Linux 系统安全配置基线（二）

安全基线项目名称

操作系统 Linux 登录审计安全基线要求项

安全基线编号

SBL-Linux-03-01-01

安全基线项说 明

日志审计-syslog 登录事件记录

检测操作步骤

执行命令：more /etc/syslog.conf

查看参数 authpriv 值

基线符合性判定依据

若未对所有登录事件都记录，则低于安全要求

备注

需要手工检查。

安全基线项目名称

操作系统 Linux 配置审计安全基线要求项

安全基线编号

SBL-Linux-03-02-01

安全基线项说 明

日志审计-Syslog.conf 的配置审核

检测操作步骤

执行：more /etc/syslog.conf，查看是否设置了下列项：

kern.warning;*.err;authpriv.nonet@loghost

*.info;mail.none;authpriv.none;cron.nonet@loghost

*.emergt@loghost

local7.*t@loghost

基线符合性判定依据

若未设置，则低于安全要求

备注

需要手工检查。

补充操作说明

建议配置专门的日志服务器，加强日志信息的异地同步备份

安全基线项目名称

操作系统 Linux 配置日志增强安全基线要求项

安全基线编号

SBL-Linux-03-02-02

安全基线项说 明

使messages只可追加，使轮循的message文件不可更改，从而防止非发访问目录或者删除日志的操作

检测操作步骤

执行命令：chattr +a /var/log/messages

Chattr +i /var/log/messages.*

Chattr +i /etc/shadow

Chattr +i /etc/passswd

Chattr +i /etc/group

基线符合性判定依据

使用lsattr判断属性

备注

安全基线项目名称

操作系统 Linux 配置安全基线要求项

安全基线编号

SBL-Linux-03-02-03

安全基线项说 明

确保日志相关策略配置正确

检测操作步骤

查看 #ps -aef | grep syslog 确认syslog是否启用

#cat /etc/syslog.conf 查看syslogd的配置，并确认日志文件是否存在

系统日志（默认）/var/log/messages

cron日志（默认）/var/log/cron

安全日志（默认）/var/log/secure

基线符合性判定依据

若未设置，则低于安全要求

备注

安全基线项目名称

操作系统 Linux core dump 状态安全基线要求项

安全基线编号

SBL-Linux-04-01-01

安全基线项说 明

系统文件-系统 core dump 状态

检测操作步骤

执行：more /etc/security/limits.conf 检查是否包含下列项：* soft core 0

* hard core 0

基线符合性判定依据

若不存在，则低于安全要求

备注

补充操作说明

core dump 中可能包括系统信息，易被入侵者利用，建议关闭

安全基线项目名称

操作系统系统服务管理安全基线要求项

安全基线编号

SBL-Linux-04-02-01

安全基线项说 明

根据实际情况，关闭不必要的系统服务，如：finger，kudzu，isdn，nfs，apm，sound，pcmcia，vsftpd,imap，sendmail，Bluetooth,RPC,telnet

检测操作步骤

1、grep -v “#” /etc/inetd.conf检查不必要开启的服务。

2、#chkconfig --list           #显示服务列表

   #chkconfig servicename off     #关闭服务自启动

   #service stop servicename       #关闭指定服务

基线符合性判定依据

在无特殊应用情况下，若有上述提到的服务开启，则不符合要求。

备注