没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
通用 linux 系统安全加固 V1.0
通用 linux 主机操作系统安全加固操作规范
2013 年 4 月
目录
1 文档使用说明 (4)
1.1 适用范围 (4)
1.2 适用人员 (4)
2 帐户安全配置要求 (4)
2.1 创建/etc/shadow 影子口令文件 (4)
2.2 建立多帐户组,将用户账号分配到相应的帐户组 (5)
2.3 删除或锁定可能无用的帐户 (5)
2.4 删除可能无用的用户组 (6)
2.5 检查是否存在空密码的帐户 (6)
2.6 设置口令策略满足复杂度要求 (7)
2.7 设置帐户口令生存周期 (8)
2.8 设定密码历史,不能重复使用最近 5 次(含 5 次)内已使用的
口令 (8)
2.9 限制 root 用户远程登录 (9)
2.10 检查 passwd、group 文件权限设置 (10)
2.11 删除帐户目录下的.netrc/.rhosts/.shosts 文件 (11)
2.12 系统 umask 设置 (11)
3 访问、认证安全配置要求 (12)
3.1 远程登录取消 telnet 采用 ssh (12)
3.2 限制系统帐户 FTP 登录 (12)
3.3 配置允许访问 inetd 服务的 IP 范围或主机名 (13)
3.4 禁止除 root 外帐户使用 at/cron (13)
3.5 设定连续认证失败次数超过 6 次(不含 6 次)锁定该账号 (14)
4 文件系统安全配置要求 (15)
4.1 重要目录和文件的权限设置 (15)
4.2 检查没有所有者的文件或目录 (15)
5 网络服务安全配置要求 (16)
5.1 禁止 NIS/NIS+服务以守护方式运行 (16)
5.2 禁用打印服务以守护方式运行 (17)
5.3 禁用 SENDMAIL 服务以守护方式运行 (17)
5.4 禁用不必要的标准启动服务 (18)
5.5 禁用不必要的 inetd 服务 (22)
6IP 协议安全配置要求 (22)
6.1 关闭 IP 转发 (22)
6.2 关闭转发源路由包 (23)
6.3 增大最大半连接数防范 SYN 攻击 (24)
6.4 关闭 ICMP 重定向 (25)
6.5 关闭响应 echo 广播 (26)
6.6 关闭响应地址掩码和时间戳广播防止探测 (27)
7 日志安全配置要求 (28)
7.1 非日志服务器禁止接收 syslog (28)
7.2 启用 inetd 日志记录 (29)
7.3 配置 SYSLOG (29)
7.4 记录 FTP 会话与命令 (30)
7.5 设置远程日志服务器 (31)
7.6 检查系统日志文件权限 (31)
8 其他安全配置要求 (32)
8.1 禁用图形界面登录 (32)
8.2 字符交互界面帐户超时自动退出 (33)
8.3 图形界面设置默认自动锁屏时间为 10 分钟 (33)
1 文档使用说明
1.1 适用范围
本文档是 Linux 操作系统的对于 Linux 系统的设备账号认证、日
志、协议、补丁升级、文件系统管理等方面的安全配置要求。对系统
的安全配置审计、加固操作起到指导性作用。
1.2 适用人员
一线维护工程师和安全专业服务工程师。要求使用人员熟悉 Unix
命令、系统管理和维护,熟悉安全加固流程。
2 帐户安全配置要求
2.1 创建/e t c/s h a d o w 影子口令文件
配置项名
称
设置影子口令模式
检查方法执行:
#more /etc/shadow
查看是否存在该文件
操作步骤 1、执行备份:
#cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式:
#pwconv
回退操作执行:
#pwunconv
#cp /etc/passwd_bak /etc/passwd
风险说明系统默认使用标准口令模式,切换不成功可能导致整个
用户管理失效
2.2 建立多帐户组,将用户账号分配到相应的帐户组
配置项名
称
建立多帐户组,将用户账号分配到相应的帐户组
检查方法 1、执行:
#more /etc/group
#more /etc/shadow
查看每个组中的用户或每个用户属于那个组2、确认需要修改用户
组的用户
操作步骤 1、执行备份:
#cp –p /etc/group /etc/group_bak 2、修改用户所属组:
# usermod –g group username
回退操作执行:
#cp /etc/group_bak /etc/group
风险说明修改用户所属组可能导致某些应用无法正常运行2.3 删除
或锁定可能无用的帐户
配置项名
称
删除或锁定可能无用的帐户
检查方法 1、执行:
#more /etc/passwd
查看是否存在以下可能无用的帐户:
hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、
与管理员确认需要锁定的帐户
操作步骤 1、执行备份:
#cp –p /etc/passwd /etc/passwd_bak 2、锁定无用帐户:
#passwd -l username
回退操作执行:
#cp /etc/passwd_bak /etc/passwd
风险说明锁定某些用户可能导致某些应用无法正常运行2.4 删除可
能无用的用户组
配置项名
称
删除可能无用的用户组
检查方法 1、执行:
#more /etc/group
查看是否存在以下可能无用的用户组:lp nuucp nogroup
2、与管理员确认需要删除的用户组
操作步骤 1、执行备份:
#cp –p /etc/group /etc/group_bak 2、删除无用的用户组:
#groupdel groupname
剩余17页未读,继续阅读
资源评论
คิดถึง643
- 粉丝: 3908
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功