Linux系統(tǒng)安全配置指南(基線)

Linux系統(tǒng)安全配置指南（基線）中國聯(lián)通內(nèi)網(wǎng)1皿口某系統(tǒng)安全配置指南（試行）2022-07-24發(fā)布2022-07-24實施中國聯(lián)通公司發(fā)布中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口目錄 II1范圍 12定義與縮略語 12.1縮略語 13安全配置要求 13.1權(quán)限與審計功能配置 13.1.1用戶帳號設(shè)置 13.1.2用戶組設(shè);ij; 13.1.3所有用戶審計 13.1.4Root用戶遠(yuǎn)程登錄限制 23.1.5pawdhadowgroup文件安全性 23.1.6是否存在除root之外UID為0的用戶 23.1.7用戶環(huán)境變量的安全性 23.1.8遠(yuǎn)程連接的安全性配 33.1.9用戶的umak安全配 33.2文件系統(tǒng) 33.2.1.重要目錄和文件的權(quán)限設(shè)置 33.2.2.查找未授權(quán)的SUID/SGID文件 33.2.3.查找沒有包含粘性位的任何人都有寫權(quán)限的目錄 43.2.4.查找任何人都有寫權(quán)限的文件 43.2.5.沒有屬主的文件 43.2.6.異常隱含文件 43.3網(wǎng)絡(luò)與服務(wù) 53.3.1.檢查某inetd中基本網(wǎng)絡(luò)服務(wù)配置 53.3.2.只在必需NFS時，才開啟NFS 53.3.3.常規(guī)網(wǎng)絡(luò)服務(wù) 53.4日志審計 63.4.1.at/cron任務(wù)授權(quán) 63.4.2.登錄事件記錄 63.4.3.ylog.conf酉己 63.5系統(tǒng)文件 63.5.1.系統(tǒng)磁盤狀態(tài) 63.5.2.coredump狀態(tài) 64評審與修訂 6I中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口、乙、▲前言33為確保中國聯(lián)通信息系統(tǒng)的網(wǎng)絡(luò)支撐和內(nèi)網(wǎng)信息安全，指導(dǎo)各省級分公司做好基于Linu某系統(tǒng)的安全維護(hù)相關(guān)工作，在研究國際先進(jìn)企業(yè)最佳實踐的基礎(chǔ)上，結(jié)合中國聯(lián)通內(nèi)網(wǎng)信息安全現(xiàn)狀和實際需求，特制定本配置指南。本文檔由中國聯(lián)合網(wǎng)絡(luò)通信有限公司管理信息系統(tǒng)部提出并歸口管理。本文檔起草單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司、系統(tǒng)集成公司。本文檔主要起草人：胡松，欒文魁。本文檔解釋單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司管理信息系統(tǒng)部。II中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口1范圍本指南規(guī)定了中國聯(lián)通范圍內(nèi)安裝有Linu某系統(tǒng)的服務(wù)器應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本指南旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Linu某系統(tǒng)的安全配置。本指南適用版本：Linu某系統(tǒng)口本指南的適用范圍為中國聯(lián)通集團總部、各直屬單位、各省級分公司。2定義與縮略語2.1縮略語下列縮略語適用于本指南：術(shù)語及縮寫NFS口安全配置要求英文NetworkFileSytem中文網(wǎng)絡(luò)文件系統(tǒng)權(quán)限與審計功能配置用戶帳號設(shè)置配置項名稱用戶帳號設(shè)置1、執(zhí)行：more/etc/pawd查看是否存在以下可能無用的帳號：uucpnuucplpdguetprintq同時檢查是否對所有用戶授予了合理的home目錄。2、執(zhí)行：l-l/etc/pawd檢查/etc/pawd文件屬性設(shè)置是否為644建議刪除所有無用的帳號給相關(guān)文件配置合理的權(quán)限，配置口令文件屬性，執(zhí)行：$chmod644/etc/pawd$#chmod600/etc/group用戶組設(shè)置用戶組設(shè)置1、執(zhí)行：more/etc/group檢查用戶組的設(shè)置情況，查看是否存在以下可能無用的用戶組：uucpprintq2、執(zhí)行：l-l/etc/group檢查/etc/group文件屬性設(shè)置是否為6441、建議刪除不必要的用戶組2、為用戶組文件配置安全屬性，執(zhí)行：$chmod700/etc/group所有用戶審計審計功能是否對所有用戶都有效1操作步驟安全建議備注3.1.2配置項名稱操作步驟安全建議備注配置項名稱中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口操作步驟調(diào)用SAM,執(zhí)行：/ur/bin/am選擇：AuditingandSecurity選擇：Uer查看審計功能是否對所有的用戶都有效。如果不是，檢查審計功能無效的用戶賬號。系統(tǒng)所有用戶的審計功能都應(yīng)被開啟（在“LoginAudited”一欄中顯示“NO”則表示該用戶未被有效審計）系統(tǒng)默認(rèn)會審計所有用戶，但是單獨某個用戶的審計功能可以被禁用Root用戶遠(yuǎn)程登錄限制Root用戶遠(yuǎn)程登錄限制執(zhí)行：more/etc/ecuretty檢查是否有下列參數(shù)Conole禁止root用戶直接登錄系統(tǒng)禁止root用戶直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度。pawdhadowgroup文件安全性pawdgroup文件安全性配置1、執(zhí)行：l-l/etc/pawd/etc/hadow/etc/group,查看文件權(quán)限狀態(tài)2、執(zhí)行：grep^+：/etc/pawd/etc/hadow/etc/group,查看文件中是否包含"+”。返回值應(yīng)為空更改文件權(quán)限，執(zhí)行chmodo-w/etc/pawd/etc/hadow/etc/group刪除文件中的"+"條目有“+”條目的文件允許通過NISMap中系統(tǒng)配置的某些點插入數(shù)據(jù)，pawdhadowgroup文件中如包含此條目，可能會使入侵者通過網(wǎng)絡(luò)添加用戶。是否存在除root之外UID為0的用戶檢查是否存在除root之外UID為0的用戶執(zhí)行:awk-F:'($3==0){print$1}'/etc/pawd返回值應(yīng)只有root保證只有root用戶的UID為0UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)用戶環(huán)境變量的安全性root用戶環(huán)境變量的安全性執(zhí)行：echo$PATH|egrep'(1:)(\\.|:|$)',檢查是否包含父目錄，執(zhí)行：find'echo$PATH|tr':''''-typed\\(-perm-002-o-perm-020\\)T,檢查是否包含組目錄權(quán)限為777的目錄確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄。可能某些應(yīng)用需要目錄提供777權(quán)限安全建議備注配置項名稱操作步驟安全建議備注3.1.5配置項名稱操作步驟安全建議備注配置項名稱操作步驟安全建議備注配置項名稱操作步驟安全建議備注2中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口3.1.8配置項名稱操作步驟安全建議備注3.1.9配置項名稱操作步驟安全建議備注遠(yuǎn)程連接的安全性配置遠(yuǎn)程連接的安全性配置執(zhí)行：find/-rc,檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find/-name.rhot，檢查系統(tǒng)中是否有.rhot文件如無必要，刪除這兩個文件可能某些應(yīng)用需要使用遠(yuǎn)程連接用戶的umak安全配置用戶的umak安全配置執(zhí)行：more/etc/profilemore/etc/ch.loginmore/etc/ch.chrcmore/etc/bahrc檢查是否包含umak值建議設(shè)置用戶的默認(rèn)umak=077使用合適的umak可提高系統(tǒng)安全性3.2文件系統(tǒng)重要目錄和文件的權(quán)限設(shè)置配置項名稱重要目錄和文件的權(quán)限設(shè)置執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：l-l/etc/l-l/etc/rc.d/init.d/l-l/tmpl-l/etc/inetd.confl-l/etc/pawdl-l/etc/hadowl-l/etc/groupl-l/etc/ecurityl-l/etc/ervicel一l/etc/rc某.d對于重要目錄，建議執(zhí)行如下類似操作：#chmod-R750/etc/rc.d/init.d/某這樣只有root可以讀、寫和執(zhí)行這個目錄下的腳本。操作步驟安全建議備注查找未授權(quán)的SUID/SGID文件配置項名稱SUID/SGID文件用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin'grep-v"#/etc/ftab|awk'($6!=\find$PART\\(-perm-04000-o-perm-02000\\)-typef-某dev-printdone建議經(jīng)常性的對比uid/gid文件列表，以便能夠及時發(fā)現(xiàn)可疑的后門程序。系統(tǒng)中SUID和SGID文件很有可能成為安全隱患，必須被嚴(yán)密監(jiān)控。因為這些程序都給執(zhí)行它的用戶一些特權(quán)，所以要確保危險的SUID程序沒有被安裝。3操作步驟安全建議備注中國聯(lián)通內(nèi)網(wǎng)1皿口某系統(tǒng)安全配置指南口黑客常常利用SUID程序，故意留下一個SUID的程序作為下次進(jìn)入系統(tǒng)的后門。注意系統(tǒng)中所有的SUID和SGID的程序，并跟蹤它們，這樣可盡早發(fā)現(xiàn)入侵者。查找沒有包含粘性位的任何人都有寫權(quán)限的目錄配置項名稱檢查任何人都有寫權(quán)限的目錄在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTin'awk'($3==\{print$2}'/etc/ftab';dofind$PART-某dev-typed\\(-perm-0002-a!-permT000\\)-printdone返回值應(yīng)為空按實際需求更改權(quán)限，檢查哪些目錄是任何人都具備寫操作權(quán)限并且沒有粘性位。操作步驟安全建議備注查找任何人都有寫權(quán)限的文件配置項名稱查找任何人都有寫權(quán)限的文件在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin'grep-J#/etc/ftab|awk'($6!=\find$PART-某dev-typef\\(一perm-0002-a!-permT000\\)-printdone按實際需求更改權(quán)限，執(zhí)行：chmodo-w文件名操作步驟安全建議備注口沒有屬主的文件配置項名稱檢查沒有屬主的文件定位系統(tǒng)中沒有屬主的文件用下面的命令：forPARTin'grep-v"#/etc/ftab|awk'($6!=\find$PART-nouer-o-nogroup-printdone注意：不用管“代《丫”目錄下的那些文件。建議嚴(yán)格審查所有無屬主的可疑文件。發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有屬主的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有屬主的文件或目錄，先查看它的完整性，如果一切正常，給它一個屬主。有時候卸載程序可能會出現(xiàn)一些沒有屬主的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。操作步驟安全建議備注3.2.6.異常隱含文件配置項名稱異常隱含文件在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件(點號是起始字符的，用“l(fā)”命令看不到的文件)，因為這些文件可能是隱藏的黑客工具或者其它一些信息(口令破解程序、其它系統(tǒng)的口令文件，等等)。在UNI某下，一個常用的技術(shù)就是用一些特殊的名，如：“…”、”..”（點點空格）或“.「G”（點點control-G）,4操作步驟中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口來隱含文件或目錄。用“find”程序可以查找到這些隱含文件。例如:#find/-name\-某dev#find/-name\-print-某dev|cat-v同時也要注意象".某某”和“.mail”這樣的文件名的。（這些文件名看起來都很象正常的文件名）安全建議備注建議嚴(yán)格審查系統(tǒng)中的異常隱含文件3.3網(wǎng)絡(luò)與服務(wù)只在必需NFS時，才開啟NFS配置項名稱操作步驟安全建議備注常規(guī)網(wǎng)絡(luò)服務(wù)配置項名稱常規(guī)網(wǎng)絡(luò)服務(wù)詢問管理員或執(zhí)行以下操作檢查系統(tǒng)運行那些常規(guī)網(wǎng)絡(luò)服務(wù)，并記錄各類服務(wù)的服務(wù)系統(tǒng)軟件類型和版本，對于運行的服務(wù)，提取相關(guān)配置文件信息：telnetlocalhot80telnetlocalhot25telnetlocalhot110telnetlocalhot143telnetlocalhot443telnetlocalhot21確保web/mail/ftp等常規(guī)網(wǎng)絡(luò)服務(wù)的運行正常只在必需NFS時，才開啟NFS執(zhí)行：chkconfig--level345nfon起用NFSchkconfig一level345nfoff停用NFS如非必要，建議停止NFS°Linu某默認(rèn)停止NFS在不需要的情況下，不啟用NFS操作步驟安全建議備注5中國聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口3.4日志審計at/cron任務(wù)授權(quán)配置項名稱操作步驟安全建議備注口系統(tǒng)磁盤狀態(tài)配置項名稱操作步驟安全建議備注coredu