操作系统安全基线

11
操作安全
记录bash命令历史记录
12
权限设置
对重要的口令文件权限进行限 制，防止恶意修改
13
权限设置
拒绝系统默认的系统帐号使用 ftp服务
linux类基线：共13项，适用于centos 7+（注意：部分配置完成后需要重启服务/系统） 操作指南
根据组织的信息安全策略要求，为系统安装系统安全补丁
检测以下服务是不是运行中，若不需要以下服务，则删除服务： telnet . rsh . NIS . TFTP . Talk . chargen-dgram . daytime-dgram .echo-dgram . tcpmux-server 若不需要以下系统默认账户，建议删除或锁定： adm . lp . mail . uucp . operator . games . gopher . ftp . nobody . rpm . dbus . avahi . mailnull . smmsp . nscd . vcsa . rpc . rpcuser . nfsnobody . sshd . pcap . ntp .haldaemon . distcache . apache . webalizer . squid . xfs . gdmsabayon . named 删除用户：#userdel username; 锁定用户： 1.修改/etc/shadow文件，用户名后的第一个冒号后加一个感叹号"!" 2.将/etc/passwd文件中的shell域设置成/bin/nologin 3.锁定账户：#usermod -L username （解锁：#usermod –U username）
accton默认是不开启，需要先创建记录文件再开启： #touch /var/log/pacct 创建记录文件 #accton /var/log/pacct 开启并记录信息(#accton off 关闭) 1.centos6以前版本 #chmod 400 /etc/syslog.conf 2.centos7+版本 #chmod 400 /etc/rsyslog.conf
# ps aux |grep ssh 有ssh进程存在 SSH服务状态查看结果为：is running 2、检测操作 查看ssh进程 # ps aux |grep ssh 查看SSH服务状态： # /etc/init.d/sshd status 查看是否开机启动ssh服务 chkconfig --list |grep ssh
#vi /etc/security/pwquality.conf minlen = 8 密码至少8位 minclass = 3 至少3种字符
指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定： 1.本地登录失败锁定： #vi /etc/pam.d/system-auth 在第2行添加： auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time 2.远程登录失败锁定： #vi /etc/pam.d/sshd 在第2行添加： auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time 重启SSH服务：service sshd restart #vim /etc/ssh/sshd_config 将"#ClientAliveInterval 0"更改为"ClientAliveInterval 600" 重启SSH服务：service sshd restart #vi /etc/ssh/sshd_config 将"PermitRootLogin yes"改为"PermitRootLogin no" 重启SSH服务：service sshd restart
1、判定条件 能够显示出包含配置内容中所要求的全部内容。 2、检测操作 # lastcomm [user name] –f /var/log/pacct
1、判定条件 对/etc/syslog.conf进行了权限配置 2、检测操作 执行ls –l /etc/syslog.conf或/etc/rsylog.conf查看文件百度文库限是否为400（管理员帐号 只读） 1、 判定条件
6
认证授权
设置10分钟无键盘操作，则退 出终端。
7
认证授权
限制root直接远程登录
8
日志配置
应配置日志功能，记录所有用 户所执行的程序，程序执行情 况信息等等 修改日志配置文件 syslog.conf/rsyslog.conf权 限为400(管理员只读)
9
日志配置
10
协议安全
使用SSH等相对安全的加密协 议进行远程连接
linux类基线：共13项，适用于centos 7+（ 序号
1
控制点
补丁管理
基线要求
应及时更新系统补丁
2
服务管理
应删除已过时且不安全的服务
3
账号管理
删除或锁定多余的默认系统用 户
4
口令策略
密码包括3种字符(数字、小写 字母、大写字母和特殊符)， 口令长度至少8位。
5
口令策略
设置本地和远程登录5次失败 后，普通账户锁定10分钟， root不受影响
#/etc/init.d/sshd start 启动SSH #/etc/init.d/sshd stop 停止SSH #/etc/init.d/sshd status 查看运行状态 #chkconfig --level 2345 sshd on 设置开机启动
1).#vi /etc/profile 在底部添加以下代码： #-----------------------------------------#history HISTFILESIZE=4096 HISTSIZE=4096 USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ -z $USER_IP ] then USER_IP=`hostname` fi HISTTIMEFORMAT="[%F %T] [`whoami`: $USER_IP] " export HISTTIMEFORMAT #-----------------------------------------2).#source /etc/profile 重新加载配置文件 3).#history 可以看到新格式
1、判定条件 cat /etc/profile 存在相关配置 2、检测操作 /usr/share/.history存在按时间、ip命名的文本，检查内容记录情况
1、判定条件 对/etc/passwd、/etc/shadow、/etc/ group进行了权限配置 2、检测操作 执行： ls -l /etc/passwd /etc/group 权限是否为644 执行：ls -l /etc/shadow 权限是否为400 1、判定条件 对/etc/ftpusers进行了相关配置 2、检测操作 执行cat /etc/ftpusers 查看列表里边的用户名是否包含以下拒绝FTP登录的系统默认帐号。
对/etc/passwd、/etc/shadow、/etc/ group进行以下权限配置： #chown root：/etc/passwd /etc/shadow /etc/group #chmod 644 /etc/passwd /etc/group #chmod 400 /etc/shadow 1).#touch /etc/ftpusers 创建文件 2).#chmod 644 /etc/ftpusers 配置访问限制 3).vi /etc/ftpusers 将不使用的系统默认账户添加进文件里 root daemon sysy ...
置完成后需要重启服务/系统） 检测方法
1、 判定条件 服务器不存在中高危漏洞。 2、 检测操作 使用外部漏洞扫描软件对服务器进行漏洞扫描。 1、判定条件 telnet、rsh、NIS、TFTP、talk、chargen-dgram、daytime-dgram、echo-dgram、 tcpmux-server服务不在服务器端运行 2.检测操作 检测telnet、rsh、NIS、TFTP、talk、chargen-dgram、daytime-dgram、echo-dgram、 tcpmux-server服务不在服务器端运行 1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：adm . lp . mail . uucp . operator . games . gopher . ftp . nobody . rpm . dbus . avahi . mailnull . smmsp . nscd . vcsa . rpc . rpcuser . nfsnobody . sshd . pcap . ntp .haldaemon . distcache . apache . webalizer . squid . xfs . gdmsabayon . named 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，尝试修改测试账号的密码，是否有密码复杂度限制 1、判定条件 系统账户进行本地或远程登录5次以上失败，是否会锁定该账号一段时间登录。 2、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登 录5次以上（不含5次）； 3、 补充说明 root账号不在锁定的限制范围内，一旦用户被锁定，可以用root账号来给用户解锁。 1、判定条件 通过命令查看配置文件是否已更改。 2、检测操作 cat /etc/ssh/sshd_config | grep ClientAliveInterval ClientAliveInterval 600 1、判定条件 root用户远程登录失败。 2、检测操作 root从远程使用ssh登录失败； 普通用户从远程使用ssh登录成功；