Linux系統平安配置基線中國移動通信有限公司管理信息系統部2009年3月

版本版本限制信息更新日期更新人審批人V1.0創立2009年1月備注：假設此文檔須要日后更新，請創立人填寫版本限制表格，否那么刪除版本限制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第2章 賬號管理、認證授權 22.1 賬號 2 用戶口令設置 2 root用戶遠程登錄限制 2 檢查是否存在除root之外UID為0的用戶 3 root用戶環境變量的平安性 32.2 認證 4 遠程連接的平安性配置 4 用戶的umask平安配置 4 重要書目和文件的權限設置 4 查找未授權的SUID/SGID文件 5 檢查任何人都有寫權限的書目 6 查找任何人都有寫權限的文件 6 檢查沒有屬主的文件 7 檢查異樣隱含文件 7第3章 日志審計 93.1 日志 9 syslog登錄事務記錄 93.2 審計 9 Syslog.conf的配置審核 9第4章 系統文件 114.1 系統狀態 11 系統coredump狀態 11第5章 評審與修訂 12概述目的本文檔規定了中國移動通信有限公司管理信息系統部門所維護管理的LINUX操作系統的主機應當遵循的操作系統平安性設置標準，本文檔旨在指導系統管理人員或平安檢查人員進展LINUX操作系統的平安合規性檢查和配置。適用范圍本配置標準的運用者包括：效勞器系統管理員、應用管理員、網絡平安管理員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的LINUX效勞器系統。適用版本LINUX系列效勞器；實施本標準的說明權和修改權屬于中國移動集團管理信息系統部，在本標準的執行過程中假設有任何疑問或建議，應剛好反應。本標準發布之日起生效。例外條款欲申請本標準的例外條款，申請人必需準備書面申請文件，說明業務需求和緣由，送交中國移動通信有限公司管理信息系統部進展審批備案。

賬號管理、認證授權賬號用戶口令設置平安基線工程名稱操作系統Linux用戶口令平安基線要求項平安基線編號SBL-Linux-02-01-01平安基線項說明帳號與口令-用戶口令設置檢測操作步驟1、詢問管理員是否存在如下類似的簡潔用戶密碼配置，比方：root/root,test/test,root/root12342、執行：more/etc/login，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE參數3、執行：awk-F:'($2==""){print$1}'/etc/shadow,檢查是否存在空口令賬號基線符合性判定依據建議在/etc/login文件中配置：PASS_MIN_LEN=6不允許存在簡潔密碼，密碼設置符合策略，如長度至少為6不存在空口令賬號備注root用戶遠程登錄限制平安基線工程名稱操作系統Linux遠程登錄平安基線要求項平安基線編號SBL-Linux-02-01-02平安基線項說明帳號與口令-root用戶遠程登錄限制檢測操作步驟執行：more/etc/securetty，檢查Console參數基線符合性判定依據建議在/etc/securetty文件中配置：CONSOLE=/dev/tty01備注檢查是否存在除root之外UID為0的用戶平安基線工程名稱操作系統Linux超級用戶策略平安基線要求項平安基線編號SBL-Linux-02-01-03平安基線項說明帳號與口令-檢查是否存在除root之外UID為0的用戶檢測操作步驟執行：awk-F:'($3==0){print$1}'/etc/passwd基線符合性判定依據返回值包括“root”以外的條目，那么低于平安要求；備注補充操作說明UID為0的任何用戶都擁有系統的最高特權，保證只有root用戶的UID為0root用戶環境變量的平安性平安基線工程名稱操作系統Linux超級用戶環境變量平安基線要求項平安基線編號SBL-Linux-02-01平安基線項說明帳號與口令-root用戶環境變量的平安性檢測操作步驟執行：echo$PATH|egrep'(^|:)(\.|:|$)'，檢查是否包含父書目，執行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組書目權限為777的書目基線符合性判定依據返回值包含以上條件，那么低于平安要求；備注補充操作說明確保root用戶的系統路徑中不包含父書目，在非必要的狀況下，不應包含組權限為777的書目認證遠程連接的平安性配置平安基線工程名稱操作系統Linux遠程連接平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明帳號與口令-遠程連接的平安性配置檢測操作步驟執行：find/-rc，檢查系統中是否有.netrc文件，執行：find/-name.rhosts，檢查系統中是否有.rhosts文件基線符合性判定依據返回值包含以上條件，那么低于平安要求；備注補充操作說明如無必要，刪除這兩個文件用戶的umask平安配置平安基線工程名稱操作系統Linux用戶umask平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明帳號與口令-用戶的umask平安配置檢測操作步驟執行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值基線符合性判定依據umask值是默認的，那么低于平安要求備注補充操作說明建議設置用戶的默認umask=077重要書目和文件的權限設置平安基線工程名稱操作系統Linux書目文件權限平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統-重要書目和文件的權限設置檢測操作步驟執行以下叮囑檢查書目和文件的權限設置狀況：ls–l/etc/ls–l/etc/rc.d/init.d/ls–l/tmpls–l/etc/inetd.confls–l/etc/passwdls–l/etc/shadowls–l/etc/groupls–l/etc/securityls–l/etc/servicesls-l/etc/rc*.d基線符合性判定依據假設權限過低，那么低于平安要求；備注補充操作說明對于重要書目，建議執行如下類似操作：#chmod-R750/etc/rc.d/init.d/*這樣只有root可以讀、寫和執行這個書目下的腳本。查找未授權的SUID/SGID文件平安基線工程名稱操作系統LinuxSUID/SGID文件平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統-查找未授權的SUID/SGID文件檢測操作步驟用下面的叮囑查找系統中全部的SUID和SGID程序，執行：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART\(-perm-04000-o-perm-02000\)-typef-xdev-printDone基線符合性判定依據假設存在未授權的文件，那么低于平安要求；備注補充操作說明建議常常性的比照suid/sgid文件列表，以便能夠剛好發覺可疑的后門程序檢查任何人都有寫權限的書目平安基線工程名稱操作系統Linux書目寫權限平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統-檢查任何人都有寫權限的書目檢測操作步驟在系統中定位任何人都有寫權限的書目用下面的叮囑：forPARTin`awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab`;dofind$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據假設返回值非空，那么低于平安要求；備注查找任何人都有寫權限的文件平安基線工程名稱操作系統Linux文件寫權限平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統-查找任何人都有寫權限的文件檢測操作步驟在系統中定位任何人都有寫權限的文件用下面的叮囑：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-printDone基線符合性判定依據假設返回值非空，那么低于平安要求；備注檢查沒有屬主的文件平安基線工程名稱操作系統Linux文件全部權平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統-檢查沒有屬主的文件檢測操作步驟定位系統中沒有屬主的文件用下面的叮囑：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone留意：不用管“/dev”書目下的那些文件。基線符合性判定依據假設返回值非空，那么低于平安要求；備注補充操作說明發覺沒有屬主的文件往往就意味著有黑客入侵你的系統了。不能允許沒有主子的文件存在。假如在系統中發覺了沒有主子的文件或書目，先查看它的完整性，假如一切正常，給它一個主子。有時候卸載程序可能會出現一些沒有主子的文件或書目，在這種狀況下可以把這些文件和書目刪除掉。檢查異樣隱含文件平安基線工程名稱操作系統Linux隱含文件平安基線要求項平安基線編號SBL-Linux-02-02平安基線項說明文件系統-檢查異樣隱含文件檢測操作步驟用“find”程序可以查找到這些隱含文件。例如：#find/-name"..*"-print–xdev#find/-name"…*"-print-xdev|cat-v同時也要留意象“.xx”和“.mail”這樣的文件名的。〔這些文件名看起來都很象正常的文件名〕基線符合性判定依據假設返回值非空，那么低于平安要求；備注補充操作說明在系統的每個地方都要查看一下有沒有異樣隱含文件〔點號是起始字符的，用“ls”叮囑看不到的文件〕，因為這些文件可能是隱藏的黑客工具或者其它一些信息〔口令破解程序、其它系統的口令文件，等等〕。在UNIX下，一個常用的技術就是用一些特殊的名，如：“…”、“..”〔點點空格〕或“..^G”〔點點control-G〕，來隱含文件或書目。

日志審計日志syslog登錄事務記錄平安基線工程名稱操作系統Linux登錄審計平安基線要求項平安基線編號SBL-Linux-03平安基線項說明