LINUX操作系统配置规范.doc

本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 目录 1 概述 2 上架规范 2.1 配置iLo管理口 2.2 硬盘RAID配置 2.3 服务器安装导轨 2.4 服务器插线要求 3 系统安装 3.1 系统版本要求 3.2 分区要求 3.3 安装包要求 3.4 用户要求 3.5 时间同步要求 3.6 字符集 3.7 网卡绑定 3.8 配置snmp 3.9 连存储的服务器 3.10 多路径软件 3.11 udev配置（块设备管理、ASM组） 3.12 CVE漏洞软件包版本 4 补丁 4.1 系统补丁（仅供参考） 4.2 其他应用补丁（仅供参考） 5 主机名、账号和口令安全配置基线 5.1 主机命名规范 5.2 账号安全控制要求 5.3 口令策略配置要求 5.4 口令复杂度和密码锁定策略配置要求 5.5 口令重复次数限制配置要求 5.6 设置登录Banner 5.7 设置openssh登陆Banner 5.8 Pam的设置 5.9 root登录策略的配置要求 5.10 root的环境变量基线 6 网络与服务安全配置标准 6.1 最小化启动服务 6.2 最小化xinetd网络服务 7 文件与目录安全配置 7.1 临时目录权限配置标准 7.2 重要文件和目录权限配置标准 7.3 umask配置标准 7.4 core dump状态 7.5 ssh的安全设置 7.6 bash历史记录 7.7 其他注意事项 8 系统Banner的配置 9 防病毒软件安装 10 ITSM监控agent安装 11 内核参数优化 12 syslog日志的配置 13 重启服务器 附件：安全工具 1 概述 本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同，配置操作有所不同，本规范以Redhat 6.6为例，给出参考配置操作。 2 ?上架规范 2.1 ?配置iLo管理口 2.2 硬盘RAID配置 2.3 服务器安装导轨 2.4 服务器插线要求 1、 集成网卡服务器 业务网络要求使用eth0、eth1两网口做双网卡绑定。（个别应用默认顺序取第一个接口mac地址，要求使用前两个端口做业务网络接口） 网卡插线参考如下图方式： 2、 非集成网卡服务器 要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。 光口卡同理操作。 网卡插线参考如下图方式： 3 ? 系统安装 3.1 系统版本要求 新上系统全部使用rhel6.6 64位操作系统。 rhel-server-6.6-x86_64-dvd.iso 3.52 GB SHA-256: 16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32 [root@rhel6-6 /]$ uname -a Linux rhel6-6 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux 目前机房生产平台用的较多的是rhel5.7和rhel6.1。 有特殊要求的则仍使用rhel6.1。 3.2 分区要求 使用LVM分区、文件系统格式采用ext4。 3.3 安装包要求 安装系统当中要将GCC等所有的开发包和管理包打全，以防后期存在缺包现象。以下包全部安装 ? Administration Tools ? Development Tools ? System Tools ? telnet ?ftp ?lrzsz （这三个包要求安装） “系统管理”菜单：所有包全选安装 “开发”菜单：所有包全选安装 “语言支持”菜单：要求安装英文语言包、简体中文语言包！ 3.4 用户要求 根据主机运维工作的实际需求，要求系统初始用户包括以下用户。密码根据项目整体要求配置 ? root root用户密码根据要求进行配置 ? pcloud 新创建用户且附加组为wheel 参考命令： #useradd -G wheel pcloud ? bestpay 新创建用户 #useradd bestpay ? logview 新创建用户且附加组为bestpay 参考命令： #useradd –G bestpay logview ? 分区赋权 在root用户根目录下按3.3小节分区要求，给分区重新赋权 /data： chown –R ?bestpay:bestpay/data chmod