Linux安全配置標準_第1頁
Linux安全配置標準_第2頁
Linux安全配置標準_第3頁
Linux安全配置標準_第4頁
Linux安全配置標準_第5頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

Linux安全配置標準一.目的《Linux安全配置標準》是Qunar信息系統(tǒng)安全標準的一部分,主要目的是根據(jù)信息安全管理政策的要求,為我司的Linux系統(tǒng)提供配置基準,并作為Linux系統(tǒng)設計、實施及維護的技術(shù)和安全參考依據(jù)。二.范圍安全標準所有條款默認適用于所有Linux系統(tǒng),某些特殊的會明確指定適用范圍。三.內(nèi)容3.1軟件版本及升級策略操作系統(tǒng)內(nèi)核及各應用軟件,默認采用較新的穩(wěn)定版本,不開啟自動更新功能。安全組負責跟蹤廠商發(fā)布的相關(guān)安全補丁,評估是否進行升級。3.2賬戶及口令管理3.2.1遠程登錄帳號管理符合以下條件之一的,屬"可遠程登錄帳號":(1)設置了密碼,且?guī)ぬ柼幱谖存i定狀態(tài)。(2)在$HOME/.ssh/authorized_keys放置了publickey"可遠程登錄帳號"的管理要求為:(1)帳號命名格式與郵件命名格式保持一致(2)不允許多人共用一個帳號,不允許一人有多個帳號。(3)每個帳號均需有明確的屬主,離職人員帳號應當天清除。(4)特殊帳號需向安全組報批3.2.2守護進程帳號管理守護進程啟動帳號管理要求(1)應建立獨立帳號,禁止賦予sudo權(quán)限,禁止加入root或wheel等高權(quán)限組。(2)禁止使用"可遠程登錄帳號"啟動守護進程(3)禁止使用root帳號啟動WEBSERVER/DB等守護進程。3.2.3系統(tǒng)默認帳號管理(僅適用于財務管理重點關(guān)注系統(tǒng))刪除默認的帳號,包括:lp,sync,shutdown,halt,news,uucp,operator,games,gopher等3.2.4口令管理口令管理應遵循《密碼口令管理制度》,具體要求為(1)啟用密碼策略/etc/login.defsPASS_MAX_DAYS90PASS_MIN_DAYS1PASS_MIN_LEN7PASS_WARN_AGE7/etc/pam.d/system-authpasswordsufficientpam_unix.so**remember=5passwordrequisitepam_cracklib.so**minlen=7lcredit=1ucredit=1dcredit=1ocredit=0(2)啟用帳號鎖定策略,連續(xù)輸錯3次口令,鎖定用戶30分鐘/etc/pam.d/system-authauthrequiredpam_env.soauthrequiredpam_tally2.sodeny=3unlock_time=18003.2.5OpenSSH安全配置只使用協(xié)議版本2,禁止root登錄,禁止空口令登錄,獨立記錄日志到/var/log/secure。具體配置為:/etc/ssh/sshd_config#defaultis2,1Protocol2#defaultisyesPermitRootLoginno#defaultisnoPermitEmptyPasswordsno#defaultisAUTHSyslogFacilityAUTHPRIV3.3認證授權(quán)3.3.1遠程管理方式(1)默認僅允許ssh一種遠程管理方式,禁止使用telnet、rlogin等,如存在以下文件,必須刪除:$HOME/.rhosts/etc/hosts.equiv/etc/xinetd.d/rsh/etc/xinetd.d/rlogin(2)跳板機只允許RSATOKEN方式登錄,其它Linux服務器只允許通過密碼和publickey方式登錄。(3)生產(chǎn)環(huán)境Linux服務器,只允許來自跳板機和其它指定IP的登錄,通過tcpwarp實現(xiàn)。生產(chǎn)環(huán)境范圍由安全組指定,允許登錄的IP源由安全組指定。BETA/DEV環(huán)境登錄限制同生產(chǎn)環(huán)境。3.3.2其它(僅適用于財務管理重點關(guān)注系統(tǒng))(1)僅允許非wheel組用戶通過遠程管理,配置方法:/etc/security/access.conf-:wheel:ALLEXCEPTLOCAL.win.tue.nl/etc/pam.d/sshdaccountrequiredpam_access.so(2)限制普通用戶控制臺訪問權(quán)限禁止普通用戶在控制臺執(zhí)行shutdown、halt以及reboot等命令。rm-f/etc/security/console.apps/rebootrm-f/etc/security/console.apps/haltrm-f/etc/security/console.apps/shutdownrm-f/etc/security/console.apps/poweroff3.4其它3.4.1關(guān)鍵文件權(quán)限(僅適用于財務管理重點關(guān)注系統(tǒng))

將以下文件設置為600權(quán)限/$HOME/.bash_logout/$HOME/.bash_profile/$HOME/.bashrc3.4.2日志管理開啟以下行為日志:用戶登錄日志、crontab執(zhí)行日志配置方法:/etc/syslog.confauthpriv.*/var/log/securecron.*/var/log/cron對于PCIDSS覆蓋范圍內(nèi)的系統(tǒng),所有日志應實時發(fā)送到集中的日志管理服務器,并確保由程序自動分析與告警。3.4.3用戶界面TIMEOUT設置用戶30分鐘無操作自動退出。設置方法:/etc/profileTMOUT=1800對于PCIDSS以及SOX404范圍內(nèi)的系統(tǒng),空閑超時時間需設置為15分鐘。3.4.4設置NTP時間同步,確保各服務器時間保持一致配置同機房的自行運維的NTP服務器為NTP源。示例(每個機房可能不一樣):driftfile/var/db/ntp.driftpidfile/var/run/ntpd.pidserver17server8server7restrictdefaultignorerestrictrestrictmasknomodifyrestrict17restrict8restrict7內(nèi)部NTP服務必須采用行業(yè)認可的NTP源。示例:serverminpoll4maxpoll8iburstburstpreferserver89minpoll4maxpoll8iburstburstpreferserver42minpoll4maxpoll8iburstburstpreferserver02minpoll4maxpoll8iburstburstpreferserver38minpoll4maxpoll8iburstburstpreferserver2minpoll4maxpoll8iburstburstpreferserver14minpoll4maxpoll8iburstburstpreferserverminpoll4maxpoll8iburstburstpreferserver4minpoll4maxpoll8iburstburstpreferserverminpoll4maxpoll8iburstburstprefer#individualserversrestrictdefaultignorerestrictrestrict89restrict42restrict02restrict38restrict2restrict14restrictrestrict4restrict3.4.5禁止安裝/運行不必要的服務當前禁止安裝/運行的服務列表為nfssambatelnetrsh-server3.4.6安裝防病毒軟件(僅適用于PCIDSS范圍內(nèi)系統(tǒng))安裝經(jīng)安全組認可的防病毒軟件。每周至少升級一次防病毒定義,并使用最新定義執(zhí)行系統(tǒng)掃描。升級以及定期掃描應設置為自動執(zhí)行任務。對于掃描出來的結(jié)果只告警,由安全組成員手工清除病毒,禁止設置自動刪除。掃描范圍至少包括:binsbinhomeliblib64optusrvar如果日志(系統(tǒng)、應用)目錄被包含于以上目錄,需做排除處理。3.4.7安裝完整性檢測工具(僅適用于PCIDSS范圍內(nèi)系統(tǒng))由安全組安裝文件完整性檢測工具,確保以下文件被篡改時及時告警:所有日志文件/etc/profile.d/etc/inittab/etc/sysconfig/init/etc/hosts.allow/etc/hosts.deny/etc/modprobe.conf/etc/ntp.conf/etc/snmp/snmpd.conf/etc/ssh/ssh_config/etc/ssh/sshd_config/etc/ssh/ssh_host_key/etc/sysctl.conf/etc/syslog.conf/etc/grub.conf/etc/shadow/etc/sudoers/etc/group/etc/passwd/etc/login.defs/etc/securetty3.4.8memcached安全配置memcached統(tǒng)一監(jiān)聽在以下端口之一:6666/11211/11212/11213,安全組將在網(wǎng)絡邊界對這些端口實施訪問控制。memcached應以nobody權(quán)限啟用,禁止使用root權(quán)限啟動。3.4.9rsyncd安全配置rsyncd配置必須符合以下安全要求配置項

默認配置

要求配置

list

默認為true,即允許枚舉模塊列表。注意:通過帳號認證和ACL無法限制枚舉行為。

在全局配置設置為false或no

auth_users

默認為空,即允許匿名訪問,不需要帳號密碼認證。

應建立帳號/密碼進行認證,密碼必須符合復雜度要求

hosts_allow

默認為空,即允許從任意源IP訪問。

應精確限制可訪問的源IP或主機名,禁止設置整個網(wǎng)段。

3.4.10WEB目錄下禁止存放危險文件WEB目錄下禁止存在以下類型的危險文件:各種類型的壓縮文件,如:zip|gz|tgz|bz|7z|tar|rar|arj|bz2|bzip2|cab|cpio|gzip|lzh|lha|iso

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論