资源描述:
《linux安全配置规范.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Linux安全配置规范2017年3月第一章概述1.1适用范围适用于广东南华智闻科技有限公司使用Linux操作系统的设备。本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。第二章安全配置要求2.1账号编号:1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号:#useraddusername#创建账号#passwdusername#设置密码修改权限:#chmod750directory#其中750为设置的权限,可根据实际
2、情况设置相应的权限,directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号:2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户:#userdelusername;锁定用户:1)修改/etc/shadow文件,用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-luse
3、rname只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。编号:
4、3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/passwd,帐号信息的shell为/sbin/nologin的为禁止远程登录,如要允许,则改成可以登录的shell即可,如/bin/bash2、补充操作说明如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。检测方法1、判定条件root远程登录
5、不成功,提示“没有权限”;普通用户可以登录成功,而且可以切换到root用户;2、检测操作root从远程使用telnet登录;普通用户从远程使用telnet登录;root从远程使用ssh登录;普通用户从远程使用ssh登录;3、补充说明限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。编号:4要求内容对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。操作指南1、参考配置操作正常可以通过#
6、/etc/init.d/sshdstart来启动SSH;通过#/etc/init.d/sshdstop来停止SSH2、补充操作说明查看SSH服务状态:#ps–ef
7、grepssh禁止使用telnet等明文传输协议进行远程维护;如特别需要,需采用访问控制策略对其进行限制;检测方法1、判定条件#ps–ef
8、grepssh是否有ssh进程存在是否有telnet进程存在2、检测操作查看SSH服务状态:#ps–ef
9、grepssh查看telnet服务状态:#ps–ef
10、greptelnet3、补充说明2.2口令编号:1要求内容对于采用静态口令认证技术的设备,口
11、令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作vi/etc/login.defs,修改设置如下PASS_MIN_LEN=8#设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklibmodule或pam_passwdqcmodule进行设置检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i.配置口令的最小长度;ii.将口令配置为强口令。2、创建一个普通账号,为用户
12、配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;