图书与信息中心Linux操作系统配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月图书与信息中心目录第1章概述.
11.
1安全基线概念.
11.
2文档编制目的.
11.
3文档适用范围.
11.
4文档修订.
1第2章账号管理、认证授权22.
1账号.
22.
1.
1用户口令设置22.
1.
2root用户远程登录限制.
22.
1.
3检查是否存在除root之外UID为0的用户32.
1.
4root用户环境变量的安全性.
32.
2认证.
32.
2.
1远程连接的安全性配置.
32.
2.
2用户的umask安全配置42.
2.
3重要目录和文件的权限设置.
42.
2.
4查找未授权的SUID/SGID文件42.
2.
5检查任何人都有写权限的目录.
52.
2.
6查找任何人都有写权限的文件.
52.
2.
7检查没有属主的文件.
52.
2.
8检查异常隐含文件6第3章日志审计.
73.
1日志.
73.
1.
1syslog登录事件记录73.
2审计.
73.
2.
1Syslog.
conf的配置审核7第4章系统文件.
84.
1系统状态.
84.
1.
1系统coredump状态.
8图书与信息中心1第1章概述1.
1安全基线概念安全基线是指满足最小安全保证的基本要求.
1.
2文档编制目的本文档针对安装运行Linux系列操作系统的计算机主机所应当遵循的基本安全设置要求提供了参考建议,供校园网用户在安装使用Linux操作系统过程中进行安全配置合规性自查、检查、加固提供标准依据与操作指导.
1.
3文档适用范围本文档适用于Linux系列操作系统的各类版本,部分操作系统或版本的特定配置与操作见括号内说明.
文档使用人员包括系统管理员及终端计算机用户.
1.
4文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心,欢迎校园网用户提供意见或建议,请发送至security@njau.
edu.
cn.
图书与信息中心2第2章账号管理、认证授权2.
1账号2.
1.
1用户口令设置安全基线项目名称操作系统用户口令安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-01安全基线项说明用户帐号口令设置设置操作步骤1、执行:#awk-F:'($2print$1}'/etc/shadow,检查是否存在空口令账号,以root用户登录,执行#passwd用户名密码,设置密码.
2、执行:#vi/etc/login.
defs,检查以下参数PASS_MAX_DAYS密码最长过期天数参考值90PASS_MIN_DAYS密码最小过期天数参考值80PASS_MIN_LEN密码最小长度参考值8PASS_WARN_AGE密码过期警告天数参考值7基线符合性判定依据密码设置符合策略,不存在空口令账号备注#为系统操作提示符.
2.
1.
2root用户远程登录限制安全基线项目名称操作系统root用户远程登录安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-02安全基线项说明root用户远程登录限制设置操作步骤1、新建用户,执行:#Useradd用户名,#Passwd密码;2、授权新用户拥有root用户管理权限,执行#vi/etc/sudoers,在"##AllowroottorunanycommandsanywhererootALL=(ALL)ALL"下添加"新用户ALL=(ALL)ALL"3、修改sshd_Config文件,执行vi/etc/ssh/sshd_config找到PermitRootLogin,删除前面的#号并且修改为no,重启sshd服务,执行#servicesshdrestart.
基线符合性判定依据查看配置:cat/etc/ssh/sshd_config,PermitRootLoginno符合,或尝试以root远程登录应不成功.
备注以新用户身份登录系统后,执行sudo命令可获取root操作权图书与信息中心3限.
root用户拥有系统最高权限,权限远高于Windows系统中的administrator用户.
一旦root用户信息被泄露,对于服务器来说将是极为致命的威胁.
所以禁止root用户通过ssh的方式进行远程登录,这样可以极大的提高服务器的安全性,即使是root用户密码泄露出去也能够保障服务器的安全.
2.
1.
3检查是否存在除root之外UID为0的用户安全基线项目名称操作系统超级用户策略安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-03安全基线项说明检查是否存在除root之外UID为0的用户设置操作步骤1、执行:#awk-F:'($3==0){print$1}'/etc/passwd,返回值包括"root"以外的条目,则存在;2、删除非法帐户基线符合性判定依据返回值应只有"root"条目备注UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为02.
1.
4root用户环境变量的安全性安全基线项目名称操作系统超级用户环境变量安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-04安全基线项说明root用户环境变量的安全性设置操作步骤1、执行:echo$PATH|egrep检查是否包含父目录,2、执行:find`echo$PATH|trtyped\(-perm-002-o-perm-020\)-ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值无则安全备注确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录图书与信息中心42.
2认证2.
2.
1远程连接的安全性配置安全基线项目名称操作系统远程连接安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-01安全基线项说明远程连接的安全性配置设置操作步骤1、执行:find/-name.
netrc,检查系统中是否有.
netrc文件;2、执行:find/-name.
rhosts,检查系统中是否有.
rhosts文件;3、删除这两个文件基线符合性判定依据返回值无,则安全.
备注2.
2.
2用户的umask安全配置安全基线项目名称操作系统用户umask安全基线要求项安全基线编号用户的umask安全配置安全基线项说明NJAUSBL-Linux-V01-02-02-02设置操作步骤执行:#more/etc/profile#more/etc/csh.
login#more/etc/csh.
cshrc#more/etc/bashrc,检查是否包含umask值基线符合性判定依据如有umask值且不是默认的,则安全.
备注建议设置用户的umask=0772.
2.
3重要目录和文件的权限设置安全基线项目名称操作系统目录文件权限安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-03安全基线项说明重要目录和文件的权限设置设置操作步骤执行以下命令检查目录和文件的权限设置情况:#ls–l/etc/#ls–l/etc/rc.
d/init.
d/图书与信息中心5#ls–l/tmp#ls–l/etc/inetd.
conf#ls–l/etc/passwd#ls–l/etc/shadow#ls–l/etc/group#ls–l/etc/security#ls–l/etc/services#ls-l/etc/rc*.
d建议按如下命令设置:#chmod-R750/etc/rc.
d/init.
d/*,使root可以读、写和执行这个目录下的脚本.
基线符合性判定依据若权限设置过低则系统用户无法进入文件目录或操作文件,不符合.
备注2.
2.
4查找未授权的SUID/SGID文件安全基线项目名称操作系统SUID/SGID文件安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-04安全基线项说明查找未授权的SUID/SGID设置操作步骤用下面的命令查找系统中所有的SUID和SGID程序,执行:#find.
-perm-04000;#find.
-perm-02000基线符合性判定依据若存在未授权的文件,则不安全.
备注建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序2.
2.
5检查任何人都有写权限的目录安全基线项目名称操作系统Linux目录写权限安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-05安全基线项说明文件系统-检查任何人都有写权限的目录设置操作步骤在系统中定位任何人都有写权限的目录用下面的命令:forPARTin`awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab`;dofind$PART-xdev-typed\(-perm-0002-a!
-perm-1000\)-printDone基线符合性判定依据若返回值非空,则低于安全要求;图书与信息中心6备注2.
2.
6查找任何人都有写权限的文件安全基线项目名称操作系统Linux文件写权限安全基线要求项安全基线编号NJAUSBL-Linux-02-02-06安全基线项说明文件系统-查找任何人都有写权限的文件设置操作步骤在系统中定位任何人都有写权限的文件用下面的命令:forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;dofind$PART-xdev-typef\(-perm-0002-a!
-perm-1000\)-printDone基线符合性判定依据若返回值非空,则低于安全要求;备注2.
2.
7检查没有属主的文件安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-07安全基线项说明文件系统-检查没有属主的文件设置操作步骤定位系统中没有属主的文件用下面的命令:forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone注意:不用管"/dev"目录下的那些文件.
基线符合性判定依据若返回值非空,则低于安全要求;备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了.
不能允许没有主人的文件存在.
如果在系统中发现了没有主人的文件或目录,先查看它的完整性,如果一切正常,给它一个主人.
有时候卸载程序可能会出现一些没有主人的文件或目录,在这种情况下可以把这些文件和目录删除掉.
图书与信息中心72.
2.
8检查异常隐含文件安全基线项目名称操作系统Linux隐含文件安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-08安全基线项说明文件系统-检查异常隐含文件设置操作步骤用"find"程序可以查找到这些隐含文件.
例如:#find/-name".
.
*"-print–xdev#find/-name"*"-print-xdev|cat-v同时也要注意象".
xx"和".
mail"这样的文件名的.
(这些文件名看起来都很象正常的文件名)基线符合性判定依据若返回值非空,则低于安全要求;备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用"ls"命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等).
在UNIX下,一个常用的技术就是用一些特殊的名,如:点点空格)或".
.
^G"(点点control-G),来隐含文件或目录.
第3章日志审计3.
1日志3.
1.
1syslog登录事件记录安全基线项目名称操作系统Linux登录审计安全基线要求项安全基线编号NJAUSBL-Linux-V01-03-01-01安全基线项说明日志审计-syslog登录事件记录设置操作步骤执行命令:more/etc/syslog.
conf查看参数authpriv值基线符合性判定依据若未对所有登录事件都记录,则低于安全要求;备注图书与信息中心83.
2审计3.
2.
1Syslog.
conf的配置审核安全基线项目名称操作系统Linux配置审计安全基线要求项安全基线编号NJAUSBL-Linux-V01-03-02-01安全基线项说明日志审计-Syslog.
conf的配置审核设置操作步骤执行:more/etc/syslog.
conf,查看是否设置了下列项:kern.
warning;*.
err;authpriv.
none\t@loghost*.
info;mail.
none;authpriv.
none;cron.
none\t@loghost*.
emerg\t@loghostlocal7.
*\t@loghost基线符合性判定依据若未设置,则低于安全要求;备注补充操作说明建议配置专门的日志服务器,加强日志信息的异地同步备份第4章系统文件4.
1系统状态4.
1.
1系统coredump状态安全基线项目名称操作系统Linuxcoredump状态安全基线要求项安全基线编号NJAUSBL-Linux-V01-04-01-01安全基线项说明系统文件-系统coredump状态设置操作步骤执行:more/etc/security/limits.
conf检查是否包含下列项:*softcore0*hardcore0基线符合性判定依据若不存在,则低于安全要求备注补充操作说明coredump中可能包括系统信息,易被入侵者利用,建议关闭
提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑提速啦的市场定位提速啦主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。提速啦的售后保证提速啦退款 通过于合作商的友好协商,云服务器提供3天内全额退款,超过3天不退款 物理机部分支持当天全额退款提速啦提现 充...
优惠码50SSDOFF 首月5折50WHTSSD 年付5折15OFF 85折优惠,可循环使用荷兰VPSCPU内存SSD带宽IPv4价格购买1核1G50G1Gbps/3TB1个$ 9.10/月链接2核2G80G1Gbps/5TB1个$ 12.70/月链接2核3G100G1Gbps/7TB1个$ 16.30/月链接3核4G150G1Gbps/10TB1个$ 18.10/月链接阿联酋VPSCPU内存SS...
官方网站:点击访问月神科技官网优惠码:美国优惠方案:CPU:E5-2696V2,机房:国人热衷的优质 CeraNetworks机房,优惠码:3wuZD43F 【过期时间:5.31,季付年付均可用】活动方案:1、美国机房:洛杉矶CN2-GIA,100%高性能核心:2核CPU内存:2GB硬盘:50GB流量:Unmilited端口:10Mbps架构:KVM折后价:15元/月、150元/年传送:购买链接洛...
系统配置为你推荐
老虎数码虎打个数字陈嘉垣陈浩民狼吻陈嘉恒是什么时候的事psbc.com95580是什么诈骗信息不点网址就安全吧!长尾关键词挖掘工具外贸长尾关键词挖掘工具哪个好用porntimesexy time 本兮 MP3地址百度指数词什么是百度指数ww.66bobo.comfq55点com是什么网站www.175qq.com请帮我设计个网名henhenlu.com谁有大片地址呀 麻烦告诉我 谢谢啦 O会给你打满分的月风随笔关于春夏秋冬的散文
美国和欧洲vps lamp安装 mediafire下载工具 特价空间 名片模板psd 空间服务商 湖南服务器托管 双线主机 100m独享 美国网站服务器 息壤代理 香港新世界中心 移动服务器托管 免费网络 万网空间 学生服务器 阿里云邮箱个人版 建站技术 cdn加速技术 winserver2008r2 更多