Linux安全配置基线.doc
《Linux安全配置基线.doc》由会员分享,可在线阅读,更多相关《Linux安全配置基线.doc(34页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、+ 杭州安恒信息技术有限公司杭州安恒信息技术有限公司 LinuxLinux 系统安全配置基线系统安全配置基线 杭州安恒信息技术有限公司杭州安恒信息技术有限公司 2016 年 12 月 + 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 第第 2 章章本地策略本地策略.2 2.1帐户与口令检查策略.2 2.1.1检查系统中是否存在口令为空的帐户 .2 2.1.2检查系统中是否存在 UID 与ROOT帐户相同的帐户.2 2.1.3检查是否按用户分配帐号 .2 2.1.4检查密码最小长度 .3 2.1.5检查密码过期时间 .3 2.1.6检查密码最大重试次数 .3 2.1
2、.7检查是否配置口令复杂度策略 .4 2.1.8检查是否设置系统引导管理器密码 .4 2.1.9检查口令过期前警告天数 .5 2.1.10检查口令更改最小间隔天数 .5 2.1.11检查是否使用 PAM 认证模块禁止WHEEL组之外的用户SU为ROOT.5 2.1.12检查密码重复使用次数限制 .6 2.2日志配置.6 2.2.1检查系统是否开启了日志功能 .6 2.2.2检查系统是否开启了日志审计功能 .7 2.2.3检查是否对登录进行日志记录 .7 2.2.4检查是否记录用户对设备的操作 .7 2.2.5检查SYSLOG-NG是否配置安全事件日志.8 2.2.6检查RSYSLOG是否配置安
3、全事件日志.8 2.2.7检查SYSLOG是否配置安全事件日志.9 2.2.8检查是否配置SU命令使用情况记录.9 2.2.9检查是否配置远程日志功能 .9 2.2.10检查是否启用CRON行为日志功能.10 2.2.11检查审计日志默认保存时间是否符合规范 .11 2.3系统内核配置.11 2.3.1检查系统内核参数配置-是否禁止ICMP源路由 .11 2.3.2检查系统内核参数配置-是否禁止ICMP重定向报文 .11 2.3.3检查系统内核参数配置-SEND_REDIRECTS配置.12 2.3.4检查系统内核参数配置-IP_FORWARD配置 .12 2.3.5检查系统内核参数配置ICM
4、P_ECHO_IGNORE_BROADCASTS配置.13 2.4信息隐藏.13 2.4.1检查是否设置SSH登录前警告 BANNER.13 2.4.2检查是否设置SSH登录后警告 BANNER.14 2.4.3检查是否修改默认 FTP BANNER设置.14 2.4.4检查TELNET BANNER 设置.14 2.5服务端口启动项.15 + 2.5.1检查是否启用 SSH 服务.15 2.5.2检查是否启用了TALK服务.15 2.5.3检查是否启用了NTALK服务.16 2.5.4检查是否启用了SENDMAIL服务.16 2.5.5禁止ROOT帐户登录 FTP (VSFTP).17 2.
5、5.6禁止匿名 FTP (VSFTP) .17 2.5.7检查设备是否已禁用TELNET服务.17 2.5.8检查是否关闭不必要的服务和端口 .18 2.6文件目录权限.18 2.6.1检查环境变量目录下是否存在权限为 777 的目录 .18 2.6.2检查环境变量目录下是否存在权限为 777 的文件 .18 2.6.3检查是否存在权限不安全的重要日志文件 .19 2.6.4检查系统当前的UMASK.19 2.6.5检查拥有SUID和SGID权限的文件.20 2.6.6检查/USR/BIN/目录下可执行文件的拥有者属性是否合规 .20 2.7访问权限.21 2.7.1检查 FTP 用户上传的文
6、件所具有的权限.21 2.7.2检查系统是否启用了SUDO命令.21 2.7.3检查系统是否允许ROOT帐户SSH远程登录.22 2.7.4检查系统是否允许ROOT帐户TELNET远程登录.22 2.7.5检查是否绑定可访问主机的IP或IP段.23 2.7.6检查是否允许所有IP访问主机.23 2.7.7HOSTS.DENY文件设置SSHD:ALL.23 2.8其他安全配置.24 2.8.1检查登录超时锁定时间 .24 2.8.2检查ROOT用户的 PATH 环境变量是否包含相对路径 .24 2.8.3检查ROOT用户的 PATH 环境变量是否包含相对路径 .24 2.8.4检查SSH协议是否
7、使用SSH2.25 2.8.5检查启用系统CORE DUMP设置.25 2.8.6检查是否修改SNMP默认团体字.25 2.8.7检查系统是否禁用CTRL+ALT+DEL组合键 .26 2.8.8检查是否关闭系统信任机制 .26 2.8.9检查记录历史命令条数设置 .26 2.8.10检查是否删除了潜在危险文件 .27 2.8.11检查磁盘使用率 .27 2.8.12检查是否关闭数据包转发功能(适用于不做路由功能的系统) .28 2.8.13检查是否关闭 IP 伪装和绑定多 IP 功能 .28 2.8.14检查/ETC/ALIASE是否禁用不必要的别名文件.28 2.8.15检查是否配置定时自
8、动屏幕锁定(适用于具备图形界面的设备) .29 2.8.16检查是否安装CHKROOTKIT进行系统监测.30 2.8.17检查系统是否开启 ASLR.30 + 第第 1 章章概述概述 1.1 目的目的 本文档规范了杭州安恒信息技术有限公司对于安装有 Linux 操作系统的主机进行加固 时应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行 Linux 操作系 统的安全配置。 1.2 适用范围适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:Linux 服务器系统。 + 第第 2 章章本地策略本地策略 2.1 帐户与口令检查
9、策略帐户与口令检查策略 2.1.1 检查系统中是否存在口令为空的帐户检查系统中是否存在口令为空的帐户 安全基线项安全基线项 目名称目名称 检查系统中是否存在口令为空的帐户 安全基线项安全基线项 说明说明 系统中不应存在口令为空的帐户 检测与加固检测与加固 步骤步骤 输入命令:cat /etc/shadow,查看是否有未设置口令的帐户 基线符合性基线符合性 判定依据判定依据 帐户必须配置密码 备注备注 2.1.2 检查系统中是否存在检查系统中是否存在 UID 与与 root 帐户相同的帐户帐户相同的帐户 安全基线项安全基线项 目名称目名称 检查系统中是否存在 UID 与 root 帐户相同的帐户
10、 安全基线项安全基线项 说明说明 用户的 UID 大于 500 的都是非系统账号,500 以下的都为系统保留的账号, 比如 root 账号,至高权限的账号的 UID 为 0,我们创建用户的时候默认的账 号的 UID 都是大于 500,系统中不应存在 UID 与 root 帐户相同的帐户,该 设置将导致该帐户拥有与 root 帐户相同权限。 检测与加固检测与加固 步骤步骤 输入命令:cat /etc/passwd | grep :x:0 ,查看输入结果中是否有非 root 帐户, 基线符合性基线符合性 判定依据判定依据 不存在 uid 为 0 的非 root 帐户 备注备注 2.1.3 检查是否
11、按用户分配帐号检查是否按用户分配帐号 安全基线项安全基线项 目名称目名称 检查是否按用户分配帐号 安全基线项安全基线项 说明说明 按照用户角色分配不同权限,确保用户权限的最小化,避免越权操作 + 检测与加固检测与加固 步骤步骤 1、执行: #more /etc/passwd 查看系统中存在的用户,确认每个帐户的 home 路径及启动 shell; 2、与管理员确认需要锁定的帐户 基线符合性基线符合性 判定依据判定依据 不存在无关用户 备注备注 2.1.4 检查密码最小长度检查密码最小长度 安全基线项安全基线项 目名称目名称 检查密码最小长度 安全基线项安全基线项 说明说明 检查密码最小长度 检
12、测与加固检测与加固 步骤步骤 查看/etc/login.defs 文件,查看 PASS_MIN_LEN 参数值 基线符合性基线符合性 判定依据判定依据 大于等于 8 备注备注 2.1.5 检查密码过期时间检查密码过期时间 安全基线项安全基线项 目名称目名称 检查密码过期时间 安全基线项安全基线项 说明说明 长期不修改密码会提高密码暴露风险,建议密码生存周期不超过 90 天 检测与加固检测与加固 步骤步骤 查看/etc/login.defs 文件,查看 PASS_MAX_DAYS 参数值 基线符合性基线符合性 判定依据判定依据 小于等于 60 天 备注备注 2.1.6 检查密码最大重试次数检查密
13、码最大重试次数 安全基线项安全基线项 目名称目名称 检查密码最大重试次数 安全基线项安全基线项 说明说明 配置当用户连续认证失败次数超过 5 次(不含 5 次) ,锁定该用户使用的账 + 号。注意仅对自然人使用的帐号做此限制。 检测与加固检测与加固 步骤步骤 输入 cat /etc/pam.d/sshd | grep pam_tally2.so ,查看 deny 参数设置值 基线符合性基线符合性 判定依据判定依据 小于等于 5 备注备注 2.1.7 检查是否配置口令复杂度策略检查是否配置口令复杂度策略 安全基线项安全基线项 目名称目名称 检查是否配置口令复杂度策略 安全基线项安全基线项 说明说
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 安全 配置 基线
限制150内