1、Linux 安全配置规范2011 年 3 月第一章 概述1.1 适用范围适用于中国电信使用 Linux 操作系统的设备。本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同,本规范以内核版本 2.6 及以上为例,给出参考配置操作。第二章 安全配置要求2.1 账号编号: 1要求内容 应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南 1、参考配置操作为用户创建账号:#useradd username #创建账号#passwd username #设置密
2、码修改权限:#chmod 750 directory #其中 750 为设置的权限,可根据实际情况设置相应的权限,directory 是要更改权限的目录 )使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。2、补充操作说明检测方法 1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号: 2要求内容 应删除或锁定与设备运行、维护等工作无关的账号。操作指南 1、参考配置操作删除用户:#userdel username; 锁定用户:1)修改/etc/shadow 文件,用户名后加*LK*2)将/etc/passwd 文件
3、中的 shell 域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用,#passwd -l username 锁定用户,用#passwd d username 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。2、补充操作说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess 。注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等检测方法 1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3
4、、补充说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess 。编号: 3 要求内容 根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。操作指南 1、参考配置操作Cat /etc/passwdCat /etc/group2、补充操作说明检测方法 1、判定条件人工分析判断2、检测操作编号:4要求内容 使用 PAM 禁止任何人 su 为 root操作指南参考操作:编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient /lib/security/pam_rootok.so a
5、uth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以使用 su命令成为root用户。添加方法为:# chmod G10 username检测方法1、判定条件2、检测操作Cat /etc/pam.d/su 2.2 口令编号:1要求内容 对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类。操作指南 1、参考配置操作vi /etc/login.defs ,修改设置如下PASS_MI
6、N_LEN=8 #设定最小用户密码长度为 8 位Linux 用户密码的复杂度可以通过 pam_cracklib module 或pam_passwdqc module 进行设置检测方法 1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i. 配置口令的最小长度;ii. 将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8 的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置
7、。3、补充说明pam_cracklib 主要参数说明:tretry=N:重试多少次后返回密码修改错误difok=N:新密码必需与旧密码不同的位数dcredit=N: N = 0:密码中最多有多少个数字;N /etc/issue #echo “$R“ /etc/issue #echo “Kernel $(uname -r) on $a $(uname -m)“ /etc/issue #cp -f /etc/issue /etc/ #echo /etc/issue 其次删除“/etc“目录下的 和 issue 文件: # mv /etc/issue /etc/issue.bak # mv /et
8、c/ /etc/.bak 检测方法 查看 Cat /etc/rc.d/rc.local 注释住处信息2.9 登录超时时间设置要求内容 对于具备字符交互界面的设备,配置定时帐户自动登出操作指南 1、 参考配置操作通过修改账户中“TMOUT ”参数,可以实现此功能。TMOUT 按秒计算。编辑 profile 文件(vi /etc/profile) ,在“HISTFILESIZE=”后面加入下面这行: 建议 TMOUT=300(可根据情况设定)2、补充操作说明改变这项设置后,必须先注销用户,再用该用户登录才能激活这个功能检测方法 1、判定条件查看 TMOUT=3002.10 删除潜在危险文件要求内容
9、 .rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除操作指南 1、参考配置操作执行:find / -name .netrc,检查系统中是否有.netrc 文件,执行:find / -name .rhosts ,检查系统中是否有 .rhosts 文件如无应用,删除以上文件:Mv .rhost .rhost.bak Mv .netr .netr.bak 2、补充操作说明注意系统版本,用相应的方法执行检测方法 1、判定条件2、检测操作2.11 FTP 设置编号 1:要求内容 禁止 root 登陆 FTP操作指南 1、参考配置操作在 ftpaccess
10、文件中加入下列行root检测方法 使用 root 帐号登录 ftp 会被拒绝编号 2:要求内容 禁止匿名 ftp操作指南 1、参考配置操作以 vsftpd 为例:打开vsftd.conf文件,修改下列行为:anonymous_enable=NO检测方法 匿名账户不能登录编号 3:要求内容 修改FTP banner 信息操作指南 1、参考配置操作使用vsftpd,则修改下列文件的内容:/etc/vsftpd.d/vsftpd.conf使用wu-ftpd,则需要修改文件/etc/ftpaccess,在其中添加:banner /path/to/ftpbanner在指定目录下创建包含ftp的banne
11、r信息的文件检测方法 1、 判断依据通过外部ftp客户端登录,banner按照预先设定的显示2、 检查操作附表:端口及服务服务名称 端口 应用说明 关闭方法 处置建议13/tcp RFC867 白天协议 chkconfig daytime off daytime13/udp RFC867 白天协议 chkconfig daytime off 37/tcp 时间协议 chkconfig time off time37/udp 时间协议 chkconfig time-udp off 7/tcp RFC862_回声协议 chkconfig echo off echo7/udp RFC862_回声协议
12、 chkconfig echo-udp off 9/tcp chkconfig discard off discard9/udp RFC863 废除协议 chkconfig discard-udp off19/tcp chkconfig chargen off chargen19/udpRFC864 字符产生协议 chkconfig chargen-udp off 建议关闭ftp 21/tcp 文件传输协议(控制) chkconfig gssftp off 根据情况选择开放telnet 23/tcp 虚拟终端协议 chkconfig krb5-telnet off 根据情况选择开放sendma
13、il 25/tcp 简单邮件发送协议 chkconfig sendmail off 建议关闭53/udp 域名服务 chkconfig named off 根据情况选择开放nameserver53/tcp 域名服务 chkconfig named off 根据情况选择开放apache 80/tcp HTTP 万维网发布服务 chkconfig httpd off 根据情况选择开放login 513/tcp 远程登录 chkconfig login off 根据情况选择开放shell 514/tcp 远程命令, no passwd used chkconfig shell off 根据情况选择开
14、放exec 512/tcp remote execution, passwd required chkconfig exec off 根据情况选择开放ntalk 518/udp new talk, conversation chkconfig ntalk off 建议关闭ident 113/tcp auth chkconfig ident off 建议关闭printer 515/tcp 远程打印缓存 chkconfig printer off 强烈建议关闭67/udp 引导协议服务端 chkconfig bootps off 建议关闭bootps68/udp 引导协议客户端 chkconfig
15、 bootps off 建议关闭tftp 69/udp 普通文件传输协议 chkconfig tftp off 强烈建议关闭kshell 544/tcp Kerberos remote shell -kfall chkconfig kshell off 建议关闭klogin 543/tcp Kerberos rlogin -kfall chkconfig klogin off 建议关闭portmap 111/tcp 端口映射 chkconfig portmap off 根据情况选择开放snmp 161/udp 简单网络管理协议(Agent) chkconfig snmp off 根据情况选择开
16、放snmp trap 161/tcp 简单网络管理协议(Agent) chkconfig snmp off 根据情况选择开放snmp-trap 162/udp 简单网络管理协议(Traps) chkconfig snmptrap off 根据情况选择开放syslogd 514/udp 系统日志服务 chkconfig syslog off 建议保留lpd 515/tcp 远程打印缓存 chkconfig lpd off 强烈建议关闭2049/tcp NFS 远程文件系统 chkconfig nfs off 强烈建议关闭nfs2049/udp NFS 远程文件系统 chkconfig nfs off 强烈建议关闭nfs.lock 动态端口 rpc 服务 chkconfig nfslock off强烈建议关闭ypbind 动态端口 rpc 服务 chkconfig ypbind off 强烈建议关闭
