CentOs 8操作系统安全加固配置基线.docxVIP

CentOs7操作系统安全加固配置基线

CentOs8

CentOs8

目录

TOC\o1-2\h\z\u20486688641.概览 2

13722848971.1适用范围 2

1.2规范依据 2

1152183131.3实施策略 3

15914206442.安全配置基线标准 5

2.1身份鉴定 5

11105350592.2访问控制 7

9823605362.3安全审计 10

6792504162.4入侵防范 14

1386742602.5资源控制 14

6785308252.6其他安全项 16

概览

适用范围

本配置基线适用于CentOs8系列操作系统，主要涉及CentOs8操作系统安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

在未特别说明的情况下，均适用于所有运行的CentOs8系列操作系统。

该文档参照标准CentOs8操作系统编写，但在实际情况中，不同厂家、版本的CentOs8存在不同程度的订制和阉割，请依据自身实际安全需求，参照对应的制度、标准或要求进行检查。

规范依据

根据目前CentOs8操作系统的安全现状，综合参考安全运维专家经验，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求_操作系统》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

基线名称

实施策略

1

身份鉴别

配置口令复杂度

基础项

2

身份鉴别

设置口令认证失败锁定次数

基础项

3

身份鉴别

配置口令生存期

基础项

4

身份鉴别

禁用Telnet远程访问

基础项

5

身份鉴别

限制ssh连接IP配置

基础项

6

访问控制

清除UID为0的非root账户

基础项

7

访问控制

设置umask值

基础项

8

访问控制

配置重要目录与文件的权限

建议项

9

访问控制

禁止Ctrl+Alt+Del

建议项

10

访问控制

检查多余账户

建议项

11

安全审计

配置rsyslog.conf

基础项

12

安全审计

配置使用NTP

基础项

13

安全审计

配置远程日志服务器

建议项

14

安全审计

配置日志文件权限

建议项

15

安全审计

设置history时间戳

建议项

16

入侵防范

关闭不需要的服务

基础项

17

资源控制

配置登录超时

基础项

18

资源控制

远程连接安全性配置

基础项

19

资源控制

限制root账户远程登录

建议项

20

其它安全项

关闭系统coredump状态

建议项

21

其他安全项

系统超时注销

建议项

安全配置基线标准

身份鉴定

配置口令复杂度

基线名称

配置口令复杂度（基础项）

基线编号

CentOs7-1

基线说明

采用静态口令认证技术的操作系统，应配置用户口令复杂度的要求

配置方法

登录系统，使用root权限进行下列操作

编辑/etc/security/pwquality.conf文件

#vi/etc/security/pwquality.conf

删除minlen前面的注释符#并改为minlen=8

删除minclass前面的注释符#并改为minclass=2

检查方法

grep^minlen/etc/security/pwquality.conf

grep^minclass/etc/security/pwquality.conf

备注

设置口令认证失败锁定次数

基线名称

设置口令认证失败锁定次数（基础项）

基线编号

CentOs7-2

基线说明

采用静态口令认证技术的操作系统，应配置当用户连