1、Linux系統安全配置基線第1章帳號管理、認證授權1.1帳號1.1.1用戶口令設置安全基線項 目名稱操作系統Linux用戶口令設置安全基線要求項安全基線編 號SBL-Linux-02-01-01安全基線項 說明對于米用靜態口令認證技術的設備，帳戶口令的生存期不長于90天。檢測操作步 驟1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：root/root, test/test, root/root12342、執行：more /etc/login.defs ,檢查 PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE 參數3、執行：awk -F: '($

2、2 = "") print $1 ' /etc/shadow,檢查是否存在空 口令帳號基線符合性 判定依據建議在/etc/login.defs文件中配置：PASS_MAX_DAYS90#新建用戶的密碼X使次數PASS_MIN_DAYS0#新建用戶的密碼最短使用天數PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數不存在空口令帳號備注1.1.2用戶口令強度要求安全基線項 目名稱操作系統Linux用戶口令強度安全基線要求項安全基線編 號SBL-Linux-02-01-02安全基線項 說明對于米用靜態口令認證技術白設備，口令長度至少8位，并包括數字、小寫字母、大

3、寫字母和特殊符號 4類中至少2類。檢測操作步 驟/etc/pam.d/system-auth文件中是否對pam_cracklib.so的參數進行了正確設置。基線符合性 判定依據建議在/etc/pam.d/system-auth文件中配置：password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1dcredit=1至少8位，包含一位大寫字母，一位小寫字母和一位數字備注1.1.3用戶鎖定策略安全基線項 目名稱操作系統Linux用戶口令鎖定策略安全基線要求項安全基線編 號SBL-Linux-02-01-03安全基

4、線項 說明對于米用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過10次，鎖定該用戶使用的帳號。檢測操作步 驟/etc/pam.d/system-auth文件中是否對 pam_tally.so的參數進行了正確設置。基線符合性 判定依據設置連續輸錯10次密碼，帳號鎖定5分鐘，使用命令vi/etc/pam.d/ system-auth修改配置文件，添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300 注：解鎖用戶 faillog -u用戶名 -r備注1.1.4 root用戶遠程登錄限制安全基線項 目名稱操作系統Lin

5、ux遠程登錄安全基線要求項安全基線編 號SBL-Linux-02-01-04安全基線項 說明帳號與口令-root用戶遠程登錄限制檢測操作步 驟執行： more /etc/securetty, 檢查 Console 參數基線符合性 判定依據建議在 /etc/securetty 文件中配置：CONSOLE = /dev/tty01備注1.1.5 檢查是否存在除root之外UID為0的用戶安全基線項 目名稱操作系統Linux超級用戶策略安全基線要求項安全基線編 號SBL-Linux-02-01-05安全基線項 說明帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步 驟執行：awk -F

6、: '($3 = 0) print $1 ' /etc/passwd基線符合性 判定依據返回值包括“root”以外的條目，則低于安全要求；備注補充操作說明UID為0的任何用戶都擁有系統的最高特權，保證只有root用戶的UID為01.1.6 root用戶環境變量的安全性安全基線項 目名稱操作系統Linux超級用戶環境變量安全基線要求項安全基線編 號SBL-Linux-02-01-06安全基線項 說明帳號與口令-root用戶環境變量的安全性檢測操作步 驟執行：echo $PATH | egrep '(A|:)(.|:|$)',檢查是否包含父目錄，執行：find &#

7、39;echo $PATH | tr':'''、-type d ( -perm -002 -o -perm -020 ) -Is ，檢查是否包含組目錄權限為777的目錄基線符合性 判定依據返回值包含以上條件，則低于安全要求；備注補充操作說明確保root用戶的系統路徑中不包含父目錄，在非必要的情況下，不應包含組 權限為777的目錄1.2認證1.2.1 遠程連接的安全性配置安全基線項 目名稱操作系統Linux遠程連接安全基線要求項安全基線編 號SBL-Linux-02-02-01安全基線項 說明帳號與口令-遠程連接的安全性配置檢測操作步 驟執行：find / -na

8、me .netrc,檢查系統中是否有 .netrc文件，執行：find / -name .rhosts ,檢查系統中是否有 .rhosts文件基線符合性 判定依據返回值包含以上條件，則低于安全要求；備注補充操作說明如無必要，刪除這兩個文件1.2.2 用戶的umask安全配置安全基線項 目名稱操作系統Linux用戶umask女全基線要求項安全基線編 號SBL-Linux-02-02-02安全基線項 說明帳號與口令-用戶的umask安全配置檢測操作步 驟執行： more /etc/profile more /etc/csh.login more /etc/csh.cshrc more/etc/ba

9、shrc 檢查是否包含 umask 值且 umask=027基線符合性 判定依據umask值是默認的，則低于安全要求備注補充操作說明建議設置用戶的默認 umask=0271.2.3 重要目錄和文件的權限設置安全基線項 目名稱操作系統Linux目錄文件權限安全基線要求項安全基線編 號SBL-Linux-02-02-03安全基線項 說明文件系統-重要目錄和文件的權限設置檢測操作步 驟執行以下命令檢查目錄和文件的權限設置情況：ls-l/etc/ls-l/etc/rc.d/init.d/Is-l/tmpls-l/etc/inetd.confls-l/etc/passwdls-l/etc/shadowl

10、s-l/etc/groupls-l/etc/securityls-l/etc/servicesls -l /etc/rc*.d基線符合性 判定依據若權限過低，則低于冷要求；備注補充操作說明對于重要目錄，建議執行如下類似操作：# chmod -R 750 /etc/rc.d/init.d/*這樣只有root可以讀、寫和執行這個目錄下的腳本。1.2.4 查找未授權的 SUID/SGID 文件*安全基線項 目名稱操作系統Linux SUID/SGID文件安全基線要求項安全基線編 號SBL-Linux-02-02-04安全基線項 說明文件系統-查找未授權的SUID/SGID文件檢測操作步 驟用卜面的命

11、令查找系統中所有的SUID和SGID程序，執行：for PART in 'grep -v A# /etc/fstab | awk '($6 != "0") print $2 '、； do find $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -print Done基線符合性 判定依據若存在未授權的文件，則低于冷要求；備注需要手工檢查。補充操作說明建議經常性的對比suid/sgid文件列表，以便能夠及時發現可疑的后門程序1.2.5 檢查任何人都有寫權限的目錄 *安全基線項 目名稱操作系統Li

12、nux目錄寫權限安全基線要求項安全基線編 號SBL-Linux-02-02-05安全基線項 說明文件系統-檢查任何人都啟與權限的目錄檢測操作步 驟在系統中定位任何人都有與權限的目錄用卜面的命令：for PART in 'awk '($3 = "ext2" | $3 = "ext3") print $2 ' /etc/fstab' dofind $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基線符合性 判定依據若返回值非空，則伸汗安全要求；備注需

13、要手工檢查。1.2.6 查找任何人都有寫權限的文件*安全基線項 目名稱操作系統Linux文件寫權限安全基線要求項安全基線編 號SBL-Linux-02-02-06安全基線項 說明文件系統-查找任何人都有寫權限的文件檢測操作步 驟在系統中定位任何人都有寫權限的文件用下面的命令：for PART in 'grep -v A# /etc/fstab | awk '($6 != "0") print $2 '' do find $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDon

14、e基線符合性 判定依據若返回值非空，則伸汗安全要求；備注需要手工檢查。1.2.7 檢查沒有屬主的文件安全基線項 目名稱操作系統Linux文件所有權女全基線要求項安全基線編 號SBL-Linux-02-02-07安全基線項 說明文件系統-檢查沒有屬上的文件檢測操作步 驟定位系統中沒有屬上的文件用下面的命令：for PART in 'grep -v A# /etc/fstab | awk '($6 != "0") print $2 '、； dofind $PART -nouser -o -nogroup -printdone注意：不用管" /d

15、ev”目錄下的那些文件。基線符合性 判定依據若返回值非空，則伸汗安全要求；備注需要手工檢查。補充操作說明發現沒有屬土的文件往往就意味著有黑客入侵你的系統了。不能允許沒有土 人的文件存在。如果在系統中發現了沒有主人的文件或目錄，先查看它的完 整性，如果一切正常，給它一個主人。有時候卸載程序可能會出現一些沒有 主人的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。1.2.8 檢查異常隱含文件*安全基線項 目名稱操作系統Linux隱含文件安全基線要求項安全基線編 號SBL-Linux-02-02-08安全基線項 說明文件系統-檢查異常隱含文件檢測操作步 驟用“find”程序可以查找到這些隱含文件

16、。例如：# find / -name ". *" -print idev# find / -name "*" -print -xdev | cat -v同時也要注意象" .xx”和“.mail”這樣的文件名的。（這些文件名看起來都 很象正常的文件名）基線符合性 判定依據若返回值非空，則伸汗安全要求；備注需要手工檢查。補充操作說明在系統的每個地方都要查下有沒有異常隱含文件（點號是起始字符的，用“ls”命令看不到的文件），因為這些文件可能是隱藏的黑客工具或者其它一些信息（口令破解程序、其它系統的口令文件，等等）。在UNIX下，一個常用的技術就是用一

17、些特殊的名，如：“”、“.”（點點空格）或“JG”（點點control-G ）,來隱含文件或目錄。1.2.9 登錄超時設置安全基線項 目名稱操作系統Linux登錄超時設置安全基線編 號SBL-Linux-02-02-09安全基線項 說明帳號與口令-檢查登錄超時設置檢測操作步 驟使用命令" cat /etc/profile |grep TMOUT ”查看TMOUT 是否被設置基線符合性 判定依據返回值為空或值低于 180,則低于安全要求備注使用命令 vi/etc/pro巾le 修改配直文件，添加 TMOUT- 仃開頭的注釋， 建議設置為“ TMOUT-180 ”，即超時時間為 3分鐘1

18、.2.10 使用SSH遠程登錄安全基線項 目名稱操作系統Linux SSH安全連接要求安全基線編 號SBL-Linux-02-02-10安全基線項 說明對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議。檢測操作步 驟查看SSH服務狀態：# service ssh status查有telnet服務狀態：# service telnet status基線符合性 判定依據SSH服務狀態查看結果為：runningtelnet 服務狀結果為： not running/unrecognized備注1.2.11 Root遠程登錄限制安全基線項 目名稱操作系統Linux超級用戶登錄設置安全基

19、線編 號SBL-Linux-02-02-11安全基線項 說明對SSH服務進行安全檢查檢測操作步 驟使用命令cat /etc/ssh/sshd_config 查看配直文件(1)檢查是否允許root直接登錄檢查“PermitRootLogin "的值是否為no(2)檢查SSH使用的協議版本檢查"Protocol "的值基線符合性 判定依據使用命令vi/etc/ssh/sshd_con的 編輯配直文件(1)不允許root直接登錄設置"PermitRootLogin ”的值為 no(2)修改SSH使用的協議版本設置"Protocol ”的版本為2備注r

20、oot用戶需要使用普通用戶遠程登錄后su進行系統管理1.2.12 關閉不必要的服務*安全基線項 目名稱操作系統Linux關閉不必要的服務安全基線編 號SBL-Linux-02-02-12安全基線項 說明帳號與口令-關閉不必要的服務檢測操作步 驟使用命令" who -r ”查看當前init級別使用命令 chkconfig -list <服務名 > 查有所有服務的狀態基線符合性 判定依據若有不必要的系統在當前級別下為on,則低于冷要求備注需要手工檢查。使用命令"chkconfig -level init級別服務名 on|off|reset”設置服務在個init級別卜開機是否啟動第2章日志審計2.1日志2.1.1 syslog登錄事件記錄*安全基線項 目名稱操作系統Linux登錄審計安全基線要求項安全基線編 號SBL-Linux-03-01-01安全基線項 說明日志審計-syslog登錄事件記錄檢測操作步 驟執行