linu系统安全加固规范.docVIP

Linux主机操作系统加固规范 目 录 TOC \o 1-3 \h \z \u 第1章 概述 1bKdlLMc。McPbNkG。b0joveu。 1.1 目的 1xA5sYeP。l9haess。dmESL1N。 1.2 适用范围 1zdLKKPi。nyo2vxN。GLlcJnf。 1.3 适用版本 1xVVasQo。iEtTd05。4izXb6y。 1.4 实施 1tnjXtTr。R4C6XSl。VfCgdXP。 1.5 例外条款 1GWHKI3b。mSVCQI5。qteRGOc。 第2章 账号管理、认证授权 22AfsWom。58nopRn。kXgqmNq。 2.1 账号 2wfBDApZ。kXGFiHX。HGlsJfv。 2.1.1 用户口令设置 2BVN7fUi。Ganv0lE。vItaAUG。 2.1.2 root用户远程登录限制 2OH87xXq。iofGClr。Qk5mIbC。 2.1.3 检查是否存在除root之外UID为0的用户 3eB2AOEZ。srDOlFY。mf8Mh5D。 2.1.4 root用户环境变量的安全性 3XZAzFhP。20MNWxT。DQMIeCo。 2.2 认证 4hl4hXPw。GiupdPi。KRoYOZo。 2.2.1 远程连接的安全性配置 4JeoGBnZ。vbRblMP。8VZDmFZ。 2.2.2 用户的umask安全配置 4lBR59wB。BtNU1aC。z1gdxik。 2.2.3 重要目录和文件的权限设置 4lPhUvcB。Mj1sQr9。grP4nOw。 2.2.4 查找未授权的SUID/SGID文件 54S5jz54。f3DuC4C。ygOT9JN。 2.2.5 检查任何人都有写权限的目录 6Y64VplB。HjgrnUl。0Dpr7JU。 2.2.6 查找任何人都有写权限的文件 66rsqlPz。59cuLEG。QRGPi7l。 2.2.7 检查没有属主的文件 7X7rMjpO。DEqWTcB。dK1N06j。 2.2.8 检查异常隐含文件 7laMy3Wy。JOHbV5e。POWtqSX。 第3章 日志审计 9kIw0HEP。BhCxQhG。pT4eWDV。 3.1 日志 9O7tTjyB。AVhzIa0。RjDYeNs。 3.1.1 syslog登录事件记录 9Z7aATNn。txBnjRh。ZU3MuIL。 3.2 审计 9PWKcqBO。5uRqeMn。csT9LB2。 3.2.1 Syslog.conf的配置审核 9qBSOhnB。DvqRocu。d4maZtD。 第4章 系统文件 11XfhWIHi。ANSl8PS。JkBJ3VG。 4.1 系统状态 11BqErDcJ。oSB3Nza。nkRCCBa。 4.1.1 系统core dump状态 11V1CMEA0。kJo1YbA。hAv4Xu2。 linu系统安全加固规范 linu系统安全加固规范 linu系统安全加固规范 概述 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 适用版本 LINUX系列服务器； 账号管理、认证授权 账号 用户口令设置 安全基线项目名称 操作系统Linux用户口令安全基线要求项 安全基线编号 SBL-Linux-02-01-01 安全基线项说明 帐号与口令-用户口令设置 检测操作步骤 1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root1234 2、执行：more /etc/login，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数 3、执行：awk -F: ($2 == ) { print $1 } /etc/shadow, 检查是否存在空口令账号 基线符合性判定依据 建议在/etc/login文件中配置：PASS_MIN_LEN=6 不允许存在简单密码，密码设置符合策略，如长度至少为6 不存在空口令账号 备注 root用户远程登录限制 安全基线项目名称 操作系统Linux远程登录安全基线要求项 安全基线编号 SBL-Linux-02-01-02 安全基线项说明 帐号与口令-root用户远程登录限制 检测操作步骤 执行：more /etc/securetty，检查Console参数 基线符合性判定依据 建议在/etc/securetty文件中配置：CONSOLE = /dev/tty01 备注 检查是否存在除