您的位置:360文档中心› Linux安全配置风险评估检查表

Linux安全配置风险评估检查表

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

...................................................................

1.1 目的 (1)

1.2 合用范围 (1)

1.3 合用版本 (1)

.....................................................

2.1 账号 (2)

2.1.1 用户口令设置 (2)

2.1.2 root 用户远程登录限制 (2)

2.1.3 检查是否存在除root 之外UID 为0 的用户 (3)

2.1.4 root 用户环境变量的安全性 (3)

2.2 认证 (4)

2.2.1 远程连接的安全性配置 (4)

2.2.2 用户的umask 安全配置 (4)

2.2.3 重要目录和文件的权限设置 (4)

2.2.4 查找未授权的SUID/SGID 文件 (5)

2.2.5 检查任何人都有写权限的目录 (6)

2.2.6 查找任何人都有写权限的文件 (6)

2.2.7 检查没有属主的文件 (7)

2.2.8 检查异常隐含文件 (7)

...............................................................

3.1 日志 (9)

3.1.1 syslog 登录事件记录 (9)

3.2 审计 (9)

3.2.1 Syslog.conf 的配置审核 (9)

...............................................................

4.1 系统状态 (11)

4.1.1 系统core dump 状态 (11)

本文档规定了LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或者安全检查人员进行LINUX 操作系统的安全合规性检查和配置。

本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。

LINUX 系列服务器;

操作系统Linux 用户口令安全基线要求项

SBL-Linux-02-01-01

帐号与口令-用户口令设置

1 、问询管理员是否存在如下类似的简单用户密码配置,比如:

root/root, test/test, root/root1234

2、执行:more /etc/login,检查

PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_RN_AGE 参数

3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号

建议在/etc/login 文件中配置:PASS_MIN_LEN=6

不允许存在简单密码,密码设置符合策略,如长度至少为6

不存在空口令账号

操作系统Linux 远程登录安全基线要求项

SBL-Linux-02-01-02

帐号与口令-root 用户远程登录限制

执行:more /etc/securetty,检查Console 参数

建议在/etc/securetty 文件中配置:CONSOLE = /dev/tty01

操作系统Linux 超级用户策略安全基线要求项

SBL-Linux-02-01-03

帐号与口令-检查是否存在除root 之外UID 为0 的用户

执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd

返回值包括“root”以外的条目,则低于安全要求;

补充操作说明

UID 为0 的任何用户都拥有系统的最高特权,保证惟独root 用户的UID 为0

操作系统Linux 超级用户环境变量安全基线要求项

SBL-Linux-02-01-04

帐号与口令-root 用户环境变量的安全性

执行:echo $PATH | egrep '(^|:)(\.|:|$),' 检查是否包含父目录,

执行:find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -l 检查是否包含组目录权限为777 的目录

返回值包含以上条件,则低于安全要求;

补充操作说明

确保root 用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777 的目录

操作系统Linux 远程连接安全基线要求项

SBL-Linux-02-02-01

帐号与口令-远程连接的安全性配置

执行:find / -name .netrc,检查系统中是否有.netrc 文件,

执行:find / -name .rhosts ,检查系统中是否有.rhosts 文件

返回值包含以上条件,则低于安全要求;

补充操作说明

如无必要,删除这两个文件

操作系统Linux 用户umask 安全基线要求项

SBL-Linux-02-02-02

帐号与口令-用户的umask 安全配置

执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含umask 值

umask 值是默认的,则低于安全要求

补充操作说明

建议设置用户的默认umask=077

操作系统Linux 目录文件权限安全基线要求项

SBL-Linux-02-02-03

相关文档
最新文档