Linu安全應(yīng)用指導(dǎo)培訓(xùn)文件

1、77/77華為技術(shù)有限公司內(nèi)部技術(shù)指導(dǎo)DKBA 8328-2015.11Linux安全應(yīng)用指導(dǎo) 華為技術(shù)有限公司Huawei Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved修訂聲明Revision declaration本指導(dǎo)擬制與解釋部門：網(wǎng)絡(luò)安全能力中心本指導(dǎo)的相關(guān)系列規(guī)范或文件：相關(guān)國際規(guī)范或文件一致性：替代或作廢的其它規(guī)范或文件：無相關(guān)規(guī)范或文件的相互關(guān)系： 無目錄 TOC o 1-3 h z u HYPERLINK l _Toc435780387 簡介 PAGEREF _Toc435780387 h 6 HYPERLINK l _

2、Toc435780388 使用對象 PAGEREF _Toc435780388 h 6 HYPERLINK l _Toc435780389 適用范圍 PAGEREF _Toc435780389 h 6 HYPERLINK l _Toc435780390 指導(dǎo)解釋 PAGEREF _Toc435780390 h 6 HYPERLINK l _Toc435780391 用詞約定 PAGEREF _Toc435780391 h 6 HYPERLINK l _Toc435780392 術(shù)語解釋 PAGEREF _Toc435780392 h 7 HYPERLINK l _Toc435780393 1權(quán)

3、限管理 PAGEREF _Toc435780393 h 8 HYPERLINK l _Toc435780394 1.1權(quán)限最小化 PAGEREF _Toc435780394 h 8 HYPERLINK l _Toc435780395 1.1.1 禁止直接使用root賬號登錄Linux系統(tǒng) PAGEREF _Toc435780395 h 8 HYPERLINK l _Toc435780396 1.1.2 除有明確特權(quán)需求，應(yīng)用程序應(yīng)以非root賬號運(yùn)行 PAGEREF _Toc435780396 h 9 HYPERLINK l _Toc435780397 1.1.3 采用不同權(quán)限的帳號運(yùn)行不同的

4、應(yīng)用并對帳號進(jìn)行權(quán)限分離 PAGEREF _Toc435780397 h 9 HYPERLINK l _Toc435780398 1.1.4 在運(yùn)行時有特權(quán)需求的程序，在特權(quán)操作完后如后續(xù)無特權(quán)需求，必須使用setuid放棄特權(quán) PAGEREF _Toc435780398 h 10 HYPERLINK l _Toc435780399 1.1.5 使用sudo機(jī)制代替以root帳號登錄運(yùn)行特權(quán)程序的方式。 PAGEREF _Toc435780399 h 11 HYPERLINK l _Toc435780400 1.1.6 應(yīng)對允許使用su到root帳號的用戶進(jìn)行明確授權(quán)，非授權(quán)用戶不能切換到ro

5、ot PAGEREF _Toc435780400 h 11 HYPERLINK l _Toc435780401 1.1.7 使用POSIX Capabilities功能避免直接使用root權(quán)限 PAGEREF _Toc435780401 h 12 HYPERLINK l _Toc435780402 1.2文件和目錄權(quán)限 PAGEREF _Toc435780402 h 14 HYPERLINK l _Toc435780403 1.2.1系統(tǒng)中禁止有無主文件存在 PAGEREF _Toc435780403 h 14 HYPERLINK l _Toc435780404 1.2.2 除有明確需求，應(yīng)刪

6、除文件不必要的setuid和setgid位 PAGEREF _Toc435780404 h 14 HYPERLINK l _Toc435780405 1.2.3應(yīng)為系統(tǒng)用戶設(shè)置缺省的umask值 PAGEREF _Toc435780405 h 15 HYPERLINK l _Toc435780406 1.2.4 使用特殊屬性位Sticky位對共享目錄權(quán)限進(jìn)行控制 PAGEREF _Toc435780406 h 16 HYPERLINK l _Toc435780407 1.2.5 利用特殊文件屬性Append-only位保護(hù)系統(tǒng)命令行歷史日志文件，防止內(nèi)容被篡改 PAGEREF _Toc4357

7、80407 h 16 HYPERLINK l _Toc435780408 2訪問控制 PAGEREF _Toc435780408 h 18 HYPERLINK l _Toc435780409 2.1自主訪問控制 PAGEREF _Toc435780409 h 18 HYPERLINK l _Toc435780410 2.1.1 使用POSIX ACL進(jìn)行更細(xì)粒度的訪問控制 PAGEREF _Toc435780410 h 18 HYPERLINK l _Toc435780411 2.2強(qiáng)制訪問控制 PAGEREF _Toc435780411 h 20 HYPERLINK l _Toc435780

8、412 2.2.1 Linux系統(tǒng)上應(yīng)安裝強(qiáng)制訪問控制系統(tǒng)作為應(yīng)急的安全訪問控制手段 PAGEREF _Toc435780412 h 20 HYPERLINK l _Toc435780413 3記錄和審計 PAGEREF _Toc435780413 h 22 HYPERLINK l _Toc435780415 3.1監(jiān)測、記錄和審計 PAGEREF _Toc435780415 h 22 HYPERLINK l _Toc435780416 3.1.1啟用inotify監(jiān)控機(jī)制，以文件系統(tǒng)事件進(jìn)行安全監(jiān)控 PAGEREF _Toc435780416 h 22 HYPERLINK l _Toc435

9、780417 3.1.2使用Auditd組件對系統(tǒng)中的重要目錄或文件進(jìn)行審計 PAGEREF _Toc435780417 h 24 HYPERLINK l _Toc435780418 4認(rèn)證 PAGEREF _Toc435780418 h 26 HYPERLINK l _Toc435780419 4.1口令和賬號 PAGEREF _Toc435780419 h 26 HYPERLINK l _Toc435780420 4.1.1 使用shadow套件對系統(tǒng)賬號口令進(jìn)行分離保護(hù) PAGEREF _Toc435780420 h 26 HYPERLINK l _Toc435780421 4.1.2L

10、inux系統(tǒng)必須使用shadow套件對當(dāng)前暫時不使用的賬號進(jìn)行鎖定或登錄限制 PAGEREF _Toc435780421 h 27 HYPERLINK l _Toc435780422 4.1.3使用shadow套件對系統(tǒng)口令的時效進(jìn)行限制 PAGEREF _Toc435780422 h 29 HYPERLINK l _Toc435780423 4.2可插拔認(rèn)證模塊（PAM） PAGEREF _Toc435780423 h 29 HYPERLINK l _Toc435780424 4.2.1使用PAM模塊增強(qiáng)認(rèn)證管理 PAGEREF _Toc435780424 h 29 HYPERLINK l

11、_Toc435780425 5文件系統(tǒng)保護(hù) PAGEREF _Toc435780425 h 31 HYPERLINK l _Toc435780428 5.1日志文件保護(hù) PAGEREF _Toc435780428 h 31 HYPERLINK l _Toc435780429 5.1.1 應(yīng)將操作系統(tǒng)日志發(fā)送至外部服務(wù)器單獨(dú)存儲，確保日志不被篡改 PAGEREF _Toc435780429 h 31 HYPERLINK l _Toc435780430 5.2文件系統(tǒng)加密 PAGEREF _Toc435780430 h 31 HYPERLINK l _Toc435780431 5.2.1對含有重要

12、信息的文件目錄或分區(qū)進(jìn)行加密處理 PAGEREF _Toc435780431 h 31 HYPERLINK l _Toc435780432 5.3分區(qū)和掛載 PAGEREF _Toc435780432 h 32 HYPERLINK l _Toc435780433 5.3.1對于系統(tǒng)中的重要目錄必須根據(jù)存儲目的不同進(jìn)行分區(qū)隔離 PAGEREF _Toc435780433 h 32 HYPERLINK l _Toc435780434 5.3.2使用fstab對外接、日志存儲分區(qū)進(jìn)行訪問控制。 PAGEREF _Toc435780434 h 32 HYPERLINK l _Toc435780435

13、5.3.3禁用自動工具對移動存儲設(shè)備進(jìn)行掛載 PAGEREF _Toc435780435 h 33 HYPERLINK l _Toc435780436 6網(wǎng)絡(luò)防護(hù) PAGEREF _Toc435780436 h 34 HYPERLINK l _Toc435780437 6.1網(wǎng)絡(luò)防護(hù)能力 PAGEREF _Toc435780437 h 34 HYPERLINK l _Toc435780438 6.1.1 使用sysctl工具增強(qiáng)系統(tǒng)網(wǎng)絡(luò)防護(hù)能力 PAGEREF _Toc435780438 h 34 HYPERLINK l _Toc435780439 6.1.2 使用iptables對系統(tǒng)中不使

14、用的端口進(jìn)行限制 PAGEREF _Toc435780439 h 35 HYPERLINK l _Toc435780440 6.2限制網(wǎng)絡(luò)服務(wù) PAGEREF _Toc435780440 h 35 HYPERLINK l _Toc435780441 6.2.1 遠(yuǎn)程訪問需使用SSH取代telnet PAGEREF _Toc435780441 h 35 HYPERLINK l _Toc435780442 6.2.2 系統(tǒng)中不應(yīng)安裝不安全的傳統(tǒng)網(wǎng)絡(luò)服務(wù) PAGEREF _Toc435780442 h 35 HYPERLINK l _Toc435780443 7漏洞攻擊防護(hù) PAGEREF _Toc

15、435780443 h 37 HYPERLINK l _Toc435780444 7.1地址隨機(jī)化 PAGEREF _Toc435780444 h 37 HYPERLINK l _Toc435780445 7.1.1 使用Linux自帶的ASLR功能（地址空間布局隨機(jī)化）增強(qiáng)漏洞攻擊防護(hù)能力 PAGEREF _Toc435780445 h 37 HYPERLINK l _Toc435780446 7.2數(shù)據(jù)執(zhí)行防護(hù) PAGEREF _Toc435780446 h 37 HYPERLINK l _Toc435780447 7.2.1 系統(tǒng)必須使用DEP防護(hù)手段提升漏洞攻擊防護(hù)能力 PAGEREF

16、 _Toc435780447 h 37 HYPERLINK l _Toc435780448 7.2.2 使用棧保護(hù)機(jī)制 PAGEREF _Toc435780448 h 38 HYPERLINK l _Toc435780449 7.3增強(qiáng)性安全防護(hù) PAGEREF _Toc435780449 h 39 HYPERLINK l _Toc435780450 7.3.1 使用Grsecurity增強(qiáng)Linux系統(tǒng)的安全防護(hù)能力 PAGEREF _Toc435780450 h 39 HYPERLINK l _Toc435780451 7.3.2 使用PaX提升系統(tǒng)攻擊防護(hù)能力 PAGEREF _Toc4

17、35780451 h 40 HYPERLINK l _Toc435780452 8完整性保護(hù) PAGEREF _Toc435780452 h 43 HYPERLINK l _Toc435780453 8.1文件完整性檢查 PAGEREF _Toc435780453 h 43 HYPERLINK l _Toc435780454 8.1.1 使用IMA工具對系統(tǒng)文件的完整性進(jìn)行檢查 PAGEREF _Toc435780454 h 43 HYPERLINK l _Toc435780455 9安全隔離和容器 PAGEREF _Toc435780455 h 44 HYPERLINK l _Toc4357

18、80456 9.1安全隔離 PAGEREF _Toc435780456 h 44 HYPERLINK l _Toc435780457 9.1.1 對于開放給第三方的shell環(huán)境，應(yīng)使用隔離技術(shù)對其可訪問的系統(tǒng)資源進(jìn)行隔離 PAGEREF _Toc435780457 h 44 HYPERLINK l _Toc435780458 9.1.2 對于系統(tǒng)中運(yùn)行的第三方應(yīng)用，需使用控制組或容器等技術(shù)手段將其于系統(tǒng)關(guān)鍵資源進(jìn)行隔離。 PAGEREF _Toc435780458 h 46 HYPERLINK l _Toc435780459 10其他 PAGEREF _Toc435780459 h 47 H

19、YPERLINK l _Toc435780460 10.1額外系統(tǒng)功能限制 PAGEREF _Toc435780460 h 47 HYPERLINK l _Toc435780461 10.1.1 對core dump功能的使用進(jìn)行限制 PAGEREF _Toc435780461 h 47 HYPERLINK l _Toc435780462 10.1.2 關(guān)閉SysRq鍵的使用 PAGEREF _Toc435780462 h 47 HYPERLINK l _Toc435780463 10.1.3 應(yīng)對bootloader開啟引導(dǎo)裝載密碼 PAGEREF _Toc435780463 h 48 HY

20、PERLINK l _Toc435780464 10.1.4 使用ulimit工具限制用戶可以打開文件個數(shù) PAGEREF _Toc435780464 h 48 HYPERLINK l _Toc435780465 11設(shè)計樣例 PAGEREF _Toc435780465 h 50簡介隨著公司業(yè)務(wù)發(fā)展，越來越多的產(chǎn)品被公眾所熟知，并成為安全研究組織的研究對象、黑客的漏洞挖掘目標(biāo)，產(chǎn)品的安全問題不可小視。公司內(nèi)許多產(chǎn)品使用Linux系統(tǒng)作為軟件開發(fā)和安裝的基礎(chǔ)，由于對Linux系統(tǒng)中編譯器、軟件服務(wù)、系統(tǒng)自身防護(hù)等方面缺乏足夠的了解，使產(chǎn)品存在許多安全漏洞，產(chǎn)品也因此遭受黑客的攻擊。Linux安全

21、應(yīng)用指導(dǎo)結(jié)合Linux系統(tǒng)中常用的安全機(jī)制安全特性同時結(jié)合業(yè)界最佳實踐，針對業(yè)內(nèi)普遍的Linux系統(tǒng)漏洞和軟件漏洞給出指導(dǎo)方法，幫助產(chǎn)品開發(fā)團(tuán)隊減少由于設(shè)計過程中未引入安全機(jī)制或軟件加固方法而引入安全風(fēng)險。本指導(dǎo)的制訂目的是希望能指導(dǎo)讀者選擇正確的安全機(jī)制和軟件加固方法，以減少安全漏洞的產(chǎn)生。指導(dǎo)涵蓋Linux系統(tǒng)中的：權(quán)限管理、訪問控制、認(rèn)證、審計、文件系統(tǒng)保護(hù)、漏洞攻擊防護(hù)等內(nèi)容。使用對象本指導(dǎo)的讀者及使用對象主要是產(chǎn)品涉及Linux系統(tǒng)的需求分析人員、設(shè)計人員、開發(fā)人員、測試人員等。適用范圍本指導(dǎo)適合于公司涉及使用Linux操作系統(tǒng)的產(chǎn)品（嵌入式產(chǎn)品除外），如使用歐拉server OS、

22、suse 等產(chǎn)品。指導(dǎo)解釋Linux安全應(yīng)用指導(dǎo)目的在于通過結(jié)合業(yè)內(nèi)的最佳實踐，對在Linux系統(tǒng)下合理的使用安全機(jī)制和安全特性來解決產(chǎn)品安全問題和增強(qiáng)系統(tǒng)安全能力提出要求。其目的在于以下幾點(diǎn)：充分發(fā)揮Linux已有的安全能力。將Linux社區(qū)中普遍使用的安全組件及解決方案吸納進(jìn)來，合理的應(yīng)用到系統(tǒng)中，增強(qiáng)系統(tǒng)的安全能力。為產(chǎn)品線安全人員解決Linux安全問題賦能。用詞約定規(guī)則：編程時必須遵守的約定。建議：編程時必須加以考慮的約定。說明：對此規(guī)則/建議進(jìn)行必要的解釋。示例：對此規(guī)則/建議從正面給出例子。術(shù)語解釋名詞解釋MAC強(qiáng)制訪問控制（Mandatory Access ControlMAC）

23、，用于將系統(tǒng)中的信息分密級和類進(jìn)行管理，以保證每個用戶只能訪問到那些被標(biāo)明可以由他訪問的信息的一種訪問約束機(jī)制。DAC自主訪問控制（Discretionary Access Control，DAC）是這樣的一種控制方式，由客體的屬主對自己的客體進(jìn)行管理，由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的。容器容器是一種內(nèi)核虛擬化技術(shù)，可以提供輕量級的虛擬化，以便隔離進(jìn)程和資源，而且不需要提供指令解釋機(jī)制以及全虛擬化的其他復(fù)雜性。PAMPAM（Pluggable Authentication Modules ）是由Sun提出的一種認(rèn)證機(jī)制。它通過提供一些動態(tài)鏈接庫

24、和一套統(tǒng)一的API，將系統(tǒng)提供的服務(wù) 和該服務(wù)的認(rèn)證方式分開，使得系統(tǒng)管理員可以靈活地根據(jù)需要給不同的服務(wù)配置不同的認(rèn)證方式而無需更改服務(wù)程序，同時也便于向系 統(tǒng)中添加新的認(rèn)證手段。ASLRASLR（Address space layout randomization）是一種針對緩沖區(qū)溢出的安全保護(hù)技術(shù)，通過對堆、棧、共享庫映射等線性區(qū)布局的隨機(jī)化，通過增加攻擊者預(yù)測目的地址的難度，防止攻擊者直接定位攻擊代碼位置，達(dá)到阻止溢出攻擊的目的。DEPDEP (Data Execution Prevention) 是一套軟硬件技術(shù)，能夠在內(nèi)存上執(zhí)行額外檢查以幫助防止在系統(tǒng)上運(yùn)行惡意代碼。ACL訪問控制

25、列表（Access Control List，ACL）。權(quán)限管理權(quán)限最小化1.1.1 禁止直接使用root賬號登錄Linux系統(tǒng)說明：root是Linux系統(tǒng)中的超級特權(quán)用戶，具有所有Linux系統(tǒng)資源的訪問權(quán)限。如果允許直接使用root賬號登錄Linux系統(tǒng)對系統(tǒng)進(jìn)行操作，會帶來很多潛在的安全風(fēng)險，為了規(guī)避由此帶來的風(fēng)險，應(yīng)禁止直接使用root帳號登錄操作系統(tǒng)，僅在必要的情況通過其他技術(shù)手段（如：su）間接的使用root賬號。禁止直接使用root賬號登錄可以規(guī)避很多潛在的安全風(fēng)險，提高系統(tǒng)安全性。此條目需滿足以下要求：禁止直接通過root賬號遠(yuǎn)程登錄系統(tǒng)（ssh遠(yuǎn)程登錄）禁止直接使用root

26、賬號本地標(biāo)準(zhǔn)終端登錄（本地tty登錄，如：tty1、tty2等）此條目對以下情況不做強(qiáng)制要求：對于設(shè)備維護(hù)用串口不做強(qiáng)制要求，如console。系統(tǒng)初始化和調(diào)測階段不在規(guī)則范圍內(nèi)。實施指導(dǎo)：禁止root賬號本地直接登錄編輯root登錄設(shè)備控制文件securettyvi /etc/securetty注釋掉或刪除所有標(biāo)準(zhǔn)終端設(shè)備（形如ttyN，如：tty1、tty2等）#tty1#tty2#ttyN保存文件后root用戶本地標(biāo)準(zhǔn)終端登錄即被禁止Login： rootPassword：Login incorrect禁止root賬號遠(yuǎn)程直接登錄例：修改openssh服務(wù)配置文件，禁止root賬號遠(yuǎn)程直

27、接登錄編輯openssh服務(wù)配置文件sshd_configvi /etc/ssh/sshd_config查找PermitRootLogin配置項（若不存在需添加），將其設(shè)置為NoPermitRootLogin No保存文件后，重新啟動sshd服務(wù)/etc/init.d/sshd restart1.1.2 除有明確特權(quán)需求，應(yīng)用程序應(yīng)以非root賬號運(yùn)行 說明：root權(quán)限是Linux系統(tǒng)中的超級特權(quán)用戶，具有所有Linux資源的訪問權(quán)限。若自研程序或者第三方程序存在堆棧溢出漏洞，那么攻擊者就可以利用漏洞植入任意代碼，獲取程序執(zhí)行者的權(quán)限，進(jìn)而控制整個系統(tǒng)。因此，我們應(yīng)該按照最小權(quán)限原則設(shè)計Li

28、nux系統(tǒng)權(quán)限，即使程序中存在堆棧溢出漏洞，由于被植入惡意代碼的程序只有普通用戶權(quán)限，無法對系統(tǒng)造成嚴(yán)重影響，攻擊面大大降低。實施指導(dǎo):比如一個程序在使用普通用戶就可以正常運(yùn)行的情況，就不應(yīng)用 root帳號運(yùn)行，按照安全設(shè)計的最小權(quán)限原則，分析應(yīng)用程序進(jìn)程所需要的最小權(quán)限，無特權(quán)需求的程序禁止使用root運(yùn)行。實施方法如下：root# useradd huaweisu - user -c programuser代表用戶名，program是程序名（這里要注意的是程序名要給決對路徑）1.1.3 采用不同權(quán)限的帳號運(yùn)行不同的應(yīng)用并對帳號進(jìn)行權(quán)限分離說明：在設(shè)計實現(xiàn)應(yīng)用系統(tǒng)時，應(yīng)根據(jù)各個組成部分（子系

29、統(tǒng)或程序）運(yùn)行所需的操作系統(tǒng)權(quán)限的不同以及暴露給用戶的訪問權(quán)限的不同，對其進(jìn)行劃分和授權(quán)，采用不同權(quán)限的帳號運(yùn)行不同的程序或組成部分。此條目需滿足以下要求：運(yùn)行web服務(wù)的系統(tǒng)帳號不能和運(yùn)行數(shù)據(jù)庫的系統(tǒng)帳號是同一個帳號，并且要做訪問的權(quán)限分離。實施指導(dǎo):例如典型的WEB應(yīng)用系統(tǒng)，由WEB系統(tǒng)和數(shù)據(jù)庫系統(tǒng)組成，WEB系統(tǒng)對外提供訪問服務(wù)，外部用戶通過WEB服務(wù)獲取頁面相關(guān)的數(shù)據(jù)，這此頁面數(shù)據(jù)敏感度相對低一些，而數(shù)據(jù)庫系統(tǒng)一般存放業(yè)務(wù)相關(guān)的重要數(shù)據(jù)，敏感度高，通常會為兩個系統(tǒng)建立不同的帳號和權(quán)限，并分配不同的目錄來存放敏感度不同的數(shù)據(jù)。對于WEB系統(tǒng)使用Apache服務(wù)器情況，會建立apache用

30、戶來運(yùn)行httpd進(jìn)程，限制httpd進(jìn)程只能特定WEB文件、配置文件和日志數(shù)據(jù)，如var/www；同時，對數(shù)據(jù)庫使用mysql的情況，也會為數(shù)據(jù)庫建立專門的帳戶mysql和相應(yīng)的特權(quán)目錄，讓mysqld服務(wù)進(jìn)程只能訪問限定的目錄，如var/lib/mysql。通過這樣的劃分和授權(quán)，達(dá)到用不同的權(quán)限帳號運(yùn)行不同的程序并實現(xiàn)了運(yùn)行權(quán)限的分離。1.1.4 在運(yùn)行時有特權(quán)需求的程序，在特權(quán)操作完后如后續(xù)無特權(quán)需求，必須使用setuid放棄特權(quán)說明：程序中有些任務(wù)必需使用root權(quán)限執(zhí)行，當(dāng)特權(quán)操作完成后并且后續(xù)無特權(quán)需求，應(yīng)調(diào)用setuid()函數(shù)放棄root用戶的權(quán)利，使用普通用戶權(quán)限運(yùn)行程序。需

31、要注意的是一旦調(diào)用setuid()函數(shù)放棄root用戶的權(quán)利，在后續(xù)執(zhí)行中這個進(jìn)程就只能以普通用戶的身份運(yùn)行。此條目需滿足以下要求：在程序啟動時需要特權(quán)需求，啟動完成后不需要特權(quán)需求的程序，需放棄特權(quán)。實施指導(dǎo):#include#include#includeint main() if( !setuid( getuid() ) ) 拋棄root權(quán)限,進(jìn)入普通用戶權(quán)限 printf(setuid successfully!n); else printf(setuid error!); perror(setuid); return 0;1.1.5 使用sudo機(jī)制代替以root帳號登錄運(yùn)行特權(quán)程序

32、的方式。說明：sudo可以使普通用戶以特定的用戶權(quán)限執(zhí)行某些命令。大部分系統(tǒng)管理命令都需要使用root權(quán)限執(zhí)行，對于系統(tǒng)管理員來說，適當(dāng)?shù)膶ζ渌脩羰跈?quán)可以減輕系統(tǒng)管理員負(fù)擔(dān)，但直接授予其它用戶root用戶密碼會帶來安全方面的風(fēng)險，而使用sudo可以解決這一問題。此條目需滿足以下要求：系統(tǒng)中的需要以root帳號執(zhí)行的自開發(fā)程序，可以使用sudo機(jī)制避免使用root帳號登錄。實施指導(dǎo):下面看一個完整的例子：$ cat /etc/sudoers為方便對允許使用sudo命令的用戶分類，我們可以用戶分組：User_Alias NETWORK_ MAINTAINERS=www,com#定義NETWORK

33、 _COMMANDS可以運(yùn)行網(wǎng)絡(luò)接口配置命令Cmnd_Alias NETWORK _COMMANDS = /bin/ifconfig,/bin/ping# NETWORK_ MAINTAINERS用戶組可以用 root身份運(yùn)行NETWORK _COMMANDS中包含的命令NETWORK_ MAINTAINERS localhost = (root) NETWORK _COMMANDS1.1.6 應(yīng)對允許使用su到root帳號的用戶進(jìn)行明確授權(quán)，非授權(quán)用戶不能切換到root說明：su命令可以使一個一般用戶擁有超級用戶或其他用戶的權(quán)限，它經(jīng)常被用于從普通用戶賬號切換到系統(tǒng)root賬號。su命令為用

34、戶變更身份提供了便捷的途徑，但如果不加約束的使用su命令，會給系統(tǒng)帶來潛在的風(fēng)險。通過對用戶su訪問root賬戶的權(quán)力進(jìn)行限制，僅對部分賬號進(jìn)行su使用授權(quán)，可以提高系統(tǒng)賬號使用的安全性。此條目需滿足以下要求：需建立su訪問組，非組內(nèi)帳號未無法使用su命令切換到root賬號（包括在已知root口令的情況下）實施指導(dǎo)：使用pam_limits模塊限制su root的訪問組例：通過組成員限制能夠su為root的用戶編輯pam的su配置文件vi /etc/pam.d/su查找auth required pam_wheel.so配置行（若不存在需添加），做如下設(shè)置：auth required pam_

35、wheel.so group=wheel保存文件后，根據(jù)需要將su授權(quán)的賬號加入wheel組即可。usermod -a -G wheel testuser這樣，只有wheel組的用戶可以su到root（執(zhí)行su的用戶仍需要知道root口令，但未被授權(quán)的用戶即使知道root口令也無法通過su切換為root用戶。POSIX 能力(pcap)是一種分散root用戶權(quán)利的方式，使用POSIX可以對具有特權(quán)需求的程序進(jìn)行授權(quán)訪問。在需要的時，通過POSIX可以把一項或幾項特權(quán)賦予需要的程序。因此，POSIX以授予最小的完成工作所需的權(quán)限的方式提供一個更安全的選擇，堅持了最小權(quán)限的安全原則。1.1.7 使

36、用POSIX Capabilities功能避免直接使用root權(quán)限說明：某個程序運(yùn)行權(quán)限為root,但是可能并不需要 root 權(quán)限的全部能力，以ping命令為例，ping命令可能只需要cap_net_raw能力來發(fā)送ICMP ping報文，對于root其它能力并不是必需的。因此，只需要將cap_net_raw能力分配ping命令，這樣普通用戶就可以使用ping命令了。使用setcap分配運(yùn)行命令所需要的能力替換直接使用root。此功能需要內(nèi)核版本在2.6.13以上，并且xattr（擴(kuò)展文件屬性）功能在內(nèi)核設(shè)置中被打開。下表為setcap中提供的能力：名稱值解釋CAP_CHOWN0允許改變文件

37、的所有權(quán)CAP_DAC_OVERRIDE1忽略對文件的所有DAC訪問限制CAP_DAC_READ_SEARCH2忽略所有對讀、搜索操作的限制CAP_FOWNER3以最后操作的UID,覆蓋文件的先前的UIDCAP_FSETID4確保在文件被修改后不修改setuid/setgid位CAP_KILL5允許對不屬于自己的進(jìn)程發(fā)送信號CAP_SETGID6允許改變組IDCAP_SETUID7允許改變用戶IDCAP_SETPCAP8允許向其它進(jìn)程轉(zhuǎn)移能力以及刪除其它進(jìn)程的任意能力(只限init進(jìn)程)CAP_LINUX_IMMUTABLE9允許修改文件的不可修改(IMMUTABLE)和只添加(APPEND-

38、ONLY)屬性CAP_NET_BIND_SERVICE10允許綁定到小于1024的端口CAP_NET_BROADCAST11允許網(wǎng)絡(luò)廣播和多播訪問CAP_NET_ADMIN12允許執(zhí)行網(wǎng)絡(luò)管理任務(wù)：接口、防火墻和路由等CAP_NET_RAW13允許使用原始(raw)套接字CAP_IPC_LOCK14允許鎖定共享內(nèi)存片段CAP_IPC_OWNER15忽略IPC所有權(quán)檢查CAP_SYS_MODULE16插入和刪除內(nèi)核模塊CAP_SYS_RAWIO17允許對ioperm/iopl的訪問CAP_SYS_CHROOT18允許使用chroot()系統(tǒng)調(diào)用CAP_SYS_PTRACE19允許跟蹤任何進(jìn)程CA

39、P_SYS_PACCT20允許配置進(jìn)程記帳(process accounting)CAP_SYS_ADMIN21允許執(zhí)行系統(tǒng)管理任務(wù)：加載/卸載文件系統(tǒng)、設(shè)置磁盤配額、開/關(guān)交換設(shè)備和文件等CAP_SYS_BOOT22允許重新啟動系統(tǒng)CAP_SYS_NICE23允許提升優(yōu)先級，設(shè)置其它進(jìn)程的優(yōu)先級CAP_SYS_RESOURCE24忽略資源限制CAP_SYS_TIME25允許改變系統(tǒng)時鐘CAP_SYS_TTY_CONFIG26允許配置TTY設(shè)備CAP_MKNOD27允許使用mknod()系統(tǒng)調(diào)用CAP_LEASE28允許在文件上建立租借鎖CAP_SETFCAP31允許在指定的程序上授權(quán)能力給其

40、它程序?qū)嵤┲笇?dǎo):參考設(shè)計樣例中的 HYPERLINK l 位置1 使用setcap避免直接使用root方案文件和目錄權(quán)限1.2.1系統(tǒng)中禁止有無主文件存在說明：無主文件（和目錄）是指屬于沒有匹配到任何用戶的用戶ID的文件。通常管理員刪除一個用戶但是該用戶在文件系統(tǒng)中尚有文件時會發(fā)生這種情況。同樣的情況也會發(fā)生在用戶組上。這些文件叫做未分組文件。如果新用戶分配到某個已刪除用戶的用戶ID，新用戶將能夠訪問某些原本無意訪問的文件。因此，應(yīng)根據(jù)實際情況對其進(jìn)行合理處理如刪除、添加新的用戶或用戶組等。實施指導(dǎo)：可使用如下命令檢查無主文件和未分組文件root # find / ( -nouser -o -

41、nogroup ) print1.2.2 除有明確需求，應(yīng)刪除文件不必要的setuid和setgid位 說明：非法帶有setuid和setgid的可執(zhí)行文件可能對系統(tǒng)造成威脅。因此，建議對除必須要帶SUID位的可執(zhí)行文件進(jìn)行檢查，刪除不必要可執(zhí)行文件的setuid和setgid位。必須要帶SUID位的的可執(zhí)行文件根據(jù)系統(tǒng)版本和配置不同會不同。此條目需滿足以下要求：公司自主開發(fā)的軟件/程序需遵守本條目（操作系統(tǒng)自帶程序不做嚴(yán)格限制）。實施指導(dǎo)：可使用如下命令來顯示setuid 和setgid 可執(zhí)行文件：root # find / -type f ( -perm -4000 -o -perm -

42、2000 ) print顯然，命令結(jié)果中會列出很多設(shè)置了setuid/setgid 位的文件（例如/usr/bin/passwd 文件）：仔細(xì)確認(rèn)文件列表并確認(rèn)是否有必要設(shè)置該權(quán)限。如果確定某可執(zhí)行文件沒有必要設(shè)置setuid位，使用以下命令將其刪除：root # chmod -s FILE1.2.3應(yīng)為系統(tǒng)用戶設(shè)置缺省的umask值說明：umask設(shè)置了用戶創(chuàng)建文件的默認(rèn)權(quán)限。一般在/etc/profile、$ HOME/.bash_profile或$HOME/.profile中設(shè)置umask值。因此系統(tǒng)必須設(shè)置Umask值，普通用戶推薦值為022,超級用戶推薦值為027。如果用戶希望創(chuàng)建的

43、文件或目錄的權(quán)限不是umask指定的缺省權(quán)限，可以修改缺省的umask值，然后再創(chuàng)建文件或目錄。 實施指導(dǎo)：$umask查詢默認(rèn)的umask值020系統(tǒng)默認(rèn)為020，更改為所希望的022$umask 022$touch testfile創(chuàng)建文件$ls -l testfile查看創(chuàng)建后的權(quán)限r(nóng)xwr-xr-x admin admin 786 Nov 17 10:45 /home/ testfile1.2.4 使用特殊屬性位Sticky位對共享目錄權(quán)限進(jìn)行控制說明：Sticky位是Linux系統(tǒng)下的一種特殊文件屬性位，可用于加強(qiáng)對文件的權(quán)限管理，合理的使用Sticky位屬性，能夠幫助提高文件和目錄

44、的安全性。使用Sticky位對共享目錄權(quán)限進(jìn)行控制，可以防止共享目錄中不屬于自己的文件被惡意或無意刪除。在Linux系統(tǒng)下，最典型的共享目錄為用于臨時文件存取的/tmp和/var/tmp目錄。此條目需滿足以下要求：對/tmp和/var/tmp目錄應(yīng)設(shè)置Sticky位，確保用戶（root除外）只能對自己建立的文件或目錄進(jìn)行刪除/更名/移動等動作。實施指導(dǎo)：在Linux系統(tǒng)下，有一些特殊文件屬性位用于加強(qiáng)對文件的權(quán)限管理，合理的使用這些特殊屬性，能夠幫助提高文件和目錄的安全性。使用Sticky位對共享目錄權(quán)限進(jìn)行控制，可以防止共享目錄中不屬于自己的文件被惡意或無意刪除。對不希望被修改的文件設(shè)置非可

45、變位（Immutable bit），系統(tǒng)不允許對這個文件進(jìn)行任何的修改。如果對目錄設(shè)置這個屬性，那么任何的進(jìn)程只能修改目錄中已存在的文件，不能建立和刪除文件。對不允許修改歷史內(nèi)容的文件設(shè)置只追加位（Append-only bit），系統(tǒng)只允許在這個文件之后追加數(shù)據(jù)，不允許任何進(jìn)程覆蓋或者截斷這個文件。如果目錄具有這個屬性，系統(tǒng)將只允許在這個目錄下建立和修改文件，而不允許刪除任何文件。設(shè)置sticky位chmod +t /tmp$ ls -ld /tmpdrwxrwxrwt 1 root root 786 Nov 17 10:45 /tmp注意：rwt權(quán)限中t代表sticky和execute位。

46、如果顯示的是T，那么只有sticky位置位了。1.2.5 利用特殊文件屬性Append-only位保護(hù)系統(tǒng)命令行歷史日志文件，防止內(nèi)容被篡改 說明：在Linux系統(tǒng)下，有一些特殊文件屬性位用于加強(qiáng)對文件的權(quán)限管理，合理的使用這些特殊屬性，能夠幫助提高文件和目錄的安全性。對不允許修改歷史內(nèi)容的文件設(shè)置只追加位（Append-only bit），系統(tǒng)將只允許在這個文件之后追加數(shù)據(jù)，不允許任何進(jìn)程覆蓋或者截斷這個文件。如果目錄具有這個屬性，系統(tǒng)將只允許在這個目錄下建立和修改文件，而不允許刪除任何文件。此條目需滿足以下要求：對系統(tǒng)中的用戶命令行歷史日志文件（典型名稱如：.bash_history）設(shè)置

47、只追加位（Append-only bit），防止日志被篡改。此條目對以下情況不做強(qiáng)制要求：對命令行日志文件有定期截斷或回滾需求的系統(tǒng)不做追加位（Append-only bit）設(shè)置的強(qiáng)制要求。實施指導(dǎo)：設(shè)置非可變位和只追加位$ sudo chattr +ai test.txt$ lsattr test.txtia test.txt訪問控制自主訪問控制2.1.1 使用POSIX ACL進(jìn)行更細(xì)粒度的訪問控制說明：雖然Linux系統(tǒng)提供了文件控制機(jī)制，但是也具有一些局限性。例如，一個目錄只允許一個組訪問。POSIX ACL提供了一種更加細(xì)粒度的訪問控制機(jī)制，通過運(yùn)用這種機(jī)制，文件系統(tǒng)對象可以為具體

48、用戶和組分配訪問權(quán)限。每一個文件系統(tǒng)對象都有一條對應(yīng)的訪問ACL，用于控制對該對象的訪問。此外，目錄還可以包括一條缺省的ACL，該缺省ACL決定了本目錄中創(chuàng)建的對象的首次訪問ACL。此功能需要內(nèi)核版本2.6以上，并且內(nèi)核開啟POSIX ACL、xattr功能 。此建議適用于提供對文件或目錄的細(xì)粒度訪問控制的情形，比如：同一個用戶組中的兩個用戶，對特定的文件或目錄，需要設(shè)定一個用戶擁有寫的權(quán)限，而另一個用戶只擁有只讀權(quán)限。此條目需滿足以下要求：對于特定的目錄或文件僅允許特定的幾個用戶組或用戶設(shè)置使用權(quán)限的情形，建議使用ACL進(jìn)行細(xì)粒度的訪問控制。POSIX ACL條目名稱解釋用法ACL_USER

49、_OBJ所有者的訪問權(quán)限user:ACL_USERaccess rights of some specific user, other than the owner除所有者外，一些特定用戶的訪問權(quán)限user:USERNAME:ACL_GROUP_OBJaccess rights of the group that owns the file文件所屬組的訪問權(quán)限group:ACL_GROUPaccess rights of some group that doesnt own the file非文件所屬組的訪問權(quán)限group:GROUPNAME:ACL_OTHERaccess rights of

50、 anyone not otherwise covered所有沒有覆蓋用戶的訪問根限other:ACL_MASKmaximum possible access rights for everyone, except for the owner and OTHER定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限。mask:GROUPNAME:實施指導(dǎo)：下面用幾個例子來解釋這些概念：通過設(shè)置umask為027，設(shè)置新創(chuàng)建的文件組沒有寫權(quán)限和其他用戶的沒有任何權(quán)限$ umask 027$ mkdir directory$ ls -ld directory/drwxr

51、-x 1 bob users 0 dec 1 15:10 directory/使用getfacl命令查看文件權(quán)限$ getfacl directory# file: directory# owner: bob# group: usersuser:rwxgroup:r-xother:使用setfacl 添加用戶alice的rwx權(quán)限$ setfacl -modify user:alice:rwx directory$ getfacl -omit-header directoryuser:rwxuser:alice:rwxgroup:r-xmask:rwxother:$ ls -ld direct

52、orydrwxrwx+ 1 bob users 0 joulu 1 15:10 directory強(qiáng)制訪問控制強(qiáng)制訪問控制(MAC)是一個安全系統(tǒng)，在這個安全系統(tǒng)中，主體的訪問或者對某個對象的操作根據(jù)策略規(guī)則嚴(yán)格被操作系統(tǒng)進(jìn)行了限制。主體通常是進(jìn)程，而對象可以是文件、目錄、共享內(nèi)存、端口、設(shè)備等。主體和對象都分配了安全屬性。當(dāng)一個主體訪問一個對象時，內(nèi)核會對這些屬性進(jìn)行檢查，并根據(jù)認(rèn)證規(guī)則（策略）決定是否允許訪問。MAC系統(tǒng)的策略由安全策略管理員控制。與自主訪問控制不同，普通用戶不能對其進(jìn)行設(shè)置，不能對所擁有對象的訪問規(guī)則進(jìn)行自行設(shè)置。MAC系統(tǒng)為整個系統(tǒng)提供了一個全局加強(qiáng)的安全策略。2.2.

53、1 Linux系統(tǒng)上應(yīng)安裝強(qiáng)制訪問控制系統(tǒng)作為應(yīng)急的安全訪問控制手段說明：Linux系統(tǒng)上應(yīng)該安裝強(qiáng)制控制系統(tǒng)，當(dāng)應(yīng)用系統(tǒng)所依賴的組件存在漏洞時，MAC作為應(yīng)急的安全訪問控制手段被打開，以便應(yīng)用系統(tǒng)的服務(wù)在特定情況下可以不被中斷，同時保證系統(tǒng)安全。當(dāng)前強(qiáng)制訪問控制系統(tǒng)使用比較廣泛的是AppArmor和SELinux兩種，Apparmor比SELinux使用更簡單，配置較容易，但安全性和靈活度上沒有SELinux高，然而SELinux配置較復(fù)雜。SELinux與Apparmor最大的區(qū)別在于Apparmor使用文件名（路徑名）作為安全標(biāo)簽，而SELinux使用文件的inode作為安全標(biāo)簽。下表是

54、Apparmor與SELinux更詳細(xì)的對比。ApparmorSELinux安全類型路徑名基于系統(tǒng)不需要標(biāo)記或重新標(biāo)記文件系統(tǒng)當(dāng)增量開發(fā)配置文件，不用修改其它配置文件，只要引用配置文件路徑名。路徑名很容易理解和審核為所有文件、進(jìn)程打標(biāo)簽標(biāo)簽標(biāo)識溝通的渠道，因此增加新的配置文件可能需要修改現(xiàn)有的配置文件劃分溝通渠道，增加策略制定難度并非所有應(yīng)用程序保留的標(biāo)簽影響可自動化易整合難維護(hù)易用性策略語言易使用、易修改、易審計集成GUI/Console工具集可用性是首要目標(biāo)復(fù)雜的策略語言難管理的規(guī)則缺少集成工具鑒于上述對比，如果對系統(tǒng)安全性要求不嚴(yán)格的情況，推薦優(yōu)先選用Apparmor。此條目需滿足以下要

55、求：系統(tǒng)中需安裝Apparmor或SELinux一種強(qiáng)制訪問控制系統(tǒng)，可以不啟用。此條目對以下情況不做強(qiáng)制要求：對系統(tǒng)不內(nèi)統(tǒng)版本較低不支持安裝或安裝后對系統(tǒng)應(yīng)用有影響的可以不強(qiáng)制安裝。實施指導(dǎo)：參考設(shè)計樣例中的 HYPERLINK l 位置1 SELinux應(yīng)用指南、 HYPERLINK l 位置1 SELinux進(jìn)程隔離方案指導(dǎo)書記錄和審計監(jiān)測、記錄和審計3.1.1啟用inotify監(jiān)控機(jī)制，以文件系統(tǒng)事件進(jìn)行安全監(jiān)控說明：Inotify 是基于inode級別的文件系統(tǒng)監(jiān)控技術(shù),是一種強(qiáng)大的、細(xì)粒度的、異步的機(jī)制，它滿足各種各樣的文件監(jiān)控需要，可用于對文件系統(tǒng)進(jìn)行安全監(jiān)控，提高系統(tǒng)安全性。I

56、notify 不需要對被監(jiān)視的目標(biāo)打開文件描述符，而且如果被監(jiān)視目標(biāo)在可移動介質(zhì)上，那么在 umount 該介質(zhì)上的文件系統(tǒng)后，被監(jiān)視目標(biāo)對應(yīng)的 watch 將被自動刪除，并且會產(chǎn)生一個 umount 事件。 Inotify 既可以監(jiān)視文件，也可以監(jiān)視目錄。 Inotify 使用系統(tǒng)調(diào)用而非 SIGIO 來通知文件系統(tǒng)事件。 Inotify 使用文件描述符作為接口，因而可以使用通常的文件 I/O 操作select 和 poll 來監(jiān)視文件系統(tǒng)的變化。 此條目需滿足以下要求：開啟inotify功能，對文件系統(tǒng)事件進(jìn)行監(jiān)控。/bin /etc此條目對以下情況不做強(qiáng)制要求：對系統(tǒng)性能有嚴(yán)格要求，啟用

57、相關(guān)功能影響產(chǎn)品交付的，不做強(qiáng)制要求。實施指導(dǎo)：確定內(nèi)核是否支持inotify查看/proc/sys/fs/inotify/目錄是否存在，從kernel 2.6.13開始，Inotify正式并入內(nèi)核。 # ls /proc/sys/fs/inotify/max_queued_events max_user_instances max_user_watches其中inotify目錄下的三個文件對應(yīng)inotify 的默認(rèn)內(nèi)核參數(shù)/proc/sys/fs/inotify/max_queued_events 默認(rèn)值: 16384 該文件中的值為調(diào)用inotify_init時分配給inotify ins

58、tance中可排隊的event的數(shù)目的最大值，超出這個值的事件被丟棄，但會觸發(fā)IN_Q_OVERFLOW事件。/proc/sys/fs/inotify/max_user_instances 默認(rèn)值: 128 指定了每一個real user ID可創(chuàng)建的inotify instatnces的數(shù)量上限。/proc/sys/fs/inotify/max_user_watches 默認(rèn)值: 8192 指定了每個inotify instance相關(guān)聯(lián)的watches的上限。注意: max_queued_events 是 Inotify 管理的隊列的最大長度，文件系統(tǒng)變化越頻繁，這個值就應(yīng)該越大。如果在日

59、志中看到Event Queue Overflow，說明max_queued_events太小需要調(diào)整參數(shù)后再次使用. 安裝inotify工具在Linux下使用inotify需要安裝inotify-tools工具包，其中有兩個主要的工具程序inotifywait和inotifywatch。其中，inotifywait執(zhí)行阻塞，等待 inotify 事件，可以監(jiān)控任何一組文件和目錄，或監(jiān)控整個目錄樹（目錄、子目錄、子目錄的子目錄等等）。Inotifywatch程序用于收集關(guān)于被監(jiān)視的文件系統(tǒng)的統(tǒng)計數(shù)據(jù)，包括每個 inotify 事件發(fā)生多少次。使用 inotify工具示例腳本：#!/bin/bas

60、h inotifywait -mrq -timefmt %d/%m/%y %H:%M -format %T %w%f %e -event modify,delete,create,attrib /home/admin | while read date time file event do case $event in MODIFY|CREATE|MOVE|MODIFY,ISDIR|CREATE,ISDIR|MODIFY,ISDIR) echo $event-$file ; MOVED_FROM|MOVED_FROM,ISDIR|DELETE|DELETE,ISDIR) echo $event