Linux操作系统安全配置规范V1.0

版本号：1.0.0Linux操作系统安全配置规范目录1概述........................................................................................................................................................................11.1适用范围........................................................................................................................................................11.2外部引用说明................................................................................................................................................11.3术语和定义....................................................................................................................................................11.4符号和缩略语................................................................................................................................................12LINUX设备安全配置要求..................................................................................................................................12.1账号管理、认证授权....................................................................................................................................22.1.1账号.......................................................................................................................................................22.1.2口令.......................................................................................................................................................42.1.3授权.....................................................................................................................................................102.2日志配置要求..............................................................................................................................................112.3IP协议安全配置要求.................................................................................................................................132.3.1IP协议安全........................................................................................................................................132.4设备其他安全配置要求..............................................................................................................................142.4.1检查SSH安全配置............................................................................................................................142.4.2检查是否启用信任主机方式，配置文件是否配置妥当..................................................................152.4.3检查是否关闭不必要服务.................................................................................................................152.4.4检查是否设置登录超时.....................................................................................................................162.4.5补丁管理.............................................................................................................................................1711概述1.1适用范围本规范适用于LINUX操作系统的设备。本规范明确了LINUX操作系统配置的基本安全要求，在未特别说明的情况下，适用于Redhat与Suse操作系统版本。1.2外部引用说明1.3术语和定义1.4符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用LINUX操作系统的设备。本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。22.1账号管理、认证授权2.1.1账号2.1.1.1检查是否删除或锁定无关账号检查项名称检查是否删除或锁定无关账号中文编号英文编号要求内容应删除或锁定与设备运行、维护等工作无关的账号。检查项类型账号口令和认证授权-操作系统-LINUX发布日期2010-03-03检查方式自动检测操作步骤1、执行：#more/etc/passwd/etc/shadow查看是否存在以下可能无用的帐户：lpuucpnobodygamesrpmsmmspnfsnobody。Adm、sync、shutdown、halt、news、operator判定条件lpuucpnobodygamesrpmsmmspnfsnobody这些帐户不存在或者它们的密码字段为!!，则这些帐户被锁定，符合安全要求，否则低于安全要求。补充说明加固方案类别参考操作配置1、执行备份：#cp-p/etc/passwd/etc/passwd_bak#cp-p/etc/shadow/etc/shadow_bak2、锁定无用帐户：方法一：#vi/etc/shadow在需要锁定的用户名的密码字段前面加!!，如test:!!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::方法二：#passwd-ltest3、将/etc/passwd文件中的shell域设置成/bin/false。补充操作说明lpuucpnobodygamesrpmsmmspnfsnobodyAdm、sync、shutdown、halt、news、operator这些帐户不存在或者它们的密码字段为!!32.1.1.2检查是否限制root远程登录检查项名称检查是否限制root远程登录中文编号英文编号要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检查项类型账号口令和认证授权-操作系统-LINUX发布日期2010-03-03检查方式自动检测操作步骤查看配置文件#more/etc/securetty#more/etc/ssh/sshd_config判定条件#more/etc/securetty检查是否有下列行：pts/x（x为一个十进制整数）#more/etc/ssh/sshd_config检查下列行设置是否为no并且未被注释：PermitRootLogin不存在pts/x则禁止了telnet登录，PermitRootLoginno禁止了ssh登录，符合以上条件则禁止了root远程登录，符合安全要求，否则低于安全要求。补充说明#Authentication:#LoginGraceTime2m#PermitRootLoginyes#StrictModesyes#MaxAuthTries6PermitRootLogin的值改为no，不允许root远程登录加固方案类别参考操作配置1、执行备份：#cp-p/etc/securetty/etc/securetty_bak#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useraddusername#passwdusername3、禁止root用户远程登录系统：#vi/etc/securetty注释形如pts/x的行，保存退出，则禁止了root从telnet登录。#vi/etc/ssh/sshd_config修改PermitRootLogin设置为no并不被注释，保存退出，则禁止了root从ssh登录。4#/etc/init.d/sshdrestart补充操作说明以下为测试telnet登录结果：/etc/pam.d/login/etc/seruretty结果注释掉存在文件，存在PTS能登录注释掉存在文件，不存在PTS不能登录注释掉不存在文件能登录不注释不存在文件能登陆不注释存在文件，不存在PTS不能登录不注释存在文件，存在PTS能登录/etc/ssh/sshd_config文件中PermitRootLogin值为no，并且/etc/security/user下值为pts2.1.2口令2.1.2.1检查口令策略设置是否符合复杂度要求检查项名称检查口令策略设置是否符合复杂度要求中文编号安全要求-设备-通用-配置-4英文编号要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符