Linux系統(tǒng)安全配置基線

中國(guó)移動(dòng)通信有限企業(yè)管理信息系統(tǒng)部

3月

版本版本控制信息更新日期更新人審批人

V1.0創(chuàng)立1月

備注：

若此文檔需要A來(lái)更新，請(qǐng)創(chuàng)立人填寫版本控制表格，否則刪除版本控制表格。

目錄

第I章概述......................................................錯(cuò)誤!未定義書簽。

U目........................................................錯(cuò)誤!未定義書簽。

1.2合用范圍..................................................錯(cuò)誤!未定義書簽。

1.3合用版本..................................................錯(cuò)誤!未定義書簽。

1.4實(shí)行......................................................錯(cuò)誤!未定義書簽。

L5例外條款..................................................錯(cuò)誤!未定義書簽。

第2章賬號(hào)管理、認(rèn)證授權(quán)........................................錯(cuò)誤!未定義書簽。

2.1賬號(hào)......................................................錯(cuò)誤!未定義書簽。

2.1.1顧客口令設(shè)置’.........................................錯(cuò)誤!未定義書簽。

2.1.2root顧客遠(yuǎn)程登錄限制..................................錯(cuò)誤!未定義書簽。

2.1.3檢查與否存在除mot之外UID為0顧客...................錯(cuò)誤!未定義書簽。

2.1.4root顧客環(huán)境變量安全性.................................錯(cuò)誤!未定義書簽。

2.2認(rèn)證.....................................................錯(cuò)誤!未定義書簽。

2.2.1遠(yuǎn)程連接安全性配置...................................錯(cuò)誤!未定義書簽。

2.2.2顧客umask安全配置....................................錯(cuò)誤!未定義書簽。

2.2.3重要目錄和文獻(xiàn)權(quán)限設(shè)置...............................錯(cuò)誤!未定義書簽。

2.2.4查找未授權(quán)SU1D/SG1D文獻(xiàn).............................錯(cuò)誤!未定義書簽。

2.2.5檢查任何人均有寫權(quán)限目錄.............................錯(cuò)誤!未定義書簽。

2.2.6查找任何人均有寫權(quán)限文獻(xiàn).............................錯(cuò)誤!未定義書簽。

2.2.7檢查沒(méi)有屬主文獻(xiàn).....................................錯(cuò)誤!未定義書簽。

2.2.8檢查異常隱含文獻(xiàn).....................................錯(cuò)誤!未定義書簽。

第3章日志審計(jì)..................................................錯(cuò)誤!未定義書簽。

3.1日志......................................................錯(cuò)誤!未定義書簽。

3.1.1syslog登錄事件記錄.....................................錯(cuò)誤!未定義書簽。

3.2審計(jì)......................................................錯(cuò)誤!未定義書簽。

3.2.1Syslog.conf配置審核......................................錯(cuò)誤!未定義書簽。

第4章系統(tǒng)文獻(xiàn)..................................................錯(cuò)誤!未定義書簽。

4.1系統(tǒng)狀態(tài)..................................................錯(cuò)誤!未定義書簽。

4.1.1系統(tǒng)coredump狀態(tài)....................................錯(cuò)誤!未定義書簽。

第5章評(píng)審與修訂...............................................錯(cuò)誤!未定義書簽.

第1章概述

1.1目

1.2本文檔規(guī)定了中國(guó)移動(dòng)通信有限企業(yè)管理信息系統(tǒng)部門

所維護(hù)管理LINUX操作系統(tǒng)主機(jī)應(yīng)當(dāng)遵照操作系統(tǒng)安

全性設(shè)置原則，本文檔意在指導(dǎo)系統(tǒng)管理人員或安全檢

查人員進(jìn)行LINUX操作系統(tǒng)安全合規(guī)性檢查和配置。

1.3合用范圍

1.4本配置原則使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理

員、網(wǎng)絡(luò)安全管理員。

1.5本配置原則合用范圍包括：中國(guó)移動(dòng)總部和各省企業(yè)信

息化部門維護(hù)管理LINUX服務(wù)器系統(tǒng)。

1.6合用版本

LINUX系列服務(wù)器；

1.7實(shí)行

本原則解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在木原則執(zhí)行過(guò)程中若有

任何疑問(wèn)或提議，應(yīng)及時(shí)反饋。

本原則公布之日起生效。

1.8例外條款

欲申請(qǐng)本原則例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文獻(xiàn)，闡明業(yè)務(wù)需求和原因，送交中

國(guó)移動(dòng)通信有限企業(yè)管理信息系統(tǒng)部進(jìn)行審批立案。

第2章賬號(hào)管理、認(rèn)證授權(quán)

2.1賬號(hào)

2.L1顧客口令設(shè)置

安全基線項(xiàng)

操作系統(tǒng)Linux顧客口令安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-01-01

號(hào)

安全基線項(xiàng)帳號(hào)與口令-顧客口令設(shè)置

闡明

檢測(cè)操作環(huán)

1.問(wèn)詢管理員與否存在如下類似簡(jiǎn)樸顧客密碼配置，例如：

節(jié)

root/root,test/lest,root/root1234

2.執(zhí)行：more/etc/login,檢查

PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE

參數(shù)

3、執(zhí)行:awk-F:'($2==",u){print$1},/etc/shadow,檢查與否存在空口令賬號(hào)

3.執(zhí)行:awk-F:,($2=,M,){print$1},/ctc/shadow,檢查與否存在空口令賬號(hào)

3、執(zhí)行：awk-F:'(S2==""){print$1},/etc/shadow,檢查與否存在空口令賬

號(hào)

基線符合性提議在/etcilogin文獻(xiàn)中配置：PASS_M1N_LEN=6

鑒定根據(jù)不容許存在簡(jiǎn)樸密碼，密碼設(shè)置符合方略，如長(zhǎng)度至少為6

不存在空口令賬號(hào)

備注

2.1.2root顧客遠(yuǎn)程登錄限制

安全基線項(xiàng)

操作系統(tǒng)Linux遠(yuǎn)程登錄安全基線規(guī)定項(xiàng)

目名稱

安全基線編SBL-Linux-02-01-02

號(hào)

安全基線項(xiàng)

帳號(hào)與口令-rool顧客遠(yuǎn)程登錄限制

闡明

檢測(cè)操作環(huán)

執(zhí)行：more/etc/securetty,檢查Console參數(shù)

節(jié)

基線符合性提議在/etcisecuretty文獻(xiàn)中配置：CONSOLE=/dev/ttyOl

鑒定根據(jù)

備注

2.1.3檢查與否存在除root之外UID為0顧客

安全基線項(xiàng)

操作系統(tǒng)Linux超級(jí)顧客方略安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-01-03

號(hào)

安全基線項(xiàng)帳號(hào)與口令-檢查與否存在除root之外UID為0顧客

闡明

檢測(cè)操作環(huán)

執(zhí)行:awk-F:'($3==0){print$1}'/ctc/passwd

節(jié)

基線符合性返回值包括“root”以外條目，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

UID為0任何顧客都擁有系統(tǒng)最高特權(quán)，保證只有root顧客UID為0

UID為0任何顧客都擁有系統(tǒng)最高特權(quán)，保證只有root顧客UID為0

2.1.4root顧客環(huán)境變量安全性

安全基線項(xiàng)

操作系統(tǒng)Linux超級(jí)顧客環(huán)境變量安全基線規(guī)定項(xiàng)

目名稱

安全基線編SBL-Linux-02-01-04

號(hào)

安全基線項(xiàng)帳號(hào)與口令-root顧客環(huán)境變量安全性

闡明

檢測(cè)操作環(huán)

執(zhí)行:echo$PATH|egrep'(A|:)(\.|:|$),,檢查與否包括父目錄，

節(jié)

執(zhí)行:find'echoSPATH|tr-typed\(-perm-002-o-perm-020\)-Is,檢查

與否包括組目錄權(quán)限為777目錄

執(zhí)行：find'echo$PATH|trTyped\(-perm-002-o-perm-020\)-Is,檢查

與否包括組目錄權(quán)限為777目錄

執(zhí)行：find'echo$PATH|tr'''-typed\(-perm-002-o-perm-020\)-Is,檢查

與否包括組目錄權(quán)限為777目錄

基線符合性返回值包括以上條件，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

保證root顧客系統(tǒng)途徑中不包括父目錄，在非必要狀況下，不應(yīng)包括組權(quán)限

為777目錄

保證「。。1顧客系統(tǒng)途徑中不包括父目錄，在非必要狀況下，不應(yīng)包括組權(quán)限

為777目錄

2.2認(rèn)證

2.2.1遠(yuǎn)程連接安全性配置

安全基線項(xiàng)操作系統(tǒng)Linux遠(yuǎn)程連接安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-01

號(hào)

安全基線項(xiàng)帳號(hào)與口令-遠(yuǎn)程連接安全性配置

闡明

檢測(cè)操作環(huán)

執(zhí)行：find/-name.nelrc,檢查系統(tǒng)中與否有.nelrc文獻(xiàn)，

節(jié)

執(zhí)行：find/-name.rhosts,檢查系統(tǒng)1與否有.rhosts義獻(xiàn)

執(zhí)行：find/-name.rhosts,檢查系統(tǒng)中與否有.「hosts文獻(xiàn)

執(zhí)行：find/-name.rhosts,檢查系統(tǒng)中與否有.rhosts文獻(xiàn)

基線符合性返回值包括以上條件，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

如無(wú)必要，刪除這兩個(gè)文獻(xiàn)

如無(wú)必要，刪除這兩個(gè)文獻(xiàn)

2.2.2顧客umask安全配置

安全基線項(xiàng)

操作系統(tǒng)Linux顧客umask安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-02

號(hào)

安全基線項(xiàng)

帳號(hào)與口令-顧客umask安全配置

闡明

檢測(cè)操作環(huán)

執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore

節(jié)

/etc/bashrc檢查與否包括umask值

基線符合性

umask值是默認(rèn)，則低于安全規(guī)定

鑒定根據(jù)

備注補(bǔ)充操作闡明

提議設(shè)置顧客默認(rèn)umask=077

223重要目錄和文獻(xiàn)權(quán)限設(shè)置

安全基線項(xiàng)

操作系統(tǒng)Linux目錄文獻(xiàn)權(quán)限安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-03

號(hào)

安全基線項(xiàng)文獻(xiàn)系統(tǒng)-重要目錄和文獻(xiàn)權(quán)限設(shè)置

闡明

檢測(cè)操作環(huán)執(zhí)行如下命令檢查目錄和文獻(xiàn)權(quán)限設(shè)置狀況：

節(jié)

Is-1/etc/

Is-1/etc/rc.d/init.d/

Is-1Amp

Is-1/etc/inetd.conf

Is-1/etc/passwd

Is-1/etc/shadow

Is-1/etc/group

Is-1/etc/security

Is-1/etc/services

Is-1/etc/rc*.d

基線符合性若權(quán)限過(guò)低，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

對(duì)于重要目錄,提議執(zhí)行如下類似操作：

#chmod-R750/e(c/rc.d/init.d/*

這樣只有mot可以讀、寫和執(zhí)行這個(gè)目錄下腳本。

2.2.4查找未授權(quán)SUID/SGID文獻(xiàn)

安全基線項(xiàng)

操作系統(tǒng)LinuxSUID/SGID文獻(xiàn)安全基線規(guī)定項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-04

號(hào)

安全基線項(xiàng)

文獻(xiàn)系統(tǒng)-查找未授權(quán)SUID/SGID文獻(xiàn)

闡明

檢測(cè)操作環(huán)

用下面命令查找系統(tǒng)中所有SUID和SGID程序，執(zhí)行：

節(jié)

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}'、；do

find$PART\(-perm-04(X)0-o-perm-0\)-typef-xdev-print

Done

基線符合性若存在未授權(quán)文獻(xiàn)，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

提議常常性時(shí)比suid/sgid文獻(xiàn)列表，以便可以及時(shí)發(fā)現(xiàn)可疑后門程序

提議常常性對(duì)比suid/sgid文獻(xiàn)列表，以便可以及時(shí)發(fā)現(xiàn)可疑后門程序

2.2.5檢查任何人均有寫權(quán)限目錄

安全基線項(xiàng)

操作系統(tǒng)Linux目錄寫權(quán)限安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-05

號(hào)

安全基線項(xiàng)文獻(xiàn)系統(tǒng)-檢查任何人均有寫權(quán)限目錄

闡明

檢測(cè)操作環(huán)在系統(tǒng)中定位任何人均有寫權(quán)限目錄取下面命令：

節(jié)

forPARTin'awk'($3=="ext2"||$3=="ext3M)\

{print$2}'/etc/fstab';do

find$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-print

Done

基線符合性若返回值非空，則低于安全規(guī)定：

鑒定根據(jù)

備注

2.2.6查找任何人均有寫權(quán)限文獻(xiàn)

安全基線項(xiàng)

操作系統(tǒng)Linux文獻(xiàn)寫權(quán)限安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-06

號(hào)

安全基線項(xiàng)文獻(xiàn)系統(tǒng)-查找任何人均有寫權(quán)限文獻(xiàn)

闡明

檢測(cè)操作環(huán)在系統(tǒng)中定位任何人均有寫權(quán)限文獻(xiàn)用下面命令：

節(jié)

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}";do

find$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-print

Done

基線符合性若返回值非空，則低于安全規(guī)定；

鑒定根據(jù)

備注

2.2.7檢查沒(méi)有屬主文獻(xiàn)

安全基線項(xiàng)

操作系統(tǒng)Linux文獻(xiàn)所有權(quán)安全基線規(guī)定項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-07

號(hào)

安全基線項(xiàng)文獻(xiàn)系統(tǒng)-檢查沒(méi)有屬主文獻(xiàn)

闡明

檢測(cè)操作環(huán)定位系統(tǒng)中沒(méi)有屬主文獻(xiàn)用下面命令：

節(jié)

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}'、；do

find$PART-nouser-o-nogroup-print

done

注意：不用管"/dev”目錄下那些文獻(xiàn)。

注意：不用管"/dev”目錄下那些文獻(xiàn)。

基線符合性若返回值非空，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

發(fā)現(xiàn)沒(méi)有屬主文獻(xiàn)往往就意味著有黑客入侵你系統(tǒng)了。不能容許沒(méi)有主人文

獻(xiàn)存在。假如在系統(tǒng)中發(fā)現(xiàn)了沒(méi)有主人文獻(xiàn)或目錄，先查看它完整性，假如一

切正常，給它一種主人。有時(shí)候卸載程序也許會(huì)出現(xiàn)某些沒(méi)有主人文獻(xiàn)或目

錄，在這種狀況下可以把這些文獻(xiàn)和FI錄刪除掉。

發(fā)現(xiàn)沒(méi)有屬主文獻(xiàn)往往就意味著有黑客入侵你系統(tǒng)了。不能容許沒(méi)有主人文

獻(xiàn)存在。假如在系統(tǒng)中發(fā)現(xiàn)了沒(méi)有主人文獻(xiàn)或目錄，先查看它完整性，假如

一切正常，給它一種主人。有時(shí)候卸載程序也許會(huì)出現(xiàn)某些沒(méi)有主人文獻(xiàn)或

目錄，在這種狀況下可以把這些文獻(xiàn)和目錄刪除掉。

2.2.8檢查異常隱含文獻(xiàn)

安全基線項(xiàng)

操作系統(tǒng)Linux隱含文獻(xiàn)安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-08

號(hào)

安全基線項(xiàng)文獻(xiàn)系統(tǒng)-檢查異常隱含文獻(xiàn)

闡明

檢測(cè)操作環(huán)用“find”程序可以查找到這些隱含文獻(xiàn)，例如：

節(jié)

...fin..-nam."..*.-prin.-xdev

#find/-name.*'*-print-xdev|cat-v

同步也要注意象".XX”和“.mail”這樣文獻(xiàn)名。（這些文獻(xiàn)名看起來(lái)都很象

正常文獻(xiàn)名）

基線符合性若返回值非空，則低于安全規(guī)定；

鑒定根據(jù)

備注補(bǔ)充操作闡明

在系統(tǒng)每個(gè)地方都要杳看一下有無(wú)異常隙含文獻(xiàn)（點(diǎn)號(hào)是起始字符,用“k”

命令看不到文獻(xiàn)），由于這些文獻(xiàn)也許是隱藏黑客工具或者其他某些信息（口

令破解程序、其他系統(tǒng)口令文獻(xiàn)，等等）。在UNIX下，一種常用技術(shù)就是用

某些特殊名，如：'”（點(diǎn)點(diǎn)空格）或“JG"（點(diǎn)點(diǎn)conlrol-G］，來(lái)

隱含文獻(xiàn)或目錄。

在系統(tǒng)每個(gè)地方都要查看一下有無(wú)異常隱含文獻(xiàn)（點(diǎn)號(hào)是起始字符，用“Is”

命令看不到文獻(xiàn)），由于這些文獻(xiàn)也許是隱藏黑客工具或者其他某些信息（口

令破解程序、其他系統(tǒng)口令文獻(xiàn)，等等）。在UNIX下，一種常用技術(shù)就是用

某些特殊名，如：“一”、”..”（點(diǎn)點(diǎn)空格）或“JG"（點(diǎn)點(diǎn)control-G）,來(lái)

隱含文獻(xiàn)或目錄。

在系統(tǒng)每個(gè)地方都要查看一下有無(wú)異常隱含文獻(xiàn)（點(diǎn)號(hào)是起始字符，用“1S”

命令看不到文獻(xiàn)），由于這些文獻(xiàn)也許是隱藏黑客工具或者其他某些信息（口

令破解程序、其他系統(tǒng)口令文獻(xiàn)，等等）。在UNIX下，一種常用技術(shù)就是用

某些特殊名，如：“一”、”..”（點(diǎn)點(diǎn)空格）或“JG"（點(diǎn)點(diǎn)control-G）,

來(lái)隱含文獻(xiàn)或目錄。

在系統(tǒng)每個(gè)地方都要查看一下有無(wú)異常隱含文獻(xiàn)（點(diǎn)號(hào)是起始字符，用“1s”

命令看不到文獻(xiàn)），由于這曲文獻(xiàn)也許是隱藏黑客工具或者其他某曲信息（口

令破解程序、其他系統(tǒng)口令文獻(xiàn)，等等）。在UNIX下，一種常用技術(shù)就是用

某些特殊名，如：“”（點(diǎn)點(diǎn)空格）或“JG"（點(diǎn)點(diǎn)controLG）,

來(lái)隱含文獻(xiàn)或目錄。

第3章日志審計(jì)

3.1日志

3.1.1syslog登錄事件記錄

安全基線項(xiàng)操作系統(tǒng)Linux登錄審計(jì)安全基線規(guī)定項(xiàng)

目名稱

安全基線編

SBL-Linux-03-01-01

號(hào)

安全基線項(xiàng)