Linux安全配置标准 

页 错误!未找到引用源。

rm -f /etc/security/console.apps/halt rm -f /etc/security/console.apps/shutdown rm -f /etc/security/console.apps/poweroff

3.4 其它

3.4.1 关键文件权限（仅适用于财务管理重点关注系统）

将以下文件设置为600权限 /$HOME/.bash_logout /$HOME/.bash_profile /$HOME/.bashrc

3.4.2 日志管理

开启以下行为日志：用户登录日志、crontab执行日志 配置方法： /etc/syslog.conf

authpriv.* /var/log/secure cron.* /var/log/cron

对于PCI DSS覆盖范围内的系统，所有日志应实时发送到集中的日志管理服务器，并确保由程序自动分析与告警。

3.4.3 用户界面TIMEOUT

页 错误!未找到引用源。

设置用户30分钟无操作自动退出。设置方法： /etc/profile

TMOUT=1800

对于PCI DSS以及SOX404范围内的系统，空闲超时时间需设置为15分钟。

3.4.4 设置NTP时间同步，确保各服务器时间保持一致

配置同机房的自行运维的NTP服务器为NTP源。 示例（每个机房可能不一样）： driftfile /var/db/ntp.drift pidfile /var/run/ntpd.pid

server 192.168.0.117 server 192.168.0.78 server 192.168.0.77

restrict default ignore restrict 127.0.0.1

restrict 192.168.0.0 mask 255.255.0.0 nomodify

页 错误!未找到引用源。

restrict 192.168.0.117 restrict 192.168.0.78 restrict 192.168.0.77

内部NTP服务必须采用行业认可的NTP源。 示例：

server 133.100.9.2 minpoll 4 maxpoll 8 iburst burst prefer server 140.112.4.189 minpoll 4 maxpoll 8 iburst burst prefer server 128.250.33.242 minpoll 4 maxpoll 8 iburst burst prefer server 216.218.254.202 minpoll 4 maxpoll 8 iburst burst prefer server 209.51.161.238 minpoll 4 maxpoll 8 iburst burst prefer server 218.21.130.42 minpoll 4 maxpoll 8 iburst burst prefer server 202.130.120.114 minpoll 4 maxpoll 8 iburst burst prefer server 66.187.233.4 minpoll 4 maxpoll 8 iburst burst prefer server 210.72.145.44 minpoll 4 maxpoll 8 iburst burst prefer server 209.81.9.7 minpoll 4 maxpoll 8 iburst burst prefer

# individual servers

页 错误!未找到引用源。

restrict default ignore restrict 133.100.9.2 restrict 140.112.4.189 restrict 128.250.33.242 restrict 216.218.254.202 restrict 209.51.161.238 restrict 218.21.130.42 restrict 202.130.120.114 restrict 66.187.233.4 restrict 210.72.145.44 restrict 209.81.9.7

3.4.5 禁止安装/运行不必要的服务

当前禁止安装/运行的服务列表为 nfs samba telnet rsh-server

3.4.6 安装防病毒软件（仅适用于PCI DSS范围内系统）

安装经安全组认可的防病毒软件。

页 错误!未找到引用源。

每周至少升级一次防病毒定义，并使用最新定义执行系统扫描。升级以及定期扫描应设置为自动执行任务。对于扫描出来的结果只告警，由安全组成员手工清除病毒，禁止设置自动删除。 扫描范围至少包括： ? bin ? sbin ? home ? lib ? lib64 ? opt ? usr ? var

如果日志（系统、应用）目录被包含于以上目录，需做排除处理。

3.4.7 安装完整性检测工具（仅适用于PCI DSS范围内系统）

由安全组安装文件完整性检测工具，确保以下文件被篡改时及时告警： ? 所有日志文件 ? /etc/profile.d ? /etc/inittab