V10禁用telnet服務(wù)通常是為了增強系統(tǒng)的安全性，因為telnet協(xié)議以明文方式傳通過如下命令驗證telnet服務(wù)是否已關(guān)閉：[root@localhost~]#systemctlis-enabledtelnet.socketdisabled[root@localhost~]#systemctlis-activetelnet.socketin-active結(jié)果為diable代表禁止服務(wù)自啟動；結(jié)果為inactive、unknow代表服務(wù)處于通過如下命令關(guān)閉telnet服務(wù)：麒麟操作系統(tǒng)安全基線配置操作手冊[root@localhost~]#systemctldisabletelnet.socket[root@localhost~]#systemctlstoptelnet.socket通過如下命令開啟telnet服務(wù)：[root@localhost~]#systemctlenabletelnet.socket[root@localhost~]#systemctlstarttelnet.socket關(guān)閉Telnet服務(wù)器以阻止遠程連接到此計算機的Telnet服務(wù)。銀河麒麟高級服務(wù)器操作系統(tǒng)V10stream、daytime-dgram、eklogin、echo-stream、echo-dgram、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、麒麟操作系統(tǒng)安全基線配置操作手冊[root@localhost~]#chkconfig--list運行結(jié)果（以部分xinetd的服務(wù)為例chargen-dgram:關(guān)chargen-stream:關(guān)cvs:關(guān)daytime-dgram:關(guān)daytime-stream:關(guān)discard-dgram:關(guān)discard-stream:關(guān)echo-dgram:關(guān)echo-stream:關(guān)tcpmux-server:關(guān)time-dgram:關(guān)time-stream:關(guān)通過如下命令禁用chargen-dgram、chargen-stream、daytime-dgram、daytime-stream、eklogin、echo-dgram、echo-stream、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、麒麟操作系統(tǒng)安全基線配置操作手冊[root@localhost~]#chkconfig<服務(wù)名>off通過如下命令將加固時設(shè)置為off的服務(wù)啟用：[root@localhost~]#chkconfig<服務(wù)名>on加固后無法使用所示的服務(wù)：chargen-dgram、chargen-stream、daytime-dgram、daytime-stream、eklogin、echo-dgram、echo-stream、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp。服務(wù)功能chargen-dgram產(chǎn)生隨機字符序列的網(wǎng)絡(luò)服務(wù)。chargen-stream連續(xù)發(fā)送生成的隨機字符序列的網(wǎng)絡(luò)服務(wù)。daytime-dgram返回當前日期時間的服務(wù)，使用UDP協(xié)議。daytime-stream返回當前日期時間的服務(wù)，使用TCP協(xié)議。eklogineklogin服務(wù)通常是指在AIX系統(tǒng)（IBM的Unix操作系統(tǒng)）中的一個組件，它是AIXEnhancedKerberos登錄(EKA)功能的一部分。EKA提供了基于Kerberosv5協(xié)議的身份驗證和安全遠程登錄功能。echo-dgram回顯客戶端發(fā)來的消息的服務(wù)，使用UDP協(xié)議。echo-stream回顯客戶端發(fā)來的消息的服務(wù)，使用TCP協(xié)議。tcpmux-serverTCP服務(wù)多路復(fù)用器，為多個不同的服務(wù)提供統(tǒng)一端口號。discard-dgram丟棄接收到的數(shù)據(jù)包的服務(wù)，使用UDP協(xié)議。麒麟操作系統(tǒng)安全基線配置操作手冊服務(wù)功能discard-stream丟棄接收到的數(shù)據(jù)包的服務(wù)，使用TCP協(xié)議。klogin遠程登錄KerberosV5安全shell。krb5-telnet支持KerberosV5的Telnet協(xié)議。ekrb5-telnet加密的KerberosV5Telnet協(xié)議，旨在提供更安全的數(shù)據(jù)傳輸。cvsCVS(ConcurrentVersionsSystem)有一些潛在的風(fēng)險，比如容易遭受拒絕服務(wù)攻擊和非授權(quán)訪問等問題kshellkshell服務(wù)是指KShell守護進程。time-dgram返回當前日期時間的服務(wù)，使用UDP協(xié)議。time-stream返回當前日期時間的服務(wù)，使用TCP協(xié)議。lpd一種網(wǎng)絡(luò)打印協(xié)議。gssftp基于KerberosV5的FTP協(xié)議，支持文件傳輸。1.14關(guān)閉系統(tǒng)不必要的端口銀河麒麟高級服務(wù)器操作系統(tǒng)V10麒麟操作系統(tǒng)安全基線配置操作手冊關(guān)閉高危端口。以22端口為例。[root@localhost~]#firewall-cmd--query-port=22/tcpno[root@localhost~]#firewall-cmd--query-port=22/udpno通過如下命令檢查所有端口是否已關(guān)閉SCTP傳輸:[root@localhost~]#firewall-cmd--query-port=22/sctpno通過如下命令禁止端口TCP傳輸:[root@localhost~]#firewall-cmd--remove-port=22/tcpsuccess[root@localhost~]#firewall-cmd--remove-port=22/udpsuccess通過如下命令禁止端口SCTP傳輸：[root@localhost~]#firewall-cmd--remove-port=22/sctpsuccess[root@localhost~]#firewall-cmd--runtime-to-permanentsuccess[root@localhost~]#firewall-cmd--add-port=22/tcpsuccess[root@localhost~]#firewall-cmd--add-port=22/udpsuccess[root@localhost~]#firewall-cmd--add-port=22/sctpsuccess[root@localhost~]#firewall-cmd--runtime-to-permanentsuccess關(guān)閉高危端口。以22端口為例。通過如下命令檢查端口是否已設(shè)置關(guān)閉規(guī)則,若未設(shè)置則kylin@Kylin:~$sudoufwstatusverbose|grep22kylin@Kylin:~$sudoufwdeny22kylin@Kylin:~$sudoufwallow22銀河麒麟高級服務(wù)器操作系統(tǒng)V10通過/etc/hosts.allow和/etc/hosts.deny文件實現(xiàn)對ssh訪問源的限制通，可通過如下命令檢查文件/etc/hosts.allow中是否已配置允許/24[root@localhost~]#cat/etc/hosts.allow|grep"192.168.201.*"sshd:192.168.201.*:allow通過如下命令檢查文件/etc/hosts.deny中內(nèi)容是否已配置禁止所有網(wǎng)段訪問：[root@localhost~]#grep'sshd'/etc/hosts.denysshd:ALL將目標網(wǎng)段按格式加入/etc/hosts.allow；/etc/hosts.deny里禁止所有網(wǎng)段，滿如果文件不存在先創(chuàng)建該文件再編輯，如果文件存在直接編輯/etc/hosts.allowsshd:192.168.201.*:allow如果文件不存在先創(chuàng)建該文件再編輯，如果文件存在直接編輯/etc/hosts.denysshd:ALL[root@localhost~]#systemctlrestartsshd如果文件默認不存在刪除該文件，如果文件默認存在編輯/etc/hosts.allow文件sshd:192.168.201.*:allow如果文件默認不存在刪除該文件，如果文件默認存在編輯/etc/hosts.deny文件sshd:ALL[root@localhost~]#systemctlrestartsshd通過pam.d模塊實現(xiàn)對ssh訪問源的限制通，可以使S通過如下命令檢測ssh服務(wù)是否已啟用pam.d模塊：[root@localhost~]#cat/etc/pam.d/sshd|grepaccount|greprequired|greppam_access.soaccountrequiredpam_access.so通過如下命令檢查文件/etc/security/access.conf中是否已配置允許/24網(wǎng)段訪問：[root@localhost~]#cat/etc/security/access.conf|grep+|grepALL|grep"/24"+:ALL:192.168.201.0/24通過如下命令檢查文件/etc/security/access.conf中內(nèi)容是否已配置禁止所有網(wǎng)[root@localhost~]#grep':\bALL:ALL\b'/etc/security/access.conf-:ALL:ALL檢查/etc/security/access.conf文件中-:ALL:ALL所在行要在所有+:ALL:ip段/24所在行的后面。啟用pam模塊，將目標網(wǎng)段按上述格式加入/etc/security/access.conf；將禁止所有網(wǎng)段按上述格式加入/etc/security/access.conf，滿足基線要求，無需加固，編輯/etc/pam.d/sshd文件添加如下內(nèi)容：accountrequiredpam_access.so編輯/etc/security/access.conf文件添加內(nèi)容，-:ALL:ALL要在所有+:ALL:ip段/24行之后：+:ALL:192.168.201.0/24-:ALL:-ALL編輯/etc/pam.d/sshd文件刪除加固時添加的內(nèi)容：accountrequiredpam_access.so編輯/etc/security/access.conf文件刪除加固時添加的內(nèi)容：+:ALL:192.168.201.0/24-:ALL:-ALL1.16設(shè)置登錄后系統(tǒng)提示信息銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)openssh安全配置，用戶成功登錄時顯示上次登錄的信息。[root@localhost~]#grep"^PrintLastLog"/etc/ssh/sshd_configPrintLastLogyes結(jié)果為PrintLastLogyes或不存在該參數(shù)均滿足基線要求，無需加固，否則建議編輯/etc/ssh/sshd_config文件，如果存在未注釋的PrintLastLog參數(shù)，在行PrintLastLogyes[root@localhost~]#systemctlrestartsshd把加固時新增的行全部刪除，如果默認存在未注釋[root@localhost~]#systemctlrestartsshd2.1禁止icmp重定向報文銀河麒麟高級服務(wù)器操作系統(tǒng)V10net.ipv4.conf.all.accept_redirects和net.ipv6.conf.all.accept_redirects設(shè)置net.ipv4.conf.all.secure_redirects和net.ipv4.conf.default.send_redirects設(shè)通過如下命令驗證是否禁止icmp重定向：[root@localhost~]#sysctlnet.ipv4.conf.all.accept_redirectsnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.default.accept_redirectsnet.ipv4.conf.default.accept_redirects=0[root@localhost~]#grep"^net.ipv4.conf.all.accept_redirects"/etc/sysctl.confnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#grep"^net.ipv4.conf.default.accept_redirects"/etc/sysctl.confnet.ipv4.conf.default.accept_redirects=0結(jié)果命令和文件存在net.ipv4.conf.all.accept_redirects=0、net.ipv4.conf.default.accept_redirects=0，滿足基線要求，無需加固，否則建編輯/etc/sysctl.conf文件，如果查到關(guān)鍵行，在行首添加"#"進行注釋，在注釋net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0通過如下命令載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p編輯/etc/sysctl.conf文件把加固時新增的行刪除，恢復(fù)文件默認內(nèi)容，通過如下命令以載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p關(guān)閉accept_redirects參數(shù)后，內(nèi)核將不再接收ICMP重定向報文，可能導(dǎo)致網(wǎng)銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)內(nèi)核參數(shù)配置，檢查send_redirects配置。send_redirects是Linux系統(tǒng)中的一個配置選項，用于控制網(wǎng)絡(luò)棧是否允許發(fā)送重定向包。當send_redirect通過如下命令驗證是否禁止send_redirects發(fā)送定向：[root@localhost~]#sysctlnet.ipv4.conf.all.send_redirectsnet.ipv4.conf.all.send_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.default.send_redirectsnet.ipv4.conf.default.send_redirects=0[root@localhost~]#grep"^net.ipv4.conf.all.send_redirects"/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0[root@localhost~]#grep"^net.ipv4.conf.default.send_redirects"/etc/sysctl.confnet.ipv4.conf.default.send_redirects=0結(jié)果命令和文件存在net.ipv4.conf.all.send_redirects=0、net.ipv4.conf.default.send_redirects=0，滿足基線要求，無需加固，否則建議編輯/etc/sysctl.conf文件，如果查到關(guān)鍵行，在行首添加"#"進行注釋，在注釋net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.send_redirects=0通過如下命令載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p40編輯/etc/sysctl.conf文件把加固時新增的行刪除，恢復(fù)文件默認內(nèi)容，通過如下命令以載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p銀河麒麟高級服務(wù)器操作系統(tǒng)V1041echo報文給受害者（被偽造地址的設(shè)備）。通過如下命令驗證是否忽略icmpecho請求廣播：[root@localhost~]#sysctlnet.ipv4.icmp_echo_ignore_broadcastsnet.ipv4.icmp_echo_ignore_broadcasts=1[root@localhost~]#grep"^net.ipv4.icmp_echo_ignore_broadcasts"/etc/sysctl.confnet.ipv4.icmp_echo_ignore_broadcasts=1結(jié)果命令和文件存在net.ipv4.icmp_echo_ignore_broadcasts=1，滿足基編輯/etc/sysctl.conf文件，如果查到關(guān)鍵行，在行首添加"#"進行注釋，在注釋net.ipv4.icmp_echo_ignore_broadcasts=1通過如下命令載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p編輯/etc/sysctl.conf文件把加固時新增的行刪除，恢復(fù)文件默認內(nèi)容，通過如下命令以載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p禁用icmp_echo_ignore_broadcasts參數(shù)后，內(nèi)核將不再響應(yīng)來自廣播地址的42銀河麒麟高級服務(wù)器操作系統(tǒng)V10通過如下命令驗證是否禁止icmp源路由：[root@localhost~]#sysctlnet.ipv4.conf.all.accept_source_routenet.ipv4.conf.all.accept_source_route=043[root@localhost~]#sysctlnet.ipv4.conf.default.accept_source_routenet.ipv4.conf.default.accept_source_route=0[root@localhost~]#grep"^net.ipv4.conf.all.accept_source_route"/etc/sysctl.confnet.ipv4.conf.all.accept_source_route=0[root@localhost~]#grep"^net.ipv4.conf.default.accept_source_route"/etc/sysctl.confnet.ipv4.conf.default.accept_source_route=0結(jié)果命令和文件存在net.ipv4.conf.all.accept_source_route=0、net.ipv4.conf.default.accept_source_route=0，滿足基線要求，無需加固，否編輯/etc/sysctl.conf文件，如果查到關(guān)鍵行，在行首添加"#"進行注釋，在注釋net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.default.accept_source_route=0通過如下命令載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p編輯/etc/sysctl.conf文件把加固時新增的行刪除，如果原文件未注釋再去掉加固時注釋行首的"#"，通過如下命令以載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p禁用accept_source_route參數(shù)后，內(nèi)核將不再接受含有源路由信息的IP數(shù)據(jù)44銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查系統(tǒng)內(nèi)核參數(shù)配置，檢查ip_forward配置。說明net.ipv4.ip_forward參數(shù)是Linux系統(tǒng)中的一個網(wǎng)絡(luò)參數(shù)，用于控制內(nèi)核通過如下命令驗證是否禁止ip_forward數(shù)據(jù)包轉(zhuǎn)發(fā)：[root@localhost~]#sysctlnet.ipv4.ip_forwardnet.ipv4.ip_forward=0[root@localhost~]#grep"^net.ipv4.ip_forward"/etc/sysctl.confnet.ipv4.ip_forward=0結(jié)果命令和文件存在net.ipv4.ip_forward=0，滿足基線要求，無需加固，否45編輯/etc/sysctl.conf文件把查找到的行在行首添加"#"進行注釋，在注釋行之后net.ipv4.ip_forward=0通過如下命令以載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p編輯/etc/sysctl.conf文件把加固時新增的行刪除，如果原文件未注釋再去掉加固時注釋行首的"#"，通過如下命令以載入sysctl配置文件，并設(shè)置活動內(nèi)核參數(shù)：[root@localhost~]#sysctl-p3.1修改snmp默認團體字46銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查是否修改snmp默認團體字。通過如下命令驗證snmp是否存在默認public團體字：[root@localhost~]#cat/etc/snmp/snmpd.conf|grep"public"|grep"default"|grep-v"^#"com2secnotConfigUserdefaultpublic通過如下命令驗證snmp是否存在默認private團體字：[root@localhost~]#cat/etc/snmp/snmpd.conf|grep"private"|grep"default"|grep-v"^#"com2secnotConfigUserdefaultprivate結(jié)果存在默認public團體字、結(jié)果存在默認private團體字需要加固，建議執(zhí)行編輯/etc/snmp/snmpd.conf文件把查找到的行在行首添加"#"進行注釋，如果存在public或public的行把注釋行的public改成：security_snmp1，private改成：security_snmp2并去除default關(guān)鍵字，添加在注釋行的下面:com2seccom2secnotConfigUsernotConfigUsersecurity_snmp1security_snmp2重啟snmp服務(wù)：47[root@localhost~]#systemctlrestartsnmpd編輯/etc/snmp/snmpd.conf文件把加固時新增的行刪除，如果默認存在注釋行再去掉查找到的行的行首的"#"，重啟snmp服務(wù)：[root@localhost~]#systemctlrestartsnmpd禁用使用"public"和"private"共同體字符串的SNMP訪問，使用這些共同體字符串的SNMP請求將無法通過身份驗證?？墒褂胹ecurity_snmp1、security_snmp2團體字。4系統(tǒng)命令銀河麒麟高級服務(wù)器操作系統(tǒng)V10啟用sudo日志可以審計用戶在使用sudo時執(zhí)行了什么命令等相關(guān)信息。48查詢文件/etc/sudoers是否包含如下參數(shù)，不包含則需加固：[root@localhost~]#vim/etc/sudoersDefaultslogfile=/var/log/sudo.log查詢文件/etc/rsyslog.conf是否包含如下參數(shù)，不包含則需加固：[root@localhost~]#cat/etc/rsyslog.conflocal2.debug/var/log/sudo.log結(jié)果/etc/sudoers、/etc/rsyslog.conf文件存在上述內(nèi)容，滿足基線要求，無需注意空白處用"Tab"鍵補齊，不可以用空格創(chuàng)建sudo.log文件：[root@localhost~]#touch/var/log/sudo.log[root@localhost~]#chownroot:root/var/log/sudo.log修改rsyslog配置文件,添加以下內(nèi)容：[root@localhost~]#vim/etc/rsyslog.conflocal2.debug/var/log/sudo.log重啟rsyslog服務(wù)：[root@localhost~]#systemctlrestartrsyslog[root@localhost~]#visudoDefaultslogfile=/var/log/sudo.log49刪除sudo.log文件：[root@localhost~]#rm/var/log/sudo.log修改rsyslog配置文件,刪除以下內(nèi)容：[root@localhost~]#vim/etc/rsyslog.conflocal2.debug/var/log/sudo.log重啟rsyslog服務(wù)：[root@localhost~]#systemctlrestartrsyslog[root@localhost~]#visudoDefaultslogfile=/var/log/sudo.log配置將這些日志消息定向到/var/log/sudo.log文件。所有匹配local2.debug4.2設(shè)置sudo命令使用偽終端執(zhí)行銀河麒麟高級服務(wù)器操作系統(tǒng)V10在Linux系統(tǒng)中，sudo命令允許授權(quán)用戶以其他用戶（通常是root）的身份運端（pseudo-terminal，簡稱為pty）。偽終端是一種模擬的終端設(shè)備，常用于需要查詢文件/etc/sudoers是否存在以下行：[root@localhost~]#grep"use_pty"/etc/sudoersDefaultsuse_pty結(jié)果/etc/sudoers文件存在上述內(nèi)容，滿足基線要求，無需加固，否則建議執(zhí)行[root@localhost~]#visudoDefaultsuse_pty[root@localhost~]#visudoDefaultsuse_pty啟用偽終端（Pseudo-Terminal，PTY）：Defaultsuse_pty這一行指令告訴sudo在執(zhí)行命令時使用一個偽終端。偽終端是一種模擬真實終端設(shè)備的軟件機制，認證繞過攻擊。通過使用PTY，sudo能夠更準確地模擬終端環(huán)境，使得4.3設(shè)置使用指定用戶sudo提權(quán)需輸入指定用戶的密碼銀河麒麟高級服務(wù)器操作系統(tǒng)V10該用戶自己的密碼，而不是超級用戶的密碼。這是sudo查詢文件/etc/sudoers是否存在以下行：Defaultstargetpw結(jié)果/etc/sudoers文件存在上述內(nèi)容，滿足基線要求，無需加固，否則建議執(zhí)行[root@localhost~]#visudoDefaultstargetpw[root@localhost~]#visudoDefaultstargetpw密碼提示：Defaultstargetpw這一行指令告訴sudo在用戶以其他用戶身份們也需要知道目標用戶的密碼才能以該用戶的身份執(zhí)行命令。這可以4.4配置su命令使用情況記錄銀河麒麟高級服務(wù)器操作系統(tǒng)V10檢查/etc/rsyslog.conf文件是否配置了如下行：[root@localhost~]#cat/etc/rsyslog.confauthpriv.*/var/log/secure結(jié)果/etc/rsyslog.con文件存在上述內(nèi)容，滿足基線要求，無需加固，否則建議編輯/etc/rsyslog.conf文件，添加如下行：authpriv.*/var/log/secure編輯/etc/rsyslog.conf文件，刪除添加的行：authpriv.*/var/log/securesu命令使用的日志消息都會被寫入到/var/log/secure文件中。檢查/etc/rsyslog.conf文件是否配置了如下行：[root@localhost~]#cat/etc/rsyslog.confauthpriv.*/var/log/auth.log結(jié)果/etc/rsyslog.con文件存在上述內(nèi)容，滿足基線要求，無需加固，否則建議編輯/etc/rsyslog.conf文件，添加如下行：authpriv.*/var/log/auth.log編輯/etc/rsyslog.conf文件，刪除添加的行：authpriv.*/var/log/auth.logsu命令使用的日志消息都會被寫入到/var/log/auth.log文件中。4.5限制輸出和保留歷史命令的條數(shù)銀河麒麟高級服務(wù)器操作系統(tǒng)V10通過如下命令驗證查看保留歷史命令的條數(shù)條數(shù)設(shè)置為5條以下:[root@localhost~]#grep"^HISTSIZE"/etc/profile5通過如下命令驗證查看保留歷史命令的記錄文件大小條數(shù)設(shè)置為5條以下:[root@localhost~]#grep"^HISTFILESIZE"/etc/profile5結(jié)果/etc/profile文件HISTSIZE參數(shù)設(shè)置為5條以下、HISTFILESIZE參數(shù)設(shè)置編輯/etc/profile文件，將查找到的行在行首添加"#"進行注釋，在注釋行下添加HISTSIZE=5[root@localhost~]#source/etc/profile編輯/etc/profile文件，查找HISTSIZE所在的行，在行首去掉"#"注釋，刪除加HISTSIZE=5[root@localhost~]#source/etc/profile配置后只能輸出和保留最近的5條歷史命令。5系統(tǒng)審計5.1開啟審計機制銀河麒麟高級服務(wù)器操作系統(tǒng)V10x86_64架構(gòu)為例。通過如下命令檢查auditd服務(wù)是否開啟：[root@localhost~]#systemctlis-enabledauditd.serviceenabled[root@localhost~]#systemctlis-activeauditd.serviceactive結(jié)果為enable代表服務(wù)自啟動；結(jié)果為active代表服務(wù)處于活躍的狀態(tài)，滿足設(shè)置auditd服務(wù)自啟動：[root@localhost~]#systemctlenableauditd.service[root@localhost~]#systemctlstartauditd.service注意：V4需要先安裝auditd包kylin@Kylin:~$sudoaptinstallauditd禁止auditd服務(wù)自啟動：[root@localhost~]#systemctldisableauditd.service停止auditd服務(wù)：[root@localhost~]#systemctlstopauditd.service查看系統(tǒng)引導(dǎo)參數(shù)，包含"audit=0"參數(shù)，說明內(nèi)核審計已關(guān)閉，否則添加"audit=0"，然后重啟系統(tǒng)：Boot引導(dǎo)方式下：[root@localhost~]#cat-n/boot/grub2/grub.cfg|grep"vmlinuz"|grep[架構(gòu)]linux/vmlinuz-4.19.90-83.1.v2307.ky10.x86_64root=/dev/mapper/klas-rootroresume=/dev/mapper/klas-swaprd.lvm.lv=klas/rootrd.lvm.lv=klas/swaprhgbquietcrashkernel=1024M,highaudit=0security=nonelsm=noneUEFI引導(dǎo)方式下：[root@localhost~]#cat-n/boot/efi/EFI/kylin/grub.cfg|grep"vmlinuz"|grep[架構(gòu)]linux/vmlinuz-4.19.90-83.1.v2307.ky10.x86_64root=/dev/mapper/klas-rootroresume=/dev/mapper/klas-swaprd.lvm.lv=klas/rootrd.lvm.lv=klas/swaprhgbquietcrashkernel=1024M,highaudit=0security=nonelsm=none系統(tǒng)性能overhead：啟動audit服務(wù)會增加系統(tǒng)的負載，因為它需要監(jiān)控和記錄系統(tǒng)的各種活動。這包括文件訪問、系統(tǒng)調(diào)用、用戶登錄注銷安全性增強：audit服務(wù)的主要目的是跟蹤和記錄用戶的操作，這對于安全分析和入侵檢測非常有用。審計日志存儲需求增加：audit服務(wù)生成的審計日志需要存儲空間。隨著系統(tǒng)活動的增加，審計日志的大小也會增長。如果不合理管理審計日志，例如設(shè)置適當?shù)娜罩緍otate策x86_64架構(gòu)為例。[root@localhost~]#archx86_64·系統(tǒng)是bios引導(dǎo)，檢查/boot/grub2/grub.cfg文件，匹配"vmlinuz"參數(shù)，匹配上一步arch命令查出的"[架構(gòu)]"參數(shù)，檢查audit是否已開啟，1開啟，0未開啟：[root@localhost~]#cat-n/boot/grub2/grub.cfg|grep"vmlinuz"|grep[架構(gòu)]linux/vmlinuz-4.19.90-83.1.v2307.ky10.x86_64root=/dev/mapper/klas-rootroresume=/dev/mapper/klas-swaprd.lvm.lv=klas/rootrd.lvm.lv=klas/swaprhgbquietcrashkernel=1024M,highaudit=0security=nonelsm=none系統(tǒng)是uefi引導(dǎo)，檢查/boot/efi/EFI/kylin/grub.cfg文件中內(nèi)容，匹配"vmlinuz"參數(shù)，匹配上一步arch命令查出的"[架構(gòu)]"參數(shù)，檢查audit是否已開啟，通過如下命令檢查auditd服務(wù)是否開啟：[root@localhost~]#systemctlis-enabledauditd.serviceenabled[root@localhost~]#systemctlis-activeauditd.serviceactive結(jié)果為enable代表服務(wù)自啟動；結(jié)果為active代表服務(wù)處于活躍的狀態(tài);grub.cfg文件中，滿足基線要求，無需加固，否則建議執(zhí)行加固方法。根據(jù)檢查方法，確認要更改的文件，如果目標行無audit