基线系统配置

系统配置  时间:2021-03-29  阅读:()
图书与信息中心Linux操作系统配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月图书与信息中心目录第1章概述.
11.
1安全基线概念.
11.
2文档编制目的.
11.
3文档适用范围.
11.
4文档修订.
1第2章账号管理、认证授权22.
1账号.
22.
1.
1用户口令设置22.
1.
2root用户远程登录限制.
22.
1.
3检查是否存在除root之外UID为0的用户32.
1.
4root用户环境变量的安全性.
32.
2认证.
32.
2.
1远程连接的安全性配置.
32.
2.
2用户的umask安全配置42.
2.
3重要目录和文件的权限设置.
42.
2.
4查找未授权的SUID/SGID文件42.
2.
5检查任何人都有写权限的目录.
52.
2.
6查找任何人都有写权限的文件.
52.
2.
7检查没有属主的文件.
52.
2.
8检查异常隐含文件6第3章日志审计.
73.
1日志.
73.
1.
1syslog登录事件记录73.
2审计.
73.
2.
1Syslog.
conf的配置审核7第4章系统文件.
84.
1系统状态.
84.
1.
1系统coredump状态.
8图书与信息中心1第1章概述1.
1安全基线概念安全基线是指满足最小安全保证的基本要求.
1.
2文档编制目的本文档针对安装运行Linux系列操作系统的计算机主机所应当遵循的基本安全设置要求提供了参考建议,供校园网用户在安装使用Linux操作系统过程中进行安全配置合规性自查、检查、加固提供标准依据与操作指导.
1.
3文档适用范围本文档适用于Linux系列操作系统的各类版本,部分操作系统或版本的特定配置与操作见括号内说明.
文档使用人员包括系统管理员及终端计算机用户.
1.
4文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心,欢迎校园网用户提供意见或建议,请发送至security@njau.
edu.
cn.
图书与信息中心2第2章账号管理、认证授权2.
1账号2.
1.
1用户口令设置安全基线项目名称操作系统用户口令安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-01安全基线项说明用户帐号口令设置设置操作步骤1、执行:#awk-F:'($2print$1}'/etc/shadow,检查是否存在空口令账号,以root用户登录,执行#passwd用户名密码,设置密码.
2、执行:#vi/etc/login.
defs,检查以下参数PASS_MAX_DAYS密码最长过期天数参考值90PASS_MIN_DAYS密码最小过期天数参考值80PASS_MIN_LEN密码最小长度参考值8PASS_WARN_AGE密码过期警告天数参考值7基线符合性判定依据密码设置符合策略,不存在空口令账号备注#为系统操作提示符.
2.
1.
2root用户远程登录限制安全基线项目名称操作系统root用户远程登录安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-02安全基线项说明root用户远程登录限制设置操作步骤1、新建用户,执行:#Useradd用户名,#Passwd密码;2、授权新用户拥有root用户管理权限,执行#vi/etc/sudoers,在"##AllowroottorunanycommandsanywhererootALL=(ALL)ALL"下添加"新用户ALL=(ALL)ALL"3、修改sshd_Config文件,执行vi/etc/ssh/sshd_config找到PermitRootLogin,删除前面的#号并且修改为no,重启sshd服务,执行#servicesshdrestart.
基线符合性判定依据查看配置:cat/etc/ssh/sshd_config,PermitRootLoginno符合,或尝试以root远程登录应不成功.
备注以新用户身份登录系统后,执行sudo命令可获取root操作权图书与信息中心3限.
root用户拥有系统最高权限,权限远高于Windows系统中的administrator用户.
一旦root用户信息被泄露,对于服务器来说将是极为致命的威胁.
所以禁止root用户通过ssh的方式进行远程登录,这样可以极大的提高服务器的安全性,即使是root用户密码泄露出去也能够保障服务器的安全.
2.
1.
3检查是否存在除root之外UID为0的用户安全基线项目名称操作系统超级用户策略安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-03安全基线项说明检查是否存在除root之外UID为0的用户设置操作步骤1、执行:#awk-F:'($3==0){print$1}'/etc/passwd,返回值包括"root"以外的条目,则存在;2、删除非法帐户基线符合性判定依据返回值应只有"root"条目备注UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为02.
1.
4root用户环境变量的安全性安全基线项目名称操作系统超级用户环境变量安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-01-04安全基线项说明root用户环境变量的安全性设置操作步骤1、执行:echo$PATH|egrep检查是否包含父目录,2、执行:find`echo$PATH|trtyped\(-perm-002-o-perm-020\)-ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值无则安全备注确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录图书与信息中心42.
2认证2.
2.
1远程连接的安全性配置安全基线项目名称操作系统远程连接安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-01安全基线项说明远程连接的安全性配置设置操作步骤1、执行:find/-name.
netrc,检查系统中是否有.
netrc文件;2、执行:find/-name.
rhosts,检查系统中是否有.
rhosts文件;3、删除这两个文件基线符合性判定依据返回值无,则安全.
备注2.
2.
2用户的umask安全配置安全基线项目名称操作系统用户umask安全基线要求项安全基线编号用户的umask安全配置安全基线项说明NJAUSBL-Linux-V01-02-02-02设置操作步骤执行:#more/etc/profile#more/etc/csh.
login#more/etc/csh.
cshrc#more/etc/bashrc,检查是否包含umask值基线符合性判定依据如有umask值且不是默认的,则安全.
备注建议设置用户的umask=0772.
2.
3重要目录和文件的权限设置安全基线项目名称操作系统目录文件权限安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-03安全基线项说明重要目录和文件的权限设置设置操作步骤执行以下命令检查目录和文件的权限设置情况:#ls–l/etc/#ls–l/etc/rc.
d/init.
d/图书与信息中心5#ls–l/tmp#ls–l/etc/inetd.
conf#ls–l/etc/passwd#ls–l/etc/shadow#ls–l/etc/group#ls–l/etc/security#ls–l/etc/services#ls-l/etc/rc*.
d建议按如下命令设置:#chmod-R750/etc/rc.
d/init.
d/*,使root可以读、写和执行这个目录下的脚本.
基线符合性判定依据若权限设置过低则系统用户无法进入文件目录或操作文件,不符合.
备注2.
2.
4查找未授权的SUID/SGID文件安全基线项目名称操作系统SUID/SGID文件安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-04安全基线项说明查找未授权的SUID/SGID设置操作步骤用下面的命令查找系统中所有的SUID和SGID程序,执行:#find.
-perm-04000;#find.
-perm-02000基线符合性判定依据若存在未授权的文件,则不安全.
备注建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序2.
2.
5检查任何人都有写权限的目录安全基线项目名称操作系统Linux目录写权限安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-05安全基线项说明文件系统-检查任何人都有写权限的目录设置操作步骤在系统中定位任何人都有写权限的目录用下面的命令:forPARTin`awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab`;dofind$PART-xdev-typed\(-perm-0002-a!
-perm-1000\)-printDone基线符合性判定依据若返回值非空,则低于安全要求;图书与信息中心6备注2.
2.
6查找任何人都有写权限的文件安全基线项目名称操作系统Linux文件写权限安全基线要求项安全基线编号NJAUSBL-Linux-02-02-06安全基线项说明文件系统-查找任何人都有写权限的文件设置操作步骤在系统中定位任何人都有写权限的文件用下面的命令:forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;dofind$PART-xdev-typef\(-perm-0002-a!
-perm-1000\)-printDone基线符合性判定依据若返回值非空,则低于安全要求;备注2.
2.
7检查没有属主的文件安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-07安全基线项说明文件系统-检查没有属主的文件设置操作步骤定位系统中没有属主的文件用下面的命令:forPARTin`grep-v^#/etc/fstab|awk'($6!
="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone注意:不用管"/dev"目录下的那些文件.
基线符合性判定依据若返回值非空,则低于安全要求;备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了.
不能允许没有主人的文件存在.
如果在系统中发现了没有主人的文件或目录,先查看它的完整性,如果一切正常,给它一个主人.
有时候卸载程序可能会出现一些没有主人的文件或目录,在这种情况下可以把这些文件和目录删除掉.
图书与信息中心72.
2.
8检查异常隐含文件安全基线项目名称操作系统Linux隐含文件安全基线要求项安全基线编号NJAUSBL-Linux-V01-02-02-08安全基线项说明文件系统-检查异常隐含文件设置操作步骤用"find"程序可以查找到这些隐含文件.
例如:#find/-name".
.
*"-print–xdev#find/-name"*"-print-xdev|cat-v同时也要注意象".
xx"和".
mail"这样的文件名的.
(这些文件名看起来都很象正常的文件名)基线符合性判定依据若返回值非空,则低于安全要求;备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用"ls"命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等).
在UNIX下,一个常用的技术就是用一些特殊的名,如:点点空格)或".
.
^G"(点点control-G),来隐含文件或目录.
第3章日志审计3.
1日志3.
1.
1syslog登录事件记录安全基线项目名称操作系统Linux登录审计安全基线要求项安全基线编号NJAUSBL-Linux-V01-03-01-01安全基线项说明日志审计-syslog登录事件记录设置操作步骤执行命令:more/etc/syslog.
conf查看参数authpriv值基线符合性判定依据若未对所有登录事件都记录,则低于安全要求;备注图书与信息中心83.
2审计3.
2.
1Syslog.
conf的配置审核安全基线项目名称操作系统Linux配置审计安全基线要求项安全基线编号NJAUSBL-Linux-V01-03-02-01安全基线项说明日志审计-Syslog.
conf的配置审核设置操作步骤执行:more/etc/syslog.
conf,查看是否设置了下列项:kern.
warning;*.
err;authpriv.
none\t@loghost*.
info;mail.
none;authpriv.
none;cron.
none\t@loghost*.
emerg\t@loghostlocal7.
*\t@loghost基线符合性判定依据若未设置,则低于安全要求;备注补充操作说明建议配置专门的日志服务器,加强日志信息的异地同步备份第4章系统文件4.
1系统状态4.
1.
1系统coredump状态安全基线项目名称操作系统Linuxcoredump状态安全基线要求项安全基线编号NJAUSBL-Linux-V01-04-01-01安全基线项说明系统文件-系统coredump状态设置操作步骤执行:more/etc/security/limits.
conf检查是否包含下列项:*softcore0*hardcore0基线符合性判定依据若不存在,则低于安全要求备注补充操作说明coredump中可能包括系统信息,易被入侵者利用,建议关闭

港云网络(¥1/月活动机器),香港CN2 4核4G 1元/月 美国CN2

港云网络官方网站商家简介港云网络成立于2016年,拥有IDC/ISP/云计算资质,是正规的IDC公司,我们采用优质硬件和网络,为客户提供高速、稳定的云计算服务。公司拥有一流的技术团队,提供7*24小时1对1售后服务,让您无后顾之忧。我们目前提供高防空间、云服务器、物理服务器,高防IP等众多产品,为您提供轻松上云、安全防护。点击进入港云网络官方网站港云网络中秋福利1元领【每人限量1台】,售完下架,活...

Raksmart VPS主机如何设置取消自动续费

今天有看到Raksmart账户中有一台VPS主机即将到期,这台机器之前是用来测试评测使用的。这里有不打算续费,这不面对万一导致被自动续费忘记,所以我还是取消自动续费设置。如果我们也有类似的问题,这里就演示截图设置Raksmart取消自动续费。这里我们可以看到上图,在对应VPS主机的【其余操作】中可以看到默认已经是不自动续费,所以我们也不要担心被自动续费的。当然,如果有被自动续费,我们确实不想续费的...

华纳云不限流量¥324/年,香港双向CN2(GIA)云服务器/1核1G/50G存储/2Mbps

华纳云(HNCloud Limited)是一家专业的全球数据中心基础服务提供商,总部在香港,隶属于香港联合通讯国际有限公司,拥有香港政府颁发的商业登记证明,保证用户的安全性和合规性。 华纳云是APNIC 和 ARIN 会员单位。主要提供香港和美国机房的VPS云服务器和独立服务器。商家支持支付宝、网银、Paypal付款。华纳云主要面向国内用户群,所以线路质量还是不错的,客户使用体验总体反响还是比较好...

系统配置为你推荐
微盟赔付方案2020公司裁员的赔偿标准地图应用哪个手机定位软件最好用?甲骨文不满赔偿如果合同期不满被单位辞退,用人单位是否需要赔偿原代码什么是原代码嘀动网在炫动网买鞋怎么样,是真的吗百花百游百花百游的五滴自游进程同一服务器网站服务器建设:一个服务器有多个网站该如何设置?haokandianyingwang有什么好看的电影网站www.vtigu.com如图所示的RT三角形ABC中,角B=90°(初三二次根式)30 如图所示的RT三角形ABC中,角B=90°,点p从点B开始沿BA边以1厘米每秒的速度向A移动;同时,点Q也从点B开始沿BC边以2厘米每秒的速度向点C移动。问:几秒后三角形PBQ的面积为35平方厘米?PQ的距离是多少16668.com香港最快开奖现场直播今晚开
山东虚拟主机 国外域名 vps.net 博客主机 一点优惠网 租空间 权嘉云 有益网络 789电视 免费cdn 免费ftp 秒杀品 华为k3 重庆联通服务器托管 连连支付 赵荣博客 阿里云主机 流媒体服务器软件 usb大容量存储设备 大容量存储控制器 更多