Linux系统安全加固配置规范

Linux系统

安全加固配置规范

目录

1、目的 (4)

2、适用范围 (4)

3、具体设置 (4)

1、目的

本方案明确Linux系统安全配置基本要求；

通过实施本配置方案，建立Linux系统安全基线。

2、适用范围

本方案适用于Cent OS 系统。

3、具体设置

3.1物理安全

3.1.1设置服务器BIOS密码且修改引导次序，禁止从软驱、光驱、USB

方式启动系统。

3.2系统安装

3.2.1系统安装镜像应来自官方网站，安装系统前应对安装镜像进行完

整性校验，软件应按需安装；

3.2.2系统安装时应设置GRUB引导密码；

3.2.3系统安装毕后使用官方源进行更新，运行#yum update待更新软

件名，应对已知高危漏洞进行修补。漏洞信息参考CVE漏洞库

或Bugtraq 漏洞库；

3.2.4系统更新完毕后，运行#chkconfig --level 35 yum-update off

关闭系统自动更新服务。

3.2.5运行#rpm –qa > /var/5173/rpmlist，记录系统软件安装列表

信息。

3.3账号口令

3.3.1按照用户分配账号，避免不同用户间共享账号，避免用户账号和

设备间通信使用的账号共享；根据系统要求及业务需求，建立多用

户组，将用户账号分配到相应的用户组；

3.3.2编辑/etc/pam.d/system-auth，禁止空口令用户登陆，将以下字

段

auth sufficient pam_unix.so nullok try_first_pass

password sufficient pam_unix.so md5 shadow nullok

try_first_pass use_authtok

改为

auth sufficient pam_unix.so try_first_pass

password sufficient pam_unix.so md5 shadow

try_first_pass use_authtok

3.3.3编辑/etc/login.defs，修改口令长度、口令生存周期、口令过

期告警策略，修改字段如下：

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

PASS_MIN_LEN 8

PASS_WARN_AGE 10

注：策略更改后对新建用户有效，口令过期后无法登陆系统，可以

运行#chage -M 90 –W 10 username单独修改某一账号口令有效

期。运行#awk -F : '{print $1,$5,$6}' /etc/shadow进行确认。

3.3.4编辑/etc/pam.d/su，去掉#auth required pam_wheel.so

use_uid注释，只允许wheel用户组执行su获得root权限。

注：默认只有wheel组只有root用户，编辑/etc/group将允许执

行su的用户添加到wheel组，多个用户用逗号隔开。

3.3.5编辑/etc/pam.d/sshd, /etc/pam.d/login 在%PAM-1.0下行添

加auth required pam_tally2.so deny=3

unlock_time=300 even_deny_root root_unlock_time=300 设置

连续3次密码错误锁定帐号。

3.3.6

3.4系统管理

3.4.1编辑/etc/ssh/sshd_config，找到并修改ClientAliveInterval

300 ClientAliveCountMax 0，设置登陆超时时间；

3.4.2禁止telnet方式进行系统管理，使用SSH进行系统远程管理，

禁止使用SSH V1，运行#cat /etc/ssh/sshd_config，确保系统仅

开启SSH V2；

注：该项CentOS6.4已为默认项。

3.4.3编辑/etc/ssh/sshd_config，添加PermitRootLogin no，禁止

root用户SSH登陆；

3.4.4编辑/etc/profile，限制Bash记录历史命令数，修改为

HISTFILESIZE=30

HISTSIZE=30

创建命令记录文件#touch /var/log/audit/scriptrecord.log，编

辑/etc/profile，添加script -a

/var/log/audit/scriptrecord.log用于记录所有root用户组运

行的命令。

3.5访问控制

3.5.1修改敏感文件属性，运行

#chattr +i /etc/passwd

#chattr +i /etc/shadow

#chattr +i /etc/group

#chattr +i /etc/gshadow

#chattr +i /etc/inetd.conf

#chattr +i /boot/grub/grub.conf

注：执行该配置后，在root运行chattr -i /etc/passwd等命令

解除后，才能进行操作。

3.5.2设置敏感文件访问权限，运行

#chmod 600 /etc/inetd.conf

#chmod 600 /grub/grub.conf

#chmod -R 700 /etc/rc.d/init.d/*

#chmod 644 /var/log/wtmp

#chmod 644 /var/run/utmp

3.5.3编辑/etc/hosts.deny添加sshd:ALL，编辑/etc/hosts.allow

添加sshd:IP/MASK，配置tcp_wrappers，限制允许远程登陆系统

的IP地址；

3.6网络安全

3.6.1运行#chkconfig --level 235 服务名 off关闭系统中不必要的

服务；

注：策略更改后对重启服务生效，可运行#ps –ef | grep 服务名

查看进行PID，

运行#kill -9 PID号立即停止该服务进程。

根据下面列表设置