LINUX操作系统配置规范
简述安装linux系统的硬件要求。
简述安装linux系统的硬件要求。
安装Linux系统通常需要满足以下硬件要求:
1. 处理器:Linux是基于内核处理的操作系统,建议至少使用1 GHz的
处理器速度以保证运行流畅。
2. 内存:建议至少有2 GB的内存来运行Linux系统。
如果要运行特别
要求高的应用程序,则需要更多的内存。
3. 存储:至少需要10 GB的空间来安装Linux系统,但是建议使用至
少20 GB的磁盘空间来确保系统运行正常,并且可以存储额外的文件。
4. 显卡:Linux系统支持大多数显卡,但是如果需要运行需要高性能图
形的应用程序,则需要较高端的显卡。
5. 网络:Linux系统可以使用大多数网络硬件,包括以太网、Wi-Fi和
蓝牙。
设备需要具有适当的驱动程序才能与系统一起使用。
6. 固件:Linux支持各种固件,但需要使用适当的驱动程序才能与系统
一起使用。
总的来说,在选择硬件时,建议选择与Linux系统兼容的硬件,并且确保是最新版本的驱动程序,以确保系统可以平稳运行。
在安装过程中,需要注意以下几点:
1. 选择合适的Linux版本和发行版。
2. 检查硬件的兼容性。
3. 将Linux系统安装在单独的分区中,以便在需要时能更轻松地修复和管理系统。
总之,针对Linux系统,硬件要求与其他操作系统基本相同,但需要选择兼容性更好的硬件,并使用适当的驱动程序。
同时,在安装过程中,一些注意事项也需要遵循。
LINUX操作系统配置规范
LINUX操作系统配置规范LINUX操作系统配置规范1.系统安装与基本配置1.1 硬件需求检查1.2 操作系统安装过程1.3 系统初始化设置1.4 安全性基本配置1.5 网络配置1.5.1 IP地质设置1.5.2 主机名设置1.5.3 DNS配置1.5.4 网关设置2.用户与权限管理2.1 用户账号管理2.1.1 账号创建2.1.2 账号权限设置2.1.3 账号密码管理2.2 用户组管理2.3 文件权限管理2.4 sudo权限配置2.5 远程登录管理2.5.1 SSH服务配置2.5.2 SSH登录限制设置3.系统服务管理3.1 服务管理基本概念3.2 服务的启动与停止3.3 服务设置开机自启动3.4 系统日志管理3.5 定时任务管理4.软件包管理4.1 软件包源配置4.2 软件包安装与升级4.3 软件包卸载4.4 软件包版本管理5.文件系统管理5.1 文件与目录基本操作5.2 文件与目录权限管理5.3 磁盘配额管理5.4 文件系统的挂载与卸载6.系统性能监测与调优6.1 系统资源监测工具6.2 系统性能调优6.3 系统启动时间优化6.4 系统内核参数优化7.系统安全与防护7.1 安全漏洞扫描7.2 防火墙配置与管理7.3 SELinux配置与管理7.4 入侵检测与防护附件:1.系统配置检查清单2.用户权限表3.服务开机自启动列表4.定时任务列表5.文件权限表6.系统网络架构图法律名词及注释:1.GPL(GNU通用公共许可证):一种开放源代码许可证,允许用户自由地运行、复制、分发、学习、修改和改进软件。
2.SELinux(安全增强Linux):一种强制访问控制(MAC)机制,用于提供更高级别的系统安全性,限制进程的操作权限。
3.防火墙:用于过滤网络流量、实施访问控制策略的软件或硬件设备,以保护计算机网络免受未授权访问、恶意代码或其他网络威胁的侵害。
4.入侵检测与防护:通过监测系统日志、网络流量等方式,及时发现并阻止恶意攻击、未经授权的访问和其他安全威胁。
中国电信Linux操作系统安全配置规范
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#ls -l dir ; #查看目录dir的权限
#cat /etc/login.defs查看是否有umask 027内容
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
1、参考配置操作
vi/et=90#设定口令的生存期不长于90天
检测方法
1、判定条件
登录不成功;
2、检测操作
使用超过90天的帐户口令登录;
3、补充说明
测试时可以将90天的设置缩短来做测试;
文件及目录权限
编号:1
要求内容
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
1、参考配置操作
设置默认权限:
Vi/etc/login.defs在末尾增加umask 027,将缺省访问权限设置为750
修改文件或目录的权限,操作举例如下:
#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。
根据实际情况设置权限;
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
YD/T 1740-2008《增值业务网—智能网安全防护要求》
YD/T 1758-2008《非核心生产单元安全防护要求》
YD/T 1742-2008《接入网安全防护要求》
YD/T 1744-2008《传送网安全防护要求》
Linux系统安全配置基线
Linux系统安全配置基线目录第1章概述 (1)1.1目的 (1)1。
2适用范围 (1)1。
3适用版本 (1)第2章安装前准备工作 (1)2。
1需准备的光盘 (1)第3章操作系统的基本安装 (1)3。
1基本安装 (1)第4章账号管理、认证授权 (2)4.1账号 (2)4。
1.1用户口令设置 (2)4。
1。
2检查是否存在除root之外UID为0的用户 (3)4.1。
3检查多余账户 (3)4。
1.4分配账户 (3)4.1。
5账号锁定 (4)4.1。
6检查账户权限 (5)4。
2认证 (5)4。
2.1远程连接的安全性配置 (5)4。
2。
2限制ssh连接的IP配置 (5)4.2.3用户的umask安全配置 (6)4.2.4查找未授权的SUID/SGID文件 (7)4。
2.5检查任何人都有写权限的目录 (7)4.2.6查找任何人都有写权限的文件 (8)4。
2。
7检查没有属主的文件 (8)4。
2。
8检查异常隐含文件 (9)第5章日志审计 (10)5.1日志 (10)5。
1.1syslog登录事件记录 (10)5.2审计 (10)5.2。
1Syslog。
conf的配置审核 (10)5。
2。
2日志增强 (11)5。
2。
3 ...................................................................................................... s yslog系统事件审计11第6章其他配置操作 (12)6.1系统状态 (12)6.1。
1系统超时注销 (12)6。
2L INUX服务 (12)6.2。
1禁用不必要服务 (12)第7章持续改进 (13)。
Linux安全配置规范
Linux安全配置规范适⽤于redhat、suse、fedroa、Linux 操作系统。
本规范明确了设备的基本配置安全要求,为设备⼯程验收和设备运⾏维护环节明确相关安全要求提供指南。
出⾃公众号:⼯程师江湖⼀. Linux企业版安全配置规范1.1 ⼝令帐号1.1.1 检查空⼝令帐号编号安全要求-系统-Linux配置-2.1.1要求内容检查系统帐号和⼝令,禁⽌使⽤空⼝令帐号操作指南:以root⾝份执⾏:# awk -F: '($2 == "") { print $1 }' /etc/shadow 检查空⼝令帐号#pwck 帐号检查# cat /etc/passwd# cat /etc/shadow# cat /etc/group对照检查结果,询问管理员有效帐号有⽆异常,有⽆弱密码,建议删除不必要帐户并修改简单密码为复杂密码检测⽅法:# awk -F: '($2 == "") { print $1 }' /etc/shadow 列出空密码帐号实施风险:可能影响某些管理维护的应⽤程序备注:1.1.2 检查Root帐号编号安全要求-系统-Linux配置-2.1.2要求内容检查系统帐号和⼝令,检查是否存UID为0的帐号操作指南:以root⾝份执⾏:# awk -F: '($3 == 0) { print $1 }' /etc/passwd 检查UID为0的帐号检测⽅法:# awk -F: '($3 == 0) { print $1 }' /etc/passwd 列出UID为0的帐号实施风险:可能影响某些管理维护的应⽤程序备注:1.1.3 检查帐号超时注销编号安全要求-系统-Linux配置-2.2.3要求内容应该设置帐号超时⾃动注销操作指南:以root⾝份执⾏:vi /etc/profile增加export TMOUT=600检测⽅法:# cat /etc/profile | grep TMOUT实施风险:可能影响某些管理维护的应⽤程序备注:1.1.4 root⽤户远程登录限制编号安全要求-系统-Linux配置-2.1.4要求内容限制root远程登录要求内容限制root远程登录操作指南:/etc/securetty⽂件中配置:CONSOLE = /dev/tty01检测⽅法:执⾏:more /etc/securetty,检查Console参数实施风险:可能影响某些管理维护的应⽤程序备注:1.1.5 检测密码策略编号安全要求-系统-Linux配置-2.1.5要求内容检查系统密码策略,是否符合必要的强度操作指南:以root⾝份执⾏:# vi /etc/login.defs建议设置参数如下:PASS_MAX_DAYS 180 最⼤⼝令使⽤⽇期PASS_MIN_LEN 8 最⼩⼝令长度PASS_WARN_AGE 30 ⼝令过期前警告天数#vi /etc/pam.d/system-authpassword required /lib/security/pam_cracklib.so retry=3type= minlen=8 difok=3最⼩⼝令长度设置为8检测⽅法:# cat /etc/login.defs#cat /etc/pam.d/system-auth实施风险:可能影响管理维护备注:1.1.6 检查Grub/Lilo密码编号安全要求-系统-Linux配置-2.1.6要求内容检查系统引导管理器是否设置密码检查⽅法使⽤命令“cat /etc/grub.conf|grep password”查看grub是否设置密码使⽤命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码操作指南为grub或lilo设置密码参考操作:vi /etc/grub.confdefault=1timeout=10splashimage=(hd0,7)/boot/grub/splash.xpm.gzpassword=123456title Fedora Core (2.4.22-1.2061.nptl)lockroot (hd0,7)实施风险:可能影响某些管理维护的应⽤程序1.2 系统服务1.2.1 关闭不需要的服务编号安全要求-系统-Linux配置-2.2.1要求内容禁⽤不必要的服务操作指南:以root⾝份执⾏# chkconfig --list (debian不⽀持)使⽤命令“chkconfig --level <init级别> <服务名>on|off|reset”设置服务在个init级别下开机是否启动检测⽅法:chkconfig –list检测⽅法:chkconfig –list查看是否有不需要的服务实施风险:可能影响应⽤备注:1.2.2 openssh安全配置编号安全要求-系统-Linux配置-2.2.2要求内容检查系统openssh安全配置,禁⽌使⽤协议1,和使⽤root直接登录操作指南:以root权限执⾏命令:# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_configOpenssh应禁⽌使⽤协议1,禁⽌root直接登录等,编辑sshd_config⽂件,设置:Protocol 2StrictModes yesPermitRootLogin noPrintLastLog yesPermitEmptyPasswords no检测⽅法:# cat /etc/ssh/sshd_config或#cat /etc/ssh2/sshd2_config是否符合以上设置实施风险:⽆备注:1.2.3 SNMP团体字编号安全要求-系统-Linux配置-2.2.3要求内容如果打开了SNMP协议,snmp团体字设置不能使⽤默认的团体字操作指南:以root⾝份执⾏:#cat /etc/snmp/snmpd.conf应禁⽌使⽤public、private默认团体字,使⽤⽤户⾃定义的团体字,例如将以下设置中的public替换为⽤户⾃定义的团体字:com2sec notConfigUser default public如⽆必要,管理员应禁⽌使⽤snmp服务检测⽅法:#cat /etc/snmp/snmpd.conf实施风险:可能影响应⽤备注:1.2.4 禁⽤ctlraltdel组合键编号安全要求-系统-Linux配置-2.2.4要求内容禁⽤ctlr+alt+del组合键操作指南:检查系统是否禁⽤ctlraltdel组合键,以root⾝份执⾏以下命令:# vi /etc/inittab# grep –i ctrlaltdel /etc/inittab禁⽌ctrl+alt+del组合键,以root⾝份编辑/etc/inittab⽂件,注释如下⼀⾏后重起系统:ca::ctrlaltdel:/sbin/shutdown -t3 -r now检测⽅法:# grep –i ctrlaltdel /etc/inittab# ca::ctrlaltdel:/sbin/shutdown -t3 -r now (表⽰已经禁⽤)实施风险:需要重起系统,可能影响应⽤备注:1.2.5 检查root 路径编号安全要求-系统-Linux配置-2.2.5要求内容检查系统root⽤户环境变量path设置中是否包含”.”(root为了⽅便使⽤在他的当前路径末尾加了个点".",存在安全隐患)操作指南:root⽤户环境变量path中不应包含当前⽬录”.“以root⾝份执⾏如下命令:# echo $PATH/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.检测⽅法:# echo $PATH实施风险:⽆备注:1.2.6 检查信任主机编号安全要求-系统-Linux配置-2.2.6要求内容关闭系统信任主机操作指南:.rhosts⽂件中存储的是可以直接远程访问本系统的主机及⽤户名。
LINUX操作系统配置规范
LINUX操作系统配置规范Linux操作系统是一种开放源代码的操作系统,相对于其他操作系统,Linux具有较大的灵活性和可定制性。
在实际应用中,为了保证Linux系统的性能和安全性,需要按照一定的规范进行配置。
下面将介绍一些常见的Linux操作系统配置规范。
1.安全性配置:- 禁止使用root账户远程登录,使用普通用户登录系统。
-设置复杂的用户密码,定期修改用户密码。
-安装并启用防火墙,限制网络访问权限。
-安装常用的安全软件,如杀毒软件和入侵检测系统。
-定期更新操作系统和软件包,修复安全漏洞。
2.网络配置:-配置正确的IP地址、子网掩码和网关。
- 禁止使用未加密的传输协议,如Telnet,使用SSH进行远程登录。
- 使用iptables配置防火墙规则,限制网络访问权限。
-配置DNS服务器,加速域名解析。
3.磁盘和文件系统配置:- 对磁盘进行分区,并将关键目录(如/, /usr, /var等)挂载到单独的分区上,以提高系统性能和安全性。
-使用LVM(逻辑卷管理器)对磁盘进行管理,方便动态扩展和迁移。
4.内核参数配置:-调整文件描述符限制,避免文件打开过多导致系统崩溃。
-调整内核参数,优化系统性能,如内存管理、磁盘I/O等参数。
-禁用不必要的内核模块,减少潜在的安全隐患。
5.日志监控与管理:-配置系统日志,记录关键操作和事件。
-定期检查日志文件,及时发现异常情况。
-使用日志分析工具,对日志文件进行分析,提取有用信息。
6.服务配置:-禁止不必要的服务和进程,减少安全风险。
-配置开机自启动的服务,确保系统正常运行。
-设置服务的资源限制,避免资源占用过多导致系统宕机。
7.软件包管理:-使用包管理器安装软件包,避免从源代码编译安装。
-定期更新软件包,修复漏洞和提升性能。
-删除不必要的软件包,减少系统资源占用。
8.工作目录和文件权限:-限制普通用户对系统核心文件的访问权限。
-设置用户家目录的权限,确保用户的私密数据不会被其他用户读取。
LINUX操作系统配置规范
LINUX操作系统配置规范LINUX操作系统配置规范一:引言本文档旨在为管理员提供一个详细的LINUX操作系统配置规范。
该规范旨在确保操作系统的稳定性、安全性和性能优化。
管理员应严格遵循该规范执行操作系统的配置。
二:操作系统安装和基础配置1. 系统安装1.1 准备安装介质和相关驱动程序1.2 执行操作系统安装1.3 设置主机名和网络配置1.4 创建管理员账户和设置密码2. 系统更新和补丁管理2.1 定期更新操作系统和安全补丁2.2 确保使用合法和可信的软件源3. 防火墙设置3.1 启用防火墙3.2 配置适当的规则以限制网络访问3.3 监控防火墙日志以及及时处理异常情况4. 安全设置4.1 禁用不必要的服务和端口4.2 配置安全登录设置,包括SSH以及远程登录4.3 定期更新管理员密码4.4 设置账户锁定策略和密码策略4.5 配置主机防护工具,如SELinux或AppArmor5. 性能优化配置5.1 合理调整操作系统参数,优化内存、磁盘和网络性能 5.2 配置日志管理,避免过度记录日志5.3 监控系统资源使用情况,及时调整配置6. 安全备份和恢复策略6.1 定期备份操作系统和相关数据6.2 测试备份和恢复策略的有效性6.3 存储备份数据的安全策略,包括加密和存储位置7. 监控和告警设置7.1 配置系统监控工具,例如Zabbix、Nagios等7.2 设置合适的告警策略,及时发现和解决系统异常8. 日志管理8.1 配置日志审计规则,记录关键系统操作8.2 定期审查系统日志,发现异常情况并采取相应措施9. 系统维护流程9.1 定期执行系统维护任务,如磁盘碎片整理、日志清理等 9.2 管理接口和升级流程9.3 建立系统更新和维护的文档和计划10. 硬件和软件要求10.1 硬件要求:根据实际需求配置合适的硬件设备10.2 软件要求:操作系统版本和必要的软件组件11. 系统文档11.1 创建操作系统配置文档,包括所有配置的详细信息 11.2 更新文档以反映系统的变化本文档涉及附件:无本文所涉及的法律名词及注释:1. 操作系统安装:指在计算机上安装并配置操作系统的过程。
linux操作系统安全配置内容
linux操作系统安全配置内容
1. 更新操作系统:确保在系统中安装了最新的安全补丁和更新,以修复已知的漏洞和弱点。
2. 强密码策略:设置密码策略,要求用户使用强密码,包括至少8个字符,包含字母、数字和
特殊字符,并定期更改密码。
3. 用户权限管理:为每个用户分配适当的权限,并限制对敏感文件和系统配置的访问权限。
避
免使用管理员权限进行常规操作。
4. 防火墙设置:配置防火墙以限制网络流量,并只允许必要的端口和服务通过。
拒绝来自未知
来源或可疑IP地址的连接。
5. 安全审计:启用并配置安全审计工具,以跟踪对系统和文件的访问、登录尝试和其他安全事件。
6. 文件和目录权限:设置适当的文件和目录权限,以防止未经授权的用户访问和修改敏感文件。
7. 禁用不必要的服务和端口:禁用不必要的服务和端口,以减少攻击面。
8. 加密通信:对重要的网络通信采取加密措施,如使用SSL/TLS进行安全的远程登录、传输
和数据传输。
9. 安全日志管理:配置日志记录和监控系统,以及定期检查日志以发现潜在的安全问题。
10. 定期备份:定期备份系统和重要数据,以防止数据丢失和恶意破坏。
11. 安全性测试和漏洞扫描:进行定期的安全性测试和漏洞扫描,以发现并修复系统中的安全
漏洞。
12. 非必要软件和服务的删除:删除不必要的软件和服务,减少系统的攻击面。
13. 安全培训和意识提升:为用户提供安全培训和意识提升,教育他们遵循最佳的安全实践,
如不点击垃圾邮件的链接或下载未知来源的文件。
Linux系统安全加固配置规范
Linux系统安全加固配置规范目录1、目的 (4)2、适用范围 (4)3、具体设置 (4)1、目的本方案明确Linux系统安全配置基本要求;通过实施本配置方案,建立Linux系统安全基线。
2、适用范围本方案适用于Cent OS 系统。
3、具体设置3.1物理安全3.1.1设置服务器BIOS密码且修改引导次序,禁止从软驱、光驱、USB方式启动系统。
3.2系统安装3.2.1系统安装镜像应来自官方网站,安装系统前应对安装镜像进行完整性校验,软件应按需安装;3.2.2系统安装时应设置GRUB引导密码;3.2.3系统安装毕后使用官方源进行更新,运行#yum update待更新软件名,应对已知高危漏洞进行修补。
漏洞信息参考CVE漏洞库或Bugtraq 漏洞库;3.2.4系统更新完毕后,运行#chkconfig --level 35 yum-update off关闭系统自动更新服务。
3.2.5运行#rpm –qa > /var/5173/rpmlist,记录系统软件安装列表信息。
3.3账号口令3.3.1按照用户分配账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享;根据系统要求及业务需求,建立多用户组,将用户账号分配到相应的用户组;3.3.2编辑/etc/pam.d/system-auth,禁止空口令用户登陆,将以下字段auth sufficient pam_unix.so nullok try_first_passpassword sufficient pam_unix.so md5 shadow nulloktry_first_pass use_authtok改为auth sufficient pam_unix.so try_first_passpassword sufficient pam_unix.so md5 shadowtry_first_pass use_authtok3.3.3编辑/etc/login.defs,修改口令长度、口令生存周期、口令过期告警策略,修改字段如下:PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 8PASS_WARN_AGE 10注:策略更改后对新建用户有效,口令过期后无法登陆系统,可以运行#chage -M 90 –W 10 username单独修改某一账号口令有效期。
Linux操作系统安全系统配置要求规范V1.0
L i n u x操作系统安全配置规范版本号:1.0.0目录1概述 (1)1.1适用范围 (1)1.2外部引用说明 (1)1.3术语和定义 (1)1.4符号和缩略语 (1)2LINUX设备安全配置要求 (1)2.1账号管理、认证授权 (2)2.1.1账号 (2)2.1.2口令 (4)2.1.3授权 (10)2.2日志配置要求 (11)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.4设备其他安全配置要求 (14)2.4.1检查SSH安全配置 (14)2.4.2检查是否启用信任主机方式,配置文件是否配置妥当 (15)2.4.3检查是否关闭不必要服务 (15)2.4.4检查是否设置登录超时 (16)2.4.5补丁管理 (17)1概述1.1适用范围本规范适用于LINUX操作系统的设备。
本规范明确了LINUX操作系统配置的基本安全要求,在未特别说明的情况下,适用于Redhat与Suse操作系统版本。
1.2外部引用说明1.3术语和定义1.4符号和缩略语(对于规范出现的英文缩略语或符号在这里统一说明。
)2LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用LINUX操作系统的设备。
本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
2.1账号管理、认证授权2.1.1账号2.1.1.1检查是否删除或锁定无关账号2.1.1.2检查是否限制root远程登录2.1.2口令2.1.2.1检查口令策略设置是否符合复杂度要求2.1.2.2检查口令生存周期要求2.1.2.3检查口令重复次数限制2.1.2.4检查口令锁定策略2.1.2.5检查FTP是否禁止匿名登录2.1.2.6检查是否存在弱口令2.1.3授权2.1.3.1检查帐号文件权限设置2.2日志配置要求本部分对LINUX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
Linux安全配置规范
Linux 安全配置规范
【说明】NFS 客户端服务一般用来访问其他 NFS 服务器。除非十分必要,否 则应关闭此服务。可采用以下方式开放此服务。
【具体配置】 chkconfig --level 345 nfslock on chkconfig --level 345 autofs on
【具体配置】 Xinetd、SSH 和 SSL、防火墙配置参见对应系统的用户手册,此不详述。
2.3. 最小化启动服务
2.3.1. 设置 daemon 权限 unmask
【说明】默认系统 umask 至少为 022,以防tc/rc.d/init.d 文件,umask 值为 022。 同时检查/etc/rc.d/init.d 中其他启动脚本权限是否为 755。
Linux 安全配置规范
1. 概述
Linux 安全配置规范
1.1. 目的
本规范明确了 Linux 操作系统的安全配置方面的基本要求。为了提高 Linux 操 作系统的安全性而提出的。
1.2. 范围
本规范适用于 XXXX 使用的 Linux 操作系统版本。
1.3. 概述
本文档以典型安装的 RedHat Linux 为对象撰写而成,其他版本如 SUSE Linux 均基本类似,根据具体情况进行适当修改即可。
的安全隐患。一般可能存在以下不必要的服务:
apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups
Linux系统安全配置详细解析
Linux系统安全配置详细解析1.为LILO增加开机⼝令 在/etc/lilo.conf⽂件中增加选项,从⽽使LILO启动时要求输⼊⼝令,以加强系统的安全性。
具体设置如下: boot=/dev/hdamap=/boot/mapinstall=/boot/boot.btime-out=60 #等待1分钟promptdefault=linuxpassword=#⼝令设置image=/boot/vmlinuz-2.2.14-12label=linuxinitrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 此时需注意,由于在LILO中⼝令是以明码⽅式存放的,所以还需要将 lilo.conf的⽂件属性设置为只有root可以读写。
# chmod 600 /etc/lilo.conf 当然,还需要进⾏如下设置,使lilo.conf的修改⽣效。
# /sbin/lilo -v 2.设置⼝令最⼩长度和 最短使⽤时间 ⼝令是系统中认证⽤户的主要⼿段,系统安装时默认的⼝令最⼩长度通常为5,但为保证⼝令不易被猜测攻击,可增加⼝令的最⼩长度,⾄少等于8。
为此,需修改⽂件/etc/login.defs中参数PASS_MIN_LEN。
同时应限制⼝令使⽤时间,保证定期更换⼝令,建议修改参数PASS_MIN_DAYS。
3.⽤户超时注销 如果⽤户离开时忘记注销账户,则可能给系统安全带来隐患。
可修改/etc/profile⽂件,保证账户在⼀段时间没有操作后,⾃动从系统注销。
编辑⽂件/etc/profile,在“HISTFILESIZE=”⾏的下⼀⾏增加如下⼀⾏: TMOUT=600 则所有⽤户将在10分钟⽆操作后⾃动注销。
4.禁⽌访问重要⽂件 对于系统中的某些关键性⽂件如inetd.conf、services和lilo.conf等可修改其属性,防⽌意外修改和被普通⽤户查看。
LINUX 系统配置规范
LINUX 操作系统配置规范起草人:王胸博起草日期:2010-9-16文档信息版本历史信息目录1.1 系统设置 (4)1.2 系统优化 (8)1.3 安全设置 (9)1.4 日志 (11)二. 应用部分 (12)2.1 软件下载 (12)2.2 所需模块 (12)2.3 安装路径 (14)2.4 服务日志 (15)2.5 开机加载 (16)2.6 存储设定 (17)2.6.1. NFS服务器存储(安用安装盘安装nfs-server) (17)2.6.2. Netapp商业存储 (18)2.6.3. 客户端挂载............................................................................. 错误!未定义书签。
一. 系统配置1.1系统设置1.1.1.引导设定a)GRUB设置以grub为引导的系统,如redhat默认等待时长为5秒,为提高启动响应速度可以修改为0。
运行如下命令sed 's/timeout=5/timeout=0/g' -i /boot/grub/menu.lstb)启动级别的设定系统启动运行级别由/etc/inittab控制。
我们统一系统运行级别为3 修改/etc/inittab内容如下:id:3:initdefault:开机加载的服务请放于/etc/rc3.d/S99local内1.1.2.网卡的设定遵循以”eth0”为内网;”eth1”为外网的原则,虚拟接口以”:1”开头,比如”eth0:1”,”eth0:2”…等。
以下以eth0:1接口配置为例,进行添加/etc/sysconfig/network-scripts/ifcfg-eth0:1DEVICE=eth0:1 此处要与虚拟网卡名一至BOOTPROTO=staticONBOOT=yes 注意此处为yesTYPE=EthernetIPADDR=xxx.xxx.xxx.xxxNETMASK=xxx.xxx.xxx.xxxGATEWAY=xxx.xxx.xxx.xxx 此网关只在eth1上进行添加添加后进行加载ifup eth0:11.1.3.主机名的设定:为区分不同主机的不同功能,我们对主机名进行统一命名,命名方式按以下规则:●主机名=频道名_应用服务器名_IP后两位●其中频道名按域名的英文如“shanzhai”,“blog”,“bbs”,”xpd(大频道)”,”xpd(小频道)”等方式命名。
Linux操作系统安全配置规范
Linux操作系统安全配置规范Linux操作系统是开放源代码的操作系统之一,被广泛应用于各种互联网服务、服务器、移动设备和智能家居等场景。
作为一种常用的服务器操作系统,Linux的安全配置特别紧要,由于一旦服务器被黑客攻击或感染了病毒,可能会带来灾祸性后果。
本文将介绍如何进行Linux操作系统的安全配置规范,保护我们的服务器和用户数据的安全。
一. 系统安装前的准备1.使用权威、正规的Linux发行版,例如CentOS、RedHat、Ubuntu等。
2.在服务器部署之前通过SHA256计算校验和来验证ISO映象文件的完整性,以确保ISO映像未被篡改。
3.安装后立刻修改管理员(root)的默认密码,并且密码必需多而杂、不易被猜到。
4.移除无用的软件包二. 用户和用户组管理1.创建全部用户的实在描述信息,包括所属部门、职责等,并设置一个统一的命名规定,例如姓名首字母缩写+员工编号。
2.严格掌控sudo权限和sudoers文件权限。
3.禁止root直接登录。
三. 系统补丁更新1.使用自动化补丁管理工具,例如yum等。
2.定期检查系统补丁情况,并保证每一次的补丁安装都已经完成。
四. 设置系统安全选项1.设置防火墙,依据实际需求配置iptables防火墙规定,以削减各种恶意攻击,限制入站和出站流量。
2.禁止系统Ping功能,以防止被Ping Flood攻击。
3.限制SSH的安全配置,例如更改默认端口、禁用Root用户直接登录、设置多而杂的密码策略等,防止恶意攻击。
当然假如有本身的VPN也可以设立白名单来限制访问4.关闭不必要的系统服务和接口,例如telnet、FTP等非安全服务和端口。
5.在用户登录前设置Motd提示,以提示用户遵从系统使用规范,例如密码多而杂度规定、保存机密信息等。
五. 日志审计和故障处理1.打开紧要日志文件,例如系统日志、安全日志、用户登录日志等,以便日后查询审计。
2.设置日志维护计划,包括数据保留期限和备份策略。
linux安全系统配置地要求地要求规范
要求内容
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。
操作指南
1、参考配置操作
正常可以通过#/etc/init.d/sshd start来启动SSH;
通过#/etc/init.d/sshd stop来停止SSH
2、补充操作说明
查看SSH服务状态:
chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod -R go-w /etc
检测方法
1、判定条件
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
操作指南
1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
修改权限:
#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
Linux安全配置规范
Linux安全配置规范
目录
一. 概述 (1)
1.1适用范围 (2)
二. LINUX企业版安全配置规范 (2)
2.1口令帐号 (2)
2.2系统服务 (5)
2.3文件系统检查 (7)
2.4检查磁盘分区剩余空间 (9)
2.5检查日志审核 (10)
一. 概述
本规范归纳了Linux企业版的安全配置知识,文中所有配置示例均经过测试,具有较高的操作性。
1.1适用范围
本规范适用于redhat、suse、fedroa、Linux 操作系统。
本规范明确了设备的基本配置安全要求,为设备工程验收和设备运行维护环节明确相关安全要求提供指南。
本规范可作为编制工程验收手册、数据模板等文档的参考。
二. Linux企业版安全配置规范
2.1 口令帐号
2.1.1 检查空口令帐号
2.1.2 检查Root帐号
2.1.3 检查帐号超时注销
2.1.4 root用户远程登录限制
2.1.5 检测密码策略
2.1.6 检查Grub/Lilo密码
2.2 系统服务
2.2.1 关闭不需要的服务
2.2.2 openssh安全配置
2.2.3 SNMP团体字
2.2.4 禁用ctlraltdel组合键
2.2.5 检查root 路径
2.2.6 检查信任主机
2.3 文件系统检查2.
3.1 检查系统umask设置
2.3.2 保留历史命令的条数
2.3.3 检查关键文件的属性
2.3.4 检查关键文件的权限
2.4 检查磁盘分区剩余空间
Linux安全配置规范2.5 检查日志审核
- 10 -。
LINUX操作系统配置规范
本规范适用于某运营商使用Linux操作系统的设备。
本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
LINUX操作系统配置规范目录1 概述2 上架规范2.1 配置iLo管理口2.2 硬盘RAID配置2.3 服务器安装导轨2.4 服务器插线要求3 系统安装3.1 系统版本要求3.2 分区要求3.3 安装包要求3.4 用户要求3.5 时间同步要求3.6 字符集3.7 网卡绑定3.8 配置snmp3.9 连存储的服务器3.10 多路径软件3.11 udev配置(块设备管理、ASM组)3.12 CVE漏洞软件包版本4 补丁4.1 系统补丁(仅供参考)4.2 其他应用补丁(仅供参考)5 主机名、账号和口令安全配置基线5.1 主机命名规范5.2 账号安全控制要求5.3 口令策略配置要求5.4 口令复杂度和密码锁定策略配置要求5.5 口令重复次数限制配置要求5.6 设置登录Banner5.7 设置openssh登陆Banner5.8 Pam的设置5.9 root登录策略的配置要求5.10 root的环境变量基线6 网络与服务安全配置标准6.1 最小化启动服务6.2 最小化xinetd网络服务7 文件与目录安全配置7.1 临时目录权限配置标准7.2 重要文件和目录权限配置标准7.3 umask配置标准7.4 core dump状态7.5 ssh的安全设置7.6 bash历史记录7.7 其他注意事项8 系统Banner的配置9 防病毒软件安装10 ITSM监控agent安装11 内核参数优化12 syslog日志的配置13 重启服务器附件:安全工具1 概述本规范适用于某运营商使用Linux操作系统的设备。
本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
Linux安装配置规范
Linux安装部署规范文档编制人员:万诚编制部门:软件技术支持部模版文件版本: V1.0适用项目范围:所有文件修改记录表序修改人修改内容批准人生效日期版本号1 万诚创建 2012.9.26 V1.02345678910目 录1 说明............................................................................................................................................................ 4 文档目的 ........................................................................................................................................................ 4 文档约定 (4)2 安装前的准备工作 .................................................................................................................................... 4 操作系统版本 ................................................................................................................................................ 4 操作系统安装信息收集 (5)3 LINUX 操作系统的安装 .......................................................................................................................... 5 1. 安装语言的选择.................................................................................................................................... 5 2. 磁盘的划分规范.................................................................................................................................... 6 3. IP 地址及主机名的配置 ....................................................................................................................... 7 4. 时区的设定 ........................................................................................................................................... 9 5. 密码设定 ............................................................................................................................................... 9 6. 软件包的定制 ..................................................................................................................................... 10 7. 安装后的设置 ..................................................................................................................................... 12 内存配置规范 ..............................................................................................................错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本规范适用于某运营商使用Linux操作系统的设备。
本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
LINUX操作系统配置规范目录1 概述2 上架规范2.1 配置iLo管理口2.2 硬盘RAID配置2.3 服务器安装导轨2.4 服务器插线要求3 系统安装3.1 系统版本要求3.2 分区要求3.3 安装包要求3.4 用户要求3.5 时间同步要求3.6 字符集3.7 网卡绑定3.8 配置snmp3.9 连存储的服务器3.10 多路径软件3.11 udev配置(块设备管理、ASM组)3.12 CVE漏洞软件包版本4 补丁4.1 系统补丁(仅供参考)4.2 其他应用补丁(仅供参考)5 主机名、账号和口令安全配置基线5.1 主机命名规范5.2 账号安全控制要求5.3 口令策略配置要求5.4 口令复杂度和密码锁定策略配置要求5.5 口令重复次数限制配置要求5.6 设置登录Banner5.7 设置openssh登陆Banner5.8 Pam的设置5.9 root登录策略的配置要求5.10 root的环境变量基线6 网络与服务安全配置标准6.1 最小化启动服务6.2 最小化xinetd网络服务7 文件与目录安全配置7.1 临时目录权限配置标准7.2 重要文件和目录权限配置标准7.3 umask配置标准7.4 core dump状态7.5 ssh的安全设置7.6 bash历史记录7.7 其他注意事项8 系统Banner的配置9 防病毒软件安装10 ITSM监控agent安装11 内核参数优化12 syslog日志的配置13 重启服务器附件:安全工具1 概述本规范适用于某运营商使用Linux操作系统的设备。
本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
由于版本不同,配置操作有所不同,本规范以Redhat 6.6为例,给出参考配置操作。
2 上架规范2.1 配置iLo管理口2.2硬盘RAID配置2.3服务器安装导轨2.4服务器插线要求1、集成网卡服务器业务网络要求使用eth0、eth1两网口做双网卡绑定。
(个别应用默认顺序取第一个接口mac地址,要求使用前两个端口做业务网络接口)网卡插线参考如下图方式:2、非集成网卡服务器要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。
光口卡同理操作。
网卡插线参考如下图方式:3 系统安装3.1系统版本要求新上系统全部使用rhel6.6 64位操作系统。
rhel-server-6.6-x86_64-dvd.iso 3.52 GBSHA-256:16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32 [root@rhel6-6 /]$ uname -aLinux rhel6-6 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux目前机房生产平台用的较多的是rhel5.7和rhel6.1。
有特殊要求的则仍使用rhel6.1。
3.2分区要求使用LVM分区、文件系统格式采用ext4。
3.3安装包要求安装系统当中要将GCC等所有的开发包和管理包打全,以防后期存在缺包现象。
以下包全部安装 Administration ToolsDevelopment ToolsSystem Toolstelnet ftp lrzsz (这三个包要求安装)“系统管理”菜单:所有包全选安装“开发”菜单:所有包全选安装“语言支持”菜单:要求安装英文语言包、简体中文语言包!3.4用户要求根据主机运维工作的实际需求,要求系统初始用户包括以下用户。
密码根据项目整体要求配置 rootroot用户密码根据要求进行配置pcloud新创建用户且附加组为wheel参考命令:#useradd -G wheel pcloudbestpay新创建用户#useradd bestpaylogview新创建用户且附加组为bestpay参考命令:#useradd –G bestpay logview分区赋权在root用户根目录下按3.3小节分区要求,给分区重新赋权/data:ochown –R bestpay:bestpay/dataoochmod 0750 /datao/tools:ochown –R bestpay:bestpay /toolsoochmod 0700 /toolso/admin:ochown –R bestpay:bestpay /adminoochmod 0750 /admino3.5时间同步要求在root用户下执行crontab –e*/5 * * * * /usr/sbin/ntpdate 172.18.70.10 172.18.70.2015 7 * * * /sbin/hwclock –w3.6字符集使用系统缺省字符集配置。
系统缺省字符集为en_US.UTF-8;有特殊需求,另行配置。
修改字符集可以在文件/etc/sysconfig/i18n里改。
3.7网卡绑定将服务器网卡两两做绑定,网卡绑定为主备模式。
服务器网卡要求使用第一块网卡1口和第二块网卡1口;第一块网卡2口和第二块网卡2口;即避免由于单块网卡故障导致的业务中断,可以冗余。
以下为配置示例:配置虚拟网卡:[root@rhel6 network-scripts]# cp ifcfg-eth0 ifcfg-bond0[root@rhel6 network-scripts]# vi ifcfg-bond0DEVICE=bond0BOOTPROTO=noneIPADDR=192.168.1.100NETMASK=255.255.255.0ONBOOT=yesTAPE=EthernetGATEWAY=192.168.1.254USERCTL=no配置真实网卡:[root@rhel6 network-scripts]# vi ifcfg-eth0 DEVICE=eth0BOOTPROTO=noneONBOOT=yesUSERCTL=noSLAVE=yes ----写上就不用加开机启动MASTER=bond0 ----写上就不用加开机启动[root@rhel6 network-scripts]# vi ifcfg-eth1 DEVICE=eth0BOOTPROTO=noneONBOOT=yesUSERCTL=noSLAVE=yes ----写上就不用加开机启动MASTER=bond0 ----写上就不用加开机启动加载模块让系统支持:[root@rhel6 ~]vi/etc/modprobe.d/dist.conf alias bond0 bondingoptions bond0 miimon=100 mode=1 -----模式1为主备重启网络并检查配置:service network restartlsmod | grep bondcat/proc/net/bonding/bond03.8配置snmp参照其他平台,共同提名不能使用public,长度必须8位以上,至少三种(大小写字母,符号,特殊符号)结合,配置snmp服务器并指向采集服务器,采集服务器ip为172.18.55.65、172.18.55.66、172.18.55.67ITSM二期要求新增采集地址:172.18.0.0/24;团体字为Itsm2014roJK!以下为配置示例:检查系统是否安装snmp服务[root@rhel6 ~]# rpm -qa| grep snmpnet-snmp-devel-5.5-31.el6.x86_64net-snmp-utils-5.5-31.el6.x86_64net-snmp-5.5-31.el6.x86_64net-snmp-libs-5.5-31.el6.x86_64net-snmp-python-5.5-31.el6.x86_64net-snmp-perl-5.5-31.el6.x86_64SNMP若无以上包,则安装SNMP服务1.配置好本地yum服务,使用yum安装yum install -y net-snmp*2.配置SNMP服务开机启动#service snmpd start#chkconfig snmpd on#chkconfig --list | grep snmpd 查看开机启动设置是否成功snmpd 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭验证SNMP服务1.使用snmpwalk获取主机名[root@rhel6 ~]# snmpwalk -v 2c -c public localhost sysName.0SNMPv2-MIB::sysName.0 = STRING: rhel6.1#snmpwalk用法snmpwalk -v 1|2c|3(代表SNMP版本) -c <community string> IP地址OID(对象标示符) 2.使用snmptranslate命令,检查snmp工具是否可以使用# snmptranslate -To | head.1.3.1.3.6.1.3.6.1.1.3.6.1.1.1.3.6.1.2.1.3.6.1.2.1.1.3.6.1.2.1.1.1.3.6.1.2.1.1.1.1.3.6.1.2.1.1.2.1.3.6.1.2.1.1.3查出了部分oid,则表示snmp工具可以正常使用配置SNMP服务配置项包括但不限于:community stringsec.model查看设备节点权限“view all”;被允许查看的sec.model组指定检测的Process checksdisk checksExecutables/scriptsload average checks3.9连存储的服务器必须使用双hba卡;确保连接到两个控制器的HBA卡/接口冗余;单个HBA卡故障,或单个HBA卡某个接口故障,都满足冗余3.10多路径软件1、多路径配置要求多路径必须绑定别名;设置多路径服务为开机启动;屏蔽掉本地磁盘,本地磁盘不做聚合;结合数据库规范等配置实施版本系统自带multipath即可,要求做盘符别名绑定。
比如要确保数据库的两个节点扫描到的盘符一致。
注意在blacklist里面过滤本地磁盘!blacklist里面需要有以下参数:blacklist {devnode "^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"devnode "^hd[a-z]"devnode "^sd[a-d]" 过滤条件视实际情况,防止过滤掉多路径块设备!}2、多路径安装及配置参数简介检查multipath是否安装成功:#lsmod |grep dm_multipath如果输出没有,则进行安装#yum –y install device-mapper device-mapper-multipath查看多路径状态查看模块是否加载成功[root@rhel6 ~]# multipath -llJan 01 02:36:12 | /etc/multipath.conf does not exist, blacklisting all devices. --配置文件没有Jan 01 02:36:12 | A sample multipath.conf located atJan 01 02:36:12 | /usr/share/doc/device-mapper-multipath-0.4.9/multipath.conf Jan 01 02:36:12 | You can run /sbin/mpathconf to create or modify/etc/multipath.confJan 01 02:36:12 | DM multipath kernel driver not loaded --DM模块没加载如果模块没有加载成功请使用下列命初始化DM,或重启系统[root@rhel6 ~]# modprobe dm-multipath[root@rhel6 ~]# modprobe dm-round-robin[root@rhel6 ~]# service multipathd start正在启动守护进程multipathd:查看系统是否安装多路径[root@rhel6 mapper]# rpm -qa | grep mapperdevice-mapper-libs-1.02.62-3.el6.x86_64device-mapper-multipath-libs-0.4.9-41.el6.x86_64device-mapper-multipath-0.4.9-41.el6.x86_64device-mapper-event-libs-1.02.62-3.el6.x86_64device-mapper-1.02.62-3.el6.x86_64device-mapper-event-1.02.62-3.el6.x86_64multipath.conf配置说明接下来的工作就是要编辑/etc/multipath.conf的配置文件multipath.conf主要包括defaults、blacklist、multipaths、devices三部份的配置defaults是全局配置参数blacklist用来过滤不需绑定的设备multipaths用来绑定别名devices用来定义存储厂商和自定义规则blacklist配置blacklist {devnode "^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"devnode "^hd[a-z]"devnode "^sd[a-d]"}Multipaths部分配置multipaths和devices两部份的配置。