文案大全Linux系统安全配置基线第1章概述11.1目的11.2适用范围11.3适用版本1第2章安装前准备工作12.1需准备的光盘1第3章操作系统的基本安装23.1基本安装2第4章账号管理、认证授权24.1账号24.1.1用户口令设置2实用标准文档文案大全4.1.2检查是否存在除root之外UID为0的用户3本文规定了Linux操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和配置。1・2适用范围本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。本配置标准适用的范围包括:Linux服务器。1・3适用版本适用于RedhatAS5。第2章安装前准备工作2・1需准备的光盘从RedHat官网下载高级企业服务器版操作系统,并制作成光盘。第3章操作系统的基本安装3.1基本安装(1)应在隔离网络进行安装。选择custom方式,根据最小化原则,仅安装需要的软件包。(2)根据服务器的实际用途来确实是否需要给/VAR,/HOME划分单独的分区。文案大全(3)安装完成后尽快通过合适可行的方式安装重要的补丁程序。第4章账号管理、认证授权4.1账号4・1・1用户口令设置安全基线项操作系统Linux用户口令安全基线要求项目名称检测操作步1询问管理员是否存在如下类似的简单用户密码配置,比如:root/root,test/test,root/root12342、执行:more/etc/login,检查PASS_MIN_LEN12PASS_MAX_DAYS90实用标准文档文案大全PASS_WARN_AGE73、执行:awk-F:'($2==""){print$1}'/etc/shadow,检杳是否存在空口令账号4、编辑/etc/pam.d/system-auth文件,将passwordrequisitepam_cracklib.sotry_first_passretry=3改为passwordrequisitepam_cracklib.sotry_first_passretry=3基线符合性判定依据不允许存在简单密码,密码设置至少包括一个数字和一个特殊字符,长度至少为12位检杳greppamcracklib/etc/pam.d/system-auth修改已有用户的口令生存期和过期告警天数#chage-M90-W7htsc_temp备注实用标准文档文案大全安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线项说明帐号与口令-检杳是否存在除root之外UID为0的用户检测操作步执行:awk-F:'($3==0){print$1}'/etc/passwd实用标准文档文案大全实用标准文档目名称安全基线项说明给不同的用户分配不同的帐号,避免多个用户共享帐号。至少分配root,auditor,operator角色。检测操作步骤1参考配置操作#useraddauditor#新建帐号#passwdauditor#设置口令#chmod700-auditor#修改用户主目录权限,确保只有该用户可以读写#vi/etc/passwd注释掉不用的账户auditor#停用不用的账户基线符合性判定依据1判定条件用新建的用户登陆系统成功,可以做常用的操作,用户不能访问其他用户的主目录。2检测操作用不同用户登陆,检杳用户主目录的权备注4・1・5账号锁定安全基线项目名称操作系统Linuxr认证失败锁定要求项安全基线项说明设置帐号在3次连续尝试认证失败后锁定,锁定时间为1分钟,避免用户口令被暴力破解。检测操作步骤1参考配置操作建立/var/log/faillog文件并设置权限文案大全实用标准文档文案大全实用标准文档文案大全实用标准文档文案大全添加sshd:ALL编辑/etc/hosts.allow添加sshd:168.8.44.0/255.255.255.0#允许168.8.44.0网段远稈登陆sshd:168.8.43.0/255.255.255.0#允许168.8.43.0网段远稈登陆基线符合性判定依据1判定条件只有网管网段可以ssh登陆系统。2、检测操作cat/etc/hosts.denycat/etc/hosts.allow备注对于不需要sshd服务的无需配置该项。中心机房以外的服务器管理,暂时不做源地址限制。4.2.3用户的umask安全配置安全基线项目名称操作系统Linux用户umask安全基线要求项安全基线项说明帐号与口令-用户的umask安全配置检测操作步执行:more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrc骤more/etc/bashrc检杳是否包含umask值基线符合性umask值是默认的,则低于安全要求。判定依备补充操作说明:vi/etc/安全基线项安全基线项文件系统-查找未授权的SUID/SGID文检测操作步基线符合性若存在未授权的文件,则低于安全要求。备补充操作说安全基线项操作系统Linux目录写权限安全基线要求项实用标准文档文案大全建...
