Linux安全配置基線

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)杭州安恒信息技術(shù)有限公司Linux 系統(tǒng)安全配置基線杭州安恒信息技術(shù)有限公司2016年 12月 目 錄 TOC o 1-3 h z u 概述 目的本文檔規(guī)范了杭州安恒信息技術(shù)有限公司對于安裝有Linux操作系統(tǒng)的主機(jī)進(jìn)行加固時應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Linux 操作系統(tǒng)的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：Linux 服務(wù)器系統(tǒng)。本地策略帳戶與口令檢查策

2、略 檢查系統(tǒng)中是否存在口令為空的帳戶安全基線項(xiàng)目名稱檢查系統(tǒng)中是否存在口令為空的帳戶安全基線項(xiàng)說明 系統(tǒng)中不應(yīng)存在口令為空的帳戶檢測與加固步驟輸入命令：cat /etc/shadow，查看是否有未設(shè)置口令的帳戶基線符合性判定依據(jù)帳戶必須配置密碼備注 檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶安全基線項(xiàng)目名稱檢查系統(tǒng)中是否存在UID與root帳戶相同的帳戶安全基線項(xiàng)說明 用戶的UID大于500的都是非系統(tǒng)賬號，500以下的都為系統(tǒng)保留的賬號，比如root賬號，至高權(quán)限的賬號的UID為0,我們創(chuàng)建用戶的時候默認(rèn)的賬號的UID都是大于500，系統(tǒng)中不應(yīng)存在UID與root帳戶相同的帳戶，該設(shè)置

3、將導(dǎo)致該帳戶擁有與root帳戶相同權(quán)限。檢測與加固步驟輸入命令：cat /etc/passwd | grep :x:0 ，查看輸入結(jié)果中是否有非root帳戶，基線符合性判定依據(jù)不存在uid為0的非root帳戶備注 檢查是否按用戶分配帳號安全基線項(xiàng)目名稱檢查是否按用戶分配帳號安全基線項(xiàng)說明 按照用戶角色分配不同權(quán)限，確保用戶權(quán)限的最小化，避免越權(quán)操作檢測與加固步驟1、執(zhí)行：#more /etc/passwd查看系統(tǒng)中存在的用戶，確認(rèn)每個帳戶的home路徑及啟動shell；2、與管理員確認(rèn)需要鎖定的帳戶基線符合性判定依據(jù)不存在無關(guān)用戶備注 檢查密碼最小長度安全基線項(xiàng)目名稱檢查密碼最小長度安全基線項(xiàng)

4、說明 檢查密碼最小長度檢測與加固步驟查看/etc/login.defs文件，查看PASS_MIN_LEN參數(shù)值基線符合性判定依據(jù)大于等于8備注 檢查密碼過期時間安全基線項(xiàng)目名稱檢查密碼過期時間安全基線項(xiàng)說明 長期不修改密碼會提高密碼暴露風(fēng)險，建議密碼生存周期不超過90天檢測與加固步驟查看/etc/login.defs文件，查看PASS_MAX_DAYS參數(shù)值基線符合性判定依據(jù)小于等于60天備注 檢查密碼最大重試次數(shù)安全基線項(xiàng)目名稱檢查密碼最大重試次數(shù)安全基線項(xiàng)說明 配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次（不含5次），鎖定該用戶使用的賬號。注意僅對自然人使用的帳號做此限制。檢測與加固步驟輸入 cat

5、 /etc/pam.d/sshd | grep pam_tally2.so ，查看deny參數(shù)設(shè)置值基線符合性判定依據(jù)小于等于5備注 檢查是否配置口令復(fù)雜度策略安全基線項(xiàng)目名稱檢查是否配置口令復(fù)雜度策略安全基線項(xiàng)說明 開啟密碼復(fù)雜度策略，大寫字母、小寫字母、數(shù)字、特殊字符至少支持3種檢測與加固步驟查看/etc/pam.d/system-auth文件中 password requisite pam_cracklib.so配置， 例如：password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 注：ucredit：大寫字母

6、個數(shù)；lcredit：小寫字母個數(shù)；dcredit：數(shù)字個數(shù)；ocredit：特殊字符個數(shù)?；€符合性判定依據(jù)符合復(fù)雜度要求備注 檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼安全基線項(xiàng)目名稱檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼安全基線項(xiàng)說明 檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼檢測與加固步驟配置一：1.請確認(rèn)系統(tǒng)引導(dǎo)器的類型為grub,如果不為grub,則忽略此檢查點(diǎn)。 2.如果/boot/grub/menu.lst文件存在，編輯/boot/grub/menu.lst文件,設(shè)置password=*（*為需要設(shè)置的密碼。 3.如果不存在，請檢查grub是否正確安裝，或/boot/grub/menu.lst文件是否被更名。

7、配置二：1.請確認(rèn)系統(tǒng)引導(dǎo)器的類型為lilo,如果不為lilo,則忽略此檢查點(diǎn)。 2.如果/etc/lilo.conf文件存在，編輯/etc/lilo.conf文件,設(shè)置password=*（*為需要設(shè)置的密碼。 3.如果不存在，請檢查lilo是否正確安裝，或/etc/lilo.conf文件是否被更名。基線符合性判定依據(jù)配置grub密碼備注 檢查口令過期前警告天數(shù)安全基線項(xiàng)目名稱檢查口令過期前警告天數(shù)安全基線項(xiàng)說明 口令過期提前警告的天數(shù)檢測與加固步驟查看/etc/login.defs文件，檢查PASS_WARN_AGE參數(shù)值基線符合性判定依據(jù)大于等于7備注檢查口令更改最小間隔天數(shù)安全基線項(xiàng)目

8、名稱檢查口令更改最小間隔天數(shù)安全基線項(xiàng)說明 口令更改最小間隔天數(shù)檢測與加固步驟查看/etc/login.defs文件，檢查PASS_MIN_DAYS參數(shù)值基線符合性判定依據(jù)大于等于7備注檢查是否使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root安全基線項(xiàng)目名稱檢查口令更改最小間隔天數(shù)安全基線項(xiàng)說明 口令更改最小間隔天數(shù)檢測與加固步驟編輯su文件(vi /etc/pam.d/su)，在開頭添加下面兩行： auth sufficient pam_rootok.so 和 auth required pam_wheel.so group=wheel 這表明只有wheel組的成員可以使用su命令

9、成為root用戶。 你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶。 添加方法為：usermod G wheel username基線符合性判定依據(jù)禁止wheel組以外用戶使用su備注檢查密碼重復(fù)使用次數(shù)限制安全基線項(xiàng)目名稱檢查密碼重復(fù)使用次數(shù)限制安全基線項(xiàng)說明 檢查密碼重復(fù)使用次數(shù)限制檢測與加固步驟編輯/etc/pam.d/system-auth文件，修改設(shè)置如下 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5 補(bǔ)充操作說明 只需在passw

10、ord sufficient這一行加上remember=5即可基線符合性判定依據(jù)remember大于等于5備注日志配置 檢查系統(tǒng)是否開啟了日志功能應(yīng)用1：在Unix類上，rsyslog廣泛應(yīng)用于系統(tǒng)日志。rsyslog日志消息既可以記錄在本地文件中，也可以通過網(wǎng)絡(luò)發(fā)送到接收syslog的服務(wù)器。接收syslog的服務(wù)器可以對多個設(shè)備的syslog消息進(jìn)行統(tǒng)一的存儲，或者解析其中的內(nèi)容做相應(yīng)的處理。常見的應(yīng)用場景是網(wǎng)絡(luò)管理工具、安全管理系統(tǒng)、日志審計(jì)系統(tǒng)。安全基線項(xiàng)目名稱檢查系統(tǒng)是否開啟了日志功能安全基線項(xiàng)說明 系統(tǒng)應(yīng)開啟日志服務(wù)，日志功能有助于記錄系統(tǒng)問題、用戶訪問操作、受到攻擊等等一系列操作

11、，對于管理員防范危險、日常管理有很重要的作用。檢測與加固步驟使用命令“service syslogd start”或“service rsyslogd start”啟動日志服務(wù)（Centos 6以前版本支持syslogd服務(wù)，之后版本支持rsyslogd服務(wù)，視具體系統(tǒng)而定）。基線符合性判定依據(jù)開啟日志服務(wù)備注 檢查系統(tǒng)是否開啟了日志審計(jì)功能安全基線項(xiàng)目名稱檢查系統(tǒng)是否開啟了日志審計(jì)功能安全基線項(xiàng)說明 檢查系統(tǒng)是否開啟了日志審計(jì)功能檢測與加固步驟使用命令“service auditd status”查看服務(wù)狀態(tài)使用管理員權(quán)限輸入命令“service auditd start”開啟審計(jì)服務(wù)，如無

12、法開啟或不存在服務(wù)，請安裝審計(jì)安裝包(audit)后重新嘗試?；€符合性判定依據(jù)開啟日志服務(wù)備注 檢查是否對登錄進(jìn)行日志記錄應(yīng)用2：who、w 和 users 等命令通過 utmp(/var/run/utmp) 文件查詢當(dāng)前登錄用戶的信息。last 和 ac 命令通過 wtmp(/var/log/wtmp) 文件查詢當(dāng)前與過去登錄系統(tǒng)的用戶的信息。lastb 命令通過 btmp(/var/log/btmp) 文件查詢所有登錄系統(tǒng)失敗的用戶的信息。lastlog 命令通過 lastlog(/var/log/lastlog) 文件查詢用戶最后一次登錄的信息。安全基線項(xiàng)目名稱檢查是否對登錄進(jìn)行日志記

13、錄安全基線項(xiàng)說明 檢查是否對登錄進(jìn)行日志記錄，使得登錄記錄可查檢測與加固步驟登錄日志文件為/var/log/wtmp,/var/log/utmp.這2個文件中記錄著所有登錄過主機(jī)的用戶，時間，來源等內(nèi)容，這個文件不具可讀性，可用last命令來看。 如果命令無結(jié)果，請聯(lián)系管理員基線符合性判定依據(jù)符合加固要求備注檢查是否記錄用戶對設(shè)備的操作安全基線項(xiàng)目名稱檢查是否對登錄進(jìn)行日志記錄安全基線項(xiàng)說明 檢查是否對登錄進(jìn)行日志記錄，使得登錄記錄可查檢測與加固步驟通過設(shè)置日志文件可以對每個用戶的每一條命令進(jìn)行記錄，這一功能默認(rèn)是不開放的，為了打開它，需要安裝pacct工具，并執(zhí)行以下命令： #touch /

14、var/log/pacct #accton /var/log/pacct 執(zhí)行讀取命令lastcomm user name f /var/log/pacct基線符合性判定依據(jù)符合加固要求備注 檢查syslog-ng是否配置安全事件日志安全基線項(xiàng)目名稱檢查syslog-ng是否配置安全事件日志安全基線項(xiàng)說明 檢查syslog-ng是否配置安全事件日志檢測與加固步驟編輯/etc/syslog-ng/syslog-ng.conf 配置： filter f_msgs level(err) or facility(kern) and level(debug) or facility(daemon) an

15、d level(notice); ; destination msgs file(/var/adm/msgs); ; log source(src); filter(f_msgs); destination(msgs); ; 其中/var/adm/msgs為日志文件。 如果該文件不存在，則創(chuàng)建該文件，命令為： touch /var/adm/msgs，并修改權(quán)限為666.命令為：chmod 666 /var/adm/msgs. 重啟日志服務(wù)： #/etc/init.d/syslog restart基線符合性判定依據(jù)符合加固要求備注檢查rsyslog是否配置安全事件日志安全基線項(xiàng)目名稱檢查rsys

16、log是否配置安全事件日志安全基線項(xiàng)說明 檢查rsyslog是否配置安全事件日志檢測與加固步驟編輯/etc/rsyslog.conf 配置： *.err;kern.debug;daemon.notice /var/adm/messages 其中/var/adm/messages為日志文件。 如果該文件不存在，則創(chuàng)建該文件，命令為： touch /var/adm/messages，并修改權(quán)限為666.命令為：chmod 666 /var/adm/messages. 重啟日志服務(wù)： #/etc/init.d/rsyslog restart基線符合性判定依據(jù)符合加固要求備注檢查syslog是否配置安

17、全事件日志安全基線項(xiàng)目名稱檢查syslog是否配置安全事件日志安全基線項(xiàng)說明 檢查syslog是否配置安全事件日志檢測與加固步驟編輯/etc/syslog.conf 配置： *.err;kern.debug;daemon.notice /var/adm/messages 其中/var/adm/messages為日志文件。 如果該文件不存在，則創(chuàng)建該文件，命令為： touch /var/adm/messages，并修改權(quán)限為666.命令為：chmod 666 /var/adm/messages. 重啟日志服務(wù)： #/etc/init.d/syslog restart基線符合性判定依據(jù)符合加固要求

18、備注檢查是否配置su命令使用情況記錄安全基線項(xiàng)目名稱檢查是否配置su命令使用情況記錄安全基線項(xiàng)說明 檢查是否配置su命令使用情況記錄檢測與加固步驟1. 若啟用syslog則編輯/etc/syslog.conf, 若啟用rsyslog則編輯/etc/rsyslog.conf, 配置: authpriv.* /var/log/secure 2. 若啟用syslog-ng則編輯:/etc/syslog-ng/syslog-ng.conf。 配置: filter f_secure facility(authpriv); ; destination priverr file(/var/log/secur

19、e); ; log source(src); filter(f_secure); destination(priverr); ; 3. 創(chuàng)建/var/log/secure文件 touch /var/log/secure 4. 重啟syslog服務(wù) #/etc/init.d/syslog restart?；€符合性判定依據(jù)符合加固要求備注檢查是否配置遠(yuǎn)程日志功能安全基線項(xiàng)目名稱檢查是否配置遠(yuǎn)程日志功能安全基線項(xiàng)說明 檢查是否配置遠(yuǎn)程日志功能檢測與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中配置destination logserver ud

20、p(0 port(514); ; log source(src); destination(logserver); ; 可以將此處0替換為實(shí)際的IP；若啟用rsyslog日志則修改配置文件vi /etc/rsyslog.conf， 加上這一行： *.* 可以將*.*替換為你實(shí)際需要的日志信息。比如：kern.* ; mail.* 等等。 可以將此處替換為實(shí)際的IP或域名。；若啟用syslog日志則修改配置文件vi /etc/syslog.conf， 加上這一行： *.* 可以將*.*替換為你實(shí)際需要的日志信息。比如：kern.* ; mail.* 等等。 可以將此處替換為實(shí)際的IP或域名?；€

21、符合性判定依據(jù)符合加固要求備注檢查是否啟用cron行為日志功能安全基線項(xiàng)目名稱檢查是否啟用cron行為日志功能安全基線項(xiàng)說明 檢查是否啟用cron行為日志功能檢測與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中添加 filter f_cron facility(cron); ; destination cron file(/var/log/cron); ; log source(src); filter(f_cron); destination(cron); ; 其中/var/log/cron為日志文件。 如果該文件不存在，則創(chuàng)建該文件，命

22、令為： touch /var/log/cron，并修改權(quán)限為666.命令為：chmod 666 /var/log/cron；若啟用rsyslog日志則編輯/etc/rsyslog.conf文件， 配置： cron.* /var/log/cron ， 其中/var/log/cron為日志文件。 如果該文件不存在，則創(chuàng)建該文件，命令為： touch /var/log/cron，并修改權(quán)限為666.命令為：chmod 666 /var/log/cron；若啟用syslog日志則編輯/etc/syslog.conf文件， 配置： cron.* /var/log/cron ， 其中/var/log/cr

23、on為日志文件。 如果該文件不存在，則創(chuàng)建該文件，命令為： touch /var/log/cron，并修改權(quán)限為666.命令為：chmod 666 /var/log/cron?；€符合性判定依據(jù)符合加固要求備注檢查審計(jì)日志默認(rèn)保存時間是否符合規(guī)范安全基線項(xiàng)目名稱檢查審計(jì)日志默認(rèn)保存時間是否符合規(guī)范安全基線項(xiàng)說明 檢查審計(jì)日志默認(rèn)保存時間是否符合規(guī)范檢測與加固步驟檢查審計(jì)日志默認(rèn)保存時間是否符合規(guī)范，建議保存一年內(nèi)的日志。修改/etc/logrotate.conf，若日志輪轉(zhuǎn)周期設(shè)置為weekly（默認(rèn)）則修改rotate值為53，同理若周期為daily則rotate設(shè)置為365，若周期為mon

24、thly則設(shè)置為12基線符合性判定依據(jù)符合加固要求備注系統(tǒng)內(nèi)核配置 檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由安全基線項(xiàng)說明 檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由檢測與加固步驟修改前請先備份配置文件cp -p /proc/sys/net/ipv4/conf/all/accept_source_route /proc/sys/net/ipv4/conf/all/accept_source_route.bak，執(zhí)行命令 #sysctl -w net.ipv4.conf.all.accept_source_route=0 并修改/

25、proc/sys/net/ipv4/conf/all/accept_source_route的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報文安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報文安全基線項(xiàng)說明 檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由檢測與加固步驟修改前請先備份配置文件 #cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak ，執(zhí)行命令 #sysctl -w net.ipv4.c

26、onf.all.accept_redirects=0 并修改/proc/sys/net/ipv4/conf/all/accept_redirects的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置安全基線項(xiàng)說明 檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置檢測與加固步驟修改前請先備份配置文件 #cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redire

27、cts.bak ，執(zhí)行命令 #sysctl -w net.ipv4.conf.all.send_redirects=0 并修改/proc/sys/net/ipv4/conf/all/send_redirects的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置安全基線項(xiàng)說明 檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置檢測與加固步驟修改前請先備份配置文件 #cp -p /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward.bak

28、 ，執(zhí)行命令 #sysctl -w net.ipv4.ip_forward=0 并修改/proc/sys/net/ipv4/ip_forward的值為0基線符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置icmp_echo_ignore_broadcasts配置安全基線項(xiàng)目名稱檢查系統(tǒng)內(nèi)核參數(shù)配置-icmp_echo_ignore_broadcasts配置安全基線項(xiàng)說明 檢查系統(tǒng)內(nèi)核參數(shù)配置-icmp_echo_ignore_broadcasts配置檢測與加固步驟修改前請先備份配置文件 #cp -p /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

29、 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.bak ，執(zhí)行命令 #sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 并修改/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts的值為1基線符合性判定依據(jù)符合加固要求備注信息隱藏檢查是否設(shè)置ssh登錄前警告Banner安全基線項(xiàng)目名稱檢查是否設(shè)置ssh登錄前警告Banner安全基線項(xiàng)說明 檢查是否設(shè)置ssh登錄前警告Banner檢測與加固步驟1. 執(zhí)行如下命令創(chuàng)建ssh banner信息文件： #touch /

30、etc/ssh_banner #chown bin:bin /etc/ssh_banner #chmod 644 /etc/ssh_banner #echo 您想設(shè)置的信息 /etc/ssh_banner 可根據(jù)實(shí)際需要修改該文件的內(nèi)容。 2. 修改/etc/ssh/sshd_config文件，添加如下行： Banner /etc/ssh_banner 3.重啟sshd服務(wù)： #/etc/init.d/sshd restart基線符合性判定依據(jù)設(shè)置ssh登錄前警告Banner備注檢查是否設(shè)置ssh登錄后警告Banner安全基線項(xiàng)目名稱檢查是否設(shè)置ssh登錄后警告Banner安全基線項(xiàng)說明 檢查

31、是否設(shè)置ssh登錄后警告Banner檢測與加固步驟修改文件/etc/motd的內(nèi)容，如沒有該文件，則創(chuàng)建它。 #echo 您想設(shè)置的信息 /etc/motd根據(jù)實(shí)際需要修改該文件的內(nèi)容基線符合性判定依據(jù)設(shè)置ssh登錄后警告Banner備注檢查是否修改默認(rèn)FTP Banner設(shè)置安全基線項(xiàng)目名稱檢查是否修改默認(rèn)FTP Banner設(shè)置安全基線項(xiàng)說明 檢查是否修改默認(rèn)FTP Banner設(shè)置檢測與加固步驟修改vsftp回顯信息 # vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf) ftpd_banner=” Authorized users only. A

32、ll activity will be monitored and reported.” 可根據(jù)實(shí)際需要修改該文件內(nèi)容。 重啟服務(wù)： # /etc/init.d/vsftpd restart 2.修改pure-ftp配置文件： #vi /etc/pure-ftpd/pure-ftpd.conf 找到以下行，確保該行未被注釋。 FortunesFile /usr/share/fortune/zippy 編輯/usr/share/fortune/zippy文件（如沒有fortune文件夾或者zippy文件，則新建該文件夾或該文件）： #vi /usr/share/fortune/zippy 將自定

33、義BANNER寫入其中。 重啟服務(wù)： # /etc/init.d/pure-ftpd restart基線符合性判定依據(jù)修改默認(rèn)FTP Banner設(shè)置備注檢查telnet Banner 設(shè)置安全基線項(xiàng)目名稱檢查telnet Banner 設(shè)置安全基線項(xiàng)說明 檢查telnet Banner 設(shè)置檢測與加固步驟修改vsftp回顯信息 # vi /etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf) ftpd_banner=” Authorized users only. All activity will be monitored and reported.” 可根據(jù)

34、實(shí)際需要修改該文件內(nèi)容。 重啟服務(wù)： # /etc/init.d/vsftpd restart 2.修改pure-ftp配置文件： #vi /etc/pure-ftpd/pure-ftpd.conf 找到以下行，確保該行未被注釋。 FortunesFile /usr/share/fortune/zippy 編輯/usr/share/fortune/zippy文件（如沒有fortune文件夾或者zippy文件，則新建該文件夾或該文件）： #vi /usr/share/fortune/zippy 將自定義BANNER寫入其中。 重啟服務(wù)： # /etc/init.d/pure-ftpd resta

35、rt基線符合性判定依據(jù)修改默認(rèn)FTP Banner設(shè)置備注服務(wù)端口啟動項(xiàng)檢查是否啟用SSH服務(wù)安全基線項(xiàng)目名稱檢查是否啟用SSH服務(wù)安全基線項(xiàng)說明 telnet缺少對口令和用戶名的有效保護(hù)措施，所有數(shù)據(jù)采用明文傳輸方式，存在較大安全隱患，ssh采用加密方式保護(hù)用戶數(shù)據(jù)，數(shù)據(jù)內(nèi)容和用戶信息更為安全。檢測與加固步驟使用命令“service sshd status”查看ssh遠(yuǎn)程管理服務(wù)狀態(tài)，如未啟動，則使用命令“service sshd start”基線符合性判定依據(jù)啟動ssh服務(wù)備注檢查是否啟用了talk服務(wù)安全基線項(xiàng)目名稱檢查是否啟用了talk服務(wù)安全基線項(xiàng)說明 linux中talk命令參數(shù)程

36、序用于Internet上兩個用戶之間進(jìn)行“交談”：通過鍵盤輸入“說話”，通過看終端屏幕“聆聽”。默認(rèn)系統(tǒng)不需要開啟talk服務(wù)。請禁用該服務(wù)。檢測與加固步驟編輯/etc/xinetd.d/talk文件，將啟用service talk的disable屬性值改為yes；如果發(fā)現(xiàn)/etc/xinetd.d/目錄下包含ntalk文件，同時將ntalk文件中的disable屬性改為yes?；€符合性判定依據(jù)禁用該服務(wù)備注檢查是否啟用了ntalk服務(wù)安全基線項(xiàng)目名稱檢查是否啟用了ntalk服務(wù)安全基線項(xiàng)說明 ntalk服務(wù)主要用于linux上用戶之間交談，提供了與talk相同的功能服務(wù)。默認(rèn)系統(tǒng)不需要開啟

37、ntalk服務(wù)。請禁用該服務(wù)。檢測與加固步驟編輯/etc/xinetd.d/ntalk文件，將啟用service ntalk的disable屬性值改為yes?；€符合性判定依據(jù)禁用該服務(wù)備注檢查是否啟用了sendmail服務(wù)安全基線項(xiàng)目名稱檢查是否啟用了sendmail服務(wù)安全基線項(xiàng)說明 sendmail 是使用smtp協(xié)議的郵件提交工具，承擔(dān)mta和MDA的作用。后臺進(jìn)程：sendmail；腳本：/etc/init.d/sendmail；使用端口：25(smtp)；默認(rèn)系統(tǒng)不需開啟該服務(wù)。請禁用該服務(wù)。檢測與加固步驟使用命令“service sendmail stop”關(guān)閉當(dāng)前sendmai

38、l服務(wù)；然后使用命令“chkconfig sendmail off”關(guān)閉服務(wù)開機(jī)自動啟動?；€符合性判定依據(jù)禁用該服務(wù)備注禁止root帳戶登錄FTP (vsftp)應(yīng)用三安全基線項(xiàng)目名稱禁止root帳戶登錄FTP (vsftp)安全基線項(xiàng)說明 設(shè)置ftp權(quán)限及訪問，限制部分用戶的ftp訪問權(quán)限，一般不允許root帳戶登錄FTP，需為其分配專用帳戶檢測與加固步驟編輯/etc/vsftpd/ftpusers，添加root，以禁止root帳戶登錄FTP?；€符合性判定依據(jù)符合加固要求備注禁止匿名FTP (vsftp)應(yīng)用四安全基線項(xiàng)目名稱禁止root帳戶登錄FTP (vsftp)安全基線項(xiàng)說明 不應(yīng)

39、允許用戶匿名登錄FTP。檢測與加固步驟編輯/etc/vsftpd/vsftpd.conf文件（部分計(jì)算機(jī)該文件可能在/etc目錄下），anonymous_enable屬性值修改為NO。基線符合性判定依據(jù)符合加固要求備注檢查設(shè)備是否已禁用telnet服務(wù)安全基線項(xiàng)目名稱檢查設(shè)備是否已禁用telnet服務(wù)安全基線項(xiàng)說明 telnet缺少對口令和用戶名的有效保護(hù)措施，所有數(shù)據(jù)采用明文傳輸方式，存在較大安全隱患，ssh采用加密方式保護(hù)用戶數(shù)據(jù)，數(shù)據(jù)內(nèi)容和用戶信息更為安全。檢測與加固步驟在/etc/services 文件中，注釋掉 telnet 23/tcp 一行(如不生效重啟telnetd服務(wù)或xin

40、etd服務(wù)或系統(tǒng))基線符合性判定依據(jù)符合加固要求備注檢查是否關(guān)閉不必要的服務(wù)和端口安全基線項(xiàng)目名稱檢查是否關(guān)閉不必要的服務(wù)和端口安全基線項(xiàng)說明 建議關(guān)閉不必要的端口及服務(wù)檢測與加固步驟運(yùn)行chkconfig -list查看當(dāng)前服務(wù)并執(zhí)行如chkconfig -level levels kshell off（注:levels為運(yùn)行級別,需要重啟機(jī)器）命令關(guān)閉服務(wù)，建議關(guān)閉如下服務(wù)ident|printer|bootps|tftp|kshell|klogin|daytime|time|echo|discard|chargen|sendmail|ntalk|lpd|nfs|nfslock|ypbin

41、d基線符合性判定依據(jù)符合加固要求備注文件目錄權(quán)限 檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄安全基線項(xiàng)目名稱檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄安全基線項(xiàng)說明 權(quán)限777意思是該登錄帳戶、他所在的組和其他人都擁有讀、寫、執(zhí)行權(quán)限，該權(quán)限為最高權(quán)限。環(huán)境變量目錄下不應(yīng)存在該權(quán)限目錄。檢測與加固步驟輸入命令 ls -l echo $PATH | tr : 2/dev/null| grep drwxsSrwxsSrwxsS查看環(huán)境變量中是否有777權(quán)限目錄，并使用“chmod + 相應(yīng)權(quán)限 + 文件/目錄”修改目錄權(quán)限?；€符合性判定依據(jù)不存在權(quán)限為777的目錄備注檢查環(huán)境變量目錄下是否存

42、在權(quán)限為777的文件安全基線項(xiàng)目名稱檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件安全基線項(xiàng)說明 權(quán)限777意思是該登錄帳戶、他所在的組和其他人都擁有讀、寫、執(zhí)行權(quán)限，該權(quán)限為最高權(quán)限。環(huán)境變量目錄下不應(yīng)存在該權(quán)限文件。檢測與加固步驟輸入命令ls -l echo $PATH | tr : 2/dev/null| grep drwxsSrwxsSrwxsS |wc -l查看環(huán)境變量中是否有777權(quán)限文件，并使用“chmod + 相應(yīng)權(quán)限 + 文件/目錄”修改文件權(quán)限?；€符合性判定依據(jù)不存在權(quán)限為777的文件備注檢查是否存在權(quán)限不安全的重要日志文件安全基線項(xiàng)目名稱檢查是否存在權(quán)限不安全的重要日志文

43、件安全基線項(xiàng)說明 檢查是否存在權(quán)限大于640的重要日志文件，日志文件中經(jīng)常會記錄用戶操作等敏感信息，應(yīng)嚴(yán)格限制重要日志文件的訪問權(quán)限。檢測與加固步驟查看/etc/syslog.conf或/etc/rsyslog.conf文件中日志目錄配置情況，使用ls l +目錄查看文件權(quán)限是否錯誤，如果存在其他權(quán)限的日志文件，則使用命令“chmod 640 + 日志文件”修改日志文件權(quán)限基線符合性判定依據(jù)日志文件權(quán)限應(yīng)為640備注檢查系統(tǒng)當(dāng)前的umask安全基線項(xiàng)目名稱檢查系統(tǒng)當(dāng)前的umask安全基線項(xiàng)說明 系統(tǒng)umask設(shè)置，規(guī)范用戶對目錄和文件的操作，umask設(shè)置不當(dāng)可能導(dǎo)致某些應(yīng)用無法正確自動創(chuàng)建目

44、錄或文件，從而運(yùn)行異常。一般默認(rèn)為0022檢測與加固步驟輸入 umask命令查看umask值，如果值不為0022，則使用命令umask 0022修正基線符合性判定依據(jù)0022備注檢查擁有suid和sgid權(quán)限的文件安全基線項(xiàng)目名稱檢查擁有suid和sgid權(quán)限的文件安全基線項(xiàng)說明 檢查擁有suid和sgid權(quán)限的文件是否存在異常檢測與加固步驟執(zhí)行命令: find /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/us

45、ernetctl /usr/sbin/traceroute /bin/mount /bin/umount /bin/ping /sbin/netreport -type f -perm +6000 2/dev/null 如果存在輸出結(jié)果，則使用chmod 755 文件名 命令修改文件的權(quán)限。 例如：chmod a-s /usr/bin/chage基線符合性判定依據(jù)擁有suid和sgid權(quán)限的文件權(quán)限為755備注檢查/usr/bin/目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線項(xiàng)目名稱檢查/usr/bin/目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線項(xiàng)說明 檢查/usr/bin/目錄下的可執(zhí)行文

46、件的擁有者屬性，當(dāng)可執(zhí)行文件設(shè)置s屬性時，執(zhí)行時可以獲取其擁有者的權(quán)限檢測與加固步驟找出/usr/bin/目錄下所有含有“s”屬性的文件，把不必要的“s”屬性去掉，或者把不用的直接刪除。 # find /usr/bin -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg ; # chmod a-s filename基線符合性判定依據(jù)/usr/bin目錄下的文件不具有s屬性備注訪問權(quán)限 檢查FTP用戶上傳的文件所具有的權(quán)限安全基線項(xiàng)目名稱檢查FTP用戶上傳的文件所具有的權(quán)限安全基線項(xiàng)說明 檢查FTP用戶上傳的文件所具有的權(quán)限檢測與加固步驟如

47、果系統(tǒng)使用vsftp： 修改/etc/vsftpd.conf（或者為/etc/vsftpd/vsftpd.conf） # vi /etc/vsftpd.conf 確保以下行未被注釋掉，如果沒有該行，請?zhí)砑樱?write_enable=YES /允許上傳。如果不需要上傳權(quán)限，此項(xiàng)可不進(jìn)行更改。 ls_recurse_enable=YES local_umask=022 /設(shè)置用戶上傳文件的屬性為755 anon_umask=022 /匿名用戶上傳文件(包括目錄)的 umask 重啟網(wǎng)絡(luò)服務(wù) # /etc/init.d/vsftpd restart 如果系統(tǒng)使用pure-ftp 修改/etc/pu

48、re-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf 確保以下行未被注釋掉，如果沒有該行，請?zhí)砑樱?Umask 177:077 重啟ftp服務(wù) #/etc/init.d/pure-ftpd restart基線符合性判定依據(jù)根據(jù)實(shí)際情況配置備注檢查系統(tǒng)是否啟用了sudo命令安全基線項(xiàng)目名稱檢查系統(tǒng)是否啟用了sudo命令安全基線項(xiàng)說明 sudo是linux系統(tǒng)管理指令，是允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或者全部的root命令的一個工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登錄 和管理時間，同樣也提高了安全性。

49、sudo不是對shell的一個代替，它是面向每個命令的。它的特性主要有這樣幾點(diǎn)：sudo能夠限制用戶只在某臺主機(jī)上運(yùn)行某些命令。sudo提供了豐富的日志，詳細(xì)地記錄了每個用戶干了什么。它能夠?qū)⑷罩緜鞯街行闹鳈C(jī)或者日志服務(wù)器。sudo使用時間戳文件來執(zhí)行類似的“檢票”系統(tǒng)。當(dāng)用戶調(diào)用sudo并且輸入它的密碼時，用戶獲得了一張存活期為5分鐘的票（這個值可以在編譯的時候改變）。sudo的配置文件是sudoers文件，它允許系統(tǒng)管理員集中的管理用戶的使用權(quán)限和使用的主機(jī)。它所存放的位置默認(rèn)是在/etc/sudoers，屬性必須為0440。檢測與加固步驟系統(tǒng)支持sudo基線符合性判定依據(jù)系統(tǒng)支持sudo

50、備注檢查系統(tǒng)是否允許root帳戶ssh遠(yuǎn)程登錄安全基線項(xiàng)目名稱檢查系統(tǒng)是否允許root帳戶ssh遠(yuǎn)程登錄安全基線項(xiàng)說明 不推薦使用root帳戶直接遠(yuǎn)程登錄，請根據(jù)使用需要，配置帳戶權(quán)限檢測與加固步驟編輯/etc/ssh/sshd_config文件，修改PermitRootLogin值為no；基線符合性判定依據(jù)不允許root帳戶ssh遠(yuǎn)程登錄備注檢查系統(tǒng)是否允許root帳戶telnet遠(yuǎn)程登錄安全基線項(xiàng)目名稱檢查系統(tǒng)是否允許root帳戶telnet遠(yuǎn)程登錄安全基線項(xiàng)說明 不推薦使用root帳戶直接遠(yuǎn)程登錄，請根據(jù)使用需要，配置帳戶權(quán)限檢測與加固步驟編輯 /etc/pam.d/login文件，添加

51、行auth required pam_securetty.so?；€符合性判定依據(jù)不允許root帳戶遠(yuǎn)程登錄備注檢查是否綁定可訪問主機(jī)的ip或ip段安全基線項(xiàng)目名稱檢查是否綁定可訪問主機(jī)的ip或ip段安全基線項(xiàng)說明 啟動ssh遠(yuǎn)程服務(wù)后應(yīng)限定可以遠(yuǎn)程連接服務(wù)器的IP或IP段，提高安全性。檢測與加固步驟編輯/etc/hosts.allow，添加或修改語句“sshd:+允許的IP+:allow”實(shí)現(xiàn)允許某個ip使用ssh連接訪問?；€符合性判定依據(jù)指定特定IP或網(wǎng)段備注檢查是否允許所有ip訪問主機(jī)安全基線項(xiàng)目名稱檢查是否允許所有ip訪問主機(jī)安全基線項(xiàng)說明 應(yīng)限制遠(yuǎn)程訪問主機(jī)的IP范圍，不應(yīng)允許所有

52、主機(jī)訪問檢測與加固步驟編輯/etc/hosts.allow，刪除“sshd:All”。基線符合性判定依據(jù)不出現(xiàn)sshd:All關(guān)鍵字備注hosts.deny文件設(shè)置sshd：All安全基線項(xiàng)目名稱hosts.deny文件設(shè)置sshd：All安全基線項(xiàng)說明 應(yīng)限制遠(yuǎn)程訪問主機(jī)的IP范圍，不應(yīng)允許所有主機(jī)訪問檢測與加固步驟編輯/etc/hosts. deny，刪除“sshd:All”。基線符合性判定依據(jù)出現(xiàn)sshd:All關(guān)鍵字備注其他安全配置檢查登錄超時鎖定時間安全基線項(xiàng)目名稱檢查登錄超時鎖定時間安全基線項(xiàng)說明 系統(tǒng)登錄一段時間后如果不進(jìn)行任何操作，將會登錄鎖定的時間。登錄鎖定后需要重新輸入用戶

53、名、密碼驗(yàn)證登錄。檢測與加固步驟以root帳戶執(zhí)行，vi /etc/profile,增加 export TMOUT=600(單位：秒，可根據(jù)具體情況設(shè)定超時退出時間，要求不小于600秒),注銷用戶，再用該用戶登錄激活該功能基線符合性判定依據(jù)不小于600秒備注檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項(xiàng)目名稱檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項(xiàng)說明 當(dāng)環(huán)境變量中包含.或者.項(xiàng)時，可能會發(fā)生難以預(yù)知的危險檢測與加固步驟修改文件/etc/profile或/root/.bash_profile 在環(huán)境變量$PATH中刪除包含（.和.）的路徑基線符合性判定依據(jù)Ro

54、ot用戶環(huán)境變量中不包含相對路徑備注檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項(xiàng)目名稱檢查root用戶的PATH環(huán)境變量是否包含相對路徑安全基線項(xiàng)說明 當(dāng)環(huán)境變量中包含.或者.項(xiàng)時，可能會發(fā)生難以預(yù)知的危險檢測與加固步驟修改文件/etc/profile或/root/.bash_profile 在環(huán)境變量$PATH中刪除包含（.和.）的路徑基線符合性判定依據(jù)Root用戶環(huán)境變量中不包含相對路徑備注檢查ssh協(xié)議是否使用ssh2安全基線項(xiàng)目名稱檢查ssh協(xié)議是否使用ssh2安全基線項(xiàng)說明 檢查openssh相關(guān)配置文件中是否已配置所使用的協(xié)議為較高協(xié)議版本檢測與加固步驟1.確保/e

55、tc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在，則忽略下面配置步驟。 2.在sshd_config或sshd2_config中配置：Protocol 2基線符合性判定依據(jù)使用ssh2版本備注檢查啟用系統(tǒng)core dump設(shè)置安全基線項(xiàng)目名稱檢查啟用系統(tǒng)core dump設(shè)置安全基線項(xiàng)說明 任務(wù)發(fā)生異常時需要記錄遺言信息，因此需要記錄coredump文件。檢測與加固步驟編輯/etc/security/limits.conf文件，在文件末尾加上* soft core 0與* hard core 0基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否

56、修改snmp默認(rèn)團(tuán)體字安全基線項(xiàng)目名稱檢查是否修改snmp默認(rèn)團(tuán)體字安全基線項(xiàng)說明 建議用戶修改這兩個缺省字符串。否則攻擊者將可以通過SNMP協(xié)議修改設(shè)備的設(shè)定檢測與加固步驟編輯/etc/snmp/snmpd.conf，修改private與public默認(rèn)團(tuán)體字為用戶自定義團(tuán)體字基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線項(xiàng)目名稱檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線項(xiàng)說明 若用戶未禁用ctrl+alt+del組合鍵，則可通過ctrl+alt+del組合鍵所關(guān)聯(lián)內(nèi)容進(jìn)行惡意操作檢測與加固步驟編輯/etc/inittab，注釋含ca

57、:ctrlaltdel:*(*為配置內(nèi)容)內(nèi)容的行之后重啟系統(tǒng)基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否關(guān)閉系統(tǒng)信任機(jī)制安全基線項(xiàng)目名稱檢查是否關(guān)閉系統(tǒng)信任機(jī)制安全基線項(xiàng)說明 在信任地址列表中的來訪用戶可不用提供口令就在本地計(jì)算機(jī)上執(zhí)行遠(yuǎn)程命令，如 rexec，rcp，rlogin 等等檢測與加固步驟1.執(zhí)行命令find / -maxdepth 2 -name hosts.equiv n2.進(jìn)入到. hosts.equiv文件存在的目錄 n3.執(zhí)行命令：mv hosts.equiv hosts.equiv.bak。并以上述一樣的方式處理rhosts文件基線符合性判定依據(jù)根據(jù)加固要求配置備注

58、檢查記錄歷史命令條數(shù)設(shè)置安全基線項(xiàng)目名稱檢查記錄歷史命令條數(shù)設(shè)置安全基線項(xiàng)說明 當(dāng)設(shè)置了歷史命令條數(shù)，系統(tǒng)將保留最近設(shè)置的指定條數(shù)的命令檢測與加固步驟編輯文件/etc/profile，修改配置 HISTSIZE=10基線符合性判定依據(jù)大于等于10備注檢查是否刪除了潛在危險文件安全基線項(xiàng)目名稱檢查是否刪除了潛在危險文件安全基線項(xiàng)說明 檢查是否刪除了潛在危險文件檢測與加固步驟模板條目: 是否刪除hosts.equiv文件配置方法：1.執(zhí)行命令find / -maxdepth 3 -name hosts.equiv 2/dev/null 2.進(jìn)入到hosts.equiv文件存在的目錄 3.執(zhí)行命令：

59、mv hosts.equiv hosts.equiv.bak模板條目: 是否刪除.rhosts 文件配置方法：1.執(zhí)行命令find / -maxdepth 3 -name .rhosts 2/dev/null 2.進(jìn)入到.rhosts文件存在的目錄 3.執(zhí)行命令：mv .rhosts .rhosts.bak模板條目: 是否刪除.netrc 文件配置方法：1.執(zhí)行命令find / -maxdepth 3 -name .netrc 2/dev/null 2.進(jìn)入到.netrc文件存在的目錄 3.執(zhí)行命令：mv .netrc .netrc.bak基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查磁盤使用率安

60、全基線項(xiàng)目名稱檢查磁盤使用率安全基線項(xiàng)說明 檢測系統(tǒng)磁盤根分區(qū)已使用空間是否維持在80%以下檢測與加固步驟輸入命令df k，查看磁盤使用情況基線符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能（適用于不做路由功能的系統(tǒng)）安全基線項(xiàng)目名稱檢查是否關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能（適用于不做路由功能的系統(tǒng)）安全基線項(xiàng)說明 對于不做路由功能的系統(tǒng)，檢查是否關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能檢測與加固步驟可通過以下命令來查看數(shù)據(jù)包轉(zhuǎn)發(fā)功能是否關(guān)閉： # cat /proc/sys/net/ipv4/ip_forward 如果返回值為0，說明數(shù)據(jù)包轉(zhuǎn)發(fā)功能已經(jīng)關(guān)閉，為1則開啟。 關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能： 命令： #sysct