1、Linux安全配置規范2011年 3 月第一章 概述1.1適用范圍適用于中國電信使用 LinUX操作系統的設備。本規范明確了安全配置 的基本要求，適用于所有的安全等級，可作為編制設備入網測試、安全驗 收、安全檢查規范等文檔的參考。由于版本不同，配置操作有所不同，本規范以內核版本及以上為例， 給出參考配置操作。第二章安全配置要求賬號編號：1要求內容應按照不同的用戶分配不同的賬號。避免不同用戶間 共享賬號。避免用戶賬號和設備間通信使用的賬號共 享。操作指南1、參考配置操作為用戶創建賬號：#USeradd USername # 倉U建賬號#PaSSWd USername # 設置密碼修改權限：#Ch

2、mod 750 directory # 其中750為設置的權限，可根據實際情況設置相應的權限，directory是要更改權限的目錄）使用該命令為不冋的用戶分配不冋的賬號，設置不冋 的口令及權限信息等。2、補充操作說明檢測方法1、判定條件能夠登錄成功并且可以進行常用操作；2、檢測操作使用不同的賬號進行登錄并進行 些常用操作；3、補充說明編號：2要求內容應刪除或鎖疋與設備運仃、維護等工作無關的賬號。操作指南1、參考配置操作刪除用戶：#USerdel USer name;鎖定用戶：1）修改/etc/ShadOW 文件，用戶名后加*LK*2）將尼tc/passwd 文件中的 shell 域 設置成bi

3、 n/false3）#PaSSWd -l USer name只有具備超級用戶權限的使用者方可使用，#PaSSWd-l USername 鎖定用戶,用 #PaSSWd - d USername 解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/ShadOW能保留原有密碼。2、補充操作說明需要鎖定的用戶：IiSte n, gdm,webservd ,n Obody ,n Obody4、no access。注：無關的賬號主要指測試帳戶、共享帳號、長期不用賬號（半年以上未用）等檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關的賬號登錄系統；3、補充說明需要鎖

4、定的用戶：Iiste n, gdm,webservd ,n obody ,n obody4、no access。編號：3要求內容根據系統要求及用戶的業務需求，建立多帳戶組，將 用戶賬號分配到相應的帳戶組。操作指南1、參考配置操作Cat etcpasswdCat /etc/group2、補充操作說明檢測方法1、判定條件人工分析判斷2、檢測操作編號：4要求內容使用PAM禁止任何人SU為root操作指南參考操作：編輯SU文件(Vi etcsu),在幵頭添加下面兩行：auth SUffiCie ntlibSeCUrityauth requiredlibSeCUrity group=wheel這表明只有

5、 wheel 組的成員可以使用SU命令成為root用戶。你可以把用戶添 加到wheel組，以使它可以使用SU命令成為root用戶。 添加方法為：# chmod - G10 USername檢測方法1、判定條件2、檢測操作Cat etcsu口令編號：1要求內容對于米用靜態口令認證技術的設備，口令長度至少8位，并包括數字、小與字母、大與字母和特殊符號4類中至少3類。操作指南1、參考配置操作Vi /etc/,修改設置如下PASS_MIN_LEN=8設定最小用戶密碼長度為 8位LinUX 用戶密碼的復雜度可以通過 Pam_CraCkIib module 或 Pam_PaSSWdqC module 進行

6、設置檢測方法1、判定條件不符合密碼強度的時候，系統對口令強度要求進行提示；符合密碼強度的時候，可以成功設置；2、檢測操作1、檢查口令強度配置選項是否可以進行如下配置：i. 配置口令的最小長度；ii. 將口令配置為強口令。2、創建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數字的簡單口令以及長度短于8的口令，查看系統是否對口令強度要求進行提示；輸入 帶有特殊符號的復雜口令、普通復雜口令，查看系統 是否可以成功設置。3、補充說明Pam_CraCkIib 主要參數說明:tretry=N:重試多少次后返回密碼修改錯誤 difok=N:新密碼必需與舊密碼不同的位數dcredit=N: N &

7、gt;= 0:密碼中最多有多少個數字 ；N V O密碼中最少有多少個數字Icredit=N:小寶字母的個數UCredit=N 大寶字母的個數Credit=N: 特殊字母的個數minClaSS=N:密碼組成（大/小字母，數字,特殊字符）Pam_PaSSWdqC主要參數說明:mix:設置口令字最小長度，默認值是mix=disabled 。max:設置口令字的最大長度，默認值是max=4PaSSPhrase:設置口令短語中單詞的最少個數，默認值是PaSSPhraSe=3 ,如果為0則禁用口令短語。atch:設置密碼串的常見程序，默認值是match=4。similar:設置當我們重設口令時，重新設置的

8、新口令能否與舊口令相似，它可以是SimiIar=Permit 允許 相似或SimiIar=deny 不允許相似。ran dom:設置隨機生成口令字的默認長度。默認值是random=42。設為0則禁止該功能。enforce:設置約束范圍，enforce=none 表示只警告弱口令字，但不禁止它們使用；en force=users 將對系統上的全體非根用戶實行這一限制； en force=everyo ne將對包括根用戶在內的全體用戶實行這一限制。non-un ix:它告訴這個模塊不要使用傳統的getpw nam函數調用獲得用戶信息。retry:設置用戶輸入口令字時允許重試的次數，默認值是retr

9、y=3 。密碼復雜度通過etcsystem-auth 實施編號：2要求內容對于爪用靜態口令認證技術的設備，帳戶口令的生存 期不長于90天。操作指南1、參考配置操作Vi /etc/PASS_MAX_DA YS=90設定口令的生存期不長于90天檢測方法1、判定條件登錄不成功；2、檢測操作使用超過90天的帳戶口令登錄；3、補充說明測試時可以將90天的設置縮短來做測試；文件及目錄權限編號：1要求內容在設備權限配置能力內，根據用戶的業務需要，配置 其所需的最小權限。操作指南1、參考配置操作通過Chmod命令對目錄的權限進行實際設置。2、補充操作說明etcpasswd 必須所有用戶都可讀，rootrw-r

10、 r /etc/ShadOW 只有 root 可讀r用戶可寫etcgroup須所有用戶都可讀，rootrw-r r 使用如下命令設置：Chmod 644 etcpasswdChmod 600 etcShadOWchmod 644 etcgroup用戶可寫如果是有寫權限，就需移去組及其它用戶對權限（特殊情況除外）執行命令 #chmod -R go-w etcIetc的寫檢測方法1、判定條件1、設備系統能夠提供用戶權限的配置選項， 用戶進行權限配置是否必須在用戶創建時進行;2、記錄能夠配置的權限選項內容；并記錄對3、所配置的權限規則應能夠正確應用，即用戶無法訪問授權范圍之外的系統資源，而可以訪問授

11、權范圍之內的系統資源。2、檢測操作1、利用管理員賬號登錄系統，并創建2個不同的用戶；2、創建用戶時查看系統是否提供了用戶權限級別以及 可訪問系統資源和命令的選項；3、 為兩個用戶分別配置不同的權限，2個用戶的權限 差異應能夠分別在用戶權限級別、可訪問系統資源以及可用命令等方面予以體現；4、分別利用2個新建的賬號訪問設備系統， 并分別嘗 試訪問允許訪問的內容和不允許訪問的內容，查看權限配置策略是否生效。3、補充說明編號：2要求內容，當在創建新文件或目錄時 應屏蔽掉新文件或目錄不 應有的訪問允許權限。防止同屬于該組的其它用戶及 別的組的用戶修改該用戶的文件或更高限制。操作指南1、參考配置操作設置默

12、認權限：Vi /etc/在末尾增加 UmaSk 027 ,將缺省訪問權限設置為750修改文件或目錄的權限，操作舉例如下：#Chmod 444 dir ; # 修改目錄 dir的權限為所有人都 為只讀。根據實際情況設置權限；2、補充操作說明如果用戶需要使用一個不同于默認全局系統設置的 UmaSk可以在需要的時候通過命令行設置，或者在用戶的shell啟動文件中配置。檢測方法1、判定條件權限設置符合實際需要；不應有的訪問允許權限被屏 蔽掉；2、檢測操作查看新建的文件或目錄的權限，操作舉例如下：#lS -I dir ; #查看目錄dir的權限#Cat /etc/查看是否有 UmaSk 027內容3、補

13、充說明UmaSk的默認設置一般為022,這給新創建的文件默認權限755( 777-022=755)，這會給文件所有者讀、寫 權限，但只給組成員和其他用戶讀權限。UmaSk的計算：UmaSk是使用八進制數據代碼設置的，對于目錄，該 值等于八進制數據代碼 777減去需要的默認權限對應 的八進制數據代碼值；對于文件，該值等于八進制數據代碼666減去需要的默認權限對應的八進制數據代 碼值。編號：3要求內容如果需要啟用FTP服務，當通過FTP服務創建新文件 或目錄時應屏蔽掉新文件或目錄不應有的訪冋允許權 限。操作指南1、參考配置操作以VSftP為例打幵etcvsftpdChroot_list文件，將需要

14、限制的用戶名加入到文件中2、補充操作說明檢測方法1、判定條件權限設置符合實際需要；不應有的訪問允許權限被屏 蔽掉；2、檢測操作查看新建的文件或目錄的權限，操作舉例如下：3、補充說明遠程登錄編號：1要求內容限制具備超級管理員權限的用戶遠程登錄。遠程執行管理員權限操作，應先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬號后執行相應操 作。操作指南1、參考配置操作編輯 etcpasswd， 帳號信息的 shell為sbi n/no Iog in的為禁止遠程登錄，如要允許，則改成可以登錄的shell即可，如 /bin/bash2、補充操作說明如果限制 root從遠程SSh登錄，修改/etc/ssh

15、/sshd_c onfig文件，將 PermitRootLoginyes改為 PermitRootLoginno ,重啟SShd服務。檢測方法1、判定條件root遠程登錄不成功,提示“沒有權限”；普通用戶可以登錄成功,而且可以切換到root用戶；2、檢測操作root從遠程使用telnet 登錄；普通用戶從遠程使用tel net 登錄；root從遠程使用SSh登錄；普通用戶從遠程使用SSh登錄；3、補充說明限制 root從遠程 SSh 登錄，修改/etc/ssh/sshd_c onfig文件，將 PermitRootLoginyes改為 PermitRootLoginno ,重啟SShd服務。編

16、號：2要求內容對于使用IP協議進行遠程維護的設備， 設備應配置使 用SSH等加密協議，并安全配置 SSHD勺設置。操作指南1、參考配置操作正常可以通過#/etc/sshd Start來啟動SSH;通過 #/etc/sshd stop 來停止 SSH2、補充操作說明查看SSH服務狀態：# PS - efgrep SSh注：禁止使用telnet等明文傳輸協議進行遠程維護；如特別需要，需采用訪問控制策略對其進行限制；檢測方法1、判定條件# PS - ef|grep SSh是否有SSh進程存在是否有tel net進程存在2、檢測操作查看SSH服務狀態：# PS - ef|grep SSh查看telne

17、t服務狀態：# PS - ef|grep telnet3、補充說明補丁安全編號：1要求內容在保證業務網絡穩定運行的前提下，安裝最新的OS補丁。補丁在安裝前需要測試確疋。操作指南1、參考配置操作看版本疋否為最新版本。執行下列命令，查看版本及大補丁號。#Uname - a2、補充操作說明檢測方法1、判定條件看版本疋否為最新版本。# Uname - a查看版本及大補丁號RedHat LinUX :SlaCkWare LinUXSUSE LinUX :TUrbOLinux :2、檢測操作在系統安裝時建議只安裝基本的OS部份，其余的軟件包則以必要為原則，非必需的包就不裝。3、補充說明日志安全要求編號：1

18、要求內容啟用SySlog系統日志審計功能操作指南1、參考配置操作#Cat/etc/查看是否有 #authpriv.*varlogSeCUre2、補充操作說明將authpirv 設備的任何級別 的信息記錄到varlogSeCUre文件中，這主要是一些和認證、權限使用相關的信息。檢測方法1、判定條件查看是否有 #authpriv.* varlogSeCUre2、檢測操作#Cat etc3、補充說明將authpirv 設備的任何級別 的信息記錄到varlogSeCUre文件中，這主要是一些和認證、權限使用相關的信息。編號：2要求內容系統日志文件由SySlog創立并且不可被其他用戶修 改；其它的系統日

19、志文件不是全局可寫操作指南1、參考配置操作查看如下等日志的訪問權限#1S -1查看下列日志文件權限varlogmessages、varlogSeCUre、varlogmaillog、varlogcro n、varlogspooler、varlog2、補充操作說明檢測方法1、判定條件2、檢測操作使用ls - l命令依次檢查系統日志的讀寫權限3、補充說明編號：3 （可選）要求內容啟用記錄cron行為日志功能操作指南1、參考配置操作Vi etc# Log cron StUff cron *cron *檢測方法1、判定條件2、檢測操作cron *編號：4 （可選）要求內容設備配置遠程日志功能，將需要重

20、點關注的日志內容 傳輸到日志服務器。操作指南1、參考配置操作修改配置文件Vi /etc/ ，加上這一行：可以將"*.*"替換為你實際需要的日志信息。比如：kern.* ; mail.*等等。可以將此處2、補充操作說明檢測方法1、判定條件設備配置遠程日志功能，將需要重點關注的日志內容傳輸到日志服務器。2、檢測操作查看日志服務器上的所收到的日志文件。3、補充說明不必要的服務、端口編號：1要求內容關閉不必要的服務。操作指南1、參考配置操作查看所有幵啟的服務：#PS - ef#ChkC Onfig -list#Cat /etc/在中關閉不用的服務首先復制/etc/ 。 #CP /e

21、tc/etcx然后用Vi編輯器編輯文件，對于需要注釋掉的服務在相應行幵頭標記"#"字符，重啟Xinetd服務,即可。2、補充操作說明參考附表，根據需要關閉不必要的服務檢測方法1、判定條件所需的服務都列出來；沒有不必要的服務；2、檢測操作#PS - ef#ChkC onfig -list#Cat /etc/3、補充說明在/etc/文件中禁止不必要的基本網絡服務。注意：改變了“/etc/ ”文件之后，需要重新啟動Xinetd。對必須提供的服務采用tcpwapper來保護系統Banner設置要求內容修改系統banner,避免泄漏操作系統名稱，版本號，主機名稱等，并且給出登陸告警信

22、息操作指南1、參考配置操作在缺省情況下，當你登錄到Iin UX系統，它會告訴你該 Iinux發行版的名稱、版本、內核版本、服務器的名稱。應該盡可能的隱藏系統信息。首先編輯“ /etc/ ”文件，在下面顯示的這些行前加一個“ #”，把輸出信息的命令注釋掉。# ThiS will OVerWrite /etc/issue at every boot.So, makeany Cha nges you Want to make to /etc/issue hereor youwill lose them Whe n you reboot.#echo "" > /etc/iss

23、ue#echo "$R" >> /etc/issue#echo "Ker nel $(Un ame -r) on $a $(Un ame -m)" >>/etc/issue#CP -f /etc/issue /etc/#echo >> etcissue其次刪除"/etc"目錄下的和issue文件：# mv etcissue /etc/檢測方法查看Cat /etc/ 注釋住處信息登錄超時時間設置要求內容對于具備字符交互界面的設備，配置定時帳戶自動登 出操作指南1、參考配置操作通過修改賬戶中“ TMOU

24、T參數，可以實現此功能。TMoU按秒計算。編輯profile 文件 (Vi /etc/profile),在“ HlSTFlLESlZE=” 后面加入下面這行：建議TMOUT=30(可根據情況設定)2、補充操作說明改變這項設置后，必須先注銷用戶，再用該用戶登錄 才能激活這個功能檢測方法1、判定條件查看 TMOUT=300刪除潛在危險文件要求內容.rhosts ，rc ,等文件都具有潛在的危險，如果沒有應 用，應該刪除操作指南1、參考配置操作執行：find/-name rc ,檢杳系統中是否有rc文件， 執行：find / -name .rhosts ,檢杳 系統 中是否 有.rhosts 文件如

25、無應用，刪除以上文件：MV .rhost .MV r .2、補充操作說明注意系統版本，用相應的方法執行檢測方法1、判定條件2、檢測操作FTP設置編號1:要求內容禁止root登陸FTP操作指南1、參考配置操作在ftpaccess文件中加入下列行 root檢測方法使用root帳號登錄ftp會被拒絕編號2:要求內容禁止匿名ftp操作指南1、參考配置操作以VSftPd為例：打幵文件，修改下列行為：anonymous_en able=NO檢測方法匿名賬戶不能登錄編號3:要求內容修改FTP banner信息操作指南1、參考配置操作使用VSftPd ,則修改下列文件的內容：/etc/使用wu-ftpd ，則

26、需要修改文件etcftpaccess ，在其中添加：bann er /path/to/ftpba nner在指定目錄下創建包含ftp的banner信息的文件檢測方法1、判斷依據通過外部ftp客戶端登錄，banner按照預先設定的顯示2、檢杳操作附表：端口及服務服務名稱端口應用說明關閉方法處置建議daytime13/tcpRFC867白天協議ChkCOnfig daytime off建議關閉13/udpRFC867白天協議ChkCOnfig daytime offtime37/tcp時間協議ChkCOnfig time off37/udp時間協議ChkC onfig time-udpoffech

27、o7/tcpRFC862_回聲協議ChkC onfig echo off7/udpRFC862_回聲協議ChkC onfig echo-udpoffdiscard9/tcpRFC863廢除協議ChkC onfig discard off9/udpChkC onfig discard-udp offCharge n19/tcpRFC864字符產生協議ChkC onfig Charge n off19/udpChkC onfig Charge n-udp offftp21/tcp文件傳輸協議ChkCOnfig gssftp off根據情（控制）況選擇幵放tel net23/tcp虛擬終端協議Chk

28、C onfig krb5-te Inet off根據情況選擇幵放Sen dmail25/tcp簡單郵件發送協議ChkC OnfigSen dmailoff建議關閉n ameserver53/udp域名服務ChkC onfig n amed off根據情況選擇幵放53/tcp域名服務ChkC onfig n amed off根據情況選擇幵放apache80/tcpHTTP萬維網發布服務ChkC onfig httpd off根據情況選擇幵放logi n513/tcp遠稈登錄ChkC onfig log in off根據情況選擇幵放shell514/tcp遠程命令，noPaSSWd USedChkC onfig shell off根據情況選擇幵放