欢迎来到天天文库
浏览记录
ID:42604133
大小:98.92 KB
页数:12页
时间:2019-09-18
《Linux安全配置标准》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、页2Linux安全配置标准一.目的《Linux安全配置标准》是Qunar信息系统安全标准的一部分,主要目的是根据信息安全管理政策的要求,为我司的Linux系统提供配置基准,并作为Linux系统设计、实施及维护的技术和安全参考依据。二.范围安全标准所有条款默认适用于所有Linux系统,某些特殊的会明确指定适用范围。三.内容3.1软件版本及升级策略操作系统内核及各应用软件,默认采用较新的稳定版本,不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。3.2账户及口令管理3.2.1远程登录帐号管理符合以下条件之一的,属"可远程登录帐号":
2、(1)设置了密码,且帐号处于未锁定状态。(2)在$HOME/.ssh/authorized_keys放置了publickey"可远程登录帐号"的管理要求为:页2(1)帐号命名格式与邮件命名格式保持一致(2)不允许多人共用一个帐号,不允许一人有多个帐号。(3)每个帐号均需有明确的属主,离职人员帐号应当天清除。(4)特殊帐号需向安全组报批3.2.2守护进程帐号管理守护进程启动帐号管理要求(1)应建立独立帐号,禁止赋予sudo权限,禁止加入root或wheel等高权限组。(2)禁止使用"可远程登录帐号"启动守护进程(3)禁止使用root帐号启动WEBSERVE
3、R/DB等守护进程。3.2.3系统默认帐号管理(仅适用于财务管理重点关注系统)删除默认的帐号,包括:lp,sync,shutdown,halt,news,uucp,operator,games,gopher等3.2.4口令管理口令管理应遵循《密码口令管理制度》,具体要求为(1)启用密码策略页2/etc/login.defsPASS_MAX_DAYS90PASS_MIN_DAYS1PASS_MIN_LEN7PASS_WARN_AGE7/etc/pam.d/system-authpasswordsufficientpam_unix.so**remember=
4、5passwordrequisitepam_cracklib.so**minlen=7lcredit=1ucredit=1dcredit=1ocredit=0(2)启用帐号锁定策略,连续输错3次口令,锁定用户30分钟/etc/pam.d/system-authauthrequiredpam_env.soauthrequiredpam_tally2.sodeny=3unlock_time=18003.2.5OpenSSH安全配置页2只使用协议版本2,禁止root登录,禁止空口令登录,独立记录日志到/var/log/secure。具体配置为:/etc/ssh
5、/sshd_config#defaultis2,1Protocol2#defaultisyesPermitRootLoginno#defaultisnoPermitEmptyPasswordsno#defaultisAUTHSyslogFacilityAUTHPRIV3.3认证授权3.3.1远程管理方式页2(1)默认仅允许ssh一种远程管理方式,禁止使用telnet、rlogin等,如存在以下文件,必须删除:$HOME/.rhosts/etc/hosts.equiv/etc/xinetd.d/rsh/etc/xinetd.d/rlogin(2)跳板机只允
6、许RSATOKEN方式登录,其它Linux服务器只允许通过密码和publickey方式登录。(3)生产环境Linux服务器,只允许来自跳板机和其它指定IP的登录,通过tcpwarp实现。生产环境范围由安全组指定,允许登录的IP源由安全组指定。BETA/DEV环境登录限制同生产环境。3.3.2其它(仅适用于财务管理重点关注系统)(1)仅允许非wheel组用户通过远程管理,配置方法:/etc/security/access.conf-:wheel:ALLEXCEPTLOCAL.win.tue.nl/etc/pam.d/sshd页2accountrequire
7、dpam_access.so(2)限制普通用户控制台访问权限禁止普通用户在控制台执行shutdown、halt以及reboot等命令。rm-f/etc/security/console.apps/rebootrm-f/etc/security/console.apps/haltrm-f/etc/security/console.apps/shutdownrm-f/etc/security/console.apps/poweroff3.4其它3.4.1关键文件权限(仅适用于财务管理重点关注系统) 将以下文件设置为600权限/$HOME/.bash_logo
8、ut/$HOME/.bash_profile/$HOME/.bashrc3.4.
此文档下载收益归作者所有