Linux安全配置基线

### Linux安全配置基线知识点详解 #### 一、概述 **1.1 目的** 本文档旨在为XXXX公司的LINUX操作系统提供一套详尽的安全配置标准。这些标准旨在帮助系统管理员确保系统的安全性，并且能够有效地进行合规性检查。 **1.2 适用范围** 该配置标准适用于所有由XXXX公司管理信息系统部门维护的LINUX服务器系统，包括但不限于服务器系统管理员、应用管理员及网络安全管理员等角色。 **1.3 适用版本** 适用于LINUX系列的所有服务器版本。 **1.4 实施** 本文档由XXXX公司管理信息系统部负责解释和修订，在实际执行过程中如有任何疑问或建议，需及时向该部门反馈。 **1.5 例外条款** 如需偏离本文档规定的安全配置标准，须提交书面申请并说明具体原因，经由管理信息系统部批准后方可执行。 #### 二、帐号管理与认证授权 **2.1 帐号** **2.1.1 用户口令设置** - **安全基线编号**: SBL-Linux-02-01-01 - **安全基线项说明**: 对于采用静态口令认证技术的设备，口令的生存期不应超过90天。 - **检测步骤**: - 询问管理员是否有简单的用户密码配置，例如“root/root”、“test/test”等。 - 使用命令`more /etc/login.defs`检查`PASS_MAX_DAYS`、`PASS_MIN_DAYS`和`PASS_WARN_AGE`等参数。 - 执行命令`awk -F: '($2==""){print $1}' /etc/shadow`检查是否存在空口令账号。 - **基线符合性判定依据**: - 在`/etc/login.defs`文件中配置口令的有效期限。 - `PASS_MAX_DAYS`设置为90天（口令最长使用期限）。 - `PASS_MIN_DAYS`设置为0（口令最短使用期限）。 - `PASS_WARN_AGE`设置为7天（口令过期前的提醒时间）。 - 不允许存在空口令账号。 **2.1.2 用户口令强度要求** - **安全基线编号**: SBL-Linux-02-01-02 - **安全基线项说明**: 口令长度至少8位，且包含数字、小写字母、大写字母和特殊符号中的至少两类字符。 - **检测步骤**: - 检查`/etc/pam.d/system-auth`文件中是否正确设置了`pam_cracklib.so`的相关参数。 - **基线符合性判定依据**: - 在`/etc/pam.d/system-auth`文件中设置`password requisite pam_cracklib.so`参数。 - 设置口令复杂度，至少包含一个大写字母、一个小写字母和一个数字。 **2.1.3 用户锁定策略** - **安全基线编号**: SBL-Linux-02-01-03 - **安全基线项说明**: 针对采用静态口令认证技术的设备，需要设定用户登录失败后的锁定策略。 - **检测步骤**: - 检查`/etc/pam.d/system-auth`文件中的`auth required pam_tally2.so`参数配置。 - 使用命令`cat /etc/pam.d/sshd`检查SSH登录尝试失败次数。 - **基线符合性判定依据**: - 设置`auth required pam_tally2.so`来记录失败的登录尝试。 - 通过配置文件`/etc/pam.d/sshd`中的相关参数，实现失败登录尝试达到一定次数后自动锁定账户的功能。 - 可以考虑设置连续失败登录尝试次数为6次后锁定账户，锁定时间为30分钟。 #### 三、认证机制 **2.2 认证** **2.2.1 远程连接的安全性配置** - **安全基线项说明**: 配置SSH服务，确保远程连接的安全性。 - **检测步骤**: - 检查`/etc/ssh/sshd_config`文件中的配置项。 - 使用命令`sshd -T`测试SSH配置的有效性。 - **基线符合性判定依据**: - 设置`Protocol 2`确保使用SSHv2协议。 - 关闭密码认证功能(`PasswordAuthentication no`)，强制使用密钥认证。 - 设置端口号为非默认值（如2222），减少被扫描的风险。 **2.2.2 用户的umask安全配置** - **安全基线项说明**: umask用于控制用户创建的新文件或目录的默认权限。 - **检测步骤**: - 检查`/etc/bash.bashrc`文件中关于umask的配置。 - **基线符合性判定依据**: - 设置umask为027或更严格的值，确保新创建的文件具有适当的权限。 **2.2.3 重要目录和文件的权限设置** - **安全基线项说明**: 设置关键目录和文件的权限，以防止未经授权的访问。 - **检测步骤**: - 使用命令`find / -perm -o=w`检查可写入权限的文件和目录。 - **基线符合性判定依据**: - 确保关键目录和文件只对特定用户或组可见，并且只有最小的必要权限。 - 例如，对于`/etc`目录，应仅允许`root`用户读取和写入。 以上仅为文档的部分内容，后续章节还涉及日志审计、系统文件等方面的安全配置要求，旨在全方位提升Linux系统的安全性。