linux系统安全加固规范
LINUX安全加固手册
LINUX安全加固手册目录1概述 (3)2 安装 (3)3 用户帐号安全Password and account security (4)3.1 密码安全策略 (4)3.2 检查密码是否安全 (4)3.3 Password Shadowing (4)3.4 管理密码 (4)3.5 其它 (5)4 网络服务安全(Network Service Security) (5)4.1服务过滤Filtering (6)4.2 /etc/inetd.conf (7)4.3 R 服务 (7)4.4 Tcp_wrapper (7)4.5 /etc/hosts.equiv 文件 (8)4.6 /etc/services (8)4.7 /etc/aliases (8)4.8 NFS (9)4.9 Trivial ftp (tftp) (9)4.10 Sendmail (9)4.11 finger (10)4.12 UUCP (10)4.13 World Wide Web (WWW) – httpd (10)4.14 FTP安全问题 (11)5 系统设置安全(System Setting Security) (12)5.1限制控制台的使用 (12)5.2系统关闭Ping (12)5.3关闭或更改系统信息 (12)5.4 /etc/securetty文件 (13)5.5 /etc/host.conf文件 (13)5.6禁止IP源路径路由 (13)5.7资源限制 (13)5.8 LILO安全 (14)5.9 Control-Alt-Delete 键盘关机命令 (14)5.10日志系统安全 (15)5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15)6 文件系统安全(File System Security) (15)6.1文件权限 (15)6.2控制mount上的文件系统 (16)6.3备份与恢复 (16)7 其它 (16)7.1使用防火墙 (16)7.2使用第三方安全工具 (16)1概述近几年来Internet变得更加不安全了。
如何进行Linux系统安全加固
如何进行Linux系统安全加固Linux系统是业界广泛使用的一种操作系统,但是由于其开放源代码的特性,也使得其安全性面临一定的挑战。
为了保护服务器和应用程序的安全,对Linux系统进行安全加固是至关重要的。
本文将介绍如何进行Linux系统的安全加固,以保护系统免受潜在的威胁。
一、更新系统和软件第一步,在进行任何安全加固之前,确保您的Linux系统和软件都是最新的版本。
及时更新系统和软件补丁是保持系统安全的基本要求。
二、限制用户权限1. 禁止root用户登录:root用户是Linux系统的超级管理员,拥有最高权限。
为了防止黑客直接攻击root账号,应禁止root用户登录,并使用普通用户登录系统进行操作。
2. 限制用户权限:给予用户最小的权限,仅赋予其完成工作所需的权限,避免非必要的系统访问权限。
三、配置防火墙配置防火墙可以阻止不明访问和恶意攻击,增强系统安全性。
1. 启用iptables:iptables是Linux系统的防火墙工具,使用它可以配置规则来过滤和管理网络通信。
通过配置iptables,可以限制对系统的访问,仅允许必要的端口和协议。
2. 限制网络访问:通过防火墙,限制外部网络对服务器的访问。
例如,可以只开放HTTP和SSH端口,并禁止其他不必要的端口。
四、加密通信为了保护敏感数据的机密性,对Linux系统中的通信进行加密是必要的。
1. 使用SSH协议:SSH(Secure Shell)是一种加密通信协议,可以安全地远程登录和执行命令。
使用SSH协议代替传统的明文传输协议,如Telnet,可以保护用户的登录凭证免受攻击。
2. HTTPS配置:对于运行Web服务器的系统,配置HTTPS协议可以加密网站与用户之间的通信,确保数据的机密性和完整性。
五、强化密码策略强密码是保护系统安全的一个重要环节。
通过实施强密码策略,可以降低系统遭受密码攻击的风险。
1. 密码复杂度要求:要求用户设置复杂的密码,包含大小写字母、数字和特殊字符,并定期更换密码。
系统安全加固参考信息
Linux 系统安全加固参照信息目录1 操作系统安全 -身份鉴识 31.1 对登录操作系统的用户进行身份表记和鉴识31.2 最小密码长度 31.3 密码复杂度 31.4 密码词典 41.5 系统密码使用时间41.6 对失败登录的次数进行限制41.7 密码重复使用次数设置51.8SSH服务 IP,端口,协议,同意密码错误的次数,网络中同意翻开的会话数 51.9root 账号远程登录设置51.10防备任何人使用su 命令连结 root 用户 61.11系统 Banner设置 62 操作系统安全 -接见控制 72.1 改正帐户口令,改正默认帐户的接见权限72.2 删除剩余的、过期的帐户,防止共享帐户的存在72.3 限制超级管理员远程登录83 操作系统安全 -入侵防备 83.1 仅安装需要的应用程序,封闭不需要的服务和端口83.2 封闭不用要的服务83.3 网络接见控制策略94 操作系统安全 -资源控制 94.1 依据安全策略设置登录终端的安闲超时断开会话或锁定94.2 文件创立初始权限94.3 设置适合的历史命令数目94.4 系统磁盘节余空间充分知足近期的业务需求104.5 检查并记录操作系统的分区状况和文件系统利用率105 操作系统安全—日记105.1 日记功能开启 105.2 失败登录日记监控115.3syslog日记等级的安全配置115.4 安全审计谋略 115.5 系统日记记录 125.6 启用记录 cron 行为日记功能和cron/at 的使用状况 126 操作系统安全 -系统安全 126.1 补丁管理 126.2 检查并记录系统开启的网络端口136.3 封闭无效服务和启动项136.4 仅同意特定 IP 同意接见服务 147 操作系统安全 ---其余服务安全 147.1FTP配置文件 147.2R族文件 157.3NFS文件系统配置状况检查157.4FTP用户及服务安全151操作系统安全 -身份鉴识1.1 对登录操作系统的用户进行身份表记和鉴识要求解决方法需对全部的帐号设置密码,要求在登岸系统时一定输进口令进行身份考证。
Linux操作系统安全性分析与加固
Linux操作系统安全性分析与加固作为一款开源操作系统,Linux在全球范围内得到了广泛的应用。
然而,随着互联网的普及和信息技术的发展,Linux操作系统也面临着越来越多的安全威胁。
为了保护系统及其中的数据安全,我们需要对Linux操作系统进行安全性分析,并采取相应的加固措施。
首先,我们需要对Linux操作系统的安全性进行全面的分析。
Linux作为开源系统,其安全性一直备受各方关注。
与其他操作系统相比,Linux在内核层面具有更高的安全性,但仍然存在一些潜在的安全漏洞。
常见的安全问题包括操作系统和软件的漏洞、不正确的权限管理、网络攻击、恶意软件以及内部威胁等。
在进行安全性分析时,我们需要注意以下几个关键点。
首先,对于Linux操作系统及其中的软件进行安全漏洞扫描,及时修复发现的漏洞。
其次,加强对系统的权限管理,确保只有授权用户才能访问敏感数据和系统资源。
此外,我们还需要设置有效的防火墙和入侵检测系统来防止未经授权的网络访问和攻击。
同时,定期进行系统安全审计和日志分析,及时发现异常行为和攻击迹象。
针对Linux操作系统的安全漏洞,我们可以采取一系列加固措施。
首先,及时更新操作系统和软件的安全补丁。
开源社区和厂商经常会发布新的补丁来修复已知的漏洞,我们需要及时更新以提高系统的安全性。
其次,采用强密码策略来保护用户账户的安全。
强密码应包含大小写字母、数字和特殊字符,并定期更换密码以防止猜测和破解。
另外,限制系统登录尝试次数,防止暴力破解攻击。
此外,我们还可以使用访问控制和权限管理来加固Linux操作系统。
通过设置合理的用户组和权限,我们可以限制用户对文件和目录的访问权限,以保护敏感数据。
同时,避免使用具有高权限的用户账户进行常规操作,以降低系统被攻击或滥用权限的风险。
此外,使用防火墙和网络隔离技术来限制不必要的网络访问,以防止恶意流量和攻击。
针对网络安全方面的威胁,我们可以加强Linux操作系统的网络安全保护。
linux系统安全加固方案
1 概述............................... - 1 -1.1 适用范围......................... - 1 -2 用户账户安全加固 ........................ - 1 -2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户........ - 1 -2.3 锁定或删除系统中不使用的组................ - 2 -2.4 限制密码的最小长度..................... - 2 -3 用户登录安全设置 ........................ - 3 -3.1 禁止 root 用户远程登录.................. - 3 -3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次,锁定用户30分钟........ - 4 -3.4 设置用户不能使用最近五次使用过的密码............ - 4 -3.5 设置登陆系统账户超时自动退出登陆.............. - 5 -4 系统安全加固........................... -5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 -4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 -4.3 加密 grub 菜单....................... - 6 -1概述1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。
2用户账户安全加固2.1修改用户密码策略(1)修改前备份配置文件:/etc/logi n.defscp /etc/login.defs /etc/login.defs.bak(2)修改编辑配置文件:vi /etc/login.defs ,修改如下配置:PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS 0 (密码修改之间最小的天数)PASS_MIN_LEN 8 (密码最小长度)PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)(3)回退操作〜]# cp /etc/login.defs.bak /etc/login.defs2.2锁定或删除系统中与服务运行,运维无关的的用户(1)查看系统中的用户并确定无用的用户~]# more /etc/passwd(2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:~]# usermod -L username或删除不使用的账户:〜]# userdel -f username(3) 回退操作用户锁定后当使用时可解除锁定,解除锁定命令为:~]# usermod -U username2.3锁定或删除系统中不使用的组(1) 操作前备份组配置文件/etc/group~]# cp /etc/group /etc/group.bak(2) 查看系统中的组并确定不使用的组~]# cat /etc/group(3) 删除或锁定不使用的组锁定不使用的组:修改组配置文件/etc/group,在不使用的组前加“ #”注释掉该组即可删除不使用的组:~]# groupdel groupname(4)回退操作~]# cp /etc/group.bak /etc/group2.4限制密码的最小长度(1)操作前备份组配置文件/etc/pam.d/system-auth~]# cp /etc/pam.d /etc/pam.d.bak(2)设置密码的最小长度为8修改配置文件 /etc/pam.d, 在行” password requisite pam_pwquality.so try_first_pass local_users_o nly retry=3 authtok_type= ”中添加“ minlen=8 ”,或使用 sed 修改:〜]# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8authtok_type=#g" /etc/pam.d/system-auth(3) 回退操作~]# cp /etc/pam.d.bak /etc/pam.d3用户登录安全设置3.1禁止root用户远程登录(1)修改前备份ssh配置文件/etc/ssh/sshd_conf~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2)修改ssh服务配置文件不允许root用户远程登录编辑/etc/ssh/sshd_config 找到“#PermitRootLogin yes”去掉注释并修改为“ PermitRootLogin no ”或者使用sed修改,修改命令为:~]# sed -i "s@#PermitRootLogin yes@PermitRootLogin no@g" /etc/ssh/sshd_config(3)修改完成后重启ssh服务Centos6.x 为:~]# service sshd restartCentos7.x 为:~]# systemctl restart sshd.service(4)回退操作~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2设置远程ssh登录超时时间(1)修改前备份ssh服务配置文件/etc/ssh/sshd_config~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2)设置远程ssh登录长时间不操作退出登录编辑 /etc/ssh/sshd_co nf 将”Clie ntAlivel nterval 0”修改为”ClientAlivelnterval 180 ”,将”ClientAliveCountMax 3 ”去掉注释,或执行如下命令:〜]# sed -i "s@#ClientAlivelnterval 0@ClientAliveInterval 180@g"/etc/ssh/sshd_config〜]# sed -i "s@#ClientAliveCountMax 3@ClientAliveCountMax 3@g" /etc/ssh/sshd_config(3)配置完成后保存并重启ssh服务Centos6.x 为:~]# service sshd restartCentos7.x 为:~]# systemctl restart sshd.service(4)回退操作~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3设置当用户连续登录失败三次,锁定用户30分钟(1)配置前备份配置文件/etc/pam.d/sshd~]# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak(2)设置当用户连续输入密码三次时,锁定该用户30分钟修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容auth required pam_tally2.so deny=3 unlock_time=300(3)若修改配置文件出现错误,回退即可,回退操作:~]# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4设置用户不能使用最近五次使用过的密码(1)配置前备份配置文件/etc/pam.d/sshd〜]# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak(2) 配置用户不能使用最近五次使用的密码修改配置文件 /etc/pam.d/sshd, 找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok ”,在最后力卩入remember=10 或使用 sed修改~]# sed -i "s@#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok@password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=10@g" /etc/ssh/sshd_config(3) 回退操作~]# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5设置登陆系统账户超时自动退出登陆(1)设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile, 在文件的末尾加入”TMOUT=180使登录系统的用户三分钟不操作系统时自动退出登录。
Linux安全加固
一,登录bannar设置要求内容:修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息操作步骤:在缺省情况下,当你登录到linux 系统,它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。
应该尽可能的隐藏系统信息。
首先编辑―/etc/rc.d/rc.local‖文件,在下面显示的这些行前加一个―#‖,把输出信息的命令注释掉。
# This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you reboot#echo ―‖ > /etc/issue#echo ―$R‖ >> /etc/issue#echo ―Kernel $(uname -r) on $a $(uname -m)‖ >> /etc/issue#cp -f /etc/issue /etc/#echo >> /etc/issue其次删除‖/etc‖目录下的 和issue 文件:# mv /etc/issue /etc/issue.bak# mv /etc/ /etc/.bak二,账号设置要求内容:1,应删除或锁定与设备运行、维护等工作无关的账号操作步骤:锁定或者删除用户userdel -r 用户(删除用户)锁定用户(如下)修改/etc/shadow 文件,用户名后加*LK*将/etc/passwd 文件中的shell 域设置成/bin/falsepasswd -l 用户(只有具备超级用户权限的使用者方可使用,)需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
2,使用PAM禁止任何人su为root操作步骤:编辑su文件(vim /etc/pam.d/su),在开头添加下面两行:auth sufficient /lib/security/pam_rootok.soauth required /lib/security/pam_wheel.so group=wheel如上两行命令说明只有wheel组的成员可以使用su 命令成为root 用户。
linux安全加固总结
Linux系统的安全加固是一个持续的过程,涉及到多个层面的安全配置和管理。
以下是对Linux系统安全加固的一些关键点的总结:1. 用户与权限管理:禁止root直接登录:通过修改文件禁用root账户远程SSH登录,推荐使用普通用户登录后再通过sudo提权。
设置强密码策略:使用PAM模块如pam_cracklib或pam_passwdqc来实施严格的密码复杂度要求,并设置定期更改密码的策略。
用户口令锁定策略:设定连续登录失败次数限制,超过次数锁定账号,可通过等配置文件实现。
2. 服务和端口管理:关闭不必要的服务和端口:通过systemctl或service命令停止并禁用不需要的服务,如ftp、telnet等不安全的服务,同时在防火墙(iptables或firewalld)中仅开放必要的网络端口。
3. SSH安全加固:使用密钥对验证替代密码验证:启用公钥认证,禁用密码登录以提高安全性。
修改SSH默认端口:将SSH服务监听的端口从22更改为其他非标准端口,增加攻击者猜测难度。
限制SSH访问源地址:通过防火墙规则只允许特定IP或者子网段访问SSH 服务。
4. 文件系统和权限控制:调整umask值:确保新创建的文件和目录具有合理的默认权限,比如将umask设置为027,保证新增内容不会过于开放。
定期检查重要文件权限:例如确保等敏感文件只有特定权限。
5. 日志记录和审计:开启详细的日志记录:调整syslog或rsyslog配置,确保系统和应用程序日志详细且完整。
审计系统:启用auditd进行系统级审计,追踪重要的系统调用和事件。
6. 软件更新与补丁管理:及时更新系统和应用软件:保持操作系统内核及所有安装软件包的最新状态,降低因已知漏洞导致的风险。
7. 备份和恢复策略:制定数据备份计划:定期对重要数据进行备份,确保在发生安全事件后能够快速恢复。
8. 资源和时间限制:设置超时登录:通过TMOUT环境变量限制shell会话空闲时间,防止未授权长时间连接。
Linux系统的系统安全加固和防护措施
Linux系统的系统安全加固和防护措施随着信息技术的飞速发展,网络安全问题日益凸显。
作为一种开放源代码操作系统,Linux系统广泛应用于互联网服务器等重要领域,其系统安全加固和防护措施显得尤为重要。
本文将重点探讨Linux系统的系统安全加固和防护措施。
一、操作系统的安全加固1. 更新操作系统和软件版本:经常检查并更新操作系统和软件的最新版本,以获取最新的安全补丁和功能更新。
同时,及时删除不再使用的软件和插件,减少潜在的漏洞。
2. 强化账户和密码策略:对超级用户(root)账户和其他普通账户设定复杂的密码,并定期更换密码。
此外,禁止使用弱密码和常见密码,提高系统的安全性。
3. 配置文件权限设置:限制普通用户对系统核心配置文件的访问权限,避免恶意代码或攻击者利用改动配置文件来破坏系统稳定性。
4. 禁用不必要的服务和端口:检查系统中运行的服务和开放的端口,禁用不必要的服务和端口,减少系统的攻击面。
5. 安装防火墙:配置和启动防火墙,限制进出系统的网络流量,防止外部攻击和恶意流量的入侵。
二、访问控制和权限管理1. 用户权限管理:为每个用户分配合适的权限,限制其对系统资源和敏感文件的访问。
使用sudo(superuser do)命令,授予合适的特权给普通用户,降低系统被滥用的风险。
2. 使用访问控制列表(ACL):通过使用ACL实现对文件和目录的详细权限控制,限制除所有者和管理员外的其他用户对文件的访问与修改。
3. 文件加密:通过使用加密文件系统或单独对敏感文件进行加密,保护数据的机密性,即使系统受到攻击,攻击者也无法窃取敏感信息。
三、日志和监控1. 日志管理:配置系统日志以记录关键事件和错误信息。
定期检查系统日志,及时发现异常和潜在威胁,并采取相应措施进行应对。
2. 实施入侵检测系统(IDS)和入侵防御系统(IPS):部署IDS和IPS来监控系统的网络流量和行为,及时识别并阻止潜在的攻击。
3. 安全审计:进行定期的系统安全审计,发现系统中的安全漏洞和风险,及时加以修复和改进。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux主机操作系统加固规范目录第1章概述 (3)1.1 目的.............................................................................................................. 错误!未定义书签。
1.2 适用范围....................................................................................................... 错误!未定义书签。
1.3 适用版本....................................................................................................... 错误!未定义书签。
1.4 实施.............................................................................................................. 错误!未定义书签。
1.5 例外条款....................................................................................................... 错误!未定义书签。
第2章账号管理、认证授权.. (4)2.1 账号 (4)2.1.1 用户口令设置 (4)2.1.2 root用户远程登录限制 (4)2.1.3 检查是否存在除root之外UID为0的用户 (5)2.1.4 root用户环境变量的安全性 (5)2.2 认证.............................................................................................................. 错误!未定义书签。
2.2.1 远程连接的安全性配置 (6)2.2.2 用户的umask安全配置 (6)2.2.3 重要目录和文件的权限设置 (6)2.2.4 查找未授权的SUID/SGID文件 (7)2.2.5 检查任何人都有写权限的目录 (8)2.2.6 查找任何人都有写权限的文件 (8)2.2.7 检查没有属主的文件 (9)2.2.8 检查异常隐含文件 (9)第3章日志审计 (11)3.1 日志 (11)3.1.1 syslog登录事件记录 (11)3.2 审计 (11)3.2.1 Syslog.conf的配置审核 (11)第4章系统文件 (13)4.1 系统状态 (13)4.1.1 系统core dump状态 (13)第1章概述1.1 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
1.2 适用版本LINUX系列服务器;第2章账号管理、认证授权2.1 账号2.1.1 用户口令设置安全基线项目名称操作系统Linux用户口令安全基线要求项安全基线编号SBL-Linux-02-01-01安全基线项说明帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root12342、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_ WARN_AGE参数3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号基线符合性判定依据建议在/etc/login文件中配置:PASS_MIN_LEN=6不允许存在简单密码,密码设置符合策略,如长度至少为6 不存在空口令账号备注2.1.2 root用户远程登录限制安全基线项目名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-02安全基线项说明帐号与口令-root用户远程登录限制检测操作步骤执行:more /etc/securetty,检查Console参数基线符合性判定依建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01据备注2.1.3 检查是否存在除root之外UID为0的用户安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-03安全基线项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd基线符合性判定依据返回值包括“root”以外的条目,则低于安全要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为02.1.4 root用户环境变量的安全性安全基线项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线编号SBL-Linux-02-01-04安全基线项说明帐号与口令-root用户环境变量的安全性检测操作步骤执行:echo $PATH | egrep '(^|:)(\.|:|$)',检查是否包含父目录,执行:find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值包含以上条件,则低于安全要求;find `echo $PATH | tr ':' ' '` -type d \( -perm -777 -o -perm -777 \) -ls注补充操作说明确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录2.1.5 远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线编号SBL-Linux-02-02-01安全基线项说明帐号与口令-远程连接的安全性配置检测操作步骤执行:find / -name .netrc,检查系统中是否有.netrc文件,执行:find / -name .rhosts ,检查系统中是否有.rhosts文件基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明如无必要,删除这两个文件2.1.6 用户的umask安全配置安全基线项目名称操作系统Linux用户umask安全基线要求项安全基线项说明帐号与口令-用户的umask安全配置检测操作步骤执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值基线符合性判定依据umask值是默认的,则低于安全要求备注补充操作说明直接vi /etc/bashrc建议设置用户的默认umask=077 数据库机器不装。
2.1.7 重要目录和文件的权限设置安全基线项目名称操作系统Linux目录文件权限安全基线要求项安全基线编号SBL-Linux-02-02-03安全基线项说明文件系统-重要目录和文件的权限设置检测操作执行以下命令检查目录和文件的权限设置情况:步骤ls –l /etc/ls –l /etc/rc.d/init.d/ls –l /tmpls –l /etc/inetd.confls –l /etc/passwdls –l /etc/shadowls –l /etc/groupls –l /etc/securityls –l /etc/servicesls -l /etc/rc*.d基线符合性判定依据若权限过低,则低于安全要求;备注补充操作说明对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。
2.1.8 查找未授权的SUID/SGID文件安全基线项目名称操作系统Linux SUID/SGID文件安全基线要求项安全基线编号SBL-Linux-02-02-04安全基线项说明文件系统-查找未授权的SUID/SGID文件检测操作步骤用下面的命令查找系统中所有的SUID和SGID程序,执行:for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find / \( -perm -04000 -o -perm -02000 \) -type f -xdev -print Done基线符合性判定依据若存在未授权的文件,则低于安全要求;备注补充操作说明建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序2.1.9 检查任何人都有写权限的目录安全基线项目名称操作系统Linux目录写权限安全基线要求项安全基线编号SBL-Linux-02-02-05安全基线项说明文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令:for PART in `awk '($3 == "ext2" || $3 == "ext3") \{ print $2 }' /etc/fstab`; dofind / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print Done基线符合性判定依据若返回值非空,则低于安全要求;备注2.1.10 查找任何人都有写权限的文件安全基线项目名称操作系统Linux文件写权限安全基线要求项安全基线编号SBL-Linux-02-02-06安全基线项说明文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令:for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print Done基线符合性判定依据若返回值非空,则低于安全要求;备注2.1.11 检查没有属主的文件安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线编号SBL-Linux-02-02-07安全基线项说明文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令:for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART -nouser -o -nogroup -printdone注意:不用管“/dev”目录下的那些文件。