2022年Linux安全配置基線-2018523

1、|Linux 系統(tǒng)安全配置基線文件名稱Linux 系統(tǒng)安全配置基線版 本 號密級內(nèi)部文件編號MJX-AQJX-Linux-2022 v1.0 編寫部門技術部編 寫 人楊輝審 批 人楊輝發(fā)布時間2022.5.18 Linux 系統(tǒng)安全配置基線 內(nèi)部公開武漢明嘉信信息安全檢測評估有限公司武漢明嘉信信息安全檢測評估有限公司 第 1 頁 共 21 頁|Linux 系統(tǒng)安全配置基線文檔變更記錄序號修訂前版本修訂內(nèi)容完成日期修訂人修訂后版本1 V1.0 初稿2022.5.18 楊輝v1.0 2 3 4 5 備注 ：1. 如此文檔需要日后更新,請創(chuàng)建人填寫版本把握表格,否就刪除版本把握表格；武漢明嘉信信息安

2、全檢測評估有限公司 第 2 頁 共 21 頁|Linux 系統(tǒng)安全配置基線目 錄第 1 章 概述 . 41.1 目的 . 41.2 適用范疇 . 41.3 適用版本 . 41.4 實施 . 41.5 例外條款 . 錯誤！未定義書簽；第 2 章 帳號治理、認證授權 . 52.1 帳號 . 52.1.1 用戶口令設置 . 52.1.2 用戶口令強度要求. 52.1.3 用戶鎖定策略 . 62.1.4root 用戶遠程登錄限制 . 62.1.5 檢查是否存在除 root 之外 UID 為 0 的用戶 . 72.1.6root 用戶環(huán)境變量的安全性 . 72.2 認證 . 72.2.1 遠程連接的安全

3、性配置 . 72.2.2 用戶的 umask 安全配置 . 82.2.3 重要目錄和文件的權限設置. 82.2.4 查找未授權的 SUID/SGID 文件 * . 92.2.5 檢查任何人都有寫權限的目錄 2.2.6 查找任何人都有寫權限的文件* . 10 * . 102.2.7 檢查沒有屬主的文件 * . 112.2.8 檢查反常隱含文件* . 112.2.9 登錄超時設置 . 12 2.2.10 使用 SSH 遠程登錄 . 12 2.2.11Root 遠程登錄限制 . 132.2.12 關閉不必要的服務* . 13第 3 章 日志審計 . 153.1 日志 . 153.1.1syslog

4、登錄大事記錄 * . 153.2 審計 . 153.2.1Syslog.conf 的配置審核 * . 15第 4 章 系統(tǒng)文件 . 174.1 系統(tǒng)狀態(tài) . 174.1.1 系統(tǒng) core dump 狀態(tài) . 17第 5 章 評審與修訂 . 18武漢明嘉信信息安全檢測評估有限公司 第 3 頁 共 21 頁|Linux 系統(tǒng)安全配置基線第1章 概述1.1 目的本文檔規(guī)定了武漢明嘉信信息安全檢測評估有限公司技術部所愛護治理的 LINUX 操作系統(tǒng)的主機應當遵循的操作系統(tǒng)安全性設置標準,本文檔旨在指導系統(tǒng)治理人員或安全檢查人員進行 LINUX 操作系統(tǒng)的安全合規(guī)性檢查和配置；1.2 適用范疇本配置標

5、準的使用者包括：服務器系統(tǒng)治理員、應用治理員、網(wǎng)絡安全治理員；本配置標準適用的范疇包括：LINUX 服務器系統(tǒng)；1.3 適用版本 LINUX 系列服務器；1.4 實施武漢明嘉信信息安全檢測評估有限公司技術部愛護治理的本標準的說明權和修改權屬于武漢明嘉信信息安全檢測評估有限公司技術部,在本標準 的執(zhí)行過程中如有任何疑問或建議,應準時反饋；本標準發(fā)布之日起生效；武漢明嘉信信息安全檢測評估有限公司 第 4 頁 共 21 頁|Linux 系統(tǒng)安全配置基線第2章 帳號治理、認證授權2.1 帳號2.1.1 用戶口令設置安全基線項操作系統(tǒng) Linux 用戶口令設置安全基線要求項90 天；目名稱SBL-Lin

6、ux-02-01-01 安全基線編號安全基線項對于接受靜態(tài)口令認證技術的設備,帳戶口令的生存期不長于說明1、詢問治理員是否存在如下類似的簡潔用戶密碼配置,比如：檢測操作步驟root/root, test/test, root/root1234 2、執(zhí)行： more /etc/login.defs ,檢查 PASS_MAX_DAYS/ PASS_MIN_DAYS/PASS_WARN_AGE 參數(shù)3、執(zhí)行： awk -F: $2 = print $1 /etc/shadow, 檢查是否存在空口令帳號基線符合性建議在 /etc/login.defs 文件中配置：#新建用戶的密碼最長使用天數(shù)判定依據(jù)P

7、ASS_MAX_DAYS 90 PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE 7 #新建用戶的密碼到期提前提示天數(shù)不存在空口令帳號備注2.1.2 用戶口令強度要求安全基線項 操作系統(tǒng) Linux 用戶口令強度安全基線要求項目名稱安全基線編 SBL-Linux-02-01-02 號安全基線項 對于接受靜態(tài)口令認證技術的設備,口令長度至少 8 位,并包括數(shù)字、小寫說明字母、大寫字母和特殊符號 4 類中至少 2 類；檢測操作步 /etc/pam.d/system-auth 文件中是否對 pam_cracklib.so 的參數(shù)進行了正確設置；驟武漢明嘉信信息安

8、全檢測評估有限公司 第 5 頁 共 21 頁|Linux 系統(tǒng)安全配置基線基線符合性建議在 /etc/pam.d/system-auth 文件中配置：minlen=8 ucredit=-1 lcredit=-1 判定依據(jù)password requisite pam_cracklib.so difok=3 dcredit=1 至少 8 位,包含一位大寫字母,一位小寫字母和一位數(shù)字 備注2.1.3 用戶鎖定策略安全基線項操作系統(tǒng) Linux 用戶口令鎖定策略安全基線要求項10目名稱安全基線編SBL-Linux-02-01-03 號安全基線項對于接受靜態(tài)口令認證技術的設備,應配置當用戶連續(xù)認證失敗次

9、數(shù)超過說明次,鎖定該用戶使用的帳號；檢測操作步/etc/pam.d/system-auth 文件中是否對pam_tally.so 的參數(shù)進行了正確設置；驟基線符合性設置連續(xù)輸錯10 次密碼,帳號鎖定5 分鐘,判定依據(jù)使用命令“vi /etc/pam.d/ system-auth” 修改配置文件,添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300 注：解鎖用戶faillog -u -r 備注2.1.4 root 用戶遠程登錄限制安全基線項 目名稱 安全基線編 號 安全基線項 說明 檢測操作步 驟 基線符合性操作系統(tǒng) Li

10、nux 遠程登錄安全基線要求項SBL-Linux-02-01-04 帳號與口令 -root 用戶遠程登錄限制 執(zhí)行： more /etc/securetty,檢查 Console 參數(shù) 建議在 /etc/securetty 文件中配置： CONSOLE = /dev/tty01 判定依據(jù) 備注武漢明嘉信信息安全檢測評估有限公司 第 6 頁 共 21 頁|Linux 系統(tǒng)安全配置基線2.1.5 檢查是否存在除root 之外 UID 為 0 的用戶安全基線項 目名稱 安全基線編 號 安全基線項 說明 檢測操作步 驟 基線符合性操作系統(tǒng) Linux 超級用戶策略安全基線要求項SBL-Linux-02

11、-01-05 帳號與口令 -檢查是否存在除root 之外 UID 為 0 的用戶執(zhí)行： awk -F: $3 = 0 print $1 /etc/passwd 返回值包括“root” 以外的條目,就低于安全要求；判定依據(jù)備注 補充操作說明UID 為 0 的任何用戶都擁有系統(tǒng)的最高特權,2.1.6 root 用戶環(huán)境變量的安全性保證只有 root 用戶的 UID 為 0 安全基線操作系統(tǒng) Linux 超級用戶環(huán)境變量安全基線要求項,檢查項目名稱安全基線SBL-Linux-02-01-06 編號安全基線項帳號與口令 -root 用戶環(huán)境變量的安全性說明執(zhí)行： echo $PATH | egrep

12、|:.|:|$ ,檢查是否包含父目錄,檢測操作步驟執(zhí)行： find echo $PATH | tr : -type d -perm -002 -o -perm -020 -ls基線符合性是否包含組目錄權限為777 的目錄返回值包含以上條件,就低于安全要求；判定依據(jù)補充操作說明備注確保 root 用戶的系統(tǒng)路徑中不包含父目錄,在非必要的情形下,不應包含組 權限為 777 的目錄2.2 認證2.2.1 遠程連接的安全性配置安全基線項 目名稱操作系統(tǒng) Linux 遠程連接安全基線要求項第 7 頁 共 21 頁武漢明嘉信信息安全檢測評估有限公司|Linux 系統(tǒng)安全配置基線安全基線編SBL-Linux

13、-02-02-01 .netrc 文件,號安全基線項帳號與口令 -遠程連接的安全性配置說明執(zhí)行： find / -name .netrc,檢查系統(tǒng)中是否有檢測操作步驟執(zhí)行： find / -name .rhosts ,檢查系統(tǒng)中是否有.rhosts 文件基線符合性返回值包含以上條件,就低于安全要求；判定依據(jù)補充操作說明備注如無必要,刪除這兩個文件2.2.2 用戶的 umask 安全配置安全基線項操作系統(tǒng) Linux 用戶 umask 安全基線要求項more 目名稱SBL-Linux-02-02-02 安全基線編號安全基線項帳號與口令 -用戶的 umask 安全配置說明執(zhí)行： more /etc

14、/profile more /etc/csh.login more /etc/csh.cshrc 檢測操作步驟/etc/bashrc 檢查是否包含umask 值且 umask=027 基線符合性umask 值是默認的,就低于安全要求判定依據(jù)備注補充操作說明建議設置用戶的默認umask=027 2.2.3 重要目錄和文件的權限設置安全基線項操作系統(tǒng) Linux 目錄文件權限安全基線要求項第 8 頁 共 21 頁目名稱安全基線編 號SBL-Linux-02-02-03 安全基線項文件系統(tǒng) -重要目錄和文件的權限設置說明檢測操作步執(zhí)行以下命令檢查目錄和文件的權限設置情形：驟ls l /etc/ ls

15、 l /etc/rc.d/init.d/ 武漢明嘉信信息安全檢測評估有限公司|Linux 系統(tǒng)安全配置基線基線符合性 判定依據(jù) 備注ls l /tmp ls l /etc/inetd.conf ls l /etc/passwd ls l /etc/shadow ls l /etc/group ls l /etc/security ls l /etc/services ls -l /etc/rc*.d 如權限過低,就低于安全要求；補充操作說明對于重要目錄,建議執(zhí)行如下類似操作：# chmod -R 750 /etc/rc.d/init.d/* 這樣只有 root 可以讀、寫和執(zhí)行這個目錄下的腳本

16、；2.2.4 查找未授權的 SUID/SGID 文件 * 安全基線項 操作系統(tǒng) Linux SUID/SGID 文件安全基線要求項目名稱安全基線編 SBL-Linux-02-02-04 號安全基線項 文件系統(tǒng) -查找未授權的 SUID/SGID 文件說明檢測操作步 用下面的命令查找系統(tǒng)中全部的 SUID 和 SGID 程序,執(zhí)行：驟for PART in grep -v # /etc/fstab | awk $6 .= 0 print $2 ; do find $PART -perm -04000 -o -perm -02022 -type f -xdev -print Done 基線符合性

17、如存在未授權的文件,就低于安全要求；判定依據(jù)備注 需要手工檢查；補充操作說明建議經(jīng)常性的對比suid/sgid 文件列表,以便能夠準時發(fā)覺可疑的后門程序武漢明嘉信信息安全檢測評估有限公司 第 9 頁 共 21 頁|Linux 系統(tǒng)安全配置基線2.2.5 檢查任何人都有寫權限的目錄 * 安全基線項 操作系統(tǒng) Linux 目錄寫權限安全基線要求項 目名稱 安全基線編 SBL-Linux-02-02-05 號 安全基線項 文件系統(tǒng) -檢查任何人都有寫權限的目錄 說明 檢測操作步 在系統(tǒng)中定位任何人都有寫權限的目錄用下面的命令：驟 for PART in awk $3 = ext2 | $3 = ex

18、t3 print $2 /etc/fstab; do find $PART -xdev -type d -perm -0002 -a . -perm -1000 -print Done 基線符合性 如返回值非空,就低于安全要求；判定依據(jù) 備注 需要手工檢查；2.2.6 查找任何人都有寫權限的文件 * 安全基線項 操作系統(tǒng) Linux 文件寫權限安全基線要求項 目名稱 安全基線編 SBL-Linux-02-02-06 號 安全基線項 文件系統(tǒng) -查找任何人都有寫權限的文件 說明 檢測操作步 在系統(tǒng)中定位任何人都有寫權限的文件用下面的命令：驟 for PART in grep -v # /etc/

19、fstab | awk $6 .= 0 print $2 ; do find $PART -xdev -type f -perm -0002 -a . -perm -1000 -print Done 基線符合性 判定依據(jù) 備注如返回值非空,就低于安全要求；需要手工檢查；武漢明嘉信信息安全檢測評估有限公司第 10 頁 共 21 頁|Linux 系統(tǒng)安全配置基線2.2.7 檢查沒有屬主的文件 * 安全基線項 操作系統(tǒng) Linux 文件全部權安全基線要求項 目名稱 安全基線編 SBL-Linux-02-02-07 號 安全基線項 文件系統(tǒng) -檢查沒有屬主的文件 說明 檢測操作步 定位系統(tǒng)中沒有屬主的

20、文件用下面的命令：驟 for PART in grep -v # /etc/fstab | awk $6 .= 0 print $2 ; do find $PART -nouser -o -nogroup -print done 基線符合性 判定依據(jù) 備注留意：不用管“/dev” 目錄下的那些文件；如返回值非空,就低于安全要求；需要手工檢查；補充操作說明發(fā)覺沒有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了；不能答應沒有主 人的文件存在；假如在系統(tǒng)中發(fā)覺了沒有主人的文件或目錄,先查看它的完 整性,假如一切正常,給它一個主人；有時候卸載程序可能會顯現(xiàn)一些沒有 主人的文件或目錄,在這種情形下可以把這些

21、文件和目錄刪除掉；2.2.8 檢查反常隱含文件 * 安全基線項 操作系統(tǒng) Linux 隱含文件安全基線要求項 目名稱 安全基線編 SBL-Linux-02-02-08 號 安全基線項 文件系統(tǒng) -檢查反常隱含文件 說明 檢測操作步 用“find ” 程序可以查找到這些隱含文件；例如：驟 # find / -name . * -print xdev # find / -name * -print -xdev | cat -v 同時也要留意象“.xx ” 和“.mail ” 這樣的文件名的； （這些文件名看起來都很象正常的文件名）基線符合性 如返回值非空,就低于安全要求；武漢明嘉信信息安全檢測評估

22、有限公司第 11 頁 共 21 頁|Linux 系統(tǒng)安全配置基線判定依據(jù)備注 需要手工檢查；補充操作說明在系統(tǒng)的每個地方都要查看一下有沒有反常隱含文件（點號是起始字符的,用“l(fā)s” 命令看不到的文件） ,由于這些文件可能是隱匿的黑客工具或者其它一些信息（口令破解程序、其它系統(tǒng)的口令文件,等等）；在 UNIX 下,一個常用的技術就是用一些特殊的名,如：“ ” 、“ . ”（點點空格） 或“ .G”（點點 control-G ）,來隱含文件或目錄；2.2.9 登錄超時設置安全基線項 目名稱 安全基線編 號 安全基線項 說明 檢測操作步 驟 基線符合性 判定依據(jù)備注操作系統(tǒng) Linux 登錄超時設置

23、SBL-Linux-02-02-09 帳號與口令 -檢查登錄超時設置使用命令“cat /etc/profile |grep TMOUT ” 查看 TMOUT 是否被設置返回值為空或值低于180,就低于安全要求使用命令“vi /etc/profile ” 修改配置文件,添加“TMOUT= ” 行開頭的注釋,建議設置為“TMOUT=180 ” ,即超時時間為3 分鐘2.2.10 使用 SSH 遠程登錄安全基線項操作系統(tǒng) Linux SSH 安全連接要求SSH 等加密協(xié)議；目名稱SBL-Linux-02-02-10 安全基線編號安全基線項對于使用 IP 協(xié)議進行遠程愛護的設備,設備應配置使用說明檢測

24、操作步查看 SSH 服務狀態(tài)：驟# service ssh status 查看 telnet 服務狀態(tài)：# service telnet status 基線符合性SSH 服務狀態(tài)查看結(jié)果為：running 判定依據(jù)telnet 服務狀態(tài)查看結(jié)果為：not running/unrecognized 武漢明嘉信信息安全檢測評估有限公司第 12 頁 共 21 頁|Linux 系統(tǒng)安全配置基線備注2.2.11 Root 遠程登錄限制安全基線項 目名稱 安全基線編 號 安全基線項 說明檢測操作步 驟操作系統(tǒng) Linux 超級用戶登錄設置SBL-Linux-02-02-11 對 SSH 服務進行安全檢查使

25、用命令“cat /etc/ssh/sshd_config” 查看配置文件（1）檢查是否答應root 直接登錄檢查“PermitRootLogin ” 的值是否為no （2）檢查 SSH 使用的協(xié)議版本基線符合性 判定依據(jù)檢查“Protocol ” 的值使用命令“vi /etc/ssh/sshd_config” 編輯配置文件（1）不答應 root 直接登錄設置“PermitRootLogin ” 的值為 no （2）修改 SSH 使用的協(xié)議版本設置“Protocol ” 的版本為 2 備注 root 用戶需要使用一般用戶遠程登錄后 su 進行系統(tǒng)治理2.2.12 關閉不必要的服務 * 安全基線項

26、 目名稱 安全基線編 號 安全基線項 說明 檢測操作步 驟基線符合性 判定依據(jù) 備注操作系統(tǒng) Linux 關閉不必要的服務SBL-Linux-02-02-12 帳號與口令 -關閉不必要的服務使用命令“who -r ” 查看當前init 級別使用命令“chkconfig -list ” 查看全部服務的狀態(tài)如有不必要的系統(tǒng)在當前級別下為on,就低于安全要求需要手工檢查；武漢明嘉信信息安全檢測評估有限公司第 13 頁 共 21 頁|Linux 系統(tǒng)安全配置基線使用命令“chkconfig -level on|off|reset” 設置服務在個init 級別下開機是否啟動武漢明嘉信信息安全檢測評估有限公司第 14 頁 共 21 頁|Linux 系統(tǒng)安全配置基線第3章 日志審計3.1 日志3.1.1 syslog登錄大事記錄 * 安全基線項 目名稱 安全基線編 號 安全基線項 說明 檢測操作步 驟基線符合性 判定依據(jù) 備注操作系統(tǒng) Linux 登錄審計安全基線要求項SBL-Linux-03-01-01 日志審計 -syslog 登錄大事記錄執(zhí)行命令： more /etc/syslog.conf 查看參數(shù) au