1、 SUSE Linux主机操作系统安全加固操作规范0SUSE Linux主机操作系统安全加固操作规范2018 年 9 月SUSE Linux主机操作系统安全加固操作规范11 文档使用说明 81.1 适用范围 .81.2 适用人员 .82 帐号 82.1 SUSE-ACCT-01-设置专用维护帐号 .82.1.1 安全要求: 82.1.2 通用策略: 82.1.3 风险说明: 82.1.4 操作方法: 92.1.5 操作验证: 102.2 SUSE-ACCT-02-锁定/删除无用帐号 102.2.1 安全要求: 102.2.2 通用策略: 102.2.3 风险说明: 102.2.4 操作方法:
2、102.2.5 操作验证: 112.3 SUSE-ACCT-03-用户帐号分组 .112.3.1 要求内容: 112.3.2 通用策略: 112.3.3 风险说明: 112.3.4 操作方法: 112.3.5 操作验证: .123 口令 123.1 SUSE-PWD-01-配置用户口令复杂度 .123.1.1 安全要求: 123.1.2 通用策略: 123.1.3 风险说明: 123.1.4 操作方法: 133.1.5 操作验证: 133.2 SUSE-PWD-02-配置用户口令期限 .143.2.1 安全要求: 143.2.2 通用策略: 143.2.3 风险说明: 143.2.4 操作方法
3、: 143.2.5 操作验证: 153.3 SUSE-PWD-03-配置用户口令重复使用次数 .153.3.1 安全要求: 153.3.2 通用策略: 153.3.3 风险说明: 153.3.4 操作方法: 153.3.5 操作验证: 16SUSE Linux主机操作系统安全加固操作规范23.4 SUSE-PWD-04-配置用户认证失败锁定策略 .163.4.1 安全要求: 163.4.2 通用策略: 163.4.3 风险说明: 163.4.4 操作方法: 174 服务 194.1 SUSE-SVC-01-查看开放系统服务端口 194.1.1 安全要求: 194.1.2 通用策略: 194.1
4、.3 风险说明: 194.1.4 操作方法: 194.1.5 操作验证: 194.2 SUSE-SVC-02-禁用无用 inetd/xinetd 服务 .204.2.1 安全要求: 204.2.2 通用策略: 204.2.3 风险说明: 204.2.4 操作方法: 204.2.5 操作验证: 204.3 SUSE-SVC-03-配置 NTP 时间同步 .214.3.1 安全要求: 214.3.2 通用策略: 214.3.3 风险说明: 214.3.4 操作方法: 214.3.5 操作验证: 224.4 SUSE-SVC-04-停用 NFS 服务 .224.4.1 安全要求: 224.4.2 通
5、用策略: 224.4.3 风险说明: 224.4.4 操作方法: 234.4.5 操作验证: 244.5 SUSE-SVC-05-禁用无关启动服务 244.5.1 安全要求: 244.5.2 通用策略: 244.5.3 风险说明: 254.5.4 操作方法: 254.5.5 操作验证: 254.6 SUSE-SVC-06-修改 SNMP 默认团体名 .254.6.1 安全要求: 254.6.2 通用策略: 254.6.3 风险说明: 264.6.4 操作方法: 264.7 SUSE-AUTH-01-限制关键文件和目录访问权限 .274.7.1 安全要求: 274.7.2 通用策略: 27SUS
6、E Linux主机操作系统安全加固操作规范34.7.3 风险说明: 274.7.4 操作方法: 274.7.5 操作验证: 284.8 SUSE-AUTH-02-设置用户文件默认访问权限 .284.8.1 安全要求: 284.8.2 通用策略: 284.8.3 风险说明: 284.8.4 操作方法: 294.8.5 操作验证: 294.9 SUSE-AUTH-03-设置 EEPROM 密码 .294.9.1 安全要求: 294.9.2 通用策略: 294.9.3 风险说明: 294.9.4 操作方法: 304.9.5 操作验证: 304.10 SUSE-AUTH-04-使用 SSH 代替 TE
7、LNET 远程登陆 304.10.1 安全要求: 304.10.2 通用策略: 304.10.3 风险说明: 304.10.4 操作方法: 304.10.5 操作验证: 314.11 SUSE-AUTH-05-限制 ROOT 远程登录 314.11.1 安全要求: 314.11.2 通用策略: 314.11.3 风险说明: 314.11.4 操作方法: 314.11.5 操作验证: 324.12 SEC-SUSE-AUTH-06-限制用户 FTP 登录 .334.12.1 安全要求: 334.12.2 通用策略: 334.12.3 风险说明: 334.12.4 操作方法: 334.12.5 操
8、作验证: 334.13 SUSE-AUTH-07-限制 FTP 用户登录后能访问的目录 344.13.1 安全要求: 344.13.2 通用策略: 344.13.3 风险说明: 344.13.4 操作方法: 344.13.5 操作验证: 354.14 SUSE-AUTH-08-设置终端超时退出时间 .354.14.1 要求内容: 354.14.2 通用策略: 354.14.3 风险说明: 354.14.4 操作方法: 35SUSE Linux主机操作系统安全加固操作规范44.14.5 操作验证: .364.15 SUSE-AUTH-09-设置图形界面超时退出时间 .364.15.1 要求内容:
9、 364.15.2 通用策略: 364.15.3 风险说明: 364.15.4 操作方法: 364.15.5 操作验证: .374.16 SUSE-AUTH-10-限制允许登录到设备的 IP 地址范围 .374.16.1 安全要求: 374.16.2 通用策略: 374.16.3 风险说明: 374.16.4 操作验证: 384.17 SUSE-AUTH-11-设置 FTP 用户登录后对文件、目录的存取权限 384.17.1 安全要求: 384.17.2 通用策略: 384.17.3 风险说明: 384.17.4 操作方法: 384.17.5 操作验证: 394.18 SUSE-AUTH-12
10、-取消所有文件“系统文件”属性 .404.18.1 安全要求: 404.18.2 通用策略: 404.18.3 风险说明: 404.18.4 操作方法: 404.18.5 操作验证: 404.19 SUSE-AUTH-13-禁止 ctrl+alt+del .414.19.1 安全要求: 414.19.2 通用策略: 414.19.3 风险说明: 414.19.4 操作方法: 414.19.5 操作验证: 414.20 SUSE-LOG-01-记录用户登录信息 414.20.1 安全要求: 414.20.2 通用策略: 424.20.3 风险说明: 424.20.4 操作验证: 424.21 S
11、USE-LOG-02-开启系统记帐功能 424.21.1 安全要求: 424.21.2 通用策略: 424.21.3 风险说明: 434.21.4 操作方法: 434.21.5 操作验证: 434.22 SUSE-LOG-03-记录系统安全事件 444.22.1 安全要求: 444.22.2 通用策略: 44SUSE Linux主机操作系统安全加固操作规范54.22.3 风险说明: 444.22.4 操作方法: 444.22.5 操作验证: 454.23 SUSE-LOG-04-日志集中存放 464.23.1 安全要求: 464.23.2 通用策略: 464.23.3 风险说明: 464.23
12、.4 操作方法: 464.23.5 操作验证: 474.24 SUSE-LOG-05-记录用户 SU 命令操作 .474.24.1 安全要求: 474.24.2 通用策略: 474.24.3 风险说明: 474.24.4 操作方法: 474.24.5 操作验证: 474.25 SUSE-LOG-06-系统服务日志 484.25.1 安全要求: 484.25.2 通用策略: 484.25.3 风险说明: 484.25.4 操作方法: 484.25.5 操作验证: 494.26 SUSE-BANNER-01-设置登录成功后警告 Banner.494.26.1 安全要求: 494.26.2 通用策略
13、: 494.26.3 风险说明: 494.26.4 操作方法: 494.26.5 操作验证: 494.27 SUSE-BANNER-02-设置 ssh 警告 Banner504.27.1 安全要求: 504.27.2 通用策略: 504.27.3 风险说明: 504.27.4 操作方法: 504.27.5 操作验证: 504.28 SUSE-BANNER-03-更改 telnet 警告 Banner 514.28.1 安全要求: 514.28.2 通用策略: 514.28.3 风险说明: 514.28.4 操作方法: 514.28.5 操作验证: 514.29 SUSE-BANNER-04-更
14、改 ftp 警告 Banner 524.29.1 安全要求: 524.29.2 通用策略: 524.29.3 风险说明; 524.29.4 操作方法: 52SUSE Linux主机操作系统安全加固操作规范64.29.5 操作验证: 534.30 SUSE-IP-01-禁止 ICMP 重定向 .534.30.1 安全要求: 534.30.2 通用策略: 534.30.3 风险说明: 534.30.4 操作方法: 534.30.5 操作验证: 544.31 SUSE-IP-02-关闭网络数据包转发 544.31.1 安全要求: 544.31.2 通用策略: 544.31.3 风险说明: 544.3
15、1.4 操作方法: 544.31.5 操作验证: 554.32 SUSE-KERNEL-01-防止堆栈缓冲溢出 554.32.1 安全要求: 554.32.2 通用策略: 554.32.3 风险说明: 554.32.4 操作方法: 554.32.5 操作验证: 554.33 SUSE-SW-01-安装 OS 补丁 .564.33.1 安全要求: 564.33.2 通用策略: 564.33.3 风险说明: 564.33.4 操作方法: 564.33.5 操作验证: 564.34 端口及服务 .61SUSE Linux主机操作系统安全加固操作规范71 文档使用说明文档使用说明1.1 适用范围适用范
16、围本文档是 SLES 9,SLES 10 操作系统的对于 SLES 9,SLES 10 系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求。对系统的安全配置审计、加固操作起到指导性作用。1.2 适用人员适用人员一线维护工程师和安全专业服务工程师。要求使用人员熟悉 Unix 命令、系统管理和维护,熟悉安全加固流程。2 帐号帐号2.1 SUSE-ACCT-01-设置专用维护帐号设置专用维护帐号2.1.1 安全要求:应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。2.1.2 通用策略:需要按维护人员角色新增维护帐号,利用工号等唯一
17、标志做识别,需询问客户意见。通常华为业务系统上需新增两个华为方维护帐号:maintain 和 admin_hw。2.1.3 风险说明:无SUSE Linux主机操作系统安全加固操作规范82.1.4 操作方法:步骤 1 创建帐号#useradd -d homedir -G group,. -g gid -m -p password -u uid -s shell account参数说明:d 表示帐号主目录G 表示帐号所属组的列表g 表示帐号主所属组 IDm 表示帐号组目录不存在时是否创建p 表示密码u 表示帐号 IDs 表示 Shell 类型步骤 2 设置密码#passwd account步骤
18、3 修改权限# chmod 755 homedir其中 755 为设置的权限,可根据实际情况设置相应的权限,homedir 是要更改权限的目录步骤 4 修改帐号# usermod -d homedir -G group,. -g gid -m -p password -u uid -s shell -L -U account参数说明:d 表示帐号主目录G 表示帐号所属组的列表g 表示帐号主所属组 IDm 表示帐号组目录改变时是否移动原目录中文件p 表示密码u 表示帐号 IDs 表示 Shell 类型L 表示锁定帐号U 表示解除锁定帐号步骤 5 删除帐号# userdel -r-f accoun
19、t参数说明:r 表示是否删除帐号主目录f 表示当帐号主目录存在其他帐号所有文件时是否强制删除SUSE Linux主机操作系统安全加固操作规范92.1.5 操作验证:步骤 1 验证方法:# more /etc/passwd步骤 2 预期结果:不同用户使用各自不同帐号。2.2 SUSE-ACCT-02-锁定锁定 /删除无用帐号删除无用帐号2.2.1 安全要求:锁定/删除与设备运行、维护等工作无关的账号。被锁定的账号无法使用交互式登陆。2.2.2 通用策略:根据业务加固策略确定系统账号、业务账号的锁定/删除操作,根据客户意见确定维护账号的锁定/删除操作。建议锁定的系统账号:bin daemon ft
20、p nobody nobody4 lp games named at irc mysql ldap postfix postgres wwwrun mail pop snort squid mail man news uucp在实际加固过程中,对于系统帐号,建议只锁定,不删除。2.2.3 风险说明: 可能有第三方系统使用了被锁定的帐号,造成第三方系统不可用,请在实施方案制定时,收集第三方系统对账号加固的要求。 锁定的用户不能直接登录系统,需经管理员帐号解锁后方可登录。2.2.4 操作方法:步骤 1 锁定用户:# passwd -l username步骤 2 更改帐号默认登陆 SHELL:#us
21、ermod s /bin/false username 步骤 3 删除用户:# userdel -r-f accountSUSE Linux主机操作系统安全加固操作规范10参数说明:r 表示是否删除帐号主目录f 表示当帐号主目录存在其他帐号所有文件时是否强制删除步骤 4 解除对帐号的锁定:# passwd -u username2.2.5 操作验证:步骤 1 验证方法:使用已经锁定的帐号尝试登陆步骤 2 预期结果:已经锁定的帐号无法登陆,系统提示:Login incorrect2.3 SUSE-ACCT-03-用户帐号分组用户帐号分组2.3.1 要求内容: 根据系统要求及用户的业务需求,建立多
22、帐户组,将用户账号分配到相应的帐户组。2.3.2 通用策略: 主要区分数据库用户组、业务维护帐号组、业务运行帐号和业务维护帐号。 实施时根据业务加固策略判断是否需要创建用户组,并且帐号修改为对应组。2.3.3 风险说明: 尽量避免一个帐号属于多个组,避免额外授权造成安全隐患。 更改业务安装运行帐号组可能造成业务不可用。请参考产品加固策略制定实施方案,确定哪些帐号需要进行例外设置。2.3.4 操作方法:步骤 1 创建帐户组:#groupadd g GID groupname #创建一个组,并为其设置 GID 号,若不设 GID,系统会自动为该组分配一个 GID 号;#usermod g grou
23、pname username #改变用户的组 id 为 groupname#groupmod A username groupname #将用户 username 分配到 groupname 组中。SUSE Linux主机操作系统安全加固操作规范11查询被分配到的组的 GID:#id username可以根据实际需求使用如上命令进行设置。步骤 2 可以使用 -g 选项设定新组的 GID0 到 499 之间的值留给 root、bin、mail 这样的系统账号,因此最好指定该值大于 499。如果新组名或者 GID 已经存在,则返回错误信息。当用户希望以其他用户组成员身份出现时,需要使用 newgr
24、p 命令进行更改,如#newgrp sys 即把当前用户以 sys 组身份运行;2.3.5 操作验证:步骤 1 验证方法:查看组文件:#cat /etc/group 步骤 2 预期结果:可以查看到用户账号分配到相应的帐户组中;或都通过命令检查账号是否属于应有的组:#id username 3 口令口令3.1 SUSE-PWD-01-配置用户口令复杂度配置用户口令复杂度3.1.1 安全要求:对于采用静态口令认证技术的设备,口令长度至少 6 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。3.1.2 通用策略:该操作立即生效,对所有修改密码的命令有效。可根据现场需求设置密码复杂
25、度,一般设置为最短长度 6 个字符,至少包含两个字母,一个特殊字符。3.1.3 风险说明:对于存在密码关联的用户,修改密码时须注意同步修改业务相关配置文件,否则会造成业务不SUSE Linux主机操作系统安全加固操作规范12可用。3.1.4 操作方法:设置密码规则:至少各有一个字符来自这些字符集 a-z、A-Z、标点符号、0-9步骤 1 修改/etc/security/pam_pwcheck.conf 文件:#vi /etc/security/pam_pwcheck.conf确保下面行未被注释,如没有,请添加:password: nullok use_cracklib步骤 2 修改/etc/p
26、am.d/passwd 文件:#vi /etc/pam.d/passwd确保下面行未被注释,如没有,请添加:auth required pam_unix2.so nullokaccount required pam_unix2.sopassword required pam_pwcheck.so nullokpassword requisite pam_cracklib.so minlen=6 lcredit=-2 ocredit=-1 use_authtokpassword required pam_unix2.so nullok use_first_pass use_authtoksess
27、ion required pam_unix2.so3.1.5 操作验证:步骤 1 验证方法:创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 6 位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。root 使用 passwd 命令修改其它用户的密码时不受密码复杂度的限制。步骤 2 预期结果:不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置SUSE Linux主机操作系统安全加固操作规范133.2 SUSE-PWD-02-配置用户口令期限配置用户口令期限3.2.
28、1 安全要求:对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90 天。3.2.2 通用策略:一般对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。3.2.3 风险说明:如果口令在过期前不及时修改,密码会失效锁定,帐号不能使用,可能造成业务中断。请参考产品加固策略制定实施方案,确定哪些帐号需要进行例外设置。如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,会导致业务不可用。有些 openssh 版本不能正确提示密码即将到期,可能错过更改密码的时机,导致用户被锁定。3.2.4 操作方法:设置密码最大有效期限为 90 天
29、步骤 1 修改/etc/login.defs,添加或修改如下内容:#vi /etc/login.defsPASS_MAX_DAYS 90对系统已经存在帐号进行设置:# passwd x 90 account设置在密码过期之前 7 天内发出报警信息。步骤 2 修改/etc/login.defs,添加或修改如下内容:#vi /etc/login.defsPASS_WARN_AGE 7对系统已经存在帐号进行设置:# passwd w 7 account设置密码过期 7 天未修改则锁定帐号:步骤 3 编辑文件/etc/default/useradd#vi /etc/default/useraddSUS
30、E Linux主机操作系统安全加固操作规范14添加或修改行:INACTIVE=7对系统已经存在帐号进行设置:# passwd i 7 account步骤 4 查看帐号密码策略:#passwd -aS3.2.5 操作验证:步骤 1 验证方法:使用密码过期的帐户尝试登录系统;使用密码即将到期的账号尝试登陆系统;使用密码过期 7 天以上的账号尝试登陆系统。步骤 2 预期结果:登录不成功;系统提示修改密码;系统不再提示修改密码,直接拒绝登陆。3.3 SUSE-PWD-03-配置用户口令重复使用次数配置用户口令重复使用次数3.3.1 安全要求:对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使
31、用最近 5 次(含 5 次)内已使用的口令。3.3.2 通用策略:实施时根据业务加固策略决定是否允许设置此项。3.3.3 风险说明:无3.3.4 操作方法:禁止使用最近 5 次使用的密码修改/etc/pam.d/passwd,添加如下内容SUSE Linux主机操作系统安全加固操作规范15#vi /etc/pam.d/passwdpassword required pam_unix.so remember=5 use_authtok md5 shadow3.3.5 操作验证:步骤 1 验证方法:使用用户帐号修改自己的密码,设置新密码与最近几次的旧密码相同;步骤 2 预期结果:如果设置的新密码与
32、最近 5 次的旧密码相同,系统不接受该新密码。root 使用 passwd 命令修改其它用户的密码时不受密码复杂度的限制。3.4 SUSE-PWD-04-配置用户认证失败锁定策略配置用户认证失败锁定策略3.4.1 安全要求:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次) ,锁定该用户使用的账号。3.4.2 通用策略:实施时根据现场需求决定业务帐号和数据库帐号是否不允许设置认证失败次数。Pam 模块根据系统版本不同,可能配置的方法也不一样,需要参考实际情况来进行配置,以下两种配置方法可以解决绝大多数系统的配置问题。需要注意的是:某些 SUSE 9 系统中
33、,使用telnet 错误登录一次,FAILLOG 里计数器会计两次数,设置次数时需要根据实际情况进行设置。3.4.3 风险说明: 如果业务帐号被锁定,帐号不能使用,可能造成业务中断。请参考产品加固策略制定实施方案,确定哪些帐号需要进行例外设置。 帐号可能被恶意重试导致被锁定。需要询问客户决定是否实施。SUSE Linux主机操作系统安全加固操作规范163.4.4 操作方法:3.4.4.1 终端登录:步骤 1 设置登录时连续认证失败 6 次后断开会话:修改/etc/login.defs 文件,进行如下设置:#vi /etc/login.defsLOGIN_RETRIES 6步骤 2 设置连续登陆
34、 6 次后帐号锁定:SUSE 9:修改/etc/pam.d/login 文件,添加如下两行:#vi /etc/pam.d/loginauth required pam_tally.so no_magic_rootaccount required pam_tally.so deny=6 no_magic_rootSUSE 10:修改/etc/pam.d/login 文件,添加如下两行:#vi /etc/pam.d/loginauth required pam_tally.so deny=6account required pam_tally.so3.4.4.2 SSH 登录:SUSE 9:步骤
35、1 设置连续登陆 6 次后帐号锁定:修改/etc/pam.d/sshd 文件,添加如下两行:#vi /etc/pam.d/sshdauth required pam_tally.so no_magic_root #此行的位置需要在该文件的第一行。account required pam_tally.so deny=6 no_magic_root步骤 2 重启 sshd 服务:#/etc/init.d/sshd restartSUSE 10:SUSE Linux主机操作系统安全加固操作规范17步骤 1 设置登录时连续认证失败 6 次后断开会话:修改/etc/ssh/sshd_config 文件,
36、进行如下设置:#vi /etc/ssh/sshd_configMaxAuthTries 6设置连续登陆 6 次后帐号锁定:修改/etc/pam.d/sshd 文件,添加如下两行:#vi /etc/pam.d/sshdauth required pam_tally.so deny=6account required pam_tally.so步骤 2 重启 sshd 服务:#/etc/init.d/sshd restart3.4.4.3 解锁方法:以管理员用户登录,执行如下操作:步骤 1 查看哪些用户被锁定:#pam_tally步骤 2 为用户解锁:# pam_tally -user userna
37、me -reset=03.4.4.4 操作验证:步骤 1 验证方法:以任一普通账号通过错误的口令进行系统登录 6 次以上;步骤 2 预期结果:帐户被锁定,需要联系系统管理员解锁SUSE Linux主机操作系统安全加固操作规范184 服务服务4.1 SUSE-SVC-01-查看开放系统服务端口查看开放系统服务端口4.1.1 安全要求:设备应支持列出对外开放的 IP 服务端口和设备内部进程的对应表。4.1.2 通用策略:此项是对操作系统本身的要求,SUSE 系统均满足此项要求。4.1.3 风险说明:无4.1.4 操作方法:步骤 1 查看已使用服务列表:# chkconfig -list步骤 2 查
38、看开放的端口列表:# netstat -an步骤 3 服务端口和进程对应表:# more /etc/services4.1.5 操作验证:步骤 1 验证方法:# chkconfig - - list# netstat -an # more /etc/services步骤 2 预期结果:能够列出开放的服务列表能够列出开放的端口列表可以看到详细的服务端口和进程对应表SUSE Linux主机操作系统安全加固操作规范194.2 SUSE-SVC-02-禁用无用禁用无用 inetd/xinetd 服务服务4.2.1 安全要求:列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。4.2.2
39、 通用策略:仅关闭产品确认的可以关闭的服务。建议关闭的服务(需要根据各产品线加固策略决定是否关闭):chargen、chargen-udp、cups-lpd、cvs、daytime、daytime-udp、echo、echo-udp、fam、netstat、rsync、servers、services、systat、time、time-udp请根据需要开启相应的服务4.2.3 风险说明:第三方系统可能需要使用这里禁用的服务。Unix/Linux 上的很多软件对系统服务具有依赖性,服务之间也具有依赖性。关闭服务可能造成软件或者服务不能正常运行。禁用服务可能影响以后的业务升级和新业务的上线。4.2
40、.4 操作方法:步骤 1 关闭 inetd 服务# chkconfig 服务名 off步骤 2 关闭 xinetd 服务修改其配置文件,在其属性中修改 Disable 为 yes,如没有,请添加#vi /etc/xinetd.d/服务名disable = yes 步骤 3 重启 inetd 服务# /etc/init.d/xinetd restart4.2.5 操作验证:步骤 1 验证方法:# chkconfig -l步骤 2 预期结果:仅有允许的服务处于开启状态SUSE Linux主机操作系统安全加固操作规范204.3 SUSE-SVC-03-配置配置 NTP 时间同步时间同步4.3.1 安
41、全要求:如果网络中存在信任的 NTP 服务器,应该配置系统使用 NTP 服务保持时间同步。4.3.2 通用策略:实施时根据业务加固策略确定是否需要接入 ntp 服务器4.3.3 风险说明:需要有正确的时间同步服务器支撑,否则会导致日后审计困难(尤其是双机) ;业务软件的功能逻辑可能与时间强相关,时间同步可能引起逻辑紊乱;Oracle 等数据库对时间的要求也比较严格,如果主机时间往回跳,Oracle 可能无法启动,逻辑备份也会失效。4.3.4 操作方法:如果产品本身有 ntp 时间同步要求的,请按照产品发布的 ntp 时间同步方案实施。步骤 1 修改 ntp 的配置文件:# vi /etc/nt
42、p.confserver IP 地址(提供 ntp 服务的机器)步骤 2 打开服务SUSE 9:#chkconfig xntpd onSUSE 10:# chkconfig ntp on步骤 3 启动服务SUSE 9# /etc/rc.d/xntpd startSUSE 10# /etc/rc.d/ntp start步骤 4 停止服务SUSE 9SUSE Linux主机操作系统安全加固操作规范21# /etc/rc.d/xntpd stopSUSE 10# /etc/rc.d/ntp stop4.3.5 操作验证:步骤 1 验证方法:查看 ntp 的配置文件:# more /etc/ntp.c
43、onf查看 ntp 进程:SUSE 9:#ps elf | grep xntpdSUSE 10:# ps elf | grep ntp查看当前时间:# date步骤 2 预期结果:与 NTP 服务器保持时间同步。4.4 SUSE-SVC-04-停用停用 NFS 服务服务4.4.1 安全要求:NFS 服务:如果没有必要,需要停止 NFS 服务;如果需要 NFS 服务,需要限制能够访问 NFS 服务的 IP 范围。4.4.2 通用策略:实施时根据业务加固策略确定是否能够禁用 NFS 服务。如果确实需要开启 NFS 服务,需要限制能访问本机 NFS 服务的客户端 IP。Suse 10 中没有 nfs
44、lock 服务4.4.3 风险说明:如果限制 IP 错误,NFS 客户端将无法访问共享目录。需要事先确定能使用本机 NFS 服务的客户端及其读写权限。SUSE Linux主机操作系统安全加固操作规范224.4.4 操作方法:4.4.4.1 需要停止 NFS 服务:步骤 1 关闭 NFS 服务:#chkconfig nfs off#chkconfig nfsserver off#chkconfig nfsboot off#chkconfig nfslock off#/etc/init.d/nfs stop#/etc/init.d/nfsserver stop#/etc/init.d/nfsboo
45、t stop#/etc/init.d/nfslock stop步骤 2 配置/etc/fstab 文件:#vi /etc/fstab/etc/fstab 的格式如下:fs_spec fs_file fs_type fs_options fs_dump fs_pass上述格式为该文件中的六个字段的名称,如 fs_type 即表示文件系统类型。注释掉里面 fs_spec 字段或 fs_type 字段中含有 NFS 字样的行。步骤 3 删除 NFS 目录文件:#rm /etc/exports4.4.4.2 需要开启 NFS 服务:步骤 1 如果需要 NFS 服务,需要限制能够访问 NFS 服务的 I
46、P 范围:编辑/etc/exports 文件:#vi /etc/exports添加如下行:/dir/work 192.168.1.12(ro,root_squash)其中/dir/work 为欲分享的目录;192.168.1.12 为登录此目录的主机 IP(也可以是主机名) ,这里可以是一个 IP 段;SUSE Linux主机操作系统安全加固操作规范23ro 表示是只读模式;root_squash 表示禁止 root 写入该目录。步骤 2 配置完成后执行#exportfs a 命令使改动立刻生效。4.4.5 操作验证:步骤 1 验证方法:查看 nfs 服务是否关闭#chkconfig nfs#
47、chkconfig nfsserver#chkconfig nfsboot#chkconfig nfslock(suse 10 下不用检查此服务)若 nfs 服务状态为开启,则查看/etc/exports 文件,通过不在文件允许范围的主机访问该服务端共享的目录步骤 2 预期结果:nfs 服务为关闭状态;若 nfs 服务为开启状态,通过不在/etc/exports 文件允许范围的主机访问该服务端共享的目录失败。4.5 SUSE-SVC-05-禁用无关启动服务禁用无关启动服务4.5.1 安全要求:列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。4.5.2 通用策略:仅关闭产品确认的允许
48、关闭的服务。在 SUSE Linux 系统中以下系统服务必须启动:auditd、cron、haldaemon、kbd、network、portmap、random、resmgr、running-kernel、syslog建议关闭以下服务(需根据各产品线实际加固策略实施,某些服务如 vsftp、pure-ftp 等等关闭可能会影响业务):Makefile、SuSEfirewall2_init、SuSEfirewall2_setup、aaeventd、acpid、alsasound、apache2、atd、autofs、autoyast、boot.apparmor、boot.evms、boot.m
49、ultipath、boot.sched、boot.SUSE Linux主机操作系统安全加固操作规范24scsidev、chargen、chargen-udp、cups、cups-lpd、cupsrenice、daytime、daytime-udp、drbd、earlykbd、echo、echo-udp、esound、evms、fam、gpm、gssd、heartbeat、idmapd、ipmi、ipvsadm、iscsitarget、joystick、ksysguardd、ldap、ldirectord、lm_sensors、mdadmd、microcode、multipathd、netstat、nfsserver、novell-zmd、nscd、ntp、o2cb、ocfs2、open-iscsi、openct、oracle、owcimomd、pcscd、postfix、powerd、powersaved、pure-ftpd、rexec、rlogin、rpasswdd、rpmconfigch
