Linux安全配置基线_电脑基础知识_IT计算机_专业资料
(22页)
本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦!
14.9 积分
Linux系统安全配置基线 版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。第1章概述 41.1 目的 41.2 适用范围 41.3 适用版本 41.4 实施 41.5 例外条款 4第2章帐号管理、认证授权 52.1 帐号 52.1.1 用户口令设置 52.7.2 用户口令强度耍求 52.1.3 川户锁定策略 62.1.4 mol用户远程登录限制. 62.1.5 检查是否存在除root之外UID为0的用户 72.1.6 root用户环境变量的安全性 72.2 认证 82.2.1 远程连接的安全性配置 82.2.2 用户的umask安全配置 82.2.3 重要目录和文件的权限设置 82.2.4 查找未授权的SUID/SGID文件丸 92.2.5 检查任何人都有写权限的口录探 102.2.6 查找任何人都有写权限的文件法 102.2.7 检查没有属.主的文件务 112.2.8 检查异常隐含文件深 112.2.9 登录超时设置 722.2.10 使用SSH远程野录 122.2.11 Root远程登录限制. 132.2.12 关闭不必要的服务甞 13第3章日志审计 153.1 日志 153.1.1 syslog登录事件记录* 153.2 审计 153.2. J Sys log.conf 的配置审核汰 15第4章系统文件 174」 系统状态 174.1.1 系统 core dump 状态 17第5章评审与修订 18第1章概述1.1目的木文档旨在指导系统悸理人员或安全检查人员进行LINUX操作系统的安全合规性检 查和配置。1.2适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。1.3适用版本LINUX系列服务器。1.4实施1.5例外条款第2章帐号管理、认证授权2.1帐号2丄1用户口令设置安全基线项目名称操作系统Linux用户口令设置安全基线耍求项安全基线编 号SBL-Linux-02-01-01安全基线项 说明对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。检测操作步 骤1、 询问管理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root!2342、 执行:more/etc/login.defs,检查 PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE 参数3、 执行:awk -F: *($2 == ',M) { print $1『/ctc/shadow,检查是否存在空口令帐号基线符合性 判定依据建议在/etc/login.defs文件中配置:PASS_MAX_DAYS 90 #新建用户的密码最长使用天数PASS_MIN_DAYS 0 #新建用户的密码最短使用犬数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数不存在空口令帐号备注2.1.2用户口令强度要求安全基线项目名称操作系统Linux用户口令强度安全基线要求项安全基线编 号SBL-Linux-02-01-02安全基线项 说明对于采用静态口令认证技术的设备,口令长度至少X位,并包括数字、小写 字母、大写字母和特殊符号4类中至少2类。检测操作步 骤/etc/pam.d/system-auth文件中是否对pam_cracklib.so的参数进行了正确设置。基线符合性 判定依据建议在/etc/pam.d/system-auth文件中配置:password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-l lcredit=-1dcredit=l至少8位,包含一位大写字母,一位小写字母和一位数字备注2.1.3用户锁定策略安全基线项目名称操作系统Linux用户口令锁定策略安全基线要求项安全基线编 号SBL-Linux-02-01-03安全基线项说明对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10 次,锁定该用户使用的帐号。检测操作步骤/etc/pam.d/system-auth文件屮是否对pam_tally.so的参数进行了正确设置。基线符合性 判定依据设置连续输错10次密码,帐号锁定5分钟,使用命令“vi/etc/pam.d/system-auth”修改配置文件,添加 auth required pam_tally.so onerr=fail deny=10 unlock_time=300 注:解锁用户faillog -u v用户名〉-r备注2.1.4 root用户远程登录限制安全基线项 目名称操作系统Linux远程登录安全基线要求项安全基线编 号SBL-Linux-02-01-04安全基线项 说明帐号与口令?root用户远程登录限制检测操作步 骤执行:more /etc/securetty,检査 Console 参数 基线符合性 判定依据建议在/ctc/sccurctty 文件中配置:CONSOLE = /dcv/ttyOl备注2.1.5检查是否存在除root之外UID为0的用户安全基线项 目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-05安全基线项 说明帐号与口令-检查是否存在除root Z外UID为0的用户检测操作步骤执行:awk -F: *($3 == 0) { print $ 1 }' /etc/passwd基线符合性 判定依据返冋值包括“wot”以外的条冃,则低于安全要求;备注补充操作说明U1D为0的任何用八都拥有系统的最高特权,保证只有root用八的U1D为02.1.6 root用户环境变量的安全性安全基线项 目名称操作系统Linux超级用户坏境变量安全基线耍求项安全基线编 号SBL-Li nux-02-01-06安全基线项 说明帐号与口令.root用户环境变量的安全性检测操作步 执行:ccho$PATH|cgrcp《|:)(\」:|$y,检查是否包含父忖录,骤执行:find 'echo SPATH | tr -type d \( -perm -002 -o -perm -020 \) -Is,检查是否包含组冃录权限为777的H录基线符合性返回值包 关 键 词: Linux 安全 配置 基线 电脑 基础知识 _IT 计算机 专业 资料
天天文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:Linux安全配置基线_电脑基础知识_IT计算机_专业资料
链接地址: https://www.wenku365.com/p-44208961.html
扫一扫
2051
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
