集团管理信息系统部安全加固项目Linux 系统安全配置基线施工组织设计.doc

集团管理信息系统部安全加固项目Linux系统安全配置基线

目录

TOC\o1-3\h\z\u第1章 概述 1

1.1 目的 1

1.2 适用范围 1

1.3 适用版本 1

1.4 实施 1

1.5 例外条款 1

第2章 账号管理、认证授权 2

2.1 账号 2

2.1.1 用户口令设置 2

2.1.2 root用户远程登录限制 2

2.1.3 检查是否存在除root之外UID为0的用户 3

2.1.4 root用户环境变量的安全性 3

2.2 认证 4

2.2.1 远程连接的安全性配置 4

2.2.2 用户的umask安全配置 4

2.2.3 重要目录和文件的权限设置 4

2.2.4 查找未授权的SUID/SGID文件 5

2.2.5 检查任何人都有写权限的目录 6

2.2.6 查找任何人都有写权限的文件 6

2.2.7 检查没有属主的文件 7

2.2.8 检查异常隐含文件 7

第3章 日志审计 9

3.1 日志 9

3.1.1 syslog登录事件记录 9

3.2 审计 9

3.2.1 Syslog.conf的配置审核 9

第4章 系统文件 11

4.1 系统状态 11

4.1.1 系统coredump状态 11

第5章 评审与修订 12

概述

目的

本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。

适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX服务器系统。

适用版本

LINUX系列服务器；

实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

账号管理、认证授权

账号

用户口令设置

安全基线项目名称

操作系统Linux用户口令安全基线要求项

安全基线编号

SBL-Linux-02-01-01

安全基线项说明

帐号与口令-用户口令设置

检测操作步骤

1、询问管理员是否存在如下类似的简单用户密码配置，比如：

root/root,test/test,root/root1234

2、执行：more/etc/login.defs，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数

3、执行：awk-F:($2==){print$1}/etc/shadow,检查是否存在空口令账号

基线符合性判定依据

建议在/etc/login.defs文件中配置：PASS_MIN_LEN=6

不允许存在简单密码，密码设置符合策略，如长度至少为6

不存在空口令账号

备注

root用户远程登录限制

安全基线项目名称

操作系统Linux远程登录安全基线要求项

安全基线编号

SBL-Linux-02-01-02

安全基线项说明

帐号与口令-root用户远程登录限制

检测操作步骤

执行：more/etc/securetty，检查Console参数

基线符合性判定依据

建议在/etc/securetty文件中配置：CONSOLE=/dev/tty01

备注

检查是否存在除root之外UID为0的用户

安全基线项目名称

操作系统Linux超级用户策略安全基线要求项

安全基线编号

SBL-Linux-02-01-03

安全基线项说明

帐号与口令-检查是否存在除root之外UID为0的用户

检测操作步骤

执行：awk-F:($3==0){print$1}/etc/passwd

基线符合性判定依据

返回值包括“root”以外的条目，则低于安全要求；

备注

补充操作说明

UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0

root用户环境变量的安全性

安全基线项目名称

操作系统Linux超级用户环境变量安全基线要求项

安全基线编号

SBL-Linux-02-01-04

安全基线项说明

帐号与口令-root用户环境变量的安全性

检测操作步骤

执行：echo$PATH|egrep(^|:)(\.|:|$)，检查