Linux安全配置基线-2018.5.

文件名称系统安全配置基线密级内部Linux文件编号版本号MJX-AQJX-Linux-2018vl.O编写部门技术部编写人杨辉审批人杨辉发布时间

2018.

5.18系统安全配置基线Linux内部公开武汉明嘉信信息安全检测评估有限公司检查任何人都有写权限的目录225安全基线项目操作系统目录写权限安全基线要求项Linux名称SBL-Linux-02-02-05安全基线编号安全基线项说文件系统-检查任何人都有写权限的目录明检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令for PARTin、awk$3=next2n||$3=next3H\{print$2}*/etc/fstab;dofind$PART-xdev-type d\-perm-0002-a!-perm-1000\-printDone基线符合性判若返回值非空，则低于安全要求；定依据备注需要手工检查安全基线项目操作系统文件写权限安全基线要求项Linux名称SBL-Linux-02-02-06安全基线编号安全基线项说文件系统-查找任何人都有写权限的文件明检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令for PARTin grep-v A#/etc/fstab|awk$6!=0{print$2}、；dofind$PART-xdev-type f\-perm-0002-a!-perm-1000\-printDone基线符合性判若返回值非空，则低于安全要求；定依据查找任何人都有写权限的文件*226备注需要手工检查检查没有属主的文件227安全基线项目操作系统文件所有权安全基线要求项Linux名称SBL-Linux-02-02-07安全基线编号安全基线项说文件系统-检查没有属主的文件明检测操作步骤定位系统中没有属主的文件用下面的命令for PARTin grep-v A#/etc/fstab|awk$6!=0{print$2}、；dofind$PART-nouser-o-nogroup-printdone注意不用管目录下的那些文件/dev”基线符合性判若返回值非空，则低于安全要求；定依据备注需要手工检查补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了不能允许没有主人的文件存在如果在系统中发现了没有主人的文件或目录，先查看它的完整性，如果一切正常，给它一个主人有时候卸载程序可能会出现一些没有主人的文件或目录，在这种情况下可以把这些文件和目录删除掉检查异常隐含文件*安全基线项目操作系统隐含文件安全基线要求项Linux名称SBL-Linux-02-02-08安全基线编号安全基线项说文件系统-检查异常隐含文件明检测操作步用程序可以查找到这些隐含文件例如“find”骤#find/-name”・・*”-print-xdev#find/-name”-print-xdev|cat-v同时也要注意象和这样的文件名的（这些文件名看起来都很象正“.xx”“.mail”常的文件名）基线符合性若返回值非空，则低于安全要求；判定依据备注需要手工检查补充操作说明在系统的每个地方都要查看一卜后没有异常隐含文件（点号是起始字符的，用命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信“1S”息（口令破解程序、其它系统的口令文件，等等）在下，一个常用的技UNIX术就是用一些特殊的名，如“（点点空格）或（点点）来隐含“JG”control-G,文件或目录登录超时设置229安全基线项目操作系统登录超时设置Linux名称SBL-Linux-02-02-09安全基线编号安全基线项说帐号与口令一检查登录超时设置明使用命令查看是否被设置cat/etc/profile|grep TMOUT”TMOUT检测操作步骤基线符合性判返回值为空或值低于则低于安全要求180,定依据备注使用命令vi/etc/profile”修改配置文件，添加“TMOUT=行开头的注释，建议设置为“TMOUT=180，即超时时间为3分钟使用远程登录2210SSH安全基线项目操作系统安全连接要求Linux SSH名称SBL-Linux-02-02-10安全基线编号安全基线项说对于使用协议进行远程维护的设备，设备应配置使用等加密协议IP SSH明检测操作步骤查看服务状态SSH查看服务状态#service sshstatus telnet#service telnetstatus基线符合性判服务状态查看结果为SSH running定依据服务状态查看结果为:telnet notrunning/unrecognized备注远程登录限制

2.

2.11Root安全基线项目操作系统超级用户登录设置Linux名称SBL-Linux-02-02-11安全基线编号安全基线项说对服务进行安全检查SSH明检测操作步骤使用命令查看配置文件cat/etc/ssh/sshd_conng”检查是否允许直接登录1root检查的值是否为TermitRootLogin”no检查使用的协议版本2SSH检查的值“Protocol”基线符合性判使用命令uvi/etc/ssh/sshd_config v编辑配置文件定依据不允许直接登录1root设置的值为“PermitRootLogin”no修改使用的协议版本2SSH设置的版本为“Protocol”2用户需要使用普通用户远程登录后进行系统管理备注root su关闭不必要的服务*2212安全基线项目操作系统关闭不必要的服务Linux名称SBL-Linux-02-02-12安全基线编号安全基线项说帐号与口令-关闭不必要的服务明检测操作步骤使用命令查看当前级别who-r”init使用命令〈服务名〉”查看所有服务的状态chkconfig-list基线符合性判若有不必要的系统在当前级别下为则低于安全要求on,定依据备注需要手工检查使用命令级别〉服务名,设置服务在个级chkconfig—level initon|off|reset init别下开机是否启动第章日志审计3日志

3.1登录事件记录*

3.

1.1syslog安全基线项目操作系统登录审计安全基线要求项Linux名称SBL-Linux-03-01-01安全基线编号安全基线项说日志审计登录事件记录-syslog明检测操作步骤执行命令查看参数值more/etc/syslog.conf authpriv基线符合性判若未对所有登录事件都记录，则低于安全要求；定依据备注需要手工检查审计

3.2的配置审核*Syslog.conf安全基线项目操作系统配置审计安全基线要求项Linux名称SBL-Linux-03-02-01安全基线编号安全基线项说日志审计的配置审核-Syslog.conf明检测操作步执行查看是否设置了下列项more/etc/syslog.conf,骤kern.warning;*.err;authpriv.none\t@loghost*.info;mail.none;authpriv.none;cron.none\t@loghost*.emerg\t@loghostlocal

7.^\t@loghost基线符合性若未设置，则低于安全要求；判定依据需要手工检查备注补充操作说明建议配置专门的日志服务器，加强日志信息的异地同步备份第章系统文件4系统状态

4.1系统状态

4.

1.1core dump安全基线项目操作系统状态安全基线要求项Linux core dump名称SBL-Linux-04-01-01安全基线编号安全基线项说系统文件-系统状态core dump明检测操作步骤执行检查是否包含下列项more/etc/security/limits.conf*soft core0*hard core0基线符合性判若不存在，则低于安全要求定依据备注补充操作说明中可能包括系统信息，易被入侵者利用，建议关闭core dump第章评审与修订5本标准由武汉明嘉信信息安全检测评估有限公司定期进行审查，根据审视结果修订标准，并颁发执行文档变更记录序号修订前版本修订内容完成日期修订人修订后版本初稿杨辉1VI.

02018.

5.18vl.O2345备注

1.

3.

5.

2.

2.

2.

2.

2.

2.

2.

2.

2.

3.

4.

1.1本文档规定了武汉明嘉信信息安全检测评估有限公司技术部所维护管理的操作系统LINUX的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行操作系统的安全合规性检查和配置LINUX适用范围

1.2本配置标准的使用者包括服务器系统管理员、应用管理员、网络安全管理员本配置标准适用的范围包括:武汉明嘉信信息安全检测评估有限公司技术部维护管理的服务器系统LINUX适用版本

1.3系列服务器LINUX实施

1.4本标准的解释权和修改权属于武汉明嘉信信息安全检测评估有限公司技术部，在本标准的执行过程中若有任何疑问或建议，应及时反馈本标准发布之日起生效第章帐号管理、认证授权2帐号

2.1用户口令设置安全基线项目操作系统用户口令设置安全基线要求项Linux名称SBL-Linux-02-01-01安全基线编号安全基线项说对于采用静态口令认证技术的设备，帐户口令的生存期不长于天90明检测操作步骤、询问管理员是否存在如下类似的简单用户密码配置，比如1root/root,test/test,root/rootl

234、执行检查2more/etc/login.defs,PASS_MAX_DAYS/参数PASS_MIN_DAYS/PASS_WARN_AGE

3、执行:awk-F:*$2==,H,{print$1*/etc/shadow,检查是否存在空口令帐号建议在文件中配置基线符合性判/etc/login.defs定依据#新建用户的密码最长使用天数PASS_MAX_DAYS90#新建用户的密码最短使用天数PASS_MIN_DAYS0#新建用户的密码到期提前提醒天数PASS_WARN_AGE7不存在空口令帐号备注用户口令强度要求

2.L2安全基线项目操作系统用户口令强度安全基线要求项Linux名称SBL-Linux-02-01-02安全基线编号安全基线项说对于采用静态口令认证技术的设备，口令长度至少位，并包括数字、小写字母、8明大写字母和特殊符号类中至少类42文件中是否对的参数进行了正确设置/etc/pam.d/system-auth pam_cracklib.so检测操作步骤建议在文件中配置基线符合性判/etc/pam.d/system-auth定依据password requisitepam_cracklib.so difok=3minlen=8ucredit=l lcredit=-1dcredit=l至少位，包含一位大写字母，一位小写字母和一位数字8备注用户锁定策略安全基线项目操作系统用户口令锁定策略安全基线要求项Linux名称SBL-Linux-02-01-03安全基线编号安全基线项说对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过次，10明锁定该用户使用的帐号检测操作步文件中是否对的参数进行了正确设置/etc/pam.d/system-auth pam_tally.so骤基线符合性判定依据设置连续输错次密码，帐号锁定分钟，105使用命令修改配置文件，添加vi/etc/pam.d/system-auth”auth requiredpam_tally.so注解锁用户v用户名〉onerr=fail deny=10unlock_time=300faillog-u-r备注用户远程登录限制

2.

1.4root安全基线项操作系统远程登录安全基线要求项Linux目名称SBL-Linux-02-01-04安全基线编号安全基线项说帐号与口令用户远程登录限制-got明检测操作步执行检查参数more/etc/securetty,Console骤建议在文件中配置基线符合性判/etc/securetty CONSOLE=/dev/ttyOl定依据备注检查是否存在除之外为的用户

2.

1.5root UID0安全基线项目操作系统超级用户策略安全基线要求项Linux名称SBL-Linux-02-01-05安全基线编号安全基线项说帐号与口令-检查是否存在除之外为的用户root UID0明执行awk-F:$3==0{print$1}*/etc/passwd检测操作步骤基线符合性判返回值包括“root”以外的条目，则低于安全要求；定依据备注补充操作说明为的任何用户都拥有系统的最高特权，保证只有用户的为UID0root UID0用户环境变量的安全性

2.

1.6root安全基线项目操作系统超级用户环境变量安全基线要求项Linux名称SBL-Linux-02-01-06安全基线编号安全基线项说帐号与口令用户环境变量的安全性-root明检测操作步骤执行echo$PATH|egrep,A|:\.|:|$\检查是否包含父目录,执行:检查find echo$PATH|tr-type d\-perm-002-o-perm-020\-Is,是否包含组目录权限为的目录777基线符合性判返回值包含以上条件，则低于安全要求；定依据备注补充操作说明确保用户的系统路径中不包含父目录，在非必要的情况下，不应包含组权root限为的目录777认证

2.2远程连接的安全性配置安全基线项目操作系统远程连接安全基线要求项Linux名称SBL-Linux-02-02-01安全基线编号安全基线项说帐号与口令-远程连接的安全性配置明检测操作步骤执行检查系统中是否有文件，find/-name.netrc,.netrc执行检查系统中是否有『文件find/-name.rhosts,hosts基线符合性判返回值包含以上条件，则低于安全要求；定依据备注补充操作说明如无必要，删除这两个文件用户的安全配置222umask安全基线项目操作系统用户安全基线要求项Linux umask名称SBL-Linux-02-02-02安全基线编号安全基线项说帐号与口令-用户的安全配置umask明检测操作步骤执行more/etc/profile more/etc/csh.login more/etc/csh.cshrc more检查是否包含值且/etc/bashrc umaskumask=027基线符合性判值是默认的，则低于安全要求umask定依据备注补充操作说明建议设置用户的默认umask=027重要目录和文件的权限设置223安全基线项操作系统目录文件权限安全基线要求项Linux目名称SBL-Linux-02-02-03安全基线编号安全基线项说文件系统-重要目录和文件的权限设置明检测操作步执行以下命令检查目录和文件的权限设置情况骤Is-1/etc/Is-1/etc/rc.d/init.d/Is-1/tmpIs-1/etc/inetd.confIs-1/etc/passwdIs-1/etc/shadowIs-1/etc/groupIs-1/etc/securityIs-1/etc/servicesIs-1/etc/rc*.d基线符合性判若权限过低，则低于安全要求；定依据补充操作说明备注对于重要目录，建议执行如下类似操作#chmod-R750/etc/rc.d/init.d/*这样只有可以读、写和执行这个目录下的脚本root查找未授权的文件*224SUID/SGID安全基线项目操作系统文件安全基线要求项Linux SUID/SGID名称SBL-Linux-02-02-04安全基线编号安全基线项说文件系统-查找未授权的文件SUID/SGID明检测操作步用下面的命令查找系统中所有的和程序，执行SUID SGID骤for PARTin grep-v A#/etc/fstab|awk*$6!=n0H{print$2}、；do find$PART\-perm-04000-o-perm-02000\-type f-xdev-print Done基线符合性判若存在未授权的文件，则低于安全要求；定依据需要手工检查备注补充操作说明建议经常性的对比文件列表，以便能够及时发现可疑的后门程序suid/sgid。