linux安全配置規(guī)范.doc

Linux 安全配置規(guī)范2010年11月第一章 概述1.1 適用范圍適用于中國電信使用Linux操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。第二章 安全配置要求2.1賬號編號： 1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設(shè)備間通信使用的賬號共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號：#useradd username #創(chuàng)建賬號#passwd username #設(shè)置密碼修改權(quán)限：#chmod 750 directory #其中750為設(shè)置的權(quán)限，可根據(jù)實際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號，設(shè)置不同的口令及權(quán)限信息等。2、補充操作說明檢測方法1、判定條件能夠登錄成功并且可以進行常用操作；2、檢測操作使用不同的賬號進行登錄并進行一些常用操作；3、補充說明編號： 2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。操作指南1、參考配置操作刪除用戶：#userdel username; 鎖定用戶：1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd -l username只有具備超級用戶權(quán)限的使用者方可使用，#passwd -l username鎖定用戶,用#passwd d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補充操作說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補充說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。編號： 3 要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1、 參考配置操作編輯/etc/passwd，帳號信息的shell為/sbin/nologin的為禁止遠程登錄，如要允許，則改成可以登錄的shell即可，如/bin/bash2、補充操作說明如果限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。檢測方法1、判定條件root遠程登錄不成功，提示“沒有權(quán)限”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測操作root從遠程使用telnet登錄；普通用戶從遠程使用telnet登錄；root從遠程使用ssh登錄；普通用戶從遠程使用ssh登錄；3、補充說明限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。編號：4要求內(nèi)容對于使用IP協(xié)議進行遠程維護的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1、參考配置操作正常可以通過#/etc/init.d/sshd start來啟動SSH;通過#/etc/init.d/sshd stop來停止SSH2、補充操作說明查看SSH服務(wù)狀態(tài)：# ps ef|grep ssh禁止使用telnet等明文傳輸協(xié)議進行遠程維護；如特別需要，需采用訪問控制策略對其進行限制；檢測方法1、 判定條件# ps ef|grep ssh是否有ssh進程存在是否有telnet進程存在2、檢測操作查看SSH服務(wù)狀態(tài)：# ps ef|grep ssh查看telnet服務(wù)狀態(tài)：# ps ef|grep telnet3、補充說明2.2口令編號：1要求內(nèi)容對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少3類。操作指南1、參考配置操作 vi /etc/login.defs ，修改設(shè)置如下PASS_MIN_LEN=8 #設(shè)定最小用戶密碼長度為8位Linux用戶密碼的復(fù)雜度可以通過pam_cracklib module或pam_passwdqc module進行設(shè)置檢測方法1、判定條件不符合密碼強度的時候，系統(tǒng)對口令強度要求進行提示；符合密碼強度的時候，可以成功設(shè)置；2、檢測操作1、檢查口令強度配置選項是否可以進行如下配置：i. 配置口令的最小長度；ii. 將口令配置為強口令。2、創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于8的口令，查看系統(tǒng)是否對口令強度要求進行提示；輸入帶有特殊符號的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。3、補充說明pam_cracklib主要參數(shù)說明: tretry=N:重試多少次后返回密碼修改錯誤 difok=N:新密碼必需與舊密碼不同的位數(shù) dcredit=N: N = 0:密碼中最多有多少個數(shù)字;N /etc/issue #echo $R /etc/issue #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue #cp -f /etc/issue /etc/ #echo /etc/issue 其次刪除/etc目錄下的和issue文件： # mv /etc/issue /etc/issue.bak # mv /etc/ /etc/.bak 檢測方法查看Cat /etc/rc.d/rc.local 注釋住處信息附表：端口及服務(wù)服務(wù)名稱端口應(yīng)用說明關(guān)閉方法處置建議daytime13/tcpRFC867 白天協(xié)議chkconfig daytime off 建議關(guān)閉13/udpRFC867 白天協(xié)議chkconfig daytime off time37/tcp時間協(xié)議chkconfig time off 37/udp時間協(xié)議chkconfig time-udp off echo7/tcpRFC862_回聲協(xié)議chkconfig echo off 7/udpRFC862_回聲協(xié)議chkconfig echo-udp off discard9/tcpRFC863 廢除協(xié)議chkconfig discard off 9/udpchkconfig discard-udp offchargen19/tcpRFC864 字符產(chǎn)生協(xié)議chkconfig chargen off 19/udpchkconfig chargen-udp off ftp21/tcp文件傳輸協(xié)議(控制)chkconfig gssftp off 根據(jù)情況選擇開放telnet23/tcp虛擬終端協(xié)議chkconfig krb5-telnet off 根據(jù)情況選擇開放sendmail25/tcp簡單郵件發(fā)送協(xié)議chkconfig sendmail off建議關(guān)閉nameserver53/udp域名服務(wù)chkconfig named off 根據(jù)情況選擇開放53/tcp域名服務(wù)chkconfig named off 根據(jù)情況選擇開放apache80/tcpHTTP 萬維網(wǎng)發(fā)布服務(wù)chkconfig httpd off 根據(jù)情況選擇開放login513/tcp遠程登錄chkconfig login off根據(jù)情況選擇開放shell514/tcp遠程命令, no passwd usedchkconfig shell off根據(jù)情況選擇開放exec512/tcpremote execution, passwd requiredchkconfig exec off根據(jù)情況選擇開放ntalk518/udpnew talk, conversationchkconfig ntalk off建議關(guān)閉ident113/tcpauthchkconfig ident off建議關(guān)閉printer515/tcp遠程打印緩存chkconfig printer off強烈建議關(guān)閉bootps67/udp引導(dǎo)協(xié)議服務(wù)端chkconfig bootps off建議關(guān)閉68/udp引導(dǎo)協(xié)議客戶端chkconfig bootps off建議關(guān)閉tftp69/udp普通文件傳輸協(xié)議chkconfig tftp off強烈建議關(guān)閉kshell544/tcpKerberos remote shell -kfallchkconfig kshell off建議關(guān)閉klogin543/tcpKerberos rlogin -kfallchkconfig klogin off建議關(guān)閉portmap111/tcp端口映射chkconfig portmap off根據(jù)情況選擇開放snmp161/udp簡單網(wǎng)絡(luò)管理協(xié)議（Agent）chkconfig snmp off根據(jù)情況選擇開放snmp trap161/tcp簡單網(wǎng)絡(luò)管理協(xié)議（Agent）chkconfig snmp off根據(jù)情況選擇開放snmp-trap162/udp簡單網(wǎng)絡(luò)管理協(xié)議（Traps）chkconfig snmptrap off根據(jù)情況選擇開放syslogd514/udp系統(tǒng)日志服務(wù)chkconfig syslog off建議保