Linux操作系统安全加固实施方案.docx

1inux操作系统安全加固实施方案信息中心2023年11月09日版本控制版本版本控制信息更新日期更新人审批人VI.O创建2023年11月目录一、实施时间4二、实施方法4三、实施人员4四、实施范围4五、安全加固方案55.1 账号锁定策略55.2 登录超时时间设置65.3 口令生存期65.4 口令复杂度75.5 口令重复次数限制85.6 禁止空密码账号95.7 删除无关账号105.8 禁止UID为0的用户存在多个125.9 root用户环境变量安全135.10 使用PAM认证模块禁止whee1组之外的用户su为root14三、文件与权限153.1 文件与目录缺省权限控制153.2 重要文件权限设置163.3 不存在未授权SUID、SGID文件173.4 删除潜在危险文件183.5 删除所有用户都有写权限目录的写权限193.6 删除所有用户都有写权限文件的写权限213.7 删除没有属主的文件223.8 系统COredUmP状态23四、日志与审计244.1 开启远程日志功能244.2 记录安全事件日志254.3 记录用户登录日志264.4 记录SU命令使用日志274.5 记录CrOn行为日志28五、系统服务295.1 限制root用户SSH远程登录295.2 使用PAM认证模块禁止whee1组之外的用户SU为root305.3 禁止IP路由转发315.4 配置NFS服务限制325.5 禁止Ctr1+A1t+De1ete组合键关机345.6 限制远程访问的IP地址345.7 配置NTP355.8 禁止ICMP重定向375.9 禁止IP源路由375.10 设置屏幕锁定385.11 关闭不必要启动项405.12 关闭不必要的服务和端口405.13 更改主机解析地址的顺序415.14 历史命令设置425.15 对root为Is、rm设置别名435.16 修改SNMP的默认Community445.17 打开Syncookie缓解synf1ood攻击45一、实施时间实施时间：2023年11月日至二、实施方法采用工具扫描和人工评估两种相结合的方式，依据1inux主机系统安全基线标准与加固指南对单位1inUX操作系统进行评估与安全加固。三、实施人员四、实施范围序号IP地址（范围）备注1172.16.39.1-172.16.39.602172.16.49.1-172.16.49.603172.16.59.1-172.16.59.64五、安全加固方案5.1 账号锁定策略安全加固项目名称1inux操作系统账号锁定策略安全加固编号1inux-O1-O1安全加固项说明对于采用静态口令认证技术的设备，当账号连续认证失败次数超过5次，自动锁定该账号安全加固实施步骤参考配置操作1、执行备份#CP-petcpam.d/system-authetcpam.d/system-auth_bak2、修改策略，编辑文件etcpam.d/SyStem-auth增加如下内容：authrequiredpam_ta11y2.sodeny=5onerr=fai1no_magic_rootun1ock_time=300InIOCk_time单位为秒accountrequiredpam_ta11y2.so回退方案备份文件etcpam.d/system-auth_bak覆盖至etcpam.dsystem-auth文件是否实施口是否实施结果口成功口失败，已回滚备注(1)解锁用户fai11og-u用户名-r(2)RedHat5.1以上版本支持pamjay2.so,其他版本及SUSe只支持pam_ta11y.so5.2 登录超时时间设置安全加固项目名称1inUX操作系统用户登录超时时间设置安全加固编号1inu-01-02安全加固项说明1inUX操作系统用户登录空闲时间超过300秒自动登出安全加固实施步骤1、执行备份#CP-petcprofi1e/etc/profi1e_bak2、在etcprofi1e文件增加以下两行（如果存在则修改，否则手工添加）：#Vi/etc/profi1eTM0UT=300exportTMOUT回退方案将备份文件/etc/profi1e_bak覆盖至/etc/profi1e文件是否实施口是否实施结果口成功口失败，已回滚备注TMOUT以秒为单位5.3 口令生存期安全加固项目名称1inux操作系统用户口令生存期策略安全加固1inux-01-03编号安全加固项说明对于采用静态口令认证技术的设备，账户口令生存周期最大值应小于等于90天安全加固实施步骤1、执行备份：#CP-petc1ogin.defsetc1ogin.defs_bak2、修改策略设置，编辑文件etc1ogin.defs(vietc1ogin.defs),在文件中加入如下内容(如果存在则修改，不存在则添加)：PASS_MAX_DAYS90PASS_MIN_DAYS10PASS_WARN_AGE7回退方案将备份文件etc1ogin.defs_bak覆盖至etc1ogin.defs文件是否实施是否实施结果口成功口失败，已回滚备注5.4 口令复杂度安全加固项目名称1inUX操作系统用户口令复杂度策略安全加固编号1inux-01-04安全加固项说明对于采用静态口令认证技术的设备，账户口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号。加固实施步骤1、执行备份：#CP-petcpam.dsystem-authetcpam.d/system-auth_bak2、编辑文件etcpam.d/SyStem-auth,在文件中找到如下内容：passwordrequisitepam_crack1ib.so,将其修改为：passwordrequisitepam_crack1ib.sotry_first_passretry=3dcredit-1Icredit-Iucredit=-1ocredit=-1min1en=8#至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度=8回退方案将备份文件etcpam.d/SyStem-auth_bak覆盖至etcpam.d/system-auth文件是否实施口是口否实施结果口成功失败，已回滚备注5.5 口令重复次数限制安全加固项目名称1inux操作系统用户口令重复次数限制策略安全加固编号1inu-01-05安全加固对于采用静态口令认证技术的设备，账户口令不能重复使用最近5项说明次（含5次）内已使用的口令加固方案1、执行备份# CP-petcpam.d/system-authetcpam.d/system-auth.bak2、创建文件/etc/security/OPaSSWd用于存储旧密码,并设置权限。fttouch/etc/security/opasswd# ChoWnroot：root/etc/security/opasswdttchmod600/etc/security/opasswd3、修改策略设置# Vietcpam.d/system-auth在passwordsufficientpam_unix.so所在行末尾增加remember=5,中间以空格隔开，如果没有则新增，例如：passwordsufficientpam_unix.somd5shadownu11oktry_first_passuse_authtokremember-5回退方案将备份文件etcpam.d/SyStem-auth.bak覆盖至etcpam.d/system-aut文件是否实施口是口否实施结果口成功失败，已回滚备注5.6 禁止空密码账号安全加固项目名称1inux操作系统禁止空密码账号安全加固编号1inu-01-06安全加固项说明对于采用静态口令认证技术的设备，账户口令不能为空。安全加固实施步骤1、执行以下命令检查是否存在空口令账户，若返回结果为0则表示不存在空口令账号。#awk-F：'（$2=二""）print$1,etcshadow2、上述执行结果不为0,继续以下步骤# CP-petcpasswdetcpasswd-bak# CP-petcshadowetcshadow-bak3、为帐户设置满足密码复杂度的密码：# PaSSWc1username回退方案无是否实施口是否实施结果成功失败，已回滚备注2.7删除无关账号安全基线项目名称1inux操作系统禁止空密码账号安全基线编号1inu-01-07安全基线项说明对于采用静态口令认证技术的设备，账户口令不能为空。检测操作步骤1、查看/etc/shadow文件，确认以下用户(1psyncIha1t|news|uucpoperatorIgamesgophersmmspnfsnobodynobody)的密码列字段是否以*或者！开头：ftegrep“Ip：sync：ha1t：news：uucp：operator：games：gopher：smmsp：nfsnobody：nobody：r,etcshadowawk-F:'($2!V/)&&($2!/F!/)print2、查看etcpasswd文件确认以下用户(1psyncha1tnewsuucpoperatorgamesgophersmmspnfsnobodyInobody)的she11域字段值是否为binfa1seftegrep“Ip：sync：ha1t：news：uucp：operator：games：gopher：smmsp：nfsnobody：nobody：r,etcpasswdawk-F:'($7!VbinVfa1se/)print$1"："$7'基线符合性判定依据判定依据1、Ipsyncha1tnewsIuucpoperatorgamesgophersmmspnfsnobodynobody用户不存在或etcshadow文件中对应密码字段以*或者！开头2、Ipsyncha1tnewsuucpoperatorgamesgophersmmspnfsnobodynobody用户不存在或者etcpasswd文件中对应she11域为binfa1se以上二者均满足则合规，否则不合规。加固方案参考配置操作1、如果以下用户(IPsyncha1tnewsuucp：operatorgamesgophers