中国电信Linux操作系统安全配置规范.doc

资源描述

保密等级：公开发放中国电信集团公司发布 2023-4实行 2023-4发布中国电信Linux操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom Q/CT 2339-2023 中国电信集团公司技术标准目录目录 I 前言 II 1 范围 1 2 规范性引用文献 1 3 缩略语 2 3.1 缩略语 2 4 安全配置规定 2 4.1 账号 2 4.2 口令 4 4.3 文献及目录权限 6 4.4 远程登录 7 4.5 补丁安全 9 4.6 日记安全规定 9 4.7 不必要的服务、端口 11 4.8 系统Banner设立 12 4.9 登陆超时时间设立 12 4.10 删除潜在危险文献 13 4.11 FTP设立 13 附录A：端口及服务 14 前言为了在工程验收、运营维护、安全检查等环节，规范并贯彻安全配置规定，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置规定。本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下：（1）AIX操作系统安全配置规范（2）HP-UX操作系统安全配置规范（3）Solaris操作系统安全配置规范（4）Linux操作系统安全配置规范（本标准）（5）Windows 操作系统安全配置规范（6）MS SQL server数据库安全配置规范（7）MySQL数据库安全配置规范（8）Oracle数据库安全配置规范（9）Apache安全配置规范（10）IIS安全配置规范（11）Tomcat安全配置规范（12）WebLogic安全配置规范本标准由中国电信集团公司提出并归口。 1　范围合用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本规定，合用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以内核版本2.6及以上为例，给出参考配置操作。 2　规范性引用文献 Linux操作系统配置规范符合下列规范性文献： GB/T22239-2023《信息安全技术信息系统安全等级保护基本规定》 YD/T 1732-2023《固定通信网安全防护规定》 YD/T 1734-2023《移动通信网安全防护规定》 YD/T 1736-2023《互联网安全防护规定》 YD/T 1738-2023《增值业务网—消息网安全防护规定》 YD/T 1740-2023《增值业务网—智能网安全防护规定》 YD/T 1758-2023《非核心生产单元安全防护规定》 YD/T 1742-2023《接入网安全防护规定》 YD/T 1744-2023《传送网安全防护规定》 YD/T 1746-2023《IP承载网安全防护规定》 YD/T 1748-2023《信令网安全防护规定》 YD/T 1750-2023《同步网安全防护规定》 YD/T 1752-2023《支撑网安全防护规定》 YD/T 1756-2023《电信网和互联网管理安全等级保护规定》 3　缩略语下列缩略语合用于本标准： FTP File Transfer Protocol 文献传输协议 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 4　安全配置规定 4.1　账号编号： 1 规定内容应按照不同的用户分派不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南 1、参考配置操作为用户创建账号： #useradd username #创建账号 #passwd username #设立密码修改权限： #chmod 750 directory #其中750为设立的权限，可根据实际情况设立相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分派不同的账号，设立不同的口令及权限信息等。 2、补充操作说明检测方法 1、鉴定条件可以登录成功并且可以进行常用操作； 2、检测操作使用不同的账号进行登录并进行一些常用操作； 3、补充说明编号： 2 规定内容应删除或锁定与设备运营、维护等工作无关的账号。操作指南 1、参考配置操作删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文献，用户名后加*LK* 2)将/etc/passwd文献中的shell域设立成/bin/false 3)#passwd -l username 只有具有超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保存原有密码。 2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。注：无关的账号重要指测试帐户、共享帐号、长期不用账号（半年以上未用）等检测方法 1、鉴定条件被删除或锁定的账号无法登录成功； 2、检测操作使用删除或锁定的与工作无关的账号登录系统； 3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。编号： 3 规定内容根据系统规定及用户的业务需求，建立多帐户组，将用户账号分派到相应的帐户组。操作指南 1、参考配置操作 Cat /etc/passwd Cat /etc/group 2、补充操作说明检测方法 1、鉴定条件人工分析判断 2、检测操作编号：4 规定内容使用PAM严禁任何人su为root 操作指南参考操作：编辑su文献(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表白只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为： # chmod –G10 username 检测方法 1、鉴定条件 2、检测操作 Cat /etc/pam.d/su 4.2　口令编号：1 规定内容对于采用静态口令认证技术的设备，口令长度至少8位，并涉及数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南 1、参考配置操作 vi /etc/login.defs ，修改设立如下 PASS_MIN_LEN=8 #设定最小用户密码长度为8位 Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设立检测方法 1、鉴定条件不符合密码强度的时候，系统对口令强度规定进行提醒；符合密码强度的时候，可以成功设立； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简朴口令以及长度短于8的口令，查看系统是否对口令强度规定进行提醒；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设立。 3、补充说明 pam_cracklib重要参数说明: tretry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数 dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字. lcredit=N:小宝字母的个数 ucredit=N大宝字母的个数 credit=N:特殊字母的个数 minclass=N:密码组成(大/小字母,数字,特殊字符) pam_passwdqc重要参数说明: mix:设立口令字最小长度，默认值是mix=disabled。 max:设立口令字的最大长度，默认值是max=40。 passphrase:设立口令短语中单词的最少个数，默认值是passphrase=3，假如为0则禁用口令短语。 atch:设立密码串的常见程序，默认值是match=4。 similar:设立当我们重设口令时，重新设立的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。 random:设立随机生成口令字的默认长度。默认值是random=42。设为0则严禁该功能。 enforce:设立约束范围，enforce=none表达只警告弱口令字，但不严禁它们使用；enforce=users将对系统上的全体非根用户实行这一限制；enforce=everyone将对涉及根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设立用户输入口令字时允许重试的次数，默认值是retry=3。密码复杂度通过/etc/pam.d/system-auth实行编号： 2 规定内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南 1、参考配置操作 vi /etc/login.defs PASS_MAX_DAYS=90 #设定口令的生存期不长于90天检测方法 1、鉴定条件登录不成功； 2、检测操作使用超过90天的帐户口令登录； 3、补充说明测试时可以将90天的设立缩短来做测试； 4.3　文献及目录权限编号：1 规定内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南 1、参考配置操作通过chmod命令对目录的权限进行实际设立。 2、补充操作说明 /etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设立： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 假如是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w /etc 检测方法 1、鉴定条件 1、设备系统可以提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录可以配置的权限选项内容； 3、所配置的权限规则应可以对的应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、运用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项； 3、为两个用户分别配置不同的权限，2个用户的权限差异应可以分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现； 4、分别运用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明编号： 2 规定内容控制用户缺省访问权限，当在创建新文献或目录时应屏蔽掉新文献或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文献或更高限制。操作指南 1、参考配置操作设立默认权限： Vi /etc/login.defs 在末尾增长umask 027，将缺省访问权限设立为750 修改文献或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设立权限； 2、补充操作说明假如用户需要使用一个不同于默认全局系统设立的umask，可以在需要的时候通过命令行设立，或者在用户的shell启动文献中配置。检测方法 1、鉴定条件权限设立符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作查看新建的文献或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限 #cat /etc/login.defs 查看是否有umask 027内容 3、补充说明 umask的默认设立一般为022，这给新创建的文献默认权限755（777-022=755），这会给文献所有者读、写权限，但只给组成员和其他用户读权限。 umask的计算： umask是使用八进制数据代码设立的，对于目录，该值等于八进制数据代码777减去需要的默认权限相应的八进制数据代码值；对于文献，该值等于八进制数据代码666减去需要的默认权限相应的八进制数据代码值。编号：3 规定内容假如需要启用FTP服务，控制FTP进程缺省访问权限，当通过FTP服务创建新文献或目录时应屏蔽掉新文献或目录不应有的访问允许权限。操作指南 1、参考配置操作以vsftp为例打开/etc/vsftpd/chroot_list文献，将需要限制的用户名加入到文献中 2、补充操作说明检测方法 1、鉴定条件权限设立符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作查看新建的文献或目录的权限，操作举例如下： 3、补充说明 4.4　远程登录编号：1 规定内容限制具有超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南 1、参考配置操作编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为严禁远程登录，如要允许，则改成可以登录的shell即可，如/bin/bash 2、补充操作说明假如限制root从远程ssh登录，修改/etc/ssh/sshd_config文献，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。检测方法 1、鉴定条件 root远程登录不成功，提醒“没有权限”；普通用户可以登录成功，并且可以切换到root用户； 2、检测操作 root从远程使用telnet登录；普通用户从远程使用telnet登录； root从远程使用ssh登录；普通用户从远程使用ssh登录； 3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文献，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。编号：2 规定内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设立。操作指南 1、参考配置操作正常可以通过#/etc/init.d/sshd start来启动SSH; 通过#/etc/init.d/sshd stop来停止SSH 2、补充操作说明查看SSH服务状态： # ps –ef|grep ssh 注：严禁使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制；检测方法 1、鉴定条件 # ps –ef|grep ssh 是否有ssh进程存在是否有telnet进程存在 2、检测操作查看SSH服务状态： # ps –ef|grep ssh 查看telnet服务状态： # ps –ef|grep telnet 3、补充说明 4.5　补丁安全编号：1 规定内容在保证业务网络稳定运营的前提下，安装最新的OS补丁。补丁在安装前需要测试拟定。操作指南 1、参考配置操作看版本是否为最新版本。执行下列命令，查看版本及大补丁号。 #uname –a 2、补充操作说明检测方法 1、鉴定条件看版本是否为最新版本。 # uname –a查看版本及大补丁号 RedHat Linux： Slackware Linux：ftp:// SuSE Linux： TurboLinux： 2、检测操作在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。 3、补充说明 4.6　日记安全规定编号：1 规定内容启用syslog系统日记审计功能操作指南 1、参考配置操作 #cat /etc/syslog.conf 查看是否有#authpriv.* /var/log/secure 2、补充操作说明将authpirv设备的任何级别的信息记录到/var/log/secure文献中，这重要是一些和认证、权限使用相关的信息。检测方法 1、鉴定条件查看是否有#authpriv.* /var/log/secure 2、检测操作 #cat /etc/syslog.conf 3、补充说明将authpirv设备的任何级别的信息记录到/var/log/secure文献中，这重要是一些和认证、权限使用相关的信息。编号：2 规定内容系统日记文献由syslog创建并且不可被其他用户修改；其它的系统日记文献不是全局可写操作指南 1、参考配置操作查看如下等日记的访问权限 #ls –l查看下列日记文献权限 /var/log/messages、/var/log/secure、 /var/log/maillog、/var/log/cron、 /var/log/spooler、/var/log/boot.log 2、补充操作说明检测方法 1、鉴定条件 2、检测操作使用ls –l 命令依次检查系统日记的读写权限 3、补充说明编号：3（可选）规定内容启用记录cron行为日记功能操作指南 1、参考配置操作 Vi /etc/syslog.conf # Log cron stuff cron.* cron.* 检测方法 1、鉴定条件 2、检测操作 cron.* 编号：4（可选）规定内容设备配置远程日记功能，将需要重点关注的日记内容传输到日记服务器。操作指南 1、参考配置操作修改配置文献vi /etc/syslog.conf，加上这一行： *.* @192.168.0.1 可以将"*.*"替换为你实际需要的日记信息。比如：kern.* ; mail.* 等等。可以将此处192.168.0.1替换为实际的IP或域名。 2、补充操作说明检测方法 1、鉴定条件设备配置远程日记功能，将需要重点关注的日记内容传输到日记服务器。 2、检测操作查看日记服务器上的所收到的日记文献。 3、补充说明 4.7　不必要的服务、端口编号：1 规定内容关闭不必要的服务。操作指南 1、参考配置操作查看所有启动的服务： #ps –ef #chkconfig --list #cat /etc/xinetd.conf 在xinetd.conf中关闭不用的服务一方面复制/etc/xinetd.conf。 #cp /etc/xinetd.conf /etc/xinetd.conf.backup 然后用vi编辑器编辑 xinetd.conf文献，对于需要注释掉的服务在相应行开头标记"#"字符，重启xinetd服务,即可。 2、补充操作说明参考附录A，根据需要关闭不必要的服务检测方法 1、鉴定条件所需的服务都列出来；没有不必要的服务； 2、检测操作 #ps –ef #chkconfig --list #cat /etc/xinetd.conf 3、补充说明在/etc/xinetd.conf文献中严禁不必要的基本网络服务。注意：改变了“/etc/xinetd.conf”文献之后，需要重新启动xinetd。对必须提供的服务采用tcpwapper来保护 4.8　系统Banner设立规定内容修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息操作指南 1、参考配置操作在缺省情况下，当你登录到linux系统，它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。应当尽可能的隐藏系统信息。一方面编辑“/etc/rc.d/rc.local” 文献，在下面显示的这些行前加一个“#”，把输出信息的命令注释掉。 # This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you reboot. #echo "" > /etc/issue #echo "$R" >> /etc/issue #echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue #cp -f /etc/issue /etc/ #echo >> /etc/issue 另一方面删除"/etc"目录下的和issue文献： # mv /etc/issue /etc/issue.bak # mv /etc/ /etc/.bak 检测方法查看Cat /etc/rc.d/rc.local 注释住处信息 4.9　登陆超时时间设立规定内容对于具有字符交互界面的设备，配置定期帐户自动登出操作指南 1、参考配置操作通过修改账户中“TMOUT” 参数，可以实现此功能。TMOUT按秒计算。编辑profile文件（vi /etc/profile），在“HISTFILESIZE=”后面加入下面这行：建议TMOUT=300（可根据情况设定） 2、补充操作说明改变这项设立后，必须先注销用户，再用该用户登录才干激活这个功能检测方法 1、鉴定条件查看TMOUT=300 4.10　删除潜在危险文献规定内容 .rhosts，.netrc，hosts.equiv等文献都具有潜在的危险，假如没有应用，应当删除操作指南 1、参考配置操作执行：find / -name .netrc，检查系统中是否有.netrc 文献，执行：find / -name .rhosts ，检查系统中是否有.rhosts 文献如无应用，删除以上文献： Mv .rhost .rhost.bak Mv .netr .netr.bak 2、补充操作说明注意系统版本，用相应的方法执行检测方法 1、鉴定条件 2、检测操作 4.11　 FTP设立编号1：规定内容严禁root登陆FTP 操作指南 1、参考配置操作在ftpaccess文献中加入下列行 root 检测方法使用root帐号登录ftp会被拒绝编号2：规定内容严禁匿名ftp 操作指南 1、参考配置操作以vsftpd为例：打开vsftd.conf文献，修改下列行为： anonymous_enable=NO 检测方法匿名账户不能登录编号3：规定内容修改FTP banner 信息操作指南 1、参考配置操作使用vsftpd，则修改下列文献的内容： /etc/vsftpd.d/vsftpd.conf 使用wu-ftpd，则需要修改文献/etc/ftpaccess，在其中添加： banner /path/to/ftpbanner 在指定目录下创建包含ftp的banner信息的文献检测方法 1、判断依据通过外部ftp客户端登录，banner按照预先设定的显示 2、检查操作附录A：端口及服务服务名称端口应用说明关闭方法处置建议 daytime 13/tcp RFC867 白天协议 chkconfig daytime off 建议关闭 13/udp RFC867 白天协议 chkconfig daytime off time 37/tcp 时间协议 chkconfig time off 37/udp 时间协议 chkconfig time-udp off echo 7/tcp RFC862_回声协议 chkconfig echo off 7/udp RFC862_回声协议 chkconfig echo-udp off discard 9/tcp RFC863 废除协议 chkconfig discard off 9/udp chkconfig discard-udp off chargen 19/tcp RFC864 字符产生协议 chkconfig chargen off 19/udp chkconfig chargen-udp off ftp 21/tcp 文献传输协议(控制) chkconfig gssftp off 根据情况选择开放 telnet 23/tcp 虚拟终端协议 chkconfig krb5-telnet off 根据情况选择开放 sendmail 25/tcp 简朴邮件发送协议 chkconfig sendmail off 建议关闭 nameserver 53/udp 域名服务 chkconfig named off 根据情况选择开放 53/tcp 域名服务 chkconfig named off 根据情况选择开放 apache 80/tcp HTTP 万维网发布服务 chkconfig httpd off 根据情况选择开放 login 513/tcp 远程登录 chkconfig login off 根据情况选择开放 shell 514/tcp 远程命令, no passwd used chkconfig shell off 根据情况选择开放 exec 512/tcp remote execution, passwd required chkconfig exec off 根据情况选择开放 ntalk 518/udp new talk, conversation chkconfig ntalk off 建议关闭 ident 113/tcp auth chkconfig ident off 建议关闭 printer 515/tcp 远程打印缓存 chkconfig printer off 强烈建议关闭 bootps 67/udp 引导协议服务端 chkconfig bootps off 建议关闭 68/udp 引导协议客户端 chkconfig bootps off 建议关闭 tftp 69/udp 普通文献传输协议 chkconfig tftp off 强烈建议关闭 kshell 544/tcp Kerberos remote shell -kfall chkconfig kshell off 建议关闭 klogin 543/tcp Kerberos rlogin -kfall chkconfig klogin off 建议关闭 portmap 111/tcp 端口映射 chkconfig portmap off 根据情况选择开放 snmp 161/udp 简朴网络管理协议（Agent） chkconfig snmp off 根据情况选择开放 snmp trap 161/tcp 简朴网络管理协议（Agent） chkconfig snmp off 根据情况选择开放 snmp-trap 162/udp 简朴网络管理协议（Traps） chkconfig snmptrap off 根据情况选择开放 syslogd 514/udp 系统日记服务 chkconfig syslog off 建议保存 lpd 515/tcp 远程打印缓存 chkconfig lpd off 强烈建议关闭 nfs 2049/tcp NFS远程文献系统 chkconfig nfs off 强烈建议关闭 2049/udp NFS远程文献系统 chkconfig nfs off 强烈建议关闭 nfs.lock 动态端口 rpc服务 chkconfig nfslock off 强烈建议关闭 ypbind 动态端口 rpc服务 chkconfig ypbind off 强烈建议关闭

展开阅读全文