Linux安全配置标准

. .. .

Linux安全配置标准

一.目的

《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根

据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为

Linux系统设计、实施及维护的技术和安全参考依据。

二.围

安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用

围。

三.容

3.1 软件版本及升级策略

操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功

能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。

3.2 账户及口令管理

3.2.1 远程登录管理

符合以下条件之一的，属"可远程登录"：

(1) 设置了密码，且处于未锁定状态。

(2) 在$HOME/.ssh/authorized_keys放置了public key

"可远程登录"的管理要求为：

. 资料.

(1) 命名格式与命名格式保持一致

(2) 不允许多人共用一个，不允许一人有多个。

(3) 每个均需有明确的属主，离职人员应当天清除。

(4) 特殊需向安全组报批

3.2.2 守护进程管理

守护进程启动管理要求

(1) 应建立独立，禁止赋予sudo权限，禁止加入root或wheel等高权限组。

(2) 禁止使用"可远程登录"启动守护进程

(3) 禁止使用root启动WEB SERVER/DB等守护进程。

3.2.3 系统默认管理（仅适用于财务管理重点关注系统）

删除默认的，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等

3.2.4 口令管理

口令管理应遵循《密码口令管理制度》，具体要求为

(1) 启用密码策略

/etc/login.defs

PASS_MAX_DAYS 90

PASS_MIN_DAYS 1

PASS_MIN_LEN 7

PASS_WARN_AGE 7

/etc/pam.d/system-auth

password sufficient pam_unix.so ** remember=5

password requisite pam_cracklib.so ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0

(2) 启用锁定策略，连续输错3次口令，锁定用户30分钟

/etc/pam.d/system-auth

auth required pam_env.so

auth required pam_tally2.so deny=3 unlock_time=1800

3.2.5 OpenSSH安全配置

只使用协议版本2，禁止root登录，禁止空口令登录，独立记录日志到

/var/log/secure。具体配置为：

/etc/ssh/sshd_config

#default is 2,1

Protocol 2

#default is yes

PermitRootLogin no

#default is no

PermitEmptyPasswords no

#default is AUTH

SyslogFacility AUTHPRIV

3.3 认证授权

3.3.1 远程管理方式

(1) 默认仅允许ssh一种远程管理方式，禁止使用telnet、rlogin等，如存在以下文件，必须删除：

$HOME/.rhosts

/etc/hosts.equiv

/etc/xinetd.d/rsh

/etc/xinetd.d/rlogin

(2) 跳板机只允许RSA TOKEN方式登录，其它Linux服务器只允许通过密码和public key方式登录。

(3) 生产环境Linux服务器，只允许来自跳板机和其它指定IP的登录，通过tcp warp实现。生产环境围由安全组指定，允许登录的IP源由安全组指定。BETA/DEV环境登录限制同生产环境。

3.3.2 其它（仅适用于财务管理重点关注系统）

(1) 仅允许非wheel组用户通过远程管理，配置方法：

/etc/security/access.conf

-:wheel:ALL EXCEPT LOCAL .win.tue.nl

/etc/pam.d/sshd

account required pam_access.so

(2) 限制普通用户控制台访问权限

禁止普通用户在控制台执行shutdown、halt以及reboot等命令。

rm -f /etc/security/console.apps/reboot

rm -f /etc/security/console.apps/halt

rm -f /etc/security/console.apps/shutdown

rm -f /etc/security/console.apps/poweroff

3.4 其它

3.4.1 关键文件权限（仅适用于财务管理重点关注系统）

将以下文件设置为600权限

/$HOME/.bash_logout

/$HOME/.bash_profile

/$HOME/.bashrc

3.4.2 日志管理

开启以下行为日志：用户登录日志、crontab执行日志

配置方法：

/etc/syslog.conf

authpriv.* /var/log/secure

cron.* /var/log/cron

对于PCI DSS覆盖围的系统，所有日志应实时发送到集中的日志管理服务器，并确保由程序自动分析与告警。

3.4.3 用户界面TIMEOUT

设置用户30分钟无操作自动退出。设置方法：

/etc/profile

TMOUT=1800

对于PCI DSS以及SOX404围的系统，空闲超时时间需设置为15分钟。

3.4.4 设置NTP时间同步，确保各服务器时间保持一致

配置同机房的自行运维的NTP服务器为NTP源。

示例（每个机房可能不一样）：

driftfile /var/db/ntp.drift

pidfile /var/run/ntpd.pid

server 192.168.0.117

server 192.168.0.78

server 192.168.0.77

restrict default ignore

restrict 127.0.0.1

restrict 192.168.0.0 mask 255.255.0.0 nomodify

restrict 192.168.0.117

restrict 192.168.0.78

restrict 192.168.0.77

部NTP服务必须采用行业认可的NTP源。

示例：

server 133.100.9.2 minpoll 4 maxpoll 8 iburst burst prefer server 140.112.4.189 minpoll 4 maxpoll 8 iburst burst prefer server 128.250.33.242 minpoll 4 maxpoll 8 iburst burst prefer server 216.218.254.202 minpoll 4 maxpoll 8 iburst burst prefer server 209.51.161.238 minpoll 4 maxpoll 8 iburst burst prefer server 218.21.130.42 minpoll 4 maxpoll 8 iburst burst prefer server 202.130.120.114 minpoll 4 maxpoll 8 iburst burst prefer server 66.187.233.4 minpoll 4 maxpoll 8 iburst burst prefer server 210.72.145.44 minpoll 4 maxpoll 8 iburst burst prefer server 209.81.9.7 minpoll 4 maxpoll 8 iburst burst prefer

# individual servers

restrict default ignore