中国移动liunx操作系统安全配置规

资源描述

中国移动集团管理信息系统部安全加固项目中国移动集团公司第 1 页共 15 页 Linux 系统安全配置基线中国移动通信有限公司管理信息系统部 2009 年 3 月中国移动集团管理信息系统部安全加固项目中国移动集团公司第 2 页共 15 页版本版本控制信息更新日期更新人审批人 V1 0 创建 2009 年 1 月备注 1 若此文档需要日后更新请创建人填写版本控制表格否则删除版本控制表格中国移动集团管理信息系统部安全加固项目中国移动集团公司第 3 页共 15 页目录第 1 章概述 1 1 1 目的 1 1 2 适用范围 1 1 3 适用版本 1 1 4 实施 1 1 5 例外条款 1 第 2 章账号管理认证授权 2 2 1 账号 2 2 1 1 用户口令设置 2 2 1 2 root 用户远程登录限制 2 2 1 3 检查是否存在除 root 之外 UID 为 0 的用户 3 2 1 4 root 用户环境变量的安全性 3 2 2 认证 4 2 2 1 远程连接的安全性配置 4 2 2 2 用户的 umask 安全配置 4 2 2 3 重要目录和文件的权限设置 4 2 2 4 查找未授权的 SUID SGID 文件 5 2 2 5 检查任何人都有写权限的目录 6 2 2 6 查找任何人都有写权限的文件 6 2 2 7 检查没有属主的文件 7 2 2 8 检查异常隐含文件 7 第 3 章日志审计 9 3 1 日志 9 3 1 1 syslog 登录事件记录 9 3 2 审计 9 3 2 1 Syslog conf 的配置审核 9 第 4 章系统文件 11 4 1 系统状态 11 4 1 1 系统 core dump 状态 11 第 5 章评审与修订 12 中国移动集团管理信息系统部安全加固项目中国移动集团公司第 1 页共 15 页第 1 章概述 1 1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 LINUX 操作系统的主机应当遵循的操作系统安全性设置标准本文档旨在指导系统管理人员或安全检查人员进行 LINUX 操作系统的安全合规性检查和配置 1 2 适用范围本配置标准的使用者包括服务器系统管理员应用管理员网络安全管理员本配置标准适用的范围包括中国移动总部和各省公司信息化部门维护管理的 LINUX 服务器系统 1 3 适用版本 LINUX 系列服务器 1 4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部在本标准的执行过程中若有任何疑问或建议应及时反馈本标准发布之日起生效 1 5 例外条款欲申请本标准的例外条款申请人必须准备书面申请文件说明业务需求和原因送交中国移动通信有限公司管理信息系统部进行审批备案中国移动集团管理信息系统部安全加固项目中国移动集团公司第 2 页共 15 页第 2 章账号管理认证授权 2 1 账号 2 1 1 用户口令设置安全基线项目名称操作系统 Linux 用户口令安全基线要求项安全基线编号 SBL Linux 02 01 01 安全基线项说明帐号与口令用户口令设置检测操作步骤 1 询问管理员是否存在如下类似的简单用户密码配置比如 root root test test root root1234 2 执行 more etc login defs 检查 PASS MAX DAYS PASS MIN LEN PASS MIN DAYS PASS WARN AG E 参数 3 执行 awk F 2 print 1 etc shadow 检查是否存在空口令账号基线符合性判定依据建议在 etc login defs 文件中配置 PASS MIN LEN 6 不允许存在简单密码密码设置符合策略如长度至少为 6 不存在空口令账号备注 2 1 2 root 用户远程登录限制安全基线项目名称操作系统 Linux 远程登录安全基线要求项安全基线编号 SBL Linux 02 01 02 安全基线项说明帐号与口令 root 用户远程登录限制检测操作步执行 more etc securetty 检查 Console 参数中国移动集团管理信息系统部安全加固项目中国移动集团公司第 3 页共 15 页骤基线符合性判定依据建议在 etc securetty 文件中配置 CONSOLE dev tty01 备注 2 1 3 检查是否存在除 root 之外 UID 为 0 的用户安全基线项目名称操作系统 Linux 超级用户策略安全基线要求项安全基线编号 SBL Linux 02 01 03 安全基线项说明帐号与口令检查是否存在除 root 之外 UID 为 0 的用户检测操作步骤执行 awk F 3 0 print 1 etc passwd 基线符合性判定依据返回值包括 root 以外的条目则低于安全要求备注补充操作说明 UID 为 0 的任何用户都拥有系统的最高特权保证只有 root 用户的 UID 为 0 2 1 4 root 用户环境变量的安全性安全基线项目名称操作系统 Linux 超级用户环境变量安全基线要求项安全基线编号 SBL Linux 02 01 04 安全基线项说明帐号与口令 root 用户环境变量的安全性检测操作步骤执行 echo PATH egrep 检查是否包含父目录执行 find echo PATH tr type d perm 002 o perm 020 ls 检查是否包含组目录权限为 777 的目录基线符合性判定依据返回值包含以上条件则低于安全要求备注补充操作说明确保 root 用户的系统路径中不包含父目录在非必要的情况下不应包含组权限为 777 的目录中国移动集团管理信息系统部安全加固项目中国移动集团公司第 4 页共 15 页 2 2 认证 2 2 1 远程连接的安全性配置安全基线项目名称操作系统 Linux 远程连接安全基线要求项安全基线编号 SBL Linux 02 02 01 安全基线项说明帐号与口令远程连接的安全性配置检测操作步骤执行 find name netrc 检查系统中是否有 netrc 文件执行 find name rhosts 检查系统中是否有 rhosts 文件基线符合性判定依据返回值包含以上条件则低于安全要求备注补充操作说明如无必要删除这两个文件 2 2 2 用户的 umask 安全配置安全基线项目名称操作系统 Linux 用户 umask 安全基线要求项安全基线编号 SBL Linux 02 02 02 安全基线项说明帐号与口令用户的 umask 安全配置检测操作步骤执行 more etc profile more etc csh login more etc csh cshrc more etc bashrc 检查是否包含 umask 值基线符合性判定依据 umask 值是默认的则低于安全要求备注补充操作说明建议设置用户的默认 umask 077 2 2 3 重要目录和文件的权限设置安全基线项目名称操作系统 Linux 目录文件权限安全基线要求项安全基线编号 SBL Linux 02 02 03 中国移动集团管理信息系统部安全加固项目中国移动集团公司第 5 页共 15 页安全基线项说明文件系统重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况 ls l etc ls l etc rc d init d ls l tmp ls l etc inetd conf ls l etc passwd ls l etc shadow ls l etc group ls l etc security ls l etc services ls l etc rc d 基线符合性判定依据若权限过低则低于安全要求备注补充操作说明对于重要目录建议执行如下类似操作 chmod R 750 etc rc d init d 这样只有 root 可以读写和执行这个目录下的脚本 2 2 4 查找未授权的 SUID SGID 文件安全基线项目名称操作系统 Linux SUID SGID 文件安全基线要求项安全基线编号 SBL Linux 02 02 04 安全基线项说明文件系统查找未授权的 SUID SGID 文件检测操作步骤用下面的命令查找系统中所有的 SUID 和 SGID 程序执行 for PART in grep v etc fstab awk 6 0 print 2 do find PART perm 04000 o perm 02000 type f xdev print Done 基线符合性判定依据若存在未授权的文件则低于安全要求中国移动集团管理信息系统部安全加固项目中国移动集团公司第 6 页共 15 页备注补充操作说明建议经常性的对比 suid sgid 文件列表以便能够及时发现可疑的后门程序 2 2 5 检查任何人都有写权限的目录安全基线项目名称操作系统 Linux 目录写权限安全基线要求项安全基线编号 SBL Linux 02 02 05 安全基线项说明文件系统检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令 for PART in awk 3 ext2 3 ext3 print 2 etc fstab do find PART xdev type d perm 0002 a perm 1000 print Done 基线符合性判定依据若返回值非空则低于安全要求备注 2 2 6 查找任何人都有写权限的文件安全基线项目名称操作系统 Linux 文件写权限安全基线要求项安全基线编号 SBL Linux 02 02 06 安全基线项说明文件系统查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART xdev type f perm 0002 a perm 1000 print Done 基线符合性判定依据若返回值非空则低于安全要求备注中国移动集团管理信息系统部安全加固项目中国移动集团公司第 7 页共 15 页 2 2 7 检查没有属主的文件安全基线项目名称操作系统 Linux 文件所有权安全基线要求项安全基线编号 SBL Linux 02 02 07 安全基线项说明文件系统检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令 for PART in grep v etc fstab awk 6 0 print 2 do find PART nouser o nogroup print done 注意不用管 dev 目录下的那些文件基线符合性判定依据若返回值非空则低于安全要求备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了不能允许没有主人的文件存在如果在系统中发现了没有主人的文件或目录先查看它的完整性如果一切正常给它一个主人有时候卸载程序可能会出现一些没有主人的文件或目录在这种情况下可以把这些文件和目录删除掉 2 2 8 检查异常隐含文件安全基线项目名称操作系统 Linux 隐含文件安全基线要求项安全基线编号 SBL Linux 02 02 08 安全基线项说明文件系统检查异常隐含文件检测操作步骤用 find 程序可以查找到这些隐含文件例如 find name print xdev find name print xdev cat v 同时也要注意象 xx 和 mail 这样的文件名的这些文件名看起来都很象正常的文件名基线符合性判定依据若返回值非空则低于安全要求中国移动集团管理信息系统部安全加固项目中国移动集团公司第 8 页共 15 页备注补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件点号是起始字符的用 ls 命令看不到的文件因为这些文件可能是隐藏的黑客工具或者其它一些信息口令破解程序其它系统的口令文件等等在 UNIX 下一个常用的技术就是用一些特殊的名如点点空格或 G 点点 control G 来隐含文件或目录中国移动集团管理信息系统部安全加固项目中国移动集团公司第 9 页共 15 页第 3 章日志审计 3 1 日志 3 1 1 syslog 登录事件记录安全基线项目名称操作系统 Linux 登录审计安全基线要求项安全基线编号 SBL Linux 03 01 01 安全基线项说明日志审计 syslog 登录事件记录检测操作步骤执行命令 more etc syslog conf 查看参数 authpriv 值基线符合性判定依据若未对所有登录事件都记录则低于安全要求备注 3 2 审计 3 2 1 Syslog conf 的配置审核安全基线项目名称操作系统 Linux 配置审计安全基线要求项安全基线编号 SBL Linux 03 02 01 安全基线项说明日志审计 Syslog conf 的配置审核检测操作步骤执行 more etc syslog conf 查看是否设置了下列项 kern warning err authpriv none t loghost info mail none authpriv none cron none t loghost emerg t loghost local7 t loghost 基线符合性若未设置则低于安全要求中国移动集团管理信息系统部安全加固项目中国移动集团公司第 10 页共 15 页判定依据备注补充操作说明建议配置专门的日志服务器加强日志信息的异地同步备份中国移动集团管理信息系统部安全加固项目中国移动集团公司第 11 页共 15 页第 4 章系统文件 4 1 系统状态 4 1 1 系统 core dump 状态安全基线项目名称操作系统 Linux core dump 状态安全基线要求项安全基线编号 SBL Linux 04 01 01 安全基线项说明系统文件系统 core dump 状态检测操作步骤执行 more etc security limits conf 检查是否包含下列项 soft core 0 hard core 0 基线符合性判定依据若不存在则低于安全要求备注补充操作说明 core dump 中可能包括系统信息易被入侵者利用建议关闭中国移动集团管理信息系统部安全加固项目中国移动集团公司第 12 页共 15 页第 5 章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查根据审视结果修订标准并颁发执行

展开阅读全文

中国移动liunx操作系统安全配置规

最新文档