1、Linux系統安全加固參考信息目錄1操作系統安全-身份鑒別31.1對登錄操作系統的用戶進行身份標識和鑒別31.2最小密碼長度31.3密碼復雜度31.4密碼字典41.5系統密碼使用時間41.6對失敗登錄的次數進行限制41.7密碼重復使用次數設置51.8SSH服務IP，端口，協議，允許密碼錯誤的次數，網絡中允許打開的會 話數51.9root賬號遠程登錄設置51.10防止任何人使用su命令連接root用戶61.11系統Banner設置62操作系統安全-訪問控制72.1修改帳戶口令，更改默認帳戶的訪問權限72.2刪除多余的、過期的帳戶，避免共享帳戶的存在72.3限制超級管理員遠程登錄83操作系統安全-

2、入侵防范83.1僅安裝需要的應用程序，關閉不需要的服務和端口83.2關閉不必要的服務83.3網絡訪問控制策略94操作系統安全-資源控制94.1根據安全策略設置登錄終端的空閑超時斷開會話或鎖定94.2文件創建初始權限94.3設置合適的歷史命令數量94.4系統磁盤剩余空間充分滿足近期的業務需求104.5檢查并記錄操作系統的分區情況和文件系統利用率105操作系統安全一日志105.1日志功能開啟105.2失敗登錄日志監控115.3syslog日志等級的安全配置115.4安全審計策略115.5系統日志記錄125.6啟用記錄cron行為日志功能和cron/at的使用情況126操作系統安全-系統安全126.

3、1補丁管理126.2檢查并記錄系統開啟的網絡端口136.3關閉無效服務和啟動項136.4僅允許特定IP允許訪問服務147操作系統安全-其它服務安全147.1FTP配置文件147.2R族文件157.3NFS文件系統配置情況檢查157.4FTP用戶及服務安全151操作系統安全-身份鑒別1.1對登錄操作系統的用戶進行身份標識和鑒別要求需對所有的帳號設置密碼，要求在登陸系統時必須輸入口令進行身份驗證。解決方法對于當前用戶使用命令passwd <密碼 > 進仃密碼設置；對于其他用戶則使用root權限登錄后，使用命令“passwd <用戶名> <密碼 > ”進行密碼設置

4、。備注1.2最小密碼長度要求密碼長度、使用密碼字典解決方法vi /etc/security/userminlen = 8/疋義口令的最小長度，注意口令的最小長度由minlen和minalpha+minother中較大的一個值來決疋。 minalpha+minother不應該大于 8,如果大于 8則minother會變為8-minalpha。（minalpha = 4/定義在口令中最少的字母的數量，默認是0,范圍是：0到8minother = 0 /定義在口令中最少的非字母的數量，默認是0,范圍是：0到8）備注1.3密碼復雜度要求密碼復雜度解決方法vi /etc/security/user密碼復

5、雜程度要求包含數字和字母/etc/security/userMinalpha= 4定義在口令中最少的字母的數量，默認是0,范圍是：0到8Minother = 4/定義在口令中最少的非字母的數量，默認是0,范圍是：0到8備注1.4密碼字典要求使用密碼字典檢查新密碼解決方法使用/etc/security/userDictio nlist = /usr/share/dict/words備注1.5系統密碼使用時間要求密碼使用時間解決方法密碼定期更改間隔設置為12周或更短/etc/security/userMaxage=12備注1.6對失敗登錄的次數進行限制要求對失敗登錄的次數進行限制解決方法允許的失敗

6、登陸次數設置為5次或5次以下/etc/security/userLogi nretries=5備注1.7密碼重復使用次數設置要求密碼重復使用次數設置為至少8次解決方法/etc/security/userhistsize=8備注1.8 SSH服務IP,端口，協議，允許密碼錯誤的次數，網絡中允許打開的會話數要求SSH服務IP，端口，協議，最大允許認證次數，網絡中允許打開的會話數解決方法cat /etc/ssh/sshd_c onfigPort 22/SSH 服務端端口為 22ListenAddress /SSH 服務端監聽地址為 SyslogFacility AUTHP

7、RIV/系統登錄功能有加密LoginGraceTime0/限制用戶必須在指定的時間內認證成功，0表示不限制，2m為兩個月內。MaxAuthTries 6/指疋每個連接最大允許的認證次數，默認值是6。如果失敗認證的次數超過這個數值的一半，連接 將被強制斷開，且會生成額外的失敗日志消息。MaxSessions 10/指疋每個網絡連接允許打開會話的最大數目，默認10MaxStarups 10/最大允許保持多少個未認證的連接，默認10。達到限制后，將不再接受新連接，除非先前的連接認證成功或超過 LoginGraceTime 的限制。備注修改完成后，重啟ssh服務service sshd restart

8、備注1.9 root賬號遠程登錄設置要求不允許root直接登錄及相關配置解決方法使用命令vi /etc/ssh/sshd_co nfig編輯配置文件#cat /etc/ssh/sshd_c onfigPermitRootLoginyes/是否允許 root 登錄。PasswordAuthe nticati onyes/密碼是否有認證選yes有Challe ngeResp on seAuthe nticati onno /攻擊響應認證否GSSAPIAuthe nticati onyes/通用安全服務應用程序接口認證是UsePAM no /如果啟用了 PAM，那么必須使用 root才能運行sshd

9、。設置"PermitRootLogin ” 的值為no備注修改完成后，重啟ssh服務service sshd restart1.10防止任何人使用su命令連接root用戶要求不想任何人都可以用“ 命令su ”命令成:root或只讓某些用戶有權使用“si解決方法備注1.11系統Banner設置要求通過修改系統banner,避免泄漏操作系統名稱，版本號，主機名稱等，并且給出登陸告警信息解決方法設置系統Banner的操作如下：在/etc/security/login.cfg 文件中，在 default 小節增加：herald = "ATTENTION:You have logge

10、d onto a secured server.All accesses logged.nnl ogi n:"備注2操作系統安全-訪問控制2.1修改帳戶口令，更改默認帳戶的訪問權限要求嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些 帳戶的默認口令解決方法使用命令cat /etc/password文件來查看默認賬戶，并使用命令cat/etc/shadow 查看文件中的口令是否為默認口令。使用root賬戶進行登錄，使用命令"passwd username password來修改用戶的口令。對于無法重命名的系統默認帳號，為增強主機系統的安全性，建議使用命令“ smit

11、user”，將與業務無關的系統默認用戶進行鎖定；備注此操作具有一定的危險性，需要與管理員確認此項操作不會影響到業務系 統的登錄，以免影響正常業務應用。2.2刪除多余的、過期的帳戶，避免共享帳戶的存在要求刪除多余的、過期的帳戶，避免共享帳戶的存在解決方法方法一：可使用命令“ smit user”，將多余的、過期的帳戶，共享帳戶等系統默認用 戶進行鎖定；使用命令smit user解鎖不必要的賬號使用命令“smit user”刪除多余、過期的賬號方法二：vi /etc/security/user相關用戶acco un t_locked = true備注此操作具有一定的危險性，需要與管理員確認此項操作

12、不會影響到業務系 統的登錄，以免影響正常業務應用。2.3限制超級管理員遠程登錄要求限制具備超級管理員權限的用戶遠程登錄。遠程執行管理員權限操作，應 先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬。解決方法系統當前狀態：執行Isuser -a rlogin root命令，查看 root的rlogin屬性并記錄實施步驟：參考配置操作：（1）、查看root的rlogin屬性：#lsuser -a rlog in root（2）、禁止root遠程登陸：#chuser rlogi n=false root備注還原root可以遠程登陸，執行如下命令：#chuser rlogi n=true root

13、3操作系統安全-入侵防范3.1僅安裝需要的應用程序，關閉不需要的服務和端口要求1詢問相關維護人員，主機系統是除裝有正常業務應用所需要的程序外，是否還安裝有與業務應用無關的其它程序；2詢問相關維護人員并獲取授權安裝軟件清單文檔，查看當前操作系統 中是否安裝有非清單內的應用軟件。3詢問相關維護人員，是否關閉了除正常業務應用之外的所有服務與端口， 具體檢查方法：使用命令 netstat - an 查看開放的端口；解決方法使用命令netstat - an查看開放的端口；備注3.2關閉不必要的服務要求關閉不必要的服務解決方法（9）要開啟審計服務auditd備注3.3網絡訪問控制策略要求1訪談系統管理員，

14、是否制定了嚴格的訪問控制策略，包括是否限制登錄用戶，對遠程登錄的IP是否有限制，采用哪種遠程登錄方式等。解決方法查看hosts.allow、hosts.deny是否對某些服務，某些IP進行了限制。#cat hosts.allowSshd:210.13.218.*:allow / 表示允許 210ip 段連接 shhd 服務#cat hosts.de nySshd:all:deny/表示拒絕所有sshd遠程連接當 hosts.allow與 hosts.deny相沖突時以 hosts.allow為準。備注4操作系統安全-資源控制4.1根據安全策略設置登錄終端的空閑超時斷開會話或鎖定要求根據安全策略

15、設置登錄終端的空閑超時斷開會話或鎖定解決方法可使用命令cat /etc/profile |grep TMOUT查看超時的時間設置。使用命令“ vi /etc/profile ”修改配置文件，添加行“ TMOUT=180 ”，單位為秒，即超時時間為 3分鐘。備注超時時間的設置需要與應用管理員進行確認，以免影響正常業務應用。4.2文件創建初始權限要求文件創建初始權限解決方法vi /etc/security/user 設置umask值 umask 077#適用root用戶，其它用戶不可讀umask 022#適用非root用戶，其它用戶可讀不可寫備注4.3設置合適的歷史命令數量要求設置合適的歷史命令數

16、量解決方法編輯“ /etc/profile”文件，HISTFILESIZE 和 HISTSIZE 都設成了一個比較小的值。HISTSIZE=80HISTFILESIZE=80備注4.4系統磁盤剩余空間充分滿足近期的業務需求要求1檢查用戶是否建立有服務器備份存儲及介質空間管理制度文檔，檢查其中是否對主機系統的磁盤空間的大小做出明確的要求；2檢查主機系統的磁盤空間，查看各個分區是否有充足的剩余磁盤空間來滿 足近期的業務需求。使用命令 df - hl命令來查看當前磁盤占用空間情況解決方法建議如下：1建立服務器備份存儲及介質空間管理制度文檔，并在其中對程序及重要數據的備份、對主機系統的磁盤空間的大小等

17、項目做出明確的要求；2管理員定期檢查所有主機系統的磁盤占用空間及其它資源占用情況，如果發現磁盤空間不夠，由相關技術人員提出申請，進行磁盤空間的擴充。備注4.5檢查并記錄操作系統的分區情況和文件系統利用率要求檢查并記錄操作系統的分區情況和文件系統利用率解決方法df - h可以查看相關信息：Filesystem size used avail use% mounted on 文件系統大小已用可用使用率掛載點當使用率過高時要注意了！備注5操作系統安全一日志5.1日志功能開啟要求啟用日志記錄功能解決方法syslog的配置主要通過/etc/syslog.conf配置，日志信息可以記錄在本地的文 件當中(

18、如/var/adm/messages)或遠程的主機上(hostname)。startsrc -s syslogd 啟動 syslog服務 stopsrc-s syslogd 停止 syslog服務備注5.2失敗登錄日志監控要求通過系統日志的方式記錄失敗的登錄嘗試解決方法系統記錄失敗的用戶登錄/etc/security/failedloginWho /etc/security/failedlogin 查看備注5.3 syslog日志等級的安全配置要求syslog日志等級的安全配置解決方法syslog配置文件要求：修改文件安全設置/etc/syslog.co nf配置文件中包含一下日志記錄：*.e

19、rr/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,authpriv.i nfo/var/adm/authlog備注5.4安全審計策略要求安全審計策略解決方法方法：查看系統日志配置，執行：#cat /etc/syslog.c onf查看syslogd的配置，并確認日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages/系統日志默認存放在/var/log/messagescron.*/var/log/croncro

20、n 日志默認存放在 /var/log/cronauthpriv.* /var/log/secure/ 安全日志默認存放在 /var/log/secure備注5.5系統日志記錄要求查年系統日志記錄解決方法執行：cat /etc/log/secure / 記錄 pop3,telnet,ssh,ftp 登陸信息的文件last - R/查看前50次登陸系統用戶的信息cat /etc/log/messages /查看系統發生的錯誤信息(包括登陸信息)備注5.6啟用記錄cron行為日志功能和cron/at的使用情況要求啟用記錄cron行為日志功能和 cron/at的使用情況解決方法cron/At的相關文件

21、主要有以下幾個：/var/spool/cron/crontabs 存放 cron 任務的目錄 /var/spool/cr on/cron .allow 允許使用 cron tab 命令的用戶 /var/spool/cr on/cron.deny不允許使用 cron tab 命令的用戶/var/spool/cron/atjobs存放 at 任務的目錄/var/spool/cron/at.allow允許使用 at 的用戶/var/spool/cron/at.deny不允許使用 at 的用戶使用cron tab和at命令可以分別對 cron和at任務進行控制。#crontab -l查看當前的 cro

22、n任務#at -l查看當前的at任務備注6操作系統安全-系統安全6.1補丁管理要求系統補丁安裝標準解決方法執行oslevel - r命令或instfix -i|grep ML命令，查看補丁當前安裝的狀況和 版本。使用instfixaik命令來元成補丁的安裝操作。、，、.注意:(1)、在AIX系統中涉及安全的補丁包有以下幾種：推存維護包(Recommended扎Maintenance Packages):由一系列最新的文 件集組成的軟件包，包含了特定的操作系統(如AIX 5.2 )發布以來的所有文件集的補丁。關鍵補丁 Critical fixes(cfix):自推存維護包之后，修補關鍵性漏洞的補

23、丁。緊急補丁 Emergency fixes（efix）:自推存維護包之后，修補緊急女全漏洞的 補丁。（2）、補丁安裝原則：在新裝和重新安裝系統后，必須安裝最新的推薦維護包，以及該最新推薦維護包以來的所有單獨的cfix和efix。日常維護中如果廠家推出新的RM、cfix、efix則按照原補丁維護管理規定進行補丁安裝。備注應根據需要及時進行補丁裝載。注意：補丁更新要慎重，可能出現硬件不 兼容，或者影響當前的應用系統，安裝補丁之前要經過測試和驗證。6.2檢查并記錄系統開啟的網絡端口要求檢查并記錄系統開啟的網絡端口解決方法netstat - antp （查看開啟的 tcp端口） netstat -

24、anup （查看開啟的 udp端口） 其中：Proto顯示連接使用的協議Local Address查看本地地址及端口備注6.3關閉無效服務和啟動項要求關閉無效服務和啟動項解決方法查看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件并記錄當前配置；查看 /etc/inetd.conf文件并記錄當前的配置（一）、rc.dAIX系統中的服務主要在 /etc/inittab文件和/etc/rc.* （包括rc.tcpip, rc.nfs） 等文件中啟動，事實上，/etc/rc.*系列文件主要也是由/etc/inittab啟動。冋時，AIX中所有啟動的服務（至少與業

25、務相關的）都可以同過SRC（ SystemResource Manage）進行管理。可以有二種方式查看系統服務的啟動情況：（1）、使用 vi 查看 /etc/inittab、/etc/rc.tcpip 和 /etc/rc.nfs 等文件；（2）、使用 lssrc 和 lsitab 命令；（3）、通過smit查看和更改。注：SRC本身通過/etc/inittab文件啟動。lssrc -a列出所有SRC管理的服務的狀態lsitab -a列出所有由/etc/inittab 啟動的信息，和 cat /etc/inittab 基本相冋，除了沒有注釋。根據管理員所提供的服務列表與當前系統中所啟動的服務列表

26、相對比，女口 果發現與業務應用無關的服務，或不必要的服務和啟動項，則關閉掉或禁 用；也可以對服務做適當配置。（二）、in etd.c onf由INETD 啟動的服務在文件 /etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動），因此查看INETD啟動的服務的情況有兩種方法：（1）、使用vi查看/etc/inetd.conf中沒有注釋的行；（2）、使用Issrc命令。Issrc -l -s inetd查看inetd的狀態以及由INETD 啟動的服務的狀態； refresh -s inetd 更改 /etc/inetd.conf 文件后重啟 inetd。建議

27、關閉由inetd啟動的所有服務；如果有管理上的需要，可以打開telnetd、 ftpd、rlogind、rshd 等服務。啟動或停止inetd啟動的服務（例如 ftpd）:（1） 、使用vi編輯/etc/inetd.conf，去掉注釋（啟動）或注釋掉（停止）ftpd 所在的行；（2） 、重啟 inetd: refresh -s inetc。根據管理員所提供的服務列表與當前系統中所啟動的服務列表相對比，女口 果發現與業務應用無關的服務，或不必要的服務和啟動項，則關閉掉或禁 用；也可以對服務做適當配置。備注6.4僅允許特定IP允許訪問服務要求僅允許特定IP允許訪問服務解決方法查看hosts.allow、hosts.deny是否對某些服務，某些IP進行了限制。#cat /etc/hosts.allowSshd:210.13.218.*:allow / 表示允許 210ip 段連接 shhd 服務#cat /etc/hosts.de nySshd:all:deny/表示拒絕所有sshd遠程連接當 hosts.allow與 hosts.deny相沖突時以 hosts.allow為準。備注7操作系統安全-其它服務安全