LINUX操作系统配置规范

Linux 安全配置规范 2017年 3月第一章概述1.1适用范围适用于广东南华智闻科技有限公司使用 Linux 操作系统的设备。

本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

第二章安全配置要求2.1账号编号:1编号:42.2口令编号:1编号:22.3授权编号:1编号:2(可选编号:3(可选2.4补丁安全编号:12.5日志安全要求编号:1编号:22.6不必要的服务、端口编号:12.7系统 Banner 设置其次删除"/etc"目录下的 和 issue 文件： # mv /etc/issue /etc/issue.bak # mv /etc/ /etc/.bak 检测方法查看 Cat /etc/rc.d/rc.local 注释住处信息附表：端口及服务服务名称 daytime time echo discard chargen ftp telnet 端口 13/tcp 13/udp 37/tcp 37/udp 7/tcp 7/udp 9/tcp 9/udp 19/tcp 19/udp 21/tcp 23/tcp 应用说明RFC867 白天协议 RFC867 白天协议时间协议时间协议 RFC862_回声协议RFC862_回声协议 RFC863 废除协议 RFC864 字符产生协议文件传输协议(控制虚拟终端协议关闭方法 chkconfig daytime off chkconfig daytime off chkconfig time chkconfig echo off off off chkconfig time-udp off chkconfig echo-udp chkconfig discard off chkconfig discard-udp off chkconfig chargen off chkconfig chargen-udp off chkconfig gssftp off chkconfig krb5-telnet off 根据情况选择开放根据情况选择开放建议关闭根据情况选择开放根据情况选择开放根据情况选择开放根据情况选择开放根据情况选择开放根据情况选择开放建议关闭建议关闭强烈建议关建议关闭处置建议 sendmail 25/tcp 简单邮件发送协议 chkconfig sendmail off 53/udp nameserver 53/tcp apache login shell exec ntalk ident printer 80/tcp 513/tcp 514/tcp512/tcp 518/udp 113/tcp 515/tcp 域名服务域名服务 HTTP 万维网发布服务远程登录远程命令, no passwd used remote execution, passwd required new talk, conversation auth 远程打印缓存 chkconfig named off chkconfig named off chkconfig httpd off chkconfig login chkconfig shell chkconfig exec chkconfig ntalk chkconfig ident off off off off off chkconfig printer off闭 bootps tftp kshell klogin portmap 67/udp 68/udp 69/udp 544/tcp 543/tcp 111/tcp 引导协议服务端引导协议客户端普通文件传输协议 Kerberos remote shell -kfall Kerberos rlogin -kfall 端口映射简单网络管理协议（Agent）简单网络管理协议（Agent）简单网络管理协议（Traps）系统日志服务远程打印缓存 NFS 远程文件系统 NFS 远程文件系统 rpc 服务 rpc 服务 chkconfig bootps chkconfig bootps chkconfig tftp chkconfig kshell chkconfig klogin off off off off off off 建议关闭建议关闭强烈建议关闭建议关闭建议关闭根据情况选择开放根据情况选择开放根据情况选择开放 off 根据情况选择开放建议保留强烈建议关闭强烈建议关闭强烈建议关闭 off off 强烈建议关闭强烈建议关闭 chkconfig portmap snmp 161/udp chkconfig snmp off snmp trap 161/tcp chkconfig snmp off snmp-trap syslogd lpd162/udp 514/udp 515/tcp 2049/tcp chkconfig snmptrap chkconfig syslog chkconfig lpd chkconfig nfs chkconfig nfs off off off off nfs 2049/udp 动态端口动态端口 nfs.lock ypbind chkconfig nfslock chkconfig ypbind。

简述安装linux系统的硬件要求。

安装Linux系统通常需要满足以下硬件要求：
1. 处理器：Linux是基于内核处理的操作系统，建议至少使用1 GHz的
处理器速度以保证运行流畅。

2. 内存：建议至少有2 GB的内存来运行Linux系统。

如果要运行特别
要求高的应用程序，则需要更多的内存。

3. 存储：至少需要10 GB的空间来安装Linux系统，但是建议使用至
少20 GB的磁盘空间来确保系统运行正常，并且可以存储额外的文件。

4. 显卡：Linux系统支持大多数显卡，但是如果需要运行需要高性能图
形的应用程序，则需要较高端的显卡。

5. 网络：Linux系统可以使用大多数网络硬件，包括以太网、Wi-Fi和
蓝牙。

设备需要具有适当的驱动程序才能与系统一起使用。

6. 固件：Linux支持各种固件，但需要使用适当的驱动程序才能与系统
一起使用。

总的来说，在选择硬件时，建议选择与Linux系统兼容的硬件，并且确保是最新版本的驱动程序，以确保系统可以平稳运行。

在安装过程中，需要注意以下几点：
1. 选择合适的Linux版本和发行版。

2. 检查硬件的兼容性。

3. 将Linux系统安装在单独的分区中，以便在需要时能更轻松地修复和管理系统。

总之，针对Linux系统，硬件要求与其他操作系统基本相同，但需要选择兼容性更好的硬件，并使用适当的驱动程序。

同时，在安装过程中，一些注意事项也需要遵循。

LINUX操作系统配置规范LINUX操作系统配置规范1.系统安装与基本配置1.1 硬件需求检查1.2 操作系统安装过程1.3 系统初始化设置1.4 安全性基本配置1.5 网络配置1.5.1 IP地质设置1.5.2 主机名设置1.5.3 DNS配置1.5.4 网关设置2.用户与权限管理2.1 用户账号管理2.1.1 账号创建2.1.2 账号权限设置2.1.3 账号密码管理2.2 用户组管理2.3 文件权限管理2.4 sudo权限配置2.5 远程登录管理2.5.1 SSH服务配置2.5.2 SSH登录限制设置3.系统服务管理3.1 服务管理基本概念3.2 服务的启动与停止3.3 服务设置开机自启动3.4 系统日志管理3.5 定时任务管理4.软件包管理4.1 软件包源配置4.2 软件包安装与升级4.3 软件包卸载4.4 软件包版本管理5.文件系统管理5.1 文件与目录基本操作5.2 文件与目录权限管理5.3 磁盘配额管理5.4 文件系统的挂载与卸载6.系统性能监测与调优6.1 系统资源监测工具6.2 系统性能调优6.3 系统启动时间优化6.4 系统内核参数优化7.系统安全与防护7.1 安全漏洞扫描7.2 防火墙配置与管理7.3 SELinux配置与管理7.4 入侵检测与防护附件：1.系统配置检查清单2.用户权限表3.服务开机自启动列表4.定时任务列表5.文件权限表6.系统网络架构图法律名词及注释：1.GPL（GNU通用公共许可证）：一种开放源代码许可证，允许用户自由地运行、复制、分发、学习、修改和改进软件。

2.SELinux（安全增强Linux）：一种强制访问控制（MAC）机制，用于提供更高级别的系统安全性，限制进程的操作权限。

3.防火墙：用于过滤网络流量、实施访问控制策略的软件或硬件设备，以保护计算机网络免受未授权访问、恶意代码或其他网络威胁的侵害。

4.入侵检测与防护：通过监测系统日志、网络流量等方式，及时发现并阻止恶意攻击、未经授权的访问和其他安全威胁。

Linux系统安全配置基线目录第1章概述 (1)1.1目的 (1)1。

2适用范围 (1)1。

3适用版本 (1)第2章安装前准备工作 (1)2。

1需准备的光盘 (1)第3章操作系统的基本安装 (1)3。

1基本安装 (1)第4章账号管理、认证授权 (2)4.1账号 (2)4。

1.1用户口令设置 (2)4。

1。

2检查是否存在除root之外UID为0的用户 (3)4.1。

3检查多余账户 (3)4。

1.4分配账户 (3)4.1。

5账号锁定 (4)4.1。

6检查账户权限 (5)4。

2认证 (5)4。

2.1远程连接的安全性配置 (5)4。

2。

2限制ssh连接的IP配置 (5)4.2.3用户的umask安全配置 (6)4.2.4查找未授权的SUID/SGID文件 (7)4。

2.5检查任何人都有写权限的目录 (7)4.2.6查找任何人都有写权限的文件 (8)4。

2。

7检查没有属主的文件 (8)4。

2。

8检查异常隐含文件 (9)第5章日志审计 (10)5.1日志 (10)5。

1.1syslog登录事件记录 (10)5.2审计 (10)5.2。

1Syslog。

conf的配置审核 (10)5。

2。

2日志增强 (11)5。

2。

3 ...................................................................................................... s yslog系统事件审计11第6章其他配置操作 (12)6.1系统状态 (12)6.1。

1系统超时注销 (12)6。

2L INUX服务 (12)6.2。

1禁用不必要服务 (12)第7章持续改进 (13)。

Linux安全配置规范适⽤于redhat、suse、fedroa、Linux 操作系统。

本规范明确了设备的基本配置安全要求，为设备⼯程验收和设备运⾏维护环节明确相关安全要求提供指南。

出⾃公众号：⼯程师江湖⼀. Linux企业版安全配置规范1.1 ⼝令帐号1.1.1 检查空⼝令帐号编号安全要求-系统-Linux配置-2.1.1要求内容检查系统帐号和⼝令，禁⽌使⽤空⼝令帐号操作指南：以root⾝份执⾏：# awk -F: '($2 == "") { print $1 }' /etc/shadow 检查空⼝令帐号#pwck 帐号检查# cat /etc/passwd# cat /etc/shadow# cat /etc/group对照检查结果，询问管理员有效帐号有⽆异常，有⽆弱密码，建议删除不必要帐户并修改简单密码为复杂密码检测⽅法：# awk -F: '($2 == "") { print $1 }' /etc/shadow 列出空密码帐号实施风险：可能影响某些管理维护的应⽤程序备注：1.1.2 检查Root帐号编号安全要求-系统-Linux配置-2.1.2要求内容检查系统帐号和⼝令，检查是否存UID为0的帐号操作指南：以root⾝份执⾏：# awk -F: '($3 == 0) { print $1 }' /etc/passwd 检查UID为0的帐号检测⽅法：# awk -F: '($3 == 0) { print $1 }' /etc/passwd 列出UID为0的帐号实施风险：可能影响某些管理维护的应⽤程序备注：1.1.3 检查帐号超时注销编号安全要求-系统-Linux配置-2.2.3要求内容应该设置帐号超时⾃动注销操作指南：以root⾝份执⾏：vi /etc/profile增加export TMOUT=600检测⽅法：# cat /etc/profile | grep TMOUT实施风险：可能影响某些管理维护的应⽤程序备注：1.1.4 root⽤户远程登录限制编号安全要求-系统-Linux配置-2.1.4要求内容限制root远程登录要求内容限制root远程登录操作指南：/etc/securetty⽂件中配置：CONSOLE = /dev/tty01检测⽅法：执⾏：more /etc/securetty，检查Console参数实施风险：可能影响某些管理维护的应⽤程序备注：1.1.5 检测密码策略编号安全要求-系统-Linux配置-2.1.5要求内容检查系统密码策略，是否符合必要的强度操作指南：以root⾝份执⾏：# vi /etc/login.defs建议设置参数如下：PASS_MAX_DAYS 180 最⼤⼝令使⽤⽇期PASS_MIN_LEN 8 最⼩⼝令长度PASS_WARN_AGE 30 ⼝令过期前警告天数#vi /etc/pam.d/system-authpassword required /lib/security/pam_cracklib.so retry=3type= minlen=8 difok=3最⼩⼝令长度设置为8检测⽅法：# cat /etc/login.defs#cat /etc/pam.d/system-auth实施风险：可能影响管理维护备注：1.1.6 检查Grub/Lilo密码编号安全要求-系统-Linux配置-2.1.6要求内容检查系统引导管理器是否设置密码检查⽅法使⽤命令“cat /etc/grub.conf|grep password”查看grub是否设置密码使⽤命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码操作指南为grub或lilo设置密码参考操作：vi /etc/grub.confdefault=1timeout=10splashimage=(hd0,7)/boot/grub/splash.xpm.gzpassword=123456title Fedora Core (2.4.22-1.2061.nptl)lockroot (hd0,7)实施风险：可能影响某些管理维护的应⽤程序1.2 系统服务1.2.1 关闭不需要的服务编号安全要求-系统-Linux配置-2.2.1要求内容禁⽤不必要的服务操作指南：以root⾝份执⾏# chkconfig --list (debian不⽀持)使⽤命令“chkconfig --level <init级别> <服务名>on|off|reset”设置服务在个init级别下开机是否启动检测⽅法：chkconfig –list检测⽅法：chkconfig –list查看是否有不需要的服务实施风险：可能影响应⽤备注：1.2.2 openssh安全配置编号安全要求-系统-Linux配置-2.2.2要求内容检查系统openssh安全配置，禁⽌使⽤协议1，和使⽤root直接登录操作指南：以root权限执⾏命令：# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_configOpenssh应禁⽌使⽤协议1,禁⽌root直接登录等，编辑sshd_config⽂件，设置：Protocol 2StrictModes yesPermitRootLogin noPrintLastLog yesPermitEmptyPasswords no检测⽅法：# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_config是否符合以上设置实施风险：⽆备注：1.2.3 SNMP团体字编号安全要求-系统-Linux配置-2.2.3要求内容如果打开了SNMP协议，snmp团体字设置不能使⽤默认的团体字操作指南：以root⾝份执⾏：#cat /etc/snmp/snmpd.conf应禁⽌使⽤public、private默认团体字，使⽤⽤户⾃定义的团体字，例如将以下设置中的public替换为⽤户⾃定义的团体字：com2sec notConfigUser default public如⽆必要，管理员应禁⽌使⽤snmp服务检测⽅法：#cat /etc/snmp/snmpd.conf实施风险：可能影响应⽤备注：1.2.4 禁⽤ctlraltdel组合键编号安全要求-系统-Linux配置-2.2.4要求内容禁⽤ctlr+alt+del组合键操作指南：检查系统是否禁⽤ctlraltdel组合键，以root⾝份执⾏以下命令：# vi /etc/inittab# grep –i ctrlaltdel /etc/inittab禁⽌ctrl+alt+del组合键，以root⾝份编辑/etc/inittab⽂件,注释如下⼀⾏后重起系统：ca::ctrlaltdel:/sbin/shutdown -t3 -r now检测⽅法：# grep –i ctrlaltdel /etc/inittab# ca::ctrlaltdel:/sbin/shutdown -t3 -r now （表⽰已经禁⽤）实施风险：需要重起系统，可能影响应⽤备注：1.2.5 检查root 路径编号安全要求-系统-Linux配置-2.2.5要求内容检查系统root⽤户环境变量path设置中是否包含”.”(root为了⽅便使⽤在他的当前路径末尾加了个点"."，存在安全隐患)操作指南：root⽤户环境变量path中不应包含当前⽬录”.“以root⾝份执⾏如下命令：# echo $PATH/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.检测⽅法：# echo $PATH实施风险：⽆备注：1.2.6 检查信任主机编号安全要求-系统-Linux配置-2.2.6要求内容关闭系统信任主机操作指南：．rhosts⽂件中存储的是可以直接远程访问本系统的主机及⽤户名。

LINUX操作系统配置规范LINUX操作系统配置规范一：引言本文档旨在为管理员提供一个详细的LINUX操作系统配置规范。

该规范旨在确保操作系统的稳定性、安全性和性能优化。

管理员应严格遵循该规范执行操作系统的配置。

二：操作系统安装和基础配置1. 系统安装1.1 准备安装介质和相关驱动程序1.2 执行操作系统安装1.3 设置主机名和网络配置1.4 创建管理员账户和设置密码2. 系统更新和补丁管理2.1 定期更新操作系统和安全补丁2.2 确保使用合法和可信的软件源3. 防火墙设置3.1 启用防火墙3.2 配置适当的规则以限制网络访问3.3 监控防火墙日志以及及时处理异常情况4. 安全设置4.1 禁用不必要的服务和端口4.2 配置安全登录设置，包括SSH以及远程登录4.3 定期更新管理员密码4.4 设置账户锁定策略和密码策略4.5 配置主机防护工具，如SELinux或AppArmor5. 性能优化配置5.1 合理调整操作系统参数，优化内存、磁盘和网络性能 5.2 配置日志管理，避免过度记录日志5.3 监控系统资源使用情况，及时调整配置6. 安全备份和恢复策略6.1 定期备份操作系统和相关数据6.2 测试备份和恢复策略的有效性6.3 存储备份数据的安全策略，包括加密和存储位置7. 监控和告警设置7.1 配置系统监控工具，例如Zabbix、Nagios等7.2 设置合适的告警策略，及时发现和解决系统异常8. 日志管理8.1 配置日志审计规则，记录关键系统操作8.2 定期审查系统日志，发现异常情况并采取相应措施9. 系统维护流程9.1 定期执行系统维护任务，如磁盘碎片整理、日志清理等 9.2 管理接口和升级流程9.3 建立系统更新和维护的文档和计划10. 硬件和软件要求10.1 硬件要求：根据实际需求配置合适的硬件设备10.2 软件要求：操作系统版本和必要的软件组件11. 系统文档11.1 创建操作系统配置文档，包括所有配置的详细信息 11.2 更新文档以反映系统的变化本文档涉及附件：无本文所涉及的法律名词及注释：1. 操作系统安装：指在计算机上安装并配置操作系统的过程。

linux操作系统安全配置内容
1. 更新操作系统：确保在系统中安装了最新的安全补丁和更新，以修复已知的漏洞和弱点。

2. 强密码策略：设置密码策略，要求用户使用强密码，包括至少8个字符，包含字母、数字和
特殊字符，并定期更改密码。

3. 用户权限管理：为每个用户分配适当的权限，并限制对敏感文件和系统配置的访问权限。

避
免使用管理员权限进行常规操作。

4. 防火墙设置：配置防火墙以限制网络流量，并只允许必要的端口和服务通过。

拒绝来自未知
来源或可疑IP地址的连接。

5. 安全审计：启用并配置安全审计工具，以跟踪对系统和文件的访问、登录尝试和其他安全事件。

6. 文件和目录权限：设置适当的文件和目录权限，以防止未经授权的用户访问和修改敏感文件。

7. 禁用不必要的服务和端口：禁用不必要的服务和端口，以减少攻击面。

8. 加密通信：对重要的网络通信采取加密措施，如使用SSL/TLS进行安全的远程登录、传输
和数据传输。

9. 安全日志管理：配置日志记录和监控系统，以及定期检查日志以发现潜在的安全问题。

10. 定期备份：定期备份系统和重要数据，以防止数据丢失和恶意破坏。

11. 安全性测试和漏洞扫描：进行定期的安全性测试和漏洞扫描，以发现并修复系统中的安全
漏洞。

12. 非必要软件和服务的删除：删除不必要的软件和服务，减少系统的攻击面。

13. 安全培训和意识提升：为用户提供安全培训和意识提升，教育他们遵循最佳的安全实践，
如不点击垃圾邮件的链接或下载未知来源的文件。

Linux安装部署规范文档编制人员：万诚编制部门：软件技术支持部模版文件版本： V1.0适用项目范围：所有文件修改记录表序修改人修改内容批准人生效日期版本号1 万诚创建 2012.9.26 V1.02345678910目 录1 说明............................................................................................................................................................ 4 文档目的 ........................................................................................................................................................ 4 文档约定 (4)2 安装前的准备工作 .................................................................................................................................... 4 操作系统版本 ................................................................................................................................................ 4 操作系统安装信息收集 (5)3 LINUX 操作系统的安装 .......................................................................................................................... 5 1. 安装语言的选择.................................................................................................................................... 5 2. 磁盘的划分规范.................................................................................................................................... 6 3. IP 地址及主机名的配置 ....................................................................................................................... 7 4. 时区的设定 ........................................................................................................................................... 9 5. 密码设定 ............................................................................................................................................... 9 6. 软件包的定制 ..................................................................................................................................... 10 7. 安装后的设置 ..................................................................................................................................... 12 内存配置规范 ..............................................................................................................错误！未定义书签。