Linux系统安全配置标准V1.0

服务器系统安全加固技术要求——Linux服务器中国电信股份有限公司广州研究院2009年3月目录1补丁...............................................................................................................................11.1系统补丁..............................................................................................................11.2其他应用补丁......................................................................................................12账号和口令安全配置基线..............................................................................................22.1账号安全控制要求...............................................................................................22.2口令策略配置要求...............................................................................................22.3root登录策略的配置要求....................................................................................22.4root的环境变量基线............................................................................................33网络与服务安全配置标准..............................................................................................43.1最小化启动服务...................................................................................................43.2最小化xinetd网络服务.......................................................................................54文件与目录安全配置.....................................................................................................74.1临时目录权限配置标准........................................................................................74.2重要文件和目录权限配置标准.............................................................................74.3umask配置标准..................................................................................................74.4SUID/SGID配置标准..........................................................................................75信任主机的设置............................................................................................................96系统Banner的配置....................................................................................................107内核参数.....................................................................................................................118syslog日志的配置.......................................................................................................13附件：选装安全工具..........................................................................................................14服务器系统安全加固技术要求—Linux服务器11补丁1.1系统补丁要求及时安装系统补丁。更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证。系统补丁安装方法为（以下示例若无特别说明，均以RedHatLinux为例）：使用up2date命令自动升级或在下载对应版本补丁手工单独安装。对于企业版5及之后的版本，可以直接使用yum工具进行系统补丁升级：yumupdate1.2其他应用补丁除Linux开发商官方提供的系统补丁之外，基于Linux系统开发的服务和应用（如APACHE、PHP、OPENSSL、MYSQL等）也必须安装最新的安全补丁。以RedHatLinux为例，具体安装方法为：首先确认机器上安装了gcc及必要的库文件。然后再应用官方网站下载对应的源代码包，如*.tar.gz，并解压：tarzxfv*.tar.gz根据使用情况对编译配置进行修改，或直接采用默认配置。cd*./configure进行编译和安装：makemakeinstall注意：补丁更新要慎重，可能出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前，应该在测试机上进行测试。服务器系统安全加固技术要求—Linux服务器22账号和口令安全配置基线2.1账号安全控制要求系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHatLinux为例，设置方法如下：锁定账号：/usr/sbin/usermod-L-s/dev/null$name删除账号：/usr/sbin/user$name2.2口令策略配置要求要求设置口令策略以提高系统的安全性。例如要将口令策略设置为：非root用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。以RedHatLinux为例，可在/etc/login.def文件中进行如下设置：vi/etc/login.defPASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE282.3root登录策略的配置要求禁止直接使用root登陆，必须先以普通用户登录，然后再su成root。禁止root账号远程登录，以RedHatLinux为例，设置方法为：touch/etc/securettyecho“console”/etc/securetty服务器系统安全加固技术要求—Linux服务器32.4root的环境变量基线root环境变量基线设置要求如表2-1所示：表2-1root环境变量基线设置修改文件安全设置操作说明/etc/profilePATH设置中不含本地目录（.）1.查看root账号的环境变量,env2.如果root的PATH变量包含本地目录,则去掉本地目录”.”。服务器系统安全加固技术要求—Linux服务器43网络与服务安全配置标准3.1最小化启动服务1、Xinetd服务如果xinetd服务中的服务，都不需要开放，则可以直接关闭xinetd服务。chkconfig--level12345xinetdoff2、关闭邮件服务1)如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。chkconfig--level12345sendmailoff2)如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail不运行在daemon模式。编辑/etc/sysconfig/senmail文件，增添以下行：DAEMON=noQUEUE=1h设置配置文件访问权限：cd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail3、关闭图形登录服务（XWindows）在不需要图形环境进行登录和操作的情况下，要求关闭XWindows。编辑/etc/inittab文件，修改id:5:initdefault:行为id:3:initdefault:设置配置文件访问权限：服务器系统安全加固技术要求—Linux服务器5chownroot:root/etc/inittabchmod0600/etc/inittab4、关闭Xfont服务器服务如果关闭了XWindows服务，则Xfont服务器服务也应该进行关闭。chkconfigxfsoff5、关闭其他默认启动服务系统默认会启动很多不必要的服务，有可能造成安全隐患。建议关闭以下不必要的服务：apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcupschkconfig--level12345服务名off在关闭上述服务后，应同时对这些服务在系统中的使用的账号（如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等）予以锁定或删除。usermod-L要锁定的用户3.2最小化xinetd网络服务1、停止默认服务要求禁止以下Xinetd默认服务：chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversserviceschkconfig服务名off服务器系统安全加固技术要求—Linux服务器62、其他对于xinet必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许，可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。服务器系统安全加固技术要求—Linux服务器74文件与目录安全配置4.1