1、Linux操作系统平安配置基线培训平安配置要求7.2 口令管理-口令更改最小间隔SBL- System -Linux-02-02平安判定依据平安判定依据备注口令更改最小间隔平安基线要求项设置口令更改最小间隔天数,防止口令频繁更改,推荐值为1-6 天cat /etc/login.defs | grep PASS_MIN_DAYS返回值如果为0 ,说明不符合平安要求。PASS_MIN_DAYS默认值为0 ,说明随时可以修改口令。D Red Hat p CentOS p Debian平安配置要求7.2 口令管理-口令最小长度平安基线编号平安基线名称平安基线要求SBL- System -Linux-0
2、2-03 口令最小长度平安基线要求项 口令最小长度不少于8个字符检测操作参考平安判定依据备注cat /etc/login.defs | grep PASS_MIN_LEN返回值如果小于8 ,说明不符合平安要求。PASS_MIN_DAYS默认值为0 ,说明随时可以修改口 令。适用性p Red Hat p CentOS p Debian10平安配置要求7.2 口令管理-口令过期前警告天数平安基线名称SBL- System -Linux-02-04口令过期前警告平安基线要求项检测操作参考系统在口令过期前多少天发出修改口令的警告信息给用户,推荐值为 15天cat /etc/login.defs | g
3、rep PASS_WARN_AGE平安判定依据返回值如果小于15 ,说明不符合平安要求。适用性D Red Hat p CentOS p Debian11平安配置要求7. 3认证授权-重要文件权限设置SBL- System -Linux-03-01平安基线编号平安基线名称平安基线要求检测操作参考平安判定依据适用性重要文件权限平安基线要求项/etc/passwd 的默认权限为-rw-r-r-,即 644/etc/shadow 的默认权限为-r,即 400 ( Red Hat Linux )/etc/shadow 的默认权限为,即 000 ( CentOS )/etc/shadow 的默认权限为-r
4、w-r,即 640 ( Debian )/etc/group 的默认权限为-rw-r-r-,即 644/etc/services 的默认权限为-rw-r-r-,即 644Is -I /etc/passwdIs -I /etc/shadowIs -I /etc/groupIs -I /etc/services返回值的权限如果大于平安基线要求中的权限,说明不符合平安要求。D Red Hat p CentOS p Debian12平安基线编号平安基线名称平安基线要求检测操作参考平安判定依据适用性平安配置要求7. 3认证授权-重要文件夹权限设置SBL- System -Linux-03-02重要文件权
5、限平安基线要求项/etc的默认权限为drwxr-xr-x ,即755/etc/security 的默认权限为 drwxr-xr-x ,即 755/etc/rc*.d/的默认权限为 drwxr-xr-x ,即 755Is -Id /etcIs -Id /etc/securityIs -Id /etc/rc*.d返回值的权限如果大于平安基线要求中的权限,说明不符合平安要求。D Red Hat b CentOS D Debian13平安配置要求7.3认证授权-umask平安管理(可选)SBL- System -Linux-03-03平安基线名称umask平安基线要求项检测操作参考平安判定依据控制用户
6、缺省访问权限cat /etc/profile | grep -i umaskcat /etc/csh.login | grep -i umask ( Debian 不适用)cat /etc/csh.cshrc | grep -i umask ( Debian 不适用) cat /etc/bashrc | grep -i umask ( Debian 不适用) cat /etc/login.defs | grep -i umask检测上述文件中是否存在umask值的设定:1)在Red Hat Linux与CentOS中,系统管理员默认umask=022 ,普通用户默认 umask=002 ,使用
7、命令umask查看系统当前的umask值,如果返回值显示的umask值 权限大于默认权限,说明不符合平安要求;2 )在Debian中,系统管理员和普通用户默认umask=022,使用命令umask查看系统当 前的umask值,如果返回值显示的umask值权限大于默认权限,说明不符合平安要求;D Red Hat p CentOS p Debian14平安基线编号平安基线名称平安基线要求检测操作参考平安判定依据适用性平安配置要求7. 4日志审计-syslog日志审计SBL- System -Linux-04-01syslog日志审计平安基线要求项启用syslog系统日志审计功能cat /etc/s
8、yslog.conf | grep authpriv.*返回值如果不为authpriv.* /var/log/secure ,说明不符合平安要求。p Red Hat p CentOS o Debian15平安配置要求7. 5远程维护-远程登录权限管理SBL- System -Linux-05-01远程登录权限管理平安基线要求项建议限制root用户远程登录,如果远程执行管理员权限操作,先以 普通用户远程登录后,切换到root执行相应操作cat /etc/ssh/sshd_config | grep PermitRootLogin | head -n 1如果返回值显示PermitRootLogin
9、 no ,说明已经限制root通过ssh 、一匹程登录;如果显示PermitRootLogin yes ,说明root可以用过ssh 远程登录,不符合平安要求。p Red Hat p CentOS p Debian16平安基线文档架构说明文档架构说明Linux平安配置要求平安配置要求7. 5远程维护-远程登录方式管理SBL- System -Linux-05-02平安基线名称平安基线要求平安基线名称平安基线要求远程登录方式管理平安基线要求项建议远程登录管理时使用平安的SSH协议,而不使用明文传输 的Telnet协议netstat -anupte | grep 22( Red Hat Linux
10、 / CentOS )检测操作参考netstat -anupte | grep 23( Red Hat Linux / CentOS )netstat -an | grep 22( Debian )netstat -an | grep 23( Debian )如果返回值显示22 口端口,没有显示23号端口 ,说明SSH开 启;Telnet关闭,符合平安要求。D Red Hat p CentOS p Debian17平安基线编号平安基线名称平安基线要求检测操作参考平安判定依据适用性平安配置要求7. 6系统服务-修改SNMP默认密码SBL- System -Linux-06-01SNMP默认密码平
11、安基线要求项如需启用SNMP服务,那么修改默认SNMP Community Stringcat /etc/snmp/snmpd.conf ,找至I# sec.name source community,其下一行最后一个字段即为Community String如果返回值显示Community String为public ,说明其为默认 SNMP服务密码,不符合平安要求。D Red Hat p CentOS p Debian18平安配置要求7. 6 系统服务-管理 xinetd based services (可选)平安基线编号平安基线名称SBL- System -Linux-06-02 xine
12、td平安基线要求项xinetd based services 启动设置为 off检测操作参考平安判定依据适用性chkconfig -list如果返回值显示如下:chargen-dgram:off chargen-stream:off daytime-dgram:off daytime-stream:off discard-dgram:off discard-stream:off echo-dgram:off echo-stream:off eklogin:off ekrb5-telnet:offgssftp:off klogin:offkrb5-telnet:off kshelkoffrmcp
13、:off rsynciofftcpmux-servenoff tftp:off time-dgram:off time-stream:off 说明符合平安要求。D Red Hat p CentOS p Debian19平安配置要求7.6 系统服务-服务与端口平安管理SBL- System -Linux-06-03平安基线名称服务与端口管理平安基线要求项关闭不必要的服务与端口检测操作参考平安判定依据chkconfig -list1)系统管理员列出系统所必要的服务列表;2)将服务列表与命令运行结果做比照,如果发现系统服务外多余的 与运维无关的服务,说明不符合平安要求。适用性p Red Hat p
14、CentOS o Debian20平安配置要求7.7 系统服务-删除潜在危险文件SBL- System -Linux-07-01平安基线名称潜在危险文件平安基线要求项.rhosts , metre等文件都具有潜在的危险,建议删除或更名检测操作参考find / -name .rhosts find / -name .netre平安判定依据返回值如果显示.rhosts或metre的路径,那么文件存在,说明不符合 平安要求。适用性p Red Hat p CentOS p Debian21谢谢!22文档架构说明1引言平安基线文档架构说明本染构邈Linux平安配置要求平安基线编号平安基线名称平安基线要求
15、检测操作参考平安判定依据适用性平安配置要求7.1账户管理-检测UID为0账户SBL- System -Linux-01-01超级账户平安基线要求项保证只有root账户的UID为0awk -F: ($3 = 0) print $1 /etc/passwd返回值如果显示除root以外的账户,说明不符合平安要 求。D Red Hat p CentOS b Debian平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据适用性平安配置要求7.1账户管理-root账户环境变量SBL- System -Linux-01-02root账户环境变量平安基线要求项root账户环境变量路径中不应该
16、包含echo $PATH | sed s|:|n|g| | grep返回值如果显示,说明不符合平安要求。D Red Hat D CentOS p Debian平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据适用性平安配置要求7.1 账户管理-检测空口令账户SBL- System -Linux-01-03空口令账户平安基线要求项系统中不能存在空口令账户awk -F: ($2 = ) print $1 /etc/shadow返回值如果显示账户,即为空口令的账户,说明不符合平安要求。D Red Hat D CentOS p Debian平安配置要求7.1账户管理-删除与工作无关的
17、账户平安基线编号平安基线名称SBL- System -Linux-01-04账户整改平安基线要求项删除与工作无关的账户,提高系统账户平安检测操作参考平安判定依据cut -d: -fl /etc/passwd将命令返回结果此系统管理员提供的账户列表比照,查看是否有与运 维工作无关的账户,如果有此类账户,说明不符合平安要求。无关账户主要指测试账户、共享账户、长期不用账户(半年以上)等。适用性D Red Hat p CentOS p Debian平安基线编号 平安基线名称 平安基线要求 检测操作参考 平安判定依据适用性平安配置要求7.2 口令管理-口令生存期SBL- System -Linux-02-01口令生存期平安基线要求项账户口令生存期最长为90天cat /etc/login.defs | grep PASS_MAX_DAYS返回值如果大于90 ,说明不符合平安要求。D Red Hat p CentOS p Debian