linux安全配置规范

Linux安全配置规范2017年3月第一章概述1.1适用范围适用于广东南华智闻科技有限公司使用Linux操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。第二章安全配置要求2.1账号编号：1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号：2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdelusername;锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。编号：3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为禁止远程登录，如要允许，则改成可以登录的shell即可，如/bin/bash2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。检测方法1、判定条件root远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。编号：4要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。操作指南1、参考配置操作正常可以通过#/etc/init.d/sshdstart来启动SSH;通过#/etc/init.d/sshdstop来停止SSH2、补充操作说明查看SSH服务状态：#ps–ef|grepssh禁止使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制；检测方法1、判定条件#ps–ef|grepssh是否有ssh进程存在是否有telnet进程存在2、检测操作查看SSH服务状态：#ps–ef|grepssh查看telnet服务状态：#ps–ef|greptelnet3、补充说明2.2口令编号：1要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi/etc/login.defs，修改设置如下PASS_MIN_LEN=8#设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklibmodule或pam_passwdqcmodule进行设置检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i.配置口令的最小长度；ii.将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明pam_cracklib主要参数说明:tretry=N:重试多少次后返回密码修改错误difok=N:新密码必需与旧密码不同的位数dcredit=N:N=0:密码中最多有多少个数字;N0密码中最少有多少个数字.lcredit=N:小宝字母的个数ucredit=N大宝字母的个数credit=N:特殊字母的个数minclass=N:密码组成(大/小字母,数字,特殊字符)pam_passwdqc主要参数说明:mix:设置口令字最小长度，默认值是mix=disabled。max:设置口令字的最大长度，默认值是max=40。passphrase:设置口令短语中单词的最少个数，默认值是passphrase=3，如果为0则禁用口令短语。atch:设置密码串的常见程序，默认值是match=4。similar:设置当我们重设口令时，重新设置的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。enforce:设置约束范围，enforce=none表示只警告弱口令字，但不禁止它们使用；enforce=users将对系统上的全体非根用户实行这一限制；enforce=everyone将对包括根用户在内的全体用户实行这一限制。non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。retry:设置用户输入口令字时允许重试的次数，默认值是retry=3。密码复杂度通过/etc/pam.d/system-auth实施编号：2要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作vi/etc/login.defsPASS_MAX_DAYS=90#设定口令的生存期不长于90天检测方法1、判定条件登录不成功；2、检测操作使用超过90天的帐户口令登录；3、补充说明测试时可以将90天的设置缩短来做测试；2.3授权编号：1要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd必须所有用户都可读，root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group须所有用户都可读，root用户可写–rw-r—r—使用如下命令设置：chmod644/etc/passwdchmod600/etc/shadowchmod644/etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w/etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号：2（可选）要求内容对文件和目录进行权限设置，合理设置重要目录和文件的权限操作指南执行以下命令检查目录和文件的权限设置情况：ls–l/etc/ls–l/etc/rc.d/init.d/ls–l/tmpls–l/etc/inetd.confls–l/etc/securityls–l/etc/servicesls-l/etc/rc*.d检测方法1、判定条件文件权限的设置合理2、检测操作对于重要目录，建议执行如下类似操作：#chmod-R750/etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。编号：3（可选）要求内容控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、参考配置操作设置默认权限：Vi/etc/login.defs在末尾增加umask027，将缺省访问权限设置为750修改文件或目录的权限，操作举例如下：#chmod444dir;#修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls-ldir;#查看目录dir的权限#cat/etc/login.defs查看是否有umask027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。2.4补丁安全编号：1要求内容在保证业务网络稳定运行的前提下，安装最新的OS补丁。补丁在安装前需要测试确定。操作指南1、参考配置操作看版本是否为最新版本。执行下列命令，查看版本及大补丁号。#uname–a2、补充操作说明检测方法1、判定条件看版本是否为最新版本。#uname–a查看版本及大补丁号RedHatLinux：：：：、检测操作在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。3、补充说明2.5日志安全要求编号：1要求内容打开syslog系统日志审计功能有助于系统的日常维护和故障排除，或者防止被攻击后查看日志采取防护补救措施，增强系统安全日志。操作指南1、参考配置操作#cat/etc/syslog.conf查看是否有#authpriv.*/var/log/secure2、补充操作说明将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限使用相关的信息。检测方法1、