《Linux系统安全配置指南(基线).docx》由会员分享,可在线阅读,更多相关《Linux系统安全配置指南(基线).docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Linux系统安全配置指南(基线)中国联通内网Linu某系统安全配置指南(试行)2022-07-24公布 2022-07-24 实施中国联通公司公布中国联通内网Li mi某系统安全配置指南名目前-i-eII1范 围12定义与缩略语12.1 W语13安全配置要 求13.1权限与审计功能配置用户帐号设本指南每年审查一次,并依据需要进展修订。如遇国家相关法律法规 发生变化或中6系统磁盘状态执行:df-k,检查当前系统文件配置状况准时处理磁 盘空间缺乏状况系统coredump状态执行:more/etc/ecurity/limit. conf 检查是否包含以下项:某oftcoreO某hardcore。关
2、闭系统的 coredumpcoredump中可能包括系统信息,易被入侵者利用中国联通内网 Linu某系统安全配置指南国联通企业信息安全策略发生重大变更等状况时,本指南将适时修订。7用户组设全部用户审 计13.1.4Root 用户远程登录限制23.1.5pawdhadowgroup 文件安全 性是否存在除root之外UID为。的用户23.1.7用户环境变量的安全性远程连接的安全性配 置用户的umak安全配 置33.2文件系 统33. 2.1.重要目 录和文件的权限设33. 2. 2.查找未授权的SUID/SGID文件33. 2. 3.查找没有包含粘性位的任何人都有写权限的目录43.2. 4.查找
3、任何人都有写权限的文件43.2. 5.没有属主的文件43.2. 6.特别隐含文件43.3网络与服 务53.3.1.检查某inetd中根本网络效劳配53. 3. 2.只在必需NFS时,才开启NFS53. 3. 3.常规网络服务53.4日志审计63.4.1. at/cron任务授权63.4. 2.登录大事记录63.4. 3. ylog. conf 配置63.5系统文件63.5.1.系统磁盘状态63. 5. 2. coredump 状态64评审与修订6I中国联通内网Linu某系统安全配置指南前言为确保中国联通信息系统的网络支撑和内网信息安全,指导各省级分 公司做好基于Linu某系统的安全维护相关工作
4、,在争论国际先进企业最正 确实践的根底上,结合中国联通内网信息安全现状和实际需求,特制定本 配置指南。本文档由中国联合网络通信治理信息系统部提出并归口治理。本文档起 草单位:中国联合网络通信、系统集成公司。本文档主要起草人:胡松, 栾文魁。本文档解释单位:中国联合网络通信治理信息系统部。II中国联通内网Linu某系统安全配置指南1范围本指南规定了中国联通范围内安装有Linu某系统的效劳器应当遵循 的操作系统安全性设置标准,本指南旨在指导系统治理人员进展Linu某 系统的安全配置。本指南适用版本:Linu某系统本指南的适用范围为中国联通集团总部、各直属单位、各省级分公司。2定义与缩略语2. 1缩
5、略语以下缩略语适用于本指南:术语及缩写NFS安全配置要求英文NetworkFileSytem中文网络文件系统3.1权限与审计功能配置1用户帐号设置配置项名称用户帐号设置1、执行:more/etc/pawd查看是否存在以下可能无用的帐号:uucpnuucpIpdguetpr intq同时检查是否对全部用户授予了合理的home名目。2、执行:I - l/etc/pawd检查 /etc/pawd文件属性设置是否为644建议删除全部无用的帐号给相关文件 配置合理的权限,配置口令文件属性,执行: $chmod644/etc/pawd$#chmod600/etc/group 用户组设置用户组设置 1、执
6、行:more/etc/group检查用户组的设置状况,查看是否存在以下可能无用的用户组:uucpprintq2、执行:l-l/etc/group 检查/etc/group 文件 属性设置是否为6441、建议删除不必要的用户组2、为用户组文件配置安 全属性,执行:$chmod700/etc/group全部用户审计审计功能是否对全部 用户都有效1操作步骤安全建议备注配置项名称操作步骤安全建议备注1.3配置项名称中国联通内网Linu某系统安全配置指南操作步骤调用SAM,执行:/ur/bin/am 选择:AuditingandSecurity 选择:Uer查看审计功能是否对全部的用户都有效。假设不是,
7、检查审计 功能无效的用户账号。系统全部用户的审计功能都应被开启(在LoginAudited 一栏中显示“NO”则表示该用户未被有效审计)系统默 认会审计全部用户,但是单独某个用户的审计功能可以被禁用Root用户 远程登录限制Root用户远程登录限制执行:more/etc/ecuretty检查是否有以下参数Conole制止root用户直接登录系统制止root用户直接登 录系统可以增加系统入侵的难度。pawdhadowgroup文件安全性pawdgroup 文件安全性配置1、执行:1 - 1/etc/pawd/etc/hadow/etc/group,查看文 件权限状态 2、执行:grep +: /
8、etc/pawd/etc/hadow/etc/group,查看文 件中是否包含 +”。返回值应为空更改文件权限,执行chmod。- w/etc/pawd/etc/hadow/etc/group 删除文件中的“条目有“ +” 条目的文件允许通过NISMap中系统配置的某些点插入数据,pawdhadowgroup 文件中如包含此条目,可能会使入侵者通过网络添加用户。是否存在除 root之外UID为0的用户检查是否存在除root之外UID为0的用户执行: awk-F: w ($3=0) print$ 1 w /etc/pawd 返回值应只有root 保证只有root 用户的UID为0UID为0的任何
9、用户都拥有系统的最高特权用户环境变量 的安全性root用户环境变量的安全性执行:echo$PATH|egrep” (1:)(. |:|$)”,检查是否包含父名目,执行:find echo$PATH|tr : -typed(-perm-002-o-perm-020)-1, 检查是否包含组名目权限为777的名目确保root用户的系统路径中不包 含父名目,在非必要的状况下,不应包含组权限为777的名目。可能某些 应用需要名目供给777权限安全建议备注3. 1. 4配置项名称操作步骤安全建议备注3.1. 5配置项名称操作步骤 安全建议备注3. 1. 6配置项名称操作步骤安全建议备注配置项名称操作步骤安
10、全建议备注2中国联通内网Linu某系统安全配置指南3.1. 8配置项名称操作步骤安全建议备注3.1. 9配置项名称操作步骤安全建议备注远程连接的安全性配置远程连接的安全性配置执行:find/- name, netrc,检查系统中是否有.netrc文件,执行:find/-name. rhot, 检查系统中是否有.rhot文件如无必要,删除这两个文件可能某些应用需 要使用远程连接用户的umak安全配置用户的umak安全配置执行: more/etc/prof i1emore/etc/ch. loginmore/etc/ch. chrcmore/etc/bahrc 检查是否包含umak值建议设置用户的
11、默认umak=077使用适宜的umak可 提高系统安全性3. 2文件系统3. 2.1.重要名目和文件的权限设置配置项名称重要名目和文件的权限 设置执行以下命令检查名目和文件的权限设置状况:1 - 1/etc/l - 1/etc/rc. d/init. d/1 - 1/tmpl - 1/etc/inetd. confl - 1/etc/pawdl - 1/etc/hadowl - 1/etc/groupl - 1/etc/ecurityl - 1/etc/ervicel- 1/etc/rc某d对于重要名目,建议执行如下类似操作:#chmod- R750/etc/rc.d/init.d/某这样只有
12、root可以读、写和执行这个名目下的 脚本。操作步骤安全建议备注3. 2. 2.查找未授权的SUID/SGID文件配置项名称SUID/SGID文件用下面的 命令查找系统中全部的SUID和SGID程序,执行:forPARTingrep- v#/etc/ftab|awkn ($6!=find$PART(-perm-04000-o-perm- 02022)- typef-某dev-pr intdone建议常常性的比照uid/gid文件列表, 以便能够准时觉察可疑的后门程序。系统中SUID和SGID文件很有可能成 为安全隐患,必需被严密监控。由于这些程序都给执行它的用户一些特权, 所以要确保危急的SU
13、ID程序没有被安装。3操作步骤安全建议备注中国联通内网Linu某系统安全配置指南黑客常常利用SUID程序,有意留下一个SUID的程序作为下次进入系 统的后门。留意系统中全部的SUID和SGID的程序,并跟踪它们,这样可 尽早觉察入侵者。3. 2. 3.查找没有包含粘性位的任何人都有写权限的名目配置项名称检 查任何人都有写权限的名目在系统中定位任何人都有写权限的名目用下面 的命令:for PART in awk($3=print$299 /etc/ftab ;dofind$PART- 某dev-typed (-perm-0002-a!-perm-1000) -printdone 返回值应为空 按
14、实际需求更改权限,检查哪些名目是任何人都具备写操作权限并且没有 粘性位。操作步骤安全建议备注3. 2. 4.查找任何人都有写权限的文件配置项名称查找任何人都有写权 限的文件在系统中定位任何人都有写权限的文件用下面的命令: forPARTin grep-v#/etc/ftab | awk($6!=find$PART-某 dev- typef(- perm-0002-a!-perm-1000)-printdone 按实际需求更改权限, 执行:chmodo-w文件名操作步骤安全建议备注3. 2. 5.没有属主的文件配置项名称检查没有属主的文件定位系统中没有属 主的文件用下面的命令:forPARTin
15、grep-v#/etc/ftab|awk,5 ($6!=f i nd$PART-nouer-o-nogroup-pr i ntdone 留 意: 不用管/dev”名目下的那些文件。建议严格审查全部无属主的可疑文件。 觉察没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有 属主的文件存在。假设在系统中觉察了没有属主的文件或名目,先查看它 的完整性,假设一切正常,给它一个属主。有时候卸载程序可能会消灭一 些没有属主的文件或名目,在这种状况下可以把这些文件和名目删除掉。操作步骤安全建议备注3. 2. 6.特别隐含文件配置项名称特别隐含文件在 系统的每个地方都要查看一下有没有特别隐含文件点号
16、是起始字符的, 用“I”命令看不到的文件,由于这些文件可能是隐蔽的黑客工具或者 其它一些信息口令破解程序、其它系统的口令文件,等等。在UNI某下,一个常用的技术就是用一些特别的名,如:点点空 格或“.八G”点点control-G, 4操作步骤中国联通内网Linu某系统安全配置指南来隐含文件或名目。用“find”程序可以查找到这些隐含文件。例如:#f ind/-ncime -某 dev#find/-name-print-某 dev|cat-v 同时也要留意 象“.某某”和“.mail”这样的文件名的。(这些文件名看起来都很象正 常的文件名)安全建议备注建议严格审查系统中的特别隐含文件3. 3网络
17、 与效劳3. 3. 2.只在必需NFS时,才开启NFS配置项名称操作步骤安全建议备 注3. 3. 3.常规网络效劳配置项名称常规网络效劳询问治理员或执行以下操作 检查系统运行那些常规网络效劳,并记录各类效劳的效劳系统软件类型和 版本,对于运行的效劳,提取相关配置文件信息:teInetI oca Ihot80teI net I oca Ihot25teI net I oca Ihot110teI net I oca I hot 143te I net I oca I hot443te I net I oca I hot21 确保 web/mai I/ftp 等常规网络 效劳的运行正常只在必需NFS时,才开启NFS执行:chkconfig-I eve 1345nf on 起用 NFSchkconf igI eve 1345nf of f 停用 NFS 如非必要, 建议停顿NFSo Linu某默认停顿NFS在不需要的状况下,不启用NFS操作 步骤安全建议备注5中国联通内网Linu某系统安全配置指南3. 4日志审计3. 4.1. at/cron任务授权配置项名称操作步骤安全建议备注3. 5.1.系统磁盘状态配置项名称操作步骤安全建议备注3. 5. 2. coredump状态配置项名称操作步骤安全建议备注4评审与修订