Linux操作系统安全配置规范V1.0概述.docVIP

 目录 1 概述 1 1.1 适用范围 1 1.2 外部引用说明 1 1.3 术语和定义 1 1.4 符号和缩略语 1 2 LINUX设备安全配置要求 1 2.1 账号管理、认证授权 2 2.1.1 账号 2 2.1.2 口令 4 2.1.3 授权 10 2.2 日志配置要求 11 2.3 IP协议安全配置要求 13 2.3.1 IP协议安全 13 2.4 设备其他安全配置要求 14 2.4.1 检查SSH安全配置 14 2.4.2 检查是否启用信任主机方式，配置文件是否配置妥当 15 2.4.3 检查是否关闭不必要服务 15 2.4.4 检查是否设置登录超时 16 2.4.5 补丁管理 17  概述 适用范围 本规范适用于LINUX操作系统的设备。本规范明确了LINUX操作系统配置的基本安全要求，在未特别说明的情况下，适用于Redhat与Suse操作系统版本。 外部引用说明 术语和定义 符号和缩略语 （对于规范出现的英文缩略语或符号在这里统一说明。） 缩写 英文描述 中文描述 LINUX设备安全配置要求 本规范所指的设备为采用LINUX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用LINUX操作系统的设备。 本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。 账号管理、认证授权 账号 检查是否删除或锁定无关账号 检查项名称 检查是否删除或锁定无关账号 中文编号 英文编号 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 检查项类型 账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式 自动 检测操作步骤 1、执行：#more /etc/passwd /etc/shadow查看是否存在以下可能无用的帐户：lp uucp nobody games rpm smmsp nfsnobody。 Adm、sync、shutdown、halt、news、operator 判定条件 lp uucp nobody games rpm smmsp nfsnobody这些帐户不存在或者它们的密码字段为!!，则这些帐户被锁定，符合安全要求，否则低于安全要求。 补充说明 加固方案类别 参考操作配置 1、执行备份：#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定无用帐户：方法一：#vi /etc/shadow在需要锁定的用户名的密码字段前面加!!，如test:!!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::方法二：#passwd -l test3、将/etc/passwd文件中的shell域设置成/bin/false。 补充操作说明 lp uucp nobody games rpm smmsp nfsnobody Adm、sync、shutdown、halt、news、operator这些帐户不存在或者它们的密码字段为!! 检查是否限制root远程登录 检查项名称 检查是否限制root远程登录 中文编号 英文编号 要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 检查项类型 账号口令和认证授权 - 操作系统 - LINUX 发布日期 2010-03-03 检查方式 自动 检测操作步骤 查看配置文件# more /etc/securetty# more /etc/ssh/sshd_config 判定条件 # more /etc/securetty检查是否有下列行：pts/x（x为一个十进制整数）#more /etc/ssh/sshd_config检查下列行设置是否为no并且未被注释：PermitRootLogin不存在pts/x则禁止了telnet登录，PermitRootLogin no禁止了ssh登录，符合以上条件则禁止了root远程登录，符合安全要求，否则低于安全要求。 补充说明 # Authentication:#LoginGraceTime 2m#PermitRootLogin yes#StrictModes yes#MaxAuthTries 6PermitRootLogin的值改为no，不允许root远程登录 加固方案类别 参考操作配