- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
linux安全配置规范
Linux 安全配置规范
2010年11月
第一章 概述
适用范围
适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
第二章 安全配置要求
2.1账号
编号: 1
要求内容
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
修改权限:
#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2、补充操作说明
检测方法
1、判定条件
能够登录成功并且可以进行常用操作;
2、检测操作
使用不同的账号进行登录并进行一些常用操作;
3、补充说明
编号: 2
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
操作指南
1、参考配置操作
删除用户:#userdel username;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
2、补充操作说明
需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
检测方法
1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统;
3、补充说明
需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
编号: 3
要求内容
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
参考配置操作
编辑/etc/passwd,帐号信息的shell为/sbin/nologin的为禁止远程登录,如要允许,则改成可以登录的shell即可,如/bin/bash
2、补充操作说明
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
检测方法
1、判定条件
root远程登录不成功,提示“没有权限”;
普通用户可以登录成功,而且可以切换到root用户;
2、检测操作
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
3、补充说明
限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
编号:4
要求内容
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。
操作指南
1、参考配置操作
正常可以通过#/etc/init.d/sshd start来启动SSH;
通过#/etc/init.d/sshd stop来停止SSH
2、补充操作说明
查看SSH服务状态:
# ps –ef|grep ssh
禁止使用telnet等明文传输协议进行远程维护;如特别需要,需采用访问控制策略对其进行限制;
检测方法
判定条件
# ps –ef|grep ssh
是否有ssh进程存在
是否有telnet进程存在
2、检测操作
查看SSH服务状态:
# ps –ef|grep ssh
查看telnet服务状态:
# ps –ef|grep telnet
3、补充说明
2.2口令
编号:1
要求内容
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
操作指南
1、参考配置操作
vi /etc/login.defs ,修改设置如下
PASS_MIN_LEN=8 #设定最小用户密码长度为8位
Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置
检测方法
1、判定条件
不符合密码强度的时候,系统对口令强度要求进行提示;
您可能关注的文档
- 小学直接叙述改为间接叙述的方法.doc
- 20年代新诗.ppt
- 国际贸易1-7章练习题新修改.doc
- erp财务管理习题.doc
- 立法法基本知识测试题库.doc
- ERP网上作业试题分析2.doc
- c语言 输入输出语句.ppt
- 历史七年级下册第20课.ppt
- 2013年上海造价员继续教育考试答案62分1.doc
- C++常用的输入输出函数.ppt
- 基于攀岩活动的初中生心理调适能力培养方案教学研究课题报告.docx
- 暑期教师培训总结.docx
- 2025年度清洁能源项目个人股份协议书3篇.docx
- 基于语块理论的国际中文词汇教学研究.docx
- 2025年钦州幼儿师范高等专科学校单招职业适应性测试题库及参考答案.docx
- 科学插图:视觉化科普-探索科学插图的设计与应用.pptx
- 2025年江苏省职业院校技能大赛中职组(新型电力系统运行与维护)参考试题库及答案.docx
- 2025年钦州幼儿师范高等专科学校单招职业技能测试题库推荐.docx
- PIEZO1在高血糖影响认知功能中的作用及机制研究.docx
- 2025年度清洁能源项目公司股权收购协议3篇.docx
最近下载
- 贵州事业单位考试试题题库药学.pdf
- 风电场EPC工程施工环境保护措施.doc
- 2025年湖南水利水电职业技术学院高职单招高职单招英语2016-2024历年频考点试题含答案解析.docx
- 2025年山东铝业职业学院高职单招综合素质考试题库及答案解析.docx
- 2024年辽宁铁道职业技术学院高职单招(英语/数学/语文)笔试历年真题摘选含答案解析.docx
- MNA-SF老年人营养评估量表.pdf
- InCAM Pro基础入门篇(中文).pdf VIP
- 2025年国航股份商务委员会校园招聘笔试参考题库含答案解析.pdf
- 成人still’s病(成人斯蒂尔病).ppt
- ISO22000《食品安全管理体系》.pdf
文档评论(0)