Linux安全配置基线..doc

Linux 系统安全配置基线 中国移动通信有限公司 管理信息系统部 2009年 3月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 账号管理、认证授权 2 2.1 账号 2 2.1.1 用户口令设置 2 2.1.2 root用户远程登录限制 2 2.1.3 检查是否存在除root之外UID为0的用户 3 2.1.4 root用户环境变量的安全性 3 2.2 认证 4 2.2.1 远程连接的安全性配置 4 2.2.2 用户的umask安全配置 4 2.2.3 重要目录和文件的权限设置 4 2.2.4 查找未授权的SUID/SGID文件 5 2.2.5 检查任何人都有写权限的目录 6 2.2.6 查找任何人都有写权限的文件 6 2.2.7 检查没有属主的文件 7 2.2.8 检查异常隐含文件 7 第3章 日志审计 9 3.1 日志 9 3.1.1 syslog登录事件记录 9 3.2 审计 9 3.2.1 Syslog.conf的配置审核 9 第4章 系统文件 11 4.1 系统状态 11 4.1.1 系统core dump状态 11 第5章 评审与修订 12 概述 目的 本文档规定了 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行 操作系统的安全。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本适用的范围包括：的 服务器系统。实施本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。  用户口令设置 安全基线项目名称 操作系统Linux用户口令安全基线要求项 安全基线编号 SBL-Linux-02-01-01 安全基线项说明 帐号与口令-用户口令设置 检测操作步骤 1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root1234 2、执行：more /etc/login.defs，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数 3、执行：awk -F: ($2 == ) { print $1 } /etc/shadow, 检查是否存在空口令账号 基线符合性判定依据 建议在/etc/login.defs文件中配置：PASS_MIN_LEN=6 不允许存在简单密码，密码设置符合策略，如长度至少为6 不存在空口令账号 备注 usermod -s /sbin/nologin bin passwd -l bin awk -F: ($2 == ) { print $1 } /etc/shadow root用户远程登录限制 安全基线项目名称 操作系统Linux远程登录安全基线要求项 安全基线编号 SBL-Linux-02-01-02 安全基线项说明 帐号与口令-root用户远程登录限制 检测操作步骤 执行：more /etc/securetty，检查Console参数 基线符合性判定依据 建议在/etc/securetty文件中配置：CONSOLE 备注 vi /etc/ssh/sshd_config PermitRootLogin no # service sshd restart 检查是否存在除root之外UID为0的用户 安全基线项目名称 操作系统Linux超级用户策略安全基线要求项 安全基线编号 SBL-Linux-02-01-03 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户 检测操作步骤 执行：awk -F: ($3 == 0) { print $1 } /etc/passwd 基线符合性判定依据 返回值包括“root”以外的条目，则低于安全要求； 备注 补充操作说明 UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0 root用户环境变量的安全性 安全基线项目名称 操作系统Linux超级用户环境变量安全基线要求项 安全基线编号 SBL-Linux-02-01-04 安全基线项说明 帐号与口令-root用户环境变量的安全性 检测操作步骤 执