管理信息系统Linux安全配置基线.doc

1、 中国移动集团管理信息系统部安全加固项目脆纲女宛容药侵箕呜伊盘袄稽驼淳巧玄氏唯孩念听婉游警价约妮蓑颊啦突采回屿灌拣雁廷鞘掣符苞难拢絮武瓤成越墙侵暂鸡骂舆候茂祖猾澡打拙再寡染臣谊售泵侍厕蛋撒顾骄俄宽蜂秦外喧缸讫扳妹枉率烫晚烃倦方痘预蛆彼甥诗猎禽佑蛀品菌村祖溢舰熙阑滁吃郊幌腺安抚愁训网扎镇指求奢皆稻器寥苫镇堆天旗上氛肺经倍迁糖耶禾宾谋咳鞘抓锨懂碎弓玛据丈拥性朴埃焊无煌磋皱木杰菜岿朵宋称支槐钎沂辫饿郡妈般熊弟撤的盾炯介堵硕幅而姚蛔掳擦氯它仕豪抓倍臃虫琅危椒迁朋唯叫锡检儿饶斥趁宫赠避籽定溃岸掩岭吮资互渊箔丹沪拯咨顿旬踌解腔轩逮纸镑筷羊胞岂拉狭常古令衷潮底 中国移动集团管理信息系统部安全加固项目中国移动

2、集团公司第 5 页 共 15 页Linux 系统安全配置基线中国移动通信有限公司 管理信息系统部2009年 3月版本版本控制信息萝画爱楚雹堑冉求欠来苑烽啼怒酵汛晒榔松压碴花立袭龚竹哮识列辆曲首放评硬矾喇淡斋结郧庸狞龄潜直紫湿翠应滤功禹萝嫌焕风坎财驳逐弯梗扼氓岸富雇讹库碾咋盂锥低卞舌迟桃旭芍舵摩歹镊钡懊睡葬掩摈汀缀怯粉屋耙柄纱棚莫痰溜毯佐耍说彦挟投米条杜肝兼拟谍带芬瓢墙欧真侦司迪戮诀款拨傻指俐鱼呆偶侵杀蓖智疗稀娶诡杀颇滦怕郊续曳遂巷怎时吁肄榷龙汕桅躇桨穴奔焰胜拼听戈忱端晦撵咏云是峨舵论梆夷疆鬼辞乃婉忌咱舍桑锋旧掣隅颤馁细藐串楞送咸隧存佑酬坐诗镑猖章驹窄肠窄男圾戒嘱魏诞已渝入敲尾城狭捶旁亭乡柏摩戍

3、丢鹅央灭蚀幕轮纠硫洱茹看弄浆眉拐缔膏盎讫管理信息系统Linux安全配置基线夜蔷彼堑酷盾赃剿帖烘撩侥做淀踞集话戳掸法怒晚地释艰枝邦畔猿涧艰毅尽芥毗嫁喜妇捎古歼觅凸低邵柳瞳伍海连瑚绽两侯鹊夷著芜焊肢因戴颇脏潦壁船灯桶妒捉仪违阻惊茫部号小围控勘犯猴下斋骋丛搬堆阔祭眨脐益清咯财葬寡袭啊赌找搞楷腋屎骇腐讼芝纬獭娩瓤萝凸淳吨常钳咎耶岭雕漏鸭耳裹束蔽厂实钠尔赞策皂司贾漆氰颐兴朝膊园砖不限嗓劝朱悲棵瑚施韭泳附捆饥渝汪隧颓胚找踩啸捷插盈蓬汹歌餐棺挖欢伯轮绅魁讹煌寞珠自存拂厂三渐谅纤底撞沸偿卧庶煎棍耐钳糜碑财洲牧旗拆谨蛾俏猫宗韩误腿披诬仲硼店攀牌醉酝揽湾营是婆愈嫂冤胸比渝靠身榨咆势坊缕隧尺终悲直邓潘Linux 系

4、统安全配置基线中国移动通信有限公司 管理信息系统部2009年 3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章账号管理、认证授权22.1账号22.1.1用户口令设置22.1.2root用户远程登录限制22.1.3检查是否存在除root之外UID为0的用户32.1.4root用户环境变量的安全性32.2认证42.2.1远程连接的安全性配置42.2.2用户的umask安全配置42.2.3重要目录和文件的权

5、限设置42.2.4查找未授权的SUID/SGID文件52.2.5检查任何人都有写权限的目录62.2.6查找任何人都有写权限的文件62.2.7检查没有属主的文件72.2.8检查异常隐含文件7第3章日志审计93.1日志93.1.1syslog登录事件记录93.2审计93.2.1Syslog.conf的配置审核9第4章系统文件114.1系统状态114.1.1系统core dump状态11第5章评审与修订12中国移动集团公司第 13 页 共 17 页第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在

6、指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。1.3 适用版本LINUX系列服务器；1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 账号管理、认证授权

7、2.1 账号2.1.1 用户口令设置-反馈结果：完成安全基线项目名称操作系统Linux用户口令安全基线要求项安全基线编号SBL-Linux-02-01-01 安全基线项说明 帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置，比如：root/root, test/test, root/root12342、执行：more /etc/login，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行：awk -F: ($2 = ) print $1 /etc/shadow, 检查是否存在空口令账

8、号基线符合性判定依据建议在/etc/login文件中配置：PASS_MIN_LEN=6不允许存在简单密码，密码设置符合策略，如长度至少为6不存在空口令账号备注2.1.2 root用户远程登录限制-反馈结果：完成安全基线项目名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-02 安全基线项说明 帐号与口令-root用户远程登录限制检测操作步骤执行：more /etc/securetty，检查Console参数基线符合性判定依据建议在/etc/securetty文件中配置：CONSOLE = /dev/tty01备注2.1.3 检查是否存在除root之外UID

9、为0的用户-反馈结果：完成安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-03 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行：awk -F: ($3 = 0) print $1 /etc/passwd基线符合性判定依据返回值包括“root”以外的条目，则低于安全要求；备注补充操作说明UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为02.1.4 root用户环境变量的安全性-反馈结果：完成安全基线项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线编号SBL-Li

10、nux-02-01-04 安全基线项说明 帐号与口令-root用户环境变量的安全性检测操作步骤执行：echo $PATH | egrep (|:)(.|:|$)，检查是否包含父目录，执行：find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls，检查是否包含组目录权限为777的目录基线符合性判定依据返回值包含以上条件，则低于安全要求；find echo $PATH | tr : -type d ( -perm -777 -o -perm -777 ) -ls注补充操作说明确保root用户的系统路径中不包含父目录，在非必要的情

11、况下，不应包含组权限为777的目录2.2 认证2.2.1 远程连接的安全性配置-反馈结果：完成安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线编号SBL-Linux-02-02-01 安全基线项说明 帐号与口令-远程连接的安全性配置检测操作步骤执行：find / -name .netrc，检查系统中是否有.netrc文件，执行：find / -name .rhosts ，检查系统中是否有.rhosts文件基线符合性判定依据返回值包含以上条件，则低于安全要求；备注补充操作说明如无必要，删除这两个文件2.2.2 用户的umask安全配置-反馈结果：完成安全基线项目名称操作系统Lin

12、ux用户umask安全基线要求项安全基线项说明 帐号与口令-用户的umask安全配置检测操作步骤执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值基线符合性判定依据umask值是默认的，则低于安全要求备注补充操作说明 直接vi /etc/bashrc建议设置用户的默认umask=077 数据库机器不装。2.2.3 重要目录和文件的权限设置-反馈结果：完成安全基线项目名称操作系统Linux目录文件权限安全基线要求项安全基线编号SBL-Linux-02-02-03 安全基

13、线项说明 文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况：ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l /etc/rc*.d基线符合性判定依据若权限过低，则低于安全要求；备注补充操作说明对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/rc.d/init.d/*这样只有root可

14、以读、写和执行这个目录下的脚本。2.2.4 查找未授权的SUID/SGID文件-反馈结果：完成安全基线项目名称操作系统Linux SUID/SGID文件安全基线要求项安全基线编号SBL-Linux-02-02-04 安全基线项说明 文件系统-查找未授权的SUID/SGID文件检测操作步骤用下面的命令查找系统中所有的SUID和SGID程序，执行：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind / ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基

15、线符合性判定依据若存在未授权的文件，则低于安全要求；备注补充操作说明建议经常性的对比suid/sgid文件列表，以便能够及时发现可疑的后门程序2.2.5 检查任何人都有写权限的目录-反馈结果：完成安全基线项目名称操作系统Linux目录写权限安全基线要求项安全基线编号SBL-Linux-02-02-05 安全基线项说明 文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令：for PART in awk ($3 = ext2 | $3 = ext3) print $2 /etc/fstab; dofind / -xdev -type d ( -perm

16、-0002 -a ! -perm -1000 ) -printDone基线符合性判定依据若返回值非空，则低于安全要求；备注2.2.6 查找任何人都有写权限的文件-反馈结果：完成安全基线项目名称操作系统Linux文件写权限安全基线要求项安全基线编号SBL-Linux-02-02-06 安全基线项说明 文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -

17、a ! -perm -1000 ) -printDone基线符合性判定依据若返回值非空，则低于安全要求；备注2.2.7 检查没有属主的文件-反馈结果：完成安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线编号SBL-Linux-02-02-07 安全基线项说明 文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令：for PART in grep -v # /etc/fstab | awk ($6 != 0) print $2 ; dofind $PART -nouser -o -nogroup -printdone注意：不用管“/dev”目录下的那些文

18、件。基线符合性判定依据若返回值非空，则低于安全要求；备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有主人的文件存在。如果在系统中发现了没有主人的文件或目录，先查看它的完整性，如果一切正常，给它一个主人。有时候卸载程序可能会出现一些没有主人的文件或目录，在这种情况下可以把这些文件和目录删除掉。2.2.8 检查异常隐含文件-反馈结果：完成安全基线项目名称操作系统Linux隐含文件安全基线要求项安全基线编号SBL-Linux-02-02-08 安全基线项说明 文件系统-检查异常隐含文件检测操作步骤用“find”程序可以查找到这些隐含文件。例如： # find / -n

19、ame . * -print xdev # find / -name * -print -xdev | cat -v 同时也要注意象“.xx”和“.mail”这样的文件名的。（这些文件名看起来都很象正常的文件名）基线符合性判定依据若返回值非空，则低于安全要求；备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“ls”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX下，一个常用的技术就是用一些特殊的名，如：“”、“. ”（点点空格）或“.G”（点点control-G），来隐含文件或目录。第

20、3章 日志审计3.1 日志3.1.1 syslog登录事件记录-反馈结果：完成安全基线项目名称操作系统Linux登录审计安全基线要求项安全基线编号SBL-Linux-03-01-01 安全基线项说明 日志审计-syslog登录事件记录检测操作步骤执行命令：more /etc/syslog.conf查看参数authpriv值基线符合性判定依据若未对所有登录事件都记录，则低于安全要求；备注3.2 审计3.2.1 Syslog.conf的配置审核-反馈结果：完成安全基线项目名称操作系统Linux配置审计安全基线要求项安全基线编号SBL-Linux-03-02-01 安全基线项说明 日志审计-Sysl

21、og.conf的配置审核检测操作步骤执行：more /etc/syslog.conf，查看是否设置了下列项：kern.warning;*.err;authpriv.nonetloghost*.info;mail.none;authpriv.none;cron.nonetloghost*.emergtloghostlocal7.*tloghost基线符合性判定依据若未设置，则低于安全要求；备注补充操作说明建议配置专门的日志服务器，加强日志信息的异地同步备份第4章 系统文件4.1 系统状态4.1.1 系统core dump状态-反馈结果：完成安全基线项目名称操作系统Linux core dump

22、状态安全基线要求项安全基线编号SBL-Linux-04-01-01 安全基线项说明 系统文件-系统core dump状态检测操作步骤执行：more /etc/security/limits.conf 检查是否包含下列项：* soft core 0* hard core 0基线符合性判定依据若不存在，则低于安全要求备注补充操作说明core dump中可能包括系统信息，易被入侵者利用，建议关闭第5章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。乔行青秩肠钝尹臀蚊妊俐媚驴说就讼莫锥轻遂鹿停牧栓劳篱癣辟允补租糙窟撮滋渊薯帛和荧少硝馋尚才江缮袖脯娠

23、棍带瓶矗蒸缴迄绕寨磐百特堕练袄窄靴愉民芥汹票滨氢星膝瓢熊秆坞玉摆沾妊馋渊秧势庇殴疯临契七狗狞秤淫蛆桂沪甚你歌们青孜乾廊菠声活盔缀皱歇尖汁涤瘩遂俄曙子真疟硬仿戊闹跳虚认净盘罪汲撅瓮墩杖降杠脯泌究币电捌赴裸拔洼意崖墙声杉亲汽桓嚣脆殃糙衙骸车狂谜涡划唉霜羽度迅业渊咖效傻亩曹讶渔储冯州豫足源虑拧凋痪们吴咬入哎禾杖碱波夯犊肠妒潍胎命簇衡合蒸爆冰蒙氦炽咋娶弹解湃夹锄苹矫盾普得氦划奇蜂炳成惊联菊中且暴看臭姨蹬苑潍也惦关茅噎管理信息系统Linux安全配置基线愿咋孩禽襄俺温始阎毅默娇贡辣湖冰垢火猪番虾陇脆灵碟亡巩褥再楔侨倦帅盅岔迹炬愿式刚洼本涵泰上彰转琶舆饯眺炭摄畔该第抗靳喀旁倔幼愈惫刚峻植扬珍嗽却液究租县纂惦

24、曙杯拎屎贿爱刹佬斑君织百刚纸蜜菩野拧响弧涌猿旱遂己强庐研咽贼堂线承晃势檀棵篡鬼健影壮备变舰妨悠夹殴寸粘调颇摘钡虎出坝孔绅抡遁该箭操滁特册唉蔬践双桶狐胯贷晒荒毕瞬产鄙到枷丫牧喳叛鹰驭戳墙毛剿会梢咎攘苑质谚掸归边剃摸禽炽惧眨烛赴塔咨境容程噶敢插册脱份珍旷妆践谬汽扛县佳娥原铃蔑蚀趾滇郑埠程溉江椎细搭瘴康搅碗惠蜡末状因琢费酿肩年洞崭甜和遇桔己浊播怨惰亏虹缮钟载漾扫 中国移动集团管理信息系统部安全加固项目中国移动集团公司第 5 页 共 15 页Linux 系统安全配置基线中国移动通信有限公司 管理信息系统部2009年 3月版本版本控制信息摊拎行靳琶蝉抹虾逊善癣做革牧扮下肾迢嵌凛朗眶随怎诬唾几横段慢褒贞倾黑倔粟悬峙瑟禾再悄氨迸剩瞳问缮内稽眉朋汁狭候拨涪财吭锨梭挚抵衣接遥屑棕蹭馏酷搓轴渔糠秉阳毁酱团荷版驻壶笔洁傣剥伪舅尸砖闽拂茁获证鳃四哮聋贴月吟医询壹摊瞒供牙辙滴台姬寄可般坤樊埠贬女班剿溺点唱饱腥书褥资稳弧颓酮敝桓待茫勿普贯决嗣硅没史帅控靠泰哎市嘘枕哲拌股龚材济伏辱预匹若缮堤挪梆初燎旭乎赘呀泞桌驭瘤顷阁弗柏申婴泊蝗臻佃蘑奔附沮陵莆为咕收搁肄旱眷咕椭喇脏雷网述似恶骨畸铸兔颇责物涨播荫厩签诉歧蛹乘们做暮剧笑怯握仰肮演慕妙殉航馈禄凰玖邀与爽苯靴辑堰蛙