Linux 安全配置规范
2011年3月
第一章 概述
1.1 适用范围
适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
由于版本不同,配置操作有所不同,本规范以内核版本2.6及以上为例,给出参考配置操作。
第二章 安全配置要求
2.1账号 编号: 1 要求内容 操作指南 检测方法 应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 2、补充操作说明 1、判定条件 能够登录成功并且可以进行常用操作; 2、检测操作 使用不同的账号进行登录并进行一些常用操作; 3、补充说明 应删除或锁定与设备运行、维护等工作无关的账号。 1、参考配置操作 编号: 2 要求内容 操作指南 删除用户:#userdel username; 锁定用户: 1)修改/etc/shadow文件,用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。 注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等 检测方法 1、判定条件 被删除或锁定的账号无法登录成功; 2、检测操作 使用删除或锁定的与工作无关的账号登录系统; 3、补充说明 需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。 根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。 1、参考配置操作 Cat /etc/passwd Cat /etc/group 2、补充操作说明 1、判定条件 人工分析判断 2、检测操作 使用PAM禁止任何人su为root 参考操作: 编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。添加方法为: # chmod –G10 username 编号: 3 要求内容 操作指南 检测方法 编号:4 要求内容 操作指南 检测方法 1、判定条件 2、检测操作 Cat /etc/pam.d/su 2.2口令 编号:1 要求内容 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。 1、参考配置操作 vi /etc/login.defs ,修改设置如下 PASS_MIN_LEN=8 #设定最小用户密码长度为8位 Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置 1、判定条件 不符合密码强度的时候,系统对口令强度要求进行提示; 符合密码强度的时候,可以成功设置; 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置: i. 配置口令的最小长度; ii. 将口令配置为强口令。 2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。 3、补充说明 pam_cracklib主要参数说明: ??? tretry=N:重试多少次后返回密码修改错误 ??? difok=N:新密码必需与旧密码不同的位数 ??? dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字. ??? lcredit=N:小宝字母的个数 ??? ucredit=N大宝字母的个数 ??? credit=N:特殊字母的个数 ??? minclass=N:密码组成(大/小字母,数字,特殊字符) pam_passwdqc主要参数说明: mix:设置口令字最小长度,默认值是mix=disabled。 max:设置口令字的最大长度,默认值是max=40。 passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0则禁用口令短语。 atch:设置密码串的常见程序,默认值是match=4。 similar:设置当我们重设口令时,重新设置的新口令能操作指南 检测方法 否与旧口令相似,它可以是similar=permit允许相似或similar=deny不允许相似。 random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。 enforce:设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;enforce=users将对系统上的全体非根用户实行这一限制;enforce=everyone将对包括根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设置用户输入口令字时允许重试的次数,默认值是retry=3。 密码复杂度通过/etc/pam.d/system-auth实施 编号: 2 要求内容 操作指南 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。 1、参考配置操作 vi /etc/login.defs PASS_MAX_DAYS=90 #设定口令的生存期不长于90天 1、判定条件 登录不成功; 2、检测操作 使用超过90天的帐户口令登录; 3、补充说明 测试时可以将90天的设置缩短来做测试; 检测方法 2.3文件及目录权限 编号:1 要求内容 操作指南 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 /etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group
linux安全配置规范
