檢查范圍,檢查項名稱,檢查項編號,權重,檢查意見

系統文件管理,檢查是否禁止匿名FTP訪問,系統文件-禁止匿名ftp,80,"參考配置操作

以vsftpd為例：

打開vsftd.conf文件，修改下列行為：

anonymous_enable=NO

檢測方法

匿名帳戶不能登錄"

系統文件管理,檢查是否修改FTPbanner信息,系統文件-修改FTPbanner信息,80,"參考配置操作

使用vsftpd，則修改/etc/vsftpd.d/vsftpd.conf文件的內容：

ftpd_banner=Welcometo198FTPservice

使用wu-ftpd，則需要修改文件/etc/ftpaccess，在其中添加：

banner/path/to/ftpbanner"

系統文件管理,檢查是否關閉不必要的服務,系統文件-關閉不必要的服務,80,"參考配置操作

查看所有開啟的服務：

#ps–ef

#chkconfig--list

#cat/etc/xinetd.conf

在xinetd.conf中關閉不用的服務首先復/etc/xinetd.conf。#cp/etc/xinetd.conf/etc/xinetd.conf.backup然后用vi編輯器編輯xinetd.conf文件，對于需要注釋掉的服務在相應行開頭標記""#""字符，重啟xinetd服務，即可。

還可使用如下方式禁用不必要的服務

#service<服務名>stop

#chkconfig--level35off

補充操作說明

根據每臺機器的不同角色，關閉不需要的系統服務。操作指南中的服務項提供參考，根據服務器的角色和應用情況對啟動項進行修改。如無特殊需要，應關閉Sendmail、Telnet、Bind等服務Linux/Unix系統服務中，部分服務存在較高安全風險，應當禁用，包括：

“lpd”，此服務為行式打印機后臺程序，用于假脫機打印工作的UNIX后臺程序，此服務通常情況下不用，建議禁用；

“telnet”，此服務采用明文傳輸數據，登錄信息容易被竊取，建議用ssh代替；

“routed”，此服務為路由守候進程，使用動態RIP路由選擇協議建議禁用；

“sendmail”，此服務為郵件服務守護進程，非郵件服務器應將其

關閉；

“Bluetooth”，此服務為藍牙服務，如果不需要藍牙服務時應關閉；

“identd”，此服務為AUTH服務，在提供用戶信息方面與finger類似，一般情況下該服務不是必須的，建議關閉；

“xfs”，此服務為Linux中XWindow的字體服務，關于該服務歷史上出現過信息泄露和拒絕服務等漏洞，應以減少系統風險；

R服務(“rlogin”、“rwho”、“rsh”、“rexec”），R服務設計上存在嚴重的安全缺陷，僅適用于封閉環境中信任主機之間便捷訪問，其它場合下均必須禁用；

基于inetd/xinetd的服務(daytime、chargen、echo等），此類服務建議禁用。

判定條件

所需的服務都列出來；

沒有不必要的服務；

檢測操作

#ps–ef

#chkconfig--list

#cat/etc/xinetd.conf

補充說明

在/etc/xinetd.conf文件中禁止不必要的基本網絡服務。

注意：改變了“/etc/xinetd.conf”文件之后，需要重新啟動xinetd。

對必須提供的服務采用tcpwapper來保護"

系統文件管理,檢查是否對登錄超時時間配置,系統文件-登陸超時時間設置,80,"參考配置操作

通過修改帳戶中“TMOUT”參數，可以實現此功能。TMOUT按秒計算。編輯profile文件(vi/etc/profile），在“HISTFILESIZE=”后面加入下

面這行：建議TMOUT=${key}(可根據情況設定）

在/etc/bashrc文件中增加如下行：

exportHISTTIMEFORMAT=""%F%T""

再用cat/etc/bashrc查看是否有對應配置；"

系統文件管理,檢查系統coredump狀態,系統文件-系統coredump狀態,80,"執行：more/etc/security/limits.conf配置下列項：

*softcore0

執行：more/etc/security/limits.conf配置下列項：

*hardcore0"

系統文件管理,檢查系統磁盤狀態,系統文件-系統磁盤系統狀態,80,"執行：df-h，檢查當前系統文件配置情況

判定條件

保證有足夠的磁盤可用空間

補充操作說明

處理空間不足情況"

系統文件管理,檢查系統補丁,補丁,80,"在保證業務網絡穩定運行的前提下，安裝最新的OS補丁。補丁在安裝前需要測試確定。

參考配置操作

看版本是否為最新版本。

執行下列命令，查看版本及大補丁號。

#uname–a

補充操作說明

檢測方法1、判定條件

看版本是否為最新版本。

#uname–a查看版本及大補丁號

RedHatLinux：/support/errata/

SlackwareLinux：/pub/slackware/

SuSELinux：/us/support/security/index.html

TurboLinux：/security/

檢測操作

在系統安裝時建議只安裝基本的OS部份，其余的軟件包則以必要為原則，非必需的包就不裝。"

網絡通信配置,檢查是否開啟NTS服務,網絡與服務-只在必需NFS時，才開啟NFS,80,"執行：chkconfig--level345nfson起用NFS

chkconfig--level345nfsoff停用NFS

判定條件

無

補充操作說明

如非必要，建議停止NFS。Linux默認停止NFS

"

網絡通信配置,檢查常規網絡服務是否運行正常,網絡與服務-常規網絡服務,80,"詢問管理員或執行以下操作檢查系統運行那些常規網絡服務，并記錄各類服務的服務系統軟件類型和版本，對于運行的服務，提取相關配置文件信息：

telnetlocalhost80

telnetlocalhost25

telnetlocalhost110

telnetlocalhost143

telnetlocalhost443

telnetlocalhost21

判定條件

無

補充操作說明

確保web/mail/ftp等常規網絡服務的運行正常"

網絡通信配置,檢查是否對基本網絡服務進行配置,網絡與服務-檢查xinetd中基本網絡服務配置,80,"執行：ls-l/etc/xinetd.dmore*|grepdisable/etc/xinetd.d/*

檢查/etc/xinetd.d目錄中的包含的基本的網絡服務的配置文件

判定條件

若啟用了不必要的基本網絡服務，則低于安全要求；

補充操作說明

more*|grepdisable中*為/etc/xinetd.d下的文件，

disable=yes說明服務關閉

disable=no說明服務啟動"

用戶賬號配置,檢查是否存在未授權的suid/sgid文件,文件系統-查找未授權的SUID/SGID文件,80,"用下面的命令查找系統中所有的SUID和SGID程序，執行：

echo""forPARTin\`grep-v^#/etc/fstab|awk'(\$6!=\""0\""){print\""/./\""\$2}'\`;do"">.sasbap_tmp

echo""find\$PART\(-perm-04000-o-perm-02000\)-typef-xdev-print"">>.sasbap_tmp

echo""done"">>.sasbap_tmp

sh.sasbap_tmp

rm-rf.sasbap_tmp

判定條件

若存在未授權的文件，則低于安全要求；

補充操作說明

建議經常性的對比suid/sgid文件列表，以便能夠及時發現可疑的后門程序"

用戶賬號配置,檢查是否存在異常隱含文件,文件系統-檢查異常隱含文件,80,"用“find”程序可以查找到這些隱含文件。例如：

#find/-name""..*""-print

#find/-name""...*""-print|cat-v

同時也要注意象“.xx”和“.mail”這樣的文件名的。(這些文件名看起來都很象正常的文件名）

判定條件

若類似文件存在，則低于安全要求；

補充操作說明

在系統的每個地方都要查看一下有沒有異常隱含文件(點號是起始字符的，用“ls”命令看不到的文件），因為這些文件可能是隱藏的黑客工具或者其它一些信息(口令破解程序、其它系統的口令文件，等等）。在UNIX下，一個常用的技術就是用一些特殊的名，如：“…”、“..”(點點空格）或“..^G”(點點control-G），來隱含文件或目錄。"

用戶賬號配置,檢查是否對重要目錄和文件的權限進行設置,文件系統-重要目錄和文件的權限設置,80,"根據安全需要，配置某些關鍵目錄其所需的最小權限；

重點要求password配置文件、shadow文件、group文件權限。

執行以下命令檢查目錄和文件的權限設置情況：

ls-l/etc/

#chmod-R750/etc/rc.d/init.d/*

這樣只有root可以讀、寫和執行這個目錄下的腳本。

/etc/passwd所有用戶都可讀，root用戶可寫–rw-r—r—

配置命令：chmod644/etc/passwd

/etc/shadow只有root可讀–r--------

配置命令：chmod600/etc/shadow；

/etc/group必須所有用戶都可讀，root用戶可寫–rw-r—r—

配置命令：chmod644/etc/group；

"

用戶賬號配置,檢查是否配置加密協議,賬號與口令-SSH登錄配置,80,"配置建議：

系統應配置使用SSH等加密協議進行遠程登錄維護，并安全配置SSHD的設置。不使用TELNET進行遠程登錄維護。

參考配置操作

查看SSH服務狀態：#ps-elf|grepssh

手動編輯/etc/ssh/sshd_config，在Host*后輸入Protocol2，

SSHD相關安全設置選項解釋如下：

Protocol2#使用ssh2版本

X11Forwardingyes#允許窗口圖形傳輸使用ssh加密

IgnoreRhostsyes#完全禁止SSHD使用.rhosts文件

RhostsAuthenticationno#不設置使用基于rhosts的安全驗證

RhostsRSAAuthenticationno#不設置使用RSA算法的基于

rhosts的安全驗證

HostbasedAuthenticationno#不允許基于主機白名單方式認證

PermitRootLoginno#不允許root登錄

PermitEmptyPasswordsno#不允許空密碼

Banner/etc/motd#設置ssh登錄時顯示的banner

補充操作說明

查看SSH服務狀態：#ps-elf|grepssh"

用戶賬號配置,檢查passwdgroup文件安全權限,賬號與口令-passwdgroup文件安全性配置,80,"配置建議：1、執行：ls–l/etc/passwd/etc/shadow/etc/group，查看文件權限狀態

2、執行：grep^+:/etc/passwd/etc/shadow/etc/group，查看文件中是否包含”+”。返回值應為空

判定條件

返回值包括“+”條目，則低于安全要求；

補充操作說明

更改文件權限，執行chmodo-w/etc/passwd/etc/shadow/etc/group

刪除文件中的”+”條目

有”+”條目的文件允許通過NISMap中系統配置的某些點插入數據，passwdshadowgroup文件中如包含此條目，可能會使入侵者通過網絡添加用戶。"

用戶賬號配置,檢查是否配置環境變量,賬號與口令-root用戶環境變量的安全性,80,"執行：echo$PATH|egrep'(^|:)(\.|:|$)'，檢查是否包含父目錄，

判定條件

返回值包含以上條件，則低于安全要求；

補充操作說明

確保root用戶的系統路徑中不包含父目錄

執行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組目錄權限為777的目錄

判定條件

返回值包含以上條件，則低于安全要求；

補充操作說明

在非必要的情況下，不應包含組權限為777的目錄"

用戶賬號配置,檢查是否對用戶遠程登錄進行限制,賬號與口令-root用戶遠程登錄限制,80,"參考配置操作

/etc/securetty文件允許你規定“root”用戶可以從那個TTY設備登錄,注釋掉所有tty設備

vi/etc/securetty進行注釋

參考配置操作

限制root從遠程ssh登錄，修/etc/ssh/sshd_config文件，將PermitRootLoginyes改為PermitRootLoginno，重啟sshd服務，重啟命令servicesshdrestart。"

用戶賬號配置,檢查是否指定用戶組成員使用su命令,賬號與口令-使用PAM禁止任何人su為root,80,"參考操作

編輯su文件(vi/etc/pam.d/su)，在開頭添加下面內容：authsufficient/lib/security/pam_rootok.so

authrequired/lib/security/pam_wheel.sogroup=wheel這表明只wheel組的成員可以使用su命令成為root用戶。你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶。添加方法為：#chmod–G10username"

用戶賬號配置,檢查不同用戶是否共享賬號,賬號與口令-共享賬號檢查,80,"用戶賬號分配檢查，避免共享賬號存在，系統需按照實際用戶分配賬號；應按照不同的用戶分配不同的賬號。

參考配置操作

命令cat/etc/passwd查看當前所有用戶的情況；

如需建立用戶，參考如下：

#useraddusername#創建賬號

#passwdusername#設置密碼

使用該命令為不同的用戶分配不同的賬號，設置不同的口令及權限信息等。

檢查方法

命令cat/etc/passwd查看當前所有用戶的信息，確認是否有共享賬號情況存在。"

用戶賬號配置,檢查帳戶口令安全是否符合要求,賬號與口令-口令最長生存期策略,80,"配置要求內容要求操作系統的帳戶口令的最長生存期不長于${key}天。

參考配置操作

編輯/etc/login.defs文件中指定配置項決定，其中：

PASS_MAX_DAYS配置項決定密碼最長使用期限；

檢查方法

cat/etc/login.defs查看對應屬性值；

“對于采用靜態口令認證技術的設備，帳戶口令的生存期不長于90天”項的當前值：表示當前的口令生存期長度。

配置要求內容要求操作系統的口令更改最小間隔天數不小于${key}天。

參考配置操作

編輯/etc/login.defs文件中指定配置項決定，其中：

PASS_MIN_DAYS配置項決定密碼最短使用期限；

檢查方法

cat/etc/login.defs查看對應屬性值；

配置要求內容要求操作系統的口令過期前告警不小于${key}天。

參考配置操作

編輯/etc/login.defs文件中指定配置項決定，其中：

PASS_WARN_AGE配置項決定口令過期前告警天數；

檢查方法

cat/etc/login.defs查看對應屬性值；

"

用戶賬號配置,檢查是否刪除或鎖定無用賬號,賬號與口令-多余賬戶鎖定策略,80,"鎖定用戶：

#passwd-llisten

只有具備超級用戶權限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼.

鎖定用戶：

#passwd-lgdm

只有具備超級用戶權限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼.

鎖定用戶：

#passwd-lwebservd

只有具備超級用戶權限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼.

鎖定用戶：

#passwd-lnobody

只有具備超級用戶權限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼.

鎖定用戶：

#passwd-lnobody4

只有具備超級用戶權限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼.

鎖定用戶：

#passwd-lnoaccess

只有具備超級用戶權限的使用者方可使用，#passwd-lusername鎖定用戶，用#passwd–dusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼."

用戶賬號配置,檢查是否存在除root之外UID為0的用戶,賬號與口令-檢查是否存在除root之外UID為0的用戶,80,"執行：awk-F:'($3==0){print$1}'/etc/passwd

判定條件

返回值包括“root”以外的條目，則低于安全要求；

補充操作說明

UID為0的任何用戶都擁有系統的最高特權，保證只有root用戶的UID為0"

用戶賬號配置,檢查密碼長度及復雜度策略,賬號與口令-用戶口令設置,80,"執行：more/etc/login.defs，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE參數，

其中PASS_MIN_LEN為${key}#設定最小用戶密碼長度為${key}位，其中修改其參數使其符合要求

執行：awk-F:'($2==""""){print$1}'/etc/shadow，

檢查是否存在空口令賬號，將口令配置為強口令。

Linux用戶密碼的復雜度可以通過pam_cracklibmodule或pam_passwdqcmodule進行設置創建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數字的簡單口令以及長度短于${key}的口令，查看系統是否對口令強度要求進行提示；輸入帶有特殊符號的復雜口令、普通復雜口令，查看系統是否可以成功設置。"

用戶賬號配置,檢查是否對用戶的umask進行配置,賬號與口令-用戶的umask安全配置,80,"執行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值

判定條件

umask值是默認的，則低于安全要求；

補充操作說明

建議設置用戶的默認umask077"

用戶賬號配置,檢查是否存在無用用戶組,賬號與口令-用戶組設置,80,"配置建議

為用戶組文件配置安全屬性，執行：

$chmod600/etc/group

配置建議檢查用戶組的設置情況，查看是否存在以下可能無用的用戶組：more/etc/group

如果存在無用組，則低于安全要求；通過groupdel命令去掉無用用戶組，類似：uucpprintq

補充操作說明

1、建議刪除不必要的用戶組

3.根據系統要求及用戶的業務需求，建立多帳戶組，將用戶賬號分配到相應的帳戶組。"

用戶賬號配置,檢查用戶缺省訪問權限,賬號與口令-用戶缺省權限控制,80,"控制用戶缺省訪問權限，當在創建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。

參考配置操作

設置默認權限：

vi/etc/login.defs在末尾增加umask027，將缺省訪問權限設置為750

修改文件或目錄的權限，操作舉例如下：

#chmod444dir;#修改目錄dir的權限為所有人都為只讀。根據實際情況設置權限；

補充操作說明

如果用戶需要使用一個不同于默認全局系統設置的umask，可以在需要的時候通過命令行設置，或者在用戶的shell啟動文件中配置。

判定條件

權限設置符合實際需要；不應有的訪問允許權限被屏蔽掉；

檢測操作

查看新建的文件或目錄的權限，操作舉例如下：

#ls-ldir;#查看目錄dir的權限

#cat/etc/login.defs查看是否有umask027內容

3、補充說明

umask的默認設置一般為022，這給新創建的文件默認權限755(777-022=755），這會給文件所有者讀、寫權限，但只給組成員和其它用戶讀權限。

umask的計算：

umask是使用八進制數據代碼設置的，對于目錄，該值等于八進制數據代碼777減去需要的默認權限對應的八進制數據代碼值；對于文件，該值等于八進制數據代碼666減去需要的默認權限對應的八進制數據代碼值。"

用戶賬號配置,檢查是否存在無用賬號,賬號與口令-用戶賬號設置,80,"配置建議

$chmod644/etc/passwd

配置建議刪除用戶命令：userdelusername

補充操作說明

建議刪除所有無用的賬號"

用戶賬號配置,檢查是否對遠程連接的安全性進行配置,賬號與口令-遠程連接的安全性配置,80,".rhosts，.netrc，hosts.equiv等文件都具有潛在的危險，如果沒有應用，應該刪除

參考配置操作

執行：find/-rc，檢查系統中是否有.netrc文件，

執行：find/-name.rhosts，檢查系統中是否有.rhosts文件

如無應用，刪除以上文件：

Mv.rhost.rhost.bak

Mr.bak

補充操作說明

注意系統版本，用相應的方法執行"

日志審計配置,檢查Cron任務授權,日志審計-Cron任務授權,80,"執行：ls-l/etc/cron.deny；/etc/at.deny查看cron.deny、at.deny文件的授權情況

判定條件

若允許非授權用戶使用，則低于安全要求；

補充操作說明

只允許制定授權用戶啟用cron/at任務

啟用記錄cron行為日志功能

參考配置操作

Vi/etc/rsyslog.conf

#Logcronstuff

cron.*

cron.*"

日志審計配置,檢查是否對rsyslog.conf配置審核,日志審計-Syslog.conf的配置審核,80,"執行：more/etc/rsyslog.conf，設置了下列項：kern.warning;*.err;authpriv.none\t@loghost

執行：more/etc/rsyslog.conf，設置了下列項：*.info;mail.non