Linux安全配置基線(xiàn)

杭州安恒信息技術(shù)有限公司Linux系統(tǒng)安全配置基線(xiàn)葭蹣P杭州安恒信息技術(shù)有限公司2016年12月TOC\o"1-5"\h\z\o"CurrentDocument"第1章 概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"第2章 本地策略 2帳戶(hù)與口令檢查策略 2檢查系統(tǒng)中是否存在口令為空的帳戶(hù) 2\o"CurrentDocument"檢查系統(tǒng)中是否存在UID與root帳戶(hù)相同的帳戶(hù) 2\o"CurrentDocument"檢查是否按用戶(hù)分配帳號(hào) 2\o"CurrentDocument"檢查密碼最小長(zhǎng)度 3\o"CurrentDocument"檢查密碼過(guò)期時(shí)間 3\o"CurrentDocument"檢查密碼最大重試次數(shù) 3\o"CurrentDocument"檢查是否配置口令復(fù)雜度策略 4\o"CurrentDocument"檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼 4\o"CurrentDocument"檢查口令過(guò)期前警告天數(shù) 5\o"CurrentDocument"檢查口令更改最小間隔天數(shù) 5\o"CurrentDocument"檢查是否使用PAM認(rèn)證模塊禁止WHEEL組之外的用戶(hù)SU為ROOT 5\o"CurrentDocument"檢查密碼重復(fù)使用次數(shù)限制 6\o"CurrentDocument"日志配置 6\o"CurrentDocument"檢查系統(tǒng)是否開(kāi)啟了日志功能 6\o"CurrentDocument"檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能 7\o"CurrentDocument"檢查是否對(duì)登錄進(jìn)行日志記錄 7\o"CurrentDocument"檢查是否記錄用戶(hù)對(duì)設(shè)備的操作 7\o"CurrentDocument"檢查SYSLOG-NG是否配置安全事件日志 8\o"CurrentDocument"檢查RSYSLOG是否配置安全事件日志 8\o"CurrentDocument"檢查SYSLOG是否配置安全事件日志 9\o"CurrentDocument"檢查是否配置SU命令使用情況記錄 9\o"CurrentDocument"檢查是否配置遠(yuǎn)程日志功能 9\o"CurrentDocument"檢查是否啟用cron行為日志功能 10\o"CurrentDocument"檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范 11系統(tǒng)內(nèi)核配置 11\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由 11\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報(bào)文 11\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-send_REDiREcTS配置 12\o"CurrentDocument"檢查系統(tǒng)內(nèi)核參數(shù)配置-iP_FORWARD配置 12檢查系統(tǒng)內(nèi)核參數(shù)配置ICMP_ECHO_IGNORE_BROADCASTS配置 13\o"CurrentDocument"信息隱藏 13\o"CurrentDocument"檢查是否設(shè)置ssh登錄前警告Banner 13\o"CurrentDocument"檢查是否設(shè)置ssh登錄后警告Banner 14\o"CurrentDocument"檢查是否修改默認(rèn)FTPBanner設(shè)置 14\o"CurrentDocument"檢查telnetBanner設(shè)置 14\o"CurrentDocument"服務(wù)端口啟動(dòng)項(xiàng) 15\o"CurrentDocument"檢查是否啟用SSH服務(wù) 15\o"CurrentDocument"檢查是否啟用了TALK服務(wù) 15\o"CurrentDocument"檢查是否啟用了NTALK服務(wù) 16\o"CurrentDocument"檢查是否啟用了SENDMAIL服務(wù) 16\o"CurrentDocument"禁止root帳戶(hù)登錄FTP(vsftp) 17\o"CurrentDocument"禁止匿名FTP(vsftp) 17\o"CurrentDocument"檢查設(shè)備是否已禁用TELNET服務(wù) 17\o"CurrentDocument"檢查是否關(guān)閉不必要的服務(wù)和端口 18文件目錄權(quán)限 18\o"CurrentDocument"檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄 18\o"CurrentDocument"檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件 18\o"CurrentDocument"檢查是否存在權(quán)限不安全的重要日志文件 19\o"CurrentDocument"檢查系統(tǒng)當(dāng)前的UMAsK 19\o"CurrentDocument"檢查擁有SUID和SGID權(quán)限的文件 20檢查/usr/bin用錄下可執(zhí)行文件的擁有者屬性是否合規(guī) 20\o"CurrentDocument"訪(fǎng)問(wèn)權(quán)限 21\o"CurrentDocument"檢查FTP用戶(hù)上傳的文件所具有的權(quán)限 21\o"CurrentDocument"檢查系統(tǒng)是否啟用了SUDo命令 21\o"CurrentDocument"檢查系統(tǒng)是否允許root帳戶(hù)SSH遠(yuǎn)程登錄 22\o"CurrentDocument"檢查系統(tǒng)是否允許ROOT帳戶(hù)TELNET遠(yuǎn)程登錄 22\o"CurrentDocument"檢查是否綁定可訪(fǎng)問(wèn)主機(jī)的ip或ip段 23\o"CurrentDocument"檢查是否允許所有ip訪(fǎng)問(wèn)主機(jī) 23\o"CurrentDocument"HOSTS.DENY文件設(shè)置SSHD： ALL 23其他安全配置 24檢查登錄超時(shí)鎖定時(shí)間 24\o"CurrentDocument"檢查root用戶(hù)的PATH環(huán)境變量是否包含相對(duì)路徑 24\o"CurrentDocument"檢查root用戶(hù)的PATH環(huán)境變量是否包含相對(duì)路徑 24\o"CurrentDocument"檢查ssh協(xié)議是否使用ssh2 25\o"CurrentDocument"檢查啟用系統(tǒng)CoREDUMP設(shè)置 25\o"CurrentDocument"檢查是否修改SNMP默認(rèn)團(tuán)體字 25\o"CurrentDocument"檢查系統(tǒng)是否禁用CTRL+ALT+DEL組合鍵 26\o"CurrentDocument"檢查是否關(guān)閉系統(tǒng)信任機(jī)制 26\o"CurrentDocument"檢查記錄歷史命令條數(shù)設(shè)置 26\o"CurrentDocument"檢查是否刪除了潛在危險(xiǎn)文件 27\o"CurrentDocument"檢查磁盤(pán)使用率 27\o"CurrentDocument"檢查是否關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能(適用于不做路由功能的系統(tǒng)) 28\o"CurrentDocument"檢查是否關(guān)閉IP偽裝和綁定多IP功能 28\o"CurrentDocument"檢查/etc/aliase是否禁用不必要的別名文件 28\o"CurrentDocument"檢查是否配置定時(shí)自動(dòng)屏幕鎖定(適用于具備圖形界面的設(shè)備) 29\o"CurrentDocument"檢查是否安裝CHKROOTKIT進(jìn)行系統(tǒng)監(jiān)測(cè) 30\o"CurrentDocument"檢查系統(tǒng)是否開(kāi)啟ASLR 30第1章概述目的本文檔規(guī)范了杭州安恒信息技術(shù)有限公司對(duì)于安裝有Linux操作系統(tǒng)的主機(jī)進(jìn)行加固時(shí)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Linux操作系統(tǒng)的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：Linux服務(wù)器系統(tǒng)。第2章本地策略帳戶(hù)與口令檢查策略檢查系統(tǒng)中是否存在口令為空的帳戶(hù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)中是否存在口令為空的帳戶(hù)安全基線(xiàn)項(xiàng)說(shuō)明系統(tǒng)中不應(yīng)存在口令為空的帳戶(hù)檢測(cè)與加固步驟輸入命令：cat/etc/shadow，查看是否有未設(shè)置口令的帳戶(hù)基線(xiàn)符合性判定依據(jù)帳戶(hù)必須配置密碼備注2.1.2檢查系統(tǒng)中是否存在UID與root帳戶(hù)相同的帳戶(hù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)中是否存在UID與root帳戶(hù)相同的帳戶(hù)安全基線(xiàn)項(xiàng)說(shuō)明用戶(hù)的UID大于500的都是非系統(tǒng)賬號(hào)，500以下的都為系統(tǒng)保留的賬號(hào)，比如root賬號(hào)，至高權(quán)限的賬號(hào)的UID為0,我們創(chuàng)建用戶(hù)的時(shí)候默認(rèn)的賬號(hào)的UID都是大于500，系統(tǒng)中不應(yīng)存在UID與root帳戶(hù)相同的帳戶(hù)，該設(shè)置將導(dǎo)致該帳戶(hù)擁有與root帳戶(hù)相同權(quán)限。檢測(cè)與加固步驟輸入命令：cat/etc/passwd1grep:x:0，查看輸入結(jié)果中是否有非root帳戶(hù)，基線(xiàn)符合性判定依據(jù)不存在uid為0的非root帳戶(hù)備注2.1.3檢查是否按用戶(hù)分配帳號(hào)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否按用戶(hù)分配帳號(hào)安全基線(xiàn)項(xiàng)說(shuō)明按照用戶(hù)角色分配不同權(quán)限，確保用戶(hù)權(quán)限的最小化，避免越權(quán)操作

檢測(cè)與加固步驟1、執(zhí)行：#more/etc/passwd查看系統(tǒng)中存在的用戶(hù)，確認(rèn)每個(gè)帳戶(hù)的home路徑及啟動(dòng)shell;2、與管理員確認(rèn)需要鎖定的帳戶(hù)基線(xiàn)符合性判定依據(jù)不存在無(wú)關(guān)用戶(hù)備注2.1.4檢查密碼最小長(zhǎng)度安全基線(xiàn)項(xiàng)目名稱(chēng)檢查密碼最小長(zhǎng)度安全基線(xiàn)項(xiàng)說(shuō)明檢查密碼最小長(zhǎng)度檢測(cè)與加固步驟查看/etc/login.defs文件，查看PASS_MIN_LEN參數(shù)值基線(xiàn)符合性判定依據(jù)大于等于8備注2.1.5檢查密碼過(guò)期時(shí)間安全基線(xiàn)項(xiàng)目名稱(chēng)檢查密碼過(guò)期時(shí)間安全基線(xiàn)項(xiàng)說(shuō)明長(zhǎng)期不修改密碼會(huì)提高密碼暴露風(fēng)險(xiǎn)，建議密碼生存周期不超過(guò)90天檢測(cè)與加固步驟查看/etc/login.defs文件，查看PASS_MAX_DAYS參數(shù)值基線(xiàn)符合性判定依據(jù)小于等于60天備注2.1.6檢查密碼最大重試次數(shù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查密碼最大重試次數(shù)安全基線(xiàn)項(xiàng)說(shuō)明配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)5次（不含5次），鎖定該用戶(hù)使用的賬號(hào)。

注意僅對(duì)自然人使用的帳號(hào)做此限制。檢測(cè)與加固步驟輸入cat/etc/pam.d/sshd1greppam_tally2.so，查看deny參數(shù)設(shè)置值基線(xiàn)符合性判定依據(jù)小于等于5備注2.1.7檢查是否配置口令復(fù)雜度策略安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否配置口令復(fù)雜度策略安全基線(xiàn)項(xiàng)說(shuō)明開(kāi)啟密碼復(fù)雜度策略，大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符至少支持3種檢測(cè)與加固步驟查看/etc/pam.d/system-auth文件中passwordrequisitepam_cracklib.so配置，例如：passwordrequisitepam_cracklib.soucredit=-1lcredit=-1dcredit=-1注：ucredit：大寫(xiě)字母?jìng)€(gè)數(shù)；lcredit：小寫(xiě)字母?jìng)€(gè)數(shù)；4仃?4也數(shù)字個(gè)數(shù)；ocredit：特殊字符個(gè)數(shù)。基線(xiàn)符合性判定依據(jù)符合復(fù)雜度要求備注2.1.8檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼安全基線(xiàn)項(xiàng)說(shuō)明檢查是否設(shè)置系統(tǒng)引導(dǎo)管理器密碼檢測(cè)與加固步驟配置一：1.請(qǐng)確認(rèn)系統(tǒng)引導(dǎo)器的類(lèi)型為grub,如果不為grub,則忽略此檢查點(diǎn)。2.如果/boot/grub/menu.lst文件存在，編輯/boot/grub/menu.lst文件，設(shè)置password=*(*為需要設(shè)置的密碼。3.如果不存在，請(qǐng)檢查grub是否正確安裝，或/boot/grub/menu.lst文件是否被更名。配置二：1.請(qǐng)確認(rèn)系統(tǒng)引導(dǎo)器的類(lèi)型為lilo,如果不為lilo,則忽略此檢查點(diǎn)。2.如果/etc/lilo.conf文件存在，編輯/etc/lilo.conf文件，設(shè)置password=*(*為需要設(shè)置的密碼。3.如果不存在，請(qǐng)檢查lilo是否正確安裝，或/etc/lilo.conf文件是否被更名?；€(xiàn)符合性配置grub密碼

判定依據(jù)備注2.1.9檢查口令過(guò)期前警告天數(shù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查口令過(guò)期前警告天數(shù)安全基線(xiàn)項(xiàng)說(shuō)明口令過(guò)期提前警告的天數(shù)檢測(cè)與加固步驟查看/etc/login.defs文件，檢查PASS_WARN_AGE參數(shù)值基線(xiàn)符合性判定依據(jù)大于等于7備注2.1.10檢查口令更改最小間隔天數(shù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查口令更改最小間隔天數(shù)安全基線(xiàn)項(xiàng)說(shuō)明口令更改最小間隔天數(shù)檢測(cè)與加固步驟查看/etc/login.defs文件，檢查PASS_MIN_DAYS參數(shù)值基線(xiàn)符合性判定依據(jù)大于等于7備注2.1.11檢查是否使用PAM認(rèn)證模塊禁止wheel組之外的用戶(hù)su為root安全基線(xiàn)項(xiàng)目名稱(chēng)檢查口令更改最小間隔天數(shù)安全基線(xiàn)項(xiàng)說(shuō)明口令更改最小間隔天數(shù)檢測(cè)與加固步驟編輯su文件(vi/etc/pam.d/su)，在開(kāi)頭添加下面兩行：authsufficientpam_rootok.so和authrequiredpam_wheel.sogroup=wheel這表明只有wheel組的成員可以使用su命令成為root用戶(hù)。你可以把用戶(hù)添加到wheel組，

以使它可以使用su命令成為root用戶(hù)。添加方法為：usermod-Gwheelusername基線(xiàn)符合性判定依據(jù)禁止wheel組以外用戶(hù)使用su備注2.1.12檢查密碼重復(fù)使用次數(shù)限制安全基線(xiàn)項(xiàng)目名稱(chēng)檢查密碼重復(fù)使用次數(shù)限制安全基線(xiàn)項(xiàng)說(shuō)明檢查密碼重復(fù)使用次數(shù)限制檢測(cè)與加固步驟編輯/etc/pam.d/system-auth文件，修改設(shè)置如下passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5補(bǔ)充操作說(shuō)明只需在passwordsufficient這一行加上remember=5即可基線(xiàn)符合性判定依據(jù)remember大于等于5備注日志配置檢查系統(tǒng)是否開(kāi)啟了日志功能安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)是否開(kāi)啟了日志功能安全基線(xiàn)項(xiàng)說(shuō)明系統(tǒng)應(yīng)開(kāi)啟日志服務(wù)，日志功能有助于記錄系統(tǒng)問(wèn)題、用戶(hù)訪(fǎng)問(wèn)操作、受到攻擊等等一系列操作，對(duì)于管理員防范危險(xiǎn)、日常管理有很重要的作用。檢測(cè)與加固步驟使用命令"servicesyslogdstart”或“servicersyslogdstart”啟動(dòng)日志服務(wù)（Centos6以前版本支持syslogd服務(wù)，之后版本支持rsyslogd服務(wù)，視具體系統(tǒng)而定）?；€(xiàn)符合性判定依據(jù)開(kāi)啟日志服務(wù)備注

檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能安全基線(xiàn)項(xiàng)說(shuō)明檢查系統(tǒng)是否開(kāi)啟了日志審計(jì)功能檢測(cè)與加固步驟使用命令"serviceauditdstatus”查看服務(wù)狀態(tài)使用管理員權(quán)限輸入命令"serviceauditdstart”開(kāi)啟審計(jì)服務(wù)，如無(wú)法開(kāi)啟或不存在服務(wù)，請(qǐng)安裝審計(jì)安裝包(audit)后重新嘗試?；€(xiàn)符合性判定依據(jù)開(kāi)啟日志服務(wù)備注檢查是否對(duì)登錄進(jìn)行日志記錄安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否對(duì)登錄進(jìn)行日志記錄安全基線(xiàn)項(xiàng)說(shuō)明檢查是否對(duì)登錄進(jìn)行日志記錄，使得登錄記錄可查檢測(cè)與加固步驟登錄日志文件為/var/log/wtmp/var/log/utmp.這2個(gè)文件中記錄著所有登錄過(guò)主機(jī)的用戶(hù)，時(shí)間，來(lái)源等內(nèi)容，這個(gè)文件不具可讀性，可用last命令來(lái)看。如果命令無(wú)結(jié)果，請(qǐng)聯(lián)系管理員基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查是否記錄用戶(hù)對(duì)設(shè)備的操作安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否對(duì)登錄進(jìn)行日志記錄安全基線(xiàn)項(xiàng)說(shuō)明檢查是否對(duì)登錄進(jìn)行日志記錄，使得登錄記錄可查檢測(cè)與加固步驟通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶(hù)的每一條命令進(jìn)行記錄，這一功能默認(rèn)是不開(kāi)放的，為了打開(kāi)它，需要安裝pacct工具，并執(zhí)行以下命令：#touch/var/log/pacct#accton/var/log/pacct執(zhí)行讀取命令lastcomm[username]-f/var/log/pacct

基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查syslog-ng是否配置安全事件日志安全基線(xiàn)項(xiàng)目名稱(chēng)檢查syslog-ng是否配置安全事件日志安全基線(xiàn)項(xiàng)說(shuō)明檢查syslog-ng是否配置安全事件日志檢測(cè)與加固步驟編輯/etc/syslog-ng/syslog-ng.conf酉己置：filterf_msgs{level(err)orfacility(kern)andlevel(debug)orfacility(daemon)andlevel(notice);};destinationmsgs{file("/var/adm/msgs");};log{source(src);filter(f_msgs);destination(msgs);};其中/var/adm/msgs為日志文件。如果該文件不存在，貝U創(chuàng)建該文件，命令為：touch/var/adm/msgs，并修改權(quán)限為666.命令為：chmod666/var/adm/msgs.重啟日志服務(wù)：#/etc/init.d/syslogrestart基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查rsyslog是否配置安全事件日志安全基線(xiàn)項(xiàng)目名稱(chēng)檢查rsyslog是否配置安全事件日志安全基線(xiàn)項(xiàng)說(shuō)明檢查rsyslog是否配置安全事件日志檢測(cè)與加固步驟編輯/etc/rsyslog.conf配置：*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為：touch/var/adm/messages，并修改權(quán)限為666.命令為：chmod666/var/adm/messages.重啟日志服務(wù)：#/etc/init.d/rsyslogrestart基線(xiàn)符合性判定依據(jù)符合加固要求備注

檢查syslog是否配置安全事件日志安全基線(xiàn)項(xiàng)目名稱(chēng)檢查syslog是否配置安全事件日志安全基線(xiàn)項(xiàng)說(shuō)明檢查syslog是否配置安全事件日志檢測(cè)與加固步驟編輯/etc/syslog.conf配置：*.err;kern.debug;daemon.notice/var/adm/messages其中/var/adm/messages為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為：touch/var/adm/messages，并修改權(quán)限為666.命令為：chmod666/var/adm/messages.重啟日志服務(wù)：#/etc/init.d/syslogrestart基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查是否配置su命令使用情況記錄安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否配置su命令使用情況記錄安全基線(xiàn)項(xiàng)說(shuō)明檢查是否配置su命令使用情況記錄檢測(cè)與加固步驟1.若啟用syslog則編輯/etc/syslog.conf,若啟用rsyslog則編輯/etc/rsyslog.conf,配置：authpriv.*/var/log/secure2.若啟用syslog-ng則U編輯:/etc/syslog-ng/syslog-ng.conf。配置：filterf_secure{facility(authpriv);};destinationpriverr{file("/var/log/secure");};log{source(src);filter(f_secure);destination(priverr);};3.倉(cāng)1J建/var/log/secure文件touch/var/log/secure4.重啟syslog月艮務(wù)#/etc/init.d/syslogrestarto基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查是否配置遠(yuǎn)程日志功能安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否配置遠(yuǎn)程日志功能安全基線(xiàn)項(xiàng)說(shuō)明檢查是否配置遠(yuǎn)程日志功能

檢測(cè)與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中配置destinationlogserver{ udp("0" port(514)); };log{source(src);destination(logserver);};可以將此處0替換為實(shí)際的IP；若啟用rsyslog日志則修改配置文件vi/etc/rsyslog.conf，加上這一行：*.*@可以將"*.*"替換為你實(shí)際需要的日志信息。比如：kern.*;mail.*等等?？梢詫⒋颂幪鎿Q為實(shí)際的IP或域名。；若啟用syslog日志則修改配置文件vi/etc/syslog.conf，加上這一行：*.*@可以將"*.*"替換為你實(shí)際需要的日志信息。比如：kern.*；mail.*等等?？梢詫⒋颂幪鎿Q為實(shí)際的IP或域名?；€(xiàn)符合性判定依據(jù)符合加固要求備注檢查是否啟用cron行為日志功能安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否啟用cron行為日志功能安全基線(xiàn)項(xiàng)說(shuō)明檢查是否啟用cron行為日志功能檢測(cè)與加固步驟若啟用syslog-no日志則在/etc/syslog-ng/syslog-ng.conf中添加口filterf_cron{facility(cron);};destinationcron{file("/var/log/cron");};log{source(src);filter(f_cron);destination(cron);};其中/var/log/cron為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為:touch/var/log/cron，并修改權(quán)限為666.命令為：chmod666/var/log/cron；若啟用rsyslog日志則編輯/etc/rsyslog.conf文件，配置：cron.*/var/log/cron，其中/var/log/cron為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為：touch/var/log/cron，并修改權(quán)限為666.命令為：chmod666/var/log/cron；若啟用syslog日志則編輯/etc/syslog.conf文件，配置：cron.*/var/log/cron，其中/var/log/cron為日志文件。如果該文件不存在，則創(chuàng)建該文件，命令為:touch/var/log/cron，并修改權(quán)限為666.命令為：chmod666/var/log/cron。基線(xiàn)符合性判定依據(jù)符合加固要求

備注檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范安全基線(xiàn)項(xiàng)目名稱(chēng)檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范安全基線(xiàn)項(xiàng)說(shuō)明檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范檢測(cè)與加固步驟檢查審計(jì)日志默認(rèn)保存時(shí)間是否符合規(guī)范，建議保存一年內(nèi)的日志。修改/08/108101210（0比，右日志輪轉(zhuǎn)周期設(shè)置為weekly（默認(rèn)）則修改rotate值為53，同理若周期為daily則rotate設(shè)置為365,若周期為monthly則設(shè)置為12基線(xiàn)符合性判定依據(jù)符合加固要求備注系統(tǒng)內(nèi)核配置檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由安全基線(xiàn)項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件cp-p/proc/sys/net/ipv4/conf/all/accept_source_route/proc/sys/net/ipv4/conf/all/accept_source_route.bak,執(zhí)行命令#sysctl-wnet.ipv4.conf.all.accept_source_route="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_source_route的值為0基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報(bào)文安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp重定向報(bào)文

安全基線(xiàn)項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-是否禁止icmp源路由檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件#cp-p/proc/sys/net/ipv4/conf/all/accept_redirects/proc/sys/net/ipv4/conf/all/accept_redirects.bak，執(zhí)行命令#sysctl-wnet.ipv4.conf.all.accept_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/accept_redirects的值為0基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置安全基線(xiàn)項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-send_redirects配置檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件#cp-p/proc/sys/net/ipv4/conf/all/send_redirects/proc/sys/net/ipv4/conf/all/send_redirects.bak，執(zhí)行命令#sysctl-wnet.ipv4.conf.all.send_redirects="0" 并 修 改/proc/sys/net/ipv4/conf/all/send_redirects的值為0基線(xiàn)符合性判定依據(jù)符合加固要求備注檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置安全基線(xiàn)項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-ip_forward配置檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件#cp-p/proc/sys/net/ipv4/ip_forward/proc/sys/net/ipv4/ip_forward.bak，執(zhí)行命令 #sysctl-wnet.ipv4.ip_forward="0"并修改/proc/sys/net/ipv4/ip_forward的值為0基線(xiàn)符合性判定依據(jù)符合加固要求

備注檢查系統(tǒng)內(nèi)核參數(shù)配置icmp_echo_ignore_broadcasts酉己置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)內(nèi)核參數(shù)配置-icmp_echo_ignore_broadcasts配置安全基線(xiàn)項(xiàng)說(shuō)明檢查系統(tǒng)內(nèi)核參數(shù)配置-icmp_echo_ignore_broadcasts配置檢測(cè)與加固步驟修改前請(qǐng)先備份配置文件 #cp-p/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.bak，執(zhí)行命令#sysctl-wnet.ipv4.icmp_echo_ignore_broadcasts="1" 并 修 改/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts的值為1基線(xiàn)符合性判定依據(jù)符合加固要求備注信息隱藏檢查是否設(shè)置ssh登錄前警告Banner安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否設(shè)置ssh登錄前警告Banner安全基線(xiàn)項(xiàng)說(shuō)明檢查是否設(shè)置ssh登錄前警告Banner檢測(cè)與加固步驟1.執(zhí)行如下命令創(chuàng)建sshbanner信息文件：#touch/etc/ssh_banner#chownbin:bin/etc/ssh_banner#chmod644/etc/ssh_banner#echo"您想設(shè)置的信息”>/etc/ssh_banner可根據(jù)實(shí)際需要修改該文件的內(nèi)容。2.修改/etc/ssh/sshd_config文件，添加如下行：Banner/etc/ssh_banner3.重啟sshd服務(wù)：#/etc/init.d/sshdrestart基線(xiàn)符合性判定依據(jù)設(shè)置ssh登錄前警告Banner備注

檢查是否設(shè)置ssh登錄后警告Banner安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否設(shè)置ssh登錄后警告Banner安全基線(xiàn)項(xiàng)說(shuō)明檢查是否設(shè)置ssh登錄后警告Banner檢測(cè)與加固步驟修改文件/etc/motd的內(nèi)容，如沒(méi)有該文件，則創(chuàng)建它。#echo"您想設(shè)置的信息”>/etc/motd根據(jù)實(shí)際需要修改該文件的內(nèi)容基線(xiàn)符合性判定依據(jù)設(shè)置ssh登錄后警告Banner備注檢查是否修改默認(rèn)FTPBanner設(shè)置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否修改默認(rèn)FTPBanner設(shè)置安全基線(xiàn)項(xiàng)說(shuō)明檢查是否修改默認(rèn)FTPBanner設(shè)置檢測(cè)與加固步驟修改vsftp回顯信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根據(jù)實(shí)際需要修改該文件內(nèi)容。重啟服務(wù)：#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件：#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行，確保該行未被注釋。FortunesFile/usr/share/fortune/zippy編輯/usr/share/fortune/zippy文件(如沒(méi)有fortune文件夾或者zippy文件，則新建該文件夾或該文件)：#vi/usr/share/fortune/zippy將自定義BANNER寫(xiě)入其中。重啟服務(wù)：#/etc/init.d/pure-ftpdrestart基線(xiàn)符合性判定依據(jù)修改默認(rèn)FTPBanner設(shè)置備注檢查telnetBanner設(shè)置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查telnetBanner設(shè)置安全基線(xiàn)項(xiàng)說(shuō)明檢查telnetBanner設(shè)置

檢測(cè)與加固步驟修改vsftp回顯信息#vi/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)ftpd_banner="Authorizedusersonly.Allactivitywillbemonitoredandreported.”可根據(jù)實(shí)際需要修改該文件內(nèi)容。重啟服務(wù)：#/etc/init.d/vsftpdrestart2.修改pure-ftp配置文件：#vi/etc/pure-ftpd/pure-ftpd.conf找到以下行，確保該行未被注釋。FortunesFile/usr/share/fortune/zippy編輯/usr/share/fortune/zippy文件(如沒(méi)有fortune文件夾或者zippy文件，則新建該文件夾或該文件)：#vi/usr/share/fortune/zippy將自定義BANNER寫(xiě)入其中。重啟服務(wù)：#/etc/init.d/pure-ftpdrestart基線(xiàn)符合性判定依據(jù)修改默認(rèn)FTPBanner設(shè)置備注服務(wù)端口啟動(dòng)項(xiàng)檢查是否啟用SSH服務(wù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否啟用SSH服務(wù)安全基線(xiàn)項(xiàng)說(shuō)明telnet缺少對(duì)口令和用戶(hù)名的有效保護(hù)措施，所有數(shù)據(jù)采用明文傳輸方式，存在較大安全隱患，ssh采用加密方式保護(hù)用戶(hù)數(shù)據(jù)，數(shù)據(jù)內(nèi)容和用戶(hù)信息更為安全。檢測(cè)與加固步驟使用命令"servicesshdstatus”查看ssh遠(yuǎn)程管理服務(wù)狀態(tài)，如未啟動(dòng)，則使用命令"servicesshdstart”基線(xiàn)符合性判定依據(jù)啟動(dòng)ssh服務(wù)備注檢查是否啟用了talk服務(wù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否啟用了talk服務(wù)安全基線(xiàn)項(xiàng)linux中talk命令參數(shù)程序用于Internet上兩個(gè)用戶(hù)之間進(jìn)行“交談”：通過(guò)鍵說(shuō)明盤(pán)輸入“說(shuō)話(huà)”，通過(guò)看終端屏幕“聆聽(tīng)”。默認(rèn)系統(tǒng)不需要開(kāi)啟talk服務(wù)。

請(qǐng)禁用該服務(wù)。檢測(cè)與加固步驟編輯/etc/xinetd.d/talk文件，將啟用servicetalk的disable屬性值改為yes；如果發(fā)現(xiàn)/08笈達(dá)6144/目錄下包含ntalk文件，同時(shí)將ntalk文件中的disable屬性改為yes?；€(xiàn)符合性判定依據(jù)禁用該服務(wù)備注檢查是否啟用了ntalk服務(wù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否啟用了ntalk服務(wù)安全基線(xiàn)項(xiàng)說(shuō)明ntalk服務(wù)主要用于linux上用戶(hù)之間交談，提供了與talk相同的功能服務(wù)。默認(rèn)系統(tǒng)不需要開(kāi)啟ntalk服務(wù)。請(qǐng)禁用該服務(wù)。檢測(cè)與加固步驟編輯/etc/xinetd.d/ntalk文件，將啟用servicentalk的disable屬性值改為yes?；€(xiàn)符合性判定依據(jù)禁用該服務(wù)備注檢查是否啟用了sendmail服務(wù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否啟用了sendmail服務(wù)安全基線(xiàn)項(xiàng)說(shuō)明sendmail是使用smtp協(xié)議的郵件提交工具，承擔(dān)mta和MDA的作用。后臺(tái)進(jìn)程：sendmail；腳本：/etc/init.d/sendmail；使用端口：25(smtp)；默認(rèn)系統(tǒng)不需開(kāi)啟該服務(wù)。請(qǐng)禁用該服務(wù)。檢測(cè)與加固步驟使用命令"servicesendmailstop”關(guān)閉當(dāng)前sendmail服務(wù)；然后使用命令“chkconfigsendmailoff”關(guān)閉服務(wù)開(kāi)機(jī)自動(dòng)啟動(dòng)。基線(xiàn)符合性判定依據(jù)禁用該服務(wù)備注

禁止root帳戶(hù)登錄FTP(vsftp)安全基線(xiàn)項(xiàng)目名稱(chēng)禁止root帳戶(hù)登錄FTP(vsftp)安全基線(xiàn)項(xiàng)說(shuō)明設(shè)置ftp權(quán)限及訪(fǎng)問(wèn)，限制部分用戶(hù)的ftp訪(fǎng)問(wèn)權(quán)限，一般不允許root帳戶(hù)登錄FTP，需為其分配專(zhuān)用帳戶(hù)檢測(cè)與加固步驟編輯/etc/vsftpd/ftpusers，添加root，以禁止root帳戶(hù)登錄FTP?；€(xiàn)符合性判定依據(jù)符合加固要求備注禁止匿名FTP(vsftp)安全基線(xiàn)項(xiàng)目名稱(chēng)禁止root帳戶(hù)登錄FTP(vsftp)安全基線(xiàn)項(xiàng)說(shuō)明不應(yīng)允許用戶(hù)匿名登錄FTP。檢測(cè)與加固步驟編輯/etc/vsftpd/vsftpd.conf文件(部分計(jì)算機(jī)該文件可能在/etc目錄下)，anonymous_enable屬性值修改為NO?；€(xiàn)符合性判定依據(jù)符合加固要求備注檢查設(shè)備是否已禁用telnet服務(wù)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查設(shè)備是否已禁用telnet服務(wù)安全基線(xiàn)項(xiàng)說(shuō)明telnet缺少對(duì)口令和用戶(hù)名的有效保護(hù)措施，所有數(shù)據(jù)采用明文傳輸方式，存在較大安全隱患，ssh采用加密方式保護(hù)用戶(hù)數(shù)據(jù)，數(shù)據(jù)內(nèi)容和用戶(hù)信息更為安全。檢測(cè)與加固步驟在/etc/services文件中，注釋掉telnet23/tcp一行(如不生效重啟telnetd服務(wù)或xinetd服務(wù)或系統(tǒng))基線(xiàn)符合性判定依據(jù)符合加固要求備注

檢查是否關(guān)閉不必要的服務(wù)和端口安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否關(guān)閉不必要的服務(wù)和端口安全基線(xiàn)項(xiàng)說(shuō)明建議關(guān)閉不必要的端口及服務(wù)檢測(cè)與加固步驟運(yùn)行chkconfig--list查看當(dāng)前服務(wù)并執(zhí)行如chkconfig[--levellevels]kshelloff（注:levels為運(yùn)行級(jí)別,需要重啟機(jī)器）命令關(guān)閉服務(wù)，建議關(guān)閉如下服務(wù)identlprinterlbootpsltftplkshelllkloginldaytimeltimelecholdiscardlchargenlsendmaillntalkllpdlnfslnfslocklypbind基線(xiàn)符合性判定依據(jù)符合加固要求備注文件目錄權(quán)限檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄安全基線(xiàn)項(xiàng)目名稱(chēng)檢查環(huán)境變量目錄下是否存在權(quán)限為777的目錄安全基線(xiàn)項(xiàng)說(shuō)明權(quán)限777意思是該登錄帳戶(hù)、他所在的組和其他人都擁有讀、寫(xiě)、執(zhí)行權(quán)限，該權(quán)限為最高權(quán)限。環(huán)境變量目錄下不應(yīng)存在該權(quán)限目錄。檢測(cè)與加固步驟輸入命令ls-l'echo$PATH1tr": 2>/dev/nulll grepdrw[xsS]rw[xsS]rw[xsS]查看環(huán)境變量中是否有777權(quán)限目錄，并使用“chmod+相應(yīng)權(quán)限+文件/目錄”修改目錄權(quán)限。基線(xiàn)符合性判定依據(jù)不存在權(quán)限為777的目錄備注檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件安全基線(xiàn)項(xiàng)目名稱(chēng)檢查環(huán)境變量目錄下是否存在權(quán)限為777的文件

安全基線(xiàn)項(xiàng)說(shuō)明權(quán)限777意思是該登錄帳戶(hù)、他所在的組和其他人都擁有讀、寫(xiě)、執(zhí)行權(quán)限，該權(quán)限為最高權(quán)限。環(huán)境變量目錄下不應(yīng)存在該權(quán)限文件。檢測(cè)與加固步驟輸入命令ls-l'echo$PATH1tr": 2>/dev/nulll grep[Ad]rw[xsS]rw[xsS]rw[xsS]Iwc-l查看環(huán)境變量中是否有777權(quán)限文件，并使用“chmod+相應(yīng)權(quán)限+文件/目錄”修改文件權(quán)限?；€(xiàn)符合性判定依據(jù)不存在權(quán)限為777的文件備注檢查是否存在權(quán)限不安全的重要日志文件安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否存在權(quán)限不安全的重要日志文件安全基線(xiàn)項(xiàng)說(shuō)明檢查是否存在權(quán)限大于640的重要日志文件，日志文件中經(jīng)常會(huì)記錄用戶(hù)操作等敏感信息，應(yīng)嚴(yán)格限制重要日志文件的訪(fǎng)問(wèn)權(quán)限。檢測(cè)與加固步驟查看/etc/syslog.conf或/etc/rsyslog.conf文件中日志目錄配置情況，使用ls-1+目錄查看文件權(quán)限是否錯(cuò)誤，如果存在其他權(quán)限的日志文件，則使用命令“chmod640+日志文件”修改日志文件權(quán)限基線(xiàn)符合性判定依據(jù)日志文件權(quán)限應(yīng)為640備注檢查系統(tǒng)當(dāng)前的umask安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)當(dāng)前的umask安全基線(xiàn)項(xiàng)說(shuō)明系統(tǒng)umask設(shè)置，規(guī)范用戶(hù)對(duì)目錄和文件的操作，umask設(shè)置不當(dāng)可能導(dǎo)致某些應(yīng)用無(wú)法正確自動(dòng)創(chuàng)建目錄或文件，從而運(yùn)行異常。一般默認(rèn)為0022檢測(cè)與加固步驟輸入umask命令查看umask值，如果值不為0022，則使用命令umask0022修正基線(xiàn)符合性判定依據(jù)0022

備注檢查擁有suid和sgid權(quán)限的文件安全基線(xiàn)項(xiàng)目名稱(chēng)檢查擁有suid和sgid權(quán)限的文件安全基線(xiàn)項(xiàng)說(shuō)明檢查擁有suid和sgid權(quán)限的文件是否存在異常檢測(cè)與加固步驟執(zhí)行命令：find/usr/bin/chage/usr/bin/gpasswd/usr/bin/wall/usr/bin/chfn/usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl/usr/sbin/traceroute/bin/mount/bin/umount/bin/ping/sbin/netreport-typef-perm+60002>/dev/null如果存在輸出結(jié)果，則使用chmod755文件名命令修改文件的權(quán)限。例如：chmoda-s/usr/bin/chage基線(xiàn)符合性判定依據(jù)擁有suid和sgid權(quán)限的文件權(quán)限為755備注檢查用5「小訪(fǎng)/目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查/亞死血目錄下可執(zhí)行文件的擁有者屬性是否合規(guī)安全基線(xiàn)項(xiàng)說(shuō)明檢查/usr/bin/目錄下的可執(zhí)行文件的擁有者屬性，當(dāng)可執(zhí)行文件設(shè)置s屬性時(shí)，執(zhí)行時(shí)可以獲取其擁有者的權(quán)限檢測(cè)與加固步驟找出/ml/加出目錄下所有含有“s”屬性的文件，才把不必要的“s”屬性去掉，或者把不用的直接刪除。#find/usr/bin-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;#chmoda-sfilename基線(xiàn)符合性判定依據(jù)/usr/bin目錄下的文件不具有s屬性備注

訪(fǎng)問(wèn)權(quán)限檢查FTP用戶(hù)上傳的文件所具有的權(quán)限安全基線(xiàn)項(xiàng)目名稱(chēng)檢查FTP用戶(hù)上傳的文件所具有的權(quán)限安全基線(xiàn)項(xiàng)說(shuō)明檢查FTP用戶(hù)上傳的文件所具有的權(quán)限檢測(cè)與加固步驟如果系統(tǒng)使用vsftp：修改/etc/vsftpd.conf（或者為/etc/vsftpd/vsftpd.conf）#vi/etc/vsftpd.conf確保以下行未被注釋掉，如果沒(méi)有該行，請(qǐng)?zhí)砑樱簑rite_enable=YES〃允許上傳。如果不需要上傳權(quán)限，此項(xiàng)可不進(jìn)行更改。ls_recurse_enable=YESlocal_umask=022//設(shè)置用戶(hù)上傳文件的屬性為755anon_umask=022〃匿名用戶(hù)上傳文件（包括目錄）的umask重啟網(wǎng)絡(luò)服務(wù)#/etc/init.d/vsftpdrestart如果系統(tǒng)使用pure-ftp修改/etc/pure-ftpd/pure-ftpd.conf#vi/etc/pure-ftpd/pure-ftpd.conf確保以下行未被注釋掉，如果沒(méi)有該行，請(qǐng)?zhí)砑樱篣mask177:077重啟ftp服務(wù)#/etc/init.d/pure-ftpdrestart基線(xiàn)符合性判定依據(jù)根據(jù)實(shí)際情況配置備注檢查系統(tǒng)是否啟用了sudo命令安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)是否啟用了sudo命令安全基線(xiàn)項(xiàng)說(shuō)明sudo是linux系統(tǒng)管理指令，是允許系統(tǒng)管理員讓普通用戶(hù)執(zhí)行一些或者全部的root命令的一個(gè)工具，如halt，reboot，su等等。這樣不僅減少了root用戶(hù)的登錄和管理時(shí)間，同樣也提高了安全性。sudo不是對(duì)shell的一個(gè)代替，它是面向每個(gè)命令的。它的特性主要有這樣幾點(diǎn)：sudo能夠限制用戶(hù)只在某臺(tái)主機(jī)上運(yùn)行某些命令。sudo提供了豐富的日志，詳細(xì)地記錄了每個(gè)用戶(hù)干了什么。它能夠?qū)⑷罩緜鞯街行闹鳈C(jī)或者日志服務(wù)器。

sudo使用時(shí)間戳文件來(lái)執(zhí)行類(lèi)似的“檢票”系統(tǒng)。當(dāng)用戶(hù)調(diào)用sudo并且輸入它的密碼時(shí)，用戶(hù)獲得了一張存活期為5分鐘的票（這個(gè)值可以在編譯的時(shí)候改變）。sudo的配置文件是sudoers文件，它允許系統(tǒng)管理員集中的管理用戶(hù)的使用權(quán)限和使用的主機(jī)。它所存放的位置默認(rèn)是在/etc/sudoers，屬性必須為0440。檢測(cè)與加固步驟系統(tǒng)支持sudo基線(xiàn)符合性判定依據(jù)系統(tǒng)支持sudo備注檢查系統(tǒng)是否允許root帳戶(hù)ssh遠(yuǎn)程登錄安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)是否允許root帳戶(hù)ssh遠(yuǎn)程登錄安全基線(xiàn)項(xiàng)說(shuō)明不推薦使用root帳戶(hù)直接遠(yuǎn)程登錄，請(qǐng)根據(jù)使用需要，配置帳戶(hù)權(quán)限檢測(cè)與加固步驟編輯/etc/ssh/sshd_config文件，修改PermitRootLogin值為no；基線(xiàn)符合性判定依據(jù)不允許root帳戶(hù)ssh遠(yuǎn)程登錄備注檢查系統(tǒng)是否允許root帳戶(hù)telnet遠(yuǎn)程登錄安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)是否允許root帳戶(hù)telnet遠(yuǎn)程登錄安全基線(xiàn)項(xiàng)說(shuō)明不推薦使用root帳戶(hù)直接遠(yuǎn)程登錄，請(qǐng)根據(jù)使用需要，配置帳戶(hù)權(quán)限檢測(cè)與加固步驟編輯/etc/pam.d/login文件，添加行"authrequiredpam_securetty.so?；€(xiàn)符合性判定依據(jù)不允許root帳戶(hù)遠(yuǎn)程登錄備注

檢查是否綁定可訪(fǎng)問(wèn)主機(jī)的ip或ip段安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否綁定可訪(fǎng)問(wèn)主機(jī)的ip或ip段安全基線(xiàn)項(xiàng)說(shuō)明啟動(dòng)ssh遠(yuǎn)程服務(wù)后應(yīng)限定可以遠(yuǎn)程連接服務(wù)器的IP或IP段，提高安全性。檢測(cè)與加固步驟編輯/etc/hosts.allow，添加或修改語(yǔ)句“sshd:+允許的IP+:allow”實(shí)現(xiàn)允許某個(gè)ip使用ssh連接訪(fǎng)問(wèn)。基線(xiàn)符合性判定依據(jù)指定特定IP或網(wǎng)段備注檢查是否允許所有ip訪(fǎng)問(wèn)主機(jī)安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否允許所有ip訪(fǎng)問(wèn)主機(jī)安全基線(xiàn)項(xiàng)說(shuō)明應(yīng)限制遠(yuǎn)程訪(fǎng)問(wèn)主機(jī)的IP范圍，不應(yīng)允許所有主機(jī)訪(fǎng)問(wèn)檢測(cè)與加固步驟編輯/etc/hosts.allow，刪除“sshd:All”?；€(xiàn)符合性判定依據(jù)不出現(xiàn)sshd:All關(guān)鍵字備注hosts.deny文件設(shè)置sshd：All安全基線(xiàn)項(xiàng)目名稱(chēng)hosts.deny文件設(shè)置sshd：All安全基線(xiàn)項(xiàng)說(shuō)明應(yīng)限制遠(yuǎn)程訪(fǎng)問(wèn)主機(jī)的IP范圍，不應(yīng)允許所有主機(jī)訪(fǎng)問(wèn)檢測(cè)與加固步驟編輯/etc/hosts.deny，刪除“sshd:All”?；€(xiàn)符合性判定依據(jù)出現(xiàn)sshd:All關(guān)鍵字備注

其他安全配置檢查登錄超時(shí)鎖定時(shí)間安全基線(xiàn)項(xiàng)目名稱(chēng)檢查登錄超時(shí)鎖定時(shí)間安全基線(xiàn)項(xiàng)說(shuō)明系統(tǒng)登錄一段時(shí)間后如果不進(jìn)行任何操作，將會(huì)登錄鎖定的時(shí)間。登錄鎖定后需要重新輸入用戶(hù)名、密碼驗(yàn)證登錄。檢測(cè)與加固步驟以root帳戶(hù)執(zhí)行，vi/etc/profile,增加exportTMOUT=600（單位：秒，可根據(jù)具體情況設(shè)定超時(shí)退出時(shí)間，要求不小于600秒），注銷(xiāo)用戶(hù)，再用該用戶(hù)登錄激活該功能基線(xiàn)符合性判定依據(jù)不小于600秒備注檢查root用戶(hù)的PATH環(huán)境變量是否包含相對(duì)路徑安全基線(xiàn)項(xiàng)目名稱(chēng)檢查root用戶(hù)的PATH環(huán)境變量是否包含相對(duì)路徑安全基線(xiàn)項(xiàng)說(shuō)明當(dāng)環(huán)境變量中包含"."或者"..”項(xiàng)時(shí)，可能會(huì)發(fā)生難以預(yù)知的危險(xiǎn)檢測(cè)與加固步驟修改文件/etc/profile或/root/.bash_profile在環(huán)境變量$PATH中刪除包含（.和..）的路徑基線(xiàn)符合性判定依據(jù)Root用戶(hù)環(huán)境變量中不包含相對(duì)路徑備注檢查root用戶(hù)的PATH環(huán)境變量是否包含相對(duì)路徑安全基線(xiàn)項(xiàng)目名稱(chēng)檢查root用戶(hù)的PATH環(huán)境變量是否包含相對(duì)路徑安全基線(xiàn)項(xiàng)說(shuō)明當(dāng)環(huán)境變量中包含"."或者"..”項(xiàng)時(shí)，可能會(huì)發(fā)生難以預(yù)知的危險(xiǎn)檢測(cè)與加固步驟修改文件/etc/profile或/root/.bash_profile在環(huán)境變量$PATH中刪除包含（.和..）的路徑

基線(xiàn)符合性判定依據(jù)Root用戶(hù)環(huán)境變量中不包含相對(duì)路徑備注檢查ssh協(xié)議是否使用ssh2安全基線(xiàn)項(xiàng)目名稱(chēng)檢查ssh協(xié)議是否使用ssh2安全基線(xiàn)項(xiàng)說(shuō)明檢查openssh相關(guān)配置文件中是否已配置所使用的協(xié)議為較高協(xié)議版本檢測(cè)與加固步驟1.確保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在，貝U忽略下面配置步驟。2.在sshd_config或sshd2_config中配置：Protocol2基線(xiàn)符合性判定依據(jù)使用ssh2版本備注檢查啟用系統(tǒng)coredump設(shè)置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查啟用系統(tǒng)coredump設(shè)置安全基線(xiàn)項(xiàng)說(shuō)明任務(wù)發(fā)生異常時(shí)需要記錄遺言信息，因此需要記錄coredump文件。檢測(cè)與加固步驟編輯/etc/security/limits.conf文件，在文件末尾加上"*softcore0"與"*hardcore0"基線(xiàn)符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否修改snmp默認(rèn)團(tuán)體字安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否修改snmp默認(rèn)團(tuán)體字安全基線(xiàn)項(xiàng)建議用戶(hù)修改這兩個(gè)缺省字符串。否則攻擊者將可以通過(guò)SNMP協(xié)議修改設(shè)說(shuō)明備的設(shè)定檢測(cè)與加固編輯/etc/snmp/snmpd.conf，修改private與public默認(rèn)團(tuán)體字為用戶(hù)自定義團(tuán)步驟體字

基線(xiàn)符合性判定依據(jù)根據(jù)加固要求配置備注檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線(xiàn)項(xiàng)目名稱(chēng)檢查系統(tǒng)是否禁用ctrl+alt+del組合鍵安全基線(xiàn)項(xiàng)說(shuō)明若用戶(hù)未禁用ctrl+alt+del組合鍵，則可通過(guò)ctrl+alt+del組合鍵所關(guān)聯(lián)內(nèi)容進(jìn)行惡意操作檢測(cè)與加固步驟編輯/etc/inittab，注釋含"ca::ctrlaltdel:*****"（*****為配置內(nèi)容）內(nèi)容的行之后重啟系統(tǒng)基線(xiàn)符合性判定依據(jù)根據(jù)加固要求配置備注檢查是否關(guān)閉系統(tǒng)信任機(jī)制安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否關(guān)閉系統(tǒng)信任機(jī)制安全基線(xiàn)項(xiàng)說(shuō)明在信任地址列表中的來(lái)訪(fǎng)用戶(hù)可不用提供口令就在本地計(jì)算機(jī)上執(zhí)行遠(yuǎn)程命令，如rexec，rcp，rlogin等等檢測(cè)與加固步驟1.執(zhí)行命令find/-maxdepth2-namehosts.equiv也2.進(jìn)入至1」.hosts.equiv文件存在的目錄也3.執(zhí)行命令：mvhosts.equivhosts.equiv.bak。并以上述一樣的方式處理rhosts文件基線(xiàn)符合性判定依據(jù)根據(jù)加固要求配置備注檢查記錄歷史命令條數(shù)設(shè)置安全基線(xiàn)項(xiàng)目名稱(chēng)檢查記錄歷史命令條數(shù)設(shè)置安全基線(xiàn)項(xiàng)說(shuō)明當(dāng)設(shè)置了歷史命令條數(shù)，系統(tǒng)將保留最近設(shè)置的指定條數(shù)的命令

檢測(cè)與加固步驟編輯文件/etc/profile，修改配置HISTSIZE=10基線(xiàn)符合性判定依據(jù)大于等于10備注檢查是否刪除了潛在危險(xiǎn)文件安全基線(xiàn)項(xiàng)目名稱(chēng)檢查是否刪除了潛在危險(xiǎn)文件安全基線(xiàn)項(xiàng)說(shuō)明檢查是否刪除了潛在危險(xiǎn)文件檢測(cè)與加固步驟模板條目：是否刪除hosts.equiv文件配置方法：1.執(zhí)行命令find/-maxdepth3-namehosts.equiv2>/dev/null2.進(jìn)入至Uhosts.equiv文件存在的目錄3.執(zhí)行命令：mvhosts.equivhosts.equiv.bak模板條目：是否刪除.rhosts文件配置方法：1.執(zhí)行命令find/-maxdepth3-name.rhosts2>/dev/null2.進(jìn)入到.rhosts文件存在的目錄3.執(zhí)行命令：mv.rhosts.rhosts.bak模板條目：是否刪除.netrc文件配置方法：1.執(zhí)行命令find/-rc2>/dev/null2.進(jìn)入到.netrc文件存在的目錄3.執(zhí)行命令：rc.bak基線(xiàn)符合性判定依據(jù)根據(jù)加固要求配置備注檢查磁盤(pán)使用率安全基線(xiàn)項(xiàng)目名稱(chēng)檢查磁盤(pán)使用率安全基