您好,欢迎访问三七文档
当前位置:首页 > 临时分类 > 中国电信Linux操作系统安全配置规范
中国电信集团公司技术标准Q/CT2339-2011中国电信Linux操作系统安全配置规范SpecificationforLinuxOSConfigurationUsedinChinaTelecom2011-4发布2011-4实施中国电信集团公司发布保密等级:公开发放Q/CT2339-2011I目录目录.....................................................................I前言....................................................................II1范围.......................................................................12规范性引用文件.............................................................13缩略语.....................................................................13.1缩略语...................................................错误!未定义书签。4安全配置要求...............................................................24.1账号.....................................................................24.2口令.....................................................................34.3文件及目录权限...........................................................54.4远程登录.................................................................74.5补丁安全.................................................................84.6日志安全要求.............................................................94.7不必要的服务、端口......................................................104.8系统Banner设置.........................................................114.9登陆超时时间设置........................................................124.10删除潜在危险文件.......................................................124.11FTP设置................................................................12附录A:端口及服务..........................................................13Q/CT2339-2011II前言为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信编制了一系列的安全配置规范,明确了操作系统、数据库、应用中间件在内的通用安全配置要求。本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下:(1)AIX操作系统安全配置规范(2)HP-UX操作系统安全配置规范(3)Solaris操作系统安全配置规范(4)Linux操作系统安全配置规范(本标准)(5)Windows操作系统安全配置规范(6)MSSQLserver数据库安全配置规范(7)MySQL数据库安全配置规范(8)Oracle数据库安全配置规范(9)Apache安全配置规范(10)IIS安全配置规范(11)Tomcat安全配置规范(12)WebLogic安全配置规范本标准由中国电信集团公司提出并归口。Q/CT2339-201111范围适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同,本规范以内核版本2.6及以上为例,给出参考配置操作。2规范性引用文件Linux操作系统配置规范符合下列规范性文件:GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语下列缩略语适用于本标准:FTPFileTransferProtocol文件传输协议UDPUserDatagramProtocol用户数据包协议TCPTransmissionControlProtocol传输控制协议Q/CT2339-201124安全配置要求4.1账号编号:1要求内容应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号:#useraddusername#创建账号#passwdusername#设置密码修改权限:#chmod750directory#其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号:2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户:#userdelusername;锁定用户:1)修改/etc/shadow文件,用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等检测方法1、判定条件Q/CT2339-20113被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。编号:3要求内容根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。操作指南1、参考配置操作Cat/etc/passwdCat/etc/group2、补充操作说明检测方法1、判定条件人工分析判断2、检测操作编号:4要求内容使用PAM禁止任何人su为root操作指南参考操作:编辑su文件(vi/etc/pam.d/su),在开头添加下面两行:authsufficient/lib/security/pam_rootok.soauthrequired/lib/security/pam_wheel.sogroup=wheel这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。添加方法为:#chmod–G10username检测方法1、判定条件2、检测操作Cat/etc/pam.d/su4.2口令编号:1要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi/etc/login.defs,修改设置如下PASS_MIN_LEN=8#设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklibmodule或Q/CT2339-20114pam_passwdqcmodule进行设置检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i.配置口令的最小长度;ii.将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。3、补充说明pam_cracklib主要参数说明:tretry=N:重试多少次后返回密码修改错误difok=N:新密码必需与旧密码不同的位数dcredit=N:N=0:密码中最多有多少个数字;N0密码中最少有多少个数字.lcredit=N:小宝字母的个数ucredit=N大宝字母的个数credit=N:特殊字母的个数minclass=N:密码组成(大/小字母,数字,特殊字符)pam_passwdqc主要参数说明:mix:设置口令字最小长度,默认值是mix=disabled。max:设置口令字的最大长度,默认值是max=40。passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0则禁用口令短语。atch:设置密码串的常见程序,默认值是match=4。similar:设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以是similar=permit允许相似或similar=deny不允许相似。random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。enforce:设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;enforce=users将对系统上的全体非根用户实行这一限制;enforce=everyone将对包括根用户在内的全体用户实行这一限制。non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。retry:设置用户输入口令字时允许重试的次数,默认值是retry=3。Q/CT2339-20115密码复杂度通过/etc/pam.d/system-auth实施编号:2要求内容对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。操作指南1、参考配置操作vi/etc/login.defsPASS_MAX_DAYS=90#设定口令的生存期不长于90天检测方法1、判定条件登录不成功;2、检测操作使用超过90天的帐户口令登录;3、补充说明测试时可以将90天的设置缩短来做测试;4.3文
本文标题:中国电信Linux操作系统安全配置规范
链接地址:https://www.777doc.com/doc-2769069 .html