绿盟Linux安全配置基线.doc

:若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目录第1章 概述 目的 适用范围 适用版本 实施 例外条款 1第2章 账号管理、认证授权 账号 用户口令设置 root用户远程登录限制 检查是否存在除root之外UID为0的用户 root用户环境变量的安全性 认证 远程连接的安全性配置 用户的umask安全配置 重要目录和文件的权限设置 查找未授权的SUID/SGID文件 检查任何人都有写权限的目录 查找任何人都有写权限的文件 检查没有属主的文件 检查异常隐含文件 7第3章 日志审计 日志 syslog登录事件记录 审计 9第4章 系统文件 系统状态 系统coredump状态 11第5章 评审与修订 12概述目的本文档规定了***通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:***总部和各省公司信息化部门维护管理的LINUX服务器系统。适用版本LINUX系列服务器;实施本标准的解释权和修改权属于***集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交***通信有限公司管理信息系统部进行审批备案。账号管理、认证授权账号用户口令设置安全基线项目名称操作系统Linux用户口令安全基线要求项安全基线编号SBL-Linux-02-01-01安全基线项说明帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root,test/test,root/root12342、执行:more/etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行:awk-F:'($2==""){print$1}'/etc/shadow,检查是否存在空口令账号基线符合性判定依据建议在/etc/login文件中配置:PASS_MIN_LEN=6不允许存在简单密码,密码设置符合策略,如长度至少为6不存在空口令账号备注root用户远程登录限制安全基线项目名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-02安全基线项说明帐号与口令-root用户远程登录限制检测操作步骤执行:more/etc/securetty,检查Console参数基线符合性判定依据建议在/etc/securetty文件中配置:CONSOLE=/dev/tty01备注检查是否存在除root之外UID为0的用户安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-03安全基线项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行:awk-F:'($3==0){print$1}'/etc/passwd基线符合性判定依据返回值包括“root”以外的条目,则低于安全要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0root用户环境变量的安全性安全基线项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线编号SBL-Linux-02-01-04安全基线项说明帐号与口令-root用户环境变量的安全性检测操作步骤执行:echo$PATH|egrep'(^|:)(\.|:|$)',检查是否包含父目录,执行:find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录认证远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线