Linux安全配置标准.docxVIP

. Linux 安全配置标准 一 .目的 Linux安全配置标准》是 Qunar 信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的 Linux系统提供配置基准，并作为 Linux系统设计、实施及维护的技术和安全参考依据。 .围 安全标准所有条款默认适用于所有 Linux系统，某些特殊的会明确指定适用 围。 .容 3.1 软件版本及升级策略 操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功 能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属 可远程登录帐号 ： 设置了密码，且帐号处于未锁定状态。 在$HOME/.ssh/authorized_keys 放置了 public key 可远程登录帐号 的管理要求为： Word 资料 页 错误 !未找到引用源。 帐号命名格式与命名格式保持一致 不允许多人共用一个帐号，不允许一人有多个帐号。 每个帐号均需有明确的属主，离职人员帐号应当天清除。 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 应建立独立帐号，禁止赋予 sudo权限，禁止加入 root 或wheel等高权限组。 禁止使用 可远程登录帐号 启动守护进程 禁止使用 root 帐号启动 WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（ 仅适用于财务管理重点关注系统 ） 删除默认的帐号，包括： lp,sync,shutdown, halt, news, uucp, operator, games, gopher 等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 启用密码策略 /etc/login.defs 页 错误 !未找到引用源。 PASS_MAX_DAYS 90 PASS_MIN_DAYS 1 PASS_MIN_LEN 7 PASS_WARN_AGE 7 /etc/pam.d/system-auth password sufficient pam_unix.so ** remember=5 password requisite pam_cracklib.so ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0 启用帐号锁定策略，连续输错 3次口令，锁定用户 30分钟 /etc/pam.d/system-auth auth required pam_env.so auth required pam_tally2.so deny=3 unlock_time=1800 3.2.5 OpenSSH 安全配置 只使用协议版本 2，禁止 root 登录，禁止空口令登录，独立记录日志到 /var/log/secure 。具体配置为： 页 错误 !未找到引用源。 /etc/ssh/sshd_config #default is 2,1 Protocol 2 #default is yes PermitRootLogin no #default is no PermitEmptyPasswords no #default is AUTH SyslogFacility AUTHPRIV 3.3 认证授权 3.3.1 远程管理方式 默认仅允许 ssh一种远程管理方式，禁止使用 telnet 、rlogin 等，如存在以下文件，必须删除： $HOME/.rhosts /etc/hosts.equiv 页 错误 !未找到引用源。 /etc/xinetd.d/rsh /etc/xinetd.d/rlogin 跳板机只允许 RSA TOKEN方式登录，其它 Linux服务器只允许通过密码和 public key 方式登录。 生产环境 Linux服务器，只允许来自跳板机和其它指定 IP的登录，通过 tcp warp 实现。生产环境围由安全组指定，允许登录的 IP源由安全组指定。 BETA/DEV环境登录限制同生产环境。 3.3.2 其它（仅适用于财务管理重点关注系统 ） 仅允许非 wheel组用户通过远程管理，配置方法： /etc/security/access.conf -:wheel:ALL EXCEPT LOCAL .win.tue.nl /etc/pam.d/sshd account required pam_access.so 限制普通用户控制台访问权限 禁止普通用户在控制台执行 shutdown 、halt 以及 reboot 等命令。 rm -f /etc/security/console.apps/reboot 页 错误 !未找到引用源。 rm -f /etc/security/conso