Linux安全配置基线.doc

杭州安恒信息技术有限公司 Linux 系统安全配置基线 杭州安恒信息技术有限公司 2016年 12月  目 录 TOC \o 1-3 \h \z \u 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 第2章 本地策略 2 2.1 帐户与口令检查策略 2 2.1.1 检查系统中是否存在口令为空的帐户 2 2.1.2 检查系统中是否存在UID与root帐户相同的帐户 2 2.1.3 检查是否按用户分配帐号 2 2.1.4 检查密码最小长度 3 2.1.5 检查密码过期时间 3 2.1.6 检查密码最大重试次数 3 2.1.7 检查是否配置口令复杂度策略 4 2.1.8 检查是否设置系统引导管理器密码 4 2.1.9 检查口令过期前警告天数 5 2.1.10 检查口令更改最小间隔天数 5 2.1.11 检查是否使用PAM认证模块禁止wheel组之外的用户su为root 5 2.1.12 检查密码重复使用次数限制 6 2.2 日志配置 6 2.2.1 检查系统是否开启了日志功能 6 2.2.2 检查系统是否开启了日志审计功能 7 2.2.3 检查是否对登录进行日志记录 7 2.2.4 检查是否记录用户对设备的操作 7 2.2.5 检查syslog-ng是否配置安全事件日志 8 2.2.6 检查rsyslog是否配置安全事件日志 8 2.2.7 检查syslog是否配置安全事件日志 9 2.2.8 检查是否配置su命令使用情况记录 9 2.2.9 检查是否配置远程日志功能 9 2.2.10 检查是否启用cron行为日志功能 10 2.2.11 检查审计日志默认保存时间是否符合规范 11 2.3 系统内核配置 11 2.3.1 检查系统内核参数配置-是否禁止icmp源路由 11 2.3.2 检查系统内核参数配置-是否禁止icmp重定向报文 11 2.3.3 检查系统内核参数配置-send_redirects配置 12 2.3.4 检查系统内核参数配置-ip_forward配置 12 2.3.5 检查系统内核参数配置icmp_echo_ignore_broadcasts配置 13 2.4 信息隐藏 13 2.4.1 检查是否设置ssh登录前警告Banner 13 2.4.2 检查是否设置ssh登录后警告Banner 14 2.4.3 检查是否修改默认FTP Banner设置 14 2.4.4 检查telnet Banner 设置 14 2.5 服务端口启动项 15 2.5.1 检查是否启用SSH服务 15 2.5.2 检查是否启用了talk服务 15 2.5.3 检查是否启用了ntalk服务 16 2.5.4 检查是否启用了sendmail服务 16 2.5.5 禁止root帐户登录FTP (vsftp) 17 2.5.6 禁止匿名FTP (vsftp) 17 2.5.7 检查设备是否已禁用telnet服务 17 2.5.8 检查是否关闭不必要的服务和端口 18 2.6 文件目录权限 18 2.6.1 检查环境变量目录下是否存在权限为777的目录 18 2.6.2 检查环境变量目录下是否存在权限为777的文件 18 2.6.3 检查是否存在权限不安全的重要日志文件 19 2.6.4 检查系统当前的umask 19 2.6.5 检查拥有suid和sgid权限的文件 20 2.6.6 检查/usr/bin/目录下可执行文件的拥有者属性是否合规 20 2.7 访问权限 21 2.7.1 检查FTP用户上传的文件所具有的权限 21 2.7.2 检查系统是否启用了sudo命令 21 2.7.3 检查系统是否允许root帐户ssh远程登录 22 2.7.4 检查系统是否允许root帐户telnet远程登录 22 2.7.5 检查是否绑定可访问主机的ip或ip段 23 2.7.6 检查是否允许所有ip访问主机 23 2.7.7 hosts.deny文件设置sshd：All 23 2.8 其他安全配置 24 2.8.1 检查登录超时锁定时间 24 2.8.2 检查root用户的PATH环境变量是否包含相对路径 24 2.8.3 检查root用户的PATH环境变量是否包含相对路径 24