linux安全配置规范
Linux使用注意事项与安全建议
Linux使用注意事项与安全建议Linux是一种广泛使用的操作系统,在安全性和稳定性方面具有很高的优势。
然而,如何正确地使用Linux系统,以及采取便于保护和维护系统的安全措施也是非常重要的。
本文将为您提供一些使用Linux系统的注意事项和安全建议。
一、系统更新与漏洞修复及时更新系统软件和补丁,以确保系统安全性。
Linux社区开发者们经常发布系统更新和漏洞修复的补丁,这些更新可以填补系统中的安全漏洞。
定期检查并更新您的Linux系统非常重要。
二、强化系统密码使用强密码可以避免被恶意攻击者猜解密码的风险。
建议密码长度不少于8位,并包含大小写字母、数字和特殊字符的组合。
避免使用与个人信息有关的密码,例如生日、电话号码等。
三、用户权限管理合理设置用户权限可以有效减少恶意软件对系统的破坏。
不要将管理员权限随意地赋予其他用户,仅将其授予真正需要从事系统管理任务的用户。
使用sudo命令提升权限可以降低意外操作对系统的影响。
四、防火墙与网络安全启用防火墙是保护Linux系统的有效方式。
配置防火墙规则以限制对系统的未经授权访问。
定期检查网络连接并监控可疑活动,同时使用可信的防病毒软件来保护系统免受恶意软件的侵害。
五、远程登录安全远程登录是使用Linux系统的常见方式,但也是系统安全风险的一个薄弱环节。
为避免被未经授权的用户访问,建议使用SSH协议进行远程登录,同时禁用不安全的协议,如Telnet。
六、备份数据定期备份重要数据是防范数据丢失或遭受恶意软件攻击的重要措施。
创建有效的数据备份策略,并确保备份数据的加密和存储安全。
七、定期监测日志监测系统日志可以帮助发现潜在的入侵尝试或异常活动。
Linux系统提供了各种工具来查看和分析日志文件。
了解和分析日志记录对检测和防范潜在的安全威胁至关重要。
八、软件安装与更新仅从官方和可信的源安装软件,以减少恶意软件的风险。
定期更新所有软件,以确保系统软件的安全性和稳定性。
九、物理环境安全保护Linux系统的物理环境也非常重要。
Linux操作系统的安装与配置
Linux操作系统的安装与配置Linux是一种非常可靠和安全的操作系统,并且是许多企业和组织首选的操作系统。
与其他操作系统相比,Linux的主要优势在于它是开源的,这意味着每个人都可以查看和修改Linux的源代码。
如果你正在考虑安装和配置Linux操作系统,本文将在以下三个方面给出详细的指导:预备工作、Linux的安装和Linux的基本配置。
预备工作在安装Linux之前,您需要进行几项预备工作,以确保安装顺利完成。
首先,您需要了解自己的硬件规格。
确定您需要安装的Linux版本,并进行相应的硬件升级。
例如,如果您需要安装CentOS 7,则需要确定CPU和内存是否满足要求。
通常,建议至少使用2GB内存和8GB磁盘空间。
其次,您需要根据自己的需求选择正确的Linux发行版。
通常,Ubuntu和CentOS是最受欢迎的Linux发行版。
Ubuntu是一个用户友好的发行版,适合初学者和桌面用户。
而CentOS则是一个更加强大和稳定的发行版,适合服务器和企业级应用程序。
Linux的安装安装Linux的第一步是从Linux发行版的官方网站下载ISO文件,并将其刻录到DVD或USB随身碟。
安装程序的启动将在BIOS或UEFI固件中的“引导顺序”中配置。
一旦启动后,你会看到Linux的安装界面。
安装界面的第一步是选择您的语言。
然后,您将看到一些重要的选项,例如时区和键盘布局。
在这些选项中选择适合您的选项,并单击“下一步”。
接下来,您需要选择安装的磁盘,并确定分区方案。
建议使用自动分区,特别是如果您是Linux新手。
完成分区后,选择您要安装的软件包。
如果您只是一个桌面用户,请选择“标准系统工具”和“桌面环境”。
完成上述步骤后,您需要设置root用户密码和创建其他用户。
这些用户将用于登录Linux系统。
然后,系统将开始安装软件包。
Linux的基本配置一旦您成功安装Linux,您需要进行进一步的配置。
以下是一些基本配置建议:更新软件包:运行“sudo apt-get update && sudo apt-get upgrade”(适用于Ubuntu)或“sudo yum update”(适用于CentOS)来获取最新的软件包。
中国电信vi规范
竭诚为您提供优质文档/双击可除中国电信vi规范篇一:中国电信linux操作系统安全配置规范保密等级:公开发放中国电信linux操作系统安全配置规范specificationforlinuxosconfigurationusedinchinatele com中国电信集团公司发布目录目录................................................. ....................i前言................................................. . (ii)1范围................................................. (1)2规范性引用文件................................................. (1)3缩略语................................................. .. (1)3.1缩略语..................................................错误!未定义书签。
4安全配置要求................................................. .. (2)4.1账号................................................. .. (2)4.2口令................................................. .. (3)4.3文件及目录权限................................................. . (5)4.4远程登录................................................. . (7)4.5补丁安全................................................. . (8)4.6日志安全要求................................................. (9)4.7不必要的服务、端口................................................. .. (10)4.8系统banner设置................................................. .. (11)4.9登陆超时时间设置................................................. . (12)4.10删除潜在危险文件................................................. (12)4.11Ftp设置................................................. (12)附录a:端口及服务................................................. (13)前言为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信编制了一系列的安全配置规范,明确了操作系统、数据库、应用中间件在内的通用安全配置要求。
Linux系统安全设置步骤
Linux系统安全设置步骤一直以来,许多人认为,Linux系统本身就是很安全的,不需要做太多的安全防护,另外基于Linux系统的防护、杀毒软件目前还较少被大众认知,因而在很多时候,我们安装完linux系统,经常不知道系统本身的安全设置从何做起,有的管理员干脆不做任何设置,或者随便下载安装一个杀毒软件完事,这样的做法基本起不了什么作用。
其实如windows server 2003系统本身也是一样,其系统自身的安全设置如果到位,对于服务器的整体安全是非常关键的。
笔者因为业务的关系,和铁通数据中心有较多的接触,通过对一些不法分子对服务器攻击方式的了解,更是深深体会到这点。
很多时候,安装完操作系统,一些看似随手进行的设置,很可能改变了操作系统的安全命运。
Linux安全配置步骤1. BIOS Security任何系统,给BIOS设置密码都是必须的,以防止其它用户通过在BIOS中改变启动顺序, 用特殊的启动盘启动你的系统.2. 磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;●方法一:修改/etc/fstab文件,添加nosuid属性字。
例如:/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0●方法二:如果对/etc/fstab文件操作不熟,建议通过linuxconf程序来修改。
*运行linuxconf程序;*选择"File systems"下的"Access local drive";*选择需要修改属性的磁盘分区;*选择"No setuid programs allowed"选项;*根据需要选择其它可选项;*正常退出。
LINUX操作系统配置规范
LINUX操作系统配置规范Linux操作系统是一种开放源代码的操作系统,相对于其他操作系统,Linux具有较大的灵活性和可定制性。
在实际应用中,为了保证Linux系统的性能和安全性,需要按照一定的规范进行配置。
下面将介绍一些常见的Linux操作系统配置规范。
1.安全性配置:- 禁止使用root账户远程登录,使用普通用户登录系统。
-设置复杂的用户密码,定期修改用户密码。
-安装并启用防火墙,限制网络访问权限。
-安装常用的安全软件,如杀毒软件和入侵检测系统。
-定期更新操作系统和软件包,修复安全漏洞。
2.网络配置:-配置正确的IP地址、子网掩码和网关。
- 禁止使用未加密的传输协议,如Telnet,使用SSH进行远程登录。
- 使用iptables配置防火墙规则,限制网络访问权限。
-配置DNS服务器,加速域名解析。
3.磁盘和文件系统配置:- 对磁盘进行分区,并将关键目录(如/, /usr, /var等)挂载到单独的分区上,以提高系统性能和安全性。
-使用LVM(逻辑卷管理器)对磁盘进行管理,方便动态扩展和迁移。
4.内核参数配置:-调整文件描述符限制,避免文件打开过多导致系统崩溃。
-调整内核参数,优化系统性能,如内存管理、磁盘I/O等参数。
-禁用不必要的内核模块,减少潜在的安全隐患。
5.日志监控与管理:-配置系统日志,记录关键操作和事件。
-定期检查日志文件,及时发现异常情况。
-使用日志分析工具,对日志文件进行分析,提取有用信息。
6.服务配置:-禁止不必要的服务和进程,减少安全风险。
-配置开机自启动的服务,确保系统正常运行。
-设置服务的资源限制,避免资源占用过多导致系统宕机。
7.软件包管理:-使用包管理器安装软件包,避免从源代码编译安装。
-定期更新软件包,修复漏洞和提升性能。
-删除不必要的软件包,减少系统资源占用。
8.工作目录和文件权限:-限制普通用户对系统核心文件的访问权限。
-设置用户家目录的权限,确保用户的私密数据不会被其他用户读取。
LINUX操作系统配置规范
LINUX操作系统配置规范LINUX操作系统配置规范一:引言本文档旨在为管理员提供一个详细的LINUX操作系统配置规范。
该规范旨在确保操作系统的稳定性、安全性和性能优化。
管理员应严格遵循该规范执行操作系统的配置。
二:操作系统安装和基础配置1. 系统安装1.1 准备安装介质和相关驱动程序1.2 执行操作系统安装1.3 设置主机名和网络配置1.4 创建管理员账户和设置密码2. 系统更新和补丁管理2.1 定期更新操作系统和安全补丁2.2 确保使用合法和可信的软件源3. 防火墙设置3.1 启用防火墙3.2 配置适当的规则以限制网络访问3.3 监控防火墙日志以及及时处理异常情况4. 安全设置4.1 禁用不必要的服务和端口4.2 配置安全登录设置,包括SSH以及远程登录4.3 定期更新管理员密码4.4 设置账户锁定策略和密码策略4.5 配置主机防护工具,如SELinux或AppArmor5. 性能优化配置5.1 合理调整操作系统参数,优化内存、磁盘和网络性能 5.2 配置日志管理,避免过度记录日志5.3 监控系统资源使用情况,及时调整配置6. 安全备份和恢复策略6.1 定期备份操作系统和相关数据6.2 测试备份和恢复策略的有效性6.3 存储备份数据的安全策略,包括加密和存储位置7. 监控和告警设置7.1 配置系统监控工具,例如Zabbix、Nagios等7.2 设置合适的告警策略,及时发现和解决系统异常8. 日志管理8.1 配置日志审计规则,记录关键系统操作8.2 定期审查系统日志,发现异常情况并采取相应措施9. 系统维护流程9.1 定期执行系统维护任务,如磁盘碎片整理、日志清理等 9.2 管理接口和升级流程9.3 建立系统更新和维护的文档和计划10. 硬件和软件要求10.1 硬件要求:根据实际需求配置合适的硬件设备10.2 软件要求:操作系统版本和必要的软件组件11. 系统文档11.1 创建操作系统配置文档,包括所有配置的详细信息 11.2 更新文档以反映系统的变化本文档涉及附件:无本文所涉及的法律名词及注释:1. 操作系统安装:指在计算机上安装并配置操作系统的过程。
linux操作系统安全配置内容
linux操作系统安全配置内容
1. 更新操作系统:确保在系统中安装了最新的安全补丁和更新,以修复已知的漏洞和弱点。
2. 强密码策略:设置密码策略,要求用户使用强密码,包括至少8个字符,包含字母、数字和
特殊字符,并定期更改密码。
3. 用户权限管理:为每个用户分配适当的权限,并限制对敏感文件和系统配置的访问权限。
避
免使用管理员权限进行常规操作。
4. 防火墙设置:配置防火墙以限制网络流量,并只允许必要的端口和服务通过。
拒绝来自未知
来源或可疑IP地址的连接。
5. 安全审计:启用并配置安全审计工具,以跟踪对系统和文件的访问、登录尝试和其他安全事件。
6. 文件和目录权限:设置适当的文件和目录权限,以防止未经授权的用户访问和修改敏感文件。
7. 禁用不必要的服务和端口:禁用不必要的服务和端口,以减少攻击面。
8. 加密通信:对重要的网络通信采取加密措施,如使用SSL/TLS进行安全的远程登录、传输
和数据传输。
9. 安全日志管理:配置日志记录和监控系统,以及定期检查日志以发现潜在的安全问题。
10. 定期备份:定期备份系统和重要数据,以防止数据丢失和恶意破坏。
11. 安全性测试和漏洞扫描:进行定期的安全性测试和漏洞扫描,以发现并修复系统中的安全
漏洞。
12. 非必要软件和服务的删除:删除不必要的软件和服务,减少系统的攻击面。
13. 安全培训和意识提升:为用户提供安全培训和意识提升,教育他们遵循最佳的安全实践,
如不点击垃圾邮件的链接或下载未知来源的文件。
linux服务器的安全配置策略
linux服务器的安全配置策略
Linux服务器的安全配置策略是非常重要的,因为服务器是许多网络服务和工作负载的集中点,因此需要采取一系列措施来保护它。
以下是
一些基本的Linux服务器安全配置策略:
1. 更新和补丁管理:确保服务器及其软件包(如操作系统、Web服务器、数据库等)都是最新版本,并安装所有安全补丁。
2. 防火墙设置:设置防火墙规则以限制对服务器的访问。
这包括只允
许必要的网络接口和端口,并关闭不必要的服务。
3. 用户和组管理:限制对服务器的访问权限,只允许必要的用户和组
访问。
使用强密码策略,并定期更改密码。
4. 文件权限:确保文件和目录的权限设置正确,以防止未经授权的访问。
5. 远程访问控制:限制远程访问服务器的数量和类型,并使用安全的
远程访问协议(如SSH)。
6. 日志管理:记录所有活动和错误日志,以便于故障排除和安全审计。
7. 限制根访问:禁用root用户默认登录,并限制只有必要的情况下
才使用root权限。
8. 加密和备份:使用加密存储和备份策略来保护敏感数据。
定期备份
数据,并确保备份的安全存储。
9. 防病毒软件:安装并定期更新防病毒软件,以防止恶意软件攻击服
务器。
10. 安全审计和监控:实施安全审计和监控策略,以确保服务器始终
处于安全状态。
可以使用安全监控工具(如防火墙日志分析器)来监
视和分析服务器活动。
此外,还需要考虑定期进行安全审计和风险评估,以确保服务器始终
处于最佳安全状态。
总之,确保您的Linux服务器遵循上述最佳实践,以提高安全性并降低风险。
linux安全基线是指一系列的安全措施和配置规则
linux安全基线是指一系列的安全措施和配置规则,旨在保护Linux操作系统免受各种安全威胁的影响。
那么,如何建立一个强大且有效的Linux安全基线呢?A secure Linux baseline refers to a set of security measures and configuration rules designed to protect the Linux operating system from various security threats. It is crucial for organizations and individuals to establish a robust and effective Linux security baseline in order to safeguard sensitive data, maintain system integrity, and prevent unauthorized access.一个强大的Linux安全基线应该从以下几个方面进行考虑和配置。
首先是操作系统的硬化。
这意味着禁用不必要的服务和功能,删除或禁用不安全或过时的软件包,并确保操作系统及其组件都是最新版本。
应该启用防火墙,并正确配置网络访问控制列表(ACL)以限制对系统的访问。
其次是访问控制和用户权限管理。
建议通过创建复杂且强密码以及实施密码策略来加固用户账户。
使用SSH密钥认证来替代密码登录,并实施多因素身份验证来提高系统安全性。
另外,限制root用户访问并采取适当措施限制普通用户的特权。
还有文件和目录权限设置。
应该采用最小权限原则,并为每个用户和角色分配最小的权限集合。
同时,定期审核文件和目录权限,确保只有授权的用户或角色能够访问敏感文件和目录。
加密与数据保护也是一个重要的考虑因素。
建议使用可信任的加密算法来保护存储在系统中的敏感数据,并采取备份和恢复策略以应对可能的数据丢失情况。
Linux操作系统安全系统配置要求规范V1.0
L i n u x操作系统安全配置规范版本号:1.0.0目录1概述 (1)1.1适用范围 (1)1.2外部引用说明 (1)1.3术语和定义 (1)1.4符号和缩略语 (1)2LINUX设备安全配置要求 (1)2.1账号管理、认证授权 (2)2.1.1账号 (2)2.1.2口令 (4)2.1.3授权 (10)2.2日志配置要求 (11)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.4设备其他安全配置要求 (14)2.4.1检查SSH安全配置 (14)2.4.2检查是否启用信任主机方式,配置文件是否配置妥当 (15)2.4.3检查是否关闭不必要服务 (15)2.4.4检查是否设置登录超时 (16)2.4.5补丁管理 (17)1概述1.1适用范围本规范适用于LINUX操作系统的设备。
本规范明确了LINUX操作系统配置的基本安全要求,在未特别说明的情况下,适用于Redhat与Suse操作系统版本。
1.2外部引用说明1.3术语和定义1.4符号和缩略语(对于规范出现的英文缩略语或符号在这里统一说明。
)2LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用LINUX操作系统的设备。
本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
2.1账号管理、认证授权2.1.1账号2.1.1.1检查是否删除或锁定无关账号2.1.1.2检查是否限制root远程登录2.1.2口令2.1.2.1检查口令策略设置是否符合复杂度要求2.1.2.2检查口令生存周期要求2.1.2.3检查口令重复次数限制2.1.2.4检查口令锁定策略2.1.2.5检查FTP是否禁止匿名登录2.1.2.6检查是否存在弱口令2.1.3授权2.1.3.1检查帐号文件权限设置2.2日志配置要求本部分对LINUX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux 安全配置规范2010年11月第一章概述1.1适用范围适用于中国电信使用Linux操作系统的设备。
本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
第二章安全配置要求2.1账号编号:1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南1、参考配置操作为用户创建账号:#useradd username #创建账号#passwd username #设置密码修改权限:#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号:2要求内容应删除或锁定与设备运行、维护等工作无关的账号。
操作指南1、参考配置操作删除用户:#userdel username;锁定用户:1)修改/etc/shadow文件,用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
2、补充操作说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
检测方法1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
编号:3要求内容限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南1、参考配置操作编辑/etc/passwd,帐号信息的shell为/sbin/nologin的为禁止远程登录,如要允许,则改成可以登录的shell即可,如/bin/bash2、补充操作说明如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
检测方法1、判定条件root远程登录不成功,提示“没有权限”;普通用户可以登录成功,而且可以切换到root用户;2、检测操作root从远程使用telnet登录;普通用户从远程使用telnet登录;root从远程使用ssh登录;普通用户从远程使用ssh登录;3、补充说明限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
编号:4要求内容对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。
操作指南1、参考配置操作正常可以通过#/etc/init.d/sshd start来启动SSH;通过#/etc/init.d/sshd stop来停止SSH2、补充操作说明查看SSH服务状态:# ps –ef|grep ssh禁止使用telnet等明文传输协议进行远程维护;如特别需要,需采用访问控制策略对其进行限制;检测方法1、判定条件# ps –ef|grep ssh是否有ssh进程存在是否有telnet进程存在2、检测操作查看SSH服务状态:# ps –ef|grep ssh查看telnet服务状态:# ps –ef|grep telnet3、补充说明2.2口令编号:1要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
操作指南1、参考配置操作vi /etc/login.defs,修改设置如下PASS_MIN_LEN=8 #设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i.配置口令的最小长度;ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
3、补充说明pam_cracklib主要参数说明:tretry=N:重试多少次后返回密码修改错误difok=N:新密码必需与旧密码不同的位数dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字.lcredit=N:小宝字母的个数ucredit=N大宝字母的个数credit=N:特殊字母的个数minclass=N:密码组成(大/小字母,数字,特殊字符)pam_passwdqc主要参数说明:mix:设置口令字最小长度,默认值是mix=disabled。
max:设置口令字的最大长度,默认值是max=40。
passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0则禁用口令短语。
atch:设置密码串的常见程序,默认值是match=4。
similar:设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以是similar=permit允许相似或similar=deny不允许相似。
random:设置随机生成口令字的默认长度。
默认值是random=42。
设为0则禁止该功能。
enforce:设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;enforce=users将对系统上的全体非根用户实行这一限制;enforce=everyone将对包括根用户在内的全体用户实行这一限制。
non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。
retry:设置用户输入口令字时允许重试的次数,默认值是retry=3。
密码复杂度通过/etc/pam.d/system-auth实施编号: 2要求内容对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
操作指南1、参考配置操作vi /etc/login.defsPASS_MAX_DAYS=90 #设定口令的生存期不长于90天检测方法1、判定条件登录不成功;2、检测操作使用超过90天的帐户口令登录;3、补充说明测试时可以将90天的设置缩短来做测试;2.3授权编号:1要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。
2、补充操作说明/etc/passwd 必须所有用户都可读,root用户可写–rw-r—r—/etc/shadow 只有root可读–r--------/etc/group 须所有用户都可读,root用户可写–rw-r—r—使用如下命令设置:chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)执行命令#chmod -R go-w /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;2、记录能够配置的权限选项内容;3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2、检测操作1、利用管理员账号登录系统,并创建2个不同的用户;2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。
3、补充说明编号:2(可选)要求内容对文件和目录进行权限设置,合理设置重要目录和文件的权限操作指南执行以下命令检查目录和文件的权限设置情况:ls –l /etc/ls –l /etc/rc.d/init.d/ls –l /tmpls –l /etc/inetd.confls –l /etc/securityls –l /etc/servicesls -l /etc/rc*.d检测方法1、判定条件文件权限的设置合理2、检测操作对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。
编号:3(可选)要求内容控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南1、参考配置操作设置默认权限:Vi /etc/login.defs 在末尾增加umask 027,将缺省访问权限设置为750修改文件或目录的权限,操作举例如下:#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。
根据实际情况设置权限;2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
检测方法1、判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#ls -l dir ; #查看目录dir的权限#cat /etc/login.defs 查看是否有umask 027内容3、补充说明umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。