Linux系统加固规范

Linux系统加固规范山东省计算中心2020年7月11账账号号管管理理、、认认证证授授权权11..11..11LLiinnuuxx--0011--0011--0011编号Linux-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态cat/etc/passwd记录当前用户列表实施步骤1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。回退方案恢复httpd.conf文件，重启APACHE判断依据判断是否漏洞。实施风险中重要等级★★★11..11..22LLiinnuuxx--0011--0011--0022编号Linux-01-01-02名称去除不需要的帐号、修改默认帐号的shell变量实施目的删除系统不需要的默认帐号、更改危险帐号缺省的shell变量问题影响允许非法利用系统默认账号系统当前状态cat/etc/passwd记录当前用户列表，cat/etc/shadow记录当前密码配置实施步骤1、参考配置操作#userdellp#groupdellp如果下面这些系统默认帐号不需要的话，建议删除。lp,sync,shutdown,halt,news,uucp,operator,games,gopher修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等，也可以使用usermod-s/dev/nullusername命令来更改username的shell为/dev/null。回退方案恢复账号或者SHELL判断依据如上述用户不需要，则锁定。实施风险中重要等级★★备注11..11..33LLiinnuuxx--0011--0011--0033编号Linux-01-01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响允许root远程非法登陆系统当前状态cat/etc/ssh/sshd_configcat/etc/securetty实施步骤1、参考配置操作SSH:#vi/etc/ssh/sshd_config把PermitRootLoginyes改为PermitRootLoginno重启sshd服务#servicesshdrestartCONSOLE:在/etc/securetty文件中配置：CONSOLE=/dev/tty01回退方案还原配置文件/etc/ssh/sshd_config判断依据/etc/ssh/sshd_config中PermitRootLoginno实施风险高重要等级★★备注11..11..44LLiinnuuxx--0011--0011--0044编号Linux-01-01-04名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态cat/etc/passwd查看各账号状态。实施步骤1、参考配置操作Vi/etc/passwd例如修改lynn:x:500:500::/home/lynn:/sbin/bash更改为：lynn:x:500:500::/home/lynn:/sbin/nologin该用户就无法登录了。禁止所有用户登录。touch/etc/nologin除root以外的用户不能登录了。2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等回退方案还原/etc/passwd文件配置判断依据/etc/passwd中的禁止登陆账号的shell是/sbin/nologin实施风险中重要等级★★★备注11..11..55LLiinnuuxx--0011--0011--0055编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注11..11..66LLiinnuuxx--0011--0011--0066编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注11..11..77LLiinnuuxx--0011--0011--0077编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注11..11..88LLiinnuuxx--0011--0011--0088编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注11..11..99LLiinnuuxx--0011--0011--0099编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注11..11..1100LLiinnuuxx--0011--0011--1100编号Linux-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注11..11..1111LLiinnuuxx--0011--0011--111111..11..1122LLiinnuuxx--0011--0011--112211..11..1133LLiinnuuxx--0011--0011--005511..11..1144LLiinnuuxx--0011--0011--005511..11..1155LLiinnuuxx--0011--0011--005511..11..1166LLiinnuuxx--0011--0011--005511..11..1177LLiinnuuxx--0011--0011--005522日日志志配配置置22..11..11LLiinnuuxx--0022--0011--0011编号Linux-02-01-01名称审核登陆实施目的对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。问题影响非法访问，恶意攻击。系统当前状态查看httpd.conf文件中的ErrorLog、LogFormat（cathttpd.conf|grepErrorLog）查看ErrorLog指定的日志文件如logs/error_log中的内容是否完整(catlogs/error_log)实施步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat%h%l%u%t\%r\%s%b\%{Accept}i\\%{Referer}i\\%{User-Agent}i\combinedCustomLoglogs/access_logcombinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apachehttpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLogsyslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。回退方案恢复原始状态。判断依据查看logs目录中相关日志文件内容，记录完整。实施风险中重要等级★★备注33通通信信协协议议33..11..11LLiinnuuxx--0033--0011--0011编号Linux-03-01-01名称更改默认端口实施目的更改Apache服务器默认端口，防止非法访问。问题影响恶意攻击。系统当前状态查看httpd.conf文件，查看端口是否与原来相同。实施步骤1、参考配置操作（1）修改httpd.conf配置文件，更改默认端口到8080Listenx.x.x.x:8080（2）重启Apache服务回