Linux安全配置规范

要求内容

检查系统帐号和口令，禁止使用空口令帐号

操作指南：

以root身份执行：

# awk -F: '($2 == "") { print   $1 }' /etc/shadow 检查空口令帐号

#pwck     帐号检查

# cat /etc/passwd

# cat /etc/shadow 

# cat /etc/group

对照检查结果，询问管理员有效帐号有无异常，有无弱密码，建议删除不必要帐户并修改简单密码为复杂密码

检测方法：

# awk -F: '($2 == "") { print   $1 }' /etc/shadow 列出空密码帐号

实施风险：

可能影响某些管理维护的应用程序

备注：

要求内容

检查系统帐号和口令，检查是否存UID为0的帐号

操作指南：

以root身份执行：

# awk -F: '($3 == 0) { print $1 }'   /etc/passwd  检查UID为0的帐号

检测方法：

# awk -F: '($3 == 0) { print $1 }'   /etc/passwd  列出UID为0的帐号

实施风险：

可能影响某些管理维护的应用程序

备注：

要求内容

应该设置帐号超时自动注销

操作指南：

以root身份执行：

vi /etc/profile

增加

export TMOUT=600

检测方法：

# cat /etc/profile | grep TMOUT

实施风险：

可能影响某些管理维护的应用程序

备注：

要求内容

限制root远程登录

操作指南：

/etc/securetty文件中配置：CONSOLE = /dev/tty01

检测方法：

执行：more /etc/securetty，检查Console参数

实施风险：

可能影响某些管理维护的应用程序

备注：

要求内容

检查系统密码策略，是否符合必要的强度

操作指南：

以root身份执行：

# vi /etc/login.defs

建议设置参数如下：

PASS_MAX_DAYS        180  最大口令使用日期

PASS_MIN_LEN             8    最小口令长度

PASS_WARN_AGE          30    口令过期前警告天数

#vi  /etc/pam.d/system-auth

password required   /lib/security/pam_cracklib.so retry=3 type= minlen=8   difok=3 

最小口令长度设置为8

检测方法：

# cat /etc/login.defs

#cat /etc/pam.d/system-auth

实施风险：

可能影响管理维护

备注：

要求内容

检查系统引导管理器是否设置密码

检查方法

使用命令“cat   /etc/grub.conf|grep password”查看grub是否设置密码

使用命令“cat /etc/lilo.conf|grep   password”查看lilo是否设置密码

操作指南

为grub或lilo设置密码

参考操作：vi /etc/grub.conf

default=1

timeout=10

splashimage=(hd0,7)/boot/grub/splash.xpm.gz

password=123456

title Fedora Core (2.4.22-1.2061.nptl)

lock

root (hd0,7)

实施风险：

可能影响某些管理维护的应用程序

要求内容

禁用不必要的服务

操作指南：

以root身份执行

# chkconfig --list  (debian不支持)

使用命令“chkconfig --level  <init级别> <服务名> on|off|reset”设置服务在个init级别下开机是否启动

检测方法：

chkconfig –list

查看是否有不需要的服务

实施风险：

可能影响应用

备注：

要求内容

检查系统openssh安全配置，禁止使用协议1，和使用root直接登录

操作指南：

以root权限执行命令：

# cat /etc/ssh/sshd_config

或

#cat /etc/ssh2/sshd2_config

Openssh应禁止使用协议1,禁止root直接登录等，编辑sshd_config文件，设置：

Protocol 2

StrictModes yes

PermitRootLogin no

PrintLastLog yes

PermitEmptyPasswords no

检测方法：

# cat /etc/ssh/sshd_config

或

#cat /etc/ssh2/sshd2_config

是否符合以上设置

实施风险：

无

备注：

要求内容

如果打开了SNMP协议，snmp团体字设置不能使用默认的团体字

操作指南：

以root身份执行：

#cat /etc/snmp/snmpd.conf

应禁止使用public、private默认团体字，使用用户自定义的团体字

，例如将以下设置中的public替换为用户自定义的团体字：

com2sec notConfigUser  default       public

如无必要，管理员应禁止使用snmp服务

检测方法：

#cat /etc/snmp/snmpd.conf

实施风险：

可能影响应用

备注：

要求内容

禁用ctlr+alt+del组合键

操作指南：

检查系统是否禁用ctlraltdel组合键，以root身份执行以下命令：

# vi /etc/inittab

# grep –i ctrlaltdel /etc/inittab

禁止ctrl+alt+del组合键，以root身份编辑/etc/inittab文件,注释如下一行后重起系统：

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

检测方法：

# grep –i ctrlaltdel /etc/inittab

# ca::ctrlaltdel:/sbin/shutdown -t3 -r   now （表示已经禁用）

实施风险：

需要重起系统，可能影响应用

备注：

要求内容

检查系统root用户环境变量path设置中是否包含”.”

(root为了方便使用在他的当前路径末尾加了个点"."，存在安全隐患)

操作指南：

root用户环境变量path中不应包含当前目录”.“

以root身份执行如下命令：

# echo $PATH

/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.

检测方法：

# echo $PATH

实施风险：

无

备注：

要求内容

关闭系统信任主机

操作指南：

．rhosts文件中存储的是可以直接远程访问本系统的主机及用户名。当你用telnet命令或r* 命令(如rlogin、rcp等)来远程访问本系统时，系统首先检查．rhosts文件中是否存有你此时的主机名和用户名。当找到你的主机名和用户名后，它将允许你直接访问它，而不需输入口令。如果不是应用需要，管理员应禁用所有rhosts文件。

检查rhosts文件内容，以root身份执行如下命令：

#find / -name .rhosts

# find / -name .hosts.equiv

#查看上述rhosts文件和/etc/hosts.equiv内容

检测方法：

在各用户主目录下查看rhosts文件内容

应禁止rhosts文件和/etc/hosts.equiv

实施风险：

可能影响应用

备注：

hosts.equiv是不同主机间的信任关系，.rhosts是同一用户在不同主机间的信任。

要求内容

检查系统umask设置

操作指南：

以root权限执行命令：

使用命令“vi /etc/profile”修改配置文件，添加行“UMASK  027”，   即新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限，使用命令“umask   027”应用设置

检测方法：

#umask

至少设为027，最佳是077

实施风险：

可能影响应用

备注：

要求内容

检查系统umask设置

操作指南：

使用命令“vi /etc/profile”修改配置文件，修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令

检测方法：

使用命令“cat   /etc/profile|grep HISTSIZE=”和““cat   /etc/profile|grep HISTFILESIZE=”查看保留历史命令的条数

实施风险：

无

备注：

要求内容：

检查关键文件的属性, 把重要文件加上不可修改属性，

操作指南：

# chattr +i /etc/passwd

# chattr +i /etc/shadow

# chattr +i /etc/gshadow

# chattr +i /etc/group

修改密码时，有时会提示：　"userdel:   unable to open password file"

或：　"userdel: unable   to open group "　等

这时，　可以先　

chattr -i /etc/passwd

chattr -i /etc/group

chattr -i /etc/shadow

然后再执行:

userdel -rf   UserName

执行完后，　最好再把文件还原回去：

chattr +i /etc/passwd

chattr +i /etc/group

 chattr +i /etc/shadow

检测方法：

# lsattr  /etc/passwd

# lsattr    /etc/shadow

# lsattr  /etc/gshadow

# lsattr  /etc/group

实施风险：

可能影响应用

备注：

要求内容：

检查关键文件的权限,

/etc/shadow 文件属性应为400

/etc/xinetd.conf  文件属性应为600

grub.conf或lilo.conf  文件属性应为600

操作指南：

chmod +400 /etc/shadow

chomd +600 /etc/xinetd.conf

chomd +600 /etc/grub.conf

检测方法：

ls –la /etc/shadow

ls –la /etc/xinetd.conf

ls –la /etc/grub.conf

实施风险：

可能影响应用

备注：

要求内容：

检查系统磁盘分区剩余空间情况，区剩余空间应维持在20%以上，即已使用空间不超过80%

实施方案：

如果磁盘动态分区空间不足，建议管理员扩充磁盘空间。

检测方法：

以root身份执行：

# df –k

实施风险：

可能影响应用

备注：

要求内容：

检查系统日志审核，系统是否开启了日志审核

实施方案：

以root身份执行：

#vi /etc/syslog.conf

建议authpriv.*   

 /var/log/secure

检测方法：

service syslog status

Checking for service syslog:                      running

实施风险：

无

备注：