Linu安全配置基線

Linux系統(tǒng)平安配置基線中國移動通信有限公司管理信息系統(tǒng)部2009年3月

版本版本限制信息更新日期更新人審批人V1.0創(chuàng)立2009年1月備注：假設(shè)此文檔須要日后更新，請創(chuàng)立人填寫版本限制表格，否那么刪除版本限制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第2章 賬號管理、認(rèn)證授權(quán) 22.1 賬號 2 用戶口令設(shè)置 2 root用戶遠(yuǎn)程登錄限制 2 檢查是否存在除root之外UID為0的用戶 3 root用戶環(huán)境變量的平安性 32.2 認(rèn)證 4 遠(yuǎn)程連接的平安性配置 4 用戶的umask平安配置 4 重要書目和文件的權(quán)限設(shè)置 4 查找未授權(quán)的SUID/SGID文件 5 檢查任何人都有寫權(quán)限的書目 6 查找任何人都有寫權(quán)限的文件 6 檢查沒有屬主的文件 7 檢查異樣隱含文件 7第3章 日志審計 93.1 日志 9 syslog登錄事務(wù)記錄 93.2 審計 9 Syslog.conf的配置審核 9第4章 系統(tǒng)文件 114.1 系統(tǒng)狀態(tài) 11 系統(tǒng)coredump狀態(tài) 11第5章 評審與修訂 12概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的LINUX操作系統(tǒng)的主機應(yīng)當(dāng)遵循的操作系統(tǒng)平安性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或平安檢查人員進(jìn)展LINUX操作系統(tǒng)的平安合規(guī)性檢查和配置。適用范圍本配置標(biāo)準(zhǔn)的運用者包括：效勞器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)平安管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的LINUX效勞器系統(tǒng)。適用版本LINUX系列效勞器；實施本標(biāo)準(zhǔn)的說明權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中假設(shè)有任何疑問或建議，應(yīng)剛好反應(yīng)。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必需準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和緣由，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)展審批備案。

賬號管理、認(rèn)證授權(quán)賬號用戶口令設(shè)置平安基線工程名稱操作系統(tǒng)Linux用戶口令平安基線要求項平安基線編號SBL-Linux-02-01-01平安基線項說明帳號與口令-用戶口令設(shè)置檢測操作步驟1、詢問管理員是否存在如下類似的簡潔用戶密碼配置，比方：root/root,test/test,root/root12342、執(zhí)行：more/etc/login，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE參數(shù)3、執(zhí)行：awk-F:'($2==""){print$1}'/etc/shadow,檢查是否存在空口令賬號基線符合性判定依據(jù)建議在/etc/login文件中配置：PASS_MIN_LEN=6不允許存在簡潔密碼，密碼設(shè)置符合策略，如長度至少為6不存在空口令賬號備注root用戶遠(yuǎn)程登錄限制平安基線工程名稱操作系統(tǒng)Linux遠(yuǎn)程登錄平安基線要求項平安基線編號SBL-Linux-02-01-02平安基線項說明帳號與口令-root用戶遠(yuǎn)程登錄限制檢測操作步驟執(zhí)行：more/etc/securetty，檢查Console參數(shù)基線符合性判定依據(jù)建議在/etc/securetty文件中配置：CONSOLE=/dev/tty01備注檢查是否存在除root之外UID為0的用戶平安基線工程名稱操作系統(tǒng)Linux超級用戶策略平安基線要求項平安基線編號SBL-Linux-02-01-03平安基線項說明帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執(zhí)行：awk-F:'($3==0){print$1}'/etc/passwd基線符合性判定依據(jù)返回值包括“root”以外的條目，那么低于平安要求；備注補充操作說明UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為0root用戶環(huán)境變量的平安性平安基線工程名稱操作系統(tǒng)Linux超級用戶環(huán)境變量平安基線要求項平安基線編號SBL-Linux-02-01平安基線項說明帳號與口令-root用戶環(huán)境變量的平安性檢測操作步驟執(zhí)行：echo$PATH|egrep'(^|:)(\.|:|$)'，檢查是否包含父書目，執(zhí)行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組書目權(quán)限為777的書目基線符合性判定依據(jù)返回值包含以上條件，那么低于平安要求；備注補充操作說明確保root用戶的系統(tǒng)路徑中不包含父書目，在非必要的狀況下，不應(yīng)包含組權(quán)限為777的書目認(rèn)證遠(yuǎn)程連接的平安性配置平安基線工程名稱操作系統(tǒng)Linux遠(yuǎn)程連接平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明帳號與口令-遠(yuǎn)程連接的平安性配置檢測操作步驟執(zhí)行：find/-rc，檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find/-name.rhosts，檢查系統(tǒng)中是否有.rhosts文件基線符合性判定依據(jù)返回值包含以上條件，那么低于平安要求；備注補充操作說明如無必要，刪除這兩個文件用戶的umask平安配置平安基線工程名稱操作系統(tǒng)Linux用戶umask平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明帳號與口令-用戶的umask平安配置檢測操作步驟執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據(jù)umask值是默認(rèn)的，那么低于平安要求備注補充操作說明建議設(shè)置用戶的默認(rèn)umask=077重要書目和文件的權(quán)限設(shè)置平安基線工程名稱操作系統(tǒng)Linux書目文件權(quán)限平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統(tǒng)-重要書目和文件的權(quán)限設(shè)置檢測操作步驟執(zhí)行以下叮囑檢查書目和文件的權(quán)限設(shè)置狀況：ls–l/etc/ls–l/etc/rc.d/init.d/ls–l/tmpls–l/etc/inetd.confls–l/etc/passwdls–l/etc/shadowls–l/etc/groupls–l/etc/securityls–l/etc/servicesls-l/etc/rc*.d基線符合性判定依據(jù)假設(shè)權(quán)限過低，那么低于平安要求；備注補充操作說明對于重要書目，建議執(zhí)行如下類似操作：#chmod-R750/etc/rc.d/init.d/*這樣只有root可以讀、寫和執(zhí)行這個書目下的腳本。查找未授權(quán)的SUID/SGID文件平安基線工程名稱操作系統(tǒng)LinuxSUID/SGID文件平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統(tǒng)-查找未授權(quán)的SUID/SGID文件檢測操作步驟用下面的叮囑查找系統(tǒng)中全部的SUID和SGID程序，執(zhí)行：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART\(-perm-04000-o-perm-02000\)-typef-xdev-printDone基線符合性判定依據(jù)假設(shè)存在未授權(quán)的文件，那么低于平安要求；備注補充操作說明建議常常性的比照suid/sgid文件列表，以便能夠剛好發(fā)覺可疑的后門程序檢查任何人都有寫權(quán)限的書目平安基線工程名稱操作系統(tǒng)Linux書目寫權(quán)限平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統(tǒng)-檢查任何人都有寫權(quán)限的書目檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的書目用下面的叮囑：forPARTin`awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab`;dofind$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)假設(shè)返回值非空，那么低于平安要求；備注查找任何人都有寫權(quán)限的文件平安基線工程名稱操作系統(tǒng)Linux文件寫權(quán)限平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統(tǒng)-查找任何人都有寫權(quán)限的文件檢測操作步驟在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的叮囑：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據(jù)假設(shè)返回值非空，那么低于平安要求；備注檢查沒有屬主的文件平安基線工程名稱操作系統(tǒng)Linux文件全部權(quán)平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統(tǒng)-檢查沒有屬主的文件檢測操作步驟定位系統(tǒng)中沒有屬主的文件用下面的叮囑：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone留意：不用管“/dev”書目下的那些文件?；€符合性判定依據(jù)假設(shè)返回值非空，那么低于平安要求；備注補充操作說明發(fā)覺沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒有主子的文件存在。假如在系統(tǒng)中發(fā)覺了沒有主子的文件或書目，先查看它的完整性，假如一切正常，給它一個主子。有時候卸載程序可能會出現(xiàn)一些沒有主子的文件或書目，在這種狀況下可以把這些文件和書目刪除掉。檢查異樣隱含文件平安基線工程名稱操作系統(tǒng)Linux隱含文件平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統(tǒng)-檢查異樣隱含文件檢測操作步驟用“find”程序可以查找到這些隱含文件。例如：#find/-name"..*"-print–xdev#find/-name"…*"-print-xdev|cat-v同時也要留意象“.xx”和“.mail”這樣的文件名的。〔這些文件名看起來都很象正常的文件名〕基線符合性判定依據(jù)假設(shè)返回值非空，那么低于平安要求；備注補充操作說明在系統(tǒng)的每個地方都要查看一下有沒有異樣隱含文件〔點號是起始字符的，用“l(fā)s”叮囑看不到的文件〕，因為這些文件可能是隱藏的黑客工具或者其它一些信息〔口令破解程序、其它系統(tǒng)的口令文件，等等〕。在UNIX下，一個常用的技術(shù)就是用一些特殊的名，如：“…”、“..”〔點點空格〕或“..^G”〔點點control-G〕，來隱含文件或書目。

日志審計日志syslog登錄事務(wù)記錄平安基線工程名稱操作系統(tǒng)Linux登錄審計平安基線要求項平安基線編號SBL-Linux-03平安基線項說明