Linux安全配置标准.pdfVIP

. Linux 安全配置标准 一 .目的 《Linux安全配置标准》是 Qunar 信息系统安全标准的一部分，主要目的是根 据信息安全管理政策的要求，为我司的 Linux系统提供配置基准，并作为 Linux系统设计、实施及维护的技术和安全参考依据。 二 .围 安全标准所有条款默认适用于所有 Linux系统，某些特殊的会明确指定适用 围。 三 .容 3.1 软件版本及升级策略 操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功 能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属 可远程登录帐号 ： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys 放置了 public key 可远程登录帐号 的管理要求为： Word 资料 页 错误 !未找到引用源。 (1) 帐号命名格式与命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予 sudo权限，禁止加入 root 或wheel 等高权限 组。 (2) 禁止使用 可远程登录帐号 启动守护进程 (3) 禁止使用 root 帐号启动 WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（ 仅适用于财务管理重点关注系统 ） 删除默认的帐号，包括： lp,sync,shutdown, halt, news, uucp, operator, games, gopher 等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs 页 错误 !未找到引用源。 PASS_MAX_DAYS 90 PASS_MIN_DAYS 1 PASS_MIN_LEN 7 PASS_WARN_AGE 7 /etc/pam.d/system-auth password sufficient pam_unix.so ** remember=5 password requisite pam_cracklib.so ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0 (2) 启用帐号锁定策略，连续输错 3次口令，锁定用户 30分钟 /etc/pam.d/system-auth auth required pam_env.so auth required pam_tally2.so deny=3 unlock_time=1800 3.2.5 OpenSSH 安全配置 只使用协议版本 2 ，禁止 root 登录，禁止空口令登录，独立记录日志到 /var/log/secure 。具体配置为： 页 错误 !未找到引用源。 /etc/ssh/sshd_config #default is 2,1 Protocol 2 #default is yes PermitRootLogin no #default is no PermitEmptyPasswords no #default is AUTH SyslogFacility AUTHPRIV 3.3 认证授权 3.3.1 远程管理方式 (1