第1页共44页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共44页华为技术有限公司内部技术指导DKBA8328-2015.11Linux安全应用指导华为技术有限公司HuaweiTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved修订声明Revisiondeclaration第2页共44页第1页共44页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共44页本指导拟制与解释部门:网络安全能力中心本指导的相关系列规范或文件:相关国际规范或文件一致性:替代或作废的其它规范或文件:无相关规范或文件的相互关系:无第3页共44页第2页共44页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共44页目录简介................................................................................................................................................6使用对象............................................................................................................................................6适用范围............................................................................................................................................6指导解释............................................................................................................................................6用词约定............................................................................................................................................6术语解释............................................................................................................................................71权限管理.................................................................................................................................81.1权限最小化............................................................................................................................81.1.1禁止直接使用root账号登录Linux系统..............................................................................81.1.2除有明确特权需求,应用程序应以非root账号运行.........................................................91.1.3采用不同权限的帐号运行不同的应用并对帐号进行权限分离.........................................91.1.4在运行时有特权需求的程序,在特权操作完后如后续无特权需求,必须使用setuid放弃特权.............................................................................................................................................101.1.5使用sudo机制代替以root帐号登录运行特权程序的方式。..........................................111.1.6应对允许使用su到root帐号的用户进行明确授权,非授权用户不能切换到root.......111.1.7使用POSIXCapabilities功能避免直接使用root权限......................................................121.2文件和目录权限..................................................................................................................141.2.1系统中禁止有无主文件存在............................................................................................141.2.2除有明确需求,应删除文件不必要的setuid和setgid位.................................................141.2.3应为系统用户设置缺省的umask值................................................................................151.2.4使用特殊属性位Sticky位对共享目录权限进行控制.......................................................161.2.5利用特殊文件属性Append-only位保护系统命令行历史日志文件,防止内容被篡改162访问控制......................................................................
