Linux系统安全配置指南(基线)分析.docVIP

目 录 前 言 II 1 范围 1 2 定义与缩略语 1 2.1 缩略语 1 3 安全配置要求 1 3.1 权限与审计功能配置 1 3.1.1 用户帐号设置 1 3.1.2 用户组设置 1 3.1.3 所有用户审计 1 3.1.4 Root用户远程登录限制 2 3.1.5 passwd shadow group文件安全性 2 3.1.6 是否存在除root之外UID为0的用户 2 3.1.7 用户环境变量的安全性 2 3.1.8 远程连接的安全性配置 3 3.1.9 用户的umask安全配置 3 3.2 文件系统 3 3.2.1. 重要目录和文件的权限设置 3 3.2.2. 查找未授权的SUID/SGID文件 3 3.2.3. 查找没有包含粘性位的任何人都有写权限的目录 4 3.2.4. 查找任何人都有写权限的文件 4 3.2.5. 没有属主的文件 4 3.2.6. 异常隐含文件 4 3.3 网络与服务 5 3.3.1. 检查xinetd中基本网络服务配置 5 3.3.2. 只在必需NFS时，才开启NFS 5 3.3.3. 常规网络服务 5 3.4 日志审计 6 3.4.1. at/cron任务授权 6 3.4.2. 登录事件记录 6 3.4.3. syslog.conf配置 6 3.5 系统文件 6 3.5.1. 系统磁盘状态 6 3.5.2. core dump状态 6 4 评审与修订 6  前 言 为确保信息系统的网络支撑和内网信息安全，分公司范围 本指南规定了中国范围内安装有的应当遵循的操作系统安全性设置标准，本指南旨在指导系统管理人员进行的安全配置。本的适用范围为 NFS Network File System 网络文件系统 操作步骤 1、执行：more /etc/passwd 查看是否存在以下可能无用的帐号： uucp nuucp lpd guest printq 同时检查是否对所有用户授予了合理的home目录。 2、执行：ls –l /etc/passwd 检查 /etc/passwd文件属性设置是否为 644 安全建议 建议删除所有无用的帐号 给相关文件配置合理的权限，配置口令文件属性，执行： $ chmod 644 /etc/passwd $# chmod 600 /etc/group 备　　注 用户组设置 配置项名称 用户组设置 操作步骤 1、执行：more /etc/group 检查用户组的设置情况，查看是否存在以下可能无用的用户组： uucp printq 2、执行：ls -l /etc/group 检查 /etc/group文件属性设置是否为 644 安全建议 1、建议删除不必要的用户组 2、为用户组文件配置安全属性，执行： $chmod 700 /etc/group 备　　注 所有用户审计 配置项名称 审计功能是否对所有用户都有效 操作步骤 调用SAM，执行：/usr/bin/sam 选择：Auditing and Security 选择：Users 查看审计功能是否对所有的用户都有效。如果不是，检查审计功能无效的用户账号。 安全建议 系统所有用户的审计功能都应被开启（在“Login Audited”一栏中显示“NO”则表示该用户未被有效审计） 备注 系统默认会审计所有用户，但是单独某个用户的审计功能可以被禁用 Root用户远程登录限制 配置项名称 Root用户远程登录限制 操作步骤 执行：more /etc/securetty 检查是否有下列参数 Console 安全建议 禁止root用户直接登录系统 备　　注 禁止root用户直接登录系统可以增加系统入侵的难度。 passwd shadow group文件安全性 配置项名称 passwd group文件安全性配置 操作步骤 1、执行：ls –l /etc/passwd /etc/shadow /etc/group, 查看文件权限状态 2、执行：grep ^+: /etc/passwd /etc/shadow /etc/group，查看文件中是否包含”+”。返回值应为空 安全建议 更改文件权限，执行chmod o-w /etc/passwd /etc/shadow /etc/group 删除文件中的”+”条目 备　　注 有”+”条目的文件允许通过NIS Map中系统配置的某些点插入数据，passwd shadow group文件中如包含此条目，可能会使入侵者通过网络添加用户。 是否存在除root之外UID为0的用户 配置项名称 检查是否存在除root之外UID为0的用户　 操作步骤 执行：awk -F: ($3 == 0) {