linux安全配置规范讲解.docVIP

Linux 安全配置规范 2011年3月第一章 概述 适用范围 适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同，配置操作有所不同，本规范以内核版本2.6及以上为例，给出参考配置操作。 第二章 安全配置要求 2.1账号 编号： 1 要求内容 应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号： 2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加*LK*将/etc/passwd文件中的shell域设置成/bin/falspasswd -l username 只有具备超级用户权限的使用者方可使用passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess 操作指南 1、参考配置操作 Cat /etc/passwd Cat /etc/group 2、补充操作说明 检测方法 1、判定条件 人工分析判断 2、检测操作 编号：4 要求内容 使用PAM禁止任何人su为root 操作指南 参考操作： 编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为： # chmod –G10 username 检测方法 1、判定条件 2、检测操作 Cat /etc/pam.d/su 2.2口令 编号：1 要求内容 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。 操作指南 1、参考配置操作 vi /etc/login.defs ，修改设置如下 PASS_MIN_LEN=8 #设定最小用户密码长度为位Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc modulepam_cracklib主要参数说明:??? tretry=N:重试多少次后返回密码修改错误 ??? difok=N:新密码必需与旧密码不同的位数 ??? dcredit=N: N = 0:密码中最多有多少个数字;N 0密码中最少有多少个数字. ??? lcredit=N:小宝字母的个数 ??? ucredit=N大宝字母的个数 ??? credit=N:特殊字母的个数 ??? minclass=N:密码组成(大/小字母,数字,特殊字符) pam_passwdqc主要参数说明:mix:设置口令字最小长度，默认值是mix=disabled。max:设置口令字的最大长度，默认值是max=40。passphrase:设置口令短语中单词的最少个数，默认值是passphrase=3，如果为0则禁用口令短语。atch:设置密码串的常见程序，默认值是match=4。similar:设置当我们重设口令时，重新设置的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。enforce:设置约束范围，e