Linu系统安全配置基
线
文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
Linux系统安全配置基线 目 录
第1章 概述 1.1 目的 本文规定了Linux 操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行Linux 操作系统的安全合规性检查和配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、安全管理员和相关使用人员。 本配置标准适用的范围包括:Linux 服务器。 1.3 适用版本 适用于Redhat AS 5。 第2章 安装前准备工作 2.1 需准备的光盘 从RedHat官网下载高级企业服务器版操作系统,并制作成光盘。 第3章 操作系统的基本安装 3.1 基本安装 (1)应在隔离网络进行安装。选择custom方式,根据最小化原则,仅安装需要的软件包。 (2)根据服务器的实际用途来确实是否需要给/VAR,/HOME划分单独的分区。 (3)安装完成后尽快通过合适可行的方式安装重要的补丁程序。 第4章 账号管理、认证授权 4.1 账号 4.1.1 用户口令设置 安全基线项目名称 安全基线项说明 检测操作步骤 操作系统Linux用户口令安全基线要求项 帐号与口令-用户口令设置, 配置用户口令强度检查达到12位,要求用户口令包括数字、小写字母、大写字母和特殊符号4类中至少2类。 1、询问管理员是否存在如下类似的简单用户密码配置,比如: root/root, test/test, root/root1234 2、执行:more /etc/login,检查 PASS_MIN_LEN 12 PASS_MAX_DAYS 90 PASS_WARN_AGE 7 3、执行:awk -F: '($2 == \检查是否存在空口令账号 4、编辑/etc/system-auth文件,将 password requisite try_first_pass retry=3 改为 password requisite try_first_pass retry=3 dcredit=-1 ocredit=-1 基线符合性判定依据 不允许存在简单密码,密码设置至少包括一个数字和一个特殊字符,长度至少为12位 检查grep pam_cracklib /etc/system-auth 修改已有用户的口令生存期和过期告警天数 备注 #chage -M 90 -W 7 htsc_temp 4.1.2 检查是否存在除root之外UID为0的用户 安全基线项目名称 安全基线操作系统Linux超级用户策略安全基线要求项 帐号与口令-检查是否存在除root之外UID为0的用户