UOS 操作系統(tǒng)基線安全加固手冊目錄UOS服務(wù)器版基線安全配置 3身份鑒別 3鎖定連續(xù)五次登錄失敗的用戶 3設(shè)置口令復(fù)雜度 3口令生存期策略 3口令重復(fù)使用次數(shù)限制 3用戶身份鑒別策略 4將新口令寫入指定的口令文件 4驗證登錄用戶的信息是否正確 4重置用戶登錄失敗次數(shù) 4禁止空口令用戶登錄 4刪除無關(guān)賬號 5PAM登錄認(rèn)證 5訪問控制 5文件與目錄缺省權(quán)限控制 5禁止通過CTRL＋ALT＋DEL重啟系統(tǒng) 6共享賬號檢查 6禁止root用戶直接SSH登錄系統(tǒng) 6禁止非root用戶讀寫或進(jìn)入/root目錄 6設(shè)置口令文件權(quán)限 6敏感文件安全保護 7配置禁止登錄的用戶列表 7限制命令歷史記錄的數(shù)量 7禁用魔術(shù)鍵 8限制root用戶登錄未授權(quán)的tty設(shè)備 8設(shè)置/etc/inittab的模式和所有權(quán) 8限制系統(tǒng)無用的默認(rèn)賬號登錄 8檢查是否存在除root之外UID為0的用戶 9root用戶環(huán)境變量的安全性 9設(shè)置日志目錄和系統(tǒng)命令目錄的權(quán)限 9為全局可寫目錄/tmp設(shè)置粘貼位 9設(shè)置內(nèi)核oops后系統(tǒng)重啟 9安全審計 10syslog登錄事件記錄 10指定日志服務(wù)器 10日志系統(tǒng)配置文件保護 10添加保存登錄信息和登錄失敗信息的文件 10安全日志完備性要求 10日志文件權(quán)限控制 11禁止普通用戶刪除或修改系統(tǒng)日志文件 11入侵防范 11禁用不必要的系統(tǒng)服務(wù)和端口 11root賬戶遠(yuǎn)程登錄限制 11限制用戶對系統(tǒng)資源的使用限度 12禁止SMTP遠(yuǎn)程連接 12禁用coredump 12限制訪問地址 13操作系統(tǒng)最小化安裝 13禁止IP源路由 13防止IP欺騙 13禁止普通用戶創(chuàng)建用戶命名空間 13禁止普通用戶使用eBPF 13數(shù)據(jù)傳輸保密性 14SSH使用的版本 14SSH口令算法 14SSH認(rèn)證方式 14SSH訪問所有權(quán) 14SSH登錄前顯示提示信息 14SSH日志 15重置SSH的密鑰權(quán)限 15設(shè)置ssh登錄系統(tǒng)后的警示信息 15字符操作界面賬戶定時退出 15其他配置 15對root為ls、rm設(shè)置別名 15配置NTP 16設(shè)置屏幕鎖定 16更改主機解析地址的順序 16UOS桌面專業(yè)版基線安全配置 16身份鑒別 16賬號與口令策略 16賬號鎖定策略 17認(rèn)證授權(quán) 17應(yīng)用安全 18進(jìn)程防殺死 18內(nèi)核模塊防卸載 19可信保護 20文件審計 20文件保護 21開啟系統(tǒng)防火墻 21病毒查殺 22聲明本手冊版權(quán)屬于國家工業(yè)信息安全發(fā)展研究中心和統(tǒng)信軟件技術(shù)有限公司，轉(zhuǎn)載、引用或其他方式使用本手冊內(nèi)容的，應(yīng)注明“來源：國家工業(yè)信息安全發(fā)展研究中心和統(tǒng)信軟件技術(shù)有限公司”。違反上述聲明者，編者將追究其相關(guān)法律責(zé)任。編制單位國家工業(yè)信息安全發(fā)展研究中心統(tǒng)信軟件技術(shù)有限公司工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫技術(shù)支持單位北京華云安信息技術(shù)有限公司北京神州綠盟科技有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司北京長亭科技有限公司北京知道創(chuàng)宇信息技術(shù)股份有限公司杭州安恒信息技術(shù)股份有限公司杭州迪普科技股份有限公司奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司三六零科技集團有限公司中孚安全技術(shù)有限公司安天科技股份有限公司亞信安全科技股份有限公司啟明星辰信息技術(shù)集團股份有限公司排名不分先后前言工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫（簡稱“信創(chuàng)漏洞庫”）是在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局指導(dǎo)下，由國家工業(yè)信息安全發(fā)展研究中心建設(shè)和運營的。面向信創(chuàng)產(chǎn)品提供者、網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺和其他發(fā)現(xiàn)漏洞的組織或個人，收集并上報信創(chuàng)產(chǎn)品安全漏洞。信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫通過開展信息收集、風(fēng)險研判、處置通報等相關(guān)工作，提供漏洞緩解措施及修復(fù)方案等，進(jìn)一步提升我國信創(chuàng)產(chǎn)品安全防護能力，助力構(gòu)建良好信創(chuàng)安全生態(tài)環(huán)境。統(tǒng)信軟件技術(shù)有限公司（簡稱“統(tǒng)信軟件”），由中國主流操作系統(tǒng)廠商于2019年聯(lián)合成立，其前身為2004年組建的深度操作系統(tǒng)團隊，至今研發(fā)歷史已有二十年，是中國操作系統(tǒng)領(lǐng)創(chuàng)企業(yè)。統(tǒng)信軟件總部設(shè)立于北京，在上海、廣州、深圳、武漢、南京、成都、西安等地設(shè)立分支機構(gòu)，以“打造操作系統(tǒng)創(chuàng)新生態(tài)，給世界更好的選擇”為愿景，致力于研發(fā)安全穩(wěn)定、智能易用的中國操作系統(tǒng)產(chǎn)品，以操作系統(tǒng)為核心，引領(lǐng)中國軟硬件生態(tài)建設(shè)，讓世界見證中國科技力量！UOSUOS桌面專業(yè)版基線安全配置”兩大部分，分別針對服務(wù)器場景的高可用性、高安全性需求，以及桌面場景的用戶交互性、易用性需求，提供差異化的加固方案。幫助用戶完成安全加固工作，同時為主機安全配置核查提供依據(jù)。本手冊提供的基線配置為通用安全標(biāo)準(zhǔn)，在實際應(yīng)用中，建議結(jié)合業(yè)務(wù)系統(tǒng)的具體場景（如業(yè)務(wù)架構(gòu)、數(shù)據(jù)敏感度、網(wǎng)絡(luò)環(huán)境等）進(jìn)行靈活調(diào)整，避免因過度加固影響業(yè)務(wù)正常運行，在執(zhí)行操作前請充分做好測試及備份工作。UOS服務(wù)器版基線安全配置身份鑒別鎖定連續(xù)五次登錄失敗的用戶加固說明：登錄失敗五次（包括root），鎖定賬戶5分鐘（300秒），5分鐘后自動解除。檢查方法：目前狀態(tài)是否符合要求；（以下每條適用）安全加固操作：分別在/etc/pam.d下password-auth、system-auth、password-auth-crond文件中添加以下內(nèi)容：auth required pam_faillock.sopreauthauditdeny=5even_deny_rootauth required pam_faillock.sopreauthauditdeny=5even_deny_rootunlock_time=300auth [default=die] pam_faillock.soauthfailauditdeny=5even_deny_rootunlock_time=300auth sufficient pam_faillock.soauthsuccauditdeny=5even_deny_rootunlock_time=300設(shè)置口令復(fù)雜度加固說明：賬戶口令必須符合相應(yīng)的復(fù)雜度要求，最小長度8位，由數(shù)字、大小寫字母、特殊字符混合組成。安全加固操作：修改/etc/security/pwquality.conf文件，添加如下配置：minlenminlen8 //定義用戶口令的最小長度minclass=3//口令中必須包含的不同字符類別的最少種類數(shù)maxsequence=3 //限制口令中不允許出現(xiàn)的連續(xù)字符序列的最大長度（如"123"或"abc"）maxrepeat=3 //限制同一字符連續(xù)出現(xiàn)的最大次數(shù)（如"aaa"）口令生存期策略加固說明：操作系統(tǒng)的賬戶口令的最長生存期不長于90天。安全加固操作：以普通權(quán)限賬戶登錄系統(tǒng)，編輯vi/etc/login.defs文件，添加如下內(nèi)容：PASS_WARN_AGE 7PASS_WARN_AGE 75##設(shè)置口令最小長度PASS_MIN_LENPASS_MAX_DAYS 9090PASS_MIN_DAYS 0檢查方法：以普通權(quán)限賬戶登錄系統(tǒng)，執(zhí)行#cat/etc/login.defs命令查看對應(yīng)屬性值?？诹钪貜?fù)使用次數(shù)限制加固說明：設(shè)置口令重復(fù)使用次數(shù)限制。安全加固操作：檢查/etc/pam.d/system-auth、password-auth、password-auth-crondpasswordsufficientpam_unix.soremember=5，中間以空格隔開，若沒有則新增，例如：passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5用戶身份鑒別策略加固說明：應(yīng)對系統(tǒng)用戶進(jìn)行身份標(biāo)識和鑒別。安全加固操作：步驟1：使用命令cat/etc/shadow，確認(rèn)系統(tǒng)用戶均具有口令（每行的第二字段為口令hash值）。步驟2：如果存在口令為空的用戶，使用命令passwd用戶名設(shè)置口令。步驟1：使用命令cat/etc/shadow，確認(rèn)系統(tǒng)用戶均具有口令（每行的第二字段為口令hash值）。步驟2：如果存在口令為空的用戶，使用命令passwd用戶名設(shè)置口令。將新口令寫入指定的口令文件加固說明：root用戶或普通用戶修改自己的口令時，需驗證舊口令；root用戶修改普通用戶的口令時，無需驗證普通用戶的舊口令；將新口令寫入password模塊提供的記錄文件中（默認(rèn)為/etc/shadow）。安全加固操作：查看/etc/pam.d/system-auth文件，寫入如下內(nèi)容：passwordrequiredpam_unix.sonulloktry_first_passpasswordrequiredpam_unix.sonulloktry_first_pass驗證登錄用戶的信息是否正確加固說明：在用戶登錄系統(tǒng)時使用pam_unix.so驗證用戶信息是否正確，若用戶信息錯誤，則禁止用戶登錄。/etc/pam.d/{{system-auth,password-auth,password-auth-crond}}”中，寫入如下內(nèi)容：accountrequiredpam_unix.soaccountrequiredpam_unix.so重置用戶登錄失敗次數(shù)加固說明：在用戶登錄成功后重置登錄失敗次數(shù)為零。安全加固操作：查看/etc/pam.d/system-auth文件，文件中有如下配置:accountrequiredpam_faillock.soaccountrequiredpam_faillock.so禁止空口令用戶登錄基于安全考慮禁止空口令用戶登錄系統(tǒng)。安全加固操作：查看/etc/ssh/sshd_config文件，將PermitEmptyPasswords設(shè)置為“no”。刪除無關(guān)賬號加固說明：確保lp、sync、halt等用戶不存在或被鎖定等。檢查方法：查看/etc/shadow文件，確認(rèn)相關(guān)用戶的口令列字段是否以*或者！！開頭，執(zhí)行命令：egrepegrep"^lp:|^sync:|^halt:|^news:|^uucp:|^operator:|^games:|^gopher:|^smmsp:|^nfsnobody:|^nobody:"/etc/shadow|awk-F:'($2!~/^*/)&&($2!~/^!!/){print$1":"}'查看 /etc/passwd文件確認(rèn)相關(guān)用戶的 shell域字段值是否為 /bin/false或者/sbin/nologin，執(zhí)行命令：egrepegrep"^lp:|^sync:|^halt:|^news:|^uucp:|^operator:|^games:|^gopher:|^smmsp:|^nfsnobody:|^nobody:"/etc/passwd|awk-F:'($7!~/bin\/false/)&&($7!~/sbin\/nologin/){print$1":"$7}'安全加固操作：如果相關(guān)用戶沒有被刪除或鎖定，可進(jìn)行如下操作：刪除用戶：userdel刪除用戶：userdelusername鎖定用戶：passwd-lusername（鎖定用戶，只有超級用戶可使用）passwd–dusername（解鎖用戶，解鎖后原有口令失效，登錄需設(shè)置新口令）passwd-uusername（解鎖用戶后，原口令仍然有效）shell/bin/false/sbin/nologin：usermod-s/bin/falseusernamePAM登錄認(rèn)證加固說明：使用PAM模塊認(rèn)證。安全加固操作：查看/etc/ssh/sshd_config文件，將UsePAM設(shè)置為“yes”。訪問控制文件與目錄缺省權(quán)限控制加固說明：設(shè)置/etc/profile文件umask缺省值。安全加固操作：/etc/profile進(jìn)行備份：cp/etc/profile/etc/profile.bak編輯文件/etc/profile，在文件末尾加上如下內(nèi)容：umask027執(zhí)行以下命令讓配置生效：source /etc/profile禁止通過CTRL＋ALT＋DEL重啟系統(tǒng)加固說明：禁止通過“ALT+CTRL+DEL”重啟系統(tǒng)，防止機器遭受非授權(quán)的人為重啟。安全加固操作：刪除兩個ctrl-alt-del.target文件，參考命令如下：rm-f/etc/systemd/system/ctrl-alt-del.targetrm-f/etc/systemd/system/ctrl-alt-del.targetrm-f/usr/lib/systemd/system/ctrl-alt-del.target修改/etc/systemd/system.conf文件，將#CtrlAltDelBurstAction=reboot-force修改為CtrlAltDelBurstAction=none。重啟systemd，使修改生效，參考命令如下：systemctldaemon-reexecsystemctldaemon-reexec共享賬號檢查加固說明：系統(tǒng)需按照實際用戶分配賬號，避免不同用戶間共享賬號，避免用戶賬號和服務(wù)器間通信使用的賬號共享。安全加固操作：查看用戶和用戶組，執(zhí)行命令：cat/etc/passwd#輸出當(dāng)前所有用戶的情況"cat/etc/group#輸出當(dāng)前所有用戶組的情況"cat/etc/passwd#輸出當(dāng)前所有用戶的情況"cat/etc/group#輸出當(dāng)前所有用戶組的情況"userdel-rusername#刪除用戶及用戶主目錄，去掉“-r”參數(shù)可不刪除用戶主目錄usermod-Ggroupname1,groupname2username#修改用戶組，多個用戶組間以“,”隔開禁止root用戶直接SSH登錄系統(tǒng)加固說明：防止攻擊者暴力破解root口令或繞過認(rèn)證直接登入系統(tǒng)，獲取系統(tǒng)超級權(quán)限。安全加固操作：查看/etc/ssh/sshd_config文件，將PermitRootLogin設(shè)置為“no”。禁止非root用戶讀寫或進(jìn)入/root目錄加固說明：禁止非root用戶對/root目錄進(jìn)行讀寫或進(jìn)入操作。安全加固操作：執(zhí)行如下命令chmod700/rootchmod700/root設(shè)置口令文件權(quán)限加固說明：防止普通用戶讀取或拷貝加密的口令文件內(nèi)容，默認(rèn)權(quán)限設(shè)置為400，僅允許root用戶進(jìn)行讀操作。安全加固操作：執(zhí)行如下命令chmod400/etc/shadowchmod400/etc/shadow敏感文件安全保護加固說明：對重要的口令文件權(quán)限進(jìn)行限制，防止惡意修改。安全加固操作：執(zhí)行如下命令注意：對系統(tǒng)文件使用chattr+i可能導(dǎo)致系統(tǒng)更新失敗，請在執(zhí)行系統(tǒng)更新前使用chattr-i解除鎖定chmod644/etc/passwdchmod400/etc/shadowchmod644/etc/groupchmod744/bin/mountchmod744/bin/umountchmod744/bin/loginchmod744/bin/pingchmod744/usr/bin/chfnchmod744/usr/bin/chshchmod744/usr/bin/newgrpchmod744/usr/bin/crontabchmod744/etc/securitymv/usr/bin/rlogin/usr/bin/rloginbakmv/usr/bin/rsh/usr/bin/rshbakchattr+i/etc/serviceschattr+i/etc/passwdchattr+i/etc/shadowchattrchattr+i+a/etc/group/var/log/messages配置禁止登錄的用戶列表加固說明：保護系統(tǒng)安全，支持配置禁止登錄的用戶列表，可在/etc/login.user.deny中添加禁止登錄系統(tǒng)的用戶。安全加固操作：查看/etc/pam.d/{system-auth,password-auth,password-auth-crond}文件，均寫入如下內(nèi)容：authrequisitepam_listfile.soitem=useronerr=succeedsense=denyfile=/etc/login.user.denyauthrequisitepam_listfile.soitem=useronerr=succeedsense=denyfile=/etc/login.user.deny限制命令歷史記錄的數(shù)量加固說明：Linux會自動記錄用戶輸入過的命令，此處限制最多記錄100條，當(dāng)超過100條時，刪除最老的記錄。安全加固操作：編輯/etc/profile文件，在文件中添加以下配置HISTFILESIZE=100HISTFILESIZE=100HISTSIZE=100執(zhí)行以下命令讓配置生效：source/etc/profilesource/etc/profile禁用魔術(shù)鍵加固說明：避免由于直接發(fā)送命令到內(nèi)核對系統(tǒng)造成影響，增強內(nèi)核安全性。安全加固操作：編輯/etc/sysctl.conf文件，將配置項編輯/etc/sysctl.conf文件，將配置項“kernel.sysrq“=0”編輯/etc/rc-local“/sbin/sysctl-p/etc/sysctl.conf”限制roottty設(shè)備加固說明：root用戶登錄系統(tǒng)終端時，開啟過多的tty設(shè)備會給系統(tǒng)帶來安全威脅。安全加固操作：/etc/pam.d/{system-auth,password-auth,password-auth-crondauthrequiredpam_securetty.so在/etc/securetty文件中添加配置tty02tty2登錄root。設(shè)置/etc/inittab的模式和所有權(quán)加固說明：設(shè)置/etc/inittab的屬主和群組都為root，權(quán)限為只有root用戶可讀和可寫。檢查方法：查看/etc/inittab文件的權(quán)限和所屬用戶、組，該文件的權(quán)限為644，所屬用戶和組都是root。安全加固操作：執(zhí)行如下命令chownroot:root/etc/inittabchmod644/etc/inittabchownroot:root/etc/inittabchmod644/etc/inittab限制系統(tǒng)無用的默認(rèn)賬號登錄加固說明：防止某些惡意用戶利用系統(tǒng)默認(rèn)賬號進(jìn)行破壞。cat（daemonbinsysadmuucp、nuucp、lpd、imnadm、ipsec、ldap、lp、nobody、snapp、invscout）。安全加固操作：使用命令“passwd-l<用戶名>”鎖定不必要的賬號。檢查是否存在除rootUID為0的用戶加固說明：保證只有root用戶的UID為0，因為UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)。檢查方法：執(zhí)行awk-F:'(3==0){print1}'/etc/passwd，返回值包括“root”以外的條目，則低于安全要求。root用戶環(huán)境變量的安全性root777的目錄。檢查方法：1.執(zhí)行echoPATH|egrep'(^|:)(\.|:|)'，檢查是否包含父目錄1.執(zhí)行echoPATH|egrep'(^|:)(\.|:|)'，檢查是否包含父目錄2、執(zhí)行findecho$PATH|tr':'''-typed -perm-002-o-perm-020 -ls，檢查是否包含目錄權(quán)限為777的目錄3、返回值包含以上條件，則低于安全要求。設(shè)置日志目錄和系統(tǒng)命令目錄的權(quán)限加固說明：設(shè)置/var/log和/sbin、/usr/sbin目錄權(quán)限為root用戶可讀寫并執(zhí)行，其他用戶可讀和可執(zhí)行。安全加固操作：執(zhí)行如下命令chmod755/var/log/sbin/usr/sbinchmod755/var/log/sbin/usr/sbin為全局可寫目錄/tmp設(shè)置粘貼位加固說明：對于公共可寫目錄/tmp設(shè)置粘貼位，避免個人文件被他人修改。安全加固操作：查看/tmp目錄的權(quán)限，權(quán)限信息中應(yīng)有“T”標(biāo)識，執(zhí)行如下命令chmodo+t/tmpchmodo+t/tmpoops后系統(tǒng)重啟加固說明：oops是指內(nèi)核發(fā)生嚴(yán)重錯誤，默認(rèn)系統(tǒng)在發(fā)生該情況時重啟，防止系統(tǒng)帶病運行帶來嚴(yán)重的影響。安全加固操作：1.查看/etc/sysctl.conf文件，將配置項“kernel.panic_on_oops”設(shè)置為“=1”2.在/etc/rc.local中增加一行“/sbin/sysctl-p/etc/sysctl.conf”3.vim/lib/systemd/system/rc-local.service增加參數(shù)：[install][install]wantedBy=multi-user.target執(zhí)行chmodo+x/etc/rc.local，vim/etc/rc.local增加：#!/bin/sh-ekernel.panic_on_oops=1#!/bin/sh-ekernel.panic_on_oops=1rm-rf /lib/systemd/system/ctrl-alt-del.targetexit0安全審計syslog登錄事件記錄加固說明：syslog登錄事件記錄捕獲authpriv消息。檢查方法：執(zhí)行命令：more/etc/rsyslog.conf，查看參數(shù)authpriv值，該值用于記錄有關(guān)安全方面日志消息（如網(wǎng)絡(luò)設(shè)備啟動、usermod、change等）。指定日志服務(wù)器加固說明：配置專門的日志服務(wù)器，加強日志信息的異地同步備份。安全加固操作：執(zhí)行：more/etc/rsyslog.conf，設(shè)置下列項kern.warning;*.err;authpriv.none\t@loghostkern.warning;*.err;authpriv.none\t@loghost*.info;mail.none;authpriv.none;cron.none\t@loghost*.emerg\t@loghostlocal7.*\t@loghost日志系統(tǒng)配置文件保護加固說明：修改日志配置文件（rsyslog.conf）權(quán)限為400（管理員賬號只讀）。安全加固操作：執(zhí)行chmod400/etc/rsyslog.conf，將rsyslog.conf文件權(quán)限設(shè)置為400。添加保存登錄信息和登錄失敗信息的文件加固說明：系統(tǒng)登錄信息保存在/var/log/wtmp文件中，使用last命令可以查看登錄歷史。安全加固操作：若不存在/var/log/wtmp，/var/log/faillog文件，執(zhí)行如下命令touch/var/log/wtmp/var/log/faillogtouch/var/log/wtmp/var/log/faillog安全日志完備性要求加固說明：系統(tǒng)應(yīng)配置完備日志記錄，記錄與系統(tǒng)相關(guān)的安全事件。檢查方法：以普通權(quán)限賬戶登錄系統(tǒng)，rsyslogd的配置文件/etc/rsyslog.conf規(guī)定了系統(tǒng)中需要監(jiān)視的事件和相應(yīng)的日志的保存位置，查看是否有如下配置：#Logallkernelmessagestotheconsole.#Logallkernelmessagestotheconsole.#Loggingmuchelsecluttersupthescreen.#將info或更高級別的消息送到/var/log/messages#將info或更高級別的消息送到/var/log/messages#除了mail/news/authpriv/cron以外。#其中*是通配符代表任何設(shè)備none表示不對任何級別的信息進(jìn)#行記錄。*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages#將和本地系統(tǒng)啟動相關(guān)的信息記錄到/var/log/boot.log文件###中。local7.* /var/log/boot.log/dev/consolekern.*日志文件權(quán)限控制加固說明：系統(tǒng)應(yīng)合理配置日志文件權(quán)限，控制對日志文件讀取、修改和刪除等操作。安全加固操作：以普通權(quán)限賬戶登錄系統(tǒng)，修改文件權(quán)限chmod600/var/log/messages #系統(tǒng)報錯日志chmod644/var/run/utmp chmod644/var/log/auth.log #記錄了登錄的信息chmod644/var/log/btmp #記錄錯誤登錄的日志chmod644/var/log/wtmp #記錄每個用戶的登錄次數(shù)和持續(xù)時間等信息禁止普通用戶刪除或修改系統(tǒng)日志文件加固說明：保證系統(tǒng)日志的完整性，禁止普通用戶刪除或修改系統(tǒng)日志文件。/var/log/目錄下文件權(quán)限，執(zhí)行如下命令chmodgo-wx/var/log/*chmodgo-wx/var/log/*入侵防范禁用不必要的系統(tǒng)服務(wù)和端口加固說明：Linux系統(tǒng)默認(rèn)安裝后有大量默認(rèn)服務(wù)，部分存在安全弱點，管理員應(yīng)根據(jù)需求優(yōu)化，如禁用telnet服務(wù)、ftp服務(wù)等，以提高系統(tǒng)服務(wù)安全，優(yōu)化系統(tǒng)資源。檢查方法：1.查看操作系統(tǒng)有哪些服務(wù)正在運行，執(zhí)行systemctl–l|greprunning命令；2.查看開放的端口列表，執(zhí)行#netstat-an命令；3.根據(jù)端口查詢對應(yīng)進(jìn)程，執(zhí)行l(wèi)sof-i:port命令。安全加固操作：可以使用systemcctlstopservice_name停掉服務(wù)root賬戶遠(yuǎn)程登錄限制加固說明：限制具備超級管理員權(quán)限的用戶遠(yuǎn)程登錄，遠(yuǎn)程執(zhí)行管理員權(quán)限操作應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再sudo提權(quán)執(zhí)行。安全加固操作：以普通賬戶登錄系統(tǒng)，修改/etc/ssh/sshd_configAuthentication”中將PermitRootLoginyes改為PermitRootLoginno重啟sshdservicesshdrestart。rootsuroot用戶。限制用戶對系統(tǒng)資源的使用限度加固說明：限制單個用戶對系統(tǒng)資源的最大或最小使用限度。安全加固操作：備份/etc/security/limits.conf文件；編輯/etc/security/limits.conf，添加如下內(nèi)容：softsoftstack 1024hardstack 1024hardnproc4000hardmaxlogins3/etc/pam.d/loginsessionrequired/lib/security/pam_limits.so。禁止SMTP遠(yuǎn)程連接加固說明：防止信息泄露，禁止用戶使用SMTP協(xié)議向外發(fā)布郵件。安全加固操作：查看/etc/postfix/master.cf文件，注釋如下內(nèi)容：#smtp#smtpinet n - n - - #smtpunix - - n - - 禁用coredump加固說明：coredump可能包含系統(tǒng)敏感信息，為防止泄露，禁止使用coredump。安全加固操作：/etc/security/limits.confvi/etc/security/limits.conf)，在文件末尾加入如softcoresoftcore0hardcore0編輯文件/etc/profile(vi/etc/profile)注釋掉如下行：#ulimit-S-c0>/dev/null2>&1#ulimit-S-c0>/dev/null2>&1限制訪問地址加固說明：fedora28開始已棄用tcp_wrappers，當(dāng)前通過配置防火墻過濾規(guī)則實現(xiàn)該功能。安全加固操作：參考以下命令1.iptables-IINPUT3-s63-ptcp--dport1521-jACCEPT/DROP2、serviceiptablessave1.iptables-IINPUT3-s63-ptcp--dport1521-jACCEPT/DROP2、serviceiptablessave3、serviceiptablesrestart操作系統(tǒng)最小化安裝加固說明：刪除無用的系統(tǒng)組件。安全加固操作：安裝時選擇最小化安裝模式。禁止IP源路由加固說明：accept_source_route的值為0則合規(guī)。安全加固操作：如果此項檢查失敗，請執(zhí)行以下命令進(jìn)行修復(fù)：forfin/proc/sys/net/ipv4/conf/*/accept_source_routedoforfin/proc/sys/net/ipv4/conf/*/accept_source_routedoecho0>$fdone防止IP欺騙安全加固操作：用root用戶配置/etc/host.conf文件，添加如下配置orderordermultioffnospoofon禁止普通用戶創(chuàng)建用戶命名空間加固說明：禁用用戶命名空間，降低漏洞利用風(fēng)險安全加固操作：永久生效方式：在/etc/sysctl.d/99-disable-userns.conf中寫入：kernel.unprivileged_userns_clone=0kernel.unprivileged_userns_clone=0使得配置立即生效：sudosysctl--system臨時生效方式：sudosysctl-wkernel.unprivileged_userns_clone=0eBPF加固說明：禁用eBPF，降低漏洞利用風(fēng)險安全加固操作：永久生效方式：在/etc/sysctl.d/99-disable-unprivileged-bpf.conf中寫入：kernel.unprivileged_userns_clone=0kernel.unprivileged_userns_clone=0使得配置立即生效：sudosysctl--system臨時生效方式：sudosysctl-wkernel.unprivileged_userns_clone=0數(shù)據(jù)傳輸保密性SSH加固說明：OpenSSHV2版本在安全性能、方便性上有所提高，默認(rèn)使用V2版本，若用戶需采用V1版本可修改數(shù)值為“1”。安全加固操作：編輯/etc/ssh/sshd_config文件，將Protocol設(shè)置為2。SSH口令算法加固說明：基于SSH加密傳輸?shù)陌踩孕枨螅ㄗh使用AES128，AES256，AES192等加密算法，允許同時配置多個，以逗號隔開。安全加固操作：編輯 /etc/ssh/sshd_config文件，將配置項設(shè)置為 “aes128-ctr,aes192-ctr,aes256-ctr”。SSH認(rèn)證方式安全加固操作：1/etc/ssh/sshd_configPubkeyAuthentication2.允許使用RSA算法進(jìn)行安全驗證：編輯/etc/ssh/sshd_config文件，將RSAAuthenticationyes”；認(rèn)證時不需要使用“rhosts”和“shosts”文件：編輯/etc/ssh/sshd_config文件，將IgnoreRhosts設(shè)置為“yes”；不允許用 rhosts或 “/etc/hosts.equiv” 加上 RSA進(jìn)行安全驗證：編輯/etc/ssh/sshd_config文件，將RhostsRSAAuthentication設(shè)置為“no”；需要通過口令認(rèn)證（需要手動在鍵盤輸入口令認(rèn)證）：查看/etc/ssh/sshd_config文件，將PasswordAuthentication設(shè)置為“yes”。SSH訪問所有權(quán)加固說明：設(shè)置SSH在接收登錄請求之前檢查用戶目錄和rhosts文件的權(quán)限和所有權(quán)。安全加固操作：編輯/etc/ssh/sshd_config文件，將StrictModes設(shè)置為“yes”。SSH登錄前顯示提示信息加固說明：設(shè)置SSH登錄前顯示提示信息，默認(rèn)提示信息為“Authorizedusersonly.Allactivitymaybemonitoredandreported.”。安全加固操作：編輯/etc/ssh/sshd_config文件，將Banner設(shè)置為“/etc/”。SSH日志加固說明：sshdfacilitycodeKERN（內(nèi)核信息）、DAEMON（與xinetd相關(guān)的信息）等安全加固操作：編輯/etc/ssh/sshd_config文件，將SyslogFacility設(shè)置為“AUTH”FATALERRORINFOVERBOSEDEBUG：/etc/ssh/sshd_configLogLevelVERBOSE”重置SSH的密鑰權(quán)限加固說明：防止被惡意篡改，默認(rèn)權(quán)限設(shè)置為400，僅允許root用戶進(jìn)行讀操作。安全加固操作：若/etc/ssh/目錄下*key文件的權(quán)限不為400，則執(zhí)行如下命令chmod400/etc/ssh/*keychmod400/etc/ssh/*key設(shè)置ssh登錄系統(tǒng)后的警示信息加固說明：依據(jù)《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中訪問控制對重要信息資源設(shè)置敏感標(biāo)記的要求。安全加固操作：修改/etc/motd文件，在里面設(shè)置警示信息，例