Linux系统安全规范

                     系统安全之Linux篇 @hotmail.com系统安全之Linux篇 Cuci2010-08-05Linux系统安全规范 ....................................................................................................... 2 基本原则 ....................................................................................................................... 2 账号和口令安全 ........................................................................................................... 2 账户安全：............................................................................................................ 2 口令安全：............................................................................................................ 2 系统参数、属性设置 ................................................................................................... 3 对设置了SUID, SGID文件的处理 .................................................................................. 4 远程登录 ....................................................................................................................... 4 SSH ......................................................................................................................... 4 key方式登录： ...................................................................................................... 5 登陆banner ............................................................................................................ 5 磁盘和文件系统 ........................................................................................................... 5 服务安全 ....................................................................................................................... 6 日志 ............................................................................................................................... 6 内核参数 ....................................................................................................................... 6 入侵检测与防护 ........................................................................................................... 7 Tripwire .................................................................................................................. 7 Linux下的安全检查 ..................................................................................................... 13 什么时候需要进行网络扫描.............................................................................. 13 Nessus介绍 .......................................................................................................... 13 附：PAM配置简介 ...................................................................................................... 22 PAM模块类型...................................................................................................... 22 PAM控制标志...................................................................................................... 23 PAM模块.............................................................................................................. 23  1                     系统安全之Linux篇 Linux系统安全规范 基本原则 1.及时更新服务，以防止最新威胁2.尽可能使用安全的协议3.尽可能把服务模块区分到不同的server上4.严格监控所有server以便及时发现异常行为5.订阅系统相关的安全邮件列表账号和口令安全 账户安全： 1.为每个系统维护人员建立一个独立的普通权限帐号，为监控机建立监控帐号，分别用于日常系统维护和系统监控；2.系统安装后可能存在许多无用用户，这些用户可能会被黑客利用，所以应该立即删除，例如：无用用户:uucp,mail,news,pcap,lp,sync,ntp,vcsa,shutdown,halt,ftp,operator无用组:gamer,pcap,rpcuser,vcsa,smmsp,mailnull,ntp,lp,wheel,mail,news3.FTP服务器配置虚拟帐号；4.禁止除root帐号、系统维护人员帐号和监控机帐号之外所有帐号使用SHELL的权限；5.锁定临时不用帐号；锁定：passwd–lusername/*或者usermod–Luername*/解锁：passwd–uusername/*或者usermod–Uuername*/6.如果系统管理员离职则必须立即删除其用户，并更改超级管理员口令口令安全： 1.口令强度8位以上，包换字母（大小写混杂），数字和特殊符号，禁止英文单词；2.PAM配置：在文件/etc/pam.d/system-auth中配置passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1minlen=8：passwd最小长度为8 2                     系统安全之Linux篇 lcredit=-1：小写字母最少1位ucredit=-1：大写字母最少1位dcredit=-1：数字最少1位ocredit=-1：其他字符最少1位3.更改频率每季度更改一次；配置新建帐户的默认更改频率：在文件/etc/login.defs中设置PASS_MAX_DAYS=90修改当前用户的更改频率：chage–M120username注：更改文件:/etc/login.defs配置默认口令属性：PASS_MAX_DAYS99999设置密码过期日期PASS_MIN_DAYS0设置密码最少更改日期PASS_MIN_LEN5设置密码最小长度PASS_WARN_AGE7设置过期提前警告天数4.历史：5次配置：在文件/etc/pam.d/system-auth中配置passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1difok=3/*新密码和旧密码不能有3个以上字符重复*/passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5/*以前的5次之内的密码不能使用*/注：此设置如果要生效还依赖于一个文件：/etc/security/opasswd，如果不存在，自己创建touch/etc/security/opasswdchownroot:root/etc/security/opasswdchmod600/etc/security/opasswd5.当用户试图登陆多次失败后，锁定此用户（suorlogin5次失败锁定）在文件/etc/pam.d/system-auth中配置：authrequisitepam_tally.soper_useronerr=faildeny=4unlock_time=3600注：超过4次错误就会lock user，为了防止拒绝服务攻击，加入per_user参数 6.推荐选择口令方法：可以想写句子或者古诗，取每个单词首个字母。系统参数、属性设置 1.TMOUT:设置该环境变量以防使用root用户但是忘记退出，方法：例：exportTMOUT=3600/*无交互操作一小时后退出*/ 3                     系统安全之Linux篇 2.更改shell历史长度：编辑文件/etc/profile,更改条目:HISTFILESIZE=30HISTSIZE=30，将这两个参数改为小值可以保证.bash_history文件中不会存储过多以前使用过的命令。这两个变量之间的差别不是那么明确.简述如下:HISTFILESIZE定义了在.bash_history中保存命令的记录总数.HISTSIZE定义了history命令输出的记录数.HISTTIMEFORMAT则定义了执行命令的时间格式,典型的配