Linux平安配置標(biāo)準(zhǔn)

一?目的

《Linux平安配置標(biāo)準(zhǔn)》是Qunar信息系統(tǒng)平安標(biāo)準(zhǔn)的一局部，主要目的

是根據(jù)信息平安管理政策的要求，為我司的Linux系統(tǒng)提供配置基準(zhǔn)，并作為

Linux系統(tǒng)設(shè)計(jì)、實(shí)施及維護(hù)的技術(shù)和平安參考依據(jù)。

二.范圍

平安標(biāo)準(zhǔn)所有條款默認(rèn)適用于所有Linux系統(tǒng)，某些特殊的會(huì)明確指定適

用范圍。

三?內(nèi)容

3.1軟件版本及升級(jí)策略

操作系統(tǒng)內(nèi)核及各應(yīng)用軟件，默認(rèn)采用較新的穩(wěn)定版本，不開啟自動(dòng)更新

功能。平安組負(fù)責(zé)跟蹤廠商發(fā)布的相關(guān)平安補(bǔ)丁，評(píng)估是否進(jìn)行升級(jí)。

3.2賬戶及口令管理

3.2.1遠(yuǎn)程登錄帳號(hào)管理

符合以下條件之一的，屬”可遠(yuǎn)程登錄帳號(hào)”：

(1)設(shè)置了密碼，且?guī)ぬ?hào)處于未鎖定狀態(tài)。

(2)it$HOME/.ssh/authorized_keys放置了publickey

可遠(yuǎn)程登錄帳號(hào)”的管理要求為:

(1)帳號(hào)命名格式與郵件命名格式保持一致

(2)不允許多人共用一個(gè)帳號(hào)，不允許一人有多個(gè)帳號(hào)。

(3)每個(gè)帳號(hào)均需有明確的屬主，離職人員帳號(hào)應(yīng)當(dāng)天去除。

(4)特殊帳號(hào)需向平安組報(bào)批

3.2.2守護(hù)進(jìn)程帳號(hào)管理

守護(hù)進(jìn)程啟動(dòng)帳號(hào)管理要求

(1)應(yīng)建立獨(dú)立帳號(hào)，禁止賦予sudo權(quán)限，禁止參加root或wheel等高權(quán)限

組。

(2)禁止使用”可遠(yuǎn)程登錄帳號(hào)”啟動(dòng)守護(hù)進(jìn)程

(3)禁止使用root帳號(hào)啟動(dòng)WEBSERVER/DB等守護(hù)進(jìn)程。

3.2.3系統(tǒng)默認(rèn)帳號(hào)管理(僅適用于財(cái)務(wù)管理重點(diǎn)關(guān)注系統(tǒng))

刪除默認(rèn)的帳號(hào)，包括：Ip,sync,shutdown,halt,news,uucp,

operator,games,gopher?等

3.2.4口令管理

口令管理應(yīng)遵循《密碼口令管理制度》，具體要求為

(1)啟用密碼策略

/etc/login.defs

PASSMAXDAYS90

PASS_MIN_DAYS1

PASS_MIN_LEN7

PASS_WARN_AGE7

/etc/pam.d/system-auth

passwordsufficientpam_unix.so**remember=5

passwordrequisitepam_cracklib.so**minlen=7lcredit=1

ucredit=1dcredit=1ocredit=0

(2)啟用帳號(hào)鎖定策略，連續(xù)輸錯(cuò)3次口令，鎖定用戶30分鐘

/etc/pam.d/system-auth

authrequiredpam_env.so

authrequiredpam_tally2.sodeny=3unlock_time=1800

3.2.5OpenSSH平安配置

只使用協(xié)議版本2,禁止root登錄，禁止空口令登錄，獨(dú)立記錄日志到

/var/log/secureo具體配置為：

/etc/ssh/sshd_config

#defaultis2,1

Protocol2

#defaultisyes

PermitRootLoginno

#defaultisno

PermitEmptyPasswordsno

#defaultisAUTH

SyslogFacilityAUTHPRIV

3.3認(rèn)證授權(quán)

3.3.1遠(yuǎn)程管理方式

(1)默認(rèn)僅允許ssh一種遠(yuǎn)程管理方式，禁止使用telnet、rlogin等，如存

在以下文件，必須刪除:

$HOME/.rhosts

/etc/hosts.equiv

/etc/xinetd.d/rsh

/etc/xinetd.d/rlogin

(2)跳板機(jī)只允許RSATOKEN方式登錄，其它Linux效勞器只允許通過密

碼和publickey方式登錄。

(3)生產(chǎn)環(huán)境Linux效勞器，只允許來自跳板機(jī)和其它指定IP的登錄，通過

tcpwarp實(shí)現(xiàn)。生產(chǎn)環(huán)境范圍由平安組指定，允許登錄的IP源由平安組指定。

BETA/DEV環(huán)境登錄限制同生產(chǎn)環(huán)境。

3.3.2其它(僅適用于財(cái)務(wù)管理重點(diǎn)關(guān)注系統(tǒng))

(1)僅允許非wheel組用戶通過遠(yuǎn)程管理，配置方法：

/etc/security/access.conf

/etc/pam.d/sshd

accountrequiredpam_access.so

(2)限制普通用戶控制臺(tái)訪問權(quán)限

禁止普通用戶在控制臺(tái)執(zhí)行shutdown、halt以及reboot等命令。

rm-f/etc/security/console.apps/reboot

rm-f/etc/security/console.apps/halt

rm-f/etc/security/console.apps/shutdown

rm-f/etc/security/console.apps/poweroff

3.4其它

3.4.1關(guān)鍵文件權(quán)限(僅適用于財(cái)務(wù)管理重點(diǎn)關(guān)注系統(tǒng))

將以下文件設(shè)置為600權(quán)限

/$HOME/.bash_logout

/$HOME/.bash_profile

/$HOME/.bashrc

3.4.2日志管理

開啟以卜行為日志：用戶登錄1=1志、crontab執(zhí)行Id志

配置方法：

/etc/syslog.conf

authpriv.*/var/log/secure

cron.*/var/log/cron

對(duì)于PCIDSS覆蓋范圍內(nèi)的系統(tǒng)，所有日志應(yīng)實(shí)時(shí)發(fā)送到集中的日志管理

效勞器，并確保由程序自動(dòng)分析與告警。

3.4.3用戶界面TIMEOUT

設(shè)置用戶30分鐘無操作自動(dòng)退出。設(shè)置方法：

/etc/profile

TMOUT=1800

對(duì)于PCIDSS以及SOX404范圍內(nèi)的系統(tǒng)，空閑超時(shí)時(shí)間需設(shè)置為15分

伊。

3.4.4設(shè)置NTP時(shí)間同步，確保各效勞器時(shí)間保持一致

配置同機(jī)房的自行運(yùn)維的NTP效勞器為NTP源。

例如（每個(gè)機(jī)房可能不一樣）：

driftfile/var/db/ntp.drift

pidfile/var/run/ntpd.pid

restrictdefaultignore

restrictmasknomodiiy

內(nèi)部NTP效勞必須采用行業(yè)認(rèn)可的NTP源。

例如:

serverminpoll4maxpoll8iburstburstprefer

server89minpoll4maxpoll8iburstburstprefer

server42minpoll4maxpoll8iburstburstprefer

server02minpoll4maxpoll8iburstburstprefer

server38minpoll4maxpoll8iburstburstprefer

server2minpoll4maxpoll8iburstburstprefer

server14minpoll4maxpoll8iburstburstprefer

serverminpoll4maxpoll8iburstburstprefer

server4minpoll4maxpoll8iburstburstprefer

serverminpoll4maxpoll8iburstburstprefer

#individualservers

restrictdefaultignore

3.4.5禁止安裝/運(yùn)行不必要的效勞

當(dāng)前禁止安裝/運(yùn)行的效勞列表為

nfs

samba

telnet

rsh-server

3.4.6安裝防病毒軟件（僅適用于PCIDSS范圍內(nèi)系統(tǒng)）

安裝經(jīng)平安組認(rèn)可的防病毒軟件。

每周至少升級(jí)一次防病毒定義，并使用最新定義執(zhí)行系統(tǒng)掃描。升級(jí)以及

定期掃描應(yīng)設(shè)置為自動(dòng)執(zhí)行任務(wù)。對(duì)于掃描出來的結(jié)果只告警，由平安組成員

手工去除病毒，禁止設(shè)置自動(dòng)刪除。

掃描范圍至少包括：

?bin

?sbin

?home

?lib

?lib64

?opt

?usr

?var

如果日志（系統(tǒng)、應(yīng)用）目錄被包含于以上目錄，需做排除處理。

3.4.7安裝完整性檢測工具（僅適用于PCIDSS范圍內(nèi)系統(tǒng)）

由平安組安裝文件完整性檢測工具，確保以下文件被篡改時(shí)及時(shí)告警：

?所有日志文件

?/etc/profile,d

?/etc/inittab

?/etc/sysconfig/init

?/etc/hosts.allow

?/etc/hosts.deny

?/etc/modprobe.conf

?/etc/ntp.conf

?/etc/snmp/snmpd.conf

?/etc/ssh/ssh_config

?/etc/ssh/sshd_config

?/etc/ssh/ssh_host_key

?/etc/sysctl.conf

?/etc/syslog,conf

?/etc/grub.conf

?/etc/shadow

?/etc/sudoers

?/etc/group

?/etc/passwd

?/etc/login.defs

?/etc/securetty

3.4.8memcached平安配置

memcached統(tǒng)一監(jiān)聽在以下端口之一：6666/11211/11212/11213,

平安組將在網(wǎng)絡(luò)邊界對(duì)這些端口實(shí)施訪問控制。

memcached應(yīng)以nobody權(quán)限啟用，禁止使用root權(quán)限啟動(dòng)。

3.4.9rsyncd平安配置

rsyncd配置必須符合以下平安要求

配置項(xiàng)默認(rèn)配置要求配￥

list默認(rèn)為true,即允許枚舉模塊列表。注意：通過帳號(hào)認(rèn)在全局酉

證和ACL無法限制枚舉行為。

auth_u默認(rèn)為空，即允許匿名訪問，不需要帳號(hào)密碼認(rèn)證。應(yīng)建立巾

sers