linux操作系统加固修订版

LINUX操作系统加固手册2020年2月修订版目录11账号管理、认证授权...................................................311..11账号............................................................311..11..11SSHHGG--LLIINNUUXX--0011--0011--0011........................................311..11..22SSHHGG--LLIINNUUXX--0011--0011--0022........................................311..11..33SSHHGG--LLIINNUUXX--0011--0011--0033........................................411..11..44SSHHGG--LLIINNUUXX--0011--0011--0044........................................511..11..55SSHHGG--LLIINNUUXX--0011--0011--0055........................................611..11..66SSHHGG--LLIINNUUXX--0011--0011--0066........................................611..11..77SSHHGG--LLIINNUUXX--0011--0011--0077........................................711..11..88SSHHGG--LLIINNUUXX--0011--0011--0088........................................811..22口令............................................................911..22..11SSHHGG--LLIINNUUXX--0011--0022--0011........................................911..22..22SSHHGG--LLIINNUUXX--0011--0022--0022........................................911..22..33SSHHGG--LLIINNUUXX--0011--0022--0033.......................................1011..33文件与授权.....................................................1111..33..11SSHHGG--LLIINNUUXX--0011--0033--0011.......................................1111..33..22SSHHGG--LLIINNUUXX--0011--0033--0022.......................................1211..33..33SSHHGG--LLIINNUUXX--0011--0033--0033.......................................1222日志审计............................................................1322..11..11SSHHGG--LLIINNUUXX--0022--0011--0011.......................................1322..11..22SSHHGG--LLIINNUUXX--0022--0011--0022.......................................1422..11..33SSHHGG--LLIINNUUXX--0022--0011--0033.......................................1522..11..44SSHHGG--LLIINNUUXX--0022--0011--0044.......................................1533通信协议............................................................1633..11IP协议安全....................................................1633..11..11SSHHGG--LLIINNUUXX--0033--0011--0011.......................................1633..11..22SSHHGG--LLIINNUUXX--0033--0011--0022.......................................1733..11..33SSHHGG--LLIINNUUXX--0033--0011--0033.......................................1844设备其他安全要求....................................................1944..11服务进程和启动.................................................1944..11..11SSHHGG--LLIINNUUXX--0044--0011--0011.......................................1944..11..22SSHHGG--LLIINNUUXX--0044--0011--0022.......................................2044..11..33SSHHGG--LLIINNUUXX--0044--0011--0033.......................错误!未定义书签。44..22BANNER.........................................................2144..22..11SSHHGG--LLIINNUUXX--0044--0033--0011.......................................2244..33屏幕保护.......................................................2344..33..11SSHHGG--LLIINNUUXX--0044--0033--0011.......................................2344..44时钟同步.......................................................2344..44..11SSHHGG--LLIINNUUXX--0044--0044--0011.......................................2311账账号号管管理理、、认认证证授授权权11..11账账号号1.1.1SHG-LINUX-01-01-01编号SHG-LINUX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态cat/etc/passwd记录当前用户列表实施步骤1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。回退方案删除新增加的帐户判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注1.1.2SHG-LINUX-01-01-02编号SHG-LINUX-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态实施步骤1、参考配置操作#userdellp#groupdellp如果下面这些系统默认帐号不需要的话，建议删除。lp,sync,shutdown,halt,news,uucp,operator,games,gopher修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等，也可以使用usermod-s/dev/nullusername命令来更改username的shell为/dev/null。回退方案恢复账号或者SHELL判断依据如上述用户不需要，则锁定。实施风险高重要等级★★★备注11..11..33SHG-LINUX-01-01-03编号SHG-LINUX-01-01-03名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwdawk-F:'($2==){print$1}'/etc/passwd实施步骤awk-F:'($2==){print$1}'/etc/passwd用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断cat/etc/passwd实施风险高重要等级★备注1.1.4SHG-LINUX-01-01-04编号SHG-LINUX-01-01-04名称除root之外UID为0的用户实施目的帐号与口令-检查是否存在除root之外UID为0的用户问题影响账号权限过大，容易被非法利用系统当前状态awk-F:'($3==0){print$1}'/etc/passwd实施步骤禁用或删除非root的超级用户删除或者修改除root以外的UID为0的用户。回退方案无判断依据查看/etc/passwd中UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0实施风险高重要等级★备注1.1.5SHG-LINUX-01-01-05编号SHG-LINUX-01-01-05名称设置帐户锁定登录失败锁定次数、锁定时间实施目的设置帐户锁定登录失败锁定次数、锁定时间问题影响容易被非法利用系统当前状态/etc/pam.d/system-auth实施步骤authrequired/lib64/security/pam_tally.soonerr=faildeny=5unlock_time=300reset回退方案/etc/pam.d/system-auth判断依据/etc/pam.d/system-auth实施风险高重要等级★备注需重启sshd服务（servicesshdrestart）1.1.6SHG-LINUX-01-01-06编号SHG-LINUX-01-01-06名称限制能够su为root的用户实施目的限制能够su为root的用户问题影响容易被非法利用系统当前状态/etc/pam