《2022年中国电信Linux操作系统安全配置规范.pdf》由会员分享,可在线阅读,更多相关《2022年中国电信Linux操作系统安全配置规范.pdf(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国电信 Linux 操作系统安全配置规范中国电信集团公司技术标准Q/CT 2339-2011 中国电信 Linux 操作系统安全配置规范Specification for Linux OS Configuration Used in China Telecom 2011-4 发布2011-4 实施中国电信集团公司发布保 密 等 级 : 公 开 发 放精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范目录
2、目录. I前言. II1 范围 . 12 规范性引用文件. . 13 缩略语 . 13、1 缩略语 . . 错误 ! 未定义书签。4 安全配置要求 . . 14、1 账号. . 24、2 口令. . 34、3 文件及目录权限. . 54、4 远程登录 . . 64、5 补丁安全 . . 84、6 日志安全要求 . . 84、7 不必要的服务、端口. . 104、8 系统 Banner 设置 . 104、9 登陆超时时间设置. . 114、10 删除潜在危险文件. . 114、11 FTP 设置 . 11附录 A:端口及服务. 12精品资料 - - - 欢迎下载 - - - - - - - -
3、- - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范前言为了在工程验收、 运行维护、 安全检查等环节,规范并落实安全配置要求,中国电信编制了一系列的安全配置规范,明确了操作系统、数据库、应用中间件在内的通用安全配置要求。本规范就是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下: (1)AIX 操作系统安全配置规范(2)HP-UX 操作系统安全配置规范(3)Solaris 操作系统安全配置规范(4)Linux 操作系统安全配置规范(本标准 ) (5)Wind
4、ows 操作系统安全配置规范(6)MS SQL server 数据库安全配置规范(7)MySQL 数据库安全配置规范(8)Oracle 数据库安全配置规范(9)Apache 安全配置规范(10)IIS 安全配置规范(11)Tomcat 安全配置规范(12)WebLogic 安全配置规范本标准由中国电信集团公司提出并归口。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范1 范围适用于中国电信使用Linux
5、 操作系统的设备。 本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同 , 配置操作有所不同, 本规范以内核版本2、6及以上为例 , 给出参考配置操作。2 规范性引用文件Linux 操作系统配置规范符合下列规范性文件: GB/T22239-2008信息安全技术信息系统安全等级保护基本要求YD/T 1732-2008 固定通信网安全防护要求YD/T 1734-2008 移动通信网安全防护要求YD/T 1736-2008 互联网安全防护要求YD/T 1738-2008 增值业务网消息网安全防护要求YD/T 1740-200
6、8 增值业务网智能网安全防护要求YD/T 1758-2008 非核心生产单元安全防护要求YD/T 1742-2008 接入网安全防护要求YD/T 1744-2008 传送网安全防护要求YD/T 1746-2008 IP 承载网安全防护要求YD/T 1748-2008 信令网安全防护要求YD/T 1750-2008 同步网安全防护要求YD/T 1752-2008 支撑网安全防护要求YD/T 1756-2008 电信网与互联网管理安全等级保护要求3 缩略语下列缩略语适用于本标准: FTP Protocol 文件传输协议UDP User Datagram Protocol 用户数据包协议TCP Tr
7、ansmission Control Protocol 传输控制协议4 安全配置要求精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范4.1 账号编号: 1 要求内容应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号与设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号: #useradd username #创建账号#passwd username #设置密码修改权限 :
8、#chmod 750 directory #其中 750 为设置的权限,可根据实际情况设置相应的权限 ,directory 就是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作; 2、检测操作使用不同的账号进行登录并进行一些常用操作; 3、补充说明编号: 2 要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户 :#userdel username; 锁定用户 : 1)修改 /etc/shadow 文件 ,用户名后加 *LK* 2)将/etc/passwd
9、 文件中的shell 域设置成 /bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username 锁定用户 ,用#passwd d username解锁后原有密码失效,登录需输入新密码,修改 /etc/shadow 能保留原有密码。2、补充操作说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4 、noaccess 。注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用 )等检测方法1、判定条件被删除或锁定的账号无法登录成功; 2、检测操作使用删除或锁定的与工作无关的
10、账号登录系统; 3、补充说明精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范需要锁定的用户:listen,gdm,webservd,nobody,nobody4 、noaccess 。编号: 3 要求内容根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。操作指南1、参考配置操作Cat /etc/passwd Cat /etc/group 2、补充操作说明检测方法1、判定条件人工分
11、析判断2、检测操作编号:4要求内容使用 PAM 禁止任何人 su 为 root操作指南参考操作 : 编辑 su文件 (vi /etc/pam、 d/su),在开头添加下面两行: auth sufficient /lib/security/pam_rootok、so auth required /lib/security/pam_wheel、so group=wheel 这表明只有 wheel组的成员可以使用su命令成为 root用户。您可以把用户添加到wheel组,以使它可以使用 su命令成为 root用户。添加方法为 : # chmod G10 username检测方法1、判定条件2、检测操
12、作Cat /etc/pam、d/su 4.2 口令编号:1 要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母与特殊符号4 类中至少3 类。操作指南1、参考配置操作vi /etc/login 、defs ,修改设置如下PASS_MIN_LEN=8 # 设定最小用户密码长度为8 位Linux用 户 密 码 的 复 杂 度 可 以 通 过pam_cracklib module或pam_passwdqc module 进行设置检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示; 符合密码强度的时候,可以成功设置; 2、检测操作1、检查口令强度配
13、置选项就是否可以进行如下配置: i.配置口令的最小长度; 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范ii.将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8 的口令 ,查瞧系统就是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查瞧系统就是否可以成功设置。3、补充说明pam_cracklib主要参数说明: tretr
14、y=N: 重试多少次后返回密码修改错误difok=N: 新密码必需与旧密码不同的位数dcredit=N: N = 0: 密码中最多有多少个数字;N /etc/issue #echo $R /etc/issue #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue #cp -f /etc/issue /etc/issue、net #echo /etc/issue 其次删除 /etc目录下的 isue、net 与 issue文件 : # mv /etc/issue /etc/issue、bak # mv /etc/issue、net /etc/
15、issue、net、bak 检测方法查瞧 Cat /etc/rc、d/rc、local 注释住处信息4.9 登陆超时时间设置要求内容对于具备字符交互界面的设备,配置定时帐户自动登出操作指南1、 参考配置操作通过修改账户中“TMOUT ”参数,可以实现此功能。TMOUT 按秒计算。编辑profile 文件(vi /etc/profile), 在“ HIST”后面加入下面这行 : 建议 TMOUT=300( 可根据情况设定) 2、补充操作说明改变这项设置后,必须先注销用户,再用该用户登录才能激活这个功能检测方法1、判定条件查瞧 TMOUT=300 4.10 删除潜在危险文件要求内容、rhosts,
16、、netrc,hosts 、equiv等文件都具有潜在的危险,如果没有应用,应该删除操作指南1、参考配置操作执行: find / -name 、netrc, 检查系统中就是否有、netrc 文件 , 执行: find / -name 、rhosts , 检查系统中就是否有、rhosts 文件如无应用 ,删除以上文件 : Mv 、rhost 、rhost、bak Mv 、netr 、netr、bak 2、补充操作说明注意系统版本 ,用相应的方法执行检测方法1、判定条件2、检测操作4.11 FTP设置编号 1: 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载
17、名师归纳 - - - - - - - - - -第 14 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范要求内容禁止 root 登陆 FTP操作指南1、参考配置操作在文件中加入下列行root 检测方法使用 root 帐号登录ftp 会被拒绝编号 2: 要求内容禁止匿名 ftp操作指南1、参考配置操作以 vsftpd 为例: 打开vsftd、conf文件 ,修改下列行为 : anonymous_enable=NO 检测方法匿名账户不能登录编号 3: 要求内容修改 信息操作指南1、参考配置操作使用vsftpd,则修改下列文件的内容: /etc/
18、vsftpd、d/vsftpd、conf 使用wu-ftpd,则需要修改文件 /etc/,在其中添加 : banner /path/to/ 在指定目录下创建包含信息的文件检测方法1、判断依据通过外部 ftp客户端登录 ,banner按照预先设定的显示2、 检查操作附录 A:端口及服务服务名称端口应用说明关闭方法处置建议daytime 13/tcp RFC867 白天协议chkconfig daytime off 建议关闭13/udp RFC867 白天协议chkconfig daytime off time 37/tcp 时间协议chkconfig time off 37/udp 时间协议ch
19、kconfig time-udp off echo 7/tcp RFC862_ 回声协议chkconfig echo off 7/udp RFC862_ 回声协议chkconfig echo-udp off discard 9/tcp RFC863 废除协议chkconfig discard off 9/udp chkconfig discard-udp off chargen 19/tcp RFC864 字符产生协议chkconfig chargen off 19/udp chkconfig chargen-udp off ftp 21/tcp 文件传输协议(控制 )chkconfig gs
20、s 根据情况选择开放telnet 23/tcp 虚拟终端协议chkconfig krb5-telnet off 根据情况选择开放精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范sendmail 25/tcp 简单邮件发送协议chkconfig sendmail off 建议关闭nameserver 53/udp 域名服务chkconfig named off 根据情况选择开放53/tcp 域名服务ch
21、kconfig named off 根据情况选择开放apache 80/tcp HTTP 万维网发布服务chkconfig httpd off 根据情况选择开放login 513/tcp 远程登录chkconfig login off 根据情况选择开放shell 514/tcp 远程命令 , no passwd usedchkconfig shell off 根据情况选择开放exec 512/tcp remote execution, passwd required chkconfig exec off 根据情况选择开放ntalk 518/udp new talk, conversation
22、chkconfig ntalk off 建议关闭ident 113/tcp auth chkconfig ident off 建议关闭printer 515/tcp 远程打印缓存chkconfig printer off 强烈建议关闭bootps 67/udp 引导协议服务端chkconfig bootps off 建议关闭68/udp 引导协议客户端chkconfig bootps off 建议关闭tftp 69/udp 普通文件传输协议chkconfig tftp off 强烈建议关闭kshell 544/tcp Kerberos remote shell -kfall chkconfig
23、 kshell off 建议关闭klogin 543/tcp Kerberos rlogin -kfall chkconfig klogin off 建议关闭portmap 111/tcp 端口映射chkconfig portmap off 根据情况选择开放snmp 161/udp 简单网络管理协议( Agent ) chkconfig snmp off 根据情况选择开放snmp trap 161/tcp 简单网络管理协议( Agent ) chkconfig snmp off 根据情况选择开放snmp-trap 162/udp 简单网络管理协议( Traps ) chkconfig snmp
24、trap off 根据情况选择开放syslogd 514/udp 系统日志服务chkconfig syslog off 建议保留lpd 515/tcp 远程打印缓存chkconfig lpd off 强烈建议关闭nfs 2049/tcp NFS 远程文件系统chkconfig nfs off 强烈建议关闭2049/udp NFS 远程文件系统chkconfig nfs off 强烈建议关精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 16 页,共 17 页 - - - - - - - - - - 中国电信 Linux 操作系统安全配置规范闭nfs 、lock 动态端口rpc 服务chkconfig nfslock off 强烈建议关闭ypbind 动态端口rpc 服务chkconfig ypbind off 强烈建议关闭精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 17 页,共 17 页 - - - - - - - - - -