Linux系统安全配置标准V1.0

LINUX操作系统配置规范LINUX操作系统配置规范1.系统安装与基本配置1.1 硬件需求检查1.2 操作系统安装过程1.3 系统初始化设置1.4 安全性基本配置1.5 网络配置1.5.1 IP地质设置1.5.2 主机名设置1.5.3 DNS配置1.5.4 网关设置2.用户与权限管理2.1 用户账号管理2.1.1 账号创建2.1.2 账号权限设置2.1.3 账号密码管理2.2 用户组管理2.3 文件权限管理2.4 sudo权限配置2.5 远程登录管理2.5.1 SSH服务配置2.5.2 SSH登录限制设置3.系统服务管理3.1 服务管理基本概念3.2 服务的启动与停止3.3 服务设置开机自启动3.4 系统日志管理3.5 定时任务管理4.软件包管理4.1 软件包源配置4.2 软件包安装与升级4.3 软件包卸载4.4 软件包版本管理5.文件系统管理5.1 文件与目录基本操作5.2 文件与目录权限管理5.3 磁盘配额管理5.4 文件系统的挂载与卸载6.系统性能监测与调优6.1 系统资源监测工具6.2 系统性能调优6.3 系统启动时间优化6.4 系统内核参数优化7.系统安全与防护7.1 安全漏洞扫描7.2 防火墙配置与管理7.3 SELinux配置与管理7.4 入侵检测与防护附件：1.系统配置检查清单2.用户权限表3.服务开机自启动列表4.定时任务列表5.文件权限表6.系统网络架构图法律名词及注释：1.GPL（GNU通用公共许可证）：一种开放源代码许可证，允许用户自由地运行、复制、分发、学习、修改和改进软件。

2.SELinux（安全增强Linux）：一种强制访问控制（MAC）机制，用于提供更高级别的系统安全性，限制进程的操作权限。

3.防火墙：用于过滤网络流量、实施访问控制策略的软件或硬件设备，以保护计算机网络免受未授权访问、恶意代码或其他网络威胁的侵害。

4.入侵检测与防护：通过监测系统日志、网络流量等方式，及时发现并阻止恶意攻击、未经授权的访问和其他安全威胁。

第1章HDS HDLM功能概述1.1HDS HDLM介绍HDLM（Hitachi Dynamic Link Manager）是HDS公司提供的安装在主机端的存储工具软件。

HDLM提供主机到存储系统的I/O通道负载平衡和故障切换功能；增强了主机系统的数据可得性。

虽然存储系统通过RAID技术对数据进行了保护，但是单纯的存储系统是不能够提供整个I/O系统的端到端的保护的。

主机端到存储系统的整个I/O路径中发生了故障如：HBA失效、FC交换设备故障、连接电缆断开等会中断主机端对数据的访问；HDS公司提供的HDLM软件，通过对主机到存储的冗余I/O路径的管理实现负载均和故障切换；保证了24×7业务不间断的运行。

1.2HDLM软件特点高可靠：通过服务器的多条通道实现I/O通道自动的故障切换和恢复回切提高了服务器端数据访问的安全性和性能。

高性能：通过多条I/O通道的负载均衡提高了应用系统数据访问的性能，进而有效改善了应用系统的性能。

易安装：HDLM能够自动查寻主机端到存储端的路径，这种查寻无论是直连的DAS结构还是复杂的SAN结构都可以自动完成。

因此HDLM安装完成后不需要复杂的配置就可以使用了。

1.3HDLM软件工作方式HDLM对I/O通道进行实时控制，检测每个通道的状态；当有任何一个通道发生故障时自动将I/O切换到其它健康的通道上；同时，HDLM会自动记录整个操作过程。

HDLM能够支持所有的HDS存储系统，并且在功能上基本相同。

对于HDS USP系列和AMS系列，在实现负载均衡的时候会有所不同。

由于AMS 系列中的LUNs是由两个控制器分别控制的，因此服务器通过不同的通道同时连接两个控制器时会存在两种类型的通道—Owner或Non-ower的通道如下图：在Owner Path之间可以实现负载均衡。

1.4HDS HDLM版本说明操作系统版本：适用于SFB 现有Linux环境，包括Red Hat和SUSE Linux。

linux加固手册v1.0（正式版）L I N U X操作系统安全加固手册版本号：1.0.0目录1概述 (1)1.1适用范围 (1)1.2外部引用说明 (1)1.3术语和定义 (1)1.4符号和缩略语 (1)2LINUX主机安全加固 (1)2.1身份鉴别 (1)2.1.1为空口令用户设置密码 (1)2.1.2缺省密码长度限制 (2)2.1.3缺省密码生存周期限制 (2)2.1.4口令过期提醒 (2)2.1.5限制超级管理员远程登录 (3)2.1.6使用 ssh 加密传输 (3)2.2访问控制 (3)2.2.1为不同的管理员分配不同的账号 (3)2.2.2去除不需要的帐号、修改默认帐号的 shell 变量 (4) 2.2.3对系统账号进行登录限制 (4)2.2.4除 root 之外 UID 为 0 的用户 (4)2.2.5设置关键目录的权限 (5)2.2.6修改 umask 值 (5)2.2.7设置目录权限 (6)2.2.8设置关键文件的属性 (6)2.2.9对 root 为 ls、rm 设置别名 (7)2.2.10使用 PAM 禁止任何人 su 为 root (7)2.3安全审计 (8)2.3.1启用日志记录功能 (8)2.3.2记录系统安全事件 (8)2.3.3启用记录 cron 行为日志功能 (8)2.3.4增加 ftpd 审计功能 (8)2.4剩余信息保护 (9)2.5入侵防范 (9)2.5.1设置访问控制列表 (9)2.5.2更改主机解析地址的顺序 (10)2.5.3打开 syncookie (10)2.5.4不响应 ICMP 请求 (10)2.5.5防 syn 攻击优化 (11)2.5.6补丁装载 (11)2.5.7关闭无效服务 (11)2.5.8关闭无效服务和进程自动启 (12)2.5.9禁止/etc/rc.d/init.d 下某些脚本的执行 (13)2.5.10加固 snmp 服务 (13)2.5.11修改 ssh 端口 (14)2.6恶意代码防范 (14)2.7资源控制 (14)2.7.1隐藏系统提示信息 (14)2.7.2设置登录超时时间 (15)2.7.3资源限制 (15)3推荐安装工具...................................................................................................................... 错误！未定义书签。

Linux安全配置标准Linux安全配置标准一.目的《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux系统设计、实施及维护的技术和安全参考依据。

二.范围安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。

三.内容软件版本及升级策略操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。

安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。

账户及口令管理远程登录帐号管理符合以下条件之一的，属"可远程登录帐号"：(1) 设置了密码，且帐号处于未锁定状态。

(2) 在$HOME/.ssh/authorized_keys放置了public key"可远程登录帐号"的管理要求为：(1) 帐号命名格式与邮件命名格式保持一致(2) 不允许多人共用一个帐号，不允许一人有多个帐号。

(3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。

(4) 特殊帐号需向安全组报批守护进程帐号管理守护进程启动帐号管理要求(1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。

(2) 禁止使用"可远程登录帐号"启动守护进程(3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。

系统默认帐号管理（仅适用于财务管理重点关注系统）删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等口令管理口令管理应遵循《密码口令管理制度》，具体要求为(1) 启用密码策略/etc/PASS_MAX_DAYS 90PASS_MIN_DAYS 1PASS_MIN_LEN 7PASS_WARN_AGE 7/etc/system-authpassword sufficient ** remember=5password requisite ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0(2) 启用帐号锁定策略，连续输错3次口令，锁定用户30分钟/etc/system-authauth requiredauth required deny=3 unlock_time=1800OpenSSH安全配置只使用协议版本2，禁止root登录，禁止空口令登录，独立记录日志到/var/log/secure。

Linux安全配置规范适⽤于redhat、suse、fedroa、Linux 操作系统。

本规范明确了设备的基本配置安全要求，为设备⼯程验收和设备运⾏维护环节明确相关安全要求提供指南。

出⾃公众号：⼯程师江湖⼀. Linux企业版安全配置规范1.1 ⼝令帐号1.1.1 检查空⼝令帐号编号安全要求-系统-Linux配置-2.1.1要求内容检查系统帐号和⼝令，禁⽌使⽤空⼝令帐号操作指南：以root⾝份执⾏：# awk -F: '($2 == "") { print $1 }' /etc/shadow 检查空⼝令帐号#pwck 帐号检查# cat /etc/passwd# cat /etc/shadow# cat /etc/group对照检查结果，询问管理员有效帐号有⽆异常，有⽆弱密码，建议删除不必要帐户并修改简单密码为复杂密码检测⽅法：# awk -F: '($2 == "") { print $1 }' /etc/shadow 列出空密码帐号实施风险：可能影响某些管理维护的应⽤程序备注：1.1.2 检查Root帐号编号安全要求-系统-Linux配置-2.1.2要求内容检查系统帐号和⼝令，检查是否存UID为0的帐号操作指南：以root⾝份执⾏：# awk -F: '($3 == 0) { print $1 }' /etc/passwd 检查UID为0的帐号检测⽅法：# awk -F: '($3 == 0) { print $1 }' /etc/passwd 列出UID为0的帐号实施风险：可能影响某些管理维护的应⽤程序备注：1.1.3 检查帐号超时注销编号安全要求-系统-Linux配置-2.2.3要求内容应该设置帐号超时⾃动注销操作指南：以root⾝份执⾏：vi /etc/profile增加export TMOUT=600检测⽅法：# cat /etc/profile | grep TMOUT实施风险：可能影响某些管理维护的应⽤程序备注：1.1.4 root⽤户远程登录限制编号安全要求-系统-Linux配置-2.1.4要求内容限制root远程登录要求内容限制root远程登录操作指南：/etc/securetty⽂件中配置：CONSOLE = /dev/tty01检测⽅法：执⾏：more /etc/securetty，检查Console参数实施风险：可能影响某些管理维护的应⽤程序备注：1.1.5 检测密码策略编号安全要求-系统-Linux配置-2.1.5要求内容检查系统密码策略，是否符合必要的强度操作指南：以root⾝份执⾏：# vi /etc/login.defs建议设置参数如下：PASS_MAX_DAYS 180 最⼤⼝令使⽤⽇期PASS_MIN_LEN 8 最⼩⼝令长度PASS_WARN_AGE 30 ⼝令过期前警告天数#vi /etc/pam.d/system-authpassword required /lib/security/pam_cracklib.so retry=3type= minlen=8 difok=3最⼩⼝令长度设置为8检测⽅法：# cat /etc/login.defs#cat /etc/pam.d/system-auth实施风险：可能影响管理维护备注：1.1.6 检查Grub/Lilo密码编号安全要求-系统-Linux配置-2.1.6要求内容检查系统引导管理器是否设置密码检查⽅法使⽤命令“cat /etc/grub.conf|grep password”查看grub是否设置密码使⽤命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码操作指南为grub或lilo设置密码参考操作：vi /etc/grub.confdefault=1timeout=10splashimage=(hd0,7)/boot/grub/splash.xpm.gzpassword=123456title Fedora Core (2.4.22-1.2061.nptl)lockroot (hd0,7)实施风险：可能影响某些管理维护的应⽤程序1.2 系统服务1.2.1 关闭不需要的服务编号安全要求-系统-Linux配置-2.2.1要求内容禁⽤不必要的服务操作指南：以root⾝份执⾏# chkconfig --list (debian不⽀持)使⽤命令“chkconfig --level <init级别> <服务名>on|off|reset”设置服务在个init级别下开机是否启动检测⽅法：chkconfig –list检测⽅法：chkconfig –list查看是否有不需要的服务实施风险：可能影响应⽤备注：1.2.2 openssh安全配置编号安全要求-系统-Linux配置-2.2.2要求内容检查系统openssh安全配置，禁⽌使⽤协议1，和使⽤root直接登录操作指南：以root权限执⾏命令：# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_configOpenssh应禁⽌使⽤协议1,禁⽌root直接登录等，编辑sshd_config⽂件，设置：Protocol 2StrictModes yesPermitRootLogin noPrintLastLog yesPermitEmptyPasswords no检测⽅法：# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_config是否符合以上设置实施风险：⽆备注：1.2.3 SNMP团体字编号安全要求-系统-Linux配置-2.2.3要求内容如果打开了SNMP协议，snmp团体字设置不能使⽤默认的团体字操作指南：以root⾝份执⾏：#cat /etc/snmp/snmpd.conf应禁⽌使⽤public、private默认团体字，使⽤⽤户⾃定义的团体字，例如将以下设置中的public替换为⽤户⾃定义的团体字：com2sec notConfigUser default public如⽆必要，管理员应禁⽌使⽤snmp服务检测⽅法：#cat /etc/snmp/snmpd.conf实施风险：可能影响应⽤备注：1.2.4 禁⽤ctlraltdel组合键编号安全要求-系统-Linux配置-2.2.4要求内容禁⽤ctlr+alt+del组合键操作指南：检查系统是否禁⽤ctlraltdel组合键，以root⾝份执⾏以下命令：# vi /etc/inittab# grep –i ctrlaltdel /etc/inittab禁⽌ctrl+alt+del组合键，以root⾝份编辑/etc/inittab⽂件,注释如下⼀⾏后重起系统：ca::ctrlaltdel:/sbin/shutdown -t3 -r now检测⽅法：# grep –i ctrlaltdel /etc/inittab# ca::ctrlaltdel:/sbin/shutdown -t3 -r now （表⽰已经禁⽤）实施风险：需要重起系统，可能影响应⽤备注：1.2.5 检查root 路径编号安全要求-系统-Linux配置-2.2.5要求内容检查系统root⽤户环境变量path设置中是否包含”.”(root为了⽅便使⽤在他的当前路径末尾加了个点"."，存在安全隐患)操作指南：root⽤户环境变量path中不应包含当前⽬录”.“以root⾝份执⾏如下命令：# echo $PATH/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.检测⽅法：# echo $PATH实施风险：⽆备注：1.2.6 检查信任主机编号安全要求-系统-Linux配置-2.2.6要求内容关闭系统信任主机操作指南：．rhosts⽂件中存储的是可以直接远程访问本系统的主机及⽤户名。

Linux系统基准安全配置标准TMT中国业务中心信息管理部目的通过建立系统的安全基线标准，规范TMT中国业务中心网络环境Linux系统服务器的安全配置，并提供相应的指导；降低系统存在的安全风险，确保服务器系统安全可靠的运行。

范围适合TMT中国业务中心网络环境的所有Linux系统服务器。

标准维护与解释1. 本标准由TMT中国业务中心每年审视1次，根据审视结果修订标准，并颁布执行；2. 本标准的解释权归TMT中国业务中心；3. 本标准自签发之日起生效。

目录1. 优化启动服务 41.1. 禁用不必要的系统服务 41.2. 卸载或禁用网络服务 42. 网络参数调整 53. 日志审计 53.1. 捕获发送到SYSLOG的安全信息 53.2. 启用FTP日志 64. 文件和目录权限 74.1. 修改PASSWD、SHADOW、GROUP文件权限 74.2. 为全局可写目录设置粘滞位 74.3. 删除没有明确属主的文件 75. 系统访问，认证与授权 75.1. 删除.RHOST文件 75.2. 只允许ROOT用户使用AT/CRON 75.3. 修改CRONTAB文件权限 86. 用户帐号和环境 86.1. 确保没有空口令（/薄弱口令）帐号 86.2. 设置口令期限 86.3. 确保除ROOT以外没有其它UID为0的帐号存在 96.4. 确保在ROOT $PATH中没有'.' 96.5. 删除 .NETRC文件 91. 优化启动服务1.1. 禁用不必要的系统服务配置/etc/xinetd.d文件，将所有不是必须的服务全部禁用掉：cd /etc/xinetd.dfor FILE in chargen chargen-udp cups-lpd cups daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 i pop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services sgi_fam talk telnet tftp time time-udp v sftpd wu-ftpd vncdochkconfig ${FILE} offdone1.2. 卸载或禁用网络服务一般建议卸载或禁用下列服务：NIS/NIS+、NFS、SMB、GUI login（X-Windows）、SNMP对于Web、Mail、FTP、DNS等通用服务，如果不是必需，也请卸载或禁用。

LINUX操作系统配置规范Linux操作系统是一种开放源代码的操作系统，相对于其他操作系统，Linux具有较大的灵活性和可定制性。

在实际应用中，为了保证Linux系统的性能和安全性，需要按照一定的规范进行配置。

下面将介绍一些常见的Linux操作系统配置规范。

1.安全性配置：- 禁止使用root账户远程登录，使用普通用户登录系统。

-设置复杂的用户密码，定期修改用户密码。

-安装并启用防火墙，限制网络访问权限。

-安装常用的安全软件，如杀毒软件和入侵检测系统。

-定期更新操作系统和软件包，修复安全漏洞。

2.网络配置：-配置正确的IP地址、子网掩码和网关。

- 禁止使用未加密的传输协议，如Telnet，使用SSH进行远程登录。

- 使用iptables配置防火墙规则，限制网络访问权限。

-配置DNS服务器，加速域名解析。

3.磁盘和文件系统配置：- 对磁盘进行分区，并将关键目录（如/, /usr, /var等）挂载到单独的分区上，以提高系统性能和安全性。

-使用LVM（逻辑卷管理器）对磁盘进行管理，方便动态扩展和迁移。

4.内核参数配置：-调整文件描述符限制，避免文件打开过多导致系统崩溃。

-调整内核参数，优化系统性能，如内存管理、磁盘I/O等参数。

-禁用不必要的内核模块，减少潜在的安全隐患。

5.日志监控与管理：-配置系统日志，记录关键操作和事件。

-定期检查日志文件，及时发现异常情况。

-使用日志分析工具，对日志文件进行分析，提取有用信息。

6.服务配置：-禁止不必要的服务和进程，减少安全风险。

-配置开机自启动的服务，确保系统正常运行。

-设置服务的资源限制，避免资源占用过多导致系统宕机。

7.软件包管理：-使用包管理器安装软件包，避免从源代码编译安装。

-定期更新软件包，修复漏洞和提升性能。

-删除不必要的软件包，减少系统资源占用。

8.工作目录和文件权限：-限制普通用户对系统核心文件的访问权限。

-设置用户家目录的权限，确保用户的私密数据不会被其他用户读取。

LINUX操作系统配置规范LINUX操作系统配置规范一：引言本文档旨在为管理员提供一个详细的LINUX操作系统配置规范。

该规范旨在确保操作系统的稳定性、安全性和性能优化。

管理员应严格遵循该规范执行操作系统的配置。

二：操作系统安装和基础配置1. 系统安装1.1 准备安装介质和相关驱动程序1.2 执行操作系统安装1.3 设置主机名和网络配置1.4 创建管理员账户和设置密码2. 系统更新和补丁管理2.1 定期更新操作系统和安全补丁2.2 确保使用合法和可信的软件源3. 防火墙设置3.1 启用防火墙3.2 配置适当的规则以限制网络访问3.3 监控防火墙日志以及及时处理异常情况4. 安全设置4.1 禁用不必要的服务和端口4.2 配置安全登录设置，包括SSH以及远程登录4.3 定期更新管理员密码4.4 设置账户锁定策略和密码策略4.5 配置主机防护工具，如SELinux或AppArmor5. 性能优化配置5.1 合理调整操作系统参数，优化内存、磁盘和网络性能 5.2 配置日志管理，避免过度记录日志5.3 监控系统资源使用情况，及时调整配置6. 安全备份和恢复策略6.1 定期备份操作系统和相关数据6.2 测试备份和恢复策略的有效性6.3 存储备份数据的安全策略，包括加密和存储位置7. 监控和告警设置7.1 配置系统监控工具，例如Zabbix、Nagios等7.2 设置合适的告警策略，及时发现和解决系统异常8. 日志管理8.1 配置日志审计规则，记录关键系统操作8.2 定期审查系统日志，发现异常情况并采取相应措施9. 系统维护流程9.1 定期执行系统维护任务，如磁盘碎片整理、日志清理等 9.2 管理接口和升级流程9.3 建立系统更新和维护的文档和计划10. 硬件和软件要求10.1 硬件要求：根据实际需求配置合适的硬件设备10.2 软件要求：操作系统版本和必要的软件组件11. 系统文档11.1 创建操作系统配置文档，包括所有配置的详细信息 11.2 更新文档以反映系统的变化本文档涉及附件：无本文所涉及的法律名词及注释：1. 操作系统安装：指在计算机上安装并配置操作系统的过程。

Linux系统安全加固配置规范目录1、目的 (4)2、适用范围 (4)3、具体设置 (4)1、目的本方案明确Linux系统安全配置基本要求；通过实施本配置方案，建立Linux系统安全基线。

2、适用范围本方案适用于Cent OS 系统。

3、具体设置3.1物理安全3.1.1设置服务器BIOS密码且修改引导次序，禁止从软驱、光驱、USB方式启动系统。

3.2系统安装3.2.1系统安装镜像应来自官方网站，安装系统前应对安装镜像进行完整性校验，软件应按需安装；3.2.2系统安装时应设置GRUB引导密码；3.2.3系统安装毕后使用官方源进行更新，运行#yum update待更新软件名，应对已知高危漏洞进行修补。

漏洞信息参考CVE漏洞库或Bugtraq 漏洞库；3.2.4系统更新完毕后，运行#chkconfig --level 35 yum-update off关闭系统自动更新服务。

3.2.5运行#rpm –qa > /var/5173/rpmlist，记录系统软件安装列表信息。

3.3账号口令3.3.1按照用户分配账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享；根据系统要求及业务需求，建立多用户组，将用户账号分配到相应的用户组；3.3.2编辑/etc/pam.d/system-auth，禁止空口令用户登陆，将以下字段auth sufficient pam_unix.so nullok try_first_passpassword sufficient pam_unix.so md5 shadow nulloktry_first_pass use_authtok改为auth sufficient pam_unix.so try_first_passpassword sufficient pam_unix.so md5 shadowtry_first_pass use_authtok3.3.3编辑/etc/login.defs，修改口令长度、口令生存周期、口令过期告警策略，修改字段如下：PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 8PASS_WARN_AGE 10注：策略更改后对新建用户有效，口令过期后无法登陆系统，可以运行#chage -M 90 –W 10 username单独修改某一账号口令有效期。