Linux系统安全加固规范

第1章 概述

1.1  适用范围

本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。

1.2  适用版本

LINUX系列服务器;

第2章 账号管理、认证授权

2.1  账号

2.1.1   用户口令设置

安全基线项目名称

操作系统Linux用户口令安全基线要求项

安全基线编号

SBL-Linux-02-01-01

安全基线项说明 

帐号与口令-用户口令设置

检测操作步骤

1、询问管理员是否存在如下类似的简单用户密码配置,比如:

root/root, test/test, root/root1234

2、执行:more /etc/login,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数

3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账号

基线符合性判定依据

建议在/etc/login文件中配置:PASS_MIN_LEN=6

不允许存在简单密码,密码设置符合策略,如长度至少为6

不存在空口令账号

备注

2.1.2   root用户远程登录限制

安全基线项目名称

操作系统Linux远程登录安全基线要求项

安全基线编号

SBL-Linux-02-01-02

安全基线项说明 

帐号与口令-root用户远程登录限制

检测操作步骤

执行:more /etc/securetty,检查Console参数

基线符合性判定依据

建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01

备注

2.1.3   检查是否存在除root之外UID为0的用户

安全基线项目名称

操作系统Linux超级用户策略安全基线要求项

安全基线编号

SBL-Linux-02-01-03

安全基线项说明 

帐号与口令-检查是否存在除root之外UID为0的用户

检测操作步骤

执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd

基线符合性判定依据

返回值包括“root”以外的条目,则低于安全要求;

备注

补充操作说明

UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0

2.1.4   root用户环境变量的安全性

安全基线项目名称

操作系统Linux超级用户环境变量安全基线要求项

安全基线编号

SBL-Linux-02-01-04

安全基线项说明 

帐号与口令-root用户环境变量的安全性

检测操作步骤

执行:echo $PATH | egrep '(^|:)(\.|:|$)',检查是否包含父目录,

执行:find `echo $PATH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls,检查是否包含组目录权限为777的目录

基线符合性判定依据

返回值包含以上条件,则低于安全要求;

find `echo $PATH | tr ':' ' '` -type d \( -perm -777 -o -perm -777 \) -ls

备注

补充操作说明

确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录

2.1.5   远程连接的安全性配置

安全基线项目名称

操作系统Linux远程连接安全基线要求项

安全基线编号

SBL-Linux-02-02-01

安全基线项说明 

帐号与口令-远程连接的安全性配置

检测操作步骤

执行:find  / -name  .netrc,检查系统中是否有.netrc文件,

执行:find  / -name  .rhosts ,检查系统中是否有.rhosts文件

基线符合性判定依据

返回值包含以上条件,则低于安全要求;

备注

补充操作说明

如无必要,删除这两个文件

2.1.6   用户的umask安全配置

安全基线项目名称

操作系统Linux用户umask安全基线要求项

安全基线项说明 

帐号与口令-用户的umask安全配置

检测操作步骤

执行:more /etc/profile  more /etc/csh.login  more /etc/csh.cshrc  more /etc/bashrc检查是否包含umask值

基线符合性判定依据

umask值是默认的,则低于安全要求

备注

补充操作说明 直接vi /etc/bashrc

建议设置用户的默认umask=077   数据库机器不装。

2.1.7   重要目录和文件的权限设置

安全基线项目名称

操作系统Linux目录文件权限安全基线要求项

安全基线编号

SBL-Linux-02-02-03

安全基线项说明 

文件系统-重要目录和文件的权限设置

检测操作步骤

执行以下命令检查目录和文件的权限设置情况:

ls  –l  /etc/

ls  –l  /etc/rc.d/init.d/

ls  –l  /tmp

ls  –l  /etc/inetd.conf

ls  –l  /etc/passwd

ls  –l  /etc/shadow

ls  –l  /etc/group

ls  –l  /etc/security

ls  –l  /etc/services

ls  -l  /etc/rc*.d

基线符合性判定依据

若权限过低,则低于安全要求;

备注

补充操作说明

对于重要目录,建议执行如下类似操作:

# chmod -R 750 /etc/rc.d/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

2.1.8   查找未授权的SUID/SGID文件

安全基线项目名称

操作系统Linux SUID/SGID文件安全基线要求项

安全基线编号

SBL-Linux-02-02-04

安全基线项说明 

文件系统-查找未授权的SUID/SGID文件

检测操作步骤

用下面的命令查找系统中所有的SUID和SGID程序,执行:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do

find  /  \( -perm -04000 -o -perm -02000 \) -type f -xdev -print

Done

基线符合性判定依据

若存在未授权的文件,则低于安全要求;

备注

补充操作说明

建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序

2.1.9   检查任何人都有写权限的目录

安全基线项目名称

操作系统Linux目录写权限安全基线要求项

安全基线编号

SBL-Linux-02-02-05

安全基线项说明 

文件系统-检查任何人都有写权限的目录

检测操作步骤

在系统中定位任何人都有写权限的目录用下面的命令:

for PART in `awk '($3 == "ext2" || $3 == "ext3") \

{ print $2 }' /etc/fstab`; do

find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print

Done

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

2.1.10  查找任何人都有写权限的文件

安全基线项目名称

操作系统Linux文件写权限安全基线要求项

安全基线编号

SBL-Linux-02-02-06

安全基线项说明 

文件系统-查找任何人都有写权限的文件

检测操作步骤

在系统中定位任何人都有写权限的文件用下面的命令:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do

find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print

Done

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

2.1.11  检查没有属主的文件

安全基线项目名称

操作系统Linux文件所有权安全基线要求项

安全基线编号

SBL-Linux-02-02-07

安全基线项说明 

文件系统-检查没有属主的文件

检测操作步骤

定位系统中没有属主的文件用下面的命令:

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do

find $PART -nouser -o -nogroup -print

done

注意:不用管“/dev”目录下的那些文件。

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

补充操作说明

发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有主人的文件存在。如果在系统中发现了没有主人的文件或目录,先查看它的完整性,如果一切正常,给它一个主人。有时候卸载程序可能会出现一些没有主人的文件或目录,在这种情况下可以把这些文件和目录删除掉。

2.1.12  检查异常隐含文件

安全基线项目名称

操作系统Linux隐含文件安全基线要求项

安全基线编号

SBL-Linux-02-02-08

安全基线项说明 

文件系统-检查异常隐含文件

检测操作步骤

用“find”程序可以查找到这些隐含文件。例如:

    # find  / -name ".. *" -print –xdev

    # find  / -name "…*" -print -xdev | cat -v

 同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名)

基线符合性判定依据

若返回值非空,则低于安全要求;

备注

补充操作说明

在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。在UNIX下,一个常用的技术就是用一些特殊的名,如:“…”、“..    ”(点点空格)或“..^G”(点点control-G),来隐含文件或目录。

第3章 日志审计

3.1  日志

3.1.1   syslog登录事件记录

安全基线项目名称

操作系统Linux登录审计安全基线要求项

安全基线编号

SBL-Linux-03-01-01

安全基线项说明 

日志审计-syslog登录事件记录

检测操作步骤

执行命令:more /etc/syslog.conf

查看参数authpriv值

基线符合性判定依据

若未对所有登录事件都记录,则低于安全要求;

备注

3.2  审计

3.2.1   Syslog.conf的配置审核

安全基线项目名称

操作系统Linux配置审计安全基线要求项

安全基线编号

SBL-Linux-03-02-01

安全基线项说明 

日志审计-Syslog.conf的配置审核

检测操作步骤

执行:more /etc/syslog.conf,查看是否设置了下列项:

kern.warning;*.err;authpriv.none\t@loghost

*.info;mail.none;authpriv.none;cron.none\t@loghost

*.emerg\t@loghost

local7.*\t@loghost

基线符合性判定依据

若未设置,则低于安全要求;

备注

补充操作说明

建议配置专门的日志服务器,加强日志信息的异地同步备份

第4章 系统文件

4.1  系统状态

4.1.1   系统core dump状态

安全基线项目名称

操作系统Linux core dump 状态安全基线要求项

安全基线编号

SBL-Linux-04-01-01

安全基线项说明 

系统文件-系统core dump状态

检测操作步骤

执行:more /etc/security/limits.conf 检查是否包含下列项:

* soft core 0

* hard core 0

基线符合性判定依据

若不存在,则低于安全要求

备注

补充操作说明

core dump中可能包括系统信息,易被入侵者利用,建议关闭

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/647687.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

算法训练营Day52(动态规划13)

300.最长递增子序列 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 提醒 今天开始正式子序列系列,本题是比较简单的,感受感受一下子序列题目的思路。 class Solution:def lengthOfLIS(self, nums: List[int]) -> int:if le…

【CANoe使用大全】——Graphics窗口

文章目录 1.Graphics作用2.Graphics窗口打开方式2.1.Analysis—>Graphics2.2.Measurement Setup ------> Graphics 3.变量添加4.Graphics窗口菜单栏介绍4.1. 单个测量光标4.2. 差分测量光标4.3.Y轴的显示方式4.3.1.Show Y-Axis of Selected Signal4.3.2.Show All Y-Axis4…

抽象工厂模式-C#实现

该实例基于WPF实现,直接上代码,下面为三层架构的代码。 一 Model using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace 设计模式练习.Model.抽象工厂模式 {public abstrac…

[GXYCTF2019]BabyUpload1

尝试各种文件&#xff0c;黑名单过滤后缀ph&#xff0c;content-type限制image/jpeg 内容过滤<?&#xff0c;木马改用<script languagephp>eval($_POST[cmdjs]);</script> 上传.htaccess将上传的文件当作php解析 蚁剑连接得到flag

OPENMV驱动云台实现颜色追踪

前言 本篇文章旨在记录我电赛期间学习OPENMV对颜色识别&#xff0c;以及通过串口通信的方式将坐标数据传给单片机&#xff0c;从而驱动舵机云台进行颜色追踪。 一、OPENMV色块识别追踪代码 # Single Color RGB565 Blob Tracking Example # # This example shows off single co…

C++学习| QT快速入门

QT简单入门 QT Creater创建QT项目选择项目类型——不同项目类型的区别输入项目名字和路径选择合适的构建系统——不同构建系统的却别选择合适的类——QT基本类之间的关系Translation File选择构建套件——MinGW和MSVC的区别 简单案例&#xff1a;加法器设计界面——构建加法器界…

java web 研究生信息管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目

一、源码特点 java Web研究生信息管理系统是一套完善的java web信息管理系统 &#xff0c;对理解JSP java编程开发语言有帮助&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用B/S模式开发。开发环境 为TOMCAT7.0,Myeclipse8.5开发&#xff0c;数据库为My…

hdu1195 Open the lock 双向广度优先搜索

D-BFS 双向广度优先搜索 从起点和终点同时开始搜索&#xff0c;直到两个搜索的点相交&#xff0c;得到最短路径 Code: // D-BFS //by:MuQY #include <iostream> #include <algorithm> #include <string.h> #include <queue> #include <string> …

【Vue2 + ElementUI】分页el-pagination 封装成公用组件

效果图 实现 &#xff08;1&#xff09;公共组件 <template><nav class"pagination-nav"><el-pagination class"page-area" size-change"handleSizeChange" current-change"handleCurrentChange":current-page"c…

vsim选项 option

modelsim Vsim选项整理 vsim指令载入一个设计到仿真器&#xff0c;语句格式&#xff1a; Vsim [option] TESTNAME[测试名] [逻辑库.tb文件] 常用选项&#xff1a; # 常用 -c # 使vsim运行在命令行模式&#xff0c;不启动图形界面&#xff0c;节省时间 -novopt # 不采用vop…

TarGAN:多模态医学图像转换GAN

TarGAN 核心思想网络结构 核心思想 论文&#xff1a;https://arxiv.org/abs/2105.08993 代码&#xff1a;https://github.com/2165998/TarGAN 解决的问题&#xff1a;传统多模态医学图像转换通常&#xff0c;在生成高质量图像方面存在问题&#xff0c;特别是在关键目标区域或…

NC65中间件能启动,前端客户端启动失败,加载异常,卡住(org.owasp.esapi)

控制台输出错误 ESAPI.properties could not be loaded by any means. Fail.SecurityConfiguration class(org.owasp.esapi.reference.DefaultSecurityConfiguration) CTOR threw exception.效果图&#xff1a; 解决方案 添加如下参数&#xff1a; -Dorg.owasp.esapi.resou…

信创UOS

信创UOS 国产操作系统 文章目录 信创UOS前言一、信创UOS是什么二、信创UOS的特点与局限性1. 信创UOS的特点2. 信创UOS的局限性三、信创UOS常见故障总结前言 信创UOS(Union Operating System)是由中国软件与技术服务股份有限公司(CS&S)开发的一款操作系统。它是中国政府…

用k8s私有化部署docsify做开放API平台

文章目录 1、API开放平台2、实现思路3、用docsify实现4、一些坑坑1&#xff1a;nginx转发实现跳转坑2&#xff1a;点击跳转不能精准跳坑3&#xff1a;md文档页内跳转与跨文档跳转坑4&#xff1a;插件做目录的折叠收起坑5&#xff1a;统一目录 做完了一个API开放平台的需求&…

Higress 开源一周年:新版本,新标准,新工具,新征程

作者&#xff1a;Higress 团队 历程回顾 Higress 开源一年时间&#xff0c;一共发布了 18 个 release 版本&#xff0c;收获了 40 多位社区贡献者和 1800 star&#xff0c;上图是这一年过来达成的一些关键的里程碑。 前面半年通过集成开源生态&#xff0c;打磨开源版本稳定性…

文件操作---C++

文件操作目录 1.文本文件1.1写文件1.2读文件1.2.1第一种方式&#xff1a;流输入方式1.2.2第二种方式&#xff1a;getline成员函数1.2.3第三种方式&#xff1a;getline全局函数1.2.4第四种方式&#xff1a;按一个一个字符读取 2.二进制文件2.1写文件2.2读文件 程序运行时产生的数…

码农维权——案例分析之非法单解后的诉求(三)股票相关

目录 一、背景 二、案例分析&#xff1a;违法解除劳动合同 A、双方的争议 B、公司的主要质证/证据&#xff08;公司单方面提交的&#xff0c;法院不一定认可采纳&#xff09; C、员工的质证/证据 D、判决依据及结果 三、写在最后 一、背景 公司非法解除劳动合同的前提下…

LabVIEW电缆检修系统

在电力系统中&#xff0c;合理选择电缆检修策略是保障电网稳定运行的关键。现有的电缆检修策略往往忽视了电缆的技术和经济双重指标&#xff0c;导致检修效率低下和维护成本高昂。为此&#xff0c;开发了一种基于风险评估模型和全寿命周期成本&#xff08;LCC&#xff09;的电缆…

【论文笔记】Learning Deconvolution Network for Semantic Segmentation

重要说明&#xff1a;严格来说&#xff0c;论文所指的反卷积并不是真正的 deconvolution network 。 关于 deconvolution network 的详细介绍&#xff0c;请参考另一篇博客&#xff1a;什么是Deconvolutional Network&#xff1f; 一、参考资料 Learning Deconvolution Netwo…

在IDEA中创建SpringBoot项目

概述 SpringBoot是由Pivotal团队提供的全新的框架&#xff0c;其设计的目的是用来简化Spring应用的初始搭建以及开发过程。 传统方式构建Spring应用程序 导入依赖繁琐 依赖冲突 项目配置繁琐 SpringBoot特性 1、起步依赖 本质上就行一个Maven坐标&#xff0c;整合了完成一…