Linux操作系统安全配置规范V1.0.doc

1、Linux操作系统安全配置规范版本号：1.0.0 目录1概述11.1适用范围11.2外部引用说明11.3术语和定义11.4符号和缩略语12LINUX设备安全配置要求12.1账号管理、认证授权22.1.1账号22.1.2口令42.1.3授权102.2日志配置要求112.3IP协议安全配置要求132.3.1IP协议安全132.4设备其他安全配置要求142.4.1检查SSH安全配置142.4.2检查是否启用信任主机方式，配置文件是否配置妥当152.4.3检查是否关闭不必要服务152.4.4检查是否设置登录超时162.4.5补丁管理17 1 概述1.1 适用范围本规范适用于LINUX操作系统的设备。本

2、规范明确了LINUX操作系统配置的基本安全要求，在未特别说明的情况下，适用于Redhat与Suse操作系统版本。1.2 外部引用说明1.3 术语和定义1.4 符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2 LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用LINUX操作系统的设备。本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。2.1 账号管理、认证授权2.1.1 账号2.1.1.1 检查是否删

3、除或锁定无关账号检查项名称检查是否删除或锁定无关账号中文编号英文编号要求内容应删除或锁定与设备运行、维护等工作无关的账号。 检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤1、执行：#more /etc/passwd /etc/shadow查看是否存在以下可能无用的帐户：lp uucp nobody games rpm smmsp nfsnobody。Adm、sync、shutdown、halt、news、operator判定条件lp uucp nobody games rpm smmsp nfsnobody这些帐户不存在或者它们

4、的密码字段为!，则这些帐户被锁定，符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定无用帐户：方法一：#vi /etc/shadow在需要锁定的用户名的密码字段前面加!，如test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:方法二：#passwd -l test3、将/etc/passwd文件中的shell域设置成/bin/false。补充操作说明lp uucp

5、nobody games rpm smmsp nfsnobodyAdm、sync、shutdown、halt、news、operator这些帐户不存在或者它们的密码字段为!2.1.1.2 检查是否限制root远程登录检查项名称检查是否限制root远程登录中文编号英文编号要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤查看配置文件# more /etc/securetty# more /etc

6、/ssh/sshd_config判定条件# more /etc/securetty检查是否有下列行：pts/x（x为一个十进制整数）#more /etc/ssh/sshd_config检查下列行设置是否为no并且未被注释：PermitRootLogin不存在pts/x则禁止了telnet登录，PermitRootLogin no禁止了ssh登录，符合以上条件则禁止了root远程登录，符合安全要求，否则低于安全要求。补充说明# Authentication:#LoginGraceTime 2m#PermitRootLogin yes#StrictModes yes#MaxAuthTries 6P

7、ermitRootLogin的值改为no，不允许root远程登录加固方案类别参考操作配置1、执行备份：#cp -p /etc/securetty /etc/securetty_bak#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useradd username#passwd username3、禁止root用户远程登录系统：#vi /etc/securetty注释形如pts/x的行，保存退出，则禁止了root从telnet登录。#vi /etc/ssh/sshd_config修改PermitRoo

8、tLogin设置为no并不被注释，保存退出，则禁止了root从ssh登录。#/etc/init.d/sshd restart补充操作说明以下为测试telnet登录结果：/etc/pam.d/login /etc/seruretty 结果注释掉 存在文件，存在PTS 能登录注释掉 存在文件，不存在PTS 不能登录注释掉 不存在文件 能登录不注释 不存在文件 能登陆不注释 存在文件，不存在PTS 不能登录不注释 存在文件，存在PTS 能登录 /etc/ssh/sshd_config文件中PermitRootLogin值为no，并且/etc/security/user下值为pts2.1.2 口令2.

9、1.2.1 检查口令策略设置是否符合复杂度要求检查项名称检查口令策略设置是否符合复杂度要求中文编号安全要求-设备-通用-配置-4英文编号要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤#more /etc/pam.d/system-auth检查以下参数配置：password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 min

10、class=2 minlen=8password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok是否配置了minlen=8，minclass=2。或者password requisite pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3password sufficient pam_unix.so nullok use_authtok md5 shadow是否配置了min=N0,N1,N2,N3,N4。其中N1代表使用两种字符时，口令最短长度。判定条件使

11、用pam_cracklib模块时，配置了minclass大于等于2，minlen大于等于6，符合安全要求，否则低于安全要求；如果使用pam_passwdqc模块，配置了min=N0,N1,N2,N3,N4,其中N1大于等于6，符合安全要要求，否则低于安全要求。补充说明可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度，两者不能同时使用。pam_cracklib主要参数说明: tretry=N：重试多少次后返回密码修改错误 difok=N：新密码必需与旧密码不同的位数 dcredit=N：N = 0密码中最多有多少个数字；N = 0密码中最

12、多有多少个数字；N 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行：# more /etc/login.defs检查PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE参数。判定条件PASS_MAX_DAYS值不大于90天则符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/login.defs /etc/login.defs_bak2、修改策略设置：#vi /etc/login.defs修改PASS_MIN_LEN的值为8，修改PASS_MAX_DAYS的值为90，按要求修改P

13、ASS_MIN_DAYS/PASS_WARN_AGE的值，保存退出补充操作说明/etc/login.defs文件中PASS_MAX_DAYS值不大于902.1.2.3 检查口令重复次数限制检查项名称检查口令重复次数限制中文编号安全要求-设备-通用-配置-6-可选英文编号要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤#cat /etc/pam.d/system-auth检查password required pam_unix.s

14、o所在行是否存在remember=5判定条件存在remember大于等于5，则符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak2、创建文件/etc/security/opasswd，并设置权限：#touch /etc/security/opasswd#chown root:root /etc/security/opasswd#chmod 600 /etc/security/opasswd3、修改策略设置：#vi /etc/pam.d/system-aut

15、h在password required pam_unix.so所在行增加remember=5，保存退出；补充操作说明/etc/pam.d/system-auth文件中存在passwordxxxremember=值大于等于52.1.2.4 检查口令锁定策略检查项名称检查口令锁定策略中文编号安全要求-设备-通用-配置-7-可选英文编号要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤1、执行：#cat /etc/pam.d/s

16、ystem-auth检查是否存在auth required pam_env.soauth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120判定条件存在deny的值小于等于6，则符合安全要求，否则低于安全要要求。补充说明加固方案类别参考操作配置1、执行备份：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak2、修改策略设置：#vi /etc/pam.d/system-auth增加auth required pam_tally2.so deny=

17、6 onerr=fail no_magic_root unlock_time=120到第二行。保存退出；补充操作说明使配置生效需重启服务器。root帐户不在锁定范围内。帐户被锁定后，可使用faillog -u -r或pam_tally -user -reset解锁。/etc/pam.d/system-auth文件中存在deny的值小于等于62.1.2.5 检查FTP是否禁止匿名登录 检查项名称检查FTP是否禁止匿名登录中文编号英文编号要求内容FTP是否禁止匿名登录。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行命令：ftp

18、localhost输出成果：使用anonymous用户登录， 输入密码：test，测试是否成功。判定条件符合：使用anonymous用户登录， 输入密码：test，登录失败不符合：使用anonymous用户登录， 输入密码：test，登录成功补充说明加固方案类别参考操作配置补充操作说明2.1.2.6 检查是否存在弱口令检查项名称检查是否存在弱口令中文编号英文编号要求内容用户密码不能是易猜测破解的简单密码，要求修改为复杂密码，符合密码复杂度要求并且不易联想猜测的密码检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤查看密码是否是易猜测

19、破解的简单密码判定条件是否存在弱口令补充说明加固方案类别参考操作配置更改口令使口令满足复杂度要求并且不易猜测补充操作说明2.1.3 授权2.1.3.1 检查帐号文件权限设置检查项名称检查帐号文件权限设置中文编号英文编号要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检查项类型账号口令和认证授权 - 操作系统 - LINUX发布日期 2010-03-03检查方式自动检测操作步骤执行：#ls -l /etc/passwd /etc/shadow /etc/group/etc/passwd 必须所有用户都可读，root用户可写 rw-rr/etc/shadow 只有root可读 r-/etc/group 必须所有用户都可读，root用户可写 rw-rr判定条件/etc/passwd权限为644，/etc/shadow权限为400，/etc/group权限为644，则符合安全要要求，如果权限高，则低于安全要求。补充说明