绿盟Linux安全配置基线(共15页).doc
《绿盟Linux安全配置基线(共15页).doc》由会员分享,可在线阅读,更多相关《绿盟Linux安全配置基线(共15页).doc(15页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上Linux 系统安全配置基线 绿盟2009年 3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录专心-专注-专业第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:中国移动总部和
2、各省公司信息化部门维护管理的LINUX 服务器系统。1.3 适用版本LINUX系列服务器;1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 账号管理、认证授权2.1 账号2.1.1 用户口令设置安全基线项目名称操作系统Linux用户口令安全基线要求项安全基线编号SBL-Linux-02-01-01 安全基线项说明 帐号与口令-用户口令设置检测操作步骤1、询问管
3、理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root12342、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行:awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令账号基线符合性判定依据建议在/etc/login文件中配置:PASS_MIN_LEN=6不允许存在简单密码,密码设置符合策略,如长度至少为6不存在空口令账号备注2.1.2 root用户远程登录限制安全基线项目名称操作系统L
4、inux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-02 安全基线项说明 帐号与口令-root用户远程登录限制检测操作步骤执行:more /etc/securetty,检查Console参数基线符合性判定依据建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01备注2.1.3 检查是否存在除root之外UID为0的用户安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-03 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行:awk -F: ($3 =
5、0) print $1 /etc/passwd基线符合性判定依据返回值包括“root”以外的条目,则低于安全要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为02.1.4 root用户环境变量的安全性安全基线项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线编号SBL-Linux-02-01-04 安全基线项说明 帐号与口令-root用户环境变量的安全性检测操作步骤执行:echo $PATH | egrep (|:)(.|:|$),检查是否包含父目录,执行:find echo $PATH | tr : -type d ( -perm -
6、002 -o -perm -020 ) -ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录2.2 认证2.2.1 远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线编号SBL-Linux-02-02-01 安全基线项说明 帐号与口令-远程连接的安全性配置检测操作步骤执行:find / -name .netrc,检查系统中是否有.netrc文件,执行:find / -name .rhosts ,检查系统中是否有.
7、rhosts文件基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明如无必要,删除这两个文件2.2.2 用户的umask安全配置安全基线项目名称操作系统Linux用户umask安全基线要求项安全基线编号SBL-Linux-02-02-02 安全基线项说明 帐号与口令-用户的umask安全配置检测操作步骤执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值基线符合性判定依据umask值是默认的,则低于安全要求备注补充操作说明建议设置用户的默认umask=
8、0772.2.3 重要目录和文件的权限设置安全基线项目名称操作系统Linux目录文件权限安全基线要求项安全基线编号SBL-Linux-02-02-03 安全基线项说明 文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况:ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基线符合性判定依据若权限
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 安全 配置 基线 15
限制150内