Linux操作系统安全配置基线培训.docx

《Linux操作系统安全配置基线培训.docx》由会员分享，可在线阅读，更多相关《Linux操作系统安全配置基线培训.docx（38页珍藏版）》请在第一文库网上搜索。

1、Linux操作系统安全配置基线培训安全基线文档架构说明文档架构说明Linux安全配置要求文档架构说明1引言2文档架构说明安全基线文档架构说明Linux安全配置要求安全配置要求7.1账户管理-检测UID为0账户安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-01-01超级账户安全基线要求项保证只有root账户的UID为0awk-F:($3=0)print$1/etc/passwd返回值如果显示除root以外的账户,表明不符合安全要求。pRedHatpCentOSpDebian安全配置要求97.1账户管理-root账户环境变量安全基线编号安全基线

2、名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-01-02root账户环境变量安全基线要求项root账户环境变量路径中不应该包含.echo$PATH|sedsXnlg|grep、返回值如果显示.，表明不符合安全要求。pRedHatpCentOSpDebian7.1账户管理-检测空口令账户安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-01-03空口令账户安全基线要求项系统中不能存在空口令账户awk-F:($2=)print$1/etc/shadow返回值如果显示账户，即为空口令的账户，表明不符合安全要求。pRe

3、dHatpCentOSpDebian7.1 账户管理-删除与工作无关的账户SBL-System-Linux-01-04安全基线名称账户整改安全基线要求项检测操作参考安全判定依据备注适用性删除与工作无关的账户，提高系统账户安全cut-d:-fl/etc/passwd将命令返回结果此系统管理员提供的账户列表对比，查看是否有与运维工作无关的账户，如果有此类账户，表明不符合安全要求。无关账户主要指测试账户、共享账户、长期不用账户（半年以上）等。pRedHatpCentOSpDebian7.2口令管理-口令生存期安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Li

4、nux-02-01口令生存期安全基线要求项账户口令生存期最长为90天cat/etc/login.defs|grepPASS_MAX_DAYS返回值如果大于90,表明不符合安全要求。pRedHatpCentOSpDebian安全配置要求安全基线名称安全判定依据7.2 口令管理-口令更改最小间隔SBL-System-Linux-02-02口令更改最小间隔安全基线要求项设置口令更改最小间隔天数，防止口令频繁更改，推荐值为1-6天cat/etc/login.defs|grepPASS_MIN_DAYS返回值如果为0,表明不符合安全要求。PASS.MIN.DAYS默认值为0,表明随时可以修改口令。pRe

5、dHatpCentOSpDebian#安全配置要求137.2口令管理-口令最小长度安全基线编号安全基线名称安全基线要求检测操作参考SBL-System-Linux-02-03口令最小长度安全基线要求项口令最小长度不少于8个字符cat/etc/login.defs|grepPASS_MIN_LEN安全判定依据备注适用性返回值如果小于8,表明不符合安全要求。PASS_MIN_DAYS默认值为0,表明随时可以修改口令。pRedHatpCentOSpDebian7.2口令管理-口令过期前警告天数安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-02-0

6、4口令过期前警告安全基线要求项系统在口令过期前多少天发出修改口令的警告信息给用户，推荐值为15天cat/etc/login.defs|grepPASS_WARN_AGE返回值如果小于15,表明不符合安全要求。DRedHatpCentOSDDebian7.3认证授权-重要文件权限设置安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-03-01重要文件权限安全基线要求项/etc/passwd的默认权限为-rw-r-r-，即644/etc/shadow的默认权限为r,即400(RedHatLinux)/etc/shadow的默认权限为，即000(Ce

7、ntOS)/etc/shadow的默认权限为-rw-r,即640(Debian)/etc/group的默认权限为-rw-r-r-,即644/etc/services的默认权限为-rw-r-r-,即644Is-I/etc/passwdIs-I/etc/shadowIs-I/etc/groupIs-I/etc/services返回值的权限如果大于安全基线要求中的权限，表明不符合安全要求。DRedHatpCentOSDDebian7.3认证授权-重要文件夹权限设置安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-03-02重要文件权限安全基线要求项/

8、etc的默认权限为drwxr-xr-x，即755/etc/security的默认权限为drwxr-xr-x,即755/etc/rc*.d/的默认权限为drwxr-xr-x,即755Is-Id/etcIs-Id/etc/securityIs-Id/etc/rc*.d返回值的权限如果大于安全基线要求中的权限，表明不符合安全要求。pRedHatpCentOSpDebian安全配置要求7.3 认证授权-umask安全管理（可选）SBL-System-Linux-03-03D Red Hat p CentOS p Debian安全基线名称umask安全基线要求项检测操作参考安全判定依据控制用户缺省访问权

9、限cat/etc/profile|grep-iumaskcat/etc/csh.login|grep-iumask（Debian不适用）cat/etc/csh.cshrc|grep-iumask（Debian不适用）cat/etc/bashrc|grep-iumask（Debian不适用）cat/etc/login.defs|grep-iumask检测上述文件中是否存在umask值的设定：1）在RedHatLinux与CentOS中，系统管理员默认umask=022,普通用户默认umask=002，使用命令umask查看系统当前的umask值，如果返回值显示的umask值权限大于默认权限，表明

10、不符合安全要求；2）在Debian中,系统管理员和普通用户默认umask=022,使用命令umask查看系统当前的umask值，如果返回值显示的umask值权限大于默认权限，表明不符合安全要求;14安全配置要求157.4日志审计-syslog日志审计安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System-Linux-04-01syslog日志审计安全基线要求项启用syslog系统日志审计功能cat/etc/syslog.conf|grepauthpriv.*值如果不为authpriv.*/var/log/secure,表明不符合安全要求。pRedHatpCent

11、OSoDebian安全配置要求SBL-System -Linux-05-01远程登录权限管理安全基线要求项通用户远程登录后，切换到root执行相应操作7.5远程维护-远程登录权限管理建议限制root用户远程登录，如果远程执行管理员权限操作，先以普cat/etc/ssh/sshd_config|grepPermitRootLogin|head-n1如果返回值显示PermitRootLoginno,表明已经限制jroot通过ssh、迈程登录；如果显示PermitRootLoginyes,表明root可以用过ssh远程登录，不符合安全要求。DRedHatpCentOSpDebian安全配置要求16D

12、 Red Hat p CentOS p DebianSBL-System -Linux-05-02远程登录方式管理安全基线要求项7.5远程维护-远程登录方式管理建议远程登录管理时使用安全的SSH协议，而不使用明文传输Telnet协议netstat-anupte|grep22(RedHatLinux/CentOS)netstat-anupte|grep23(RedHatLinux/CentOS)netstat-an|grep22(Debian)netstat-an|grep23(Debian)如果返回值显示22口端口，没有显示23号端口,表明SSH开启，Telnet关闭，符合安全要求。17安全配置要求安全基线编号安全基线名称安全基线要求检测操作参考安全判定依据适用性SBL-System -Linux-06-01SNMP默认密码安全基线要求项7.6系统服务-修改SNMP默认密码如需启用SNMP服务，则修改默认SNMPCommunityStringcat