Linux系統(tǒng)安全配置基線

目錄

第1章概述.....................................................................1

1.1目的.....................................................................1

1.2合用范圍.................................................................1

1.3合用版本.................................................................1

第2章賬號(hào)管理、認(rèn)證授權(quán).......................................................2

2.1賬號(hào).....................................................................2

2.1.1用戶口令設(shè)置.........................................................2

2.1.2root用戶遠(yuǎn)程登錄限制...............................................2

2.1.3檢查是否存在除root之外UID為0的用戶................................3

2.1.4root用戶環(huán)境變量的安全性.............................................3

2.2認(rèn)證......................................................................4

2.2.1遠(yuǎn)程連接的安全性配置.................................................4

2.2.2用戶的umas4安全配置.................................................4

2.2.3重要目錄和文件的權(quán)限設(shè)置............................................4

2.2.4查找未授權(quán)的SUID/SGID文件.........................................5

2.2.5檢查任何人都有寫權(quán)限的目錄..........................................6

2.2.6瓷找任何人都有寫權(quán)限的文件.........................................6

2.2.7檢查沒有屬主的文件...................................................7

2.2.8檢查異常隱含文件.....................................................7

第3章日志審計(jì).................................................................9

3.1日志......................................................................9

3.1.1syslog登錄事件記錄....................................................9

3.2審計(jì).....................................................................9

3.2.1Syslog.conf的配置審核..................................................9

第4章系統(tǒng)文件................................................................11

4.1系統(tǒng)狀態(tài)................................................................11

4.1.1系統(tǒng)coredump狀態(tài).................................................11

第1章概述

1.1目的

本文檔規(guī)定了LINUX操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨

在指導(dǎo)系統(tǒng)管理人員或者安全檢查人員進(jìn)行LINUX操作系統(tǒng)的安全合規(guī)性檢查和配置。

1.2合用范圍

本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。

1.3合用版本

LINUX系列服務(wù)器;

第2章賬號(hào)管理、認(rèn)證授權(quán)

2.1賬號(hào)

2.1.1用戶口令設(shè)置

安全基線項(xiàng)操作系統(tǒng)Linux用戶口令安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-01-01

號(hào)

安全基線項(xiàng)帳號(hào)與口令-用戶口令設(shè)置

說明

檢測(cè)操作步1、問詢管理員是否存在如下類似的簡(jiǎn)單用戶密碼配置，比如：

驟

root/root,test/test,root/root1234

2、執(zhí)行：more/etc/login,檢查

PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WRN_AGE

參數(shù)

3、執(zhí)行：awk-F:'($2==m,){print$1}'/etc/shadow,檢查是否存在空口令賬

號(hào)

基線符合性建議在/etc/login文件中配置：PASS_MIN_LEN=6

判定依據(jù)

不允許存在簡(jiǎn)單密碼，密碼設(shè)置符合策略，如長(zhǎng)度至少為6

不存在空口令賬號(hào)

備注

212root用戶遠(yuǎn)程登錄限制

安全基線項(xiàng)操作系統(tǒng)Linux遠(yuǎn)程登錄安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-01-02

號(hào)

安全基線項(xiàng)

帳號(hào)與口令-root用戶遠(yuǎn)程登錄限制

說明

檢測(cè)操作步執(zhí)行：mo,e/etc/securetty.檢查Console參數(shù)

驟

基線符合性建議在/etc/securetty文件中配置：CONSOLE=/dev/tty01

判定依據(jù)

備注

213檢查是否存在除root之外UID為0的用戶

安全基線項(xiàng)操作系統(tǒng)Linux超級(jí)用戶策略安全基線要求J貝

目名稱

安全基線編SBL-Linux-02-01-03

號(hào)

安全基線項(xiàng)

帳號(hào)與口令?檢查是否存在除root之外UID為0的用戶

說明

檢測(cè)操作步執(zhí)行：aw<-F:'($3==0){print$1}'/etc/passwd

驟

基線符合性返回值包括“root”以外的條目，則低于安全要求；

判定依據(jù)

備注補(bǔ)充操作說明

UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證惟獨(dú)root用戶的UID為0

2.1.4root用戶環(huán)境變量的安全性

安全基線項(xiàng)操作系統(tǒng)Linux超級(jí)用戶環(huán)境變量安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-01-04

號(hào)

安全基線項(xiàng)

帳號(hào)與口令-root用戶環(huán)境變量的安全性

說明

檢測(cè)操作步執(zhí)行：echo$PATH|egrep，件)8：|$),'檢查是否包含父目錄,

驟

執(zhí)行：findecho$PATH|tr-typed\(-perm-002-o-perm-020\)-Is檢查

是否包含組目錄權(quán)限為777的目錄

基線符合性返回值包含以上條件，則低于安全要求：

判定依據(jù)

備注補(bǔ)充操作說明

確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組

權(quán)限為777的目錄

2.2認(rèn)證

2.2.1遠(yuǎn)程連接的安全性配置

安全基線項(xiàng)

操作系統(tǒng)Linux遠(yuǎn)程連接安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-01

號(hào)

安全基線項(xiàng)帳號(hào)與口令?遠(yuǎn)程連接的安全性配置

說明

檢測(cè)操作步

執(zhí)行：find/-name.netrc,檢查系統(tǒng)中是否有metre文件，

驟

執(zhí)行：find/-name.rhosts,檢查系統(tǒng)中是否有.rhosts文件

基線符合性返回值包含以上條件，則低于安全要求；

判定依據(jù)

備注補(bǔ)充操作說明

如無必要，刪除這兩個(gè)文件

2.2.2用戶的umask安全配置

安全基線項(xiàng)

操作系統(tǒng)Linux用戶umask安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-02

號(hào)

安全基線項(xiàng)

帳號(hào)與口令.用戶的umask安全配置

說明

檢測(cè)操作步

執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore

驟

/etc/bashrc檢查是否包含umask值

基線符合性

umask值是默認(rèn)的，則低于安全要求

判定依據(jù)

備注補(bǔ)充操作說明

建議設(shè)置用戶的默認(rèn)umask=077

2.2.3重要目錄和文件的權(quán)限設(shè)置

安全基線項(xiàng)操作系統(tǒng)Linux目錄文件權(quán)限安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-03

號(hào)

安全基線項(xiàng)文件系統(tǒng)-重要目錄和文件的權(quán)限設(shè)置

說明

檢測(cè)操作步執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：

驟

Is-1/etc/

Is-1/etc/rc.d/init.d/

Is-1/tmp

Is-1/etc/inetd.conf

Is-1/etc/passwd

Is-1/etc/shadow

Is-1/etc/group

Is-1/etc/security

Is-1/etc/services

Is-1/etc/rc*.d

基線符合性若權(quán)限過低，則低于安全要求；

判定依據(jù)

備注補(bǔ)充操作說明

對(duì)于重要目錄，建議執(zhí)行如下類似操作：

#chmod-R750/etc/rc.d/init.d/*

這樣惟獨(dú)「oot可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。

2.2.4查找未授權(quán)的SUID/SGID文件

安全基線項(xiàng)操作系統(tǒng)LinuxSUID/SGID文件安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-04

號(hào)

安全基線項(xiàng)

文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件

說明

檢測(cè)操作步

用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：

躲

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2}”;do

find$PART\(-perm-04000-o-perm-02000\)-typef-xdev-print

Done

基線符合性若存在未授權(quán)的文件，則低于安全要求：

判定依據(jù)

備注補(bǔ)充操作說明

建議時(shí)常性的對(duì)照suid/sgid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門程序

2.2.5檢查任何人都有寫權(quán)限的目錄

安全基線項(xiàng)

操作系統(tǒng)Linux目錄寫權(quán)限安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-05

號(hào)

安全基線項(xiàng)文件系統(tǒng)-瞼查任何人都有寫權(quán)限的目錄

說明

檢測(cè)操作步在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：

驟

forPARTin'awk'($3=="ext2"||$3=="ext3")\

{print$2}'/etc/fstab';do

find$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-print

Done

基線符合性若返回值非空，則低于安全要求；

判定依據(jù)

備注

2.2.6查找任何人都有寫權(quán)限的文件

安全基線項(xiàng)

操作系統(tǒng)Linux文件寫權(quán)限安全基線要求項(xiàng)

目名稱

安全基線編

SBL-Linux-02-02-06

號(hào)

安全基線項(xiàng)文件系統(tǒng)-查找任何人都有寫權(quán)限的文件

說明

檢測(cè)操作步

在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：

驟

forPARTin'grep-vA#/etc/fstab|awk'($6!="0"){print$2f;do

find$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-print

Done

基線符合性若返回值非空，則低于安全要求；

判定依據(jù)

備注

2.2.7檢查沒有屬主的文件

安全基線項(xiàng)

操作系統(tǒng)Linux文件所有權(quán)安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-07

號(hào)

安全基線項(xiàng)文件系統(tǒng)-臉查沒有屬主的文件

說明

檢測(cè)操作步定位系統(tǒng)中沒有屬主的文件用下面的命令：

驟

forPARTin'grep-vA#/etc/fstab|awk*($6!="0"){print$2)*';do

find$PART-nouser-o-nogroup-print

done

注意：不用管"/dev”目錄下的那些文件。

基線符合性若返回值非空，則低于安全要求；

判定依據(jù)

備注補(bǔ)充操作說明

發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有主

人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或者目錄，先查看它的

完整性，如果一切正常，給它一個(gè)主人，有時(shí)候卸載程序可能會(huì)浮現(xiàn)一些

沒有主人的文件或者目錄，在這種情況卜.可以把這些文件和FI錄刪除掉。

2.2.8檢查異常隱含文件

安全基線項(xiàng)

操作系統(tǒng)Linux隱含文件安全基線要求項(xiàng)

目名稱

安全基線編SBL-Linux-02-02-08

號(hào)

安全基線項(xiàng)文件系統(tǒng)-卷查異常隱含文件

說明

檢測(cè)操作步

用“find”程序可以查找到這些隱含文件.例如：

驟

#find/-name*"-print-xdev

#find/-namen...*H-print-xdev|cat-v

同時(shí)也要注意象”.xx”和“.mail”這樣的文件名的。（這些文件名看起來都

很象正常的文件名）

基線符合性若返回值非空，則低于安全要求；

判定依據(jù)

備注補(bǔ)充操作說明

在系統(tǒng)的每一個(gè)地方都要查看一下有沒有異常除含文件（點(diǎn)號(hào)是起始字符的,

用“Is”命令看不到的文件），因?yàn)檫@些文件可能是隱藏的黑客工具或者其它

一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX下，一個(gè)

常用的技術(shù)就是用一些特殊的名，如：”（點(diǎn)點(diǎn)空格）或者"JG'

（點(diǎn)點(diǎn)control-G）,來隱含文件或者目錄。

第3章日志審計(jì)

3.1日志

3.1.1syslog登錄事件記錄

安全基線項(xiàng)

操作系統(tǒng)Linux登錄審計(jì)安全基線要求項(xiàng)

目名稱

安全基線編

SBL-Linux-03-01-01

號(hào)

安全基線項(xiàng)

日志審計(jì)-syslog登錄事件記錄

說明

檢測(cè)操作步執(zhí)行命令：more/etc/syslog.conf

驟

杳看參數(shù)authpriv<

基線符合性