中国移动集团管理信息系统部安全加固项目
Linux 系统安全配置基线
中国移动通信有限公司 管理信息系统部
2009 年 3 月
中国移动集团公司 第 1 页 共 15 页
中国移动集团管理信息系统部安全加固项目
版本 V1.0 创建 版本控制信息 更新日期 2009 年 1 月 更新人 审批人 备注: 1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司 第 2 页 共 15 页
中国移动集团管理信息系统部安全加固项目
目 录
第 1 章 1.1 1.2 1.3 1.4 1.5 第 2 章 2.1
概述..........................................................................................................................................1
目的..........................................................................................................................................1 适用范围..................................................................................................................................1 适用版本..................................................................................................................................1 实施..........................................................................................................................................1 例外条款..................................................................................................................................1 账号管理、认证授权..............................................................................................................2
账号..........................................................................................................................................2
用户口令设置 .................................................................................................................2
2.1.2 root 用户远程登录限制......................................................................................................2 2.1.3 检查是否存在除 root 之外 UID 为 0 的用户 ...............................................................3 2.1.4 root 用户环境变量的安全性..............................................................................................3
2.1.1 2.2
认证..........................................................................................................................................4 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 2.2.7 2.2.8 第 3 章 3.1 3.2 第 4 章 4.1
远程连接的安全性配置 .................................................................................................4 用户的 umask 安全配置 .................................................................................................4 重要目录和文件的权限设置 .........................................................................................4 查找未授权的 SUID/SGID 文件....................................................................................5 检查任何人都有写权限的目录 .....................................................................................6 查找任何人都有写权限的文件 .....................................................................................6 检查没有属主的文件 .....................................................................................................7 检查异常隐含文件 .........................................................................................................7
日志审计..................................................................................................................................9
日志..........................................................................................................................................9 审计..........................................................................................................................................9 系统文件................................................................................................................................11
系统状态................................................................................................................................11
3.1.1 syslog 登录事件记录 ..........................................................................................................9 3.2.1 Syslog.conf 的配置审核 ......................................................................................................9
4.1.1 第 5 章
系统 core dump 状态 ....................................................................................................11
评审与修订............................................................................................................................12
中国移动集团公司 第 3 页 共 15 页
中国移动集团管理信息系统部安全加固项目
第 1 章 概述
1.1 目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 LINUX 操作系
统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查
人员进行 LINUX 操作系统的安全合规性检查和配置。
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的 LINUX
服务器系统。
1.3 适用版本
LINUX 系列服务器;
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中
若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送
交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动集团公司
第 1 页 共 15 页
中国移动集团管理信息系统部安全加固项目
第 2 章 账号管理、认证授权
2.1 账号
2.1.1 用户口令设置
安全基线项 目名称 安全基线编 号 安全基线项 说明 检测操作步 骤 操作系统 Linux 用户口令安全基线要求项 SBL-Linux-02-01-01 帐号与口令-用户口令设置 1、询问管理员是否存在如下类似的简单用户密码配置,比如: root/root, test/test, root/root1234 2、执行:more /etc/login,检查 PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AG E 参数 3、执行:awk -F: '($2 == \ { print $1 }' /etc/shadow, 检查是否存在空口令账 号 基线符合性 判定依据 建议在/etc/login 文件中配置:PASS_MIN_LEN=6 不允许存在简单密码,密码设置符合策略,如长度至少为 6 不存在空口令账号 备注
2.1.2 root 用户远程登录限制
安全基线项 目名称 安全基线编 号 安全基线项 说明 检测操作步
操作系统 Linux 远程登录安全基线要求项 SBL-Linux-02-01-02 帐号与口令-root 用户远程登录限制 执行:more /etc/securetty,检查 Console 参数 第 2 页 共 15 页
中国移动集团公司
(完整版)Linux安全配置基线
