Linux安全配置基线.doc

中国移动集团管理信息系统部安全加固项目

Linux系统安全配置基线

中国移动集团公司第1页共15页

备注：中国移动集团管理信息系统部安全加固项目

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月

中国移动集团管理信息系统部安全加固项目

目录

第1章概述 (1)

1.1目的 (1)

1.2适用范围 (1)

1.3适用版本 (1)

1.4实施 (1)

1.5例外条款 (1)

第2章账号管理、认证授权 (2)

2.1账号 (2)

2.1.1用户口令设置 (2)

2.1.2root用户远程登录限制 (2)

2.1.3检查是否存在除root之外UID为0的用户 (3)

2.1.4root用户环境变量的安全性 (3)

2.2认证 (4)

2.2.1远程连接的安全性配置 (4)

2.2.2用户的umask安全配置 (4)

2.2.3重要目录和文件的权限设置 (4)

2.2.4查找未授权的SUID/SGID文件 (5)

2.2.5检查任何人都有写权限的目录 (6)

2.2.6查找任何人都有写权限的文件 (6)

2.2.7检查没有属主的文件 (7)

2.2.8检查异常隐含文件 (7)

第3章日志审计 (9)

3.1日志 (9)

3.1.1syslog登录事件记录 (9)

3.2审计 (9)

3.2.1Syslog.conf的配置审核 (9)

第4章系统文件 (11)

4.1系统状态 (11)

4.1.1系统core dump状态 (11)

第5章评审与修订 (12)

中国移动集团公司第3页共15页

中国移动集团管理信息系统部安全加固项目

第1章概述

1.1目的

本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查

人员进行LINUX操作系统的安全合规性检查和配置。

1.2适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。

1.3适用版本

LINUX系列服务器；

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动集团公司第1页共15页

中国移动集团管理信息系统部安全加固项目

第2章账号管理、认证授权

2.1账号

2.1.1用户口令设置

2.1.2root用户远程登录限制中国移动集团公司第2页共15页

、执行：awk-F:'($2==){print$1}'/etc/shadow,检查是否存号

基线符合性

判定依据建议在/etc/login文件中配置：PASS_MIN_LEN=6

不允许存在简单密码，密码设置符合策略，如长度至少为不存在空口令账号

备注

安全基线项

目名称操作系统Linux远程登录安全基线要求项

安全基线编

号SBL-Linux-02-01-02

安全基线项

说明帐号与口令-root用户远程登录限制

检测操作步执行：more/etc/securetty，检查Console参数

中国移动集团管理信息系统部安全加固项目

2.1.3检查是否存在除root之外UID为0的用户2.1.4root用户环境变量的安全性

中国移动集团公司第3页共15页

判定依据返回值包含以上条件，则低于安全要求；

备注补充操作说明

确保root用户的系统路径中不包含父目录，在非必要的情况下，不应组权限为777

安全基线编

号SBL-Linux-02-01-03

安全基线项

说明帐号与口令-检查是否存在除root之外UID为0的用户

检测操作步

骤执行：awk-F:'($3==0){print$1}'/etc/passwd

基线符合性

判定依据返回值包括“root”以外的条目，则低于安全要求；

备注补充操作说明

UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID0 骤

基线符合性

判定依据建议在/etc/securetty文件中配置：CONSOLE=/dev/tty01

备注

中国移动集团管理信息系统部安全加固项目

2.2认证

2.2.1远程连接的安全性配置

2.2.2用户的umask安全配置2.2.3重要目录和文件的权限设置中国移动集团公司第4页共15页

说明 帐号与口令-用户的 umask 安全配置

检测操作步

骤 执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc mo/etc/bashrc 检查是否包含 umask 值

基线符合性

判定依据 umask

值是默认的，则低于安全要求

备注 补充操作说明

建议设置用户的默认 umask=077

安全基线项

目名称 操作系统 Linux 目录文件权限安全基线要求项

安全基线编

号 SBL-Linux-02-02-03

中国移动集团管理信息系统部安全加固项目

2.2.4 查找未授权的 SUID/SGID 文件