linux系统安全配置要求

.

2、执行： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明 可能影响网络通信 6. 日志安全配置要求

6.1. 非日志服务器禁止接收syslog

配置项名称 非日志服务器禁止接收syslog 执行： 检查方法 #cat /etc/rc.config.d/syslogd 检查是否存在SYSLOGD_OPTS=\1、执行备份 #cp -p /etc/rc.config.d/syslogd /etc/rc.config.d/syslogd_bak 2、执行下列命令，添加SYSLOGD_OPTS=\操作步骤 #ch_rc -a -p SYSLOGD_OPTS=\3、重启syslogd #/sbin/init.d/syslogd stop #/sbin/init.d/syslogd start 回退操作 #cp -p /etc/rc.config.d/syslogd_bak /etc/rc.config.d/syslogd 风险说明 低风险 .

.

6.2. 启用inetd日志记录

配置项名称 启用inetd日志记录 执行： 检查方法 #cat /etc/rc.config.d/netdaemons | grep INETD_ARGS=-l 查看该文件是否存在INETD_ARGS=-l 1、执行备份 #cp -p /etc/rc.config.d/netdaemons /etc/rc.config.d/netdaemons_bak 2、执行下列命令，设置参数 操作步骤 # ch_rc -a -p INETD_ARGS=-l /etc/rc.config.d/netdaemons 3、重新启动inetd服务 #/sbin/init.d/inetd {stop|start} 回退操作 #cp -p /etc/rc.config.d/netdaemons_bak /etc/rc.config.d/netdaemons 风险说明 大量的日志记录可能影响系统性能并占用大量磁盘空间，需要重启服务 6.3. 配置SYSLOG

配置项名称 syslogd的运行和配置安全 执行： #ps -eaf | grep syslog 检查方法 检查syslogd进程是否运行 #cat /etc/syslog.conf 检查配置文件的内容 .

.

1、执行备份：

#cp –p /etc/syslog.conf /etc/syslog.conf_bak 2、配置syslog： 确保syslog的运行

配置文件的内容应包括以下信息：

mail.debug /usr/spool/mqueue/syslog

操作步骤

*.info,mail.none /var/adm/syslog/syslog *.alert /dev/console *.alert root *.emerg * 3、重启syslog服务： #/sbin/init.d/syslogd stop #/sbin/init.d/syslogd start

执行：

#cp /etc/syslog.conf_bak /etc/syslog.conf

回退操作

#/sbin/init.d/syslogd stop #/sbin/init.d/syslogd start

风险说明 大量的日志记录可能影响系统性能并占用大量磁盘空间，需要重启服务

6.4. 检查系统日志文件权限

配置项名称 检查系统日志文件权限 执行： 检查方法 #ls -l /var/adm/ .

.

#ls -l /var/adm/syslog 查看系统日志文件权限设置情况 1、执行备份 记录需要修改的文件权限 操作步骤 2、执行下列命令，设置文件权限为640 #chmod 640 回退操作 使用chmod命令恢复被修改文件的权限。 风险说明 低风险 7. 其他安全配置要求

7.1. 字符交互界面帐户超时自动退出

配置项名称 对于具备字符交互界面的设备，应配置定时帐户自动登出。 执行： 检查方法 #cat /etc/profile 查看/etc/profile文件中是否有TMOUT 1、执行备份 #cp -p /etc/profile /etc/profile_bak 2、设置自动锁定时间为180秒 操作步骤 #vi /etc/profile 增加一行 export TMOUT=180 .

.

回退操作 #cp -p /etc/profile_bak /etc/profile 风险说明 低风险 7.2. 图形界面设置默认自动锁屏时间为10分钟

配置项名称 对于具备图形界面（含WEB界面）的设备，应配置自动屏幕锁定时间为10分钟。 执行： 检查方法 #cat /etc/dt/config/C/sys.resources 查看有无dtsession*lockTimeout: 10和dtsession*saverTimeout: 10 1、执行备份 #cp -p /usr/dt/config/C/sys.resources /usr/dt/config/C/sys.resources_bak #cp -p /etc/dt/config/C/sys.resources /etc/dt/config/C/sys.resources_bak 2、设置自动锁屏时间为10分钟 # cp /usr/dt/config/C/sys.resources /etc/dt/config/C/sys.resources # vi /etc/dt/config/C/sys.resources 添加两行 dtsession*saverTimeout: 10 dtsession*lockTimeout: 10 操作步骤 执行： #cp 回退操作 -p /usr/dt/config/C/sys.resources_bak /usr/dt/config/C/sys.resources #cp -p /etc/dt/config/C/sys.resources_bak /etc/dt/config/C/sys.resources .