第1章 概述1.1 目的

本文档规定了所有维护管理的Linux操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Linux操作系统的安全合规性检查和配置。

1.2 适用范围

本配置标准的使用者包括：服务器管理员、应用管理员、网络安全管理员、运维工程师。

本设置标准适用于Linux服务器系统。

1.3 实施

在本标准的执行过程中若有任何疑问或建议，应及时反馈。

第2章 身份鉴别2.1 身份标识唯一性

安全基线项目名称：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

实施操作

编辑/etc/login.defs添加身份标识基线配置

vi /etc/login.defsPASS_MAX_DAYS 90PASS_MIN_DAYS 1PASS_MIN_LEN 8PASS_WARN_AGE 7

备注 系统默认配置如下

PASS_MAX_DAYS 99999 --密码最长使用期限

PASS_MIN_DAYS 0 --密码最短使用期限

PASS_MIN_LEN 5 --密码最短长度

PASS_WARN_AGE 7 --密码到期提醒时间

2.2 登录失败处理功能

安全基线项目名称 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

实施操作

1、编辑/etc/pam.d/system-auth添加登录失败处理功能基线，如下配置部分为新增

auth        required      /lib/security/pam_tally.so onerr=fail no_magic rootaccount     required      /lib/security/pam_tally.so deny=3 no_magic root reset

完整的配置如下：

vi /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth        required      pam_env.soauth        required      /lib/security/pam_tally.so onerr=fail no_magic rootauth        required      pam_faildelay.so delay=2000000auth        sufficient    pam_unix.so nullok try_first_passauth        requisite     pam_succeed_if.so uid >= 1000 quiet_successauth        required      pam_deny.soaccount     required      pam_unix.soaccount     sufficient    pam_localuser.soaccount     sufficient    pam_succeed_if.so uid < 1000 quietaccount     required      pam_permit.soaccount     required      /lib/security/pam_tally.so deny=3 no_magic root reset

2、编辑/etc/profile添加登录连接超时自动退出配置

vi /etc/profileTMOUT= 300ssource /etc/profile

备注

（1）onerr=fail

如果一些奇怪的事情发生，例如不能打开文件，这个决定了模块应该如何反应。

（2）no_magic_root

表示如果这个模块是由一个uid=0的用户触发，那么计数器就增加。系统管理员应该使用这个选项用于例如：telnet/rsh/login之类的服务。

（3）deny=3

这个选项表明如果这个用户登录3次失败，就拒绝访问。

（4）reset

这个选项指示模块对成功的实体，应复位到0。

2.3 防止网络信息被窃听

安全基线项目名称 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

实施操作 1、通过iptables防火墙关闭23端口，确认仅22端口可以进行远程操作

iptables -A INPUT -p tcp --dport 23iptables savenetstat -an|grep 22netstat -an|grep 23

2、通过firewall-cmd防火墙关闭23端口，确认仅22端口可以进行远程操作

firewall-cmd --list-portsfirewall-cmd --zone=public --remove-port=23/tcp --permanentfirewall-cmd --reload

安全基线项目名称 应对登录的用户分配账户和权限；应授予管理用户所需的最小权限，实现管理用户的权限分离；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

实施操作

1、检查存在不符合再更改

建议配置文件的权限值不大于644，可执行文件不大于755

通过ls -l 可以查看权限值大小

2、建议做到三权分立，即拥有最高管理员（root，可视为安全员）、应用账户（视为操作员）、审计账户（审计员，仅有日志查看权限），所有用户一一对应使用方或具体人员

3、查看/etc/sudo.conf文件，核查root级用户的权限都授予哪些账户

more /etc/sudo.conf

安全基线项目名称 应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在

实施操作 1、检查/etc/passwd文件，对不启用的用户登录配置为/sbin/nologin或以#号注释，举例如下

vi /etc/passwdmysql:x:1000:1000::/home/mysql:/sbin/nologin#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

2、检查是否已修改默认账户的默认密码，例如查看是否存在如：root/root，oracle/oracle等的用户

3、是否存在空密码用户，查看/etc/shadow文件，询问相应账户是否为过期、多余账户，查看/etc/passwd文件各用户第二字段是否不为空，/etc/shadow文件中密码字段是否不为空

mre /etc/passwd1

4、应及时删除或停用多余的、过期的账户，避免共享账户的存在，将无用账户删除，如games、news、ftp、lp、halt、shutdown等默认账户，其余自建账户需明确负责人

cd /home && lsuserdel -r 用户名

安全基线项目名称 应禁用root用户远程登录，使得攻击者无法通过暴力破解来获取root权限；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

实施操作

1、添加一个普通用户，如admin，并配置满足复杂度要求的密码

useradd adminpasswd admin

2、使用admin用户与配置的密码验证是否正常通过ssh登录到服务器，并验证是否正常切换到root用户

su - root

3、修改/etc/ssh/sshd_config配置文件，修改ssh默认连接端口并禁止root用户远程登录

vi /etc/ssh/sshd_configPort 3122PermitRootLogin no

重启sshd服务

service sshd restart  或  systemctl restart sshd

3、passwd、shadow、group等重要文件夹仅root权限可以修改

（1）/etc/passwd 所有用户都可读，root用户可写 –rw-r—r—

配置命令：

ls -l /etc/passwdchmod 644 /etc/passwd

（2）/etc/shadow 只有root可读 –r--------

配置命令：

ls -l /etc/shadowchmod 400 /etc/shadow

（3）/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—

配置命令：

ls -l /etc/groupchmod 644 /etc/group

（4）个别特殊环境，可对文件进行锁定

chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow

备注

1、请切记：一定要验证新增的admin用户可正常登录到操作系统，否则重启sshd服务将会失去对系统的控制！！！！

2、解锁文件请使用如下命令

chattr -i /etc/passwdchattr -i /etc/shadowchattr -i /etc/groupchattr -i /etc/gshadow

安全基线项目名称 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

实施操作

查看审计服务并启动审计服务

ps -ef | grep auditdservice auditd status   或  systemctl status auditdservice auditd start   或  systemctl start auditd

安全基线项目名称 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经授权的中断

实施操作

1、配置远程日志存储服务器

vi /etc/rsyslog.conf注：格式如下*.*后面跟tab建，端口小于1024时需要配置设置selinux#*.* @@remote-host:514*.* @192.168.31.100services syslogd restart  或  systemctl restart rsyslog

2、查看/etc/rsyslog.conf配置文件，确认是否添加authpriv.* /var/log/secure配置（中间的分隔符是tab键）

grep "^authpriv.*" /etc/rsyslog.conf

3、设置history时间戳

vi /etc/profileHISTFILESIZE=2000HISTSIZE=2000HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:`whoami`:"export HISTTIMEFORMATsource /etc/profile

备注 Linux系统默认启用以下类型日志：

系统日志（默认）/var/log/messages

cron日志（默认）/var/log/cron

安全日志（默认）/var/log/secure

审计日志（默认）/var/log/audit/audit.log

注意：部分系统可能使用syslog-ng日志，配置文件为：/etc/syslog-ng/syslog-ng.conf。请根据实际环境配置。

第5章 入侵防范5.1 关闭非必要的服务

安全基线项目名称 应关闭不需要的系统服务、默认共享和高危端口；

实施操作 1、查看开放的服务列表

chkconfig --list   或  systemctl list-unit-files|grep

2、如下方式禁用不必要的服务

service <服务名> stopchkconfig --level 2345 <服务名> off或systemctl stop <服务名>systemctl disable <服务名>

3、查看并确认是否开放的端口都为业务需要端口，是否已经关闭非必需的端口

netstat -ntlp

备注 参考说明

Linux/Unix系统服务中，部分服务存在较高安全风险，应当禁用，包括：

“lpd”，此服务为行式打印机后台程序，用于假脱机打印工作的UNIX后台程序，此服务通常情况下不用，建议禁用；

“telnet”，此服务采用明文传输数据，登陆信息容易被窃取，建议用ssh代替；

“routed”，此服务为路由守护进程，使用动态RIP路由选择协议，建议禁用；

“sendmail”，此服务为邮件服务守护进程，非邮件服务器应将其关闭；

“Bluetooth”，此服务为蓝牙服务，如果不需要蓝牙服务时应关闭等

5.2 系统最小化安装原则

安全基线项目名称 应遵循最小安装的原则，仅安装需要的组件和应用程序；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

实施操作

1、查看操作系统中已安装的程序包，询问是否有目前不需要的组件和应用程序，高风险且不需要的组件，建议卸载

yum list installed

2、查看并确认是否开放的端口都为业务需要端口，是否已经关闭非必需的端口

netstat -ntlp

3、查看在/etc/hosts.deny中是否有“ALL:ALL"，禁止所有的请求：在/etc/hosts.allow中，是否有如下配置（举例）：sshd：192.168.31.100/255.255.255.0）如果安装有主机防火墙则查看有无登录地址限制

cat /etc/hosts.denycat /etc/hosts.allow

4、访谈并查看入侵检测的措施

（1）经常通过如下命令查看入侵的重要线索（例如Telnet.FTP等），涉及命令

more /var/log/secure l grep refused

（2）查看是否启用了主机防火墙、TCPSYN保护机制等设置。

（3）访谈系统管理员是否安装了主机入侵检测软件。查看已安装的主机入侵，检查系统的配置情况，是否具备报警功能。

（4）检查是否安装了主机入侵检测软件，如Dragon Squire by Enterasys Networks，ITA by Symantec.Hostsentry by Psionic Software.Logcheck by Psiomc Software.RealSecure-agent by ISS。

（5）查看网络拓扑图，查看网络上是否部署了网络入侵检测系统，如IDS。

备注

需要安装net-tools以支持netstat命令

yum -y install net-tools