.
Linux安全配置标准
一.目的
《Linux安全配置标准》是Qunar信息系统安全标准的一部分,主要目的是根据信息安全管理政策的要求,为我司的Linux系统提供配置基准,并作为Linux系统设计、实施及维护的技术和安全参考依据。
二.范围
安全标准所有条款默认适用于所有Linux系统,某些特殊的会明确指定适用范围。
三.内容
3.1 软件版本及升级策略
操作系统内核及各应用软件,默认采用较新的稳定版本,不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。
3.2 账户及口令管理 3.2.1 远程登录帐号管理
符合以下条件之一的,属\可远程登录帐号\: (1) 设置了密码,且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key \可远程登录帐号\的管理要求为:
Word资料
页 错误!未找到引用源。
(1) 帐号命名格式与邮件命名格式保持一致
(2) 不允许多人共用一个帐号,不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主,离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批
3.2.2 守护进程帐号管理
守护进程启动帐号管理要求
(1) 应建立独立帐号,禁止赋予sudo权限,禁止加入root或wheel等高权限组。
(2) 禁止使用\可远程登录帐号\启动守护进程
(3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。
3.2.3 系统默认帐号管理(仅适用于财务管理重点关注系统)
删除默认的帐号,包括:lp,sync,shutdown, halt, news, uucp, operator, games, gopher等
3.2.4 口令管理
口令管理应遵循《密码口令管理制度》,具体要求为 (1) 启用密码策略 /etc/login.defs
页 错误!未找到引用源。
PASS_MAX_DAYS 90 PASS_MIN_DAYS 1 PASS_MIN_LEN 7 PASS_WARN_AGE 7
/etc/pam.d/system-auth
password sufficient pam_unix.so ** remember=5
password requisite pam_cracklib.so ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0
(2) 启用帐号锁定策略,连续输错3次口令,锁定用户30分钟 /etc/pam.d/system-auth
auth required pam_env.so
auth required pam_tally2.so deny=3 unlock_time=1800
3.2.5 OpenSSH安全配置
只使用协议版本2,禁止root登录,禁止空口令登录,独立记录日志到/var/log/secure。具体配置为:
/etc/ssh/sshd_config
#default is 2,1 Protocol 2
#default is yes PermitRootLogin no
#default is no
PermitEmptyPasswords no
#default is AUTH SyslogFacility AUTHPRIV
3.3 认证授权 3.3.1 远程管理方式
(1) 默认仅允许ssh一种远程管理方式,禁止使用下文件,必须删除: $HOME/.rhosts /etc/hosts.equiv
telnet、等,如存在以页 错误!未找到引用源。
rlogin页 错误!未找到引用源。
/etc/xinetd.d/rsh /etc/xinetd.d/rlogin
(2) 跳板机只允许RSA TOKEN方式登录,其它Linux服务器只允许通过密码和public key方式登录。
(3) 生产环境Linux服务器,只允许来自跳板机和其它指定IP的登录,通过tcp warp实现。生产环境范围由安全组指定,允许登录的IP源由安全组指定。BETA/DEV环境登录限制同生产环境。
3.3.2 其它(仅适用于财务管理重点关注系统)
(1) 仅允许非wheel组用户通过远程管理,配置方法: /etc/security/access.conf
-:wheel:ALL EXCEPT LOCAL .win.tue.nl
/etc/pam.d/sshd
account required pam_access.so
(2) 限制普通用户控制台访问权限
禁止普通用户在控制台执行shutdown、halt以及reboot等命令。 rm -f /etc/security/console.apps/reboot
Linux安全配置标准
