Linux操作系统安全配置基线培训.docx

Linux操作系统平安配置基线培训 平安配置要求7.2 口令管理-口令更改最小间隔 SBL- System -Linux-02-02平安判定依据 平安判定依据 备注 口令更改最小间隔平安基线要求项设置口令更改最小间隔天数，防止口令频繁更改，推荐值为1-6 天 cat /etc/login.defs | grep PASS_MIN_DAYS返回值如果为0 ,说明不符合平安要求。 PASS_MIN_DAYS默认值为0 ,说明随时可以修改口令。 D Red Hat p CentOS p Debian 平安配置要求7.2 口令管理-口令最小长度 平安基线编号平安基线名称 平安基线要求SBL- System -Linux-02-03 口令最小长度平安基线要求项 口令最小长度不少于8个字符 检测操作参考平安判定依据 备注cat /etc/login.defs | grep PASS_MIN_LEN 返回值如果小于8 ,说明不符合平安要求。 PASS_MIN_DAYS默认值为0 ,说明随时可以修改口 令。 适用性p Red Hat p CentOS p Debian 10 平安配置要求7.2 口令管理-口令过期前警告天数 平安基线名称 SBL- System -Linux-02-04口令过期前警告平安基线要求项 检测操作参考 系统在口令过期前多少天发出修改口令的警告信息给用户，推荐值为 15天cat /etc/login.defs | grep PASS_WARN_AGE 平安判定依据 返回值如果小于15 ,说明不符合平安要求。 适用性 D Red Hat p CentOS p Debian 11 平安配置要求7. 3认证授权-重要文件权限设置 SBL- System -Linux-03-01 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 重要文件权限平安基线要求项/etc/passwd 的默认权限为-rw-r--r--,即 644 /etc/shadow 的默认权限为-r,即 400 ( Red Hat Linux )/etc/shadow 的默认权限为，即 000 ( CentOS ) /etc/shadow 的默认权限为-rw-r,即 640 ( Debian )/etc/group 的默认权限为-rw-r--r--,即 644 /etc/services 的默认权限为-rw-r--r--,即 644Is -I /etc/passwd Is -I /etc/shadowIs -I /etc/group Is -I /etc/services返回值的权限如果大于平安基线要求中的权限，说明不符合平安要求。 D Red Hat p CentOS p Debian12 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7. 3认证授权-重要文件夹权限设置SBL- System -Linux-03-02 重要文件权限平安基线要求项/etc的默认权限为drwxr-xr-x ,即755 /etc/security 的默认权限为 drwxr-xr-x ,即 755/etc/rc*.d/的默认权限为 drwxr-xr-x ,即 755 Is -Id /etcIs -Id /etc/security Is -Id /etc/rc*.d返回值的权限如果大于平安基线要求中的权限，说明不符合平安要求。 D Red Hat b CentOS D Debian13 平安配置要求 7.3认证授权-umask平安管理（可选）SBL- System -Linux-03-03 平安基线名称umask平安基线要求项 检测操作参考 平安判定依据 控制用户缺省访问权限 cat /etc/profile | grep -i umaskcat /etc/csh.login | grep -i umask （ Debian 不适用） cat /etc/csh.cshrc | grep -i umask （ Debian 不适用） cat /etc/bashrc | grep -i umask （ Debian 不适用） cat /etc/login.defs | grep -i umask检测上述文件中是否存在umask值的设定： 1）在Red Hat Linux与CentOS中,系统管理员默认umask=022 ,普通用户默认 umask=002 ,使用命令umask查看系统当前的umask值，如果返回值显示的umask值 权限大于默认权限，说明不符合平安要求； 2 ）在Debian中，系统管理员和普通用户默认umask=022，使用命令umask查看系统当 前的umask值，如果返回值显示的umask值权限大于默认权限,说明不符合平安要求; D Red Hat p CentOS p Debian 14 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7. 4日志审计-syslog日志审计SBL- System -Linux-04-01 syslog日志审计平安基线要求项启用syslog系统日志审计功能 cat /etc/syslog.conf | grep authpriv.*返回值如果不为authpriv.* /var/log/secure ,说明不符合平安要求。 p Red Hat p CentOS o Debian15 平安配置要求7. 5远程维护-远程登录权限管理 SBL- System -Linux-05-01远程登录权限管理平安基线要求项 建议限制root用户远程登录，如果远程执行管理员权限操作，先以 普通用户远程登录后，切换到root执行相应操作 cat /etc/ssh/sshd_config | grep PermitRootLogin | head -n 1如果返回值显示PermitRootLogin no ,说明已经限制root通过ssh 、一 匹程登录；如果显示PermitRootLogin yes ,说明root可以用过ssh 远 程登录，不符合平安要求。 p Red Hat p CentOS p Debian 16 平安基线文档架构说明❹文档架构说明 Linux平安配置要求 平安配置要求7. 5远程维护-远程登录方式管理 SBL- System -Linux-05-02平安基线名称 平安基线要求 平安基线名称 平安基线要求 远程登录方式管理平安基线要求项建议远程登录管理时使用平安的SSH协议，而不使用明文传输 的 Telnet协议netstat -anupte | grep 22( Red Hat Linux / CentOS ) 检测操作参考 netstat -anupte | grep 23( Red Hat Linux / CentOS )netstat -an | grep 22( Debian ) netstat -an | grep 23( Debian )如果返回值显示22 口端口，没有显示23号端口 ,说明SSH开 启； Telnet关闭，符合平安要求。 D Red Hat p CentOS p Debian 17 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7. 6系统服务-修改SNMP默认密码SBL- System -Linux-06-01 SNMP默认密码平安基线要求项如需启用SNMP服务,那么修改默认SNMP Community String cat /etc/snmp/snmpd.conf ,找至I」# sec.name source community,其下一行最后一个字段即为Community String 如果返回值显示Community String为public ,说明其为默认 SNMP服务密码，不符合平安要求。 D Red Hat p CentOS p Debian18 平安配置要求7. 6 系统服务-管理 xinetd based services （可选） 平安基线编号平安基线名称 SBL- System -Linux-06-02 xinetd平安基线要求项xinetd based services 启动设置为 off 检测操作参考平安判定依据 适用性chkconfig -list 如果返回值显示如下： chargen-dgram:off chargen-stream:off daytime-dgram:off daytime-stream:off discard-dgram:off discard-stream:off echo-dgram:off echo-stream:off eklogin:off ekrb5-telnet:offgssftp:off klogin:off krb5-telnet:off kshelkoffrmcp:off rsyncioff tcpmux-servenoff tftp:off time-dgram:off time-stream:off 说明符合平安要求。 D Red Hat p CentOS p Debian19 平安配置要求 7.6 系统服务-服务与端口平安管理SBL- System -Linux-06-03 平安基线名称 服务与端口管理平安基线要求项 关闭不必要的服务与端口 检测操作参考 平安判定依据 chkconfig --list 1）系统管理员列出系统所必要的服务列表； 2）将服务列表与命令运行结果做比照，如果发现系统服务外多余的 与运维无关的服务，说明不符合平安要求。 适用性 p Red Hat p CentOS o Debian 20 平安配置要求 7.7 系统服务-删除潜在危险文件SBL- System -Linux-07-01 平安基线名称潜在危险文件平安基线要求项 .rhosts , metre等文件都具有潜在的危险，建议删除或更名检测操作参考 find / -name .rhosts find / -name .netre平安判定依据 返回值如果显示.rhosts或metre的路径，那么文件存在,说明不符合 平安要求。 适用性p Red Hat p CentOS p Debian 21 谢谢! 22 文档架构说明1引言 平安基线文档架构说明❹^本染构邈 Linux平安配置要求 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7.1账户管理-检测UID为0账户SBL- System -Linux-01-01 超级账户平安基线要求项保证只有root账户的UID为0 awk -F: '($3 == 0) { print $1}' /etc/passwd返回值如果显示除root以外的账户，说明不符合平安要 求。 D Red Hat p CentOS b Debian 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7.1账户管理-root账户环境变量SBL- System -Linux-01-02 root账户环境变量平安基线要求项root账户环境变量路径中不应该包含" echo $PATH | sed 's|:|\n|g| | grep返回值如果显示"，说明不符合平安要求。 D Red Hat D CentOS p Debian 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7.1 账户管理-检测空口令账户SBL- System -Linux-01-03 空口令账户平安基线要求项系统中不能存在空口令账户 awk -F: '($2 == "") { print $1}' /etc/shadow返回值如果显示账户，即为空口令的账户，说明不符合平安要求。 D Red Hat D CentOS p Debian 平安配置要求7.1账户管理-删除与工作无关的账户 平安基线编号平安基线名称 SBL- System -Linux-01-04账户整改平安基线要求项 删除与工作无关的账户，提高系统账户平安检测操作参考 平安判定依据cut -d: -fl /etc/passwd 将命令返回结果此系统管理员提供的账户列表比照，查看是否有与运 维工作无关的账户，如果有此类账户，说明不符合平安要求。 无关账户主要指测试账户、共享账户、长期不用账户（半年以上）等。 适用性D Red Hat p CentOS p Debian 平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据 适用性 平安配置要求 7.2 口令管理-口令生存期SBL- System -Linux-02-01 口令生存期平安基线要求项账户口令生存期最长为90天 cat /etc/login.defs | grep PASS_MAX_DAYS返回值如果大于90 ,说明不符合平安要求。 D Red Hat p CentOS p Debian