Linux主机安全配置

安全配置规范
身份鉴别
账号检查
安全配置编号
操作系统--LINUX--配置-1
配置名称
用户账号分配检查，避免共享账号存在
配置要求内容
1、系统需按照实际用户分配账号；
2、避免不同用户间共享账号，避免用户账号和服务器间通信使用的账号共享。
操作指南
参考配置操作：
cat /etc/passwd查看当前所有用户的情况；
配置方法
如需建立用户，参考如下：
#useradd username  #创建账号
#passwd username   #设置密码
使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。
适用版本
中标软linux
风险提示
无
回退操作
无
备注
 
多余账户锁定策略
安全配置编号
操作系统—LINUX—配置-2
配置名称
多余账户锁定策略
配置要求内容
应锁定与设备运行、维护等工作无关的账号。
操作指南
参考配置操作：
查看锁定用户：
  # cat /etc/password，查看哪些账户的shell域中为nologin；
配置方法
锁定用户：
l修改/etc/password文件，将需要锁定的用户的shell域设为nologin；
l或通过#passwd –l username锁定账户；
只有具备超级用户权限的使用者方可使用#passwd –l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码。
补充操作说明：
一般情况下，需要锁定的用户：lp,nuucp,hpdb,www,demon
适用版本
中标软
风险提示
分析应用程序所使用的账号，锁定账号慎重。
回退操作
人工配置
# cat /etc/password，查看哪些账户的shell域中为
备注
 
root账户远程登录限制
安全配置编号
操作系统--LINUX--配置-3
配置名称
root账户远程登录账户限制
配置要求内容
1、限制具备超级管理员权限的用户远程登录。
2、远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。
操作指南
使用root账户远程尝试登陆
检查方法
1、root远程登录不成功，提示“Not on system console”；
2、普通用户可以登录成功，而且可以切换到root用户；
配置方法
修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。
适用版本
中标软Linux
风险提示
无
回退操作
修改/etc/ssh/sshd_config文件，将PermitRootLogin no改为PermitRootLogin  yes，重启sshd服务。
备注
远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作
口令复杂度策略
安全配置编号
操作系统—LINUX—配置-4
配置名称
操作系统口令复杂度策略
配置要求内容
口令长度至少12位，并包括数字、小写字母、大写字母和特殊符号。
操作指南
参考配置操作
# cat /etc/pam.d/system-auth，找到password模块接口的配置部分，找到类似如下的配置行：
password  requisite  /lib/security/$ISA/pam_cracklib.so minlen =6
2、补充操作说明
参数说明如下：
1、retry=N，确定用户创建密码时允许重试的次数；
2、minlen=N，确定密码最小长度要求，事实上，在默认配置下，此参数代表密码最小长度为N-1；
3、dcredit=N，当N小于0时，代表新密码中数字字符数量不得少于（-N）个。例如，dcredit=-2代表密码中要至少包含两个数字字符；
4、ucredit=N，当N小于0时，代表则新密码中大写字符数量不得少于（-N）个；
5、lcredit=N，当N小于0时，代表则新密码中小写字符数量不得少于（-N）个；
6、ocredit=N，当N小于0时，代表则新密码中特殊字符数量不得少于（-N）个；
配置方法
# vi /etc/pam.d/system-auth，找到password模块接口的配置部分，按照配置要求内容修改对应属性。
适用版本
中标软Linux
风险提示
无
回退操作
参考配置方法，根据实际情况修改参数。
备注
 
登录失败处理策略
安全配置编号
操作系统--LINUX--配置-5
配置名称
登录失败处理策略
配置要求内容
需要进行相关配置，防止系统被暴力破解
操作指南
建议按照如下方式进行账号及口令安全策略的配置，修改/etc/pam.d/system-auth文件，将相应的字段修改为以下内容：
auth   required   pam_tally.so  deny=5  unlock_time=20
 (以上仅对实施完这条策略后，新增加的用户有效)
适用版本
所有
风险提示
无
回退操作
加固前创建备份目录，按照日期命名：（不用重复创建）
mkdir /root/backup20160229
将需要修改的配置文件复制保存在备份目录：
cp /etc/pam.d/system-auth /root/backup20160229/
需要回退的时候将修改前的备份文件覆盖回配置文件即可：
cp /root/backup20160229/system-auth /etc/pam.d/system-auth
备注
 
 

口令最长生存期策略
安全配置编号
操作系统--LINUX--配置-6
配置名称
口令最长生存期策略
配置要求内容
要求操作系统的账户口令的最长生存期不长于180天。
操作指南
# cat /etc/login.defs文件中指定配置项，其中：
PASS_MAX_DAYS配置项决定密码最长使用期限；
PASS_MIN_DAYS配置项决定密码最短使用期限；
PASS_WARN_AGE配置项决定密码到期提醒时间。
建议执行如下配置
建议按照如下方式进行账号及口令安全策略的配置，修改/etc/login.defs文件，将相应的字段修改为以下内容：
PASS_MAX_DAYS     90     //口令最长存留期
PASS_MIN_DAYS      30     //口令最短存留期
PASS_MIN_LEN       8 //口令最少字符数
PASS_WARN_AGE     15     //口令到期提醒时间
 (以上仅对实施完这条策略后，新增加的用户有效)
检查方法
PASS_MAX_DAYS值小于等于180为符合；
“对于采用静态口令认证技术的设备，账户口令的生存期不长于180天”项的当前值：表示当前的口令生存期长度。
配置方法
vi /etc/login.defs文件，修改PASS_MAX_DAYS值为小于等于180
适用版本
中标软Linux。
风险提示
无
回退操作
# cat /etc/login.defs文件中指定配置项，其中：
PASS_MAX_DAYS配置项决定密码最长使用期限；
PASS_MIN_DAYS配置项决定密码最短使用期限；
PASS_WARN_AGE配置项决定密码到期提醒时间。
备注
BVS基线检查输出当前的账户口令最长生存期。
 

访问控制
SSH登录配置
安全配置编号
操作系统--LINUX--配置-6
配置名称
SSH登录配置
配置要求内容
系统应配置使用SSH等加密协议进行远程登录维护，并安全配置SSHD的设置。不使用TELENT进行远程登录维护。
操作指南
1、查看SSH服务状态：# ps –elf|grep ssh；
2、查看telnet服务状态：# ps –elf|grep telnet。
检查方法
不能使用telnet进行远程维护；
应使用SSH进行远程维护；
SSH配置要符合如下要求；
Protocol  2 #使用ssh2版本
X11Forwarding yes #允许窗口图形传输使用ssh加密
IgnoreRhosts  yes#完全禁止SSHD使用.rhosts文件
RhostsAuthentication no #不设置使用基于rhosts的安全验证
RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证
HostbasedAuthentication no #不允许基于主机白名单方式认证
PermitRootLogin no #不允许root登录
PermitEmptyPasswords no #不允许空密码
Banner /etc/motd  #设置ssh登录时显示的banner
4、以上条件都满足为符合。
配置文件
参考配置操作
编辑 sshd_config，添加相关设置，SSHD相关安全设置选项参考检查方法中的描述。
2、补充操作说明
查看SSH服务状态：# ps –elf|grep ssh
适用版本
中标软Linux
风险提示
无
回退操作
无
备注
 
关键目录权限控制
安全配置编号
操作系统--LINUX--配置-7
配置名称
关键目录权限控制
配置要求内容
根据安全需要，配置某些关键目录其所需的最小权限；
重点要求password配置文件、shadow文件、group文件权限。
当前主流版本的linux系统在默认情况下即对重要文件做了必要的权限设置，在日常管理和操作过程中应避免修改此类文件权限，除此以外，应定期对权限进行检查及复核，确保权限设置正确。
操作指南
查看关键目录的用户对应权限参考命令
ls -l /etc/passwd
ls -l /etc/shadow
ls -l /etc/group
检查方法
与管理员确认已有权限为最小权限。
配置方法
参考配置操作：
通过chmod命令对目录的权限进行实际设置。
补充操作说明：
/etc/passwd 所有用户都可读，root用户可写 –rw-r—r—
配置命令：chmod 644 /etc/passwd
/etc/shadow 只有root可读 –r--------
配置命令：chmod 600 /etc/shadow；
/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—
配置命令：chmod 644 /etc/group；
如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w,o-r /etc
适用版本
中标软Linux
风险提示
文件的读写权限应引起注意。
回退操作
参考配置方法，参数做相应修改。
备注
 
修改root umask值
安全配置编号
操作系统--LINUX--配置-8
配置名称
修改root umask值
配置要求内容
022表示默认创建新文件权限为755 也就是 rxwr-xr-x(所有者全部权限，属组读写，其它人读写)，较为不安全，建议更正为750 也就是rxwr-x---(所有者全部权限，属组读写，其它人无)。
操作指南
实施方法如下，进入Linux系统，执行如下命令：
vi /etc/bashrc
更改为027
然后保存
适用版本
Linux
风险提示
无
回退操作
加固前创建备份目录，按照日期命名：（不用重复创建）
mkdir /root/backup20160229
将需要修改的配置文件复制保存在备份目录：
cp /etc/bashrc /root/backup20160229/
需要回退的时候将修改前的备份文件覆盖回配置文件即可：
cp /root/backup20160229/bashrc /etc/bashrc
备注
 
 

禁止ICMP重定向
安全配置编号
操作系统--LINUX--配置-9
配置名称
禁止ICMP重定向
配置要求内容
禁用此功能，避免系统遭受网络层攻击
操作指南
实施方法如下，进入Linux系统，执行如下命令：
#vi /etc/sysctl.conf
net.ipv4.conf.default.send_redirects=0
net
适用版本
Linux
风险提示
无
回退操作
加固前创建备份目录，按照日期命名：（不用重复创建）
mkdir /root/backup20160229
将需要修改的配置文件复制保存在备份目录：
cp /etc/sysctl.conf /root/backup20160229/
需要回退的时候将修改前的备份文件覆盖回配置文件即可：
cp /root/backup20160229/sysctl.conf /etc/sysctl.conf
备注
 
 

限制root用户直接远程
安全配置编号
操作系统--LINUX--配置-10
配置名称
限制root用户远程
配置要求内容
Root用户为系统最高权限用户，默认为允许远程登录，较为不安全
操作指南
实施方法如下，进入Linux系统当中，执行如下命令：
#vi /etc/ssh/sshd_config
将PermitRootLogin yes更改为PermitRootLogin no
如果要使用root用户，请首先登陆到普通用户，再使用su命令切换到root用户上。
适用版本
Linux
风险提示
无
回退操作
加固前创建备份目录，按照日期命名：（不用重复创建）
mkdir /root/backup20160229
将需要修改的配置文件复制保存在备份目录：
cp /etc/ssh/sshd_config /root/backup20160229/
需要回退的时候将修改前的备份文件覆盖回配置文件即可：
cp /root/backup20160229/sshd_config /etc/ssh/sshd_config
备注
 
 

用户缺省权限控制
安全配置编号
操作系统--LINUX--配置-11
配置名称
用户缺省权限控制
配置要求内容
控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南
1、# cat /etc/bashrc  查看全局默认设置umask值
2、查看具体用户home目录下bash_profile，具体用户的umask
检查方法
查看全局默认设置umask值为027或更小权限为符合（如有特许权限需求，可根据实际情况判断）；
查看具体用户的umask，本着最小权限的原则。
配置方法
参考配置操作：
单独针对用户设置
可修改用户home目录下的.bash_profile脚本文件，例如，可增加一条语句：umask 027；对于权限要求较严格的场合，建议设置为077。
全局默认设置：
默认通过全局脚本/etc/bashrc设置所有用户的默认umask值，修改脚本即可实现对用户默认umask值的全局性修改，通常建议将umask设置为027以上，对于权限要求较严格的场合，建议设置为077。
适用版本
中标软Linux
风险提示
无
回退操作
无
备注
umask系统默认设置一般为022，新创建的文件默认权限755（777-022=755）；导致其他用户有执行权利。
在UNIX类系统中777是最高权限，4是读，2是写，1是执行，加起来等于7，三个7分别代表系统用户，本组用户和其他用户的权限。
 

安全审计
安全日志完备性要求
安全配置编号
操作系统--LINUX--配置-12
配置名称
安全日志完备性要求
配置要求内容
系统应配置完备日志记录，记录对与系统相关的安全事件。
操作指南
# cat /etc/syslog.conf查看是否有对应配置
或者# cat /etc/rsyslog.conf查看是否有对应配置
2、# cat /var/log/secure查看是否有对应配置
检查方法
1、cat /etc/syslog.conf确认有对应配置；
2、查看/var/log/secure，应记录有需要的设备相关的安全事件。
配置方法
修改配置文件vi /etc/syslog.conf。
配置如下类似语句：
authpriv.* /var/log/secure
定义为需要保存的设备相关安全事件。
适用版本
中标软Linux
风险提示
仅会有相应资源开消，请检查系统资源是否充足。
回退操作
修改配置文件vi /etc/syslog.conf。
配置如下类似语句，注释掉下面：
#authpriv.* /var/log/secure
备注
 
适用版本
中标软Linux
风险提示
无
回退操作
无
备注
 
 

资源安全管理
补丁管理
安全配置编号
操作系统--LINUX--配置-13
配置名称
安装操作系统更新补丁
配置要求内容
安装操作系统更新补丁，修复系统漏洞
操作指南
查看当前系统补丁版本
检查官网当前系统版本是否发布安全更新。
检查方法
版本应保持为最新。
配置方法
通过访问https://rhn.redhat.com/errata/下载补丁安装包，在打开的页面上，选择与自己使用相对应的系统后，点击连接进入补丁包下载列表界面，选择需要的补丁下载。
下载的补丁为rpm安装包，将该安装包复制到目标系统上，使用命令rpm –ivh xxx.rpm进行安装，随后重新启动系统，检查所安装补丁的服务或应用程序是否运行正常，即完成该补丁的安装和升级工作。
适用版本
Linux Redhat AS 3 中标软Linux
风险提示
此操作对系统和应用有很大的影响，建议搭建一个试验环境，测试稳定后才在系统上做补丁安装。
回退操作
试验环境里确定稳定后，才在实际系统上安装补丁。
备注
 
关闭不必要的系统服务
安全配置编号
操作系统--LINUX--配置-14
配置名称
关闭不必要的系统服务
配置要求内容
根据每台机器的不同角色，关闭不需要的系统服务。操作指南中的服务项提供参考，根据服务器的角色和应用情况对启动项进行修改。如无特殊需要，应关闭Sendmail、Telnet、Bind等服务。
操作指南
执行命令 #chkconfig --list，查看哪些服务开放。
检查方法
与管理员确认无用服务已关闭。
配置方法
参考配置操作
使用如下方式禁用不必要的服务
#service <服务名> stop
#chkconfig --level 35 off
参考说明
Linux/Unix系统服务中，部分服务存在较高安全风险，应当禁用，包括：
“lpd”，此服务为行式打印机后台程序，用于假脱机打印工作的UNIX后台程序，此服务通常情况下不用，建议禁用；
“telnet”，此服务采用明文传输数据，登陆信息容易被窃取，建议用ssh代替；
“routed”，此服务为路由守候进程，使用动态RIP路由选择协议，建议禁用；
“sendmail”，此服务为邮件服务守护进程，非邮件服务器应将其关闭；
“Bluetooth”，此服务为蓝牙服务，如果不需要蓝牙服务时应关闭；
“identd”，此服务为AUTH服务，在提供用户信息方面与finger类似，一般情况下该服务不是必须的，建议关闭；
“xfs”，此服务为Linux中X Window的字体服务，关于该服务历史上出现过信息泄露和拒绝服务等漏洞，应以减少系统风险；
R服务（“rlogin”、“rwho”、“rsh”、“rexec”），R服务设计上存在严重的安全缺陷，仅适用于封闭环境中信任主机之间便捷访问，其他场合下均必须禁用；
基于inetd/xinetd的服务（daytime、chargen、echo等），此类服务建议禁用。
适用版本
中标软Linux
风险提示
关闭服务前，务必和管理员确定此服务关闭不会对使用中的应用程序造成影响。
回退操作
参考配置操作
查看所有开启的服务：
#ps –eaf  
方法一：手动方式
在inetd.conf中关闭不用的服务 首先复制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件，把在相应行开头标记"#"字符删除， 
重启inetd进程
备注