CentOS7.1-20170523162422830基线检查参考文档

检查范围检查项名称检查Cron任务授权检查是否对syslog登录事件记录检查是否对rsyslog.conf配置审核检查系统日志读写权限日志审计配置检查是否对远程日志服务器配置检查是否对登录超时时间配置检查系统磁盘状态检查是否禁止匿名FTP访问检查是否修改FTPbanner信息日志审计配置系统文件管理检查是否关闭不必要的服务检查系统coredump状态系统文件管理检查系统补丁检查是否存在无用账号检查不同用户是否共享账号系统文件管理用户账号配置检查是否删除或锁定无用账号检查是否存在无用用户组检查是否指定用户组成员使用su命令用户账号配置检查密码长度及复杂度策略检查是否对用户远程登录进行限制检查是否配置加密协议用户账号配置检查是否配置密码的生存期检查用户缺省访问权限用户账号配置检查passwdgroup文件安全权限检查是否存在除root之外UID为0的用户检查是否配置环境变量检查是否对远程连接的安全性进行配置检查是否对用户的umask进行配置用户账号配置检查是否对重要目录和文件的权限进行设置检查是否存在未授权的suid/sgid文件检查是否存在异常隐含文件用户账号配置检查是否对基本网络服务进行配置检查是否开启NFS服务检查常规网络服务是否运行正常网络通信配置检查项编号权重安全要求-设备-CentOS7.1-配置-2580安全要求-设备-CentOS7.1-配置-2680安全要求-设备-CentOS7.1-配置-2780安全要求-设备-CentOS7.1-配置-2880安全要求-设备-CentOS7.1-配置-2980安全要求-设备-CentOS7.1-配置-3080安全要求-设备-CentOS7.1-配置-3180安全要求-设备-CentOS7.1-配置-3380安全要求-设备-CentOS7.1-配置-3480安全要求-设备-CentOS7.1-配置-3580安全要求-设备-CentOS7.1-配置-3680安全要求-设备-CentOS7.1-配置-3780安全要求-设备-CentOS7.1-配置-0180安全要求-设备-CentOS7.1-配置-0280安全要求-设备-CentOS7.1-配置-0380安全要求-设备-CentOS7.1-配置-0480安全要求-设备-CentOS7.1-配置-0580安全要求-设备-CentOS7.1-配置-0680安全要求-设备-CentOS7.1-配置-0780安全要求-设备-CentOS7.1-配置-0880安全要求-设备-CentOS7.1-配置-0980安全要求-设备-CentOS7.1-配置-1080安全要求-设备-CentOS7.1-配置-1180安全要求-设备-CentOS7.1-配置-1280安全要求-设备-CentOS7.1-配置-1380安全要求-设备-CentOS7.1-配置-1480安全要求-设备-CentOS7.1-配置-1580安全要求-设备-CentOS7.1-配置-1680安全要求-设备-CentOS7.1-配置-1780安全要求-设备-CentOS7.1-配置-2180安全要求-设备-CentOS7.1-配置-2280安全要求-设备-CentOS7.1-配置-2380安全要求-设备-CentOS7.1-配置-2480检查意见执行：ls-l/etc/cron.deny；/etc/at.deny查看cron.deny、at.deny文件的授权情况判定条件若允许非授权用户使用，则低于安全要求；补充操作说明只允许制定授权用户启用cron/at任务启用记录cron行为日志功能参考配置操作Vi/etc/rsyslog.conf#Logcronstuffcron.*cron.*参考配置操作#cat/etc/syslog.conf查看是否有#authpriv.*/var/log/secure补充操作说明将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限使用相关的信息。判定条件查看是否有#authpriv.*/var/log/secure检测操作#cat/etc/rsyslog.conf补充说明将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认证、权限使用相关的信息。执行：more/etc/rsyslog.conf，设置了下列项：kern.warning;*.err;authpriv.none\t@loghost执行：more/etc/rsyslog.conf，设置了下列项：*.info;mail.none;authpriv.none;cron.none\t@loghost执行：more/etc/rsyslog.conf，设置了下列项：*.emerg\t@loghost执行：more/etc/rsyslog.conf，设置了下列项：local7.*\t@loghost系统日志文件由syslog创立并且不可被其它用户修改；其它的系统日志文件不是全局可写参考配置操作查看如下等日志的访问权限#ls–l查看下列日志文件权限/var/log/messages、/var/log/secure、/var/log/maillog、/var/log/cron、/var/log/spooler、/var/log/boot/log检测操作使用ls–l命令依次检查系统日志的读写权限当前系统应配置远程日志功能，将需要重点关注的日志内容传输到日志服务器进行备份。参考配置操作修改配置文件vi/etc/rsyslog.conf，加上这一行：*.*@192.168.0.1可以将*.*替换为你实际需要的日志信息。比如：kern.*/mail.*等等；可以将此处192.168.0.1替换为实际的IP或域名。重新启动syslog服务，执行下列命令：servicessyslogdrestart补充操作说明注意：*.*和@之间为一个Tab参考配置操作通过修改帐户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑profile文件(vi/etc/profile），在“HISTFILESIZE=”后面加入下面这行：建议TMOUT=${key}(可根据情况设定）在/etc/bashrc文件中增加如下行：exportHISTTIMEFORMAT=%F%T再用cat/etc/bashrc查看是否有对应配置；执行：df-h，检查当前系统文件配置情况判定条件保证有足够的磁盘可用空间补充操作说明处理空间不足情况参考配置操作以vsftpd为例：打开vsftd.conf文件，修改下列行为：anonymous_enable=NO检测方法匿名帐户不能登录参考配置操作使用vsftpd，则修改/etc/vsftpd.d/vsftpd.conf文件的内容：ftpd_banner=Welcometo198FTPservice使用wu-ftpd，则需要修改文件/etc/ftpaccess，在其中添加：banner/path/to/ftpbanner参考配置操作查看所有开启的服务：#ps–ef#chkconfig--list#cat/etc/xinetd.conf在xinetd.conf中关闭不用的服务首先复/etc/xinetd.conf。#cp/etc/xinetd.conf/etc/xinetd.conf.backup然后用vi编辑器编辑xinetd.conf文件，对于需要注释掉的服务在相应行开头标记#字符，重启xinetd服务，即可。还可使用如下方式禁用不必要的服务#service服务名stop#chkconfig--level35off补充操作说明根据每台机器的不同角色，关闭不需要的系统服务。操作指南中的服务项提供参考，根据服务器的角色和应用情况对启动项进行修改。如无特殊需要，应关闭Sendmail、Telnet、Bind等服务Linux/Unix系统服务中，部分服务存在较高安全风险，应当禁用，包括：“lpd”，此服务为行式打印机后台程序，用于假脱机打印工作的UNIX后台程序，此服务通常情况下不用，建议禁用；“telnet”，此服务采用明文传输数据，登录信息容易被窃取，建议用ssh代替；“routed”，此服务为路由守候进程，使用动态RIP路由选择协议建议禁用；“sendmail”，此服务为邮件服务守护进程，非邮件服务器应将其关闭；“Bluetooth”，此服务为蓝牙服务，如果不需要蓝牙服务时应关闭；“identd”，此服务为AUTH服务，在提供用户信息方面与finger类似，一般情况下该服务不是必须的，建议关闭；执行：more/etc/security/limits.conf配置下列项：*softcore0执行：more/etc/security/limits.conf配置下列项：*hardcore0在保证业务网络稳定运行的前提下，安装最新的OS补丁。补丁在安装前需要测试确定。参考配置操作看版本是否为最新版本。执行下列命令，查看版本及大补丁号。#uname–a补充操作说明检测方法1、判定条件看版本是否为最新版本。#uname–a查看版本及大补丁号RedHatLinux：：：：检测操作在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。检查/etc/passwd文件属性设置是否为644：ls-l/etc/passwd，给相关文件配置合理的权限，配置口令文件属性，执行：$chmod644/etc/passwd查看是否存在可能无用的账号：more/etc/passwd，无用账号类似：uucpnuucplpdguestprintq，判定条件如果存在无用账号，则低于安全要求；补充操作说明建议删除所有无用的账号用户账号分配检查，避免共享账号存在系统需按照实际用户分配账号；应按照不同的用户分配不同的账号。参考配置操作命令cat/etc/passwd查看当前所有用户的情况；如需建立用户，参考如下：#useraddusername#创建账号#passwdusername#设置密码使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。检查方法命令cat/etc/passwd查看当前所有用户的信息，确认与管理员是否有共享账号情况存在。锁定用户：1)#cat/etc/passwd，查看哪些帐户的shell域中为nologin；2)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户，用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码.需要锁定的用户：listen锁定用户：1)#cat/etc/passwd，查看哪些帐户的shell域中为nologin；2)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户，用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码.需要锁定的用户：gdm，锁定用户：1)#cat/etc/passwd，查看哪些帐户的shell域中为nologin；2)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户，用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码.需要锁定的用户：webservd锁定用户：1)#cat/et