下载后可任意编辑Linux 安全配置法律规范 11 月下载后可任意编辑第一章 概述1.1 适用范围适用于中国电信使用 Linux 操作系统的设备。本法律规范明确了安全配置的基本要求, 可作为编制设备入网测试、 安全验收、 安全检查法律规范等文档的参考。第二章 安全配置要求2.1 账号编号: 1要求内容应根据不同的用户分配不同的账号, 避开不同用户间共享账号, 避开用户账号和设备间通信使用的账号共享。操作指南1、 参考配置操作为用户创立账号: #useradd username #创立账号#passwd username #设置密码修改权限: #chmod 750 directory #其中 750 为设置的权限, 可根据实际情况设置相应的权限, directory 是要更改权限的目录)使用该命令为不同的用户分配不同的账号, 设置不同的口令及权限信息等。2、 补充操作说明检测方法1、 判定条件能够登录成功而且能够进行常见操作; 2、 检测操作使用不同的账号进行登录并进行一些常见操作; 3、 补充说明编号: 2要求内容应删除或锁定与设备运行、 维护等工作无关的账号。操作指南1、 参考配置操作删除用户: #userdel username; 下载后可任意编辑锁定用户: 1)修改/etc/shadow 文件, 用户名后加*LK*2)将/etc/passwd 文件中的 shell 域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用, #passwd -l username 锁定用户,用#passwd –d username 解锁后原有密码失效, 登录需输入新密码, 修改/etc/shadow 能保留原有密码。2、 补充操作说明需要锁定的用户: listen,gdm,webservd,nobody,nobody4、 noaccess。检测方法1、 判定条件被删除或锁定的账号无法登录成功; 2、 检测操作使用删除或锁定的与工作无关的账号登录系统; 3、 补充说明需要锁定的用户: listen,gdm,webservd,nobody,nobody4、 noaccess。编号: 3 要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作, 应先以普通权限用户远程登录后, 再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作编辑/etc/passwd, 帐号信息的 shell 为/sbin/nologin 的为禁止远程登录, 如要允许, 则改成能够登录的 shell 即可, 如/bin/bash2、 补充操作说明假如限制 root 从远程 ssh 登录, 修改/etc/ssh/sshd_config 文件, 将PermitRootLogin yes 改为 PermitRootLogin no, 重启 sshd 服务。检测方法1、 判定条件r...
