Linux系统安全配置基线第1章帐号管理、认证授权1.1帐号1.1.1用户口令设置安全基线项目名称操作系统Linux用户口令设置安全基线要求项安全基线编号SBL-Linux-02-01-01安全基线项说明对于米用静态口令认证技术的设备,帐户口令的生存期不长于90天。检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root,test/test,root/root12342、执行:more/etc/login.defs,检查PASSMAXDAYS/PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行:awk-F:'($2==""){print$1}'/etc/shadow,检查是否存在空口令帐号基线符合性判定依据建议在/etc/login.defs文件中配置:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数不存在空口令帐号备注1.1.2用户口令强度要求安全基线项目名称操作系统Linux用户口令强度安全基线要求项安全基线编号SBL-Linux-02-01-02安全基线项说明对于米用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤/etc/pam.d/system-auth文件中是否对pam_cracklib.so的参数进行了正确设置。基线符合性判定依据建议在/etc/pam.d/system-auth文件中配置:passwordrequisitepam_cracklib.sodifok=3minlen=8ucredit=-llcredit=-1dcredit=1至少8位,包含一位大写字母,一位小写字母和一位数字备注1.1.3用户锁定策略安全基线项目名称操作系统Linux用户口令锁定策略安全基线要求项安全基线编号SBL-Linux-02-01-03安全基线项说明对于米用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次,锁定该用户使用的帐号。检测操作步骤/etc/pam.d/system-auth文件中是否对pam_tally.so的参数进行了正确设置。基线符合性判定依据设置连续输错10次密码,帐号锁定5分钟,使用命令“vi/etc/pam.d/system-auth”修改配置文件,添加authrequiredpam_tally.soonerr=faildeny=10uniock_time=300注:解锁用户faillog-u<用户名〉-r备注1.1.4root用户远程登录限制安全基线项目名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-04安全基线项说明帐号与口令-root用户远程登录限制检测操作步骤执行:more/etc/securetty,检查Console参数基线符合性判定依据建议在/etc/securetty文件中配置:CONSOLE=/dev/ttyOl备注1・1・5检查是否存在除root之外UID为0的用户安全基线项目名称操作系统Linux超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-05安全基线项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行:awk-F:'($3==0){print$1}'/etc/passwd基线符合性判定依据返回值包括“root”以外的条目,贝9低于安全要求;备注补充操作说明UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为1・1・6root用户环境变量的安全性安全基线项目名称操作系统Linux超级用户环境变量安全基线要求项安全基线编号SBL-Linux-02-01-06安全基线项说明帐号与口令-root用户环境变量的安全性检测操作步骤执行:echo$PATH1egrep'(人1:)(\.1:1$)',检查是否包含父目录,执行:find'echo$PATH1tr':'''、-typed\(-perm-002-o-perm-020\)-ls,检查是否包含组目录权限为777的目录基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录1.2认证1.2.1远程连接的安全性配置安全基线项目名称操作系统Linux远程连接安全基线要求项安全基线编号SBL-Linux-02-02-01安全基线项说明帐号与口令-远程连接的安全性配置检测操作步骤执彳丁:find/-name.netrc,检查系统中是否有.netrc文件,执彳丁:find/-name.rhosts,检查系统中是否有.rhosts文件基线符合性判定依据返回值包含以上条件,则低于安全要求;备注补充操作说明如无必要,删除这两个文件1.2.2用户的umask安全配置安全基线项目名称操作系统Linux用户umask安全基线要求项安全基线编号SBL-Linux-02-02-02安全基线项说明帐号与口令-用户的umask安全配置检测...
