1、某世界500强企业的主机系统安全配置标准UNIX出处:中国安全网 作者:佚名时间:2007-01-23 网址:http:/中国XK公司2006年03月30日文档控制拟制:审核:标准化:读者:版本控制版本 提交日期 相关组织和人员版本描述V1.0 2005-12-08V1.1 2006.03.30目录1概述11.1 适用范围11.2 实施11.3 例外条款11.4 检查和维护 12适用版本23业务使用警告24用户帐户设置 24.1 UID 用户ID基本要求 24.2 UNIX 中Root安全标准 34.3 默认系统帐户安全标准34.4 密码要求 54.5 密码保护74.6 限制登陆失败次数74.
2、7 GID 组ID的基本要求 75.1 IP协议栈的安全设置85.1.1 套接字队列长度定义用来防护SYN攻击85.1.2 重定向85.1.3 源站H由95.1.4 TIME_WAIT 设置 95.1.5 ECHO回应广播95.1.6 地址掩码查询和时间戳广播105.2 /etc/hosts.equiv, .rhosts 和.netrc 配置文件 105.3 X Window 系统 115.4 其他网络服务安全设置标准:115.5 /etc/hosts.deny 和/etc/hosts.allow 的配置规范 126权限控制136.1 用户文件和HOME目录属性136.2 操作系统资源137操
3、作系统补丁管理 148审计策略 148.1 系统访问日志 148.2 日志记录保存期限148.3 Sudo日志记录 149附则159.1 文档信息159.2 其他信息151概述安全配置标准提供中国 X公司(下简称 中国XX司)UNIX操作系统应当遵循的安全性设置的标准,本文档旨在帮助系统管理人员,利用UNIX操作系统内建的安全配置,以建立一个更为安全的环境。1.1 适用范围本规范的使用者包括:主机系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括:支持中国x公司运行的 AIX, Solaris和Linux (Redhat Linux )主机系统。1.2 实施本规范的解释权和修改权属于
4、中国xX司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准一经颁布,即为生效。1.3 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国XX公司信息系统管理部门进行审批备案。1.4检查和维护根据中国X公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中, 发现需对本标准进行变更,也需要进行本标准的维护。任何变更草案将由中国 x公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟 通变更的内容。2适用版本AIX 版本 5.1,5.2, 5.3 ;Solaris 7,8,9Redhat Linux
5、7.2, 7.33业务使用警告要求设置业务使用提示警告:系统值/参数内容/etc/motd中国xx公司内部生产系统只能因中国xx公司业务需要而使用,经由管理层授权。中国xx公司管理层将随时监测此系统的使用。或SinoPEC production server can only be used for business purpose, with appropriate manager team sauthorization. SinoPEC manager team will monitor the usage of this system.4用户帐户设置4.1 UID 用户ID基本要求系统值
6、/参数描述设置要求UID适用于所有的UID每个UID必须只能用一次,并唯一对应一个操作系统用户帐号。4.2 UNIX 中Root安全标准对于系统Root帐户必须满足以下要求:Root帐户的UID必须是唯一的 0;Root帐户是root组的唯一用户;Root帐户必须在每个系统本地有相关定义;Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件,如果存在也必须为空,而且文件所有者和所 有组必须为root和root组。其相关权限为r-;Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。Root的cron jobs中不能使用到非root帐户
7、拥有的文件或拥有全局读写权限的文件。对于root所运行的命令必须使用全路径.(例如./bin/su),或对于root的$PATH环境变量中不能含有相对当 前目录(.),相对子目录(./)和相对父目录(.)定义;root帐号不允许进行远程登录操作,远程需要root的访问需求,必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。REDHAT:可以通过在/etc/securetty配置文件实现root的登录控制,/etc/securetty文件中包含了所有的可 供root登录的TTY端口,这个配置文件在默认的危杰下只包括了物理终端console TTY必须有相应的日志记录来跟踪成功
8、或失败的su尝试。这个功能可以通过使用 pam_wheel模块来实现。在/etc/pam.d/su 添力口如下 auth required /lib/security/pam wheel.so debug group=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用 /bin/su命令切换到root。要添加一个用户到这个系统组,可以使用如下命令来实现:#usermod -G sinoadmin userid (userid=the userid)SOLARIS:对于root的物理终端console登录限制可以通过在/etc/default/login 配置文件
9、中添加CONSOLE=/dev/console配置行来实现。AIX:在/etc/security/user 配置文件中的root帐号的配置段落必须存在rlogin = false的配置定义,以此来实现Root的物理终端console登录限制。4.3 默认系统帐户安全标准对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用,通常对于这些用户不需要登录访问,故此可以通过在 /etc/shadow (REDHAT or SOLARIS)或/etc/security/passwd (AIX) 文件相关的口令字段中设置“号来实现。REDHAT:对于安装过程会建立许多通常不需要使用的系统帐号。对于
10、下列的系统用户帐号可以锁定或删 除(如没有相关的使用需求)。nfsnobodygamesrpcpostgresnscdnewsgophernamedrpcuserSOLARIS:对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删 除(如没有相关的使用需求)。lpuucpnuucplistensmtp对于默认的系统帐号只能是使用如下的UID :root:0 bin:2adm:4noaccess:60002daemon:1sys:3nobody:60001nobody4:65534如下的默认系统帐号已经被通过在/etc/shadow 文件中的 NP - No Pas
11、sword 或*LK*-Locked 的定义来限制其相关的登录访问权限。daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:nobody:NP:6445:noaccess:NP:6445:nobody4:NP:6445:AIX:对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)GuestUUCPNuucpLpdNobody下列系统用户和组必须采用以下的UID和GIDsUserids Groupidsroot:0 system:。daemon:1 security:7bin:2 bin:2
12、sys:3 sys:3adm:4 adm:4uucp:5 uucp:5nuucp:6 mail:6lpd:9 printq:9imnadm (no assigned UID) cron:8ipsec (no assigned UID) audit:10Idap (no assigned UID) shutdown:21Ip (no assigned UID) ecs:28snapp (no assigned UID) imnadm (no assigned GID)ipsec (no assigned GID)Idap (no assigned GID)Ip (no assigned GID)
13、 haemrm (no assigned GID) snapp (no assigned GID)4.4 密码要求密码的强度要求,Solaris系统的具体要求如下:相关配置文件/etc/default/passwd系统值/参数描述设置要求MAXWEEKS密码有效期限的最大周数(Maximum number of weeks that can pass before a password must be changed.) 13WARNWEEKS 在密码过期前的警告信息显示(Number of weeks show warning message before the password expi
14、red.) 2MINWEEKS密码有效期限的最少周数(Minimum number of weeks that must pass before a password can be changed) 0PASSLENGTH 密码长度(Password length) 8AIX系统的具体要求如下:相关配置文件/etc/security/user 。系统值/参数描述设置要求maxage密码有效期限的最大周数(Maximum number of weeks that can pass before a password must be changed.) 13 maxrepeats可重复的连续字符数
15、(Number of repeating consecutive characters) 2minage密码有效期限的最少周数(Minimum number of weeks that must pass before a password can be changed) 0minalpha 最少字母数(Minimum number of alphabetic characters) 1mindiff与前一次密码的最少不同字符数(Number of characters not found in last password) 1minother最少的非字母数(Number of non-alp
16、habetic characters) 1minlen密码最小长度(Minimum password length) 8histsize禁止重复使用密码次数(Number of previous password that can not be used) 2flags=NOCHECK 参数在 /etc/security/passwd 。(Option in /etc/security/passwd)不允许任何需要密码的用户帐号设置NOCHECKRedhat Linux系统的具体要求如下:相关配置文件/etc/login.defs 。系统值/参数描述设置要求PASS MAX DAYS密码有效期
17、限的最大天数(Maximum number of days that can pass before a password must be changed.) 91PASS MIN DAYS密码有效期限的最少天数(Minimum number of days that must pass before a password can be changed) 0PASS_MIN_LEN 密码最小长度(Minimum password length) 8PASS_WARN_AGE在密码过期前的显示警告信息(Number of weeks show warning message before the
18、 password expired.) 14N/A禁止重复使用密码次数(Number of previous password that can not be used)在/etc/pam.d/system-auth, /etc/pam.d/passwd 和/etc/pam.d/login ,添加如下定义password required /lib/security/pam_unix.so nullok remember=4 use_authtok md5 shadow 或password sufficient /lib/security/pam_unix.so nullok remember
19、=4 use_authtok md5 shadow 之后要运行如下命令:# touch /etc/security/opasswd 44.5 密码保护对于AIX系统有如下要求:系统值/参数描述设置要求/etc/passwd 包含userid, uid, gid, 和misc必须不能包含密码/etc/security/passwd包含有经过加密保护的密码信息此文件和其相关的拷贝文件只能由所有者root拥有读或写的权限。对于Solaris和Redhat Linux系统有如下要求:系统值/参数描述设置要求/etc/passwd 包含userid, uid, gid, 和misc必须不能包含密码/et
20、c/shadow包含有经过加密保护的密码信息此文件和其相关的拷贝文件只能由所有者 root拥有读或写的权限。4.6 限制登陆失败次数AIX系统具体要求:系统值/参数描述设置要求loginretries帐号被锁住之前登陆失败的次数除root之外其他帐号的值设为 5Redhat Linux系统具体要求:系统值/参数描述设置要求N/A 可以通过/etc/pam.d/system-auth配置文件中添加auth required /lib/security/pam_tally.so onerr=failno magic root account required /lib/security/pam t
21、ally.so deny=5 reset no magic root per user来实现。54.7 GID 组ID的基本要求系统值/参数描述设置要求GID适用于所有的GID每个GID必须只能用一次,并唯一对应一个操作系统用户组。0-99 GID的使用 使用于0 99的GID保留给默认系统组或应用程序组使用,5网络设置5.1 IP协议栈的安全设置5.1.1 套接字队列长度定义用来防护SYN攻击现在有一种流行的攻击方式是SYN洪水攻击,攻击者通过使用大量伪造的连接请求信息来填满被攻击服务器的套接字队列。要防止这种方式的攻击,可以通过增加套接字队列的大小和数量来进行防护,分流入站的套接字连接请求
22、,例如,有两个队列,一个针对半打开套接字(SYN收到,SYN|ACK已经发送),另一个队列对于已打开套接字等待从应用程序发出的accept()请求。通过这些设置来减轻 SYN攻击造成的影响,从而提高了系统的稳定性和可靠性。通过以下命令或配置来增加套接字队列的大小:REDHAT Linux:在/etc/sysctl.conf 文件中添加 net.ipv4.tcp max syn backlog=1280定义,增大套接字队列的大小;SOLARIS:在/etc/init.d/inetinit 或/etc/init.d/secure ndd文件中添加 /usr/sbin/ndd -set /dev/t
23、cptcp conn req max q 1024定义,增大套接字队列的大小和数量,q套接字队列将单独等待从应用程序发出的 accept()请求;AIX:在/etc/文件中添加/usr/sbin/no -o clean partial conns=1定义,使得系统内核随机地删除在对了 q0中的半打开套接字请求。5.1.2 重定向IP重定向通常用来修改远程主机的路由表信息,必须禁止发送和接收重定向信息REDHAT:在/etc/sysctl.conf文件中添加如下配置定义:net.ipv4.conf.all.send_redirects=0net.ipv4.conf.all.accept_redi
24、rects=0SOLARIS:在/etc/init.d/inetinit 中添加如下配置定义:/usr/sbin/ndd -set /dev/ip ip ignore redirect 1/usr/sbin/ndd -set /dev/ip ip send redirects 0AIX:在/etc/添加如下配置定义:/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=05.1.3 源站路由利用源站路由,攻击者可以尝t到达内部IP地址,所以必须禁止接受源站路由数据包来防止对于内部网络的侦测。REDHAT:在/etc
25、/sysctl.conf文件中添加如下配置来丢弃所有的源站路由数据包,net.ipv4.conf.all.accept_source_route=0下列配置用来禁止转发相关的源站路由数据包。net.ipv4.conf.all.forwarding=0net.ipv4.conf.all.mc_forwarding=0对于内核版本2.4以上:在/etc/sysctl.conf添加如下配置。net.ipv4.ip forward=0net.ipv4.conf.default.rp filter=1SOLARIS:在/etc/init.d/inetinit文件中添加如下配置来禁止转发相关的源站路由数据
26、包,/usr/sbin/ndd -set /dev/ip ip_forward_src_routed 0AIX:在/etc/文件中添加如下配置来丢弃所有的源站路由数据包,/usr/sbin/no -o ipsrcroutesend=0下列配置用来禁止转发相关的源站路由数据包。/usr/sbin/no -o ipsrcrouteforward=05.1.4 TIME WAIT 设置对于繁忙的 Web服务器,许多套接字会处于一个TIME WAIT状态。这是由于客户端应用程序没有完全的关闭一个套接字连接所造成的。这个可以被攻击者所利用来进行DOS或DDOS攻击。故此建议对于任何停留在TIME_WAI
27、T状态的套接字的等彳f时间不能超过60秒。REDHAT 6.2: 在/etc/sysctl.conf文件中添加如下配置行net.ipv4.vs.timeout timewait=60任何的套接字不会在 TIME WAIT状态等待超过60秒。REDHAT 7或以上版本:在/etc/sysctl.conf文件中添加如下配置行net.ipv4.tcp fin timeout=60SOLARIS:在/etc/init.d/inetinit 文件中添加如下配置行/usr/sbin/ndd -set /dev/tcp tcp time wait interval 60000对于 Solaris 7,这个参
28、数名为 tcp_close_wait_interval.AIX:无5.1.5 ECHO回应广播攻击者可以通过一个伪造的IP地址来发送ICMP (ECHO REQUEST)信息,一些IP协议栈会对于这些信息进行回应。这将造成大量网络资源被无端消耗,因此要禁止对于直接的广播信息进行回应。REDHAT:在/etc/sysctl.conf 文件中添加如下配置行:net.ipv4.icmp_echo_ignore_broadcasts=1对于直接的广播信息不作回应。SOLARIS:在/etc/init.d/inetinit 文件中添加如下配置行:/usr/sbin/ndd -set /dev/ip ip
29、 respond to echo broadcast 0对于直接的广播信息不作回应。/usr/sbin/ndd -set /dev/ip ip forward directed broadcasts 0不转发直接的广播信息。AIX:在/etc/文件中添加如下配置行:/usr/sbin/no -o directed_broadcast=0对于直接的广播信息不作回应。5.1.6 地址掩码查询和时间戳广播地址掩码查询通常被用来映射netblock大小和进一步系统侦测,时间戳通常被用来映射和查询识别主机的另一种方式。REDHAT:在/etc/sysctl.conf 文件中添加如下配置行:net.ipv
30、4.tcp_timestamps=0来禁用对于TCP时间戳的支持。SOLARIS:在/etc/init.d/inetinit 文件中添加如下配置行:/usr/sbin/ndd -set /dev/ip ip respond to address mask broadcast 0防止地址掩码查询。/usr/sbin/ndd -set /dev/ip ip respond to timestamp broadcast 0禁用对于时间戳广播查询的响应。AIX:在etc/文件中添加如下配置行:/usr/sbin/no -o icmpaddressmask=0防止地址掩码查询。5.2 /etc/host
31、s.equiv, .rhosts 和.netrc 配置文件/etc/hosts.equiv 和/etc/hosts.lpd不能出现在任何一台 UNIX服务器上,因为在这些文件中出现的服务 器被认为是可以信任的,故此在从这些服务器通过Berkeley r系列命令进行登录操作是是不需要进行密码的。这要就导致了安全隐患。.rhosts不能出现在任何一台 UNIX服务器上,因为此文件存在安全漏洞而且对于每个用户都可以单独进 行修改;.netrc文件不能存在于任何一台UNIX服务器上,因为为了给多个网络应用如ftp, ncftp和curl提供服务可能会包含明码口令,从而造成一个安全漏洞。5.3 X Wi
32、ndow 系统以下的相关设置必须在所有运行X Window系统的UNIX平台上实施。所有的X-Window的通讯必须被加密,例如可以使用 Secure Shell (ssh)工具;/tmp目录的访问权限必须设置为1777 ,粘置位必须设置以确保只有所有者才可以删除X-server套接字文件,/tmp/.X11-unix/X0 ;所有者必须是root ,所有组ID必须为0或system;X magic cookie 机制MIT-MAGIC-COOKIE-1 必须被启用,通过编辑xdm-config 文件并将DisplayManager*authorize 属性设置为true来实现xdm 登录控制
33、;不得使用低于X11 release 6版本;使用xauth命令实现访问授权控制;.删除系统范围内所有的Xsession ,用户.xsession或任何使用到X Window的应用程序/脚本文件中的xhost +命令;5.4 其他网络服务安全设置标准:系统值/参数设置要求Anonymous FTP通常情况下,如果应用没有要求,应不允许Anonymous FTP 访问etc/anonymousftp 文件不存在。对于root和默认系统帐号不能使用FTP服务。通过在/etc/ftpusers或/etc/vsftpd.ftpusers 文件中列举相关的root和默认系统帐号名来实现。Trivial
34、File Transfer Protocol (TFTP)系统设置通常情况下,如果应用没有要求,TFTP应该禁止。禁止TFTP如果一定要使用TFTP,应符合以下配置要求TFTP访问控制通常情况下,如果应用没有要求,TFTP应该禁止。当 TFTP 运行时,/etc/tftpaccess.ctl 必须存在。/etc/tftpaccess.ctl file必须仅包含“allow句远程登录的使用(telnet、ssh)telnet除特殊要求,一般禁止使用AIX为例,其它UNIX可参考相关资料1, 修改/etc/inetd.conf 在telnet前面加#注释2, 修改/etc/services 在te
35、lnet前面加#注释3, 停 inetd 服务:stopsrc -s inetd4, 启动 inetd 服务:startsrc -s inetdssh如果需要远程登录,可使用 ssh AIX为例,其它UNIX可参考相关资料1 , 先从AIX安装介质的LUNIX盘中安装OPENSSL2,从网上下载openssh-4.1p1_53.tar ,并解压安装Network File System (NFS) 设置通常情况下,如果应用没有要求,NFS应该禁止。禁用NFS如果一定要使用NFS,应符合以下配置要求/etc/exports当NFS运行时,该文件必须存在,属性为 644“r命令服务如果应用没有要求
36、,建议停用服务rsh , rlogin , rexec.rhosts, .netrc , /etc/hosts.equiv 不能存在Remote Execution Daemon (rexd) 设置Rexd daemon 必须禁止Line Printer Daemon (lpd) 设置Lpd禁止Post Office Protocol (POP) 设置POP服务禁止iFOR/LS系统设置/var/ifor/i4ls.ini 需要做如下设置DisableRemoteAdmin = yesDisableRemoteNdlAdmin = yes防止DoS攻击的系统设置如果没有要求,这些服务必须被禁止
37、ECHO, CHARGEN, RSTAT, TFTP, RWALLD, RUSERSD,DISCARD, DAYTIME, BOOTPS, FINGER, SPRAYD, PCNFSD, REXD, SYSTAT, NETSTAT, RWHOD,UUCPSNMP 服务 如果 SNMP 服务运行,Community names public and private不允许使用Network Information Services (NIS) 设置NIS不安装NIS相关文件。如果安装,删除 NIS相关文件yppasswd daemon 禁止ypupdated daemon 禁止5.5 /etc/h
38、osts.deny 和/etc/hosts.allow 的配置规范在/etc/hosts.deny文件的最后必须包含有如下配置行:ALL:ALL或在/etc/hosts.allow的最后包含有如下配置行:ALL:ALL:DENY6权限控制6.1 用户文件和HOME目录属性系统值/参数描述设置要求系统默认UMASK用户文件创建时缺省值至少X27或027 ;建议使用下x77或077。Redhat Linux: 添加 umask =027 至U/root/.bash_profile 文件;Solaris :添加 umask =027 到/.profile;AIX :添加秒拾=027至U/etc/se
39、curity/user 文件root相关配置段, $HOME 除root用户之外,用户缺省的home目录x00或7006.2 操作系统资源系统值/参数描述设置要求/etc/bin/usr/sbin/usr/bin/usr/etc操作系统资源通常的所有者为root并属于系统组。可执行*.a*.o*.so*.cf*.conf*.cfg操作系统资源文件类型Other必须设置为r-x或更严格AIX中/etc/security/操作系统资源目录必须设置为xx0/tmp和/var/tmp临时空间Sticky位必须设置(缺省)/etc/snmpd.conf SNMP配置文件必须设置为640或更严格/etc/
40、services服务设置文件必须设置为644例外情况:系统值/参数设置要求/etc/locks 该目录下可以包含 world-writeable 文件? socket (s)? named pipe (p)? block special file (b)? character special file (c)? symbolic links (l) 可以是 world-writeable 文件7操作系统补丁管理具体操作可以参阅相关的补丁管理规范和流程。8审计策略8.1 系统访问日志必须启用syslog进程来记录任何成功或失败的访问行为,特别是对于用户认证。在/etc/syslog.conf配置
41、文件中必须定义记录优先级为“info或高于其的相关信息。8.2 日志记录保存期限对于所UNIX服务器的日志记录必须保存至少60天。8.3 Sudo日志记录对于所有UNIX服务器中的Sudo命令的运行必须有相应的日志记录。可以通过在/etc/syslog.conf文件中添加如下配置行来实现。REDHAT: authpriv.debug /var/log/messagesSOLARIS: local2.debug /var/adm/messagesAIX: local2.debug /var/adm/logs/syslog or /var/adm/messages注意:必须通过重新启动 syslog进程来使得相关配置生效。9附则9.1 文档信息第一条本策略由公司信息安全办公室制定,并负责解释和修订。由公司信息安全工作组讨论通过,发布执行。第二条 本策略自发布之日起执行。9.2 其他信息
