linux系統(tǒng)安全加固規(guī)范.doc

Linux主機操作系統(tǒng)加固規(guī)范目 錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實施11.5例外條款1第2章賬號管理、認證授權22.1賬號22.1.1用戶口令設置22.1.2root用戶遠程登錄限制22.1.3檢查是否存在除root之外UID為0的用戶32.1.4root用戶環(huán)境變量的安全性32.2認證42.2.1遠程連接的安全性配置42.2.2用戶的umask安全配置42.2.3重要目錄和文件的權限設置42.2.4查找未授權的SUID/SGID文件52.2.5檢查任何人都有寫權限的目錄62.2.6查找任何人都有寫權限的文件62.2.7檢查沒有屬主的文件72.2.8檢查異常隱含文件7第3章日志審計93.1日志93.1.1syslog登錄事件記錄93.2審計93.2.1Syslog.conf的配置審核9第4章系統(tǒng)文件114.1系統(tǒng)狀態(tài)114.1.1系統(tǒng)core dump狀態(tài)11第 2 頁 共 13 頁 第1章 概述1.1 適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。1.2 適用版本LINUX系列服務器；第2章 賬號管理、認證授權2.1 賬號2.1.1 用戶口令設置安全基線項目名稱操作系統(tǒng)Linux用戶口令安全基線要求項安全基線編號SBL-Linux-02-01-01 安全基線項說明 帳號與口令-用戶口令設置檢測操作步驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root, test/test, root/root12342、執(zhí)行：more /etc/login，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE參數(shù)3、執(zhí)行：awk -F: ($2 = ) print $1 /etc/shadow, 檢查是否存在空口令賬號基線符合性判定依據(jù)建議在/etc/login文件中配置：PASS_MIN_LEN=6不允許存在簡單密碼，密碼設置符合策略，如長度至少為6不存在空口令賬號備注2.1.2 root用戶遠程登錄限制安全基線項目名稱操作系統(tǒng)Linux遠程登錄安全基線要求項安全基線編號SBL-Linux-02-01-02 安全基線項說明 帳號與口令-root用戶遠程登錄限制檢測操作步驟執(zhí)行：more /etc/securetty，檢查Console參數(shù)基線符合性判定依據(jù)建議在/etc/securetty文件中配置：CONSOLE = /dev/tty01備注2.1.3 檢查是否存在除root之外UID為0的用戶安全基線項目名稱操作系統(tǒng)Linux超級用戶策略安全基線要求項安全基線編號SBL-Linux-02-01-03 安全基線項說明 帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：awk -F: ($3 = 0) print $1 /etc/passwd基線符合性判定依據(jù)返回值包括“root”以外的條目，則低于安全要求；備注補充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權，保證只有root用戶的UID為02.1.4 root用戶環(huán)境變量的安全性安全基線項目名稱操作系統(tǒng)Linux超級用戶環(huán)境變量安全基線要求項安全基線編號SBL-Linux-02-01-04 安全基線項說明 帳號與口令-root用戶環(huán)境變量的安全性檢測操作步驟執(zhí)行：echo $PATH | egrep (|:)(.|:|$)，檢查是否包含父目錄，執(zhí)行：find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls，檢查是否包含組目錄權限為777的目錄基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求；find echo $PATH | tr : -type d ( -perm -777 -o -perm -777 ) -ls注補充操作說明確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應包含組權限為777的目錄2.1.5 遠程連接的安全性配置安全基線項目名稱操作系統(tǒng)Linux遠程連接安全基線要求項安全基線編號SBL-Linux-02-02-01 安全基線項說明 帳號與口令-遠程連接的安全性配置檢測操作步驟執(zhí)行：find / -name .netrc，檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find / -name .rhosts ，檢查系統(tǒng)中是否有.rhosts文件基線符合性判定依據(jù)返回值包含以上條件，則低于安全要求；備注補充操作說明如無必要，刪除這兩個文件2.1.6 用戶的umask安全配置安全基線項目名稱操作系統(tǒng)Linux用戶umask安全基線要求項安全基線項說明 帳號與口令-用戶的umask安全配置檢測操作步驟執(zhí)行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認的，則低于安全要求備注補充操作說明 直接vi /etc/bashrc建議設置用戶的默認umask=077 數(shù)據(jù)庫機器不裝。2.1.7 重要目錄和文件的權限設置安全基線項目名稱操作系統(tǒng)Linux目錄文件權限安全基線要求項安全基線編號SBL-Linux-02-02-03 安全基線項說明 文件系統(tǒng)-重要目錄和文件的權限設置檢測操作步驟執(zhí)行以下命令檢查目錄和文件的權限設置情況：ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基線符合性判定依據(jù)若權限過低，則低于安全要求；備注補充操作說明對于重要目錄，建議執(zhí)行如下類似操作：# chmod -R 750 /etc/rc.d/init.d/*這樣只有root可以讀、寫和執(zhí)行這個目錄下的腳本。2.1.8 查找未授權的SUID/SGID文件安全基線項目名稱操作系統(tǒng)Linux SUID/SGID文件安全基線要求項安全基線編號SBL-Linux-02-02-04 安全基線項說明 文件系統(tǒng)-查找未授權的SUID/SGID文件檢測操作步驟用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind / ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基線符合性判定依據(jù)若存在未授權的文件，則低于安全要求；備注補充操作說明建議經(jīng)常性的對比suid/sgid文件列表，以便能夠及時發(fā)現(xiàn)可疑的后門程序2.1.9 檢查任何人都有寫權限的目錄安全基線項目名稱操作系統(tǒng)Linux目錄寫權限安全基線要求項安全基線編號SBL-Linux-02-02-05 安全基線項說明 文件系統(tǒng)-檢查任何人都有寫權限的目錄檢測操作步驟在系統(tǒng)中定位任何人都有寫權限的目錄用下面的命令：for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注2.1.10 查找任何人都有寫權限的文件安全基線項目名稱操作系統(tǒng)Linux文件寫權限安全基線要求項安全基線編號SBL-Linux-02-02-06 安全基線項說明 文件系統(tǒng)-查找任何人都有寫權限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權限的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注2.1.11 檢查沒有屬主的文件安全基線項目名稱操作系統(tǒng)Linux文件所有權安全基線要求項安全基線編號SBL-Linux-02-02-07 安全基線項說明 文件系統(tǒng)-檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -nouser -o -nogroup -printdone注意：不用管“/dev”目錄下的那些文件?；€符合性判定依據(jù)若返回值非空，則低于安全要求；備注補充操作說明發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有主人的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有主人的文件或目錄，先查看它的完整性，如果一切正常，給它一個主人。有時候卸載程序可能會出現(xiàn)一些沒有主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。2.1.12 檢查異常隱含文件安全基線項目名稱操作系統(tǒng)Linux隱含文件安全基線要求項安全基線編號SBL-Linux-02-02-08 安全基線項說明 文件系統(tǒng)-檢查異常隱含文件檢測操作步驟用“find”程序可以查找到這些隱含文件。例如： # find / -name . * -print xdev # find / -name * -print -xdev | cat -v 同時也要注意象“.xx”和“.mail”這樣的文件名的。（這些文件名看起來都很象正常的文件名）基線符合性判定依據(jù)若返回值非空，則低于安全要求；備注補充操作說明在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件（點號是起始字符的，用“l(fā)s”命令看不到的文件），因為這些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX下，一個常用的技術就是用一些特殊的名，如：“”、“. ”（點點空格）或“.G”（點點control-G），來隱含文件或目錄。第3章 日志審計3.1 日志3.1.1 syslog登錄事件記錄安全基線項目名稱操作系統(tǒng)Linux登錄審計安全基線要求項安全基線編號SBL-Linux-03-01-01 安全基線項說明 日志審計-syslog登錄事件記錄檢測操作步驟執(zhí)行命令：more /etc/syslog.conf查看參數(shù)authpriv值基線符合性判定依據(jù)若未對所有登錄事件都記錄，則低于安全要求；備注3.2 審計3.2.1 Syslog.conf的配置審核安全基線項目名稱操作系統(tǒng)Linux配置審計安全基線要求項安全基線編號SBL-Linux-03-02-01 安全基線項說明 日志審計-Syslog.conf的配置審核檢測操作步驟執(zhí)行：more /etc/syslog.conf，查看是否設置了下列項：kern.warning;*.err;authpriv.nonetloghost*.info;mail.none;authpriv.none;cron.nonetloghost*.emergtloghostlocal7.*tloghost基線符合性判定依據(jù)若未設置，則低于安全要求；備注補充操作說明建議配置專門的日志服務器，加強日志信息的異地同步備份第4章 系統(tǒng)文件4.1 系統(tǒng)狀態(tài)4.1