Linux系統(tǒng)安全配置指南(基線(xiàn))

Linux系統(tǒng)安全配置指南（基線(xiàn)）中國(guó)聯(lián)通內(nèi)網(wǎng)1皿口某系統(tǒng)安全配置指南（試行）2022-07-24發(fā)布2022-07-24實(shí)施中國(guó)聯(lián)通公司發(fā)布中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口目錄 II1范圍 12定義與縮略語(yǔ) 12.1縮略語(yǔ) 13安全配置要求 13.1權(quán)限與審計(jì)功能配置 13.1.1用戶(hù)帳號(hào)設(shè)置 13.1.2用戶(hù)組設(shè);ij; 13.1.3所有用戶(hù)審計(jì) 13.1.4Root用戶(hù)遠(yuǎn)程登錄限制 23.1.5pawdhadowgroup文件安全性 23.1.6是否存在除root之外UID為0的用戶(hù) 23.1.7用戶(hù)環(huán)境變量的安全性 23.1.8遠(yuǎn)程連接的安全性配 33.1.9用戶(hù)的umak安全配 33.2文件系統(tǒng) 33.2.1.重要目錄和文件的權(quán)限設(shè)置 33.2.2.查找未授權(quán)的SUID/SGID文件 33.2.3.查找沒(méi)有包含粘性位的任何人都有寫(xiě)權(quán)限的目錄 43.2.4.查找任何人都有寫(xiě)權(quán)限的文件 43.2.5.沒(méi)有屬主的文件 43.2.6.異常隱含文件 43.3網(wǎng)絡(luò)與服務(wù) 53.3.1.檢查某inetd中基本網(wǎng)絡(luò)服務(wù)配置 53.3.2.只在必需NFS時(shí)，才開(kāi)啟NFS 53.3.3.常規(guī)網(wǎng)絡(luò)服務(wù) 53.4日志審計(jì) 63.4.1.at/cron任務(wù)授權(quán) 63.4.2.登錄事件記錄 63.4.3.ylog.conf酉己 63.5系統(tǒng)文件 63.5.1.系統(tǒng)磁盤(pán)狀態(tài) 63.5.2.coredump狀態(tài) 64評(píng)審與修訂 6I中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口、乙、▲前言33為確保中國(guó)聯(lián)通信息系統(tǒng)的網(wǎng)絡(luò)支撐和內(nèi)網(wǎng)信息安全，指導(dǎo)各省級(jí)分公司做好基于Linu某系統(tǒng)的安全維護(hù)相關(guān)工作，在研究國(guó)際先進(jìn)企業(yè)最佳實(shí)踐的基礎(chǔ)上，結(jié)合中國(guó)聯(lián)通內(nèi)網(wǎng)信息安全現(xiàn)狀和實(shí)際需求，特制定本配置指南。本文檔由中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司管理信息系統(tǒng)部提出并歸口管理。本文檔起草單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司、系統(tǒng)集成公司。本文檔主要起草人：胡松，欒文魁。本文檔解釋單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司管理信息系統(tǒng)部。II中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口1范圍本指南規(guī)定了中國(guó)聯(lián)通范圍內(nèi)安裝有Linu某系統(tǒng)的服務(wù)器應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本指南旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Linu某系統(tǒng)的安全配置。本指南適用版本：Linu某系統(tǒng)口本指南的適用范圍為中國(guó)聯(lián)通集團(tuán)總部、各直屬單位、各省級(jí)分公司。2定義與縮略語(yǔ)2.1縮略語(yǔ)下列縮略語(yǔ)適用于本指南：術(shù)語(yǔ)及縮寫(xiě)NFS口安全配置要求英文NetworkFileSytem中文網(wǎng)絡(luò)文件系統(tǒng)權(quán)限與審計(jì)功能配置用戶(hù)帳號(hào)設(shè)置配置項(xiàng)名稱(chēng)用戶(hù)帳號(hào)設(shè)置1、執(zhí)行：more/etc/pawd查看是否存在以下可能無(wú)用的帳號(hào)：uucpnuucplpdguetprintq同時(shí)檢查是否對(duì)所有用戶(hù)授予了合理的home目錄。2、執(zhí)行：l-l/etc/pawd檢查/etc/pawd文件屬性設(shè)置是否為644建議刪除所有無(wú)用的帳號(hào)給相關(guān)文件配置合理的權(quán)限，配置口令文件屬性，執(zhí)行：$chmod644/etc/pawd$#chmod600/etc/group用戶(hù)組設(shè)置用戶(hù)組設(shè)置1、執(zhí)行：more/etc/group檢查用戶(hù)組的設(shè)置情況，查看是否存在以下可能無(wú)用的用戶(hù)組：uucpprintq2、執(zhí)行：l-l/etc/group檢查/etc/group文件屬性設(shè)置是否為6441、建議刪除不必要的用戶(hù)組2、為用戶(hù)組文件配置安全屬性，執(zhí)行：$chmod700/etc/group所有用戶(hù)審計(jì)審計(jì)功能是否對(duì)所有用戶(hù)都有效1操作步驟安全建議備注3.1.2配置項(xiàng)名稱(chēng)操作步驟安全建議備注配置項(xiàng)名稱(chēng)中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口操作步驟調(diào)用SAM,執(zhí)行：/ur/bin/am選擇：AuditingandSecurity選擇：Uer查看審計(jì)功能是否對(duì)所有的用戶(hù)都有效。如果不是，檢查審計(jì)功能無(wú)效的用戶(hù)賬號(hào)。系統(tǒng)所有用戶(hù)的審計(jì)功能都應(yīng)被開(kāi)啟（在“LoginAudited”一欄中顯示“NO”則表示該用戶(hù)未被有效審計(jì)）系統(tǒng)默認(rèn)會(huì)審計(jì)所有用戶(hù)，但是單獨(dú)某個(gè)用戶(hù)的審計(jì)功能可以被禁用Root用戶(hù)遠(yuǎn)程登錄限制Root用戶(hù)遠(yuǎn)程登錄限制執(zhí)行：more/etc/ecuretty檢查是否有下列參數(shù)Conole禁止root用戶(hù)直接登錄系統(tǒng)禁止root用戶(hù)直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度。pawdhadowgroup文件安全性pawdgroup文件安全性配置1、執(zhí)行：l-l/etc/pawd/etc/hadow/etc/group,查看文件權(quán)限狀態(tài)2、執(zhí)行：grep^+：/etc/pawd/etc/hadow/etc/group,查看文件中是否包含"+”。返回值應(yīng)為空更改文件權(quán)限，執(zhí)行chmodo-w/etc/pawd/etc/hadow/etc/group刪除文件中的"+"條目有“+”條目的文件允許通過(guò)NISMap中系統(tǒng)配置的某些點(diǎn)插入數(shù)據(jù)，pawdhadowgroup文件中如包含此條目，可能會(huì)使入侵者通過(guò)網(wǎng)絡(luò)添加用戶(hù)。是否存在除root之外UID為0的用戶(hù)檢查是否存在除root之外UID為0的用戶(hù)執(zhí)行:awk-F:'($3==0){print$1}'/etc/pawd返回值應(yīng)只有root保證只有root用戶(hù)的UID為0UID為0的任何用戶(hù)都擁有系統(tǒng)的最高特權(quán)用戶(hù)環(huán)境變量的安全性root用戶(hù)環(huán)境變量的安全性執(zhí)行：echo$PATH|egrep'(1:)(\\.|:|$)',檢查是否包含父目錄，執(zhí)行：find'echo$PATH|tr':''''-typed\\(-perm-002-o-perm-020\\)T,檢查是否包含組目錄權(quán)限為777的目錄確保root用戶(hù)的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄。可能某些應(yīng)用需要目錄提供777權(quán)限安全建議備注配置項(xiàng)名稱(chēng)操作步驟安全建議備注3.1.5配置項(xiàng)名稱(chēng)操作步驟安全建議備注配置項(xiàng)名稱(chēng)操作步驟安全建議備注配置項(xiàng)名稱(chēng)操作步驟安全建議備注2中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口3.1.8配置項(xiàng)名稱(chēng)操作步驟安全建議備注3.1.9配置項(xiàng)名稱(chēng)操作步驟安全建議備注遠(yuǎn)程連接的安全性配置遠(yuǎn)程連接的安全性配置執(zhí)行：find/-rc,檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find/-name.rhot，檢查系統(tǒng)中是否有.rhot文件如無(wú)必要，刪除這兩個(gè)文件可能某些應(yīng)用需要使用遠(yuǎn)程連接用戶(hù)的umak安全配置用戶(hù)的umak安全配置執(zhí)行：more/etc/profilemore/etc/ch.loginmore/etc/ch.chrcmore/etc/bahrc檢查是否包含umak值建議設(shè)置用戶(hù)的默認(rèn)umak=077使用合適的umak可提高系統(tǒng)安全性3.2文件系統(tǒng)重要目錄和文件的權(quán)限設(shè)置配置項(xiàng)名稱(chēng)重要目錄和文件的權(quán)限設(shè)置執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：l-l/etc/l-l/etc/rc.d/init.d/l-l/tmpl-l/etc/inetd.confl-l/etc/pawdl-l/etc/hadowl-l/etc/groupl-l/etc/ecurityl-l/etc/ervicel一l/etc/rc某.d對(duì)于重要目錄，建議執(zhí)行如下類(lèi)似操作：#chmod-R750/etc/rc.d/init.d/某這樣只有root可以讀、寫(xiě)和執(zhí)行這個(gè)目錄下的腳本。操作步驟安全建議備注查找未授權(quán)的SUID/SGID文件配置項(xiàng)名稱(chēng)SUID/SGID文件用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin'grep-v"#/etc/ftab|awk'($6!=\find$PART\\(-perm-04000-o-perm-02000\\)-typef-某dev-printdone建議經(jīng)常性的對(duì)比uid/gid文件列表，以便能夠及時(shí)發(fā)現(xiàn)可疑的后門(mén)程序。系統(tǒng)中SUID和SGID文件很有可能成為安全隱患，必須被嚴(yán)密監(jiān)控。因?yàn)檫@些程序都給執(zhí)行它的用戶(hù)一些特權(quán)，所以要確保危險(xiǎn)的SUID程序沒(méi)有被安裝。3操作步驟安全建議備注中國(guó)聯(lián)通內(nèi)網(wǎng)1皿口某系統(tǒng)安全配置指南口黑客常常利用SUID程序，故意留下一個(gè)SUID的程序作為下次進(jìn)入系統(tǒng)的后門(mén)。注意系統(tǒng)中所有的SUID和SGID的程序，并跟蹤它們，這樣可盡早發(fā)現(xiàn)入侵者。查找沒(méi)有包含粘性位的任何人都有寫(xiě)權(quán)限的目錄配置項(xiàng)名稱(chēng)檢查任何人都有寫(xiě)權(quán)限的目錄在系統(tǒng)中定位任何人都有寫(xiě)權(quán)限的目錄用下面的命令：forPARTin'awk'($3==\{print$2}'/etc/ftab';dofind$PART-某dev-typed\\(-perm-0002-a!-permT000\\)-printdone返回值應(yīng)為空按實(shí)際需求更改權(quán)限，檢查哪些目錄是任何人都具備寫(xiě)操作權(quán)限并且沒(méi)有粘性位。操作步驟安全建議備注查找任何人都有寫(xiě)權(quán)限的文件配置項(xiàng)名稱(chēng)查找任何人都有寫(xiě)權(quán)限的文件在系統(tǒng)中定位任何人都有寫(xiě)權(quán)限的文件用下面的命令：forPARTin'grep-J#/etc/ftab|awk'($6!=\find$PART-某dev-typef\\(一perm-0002-a!-permT000\\)-printdone按實(shí)際需求更改權(quán)限，執(zhí)行：chmodo-w文件名操作步驟安全建議備注口沒(méi)有屬主的文件配置項(xiàng)名稱(chēng)檢查沒(méi)有屬主的文件定位系統(tǒng)中沒(méi)有屬主的文件用下面的命令：forPARTin'grep-v"#/etc/ftab|awk'($6!=\find$PART-nouer-o-nogroup-printdone注意：不用管“代《丫”目錄下的那些文件。建議嚴(yán)格審查所有無(wú)屬主的可疑文件。發(fā)現(xiàn)沒(méi)有屬主的文件往往就意味著有黑客入侵你的系統(tǒng)了。不能允許沒(méi)有屬主的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒(méi)有屬主的文件或目錄，先查看它的完整性，如果一切正常，給它一個(gè)屬主。有時(shí)候卸載程序可能會(huì)出現(xiàn)一些沒(méi)有屬主的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。操作步驟安全建議備注3.2.6.異常隱含文件配置項(xiàng)名稱(chēng)異常隱含文件在系統(tǒng)的每個(gè)地方都要查看一下有沒(méi)有異常隱含文件(點(diǎn)號(hào)是起始字符的，用“l(fā)”命令看不到的文件)，因?yàn)檫@些文件可能是隱藏的黑客工具或者其它一些信息(口令破解程序、其它系統(tǒng)的口令文件，等等)。在UNI某下，一個(gè)常用的技術(shù)就是用一些特殊的名，如：“…”、”..”（點(diǎn)點(diǎn)空格）或“.「G”（點(diǎn)點(diǎn)control-G）,4操作步驟中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口來(lái)隱含文件或目錄。用“find”程序可以查找到這些隱含文件。例如:#find/-name\-某dev#find/-name\-print-某dev|cat-v同時(shí)也要注意象".某某”和“.mail”這樣的文件名的。（這些文件名看起來(lái)都很象正常的文件名）安全建議備注建議嚴(yán)格審查系統(tǒng)中的異常隱含文件3.3網(wǎng)絡(luò)與服務(wù)只在必需NFS時(shí)，才開(kāi)啟NFS配置項(xiàng)名稱(chēng)操作步驟安全建議備注常規(guī)網(wǎng)絡(luò)服務(wù)配置項(xiàng)名稱(chēng)常規(guī)網(wǎng)絡(luò)服務(wù)詢(xún)問(wèn)管理員或執(zhí)行以下操作檢查系統(tǒng)運(yùn)行那些常規(guī)網(wǎng)絡(luò)服務(wù)，并記錄各類(lèi)服務(wù)的服務(wù)系統(tǒng)軟件類(lèi)型和版本，對(duì)于運(yùn)行的服務(wù)，提取相關(guān)配置文件信息：telnetlocalhot80telnetlocalhot25telnetlocalhot110telnetlocalhot143telnetlocalhot443telnetlocalhot21確保web/mail/ftp等常規(guī)網(wǎng)絡(luò)服務(wù)的運(yùn)行正常只在必需NFS時(shí)，才開(kāi)啟NFS執(zhí)行：chkconfig--level345nfon起用NFSchkconfig一level345nfoff停用NFS如非必要，建議停止NFS°Linu某默認(rèn)停止NFS在不需要的情況下，不啟用NFS操作步驟安全建議備注5中國(guó)聯(lián)通內(nèi)網(wǎng)Linu某系統(tǒng)安全配置指南口3.4日志審計(jì)at/cron任務(wù)授權(quán)配置項(xiàng)名稱(chēng)操作步驟安全建議備注口系統(tǒng)磁盤(pán)狀態(tài)配置項(xiàng)名稱(chēng)操作步驟安全建議備注coredu