Linux安全配置基线.doc

Linux系统安全配置基线
目录
第1章概述 (1)
1.1目的 (1)
1.2适用范围 (1)
1.3适用版本 (1)
第2章安装前准备工作 (1)
2.1需准备的光盘 (1)
第3章操作系统的基本安装 (1)
3.1基本安装 (1)
第4章账号管理、认证授权 (2)
4.1账号 (2)
4.1.1用户口令设置 (2)
4.1.2检查是否存在除root之外UID为0的用户 (3)
4.1.3检查多余账户 (3)
4.1.4分配账户 (3)
4.1.5账号锁定 (4)
4.1.6检查账户权限 (5)
4.2认证 (5)
4.2.1远程连接的安全性配置 (5)
4.2.2限制ssh连接的IP配置 (5)
4.2.3用户的umask安全配置 (6)
4.2.4查找未授权的SUID/SGID文件 (7)
4.2.5检查任何人都有写权限的目录 (7)
4.2.6查找任何人都有写权限的文件 (8)
4.2.7检查没有属主的文件 (8)
4.2.8检查异常隐含文件 (9)
第5章日志审计 (10)
5.1日志 (10)
5.1.1syslog登录事件记录 (10)
5.2审计 (10)
5.2.1Syslog.conf的配置审核 (10)
5.2.2日志增强 (11)
5.2.3syslog系统事件审计 (11)
第6章其他配置操作 (12)
6.1系统状态 (12)
6.1.1系统超时注销 (12)
6.2L INUX服务 (12)
6.2.1禁用不必要服务 (12)
第7章持续改进 (13)。

linux系统安全基线Linux系统安全基线是指在构建和维护Linux操作系统时，按照一系列预定义的安全措施和规范来实施的一种最佳实践。

它主要是为了减少系统遭受恶意攻击的概率，保护系统的机密性、完整性和可用性。

本文将详细阐述Linux系统安全基线涉及的各个方面，并一步一步回答有关问题。

第一步：建立访问控制机制首先，我们需要建立合理的访问控制机制来限制用户的权限。

这可以通过为每个用户分配适当的权限级别和角色来实现。

例如，管理员账户应该具有最高的权限，而普通用户账户只能执行有限的操作。

此外，应该禁用不必要的账户，并定期审计所有账户和权限。

问题1：为什么建立访问控制机制是Linux系统安全基线的重要组成部分？答：建立访问控制机制可以限制用户的权限，避免未经授权的访问和滥用系统权限，从而提高系统的安全性。

问题2：如何建立访问控制机制？答：建立访问控制机制可以通过分配适当的权限级别和角色给每个用户来实现，同时禁用不必要的账户，并定期审计账户和权限。

第二步：加强系统密码策略系统密码是保护用户账户和系统数据的重要屏障，因此需要加强密码策略。

这包括要求用户使用强密码、定期更新密码、限制密码尝试次数等。

此外，为了避免密码泄露和未经授权的访问，应该启用多因素身份验证。

问题3：为什么加强系统密码策略是Linux系统安全基线的重要组成部分？答：加强系统密码策略可以提高账户和系统数据的安全性，避免密码泄露和未经授权的访问。

问题4：如何加强系统密码策略？答：加强系统密码策略可以通过要求用户使用强密码、定期更新密码、启用密码复杂性检查、限制密码尝试次数等方式来实现。

第三步：更新和修补系统Linux系统安全基线要求及时更新和修补系统以纠正已知的漏洞和安全问题。

这涉及到定期更新操作系统和软件包，并及时应用安全补丁。

此外，应该禁用不必要的服务和端口，以减少攻击面。

问题5：为什么更新和修补系统是Linux系统安全基线的重要组成部分？答：更新和修补系统可以修复已知的漏洞和安全问题，减少系统受攻击的风险。

linux安全基线是指一系列的安全措施和配置规则1. 引言1.1 概述在当今互联网时代，保障操作系统的安全性变得愈发重要。

Linux作为一种开源且广泛使用的操作系统，也需要采取相应的安全措施来保护用户的敏感数据和系统的稳定性。

而Linux安全基线就是指一系列的安全措施和配置规则，旨在确保Linux系统能够达到预期的安全水平。

1.2 文章结构本文将围绕Linux安全基线展开论述，并结合实际案例和专业知识提供相关实施步骤和建议。

具体而言，文章将包括以下几个部分：引言、Linux安全基线概念、Linux安全基线内容、实施Linux安全基线的步骤以及结论。

通过这些内容的详细阐述，读者将能够了解到如何制定适合自己机构或个人环境下的Linux安全基线策略，并对未来发展趋势有所展望。

1.3 目的本文的目标是传达关于Linux安全基线的重要性与必要性，并提供读者一些关于该主题方面概念、内容以及实施步骤等方面准确清晰的信息。

希望通过本文的阅读，读者能够对Linux操作系统安全方面有更全面的认识，并在实际应用中能够有效地保护自己的系统和数据。

同时，也希望本文的内容能够引发对未来Linux 安全基线发展的深入思考，并鼓励读者积极参与安全建设并提出宝贵意见和建议。

2. Linux安全基线概念2.1 定义Linux安全基线是指一系列的安全措施和配置规则，旨在保护Linux系统免受恶意攻击和未经授权访问的威胁。

它是一种标准化的安全配置框架，用于确保系统在设计、实施和管理过程中具备最低限度的安全要求。

2.2 作用Linux安全基线的主要作用是提供一套可行的最佳实践原则，以确保Linux系统的稳定性和可靠性。

通过使用安全基线，可以降低系统受到安全漏洞利用或未经授权访问的风险，并减轻可能发生的损失。

同时，Linux安全基线还能够帮助组织建立一个统一、标准且可重复的安全配置方式。

这有助于简化系统管理流程，并提高整个组织对系统进行合规评估和审计时的效率。

绿盟Linux安全配置基线绿盟安全加固项目Linux 系统安全配置基线绿盟2009年 3月绿盟第 1 页共 15 页绿盟安全加固项目版本版本控制信息更新日期更新人审批人创建 2009年1月 V1.0备注:1. 若此文档需要日后更新～请创建人填写版本控制表格～否则删除版本控制表格。

绿盟第 2 页共 15 页绿盟安全加固项目目录第1章概述 ..................................................................... ............................................... 错误～未定义书签。

1.1 目的 ..................................................................... ...............................................错误～未定义书签。

1.2 适用范围 ...........................................................................................................错误～未定义书签。

1.3 适用版本 ..................................................................... ......................................错误～未定义书签。

1.4 实施 ..................................................................... ...............................................错误～未定义书签。

Linux 系统安全配置基线武汉明嘉信信息安全检测评估有限公司文档变更记录备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 适用版本 (4)1.4 实施 (4)1.5 例外条款......................................................................................... 错误！未定义书签。

第2章帐号管理、认证授权. (5)2.1 帐号 (5)2.1.1用户口令设置 (5)2.1.2用户口令强度要求 (5)2.1.3用户锁定策略 (6)2.1.4root用户远程登录限制 (6)2.1.5检查是否存在除root之外UID为0的用户 (7)2.1.6root用户环境变量的安全性 (7)2.2 认证 (7)2.2.1远程连接的安全性配置 (7)2.2.2用户的umask安全配置 (8)2.2.3重要目录和文件的权限设置 (8)2.2.4查找未授权的SUID/SGID文件* (9)2.2.5检查任何人都有写权限的目录* (10)2.2.6查找任何人都有写权限的文件* (10)2.2.7检查没有属主的文件* (11)2.2.8检查异常隐含文件* (11)2.2.9登录超时设置 (12)2.2.10使用SSH远程登录 (12)2.2.11Root远程登录限制 (13)2.2.12关闭不必要的服务* (13)第3章日志审计 (15)3.1 日志 (15)3.1.1syslog登录事件记录* (15)3.2 审计 (15)3.2.1Syslog.conf的配置审核* (15)第4章系统文件 (17)4.1 系统状态 (17)4.1.1系统core dump状态 (17)第5章评审与修订 (18)第1章概述1.1 目的本文档规定了武汉明嘉信信息安全检测评估有限公司技术部所维护管理的LINUX 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。

1.目的为加强集团Linux系统的安全管理，规范Linux系统的安全配置，降低系统运行风险，确保集团系统的安全运行。

2.适用范围本规范适用于集团。

3.管理职责风控中心负责批准、发布本规范。

风控中心负责组织编写本规范，并且引导相关部门及人员落实实施。

系统管理员对Linux系统的安全配置负首要责任。

4.管理内容及要求4.1系统安全(1)确保集团架构中的Linux系统主机已安装了必需的补丁程序。

建议根据Linux系统主机服务运行的具体情况，有选择性地进行补丁的测试、安装。

(2)补丁应下载到一个固定的专用目录，该目录只允许系统管理员访问和读写。

(3)补丁安装完毕后，系统管理员应对系统所运行服务进行细致地检查。

以确认禁用的服务没有被启用（有的补丁可能会修改系统的某些服务的状态）。

(4)在安装软件或对系统配置等进行改变前，要先检查系统日志和应用程序日志，保证系统处在最健康的状态，以避免在安装软件或修改配置时出现不可预料的问题。

4.2账号策略配置特权账户密码应尽可能设置为高安全性的复杂密码；密码设置至少有12个字符长，且须字母或特殊字符与数字组合，并定期（3˜6个月）更换密码一次。

严禁将密码设置为如123456 等过于简单的傻瓜式密码，若因此被其他人员非法登陆后产生严重后果的，由网络管理员负责。

4.3安全配置4.3.1账号(1)应按照不同的用户分配不同的账号。

避免不同用户间共享账号。

避免用户账号和设备使用的帐号共享（加固命令参照用例：为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中750 为设置的权限，可根据实际情况设置相应的权限，directory 是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

）(2)应删除或锁定与设备运行、维护等工作无关的账号。

（加固命令参照用例：删除用户：#userdel username;锁定用户：1)修改/etc/shadow 文件，用户名后加*LK*2)将/etc/passwd文件中的shell 域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username 锁定用户,用#passwd–d usernam解锁后原有密码失效，登录需输入新密码，修改/etc/shadow 能保留原有密码。

linux安全基线是指一系列的安全措施和配置规则，旨在保护Linux操作系统免受各种安全威胁的影响。

那么，如何建立一个强大且有效的Linux安全基线呢？A secure Linux baseline refers to a set of security measures and configuration rules designed to protect the Linux operating system from various security threats. It is crucial for organizations and individuals to establish a robust and effective Linux security baseline in order to safeguard sensitive data, maintain system integrity, and prevent unauthorized access.一个强大的Linux安全基线应该从以下几个方面进行考虑和配置。

首先是操作系统的硬化。

这意味着禁用不必要的服务和功能，删除或禁用不安全或过时的软件包，并确保操作系统及其组件都是最新版本。

应该启用防火墙，并正确配置网络访问控制列表（ACL）以限制对系统的访问。

其次是访问控制和用户权限管理。

建议通过创建复杂且强密码以及实施密码策略来加固用户账户。

使用SSH密钥认证来替代密码登录，并实施多因素身份验证来提高系统安全性。

另外，限制root用户访问并采取适当措施限制普通用户的特权。

还有文件和目录权限设置。

应该采用最小权限原则，并为每个用户和角色分配最小的权限集合。

同时，定期审核文件和目录权限，确保只有授权的用户或角色能够访问敏感文件和目录。

加密与数据保护也是一个重要的考虑因素。

建议使用可信任的加密算法来保护存储在系统中的敏感数据，并采取备份和恢复策略以应对可能的数据丢失情况。

linux系统安全配置基线Linux系统安全配置基线一、概述Linux系统是广泛应用于服务器和个人计算机的操作系统，为了保障系统的安全性，需要进行安全配置。

本文将介绍Linux系统安全配置的基线要求，包括密码策略、用户权限管理、网络安全、日志审计等方面。

二、密码策略1. 密码长度：设置密码最小长度为8个字符，建议包括大小写字母、数字和特殊字符，并定期更换密码。

2. 密码复杂度：要求密码包含大小写字母、数字和特殊字符，不允许使用常见的弱密码。

3. 密码锁定：设置密码锁定策略，限制密码输入错误次数，并设置锁定时间，以防止暴力破解。

三、用户权限管理1. 最小权限原则：给予用户最小权限，避免赋予过高的权限，以减少潜在的安全风险。

2. 禁用不必要的账户：禁用或删除不再使用的账户，避免被攻击者利用。

3. 定期审核权限：定期审查用户的权限，及时撤销不必要的权限。

四、网络安全1. 防火墙配置：配置防火墙规则，只开放必要的端口，限制对系统的非法访问。

2. 网络服务安全：关闭不必要的网络服务，只保留必要的服务，并对其进行定期更新和安全加固。

3. 网络连接监控：监控网络连接情况，及时发现异常连接，并采取相应的安全措施。

4. 网络流量分析：对网络流量进行分析，发现异常流量和攻击行为，采取相应的防御措施。

五、日志审计1. 启用日志功能：启用系统日志功能，记录关键事件和操作，以便后期审计和溯源。

2. 日志存储和保护：将日志存储在安全的地方，并设置合适的权限，防止被篡改或删除。

3. 日志监控和告警：监控日志内容，及时发现异常事件，并设置告警机制，及时采取应对措施。

六、软件更新和补丁管理1. 及时更新软件：定期更新操作系统和应用软件，及时修补已知漏洞，以提高系统的安全性。

2. 自动更新设置：配置自动更新策略，保证系统能够及时获取最新的安全补丁。

七、文件和目录权限控制1. 文件权限设置：合理设置文件和目录的权限，避免敏感文件被非授权用户访问。

Linux安全基线配置标准Linux安全基线配置标准目录第1章帐号管理、认证授权 (3)1.1帐号 (3)1.1.1用户口令设置 (3)1.1.2用户口令强度要求 (3)1.1.3root用户远程登录限制 (4)1.1.4检查是否存在除root之外UID为0的用户 (4) 1.1.5口令重复次数限制* (4)1.2认证 (5)1.2.1用户的umask安全配置 (5)1.2.2重要目录和文件的权限设置 (5)1.2.3查找未授权的SUID/SGID文件* (6)1.2.4登录超时设置 (6)1.2.5使用SSH远程登录 (7)第2章日志审计 (9)2.1日志 (9)2.1.1syslog登录事件记录* (9)2.2审计 (9)2.2.1Syslog.conf的配置审核* (9)第3章协议安全 (11)3.1协议安全 (11)3.1.1修改SNMP的默认Community (11)3.1.2禁止root用户登录FTP (11)3.1.3禁止匿名FTP (12)第1章帐号管理、认证授权1.1帐号1.1.1用户口令设置1.1.2用户口令强度要求1.1.3root用户远程登录限制1.1.4检查是否存在除root之外UID为0的用户1.1.5口令重复次数限制*1.2认证1.2.1用户的umask安全配置1.2.2重要目录和文件的权限设置1.2.3查找未授权的SUID/SGID文件*1.2.4登录超时设置1.2.5使用SSH远程登录2.1日志2.1.1syslog登录事件记录*2.2审计2.2.1Syslog.conf的配置审核*第3章协议安全3.1协议安全3.1.1修改SNMP的默认Community3.1.2禁止root用户登录FTP3.1.3禁止匿名FTP。

SuSELinux安全配置基线规范V1.12019年3月18日目录修订记录2第1章概述31.1目的3.1.2适用范围3.第1页共15页1.3实施3.1.4例外条款4.1.5评审与修订4.第2章帐户、权限、日志42.1帐户4.2.1.1禁止多人共享账号4.2.1.2禁用存在空密码帐户52.1.3禁止存在除root外UID为0的账号52.1.4口令复杂度6.2.1.5口令生存周期6.2.2权限7.2.2.1文件与目录缺省权限控制72.2.2帐号文件权限设置7.2.2.3设置关键文件属性8.2.3日志8.2.3.1记录帐户登录日志8第3章系统服务安全93.1远程访问服务9.3.1.1限制root用户SSH远程登录93.1.2用SSH协议进行远程维护103.2协议设置113.2.1修改SNMP的默认Community113.2.2禁止Root用户登录FTP113.2.3禁止匿名FTP133.2.4Root用户环境变量的安全性143.3安全漏洞检查153.3.1OPENSSL心脏滴血漏洞检查153.3.2Bash安全漏洞检查15修订记录第1章概述1.1目的本文档针对安装运行SuSELinux系列操作系统的主机所应当遵循的通用基本安全配置要求提供了参考建议，旨在指导系统管理人员或安全检查人员进行SuSELinux系列操作系统过程中进行安全配置合规性自查、检查、加固提供标准依据与操作指导。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：SuSELinux服务器系统1.3实施本标准自发布之日起生效本标准的解释权和修改权属于，在本标准的执行过程中若有任何意见或建议，请发送邮件至1.4例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。

1.5评审与修订本文档由定期进行审查，根据审视结果修订标准，并颁发执行。

第2章帐户、权限、日志2.1帐户2.1.1禁止多人共享账号2.1.2禁用存在空密码帐户2.1.3禁止存在除root外UID为0的账号2.1.4口令复杂度2.1.5口令生存周期2.2权限2.2.1文件与目录缺省权限控制2.2.2帐号文件权限设置2.2.3设置关键文件属性2.3日志2.3.1记录帐户登录日志第3章系统服务安全3.1远程访问服务3・1・1限制root用户SSH远程登录3.1.2用SSH协议进行远程维护3.2协议设置3.2.1修改SNMP的默认Community3・2・2禁止Root用户登录FTP检测操作步骤检测方法1、如果是vsftp服务器，查看如下配置文件/etc/pam.d/vsftpd、/etc/vsftpd/vsftpd.conf(/etc/vsftpd.conf)。

Linux系统安全配置基线目录第1章 ................................................................................................................................................................................... 概述11.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)第2章 ......................................................................................................................................................... 安装前准备工作12.1需准备的光盘 (1)第3章 .............................................................................................................................................. 操作系统的基本安装13.1基本安装 (1)第4章 .............................................................................................................................................. 账号管理、认证授权24.1账号 (2)4.1.1..................................................................................................................................................................... 用户口令设置24.1.2............................................................................................ 检查是否存在除root之外UID为0的用户34.1.3..................................................................................................................................................................... 检查多余账户34.1.4................................................................................................................................................................................ 分配账户44.1.5................................................................................................................................................................................ 账号锁定44.1.6..................................................................................................................................................................... 检查账户权限54.2认证 (6)4.2.1.............................................................................................................................................. 远程连接的安全性配置64.2.2............................................................................................................................................ 限制ssh连接的IP配置64.2.3.................................................................................................................................................. 用户的umask安全配置74.2.4..................................................................................................... 查找未授权的SUID/SGID文件84.2.5.............................................................................................................................. 检查任何人都有写权限的目录84.2.6.............................................................................................................................. 查找任何人都有写权限的文件94.2.7.................................................................................................................................................... 检查没有属主的文件94.2.8..........................................................................................................................................................检查异常隐含文件10第5章 .........................................................................................................................................................................日志审计115.1日志 (11)5.1.1.......................................................................................................................................................... syslog登录事件记录115.2审计 (11)5.2.1................................................................................................................................................... S yslog.conf的配置审核115.2.2................................................................................................................................................................................ 日志增强125.2.3.......................................................................................................................................................... syslog系统事件审计13第6章 .............................................................................................................................................................. 其他配置操作136.1系统状态 (13)6.1.1..................................................................................................................................................................... 系统超时注销136.2L INUX服务 (14)6.2.1............................................................................................................................................................... 禁用不必要服务14第7章 .........................................................................................................................................................................持续改进15。

杭州安恒信息技术有限公司Linux 系统安全配置基线杭州安恒信息技术有限公司2016年 12月目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)第2章本地策略 (2)2.1帐户与口令检查策略 (2)2.1.1检查系统中是否存在口令为空的帐户 (2)2.1.2检查系统中是否存在UID与ROOT帐户相同的帐户 (2)2.1.3检查是否按用户分配帐号 (2)2.1.4检查密码最小长度 (3)2.1.5检查密码过期时间 (3)2.1.6检查密码最大重试次数 (3)2.1.7检查是否配置口令复杂度策略 (4)2.1.8检查是否设置系统引导管理器密码 (4)2.1.9检查口令过期前警告天数 (5)2.1.10检查口令更改最小间隔天数 (5)2.1.11检查是否使用PAM认证模块禁止WHEEL组之外的用户SU为ROOT (5)2.1.12检查密码重复使用次数限制 (6)2.2日志配置 (6)2.2.1检查系统是否开启了日志功能 (6)2.2.2检查系统是否开启了日志审计功能 (7)2.2.3检查是否对登录进行日志记录 (7)2.2.4检查是否记录用户对设备的操作 (7)2.2.5检查SYSLOG-NG是否配置安全事件日志 (8)2.2.6检查RSYSLOG是否配置安全事件日志 (8)2.2.7检查SYSLOG是否配置安全事件日志 (9)2.2.8检查是否配置SU命令使用情况记录 (9)2.2.9检查是否配置远程日志功能 (9)2.2.10检查是否启用CRON行为日志功能 (10)2.2.11检查审计日志默认保存时间是否符合规范 (11)2.3系统内核配置 (11)2.3.1检查系统内核参数配置-是否禁止ICMP源路由 (11)2.3.2检查系统内核参数配置-是否禁止ICMP重定向报文 (11)2.3.3检查系统内核参数配置-SEND_REDIRECTS配置 (12)2.3.4检查系统内核参数配置-IP_FORWARD配置 (12)2.3.5检查系统内核参数配置ICMP_ECHO_IGNORE_BROADCASTS配置 (13)2.4信息隐藏 (13)2.4.1检查是否设置SSH登录前警告B ANNER (13)2.4.2检查是否设置SSH登录后警告B ANNER (14)2.4.3检查是否修改默认FTP B ANNER设置 (14)2.4.4检查TELNET B ANNER 设置 (14)2.5服务端口启动项 (15)2.5.1检查是否启用SSH服务 (15)2.5.2检查是否启用了TALK服务 (15)2.5.3检查是否启用了NTALK服务 (16)2.5.4检查是否启用了SENDMAIL服务 (16)2.5.5禁止ROOT帐户登录FTP(VSFTP) (17)2.5.6禁止匿名FTP(VSFTP) (17)2.5.7检查设备是否已禁用TELNET服务 (17)2.5.8检查是否关闭不必要的服务和端口 (18)2.6文件目录权限 (18)2.6.1检查环境变量目录下是否存在权限为777的目录 (18)2.6.2检查环境变量目录下是否存在权限为777的文件 (18)2.6.3检查是否存在权限不安全的重要日志文件 (19)2.6.4检查系统当前的UMASK (19)2.6.5检查拥有SUID和SGID权限的文件 (20)2.6.6检查/USR/BIN/目录下可执行文件的拥有者属性是否合规 (20)2.7访问权限 (21)2.7.1检查FTP用户上传的文件所具有的权限 (21)2.7.2检查系统是否启用了SUDO命令 (21)2.7.3检查系统是否允许ROOT帐户SSH远程登录 (22)2.7.4检查系统是否允许ROOT帐户TELNET远程登录 (22)2.7.5检查是否绑定可访问主机的IP或IP段 (23)2.7.6检查是否允许所有IP访问主机 (23)2.7.7HOSTS.DENY文件设置SSHD：A LL (23)2.8其他安全配置 (24)2.8.1检查登录超时锁定时间 (24)2.8.2检查ROOT用户的PATH环境变量是否包含相对路径 (24)2.8.3检查ROOT用户的PATH环境变量是否包含相对路径 (24)2.8.4检查SSH协议是否使用SSH2 (25)2.8.5检查启用系统CORE DUMP设置 (25)2.8.6检查是否修改SNMP默认团体字 (25)2.8.7检查系统是否禁用CTRL+ALT+DEL组合键 (26)2.8.8检查是否关闭系统信任机制 (26)2.8.9检查记录历史命令条数设置 (26)2.8.10检查是否删除了潜在危险文件 (27)2.8.11检查磁盘使用率 (27)2.8.12检查是否关闭数据包转发功能（适用于不做路由功能的系统） (28)2.8.13检查是否关闭IP伪装和绑定多IP功能 (28)2.8.14检查/ETC/ALIASE是否禁用不必要的别名文件 (28)2.8.15检查是否配置定时自动屏幕锁定（适用于具备图形界面的设备） (29)2.8.16检查是否安装CHKROOTKIT进行系统监测 (30)2.8.17检查系统是否开启ASLR (30)第1章概述1.1 目的本文档规范了杭州安恒信息技术有限公司对于安装有Linux操作系统的主机进行加固时应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Linux 操作系统的安全配置。

2009-07-24发布2009-07-24实施中国联通公司发布目录前言.............................................................................................................................................. II 1范围.. (1)2定义与缩略语 (1)2.1缩略语 (1)3安全配置要求 (1)3.1权限与审计功能配置 (1)3.1.1用户帐号设置 (1)3.1.2用户组设置 (1)3.1.3所有用户审计 (1)3.1.4Root用户远程登录限制 (2)3.1.5passwd shadow group文件安全性 (2)3.1.6是否存在除root之外UID为0的用户 (2)3.1.7用户环境变量的安全性 (2)3.1.8远程连接的安全性配置 (3)3.1.9用户的umask安全配置 (3)3.2文件系统 (3)3.2.1.重要目录和文件的权限设置 (3)3.2.2.查找未授权的SUID/SGID文件 (3)3.2.3.查找没有包含粘性位的任何人都有写权限的目录 (4)3.2.4.查找任何人都有写权限的文件 (4)3.2.5.没有属主的文件 (4)3.2.6.异常隐含文件 (4)3.3网络与服务 (5)3.3.1.检查xinetd中基本网络服务配置 (5)3.3.2.只在必需NFS时，才开启NFS (5)3.3.3.常规网络服务 (5)3.4日志审计 (6)3.4.1.at/cron任务授权 (6)3.4.2.登录事件记录 (6)3.4.3.syslog.conf配置 (6)3.5系统文件 (6)3.5.1.系统磁盘状态 (6)3.5.2.core dump状态 (6)4评审与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好基于Linux系统的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。

Linux安全基线配置标准目录第1章帐号管理、认证授权 (3)1.1帐号 (3)1.1.1用户口令设置 (3)1.1.2用户口令强度要求 (3)1.1.3root用户远程登录限制 (4)1.1.4检查是否存在除root之外UID为0的用户 (4)1.1.5口令重复次数限制* (4)1.2认证 (5)1.2.1用户的umask安全配置 (5)1.2.2重要目录和文件的权限设置 (5)1.2.3查找未授权的SUID/SGID文件* (6)1.2.4登录超时设置 (6)1.2.5使用SSH远程登录 (7)第2章日志审计 (9)2.1日志 (9)2.1.1syslog登录事件记录* (9)2.2审计 (9)2.2.1Syslog.conf的配置审核* (9)第3章协议安全 (11)3.1协议安全 (11)3.1.1修改SNMP的默认Community (11)3.1.2禁止root用户登录FTP (11)3.1.3禁止匿名FTP (12)第1章帐号管理、认证授权1.1帐号1.1.1用户口令设置1.1.2用户口令强度要求1.1.3root用户远程登录限制1.1.4检查是否存在除root之外UID为0的用户1.1.5口令重复次数限制*1.2认证1.2.1用户的umask安全配置1.2.2重要目录和文件的权限设置1.2.3查找未授权的SUID/SGID文件*1.2.4登录超时设置1.2.5使用SSH远程登录第2章日志审计2.1日志2.1.1syslog登录事件记录*2.2审计2.2.1Syslog.conf的配置审核*第3章协议安全3.1协议安全3.1.1修改SNMP的默认Community3.1.2禁止root用户登录FTP3.1.3禁止匿名FTP。

Linux系统安全配置指南（基线）中国联通内网Linu某系统安全配置指南（试行）2022-07-24发布2022-07-24实施中国联通公司发布中国联通内网Linu某系统安全配置指南目录前言.............................................................. ................................................................ . (II)1范围............................................................. ............................................................... .......12定义与缩略语............................................................. (1)2.1缩略语............................................................. ......................................................13安全配置要求............................................................. (1)3.1权限与审计功能配置............................................................. ..............................13.1.1用户帐号设置...................................................................................................13.1.2用户组设置............................................................. ..........................................13.1.3所有用户审计............................................................. ......................................13.1.4Root用户远程登录限制............................................................. .....................23.1.5pawdhadowgroup文件安全性............................................................. ......23.1.6是否存在除root之外UID为0的用户.........................................................23.1 .7用户环境变量的安全性............................................................. ......................23.1.8远程连接的安全性配置............................................................. ......................33.1.9用户的umak安全配置............................................................. .....................33.2文件系统............................................................. ..................................................33.2.1.重要目录和文件的权限设置............................................................. ..............33.2.2.查找未授权的SUID/SGID文件............................................................. ........33.2.3.查找没有包含粘性位的任何人都有写权限的目录.......................................43.2.4.查找任何人都有写权限的文件............................................................. ..........43.2.5.没有属主的文件............................................................. ..................................43.2.6.异常隐含文件............................................................. ......................................43.3网络与服务...........................................................................................................53.3.1.检查某inetd中基本网络服务配置............................................................. ......53.3.2.只在必需NFS时，才开启NFS............................................................ .........53.3.3.常规网络服务............................................................. ......................................53.4日志审计............................................................. ..................................................63.4.1.at/cro n任务授权............................................................. ..................................63.4.2.登录事件记录............................................................. ......................................63.4.3.ylog.conf配置............................................................. ..................................63.5系统文件............................................................. ..................................................63.5.1.系统磁盘状态............................................................. ......................................63.5.2.coredump状态............................................................. ....................................64评审与修订............................................................. . (6)I中国联通内网Linu某系统安全配置指南前言为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好基于Linu某系统的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。