Linu系统安全配置标准V.docx
- 文档编号:15598915
- 上传时间:2023-07-06
- 格式:DOCX
- 页数:10
- 大小:23.94KB
Linu系统安全配置标准V.docx
《Linu系统安全配置标准V.docx》由会员分享,可在线阅读,更多相关《Linu系统安全配置标准V.docx(10页珍藏版)》请在冰点文库上搜索。
Linu系统安全配置标准V
服务器系统安全加固技术要求
——Linux服务器
中国电信股份有限公司广州研究院
2009年3月
目?
录
1补丁
1.1系统补丁
要求及时安装系统补丁。
更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证。
系统补丁安装方法为(以下示例若无特别说明,均以RedHatLinux为例):
使用up2date命令自动升级或在,可以直接使用yum工具进行系统补丁升级:
yumupdate
1.2其他应用补丁
除Linux开发商官方提供的系统补丁之外,基于Linux系统开发的服务和应用(如APACHE、PHP、OPENSSL、MYSQL等)也必须安装最新的安全补丁。
以RedHatLinux为例,具体安装方法为:
首先确认机器上安装了gcc及必要的库文件。
然后再应用官方网站下载对应的源代码包,如*.,并解压:
tarzxfv*.
根据使用情况对编译配置进行修改,或直接采用默认配置。
cd*
./configure
进行编译和安装:
make
makeinstall
注意:
补丁更新要慎重,可能出现硬件不兼容、或者影响当前应用系统的情况。
安装补丁前,应该在测试机上进行测试。
2账号和口令安全配置基线
2.1账号安全控制要求
系统中的临时测试账号、过期无用账号等必须被删除或锁定。
以RedHatLinux为例,设置方法如下:
锁定账号:
/usr/sbin/usermod-L-s/dev/null$name
删除账号:
/usr/sbin/user$name
2.2口令策略配置要求
要求设置口令策略以提高系统的安全性。
例如要将口令策略设置为:
非root用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。
以RedHatLinux为例,可在/etc/文件中进行如下设置:
vi/etc/
PASS_MAX_DAYS90
PASS_MIN_DAYS7
PASS_MIN_LEN6
PASS_WARN_AGE28
2.3root登录策略的配置要求
禁止直接使用root登陆,必须先以普通用户登录,然后再su成root。
禁止root账号远程登录,以RedHatLinux为例,设置方法为:
touch/etc/securetty
echo“console”>/etc/securetty
2.4root的环境变量基线
root环境变量基线设置要求如表2-1所示:
表?
21root环境变量基线设置
修改文件
安全设置
操作说明
/etc/profile
PATH设置中不含本地目录(.)
1.查看root账号的环境变量,env
2.如果root的PATH变量包含本地目录,则去掉本地目录”.”。
3网络与服务安全配置标准
3.1最小化启动服务
1、Xinetd服务
如果xinetd服务中的服务,都不需要开放,则可以直接关闭xinetd服务。
chkconfig--level12345xinetdoff
2、关闭邮件服务
1)如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。
chkconfig--level12345sendmailoff
2)如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置Sendmail不运行在daemon模式。
编辑/etc/sysconfig/senmail文件,增添以下行:
DAEMON=no
QUEUE=1h
设置配置文件访问权限:
cd/etc/sysconfig
/bin/chownroot:
rootsendmail
/bin/chmod644sendmail
3、关闭图形登录服务(XWindows)
在不需要图形环境进行登录和操作的情况下,要求关闭XWindows。
编辑/etc/inittab文件,修改id:
5:
initdefault:
行为id:
3:
initdefault:
设置配置文件访问权限:
chownroot:
root/etc/inittab
chmod0600/etc/inittab
4、关闭Xfont服务器服务
如果关闭了XWindows服务,则Xfont服务器服务也应该进行关闭。
chkconfigxfsoff
5、关闭其他默认启动服务
系统默认会启动很多不必要的服务,有可能造成安全隐患。
建议关闭以下不必要的服务:
apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcups
chkconfig--level12345服务名off
在关闭上述服务后,应同时对这些服务在系统中的使用的账号(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等)予以锁定或删除。
usermod-L要锁定的用户
3.2最小化xinetd网络服务
1、停止默认服务
要求禁止以下Xinetd默认服务:
chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices
chkconfig服务名off
2、其他
对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用SSH和SSL对原明文的服务进行替换。
如果条件允许,可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。
4文件与目录安全配置
4.1临时目录权限配置标准
临时目录/tmp、/var/tmp必须包含粘置位,以避免普通用户随意删除由其他用户创建的文件。
chmod+t/tmp——为/tmp增加粘置位。
4.2重要文件和目录权限配置标准
在Linux系统中,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc目录为系统配置目录,包括账号文件、系统配置、网络配置文件等,这些目录和文件相对重要。
重要文件及目录的权限配置标准必须按照表4-1进行配置。
表?
41重要文件和目录权限配置标准列表
文件或目录
属主
属组
权限
/etc/passwd
root
Root
-rw-r--r--
/etc/group
root
Root
-rw-r--r--
/etc/hosts
root
Root
-rw-rw-r--
/etc/inittab
root
Root
-rw-------
4.3umask配置标准
umask命令用于设置新创建文件的权限掩码。
要求编辑/etc/profile文件,设置umask为027;在系统转成信任模式后,可设置umask为077。
4.4SUID/SGID配置标准
SUID/SGID的程序在运行时,将有效用户ID改变为该程序的所有者(组)ID,使得进程拥有了该程序的所有者(组)的特权,因而可能存在一定的安全隐患。
对于这些程序,必须在全部检查后形成基准,并定期对照基准进行检查。
查找此类程序的命令为:
#find/-perm-4000-user0–ls――查找SUID可执行程序
#find/-perm-2000-user0–ls――查找SGID可执行程序
5信任主机的设置
1.原则上关闭所有R系列服务:
rlogin、rsh、rexec
2.对于需要以信任主机方式访问的业务系统,按照表5-1所示方式设置:
表?
51信任主机的设置方法
修改文件
安全设置
操作说明
1./etc/
(全局配置文件)
2.~/.rhosts
(单独用户的配置文件)
限定信任的主机、账号
不能有单行的"+"或"++"的配置信息
1.编辑/etc/文件或者~/.rhosts文件,不能只采用主机信任的方式,而必须采用账号和主机的方式,删除不必要的信任主机设置。
2.更改/etc/文件的属性,只允许root可读写。
6系统Banner的配置
要求修改系统banner,以避免泄漏操作系统名称、版本号、主机名称等,并且给出登陆告警信息。
1.修改/etc/issue文件,加入:
ATTENTION:
Youhaveloggedontoasecuredserver..ONLYAuthorizeduserscanaccess..
2.修改/etc/文件,加入:
ATTENTION:
Youhaveloggedontoasecuredserver..ONLYAuthorizeduserscanaccess..
3.修改/etc/文件,在telnet一行的最后,更改telnetd为telnetd–b/etc/issue,增加读取banner参数。
4.重启inetd进程。
Kill–HUP“inetd进程pid”
7内核参数
要求调整以下内核参数,以提高系统安全性:
设置tcp_max_syn_backlog,以限定SYN队列的长度
设置rp_filter为1,打开反向路径过滤功能,防止ip地址欺骗
设置accept_source_route为0,禁止包含源路由的ip包
设置accept_redirects为0,禁止接收路由重定向报文,防止路由表被恶意更改
设置secure_redirects为1,只接受来自网关的“重定向”icmp报文
配置方法为:
编辑/etc/,增加以下行:
=4096
=1
=0
=0
=0
=1
=0
=0
=0
设置配置文件权限:
/bin/chownroot:
root/etc/
/bin/chmod0600/etc/
在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置。
设置ip_forward为0,禁止ip转发功能
设置send_redirects为0,禁止转发重定向报文
配置方法如下:
编辑/etc/,增加:
=0
=0
=0
8syslog日志的配置
1.syslog的基线配置要求如表8-1所示:
表?
81syslog日志安全配置列表
修改文件
安全设置
操作说明
/etc/
配置文件中包含以下日志记录:
*.err/var/adm/errorlog
*.alert/var/adm/alertlog
*.cri/var/adm/critlog
auth,/var/adm/authlog
Syslog的配置文件
/etc/
=“-DN”
Syslogd不接收远程主机的日志
2.要求将日志输出至专用日志服务器,或者至少输出至本地文件中。
附件:
选装安全工具
工具名称
TCPWrapper
工具用途
该软件为大多数网络服务提供访问控制与日志记录的功能。
相关信息
,当这些关键文件发生变化时,给root以提示信息。
相关信息
工具名称
Logwatch
工具用途
该工具为一款系统日志分析工具,比如用户登录失败信息、SSH登录信息、磁盘空间使用等.
相关信息
工具名称
Chkrootkit
工具用途
该工具为一款rootkit检测工具,定期在主机上运行可检测出流行的rootkit。
相关信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linu 系统安全 配置 标准