还剩10页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
平安配置基线(新编)Linux系统平Li安n配ux置基线中国移动通信有限公司管理信息系统部2023年3月版本版本限制信息更新日期更新人审批人VI.0创建2023年1月备注
1.若此文档须要日后更新,请创建人填写版本限制表格,否则删除版本限制表格目录第第1章章概述
11.1目的错误!未定义书签
1.2适用范围错误!未定义书签
1.3适用版本错误!未定义书签
1.4实施判定依据若返回值非空,则低于平安要求;备注查找任何人都有写权限的文件平安基线项目名称平安基线项目名称操作系统Linux文件写权限平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-06nt$2};do find$PART-nouser-o-nogroup-print done留意不用管/dev书目下的那些文件基线符合性判定依据基线符合性判定依据若返回值非空,则低于平安要求;备注补充操作说明发觉没有属主的文件往往就意味着有黑客入侵你的系统了不能允许没有主子的文件存在假如在系统中发觉了没有主子的文件或书目,先查看它的完整性,假如一切正常,给它一个主子有时候卸载程序可能会出现一些没有主子的文件或书目,在这种状况下可以把这些文件和书目删除掉Find/-nouser onogroup
2.
2.8检查异样隐含文件平安基线项目名称平安基线项目名称操作系统Linux隐含文件平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-08平安基线项文件系统-检查异样隐含文件说明检测操作步骤检测操作步骤用find程序可以查找到这些隐含文件例如#find/-name..*-print xdev#find/-name*-print-xdev|cat-v同时也要留意象.xx和.mail这样的文件名的(这些文件名看起来都很象正常的文件名)基线符合性判定依据基线符合性判定依据若返回值非空,则低于平安要求;备注补充操作说明在系统的每个地方都要查看一下有没有异样隐含文件(点号是起始字符的,用1S吩咐看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文检测操作步骤检测操作步骤执行吩咐more/etc/syslog.conf查看参数authpriv值基线符合性判定依据基线符合性判定依据若未对全部登录事务都记录,则低于平安要求;备注
3.2审计
3.
2.1Syslog.conf的配置审核平安基线项目名称平安基线项目名称操作系统Linux配置审计平安基线要求项平安基线编号平安基线编号SBL-Linux-03-02-01平安基线项说明平安基线项说明日志审计-Syslog.conf的配置审核检测操作步骤检测操作步骤执行more/etc/syslog.conf,查看是否设置了下列项kern,warning;*,err;authpriv.none\t@loghost*.info;mail,none;authpriv.none;cron.none\t@loghostemerg\t@loghost local
7.*\t@loghost基线符合性若未设置,则低于平安要求;判定依据备注补充操作说明建议配置特地的日志服务器,加强日志信息的异地同步备份第第4章系统文件
4.1系统状态
4.
1.1系统core dump状态平安基线项目名称平安基线项目名称操作系统Linux core dump状态平安基线要求项平安基线编号平安基线编号SBL-Linux-04-01-01平安基线项说明平安基线项说明系统文件-系统core dump状态检测操作步骤检测操作步骤执行more/etc/security/limits.conf检查是否包含下列项*soft core0*hard core0基线符合性判定依据基线符合性判定依据若不存在,则低于平安要求备注补充操作说明core dump中可能包括系统信息,易被入侵者利用,建议关闭第第5章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查,依据谛视结果修订标准,并颁发执行错误!未定义书签
1.5例外条款错误!未定义书签第第2章章账号管理、认证授权
22.1账号
2.
1.1用户口令设置
22.
1.2root用户远程登录限制
2.
1.3检查是否存在除root之外UID为0的用户
2.
1.4root用户环境变量的平安性
2.2认
2.
2.1远程连接的平安性配置
442.
2.2用户的umask平安配置
2.
2.3重要书目和文件的权限设置
52.
2.4查找未授权的SUID/SGID...文件
52.
2.5检查任何人都有写权限的书目
62.
2.6查找任何人都有写权限的文件
62.
2.7检查没有属主的文件
72.
2.8检查异样隐含文件7第第3章章日志审计
3.1日志
93.
1.1syslog登录事务记录
3.2审计
93.
2.1Syslog.conf的配置审核
114.1态
114.
1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统平安性设置标准,本文档旨在指导系统管理人员或平安检查人员进行LINUX操作系统的平安合规性检查和配置
1.2适用范围本配置标准的运用者包括服务器系统管理员、应用管理员、网络平安管理员本配置标准适用的范围包括中国移动总部和各省公司信息化部门维护管理的LINUX服务器系统
1.3适用版本LINUX系列服务器;
1.4实施本标准的说明权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应刚好反馈本标准发布之日起生效
1.5例外条款欲申请本标准的例外条款,申请人必需打算书面申请文件,说明业务需求和缘由,送交中国移动通信有限公司管理信息系统部进行审批备案第第2章账号管理、认证授权
2.1账号
2.
1.1用户口令设置平安基线项目名称平安基线项目名称操作系统Linux用户口令平安基线要求项平安基线编号平安基线编号SBL-Linux-02-01-01平安基线项说明平安基线项说明帐号与口令-用户口令设置检测操作步骤检测操作步骤
1、询问管理员是否存在如下类似的简洁用户密码配置,比如root/root,test/test,root/rootl
2342、执行more/etc/login.defs,检查PASS MAXDAYS/PASSMIN LEN/PASS MINDAYS/PASS WARNAGE参数
3、执行awk-F:($2二){print$1}/etc/shadow,检查是否存在空口令账号基线符合性判定依据基线符合性判定依据建议在/etc/login.defs文件中配置:PASS_MIN_LEN=6不允许存在简洁密码,密码设置符合策略,如长度至少为6不存在空口令账号备注usermod-s/sbin/nologin binpasswd-1bin awk-F:($2=二){print$1},/etc/shadow
2.
1.2root用户远程登录限制平安基线项目名称平安基线项目名称操作系统Linux远程登录平安基线要求项平安基线编号平安基线编号SBL-Linux-02-01-02平安基线项说明平安基线项说明帐号与口令-root用户远程登录限制检测操作步骤检测操作步骤执行more/etc/securetty,检查Console参数基线符合性判定依据基线符合性判定依据建议在/etc/securetty文件中配置CONSOLE备注vi/etc/ssh/sshd_config PermitRootLoginno#service sshdrestart
2.
1.3检查是否存在除root之外UID为为0的用户平安基线项目名称平安基线项目名称操作系统Linux超级用户策略平安基线要求项平安基线编号平安基线编号SBL-Linux-02-01-03平安基线项说明平安基线项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤检测操作步骤执行awk-F:($3=二0){print$1}/etc/passwd基线符合性判定依据基线符合性判定依据返回值包括root以外的条目,则低于平安要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为
02.
1.4root用户环境变量的平安性平安基线项目名称平安基线项目名称操作系统Linux超级用户环境变量平安基线要求项平安合性判定依据基线符合性判定依据返回值包含以上条件,则低于平安要求;备注补充操作说明确保root用户的系统路径中不包含父书目,在非必要的状况下,不应包含组权限为777的书目echo$PATH
2.2认证远程连接的平安性配置平安基线项目名称平安基线项目名称操作系统Linux远程连接平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-01平安基线项说明平安基线项说明帐号与口令-远程连接的平安性配置检测操作步骤检测操作步骤执行find/-name.netrc,检查系统中是否有.netrc文件,执行find/-name.rhosts,检查系统中是否有.rhosts文件cat/etc/,rhosts cat/etc/hosts.equiv基线符合性判定依据基线符合性判定依据返回值包含以上条件,则低于平安要求;备注补充操作说明如无必要,删除这两个文件
2.
2.2用户的umask平安配置平安基线项目名称平安基线项目名称操作系统Linux用户umask平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-02平安基线项说明平安基线项说明帐号与口令-用户的umask平安配置检测操作步骤检测操作步骤执行more/etc/profile more/etc/csh.login more/etc/csh.cshrc more/etc/bashrc检查是否包含umask值基线符合性判定依据基线符合性判定依据umask值是默认的,则低于平安要求备注补充操作说明建议设置用户的默认umask=077Vi/etc/profileVi$H0ME/bash_profile
2.
2.3重要书目和文件的权限设置平安基线项目名称平安基线项目名称操作系统Linux书目文件权限平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-03平安基线项说明平安基线项说明文件系统-重要书目和文件的权限设置检测操作步骤检测操作步骤执行以下吩咐检查书目和文件的权限设置状况:Is1/etc/Is1/etc/rc.d/init.d/Is1/tmp Is1/etc/inetd.conf Is1/etc/passwd Is1/etc/shadow Is1/etc/group Is1/etc/security Is1/etc/services Is-1/etc/rc*.d基线符合性判定依据基线符合性判定依据若权限过低,则低于平安要求;备注补充操作说明对于重要书目,建议执行如下类似操作#chmod-R750/etc/rc.d/init.d/*这样只有root可以读、写和执行这个书目下的脚本
2.
2.4查找未授权的SUID/SGID文件平安基线项目名称平安基线项目名称操作系统Linux SUID/SGID文件平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-04平安基线项文件系统一查找未授权的SUID/SGID文件说明检测操作步骤比suid/sgid文件列表,以便能够刚好发觉可疑的后门程序检查任何人都有写权限的书目平安基线项目名称平安基线项目名称操作系统Linux书目写权限平安基线要求项平安基线编号平安基线编号SBL-Linux-02-02-05平安基线项说明平安基线项说明文件系统-检查任何人都有写权限的书目检测操作步骤检测操作步骤在系统中定位任何人都有写权限的书目用下面的吩咐for PARTin awk$3=二ext2||$3—ext3\{print$2}/etc/fstab;do find$PART-xdev-type d\-perm-0002-a!-perm-1000\-print Done基线符合性判定依据基线符合性。