Linux系統(tǒng)安全配置指南(基線)

Linux系統(tǒng)安全配置指南〔基線〕中國(guó)聯(lián)通內(nèi)網(wǎng)Linu〔試行〕2022-07-242022-07-24中國(guó)聯(lián)通公司公布中國(guó)聯(lián)通內(nèi)網(wǎng)Linu名目前言..............................................................................................................................................II1圍...................................................................................................................................12語(yǔ)...................................................................................................................12.1語(yǔ)...................................................................................................................13安全配置要求...................................................................................................................1權(quán)限與審計(jì)功能配置...........................................................................................13.1.1用戶帳號(hào)設(shè)置...................................................................................................13.1.2用戶組設(shè)置.......................................................................................................13.1.3全部用戶審計(jì)...................................................................................................13.1.4Root用戶遠(yuǎn)程登錄限制..................................................................................23.1.5pawdhadowgroup文件安全性...................................................................23.1.6rootUID0戶 23.1.7性...................................................................................23.1.8遠(yuǎn)程連接的安全性配置...................................................................................33.1.9umak置..................................................................................33.2文件系統(tǒng)...............................................................................................................33.2.1.重要目錄和文件的權(quán)限設(shè)置...........................................................................33.2.2SUID/SGID件.....................................................................33.2.3.查找沒(méi)有包含粘性位的任何人都有寫權(quán)限的目錄.......................................43.2.4.查找任何人都有寫權(quán)限的文件.......................................................................43.2.5.沒(méi)有屬主的文件...............................................................................................43.2.6.件...................................................................................................43.3網(wǎng)絡(luò)與服務(wù)...........................................................................................................53.3.1.檢查某inetd置...................................................................53.3.2NFSNFS.....................................................................53.3.3.常規(guī)網(wǎng)絡(luò)服務(wù)...................................................................................................53.4日志審計(jì)...............................................................................................................63.4.1.at/cron權(quán)...............................................................................................63.4.2.錄...................................................................................................63.4.3.ylog.conf配置...............................................................................................63.5系統(tǒng)文件...............................................................................................................63.5.1.系統(tǒng)磁盤狀態(tài)...................................................................................................63.5.2.coredump狀態(tài).................................................................................................64評(píng)審與修訂.......................................................................................................................6I中國(guó)聯(lián)通內(nèi)網(wǎng)Linu前言為確保中國(guó)聯(lián)通信息系統(tǒng)的網(wǎng)絡(luò)支撐和內(nèi)網(wǎng)信息安全，指導(dǎo)各省級(jí)分公司做好基于Linu實(shí)踐的根底上，結(jié)合中國(guó)聯(lián)通內(nèi)網(wǎng)信息安全現(xiàn)狀和實(shí)際需求，特制定本配置指南。本文檔由中國(guó)聯(lián)合網(wǎng)絡(luò)通信治理信息系統(tǒng)部提出并歸口治理。本文檔起草單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信、系統(tǒng)集成公司。本文檔主要起草人：胡松，欒文魁。本文檔解釋單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信治理信息系統(tǒng)部。II中國(guó)聯(lián)通內(nèi)網(wǎng)Linu1本指南規(guī)定了中國(guó)聯(lián)通范圍內(nèi)安裝有Linu的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本指南旨在指導(dǎo)系統(tǒng)治理人員進(jìn)展Linu系統(tǒng)的安全配置。本指南適用版本：Linu本指南的適用范圍為中國(guó)聯(lián)通集團(tuán)總部、各直屬單位、各省級(jí)分公司。2定義與縮略語(yǔ)2.1以下縮略語(yǔ)適用于本指南：術(shù)語(yǔ)及縮寫NFS3安全配置要求英文NetworkFileSytem中文網(wǎng)絡(luò)文件系統(tǒng)3.1用戶帳號(hào)設(shè)置配置項(xiàng)名稱用戶帳號(hào)設(shè)置1、執(zhí)行：more/etc/pawd查看是否存在以下可能無(wú)用的帳號(hào)：uucpnuucplpdguetprintq同時(shí)檢查是否對(duì)全部用戶授予了合理的home名目。2、執(zhí)行：l–l/etc/pawd檢查/etc/pawd文件屬性設(shè)置是否為644建議刪除全部無(wú)用的帳號(hào)給相關(guān)文件配置合理的權(quán)限，配置口令文件屬性，執(zhí)行：$chmod644/etc/pawd$#chmod600/etc/group用戶組設(shè)置用戶組設(shè)置1、執(zhí)行：more/etc/group檢查用戶組的設(shè)置狀況，查看是否存在以下可能無(wú)用的用戶組：uucpprintq2、執(zhí)行：l-l/etc/group檢查/etc/group文件屬性設(shè)置是否為6441、建議刪除不必要的用戶組2、為用戶組文件配置安全屬性，執(zhí)行：$chmod700/etc/group全部用戶審計(jì)審計(jì)功能是否對(duì)全部用13.1.2配置項(xiàng)名稱中國(guó)聯(lián)通內(nèi)網(wǎng)Linu操作步驟調(diào)用SAM，執(zhí)行：/ur/bin/amAuditingandSecurity選擇：Uer功能無(wú)效的用戶賬號(hào)。系統(tǒng)全部用戶的審計(jì)功能都應(yīng)被開啟〔在“LoginAudited”一欄中顯示“NO”則表示該用戶未被有效審計(jì)〕系統(tǒng)默認(rèn)會(huì)審計(jì)全部用戶，但是單獨(dú)某個(gè)用戶的審計(jì)功能可以被禁用Root遠(yuǎn)程登錄限制Rootmore/etc/ecuretty否有以下參數(shù)Conolerootroot錄系統(tǒng)可以增加系統(tǒng)入侵的難度。pawdhadowgrouppawdgroup1、執(zhí)行：l–l/etc/pawd/etc/hadow/etc/group,查看文2、執(zhí)行：grep^+:/etc/pawd/etc/hadow/etc/group，查看文件中是否包含”+”。返回值應(yīng)為空更改文件權(quán)限，執(zhí)行chmodo-w/etc/pawd/etc/hadow/etc/group的文件允許通過(guò)NISMappawdhadowgroup文件中如包含此條目，可能會(huì)使入侵者通過(guò)網(wǎng)絡(luò)添加用戶。是否存在除rootUID0rootUID0awk-F:”($3==0){print$1}”/etc/pawdrootroot用戶的UID0UID0的安全性rootecho$PATH|egrep”(^|:)(\\.|:|$)”，檢查是否包含父名目，執(zhí)行：find`echo$PATH|tr”:”””`-typed\\(-perm-002-o-perm-020\\)-l，檢查777root7777773.1.5安全建議備注配置項(xiàng)名稱操作步驟安全建議備注配置項(xiàng)名稱操作步驟安全建議備注2中國(guó)聯(lián)通內(nèi)網(wǎng)Linu配置項(xiàng)名稱操作步驟安全建議備注配置項(xiàng)名稱操作步驟安全建議備注遠(yuǎn)程連接的安全性配置遠(yuǎn)程連接的安全性配置執(zhí)行：find/-rc，檢查系統(tǒng)中是否有.netrcfind/-name.rhot，檢查系統(tǒng)中是否有.rhot要使用遠(yuǎn)程連接用戶的umakumakmore/etc/profilemore/etc/ch.loginmore/etc/ch.chrcmore/etc/bahrc檢查是否包含umakumak=077umak3.2重要名目和文件的權(quán)限設(shè)置配置項(xiàng)名稱重要名目和文件的權(quán)限設(shè)置執(zhí)行以下命令檢查名目和文件的權(quán)限設(shè)置狀況：l–l/etc/l–l/etc/rc.d/init.d/l–l/tmpl–l/etc/inetd.confl–l/etc/pawdl–l/etc/hadowl–l/etc/groupl–l/etc/ecurityl–l/etc/ervicel-l/etc/rc.d#chmod-R750/etc/rc.d/init.d/某這樣只有root腳本。操作步驟安全建議備注查找未授權(quán)的SUID/SGID文件配置項(xiàng)名稱SUID/SGID文件用下面的SUIDSGIDforPARTin`grep-v^#/etc/ftab|awk”($6!=\find$PART\\(-perm-04000-o-perm-02022\\)-typef-某dev-printdone建議常常性的比照uid/gid文件列表，以便能夠準(zhǔn)時(shí)覺(jué)察可疑的后門程序。系統(tǒng)中SUID和SGID文件很有可能成為安全隱患，必需被嚴(yán)密監(jiān)控。由于這些程序都給執(zhí)行它的用戶一些特權(quán)，所以要SUID3操作步驟安全建議備注中國(guó)聯(lián)通內(nèi)網(wǎng)Linu黑客常常利用SUIDSUID統(tǒng)的后門。留意系統(tǒng)中全部的SUID和SGID盡早覺(jué)察入侵者。查找沒(méi)有包含粘性位的任何人都有寫權(quán)限的名目配置項(xiàng)名稱檢查任何人都有寫權(quán)限的名目在系統(tǒng)中定位任何人都有寫權(quán)限的名目用下面的命令：forPARTin`awk”($3==\{print$2}”/etc/ftab`;dofind$PART-某dev-typed\\(-perm-0002-a!-perm-1000\\)-printdone實(shí)際需求更改權(quán)限，檢查哪些名目是任何人都具備寫操作權(quán)限并且沒(méi)有粘性位。操作步驟安全建議備注查找任何人都有寫權(quán)限的文件配置項(xiàng)名稱查找任何人都有寫權(quán)限的文件在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin`grep-v^#/etc/ftab|awk”($6!=\find$PART-某dev-typef\\(-perm-0002-a!-perm-1000\\)-printdonechmodo-w沒(méi)有屬主的文件配置項(xiàng)名稱檢查沒(méi)有屬主的文件定位系統(tǒng)中沒(méi)有屬主的文件用下面的命令：forPARTin`grep-v^#/etc/ftab|awk”($6!=\find$PART-nouer-o-nogroup-printdone留意：不用管“/dev”名目下的那些文件。建議嚴(yán)格審查全部無(wú)屬主的可疑文件。覺(jué)察沒(méi)有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒(méi)有屬主的文件存在。假設(shè)在系統(tǒng)中覺(jué)察了沒(méi)有屬主的文件或名目，先查看它的完整性，假設(shè)一切正常，給它一個(gè)屬主。有時(shí)候卸載程序可能會(huì)消滅一些沒(méi)有屬主的文件或名目，在這種狀況下可以把這些文件和名目刪除掉。3.2.6.特別隱含文件配置項(xiàng)名稱特別隱含文件在系統(tǒng)的每個(gè)地方都要查看一下有沒(méi)有特別隱含文件〔點(diǎn)號(hào)是起始字符的，用“l(fā)”命令看不到的文件〕，由于這些文件可能是隱蔽的黑客工具或者其它一些信息〔口令破解程序、其它系統(tǒng)的口令文件，等等〕。在UNI某下，一個(gè)常用的技術(shù)就是用一些特別的名，如：“…”、“..”〔點(diǎn)點(diǎn)空格〕或“..^G”〔control-