Linux系统安全系统配置基线

【安全等保】Linux服务器基线安全--⼲货业务标签：医院信息集成平台、互联⽹医院、互联⽹护理、慢性病随访技术标签：ESB、ETL+CDC、NLP、FaaS、SaaS、Hadoop、MicroService技术微信群：加微信：wonter 发送：技术Q医疗微信群：加微信：wonter 发送：医疗Q关注公众号查看⼀、系统安全基线1.1 系统登录弱⼝令**描述**若系统使⽤弱⼝令，存在极⼤的被恶意猜解⼊侵风险，需⽴即修复。

**加固建议**执⾏命令 `passwd [<user>]`，然后根据提⽰输⼊新⼝令完成修改，其中 `<user>` 为⽤户名，如果不输⼊则修改的是当前⽤户的⼝令。

⼝令应符合复杂性要求：1、长度8位以上2、包含以下四类字符中的三类字符:英⽂⼤写字母(A 到 Z)英⽂⼩写字母(a 到 z)10 个基本数字(0 到 9)⾮字母字符(例如 !、$、#、%、@、^、&)3、避免使⽤已公开的弱⼝令，如：abcd.1234 、admin@123等1.2 确保root是唯⼀的UID为0的帐户**描述**除`root`以外其他`UID`为`0`的⽤户都应该删除，或者为其分配新的`UID`**加固建议**除`root`以外其他`UID`为`0`的⽤户，都应该删除，或者为其分配新的`UID`查看命令：cat/etc/passwd| awk-F: '($3 == 0) { print $1 }'|grep-v'^root$'1.3 开启地址空间布局随机化**描述**它将进程的内存空间地址随机化来增⼤⼊侵者预测⽬的地址难度，从⽽降低进程被成功⼊侵的风险**加固建议**在`/etc/sysctl.conf`或`/etc/sysctl.d/*`⽂件中设置以下参数：kernel.randomize_va_space = 2执⾏命令：sysctl -w kernel.randomize_va_space=21.4 设置⽤户权限配置⽂件的权限**描述**设置⽤户权限配置⽂件的权限**加固建议**执⾏以下5条命令chown root:root /etc/passwd/etc/shadow/etc/group/etc/gshadowchmod0644 /etc/groupchmod0644 /etc/passwdchmod0400 /etc/shadowchmod0400 /etc/gshadow1.5 访问控制配置⽂件的权限设置**描述**访问控制配置⽂件的权限设置**加固建议**运⾏以下4条命令：chown root:root /etc/hosts.allowchown root:root /etc/hosts.denychmod644 /etc/hosts.denychmod644 /etc/hosts.allow如果您是`redhat8`⽤户chown root:root /etc/ssh/sshd_configchmod600 /etc/ssh/sshd_config1.6 确保SSH LogLevel设置为INFO**描述**确保`SSH LogLevel`设置为`INFO`,记录登录和注销活动**加固建议**编辑 `/etc/ssh/sshd_config` ⽂件以按如下⽅式设置参数(取消注释):LogLevel INFO1.7 确保rsyslog服务已启⽤安全审计**描述**确保`rsyslog`服务已启⽤，记录⽇志⽤于审计**加固建议**运⾏以下命令启⽤`rsyslog`服务：systemctl enable rsyslogsystemctl start rsyslog1.8 确保SSH MaxAuthTries设置为3到6之间**描述**设置较低的`Max AuthTrimes`参数将降低`SSH`服务器被暴⼒攻击成功的风险。

linux系统安全基线Linux系统安全基线是指在构建和维护Linux操作系统时，按照一系列预定义的安全措施和规范来实施的一种最佳实践。

它主要是为了减少系统遭受恶意攻击的概率，保护系统的机密性、完整性和可用性。

本文将详细阐述Linux系统安全基线涉及的各个方面，并一步一步回答有关问题。

第一步：建立访问控制机制首先，我们需要建立合理的访问控制机制来限制用户的权限。

这可以通过为每个用户分配适当的权限级别和角色来实现。

例如，管理员账户应该具有最高的权限，而普通用户账户只能执行有限的操作。

此外，应该禁用不必要的账户，并定期审计所有账户和权限。

问题1：为什么建立访问控制机制是Linux系统安全基线的重要组成部分？答：建立访问控制机制可以限制用户的权限，避免未经授权的访问和滥用系统权限，从而提高系统的安全性。

问题2：如何建立访问控制机制？答：建立访问控制机制可以通过分配适当的权限级别和角色给每个用户来实现，同时禁用不必要的账户，并定期审计账户和权限。

第二步：加强系统密码策略系统密码是保护用户账户和系统数据的重要屏障，因此需要加强密码策略。

这包括要求用户使用强密码、定期更新密码、限制密码尝试次数等。

此外，为了避免密码泄露和未经授权的访问，应该启用多因素身份验证。

问题3：为什么加强系统密码策略是Linux系统安全基线的重要组成部分？答：加强系统密码策略可以提高账户和系统数据的安全性，避免密码泄露和未经授权的访问。

问题4：如何加强系统密码策略？答：加强系统密码策略可以通过要求用户使用强密码、定期更新密码、启用密码复杂性检查、限制密码尝试次数等方式来实现。

第三步：更新和修补系统Linux系统安全基线要求及时更新和修补系统以纠正已知的漏洞和安全问题。

这涉及到定期更新操作系统和软件包，并及时应用安全补丁。

此外，应该禁用不必要的服务和端口，以减少攻击面。

问题5：为什么更新和修补系统是Linux系统安全基线的重要组成部分？答：更新和修补系统可以修复已知的漏洞和安全问题，减少系统受攻击的风险。

linux安全基线是指一系列的安全措施和配置规则1. 引言1.1 概述在当今互联网时代，保障操作系统的安全性变得愈发重要。

Linux作为一种开源且广泛使用的操作系统，也需要采取相应的安全措施来保护用户的敏感数据和系统的稳定性。

而Linux安全基线就是指一系列的安全措施和配置规则，旨在确保Linux系统能够达到预期的安全水平。

1.2 文章结构本文将围绕Linux安全基线展开论述，并结合实际案例和专业知识提供相关实施步骤和建议。

具体而言，文章将包括以下几个部分：引言、Linux安全基线概念、Linux安全基线内容、实施Linux安全基线的步骤以及结论。

通过这些内容的详细阐述，读者将能够了解到如何制定适合自己机构或个人环境下的Linux安全基线策略，并对未来发展趋势有所展望。

1.3 目的本文的目标是传达关于Linux安全基线的重要性与必要性，并提供读者一些关于该主题方面概念、内容以及实施步骤等方面准确清晰的信息。

希望通过本文的阅读，读者能够对Linux操作系统安全方面有更全面的认识，并在实际应用中能够有效地保护自己的系统和数据。

同时，也希望本文的内容能够引发对未来Linux 安全基线发展的深入思考，并鼓励读者积极参与安全建设并提出宝贵意见和建议。

2. Linux安全基线概念2.1 定义Linux安全基线是指一系列的安全措施和配置规则，旨在保护Linux系统免受恶意攻击和未经授权访问的威胁。

它是一种标准化的安全配置框架，用于确保系统在设计、实施和管理过程中具备最低限度的安全要求。

2.2 作用Linux安全基线的主要作用是提供一套可行的最佳实践原则，以确保Linux系统的稳定性和可靠性。

通过使用安全基线，可以降低系统受到安全漏洞利用或未经授权访问的风险，并减轻可能发生的损失。

同时，Linux安全基线还能够帮助组织建立一个统一、标准且可重复的安全配置方式。

这有助于简化系统管理流程，并提高整个组织对系统进行合规评估和审计时的效率。

序号控制点基线要求1补丁管理应及时更新系统补丁2服务管理应删除已过时且不安全的服务3账号管理删除或锁定多余的默认系统用户4口令策略密码包括3种字符(数字、小写字母、大写字母和特殊符)，口令长度至少8位。

5口令策略设置本地和远程登录5次失败后，普通账户锁定10分钟，root不受影响6认证授权设置10分钟无键盘操作，则退出终端。

7认证授权限制root直接远程登录8日志配置应配置日志功能，记录所有用户所执行的程序，程序执行情况信息等等9日志配置修改日志配置文件syslog.conf/rsyslog.conf权限为400(管理员只读)10协议安全使用SSH等相对安全的加密协议进行远程连接11操作安全记录bash命令历史记录12权限设置对重要的口令文件权限进行限制，防止恶意修改13权限设置拒绝系统默认的系统帐号使用ftp服务linux类基线：共13项，适用于centos 7+（注意：部分配置完成后需要重操作指南根据组织的信息安全策略要求，为系统安装系统安全补丁检测以下服务是不是运行中，若不需要以下服务，则删除服务：telnet . rsh . NIS . TFTP . Talk . chargen-dgram . daytime-dgram .echo-dgram . tcpmux-server若不需要以下系统默认账户，建议删除或锁定：adm . lp . mail . uucp . operator . games . gopher . ftp . nobody . rpm . dbus. avahi . mailnull . smmsp . nscd . vcsa . rpc . rpcuser . nfsnobody . sshd .pcap . ntp .haldaemon . distcache . apache . webalizer . squid . xfs .gdmsabayon . named删除用户：#userdel username;锁定用户：1.修改/etc/shadow文件，用户名后的第一个冒号后加一个感叹号"!"2.将/etc/passwd文件中的shell域设置成/bin/nologin#vi /etc/security/pwquality.confminlen = 8 密码至少8位minclass = 3 至少3种字符指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：1.本地登录失败锁定：#vi /etc/pam.d/system-auth 在第2行添加：auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time2.远程登录失败锁定：#vi /etc/pam.d/sshd 在第2行添加：auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time#vim /etc/ssh/sshd_config将"#ClientAliveInterval 0"更改为"ClientAliveInterval 600"重启SSH服务：service sshd restart#vi /etc/ssh/sshd_config将"PermitRootLogin yes"改为"PermitRootLogin no"重启SSH服务：service sshd restartaccton默认是不开启，需要先创建记录文件再开启：#touch /var/log/pacct 创建记录文件#accton /var/log/pacct 开启并记录信息(#accton off 关闭)1.centos6以前版本#chmod 400 /etc/syslog.conf2.centos7+版本#chmod 400 /etc/rsyslog.conf#/etc/init.d/sshd start 启动SSH#/etc/init.d/sshd stop 停止SSH#/etc/init.d/sshd status 查看运行状态#chkconfig --level 2345 sshd on 设置开机启动1).#vi /etc/profile 在底部添加以下代码：#------------------------------------------#historyHISTFILESIZE=4096HISTSIZE=4096USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ -z $USER_IP ]thenUSER_IP=`hostname`fiHISTTIMEFORMAT="[%F %T] [`whoami`: $USER_IP] "export HISTTIMEFORMAT#------------------------------------------2).#source /etc/profile 重新加载配置文件对/etc/passwd、/etc/shadow、/etc/ group进行以下权限配置：#chown root：/etc/passwd /etc/shadow /etc/group#chmod 644 /etc/passwd /etc/group#chmod 400 /etc/shadow1).#touch /etc/ftpusers 创建文件2).#chmod 644 /etc/ftpusers 配置访问限制3).vi /etc/ftpusers 将不使用的系统默认账户添加进文件里rootdaemonsysy...需要重启服务/系统）检测方法1、 判定条件服务器不存在中高危漏洞。

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

操作系统安全基线配置要求为不同用户分配独立的帐户，不允许多个用户共享同一帐户。

应删除或锁定过期或无用的帐户。

只允许指定授权帐户对主机进行远程访问。

应根据实际需要为各个帐户分配最小权限。

应对Administrator帐户进行重命名，并禁用Guest（来宾）帐户。

要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

设置口令的最长使用期限小于90天，并配置操作系统用户不能重复使用最近5次（含5次）已使用过的口令。

当用户连续认证失败次数为5次时，应锁定该帐户30分钟。

2.2.服务及授权安全应关闭不必要的服务。

应设置SNMP接受团体名称不为public或弱字符串。

确保系统时间与NTP服务器同步。

配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全应确保操作系统版本更新至最新。

应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计应合理配置系统日志审核策略。

应设置日志存储规则，保证足够的日志存储空间。

更改日志默认存放路径，并定期对系统日志进行备份。

2.5.系统防火墙应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能应关闭Windows自动播放功能。

2.8.共享文件夹应关闭Windows本地默认共享。

设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

2.9.登录通信安全应禁止远程访问注册表路径和子路径。

设置远程登录帐户的登录超时时间为30分钟。

禁用匿名访问命名管道和共享。

1.帐户共用：每个用户应分配一个独立的系统帐户，不允许多个用户共享同一个帐户。

2.帐户锁定：过期或无用的帐户应该被删除或锁定。

3.超级管理员远程登录限制：应限制root帐户的远程登录。

4.帐户权限最小化：为每个帐户设置最小权限，以满足其实际需求。

5.口令长度及复杂度：操作系统帐户口令长度应至少为8位，且应包含数字、字母和特殊符号中的至少2种组合。