您的位置:360文档中心› LINUX操作系统配置规范

LINUX操作系统配置规范

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

LINUX操作系统配置规范

目录

1 概述

2 上架规范

2.1 配置iLo管理口

2.2 硬盘RAID配置

2.3 服务器安装导轨

2.4 服务器插线要求

3 系统安装

3.1 系统版本要求

3.2 分区要求

3.3 安装包要求

3.4 用户要求

3.5 时间同步要求

3.6 字符集

3.7 网卡绑定

3.8 配置snmp

3.9 连存储的服务器

3.10 多路径软件

3.11 udev配置(块设备管理、ASM组)

3.12 CVE漏洞软件包版本

4 补丁

4.1 系统补丁(仅供参考)

4.2 其他应用补丁(仅供参考)

5 主机名、账号和口令安全配置基线

5.1 主机命名规范

5.2 账号安全控制要求

5.3 口令策略配置要求

5.4 口令复杂度和密码锁定策略配置要求

5.5 口令重复次数限制配置要求

5.6 设置登录Banner

5.7 设置openssh登陆Banner

5.8 Pam的设置

5.9 root登录策略的配置要求

5.10 root的环境变量基线

6 网络与服务安全配置标准

6.1 最小化启动服务

6.2 最小化xinetd网络服务

7 文件与目录安全配置

7.1 临时目录权限配置标准

7.2 重要文件和目录权限配置标准

7.3 umask配置标准

7.4 core dump状态

7.5 ssh的安全设置

7.6 bash历史记录

7.7 其他注意事项

8 系统Banner的配置

9 防病毒软件安装

10 ITSM监控agent安装

11 内核参数优化

12 syslog日志的配置

13 重启服务器

附件:安全工具

1 概述

本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面

的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以Redhat 6.6为例,给出参考配置操作。

2 上架规范

2.1 配置iLo管理口

2.2硬盘RAID配置

2.3服务器安装导轨

2.4服务器插线要求

1、集成网卡服务器

业务网络要求使用eth0、eth1两网口做双网卡绑定。(个别应用默认顺序取第一个接口mac地址,

要求使用前两个端口做业务网络接口)

网卡插线参考如下图方式:

2、非集成网卡服务器

要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。

光口卡同理操作。

网卡插线参考如下图方式:

3 系统安装

3.1系统版本要求

新上系统全部使用rhel6.6 64位操作系统。

rhel-server-6.6-x86_64-dvd.iso 3.52 GB

SHA-256:

16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32 [root@rhel6-6 /]$ uname -a

Linux rhel6-6 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux

目前机房生产平台用的较多的是rhel5.7和rhel6.1。

有特殊要求的则仍使用rhel6.1。

3.2分区要求

使用LVM分区、文件系统格式采用ext4。

3.3安装包要求

安装系统当中要将GCC等所有的开发包和管理包打全,以防后期存在缺包现象。以下包全部安装 Administration Tools

Development Tools

System Tools

telnet ftp lrzsz (这三个包要求安装)

“系统管理”菜单:所有包全选安装

“开发”菜单:所有包全选安装

“语言支持”菜单:要求安装英文语言包、简体中文语言包!

3.4用户要求

根据主机运维工作的实际需求,要求系统初始用户包括以下用户。密码根据项目整体要求配置 root

root用户密码根据要求进行配置

pcloud

新创建用户且附加组为wheel

参考命令:

#useradd -G wheel pcloud

bestpay

新创建用户

#useradd bestpay

logview

新创建用户且附加组为bestpay

参考命令:

#useradd –G bestpay logview

分区赋权

在root用户根目录下按3.3小节分区要求,给分区重新赋权/data:

o

chown –R bestpay:bestpay/data

o

o

chmod 0750 /data

o

/tools:

o

chown –R bestpay:bestpay /tools

o

o

chmod 0700 /tools

o

/admin:

o

chown –R bestpay:bestpay /admin

o

o

chmod 0750 /admin

o

3.5时间同步要求

在root用户下执行crontab –e

相关文档
最新文档