下载提示
- 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
- 2.下载该文档所得收入归上传者、原创者。
- 3.下载的文档,不会出现我们的网址水印。
文档列表
文档介绍
Linux 系统安全配置基线
绿盟
2009年 3月
版本
版本控制信息
更新日期
更新人
审批人
创建
2009年1月
备注:
若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章 概述 1
目的 1
适用范围 1
适用版本 1
实施 1
例外条款 1
第2章 账号管理、认证授权 2
账号 2
用户口令设置 2
root用户远程登录限制 2
检查是否存在除root之外UID为0的用户 3
root用户环境变量的安全性 3
认证 4
远程连接的安全性配置 4
用户的umask安全配置 4
重要目录和文件的权限设置 4
查找未授权的SUID/SGID文件 5
检查任何人都有写权限的目录 6
查找任何人都有写权限的文件 6
检查没有属主的文件 7
检查异常隐含文件 7
第3章 日志审计 9
日志 9
syslog登录事件记录 9
审计 9
9
第4章 系统文件 11
系统状态 11
系统core dump状态 11
第5章 评审与修订 12
概述
目的
本文档规定了***通信有限公司管理信息系统部门所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。
适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:***总部和各省公司信息化部门维护管理的LINUX 服务器系统。
适用版本
LINUX系列服务器;
实施
本标准的解释权和修改权属于***集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交***通信有限公司管理信息系统部进行审批备案。
账号管理、认证授权
账号
用户口令设置
安全基线项目名称
操作系统Linux用户口令安全基线要求项
安全基线编号
SBL-Linux-02-01-01
安全基线项说明
帐号与口令-用户口令设置
检测操作步骤
1、询问管理员是否存在如下类似的简单用户密码配置,比如:
root/root, test/test, root/root1234
2、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数
3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号
基线符合性判定依据
建议在/etc/login文件中配置:PASS_MIN_LEN=6
不允许存在简单密码,密码设置符合策略,如长度至少为6
不存在空口令账号
备注
root用户远程登录限制
安全基线项目名称
操作系统Linux远程登录安全基线要求项
安全基线编号
SBL-Linux-02-01-02
安全基线项说明
帐号与口令-root用户远程登录限制
检测操作步骤
执行:more /etc/securetty,检查Console参数
基线符合性判定依据
建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01
备注
检查是否存在除root之外UID为0的用户
安全基线项目名称
操作系统Linux超级用户策略安全基线要求项
安全基线编号
SBL-Linux-02-01-03
安全基线项说明
帐号与口令-检查是否存在除root之外UID为0的用户
检测操作步骤
执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd
基线符合性判定依据
返回值包括“root”以外的条目,则低于安全要求;
备注
补充操作说明
UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0
root用户环境变量的安全性
安全基线项目名称
操作系统Linux超级用户环境变量安全基线要求项
安全基线编号
SBL-Linux-02-01-04
安全基线项说明
帐号与口令-root用户
绿盟
2009年 3月
版本
版本控制信息
更新日期
更新人
审批人
创建
2009年1月
备注:
若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章 概述 1
目的 1
适用范围 1
适用版本 1
实施 1
例外条款 1
第2章 账号管理、认证授权 2
账号 2
用户口令设置 2
root用户远程登录限制 2
检查是否存在除root之外UID为0的用户 3
root用户环境变量的安全性 3
认证 4
远程连接的安全性配置 4
用户的umask安全配置 4
重要目录和文件的权限设置 4
查找未授权的SUID/SGID文件 5
检查任何人都有写权限的目录 6
查找任何人都有写权限的文件 6
检查没有属主的文件 7
检查异常隐含文件 7
第3章 日志审计 9
日志 9
syslog登录事件记录 9
审计 9
9
第4章 系统文件 11
系统状态 11
系统core dump状态 11
第5章 评审与修订 12
概述
目的
本文档规定了***通信有限公司管理信息系统部门所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。
适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:***总部和各省公司信息化部门维护管理的LINUX 服务器系统。
适用版本
LINUX系列服务器;
实施
本标准的解释权和修改权属于***集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交***通信有限公司管理信息系统部进行审批备案。
账号管理、认证授权
账号
用户口令设置
安全基线项目名称
操作系统Linux用户口令安全基线要求项
安全基线编号
SBL-Linux-02-01-01
安全基线项说明
帐号与口令-用户口令设置
检测操作步骤
1、询问管理员是否存在如下类似的简单用户密码配置,比如:
root/root, test/test, root/root1234
2、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数
3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号
基线符合性判定依据
建议在/etc/login文件中配置:PASS_MIN_LEN=6
不允许存在简单密码,密码设置符合策略,如长度至少为6
不存在空口令账号
备注
root用户远程登录限制
安全基线项目名称
操作系统Linux远程登录安全基线要求项
安全基线编号
SBL-Linux-02-01-02
安全基线项说明
帐号与口令-root用户远程登录限制
检测操作步骤
执行:more /etc/securetty,检查Console参数
基线符合性判定依据
建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01
备注
检查是否存在除root之外UID为0的用户
安全基线项目名称
操作系统Linux超级用户策略安全基线要求项
安全基线编号
SBL-Linux-02-01-03
安全基线项说明
帐号与口令-检查是否存在除root之外UID为0的用户
检测操作步骤
执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd
基线符合性判定依据
返回值包括“root”以外的条目,则低于安全要求;
备注
补充操作说明
UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0
root用户环境变量的安全性
安全基线项目名称
操作系统Linux超级用户环境变量安全基线要求项
安全基线编号
SBL-Linux-02-01-04
安全基线项说明
帐号与口令-root用户
绿盟Linux安全配置基线 来自淘豆网www.taodocs.com转载请标明出处.