Linux系统安全配置指南（基线）

中国联通内网Linux系统安全配置指南 （试行） 2009-07-24发布 2009-07-24实施

中国联通公司发布

中国联通内网Linux系统安全配置指南

目 录

前 言.............................................................................................................................................. II

1 范围 ................................................................................................................................... 1 2 定义与缩略语 ................................................................................................................... 1

2.1 缩略语 ................................................................................................................... 1 3 安全配置要求 ................................................................................................................... 1

3.1 权限与审计功能配置 ........................................................................................... 1 3.1.1 用户帐号设置 ................................................................................................... 1 3.1.2 用户组设置 ....................................................................................................... 1 3.1.3 所有用户审计 ................................................................................................... 1 3.1.4 Root用户远程登录限制 .................................................................................. 2 3.1.5 passwd shadow group文件安全性 ................................................................... 2 3.1.6 是否存在除root之外UID为0的用户 ......................................................... 2 3.1.7 用户环境变量的安全性 ................................................................................... 2 3.1.8 远程连接的安全性配置 ................................................................................... 3 3.1.9 用户的umask安全配置 .................................................................................. 3 3.2 文件系统 ............................................................................................................... 3 3.2.1. 重要目录和文件的权限设置 ........................................................................... 3 3.2.2. 查找未授权的SUID/SGID文件 ..................................................................... 3 3.2.3. 查找没有包含粘性位的任何人都有写权限的目录 ....................................... 4 3.2.4. 查找任何人都有写权限的文件 ....................................................................... 4 3.2.5. 没有属主的文件 ............................................................................................... 4 3.2.6. 异常隐含文件 ................................................................................................... 4 3.3 网络与服务 ........................................................................................................... 5 3.3.1. 检查xinetd中基本网络服务配置 ................................................................... 5 3.3.2. 只在必需NFS时，才开启NFS ..................................................................... 5 3.3.3. 常规网络服务 ................................................................................................... 5 3.4 日志审计 ............................................................................................................... 6 3.4.1. at/cron任务授权 ............................................................................................... 6 3.4.2. 登录事件记录 ................................................................................................... 6 3.4.3. syslog.conf配置 ............................................................................................... 6 3.5 系统文件 ............................................................................................................... 6 3.5.1. 系统磁盘状态 ................................................................................................... 6 3.5.2. core dump状态 ................................................................................................. 6 4 评审与修订 ....................................................................................................................... 6

I

中国联通内网Linux系统安全配置指南

前 言

为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好基于Linux系统的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。

本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。 本文档起草单位：中国联合网络通信有限公司、系统集成公司。 本文档主要起草人：胡松，栾文魁。

本文档解释单位：中国联合网络通信有限公司管理信息系统部。

II

中国联通内网Linux系统安全配置指南

1 范围

本指南规定了中国联通范围内安装有Linux系统的服务器应当遵循的操作系统安全性设置标准，本指南旨在指导系统管理人员进行Linux系统的安全配置。

本指南适用版本：Linux系统

本指南的适用范围为中国联通集团总部、各直属单位、各省级分公司。 2

定义与缩略语

2.1 缩略语

下列缩略语适用于本指南：

术语及缩写 NFS

3

安全配置要求

英文

Network File System

中文

网络文件系统

3.1 权限与审计功能配置

3.1.1 用户帐号设置 配置项名称 用户帐号设置 1、执行：more /etc/passwd 查看是否存在以下可能无用的帐号： uucp nuucp lpd guest printq 同时检查是否对所有用户授予了合理的home目录。 2、执行：ls –l /etc/passwd 检查 /etc/passwd文件属性设置是否为 644 建议删除所有无用的帐号 给相关文件配置合理的权限，配置口令文件属性，执行： $ chmod 644 /etc/passwd $# chmod 600 /etc/group 用户组设置 用户组设置 1、执行：more /etc/group 检查用户组的设置情况，查看是否存在以下可能无用的用户组： uucp printq 2、执行：ls -l /etc/group 检查 /etc/group文件属性设置是否为 644 1、建议删除不必要的用户组 2、为用户组文件配置安全属性，执行： $chmod 700 /etc/group 所有用户审计 审计功能是否对所有用户都有效 1

操作步骤 安全建议 备 注 3.1.2 配置项名称 操作步骤 安全建议 备 注 3.1.3 配置项名称 中国联通内网Linux系统安全配置指南

操作步骤 调用SAM，执行：/usr/bin/sam 选择：Auditing and Security 选择：Users 查看审计功能是否对所有的用户都有效。如果不是，检查审计功能无效的用户账号。 系统所有用户的审计功能都应被开启（在“Login Audited”一栏中显示“NO”则表示该用户未被有效审计） 系统默认会审计所有用户，但是单独某个用户的审计功能可以被禁用 Root用户远程登录限制 Root用户远程登录限制 执行：more /etc/securetty 检查是否有下列参数 Console 禁止root用户直接登录系统 禁止root用户直接登录系统可以增加系统入侵的难度。 passwd shadow group文件安全性 passwd group文件安全性配置 1、执行：ls –l /etc/passwd /etc/shadow /etc/group, 查看文件权限状态 2、执行：grep ^+: /etc/passwd /etc/shadow /etc/group，查看文件中是否包含”+”。返回值应为空 更改文件权限，执行chmod o-w /etc/passwd /etc/shadow /etc/group 删除文件中的”+”条目 有”+”条目的文件允许通过NIS Map中系统配置的某些点插入数据，passwd shadow group文件中如包含此条目，可能会使入侵者通过网络添加用户。 是否存在除root之外UID为0的用户 检查是否存在除root之外UID为0的用户 执行：awk -F: '($3 == 0) { print $1 }' /etc/passwd 返回值应只有root 保证只有root用户的UID为0 UID为0的任何用户都拥有系统的最高特权 用户环境变量的安全性 root用户环境变量的安全性 执行：echo $PATH | egrep '(^|:)(\\.|:|$)'，检查是否包含父目录， 执行：find `echo $PATH | tr ':' ' '` -type d \\( -perm -002 -o -perm -020 \\) -ls，检查是否包含组目录权限为777的目录 确保root用户的系统路径中不包含父目录，在非必要的情况下，不应包含组权限为777的目录。 可能某些应用需要目录提供777权限 安全建议 备注

3.1.4 配置项名称 操作步骤 安全建议 备 注 3.1.5 配置项名称 操作步骤 安全建议 备 注

3.1.6 配置项名称 操作步骤 安全建议 备 注

3.1.7 配置项名称 操作步骤 安全建议 备 注 2

中国联通内网Linux系统安全配置指南

3.1.8 配置项名称 操作步骤 安全建议 备 注

3.1.9 配置项名称 操作步骤 安全建议 备 注

远程连接的安全性配置 远程连接的安全性配置 执行：find / -name .netrc，检查系统中是否有.netrc文件， 执行：find / -name .rhosts ，检查系统中是否有.rhosts文件 如无必要，删除这两个文件 可能某些应用需要使用远程连接 用户的umask安全配置 用户的umask安全配置 执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值 建议设置用户的默认umask=077 使用合适的umask可提高系统安全性 3.2 文件系统

3.2.1. 重要目录和文件的权限设置 配置项名称 重要目录和文件的权限设置 执行以下命令检查目录和文件的权限设置情况： ls –l /etc/ ls –l /etc/rc.d/init.d/ ls –l /tmp ls –l /etc/inetd.conf ls –l /etc/passwd ls –l /etc/shadow ls –l /etc/group ls –l /etc/security ls –l /etc/services ls -l /etc/rc*.d 对于重要目录，建议执行如下类似操作： # chmod -R 750 /etc/rc.d/init.d/* 这样只有root可以读、写和执行这个目录下的脚本。 操作步骤 安全建议 备 注

3.2.2. 查找未授权的SUID/SGID文件 配置项名称 SUID/SGID文件 用下面的命令查找系统中所有的SUID和SGID程序，执行： for PART in `grep -v ^# /etc/fstab | awk '($6 != \find $PART \\( -perm -04000 -o -perm -02000 \\) -type f -xdev -print done 建议经常性的对比suid/sgid文件列表，以便能够及时发现可疑的后门程序。 系统中SUID和SGID文件很有可能成为安全隐患，必须被严密监控。因为这些程序都给执行它的用户一些特权，所以要确保危险的SUID程序没有被安装。 3

操作步骤 安全建议 备 注 中国联通内网Linux系统安全配置指南

黑客常常利用SUID程序，故意留下一个SUID的程序作为下次进入系统的后门。注意系统中所有的SUID和SGID的程序，并跟踪它们，这样可尽早发现入侵者。

3.2.3. 查找没有包含粘性位的任何人都有写权限的目录 配置项名称 检查任何人都有写权限的目录 在系统中定位任何人都有写权限的目录用下面的命令： for PART in `awk '($3 == \{ print $2 }' /etc/fstab`; do find $PART -xdev -type d \\( -perm -0002 -a ! -perm -1000 \\) -print done 返回值应为空 按实际需求更改权限， 检查哪些目录是任何人都具备写操作权限并且没有粘性位。 操作步骤 安全建议 备 注

3.2.4. 查找任何人都有写权限的文件 配置项名称 查找任何人都有写权限的文件 在系统中定位任何人都有写权限的文件用下面的命令： for PART in `grep -v ^# /etc/fstab | awk '($6 != \find $PART -xdev -type f \\( -perm -0002 -a ! -perm -1000 \\) -print done 按实际需求更改权限，执行：chmod o-w 文件名 操作步骤 安全建议 备 注

3.2.5. 没有属主的文件 配置项名称 检查没有属主的文件 定位系统中没有属主的文件用下面的命令： for PART in `grep -v ^# /etc/fstab | awk '($6 != \find $PART -nouser -o -nogroup -print done 注意：不用管“/dev”目录下的那些文件。 建议严格审查所有无属主的可疑文件。 发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属主的文件存在。如果在系统中发现了没有属主的文件或目录，先查看它的完整性，如果一切正常，给它一个属主。有时候卸载程序可能会出现一些没有属主的文件或目录，在这种情况下可以把这些文件和目录删除掉。 操作步骤 安全建议 备 注 3.2.6. 异常隐含文件 配置项名称 异常隐含文件 在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“ls”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX下，一个常用的技术就是用一些特殊的名，如：“…”、“.. ”（点点空格）或“..^G”（点点control-G），4

操作步骤 中国联通内网Linux系统安全配置指南

来隐含文件或目录。 用“find”程序可以查找到这些隐含文件。例如： # find / -name \–xdev # find / -name \-print -xdev | cat -v 同时也要注意象“.xx”和“.mail”这样的文件名的。（这些文件名看起来都很象正常的文件名） 安全建议 备 注 建议严格审查系统中的异常隐含文件 3.3 网络与服务

3.3.1. 检查xinetd中基本网络服务配置 配置项名称 操作步骤 xinetd中基本网络服务配置 执行：ls –l /etc/xinetd.d more * |grep disable 检查/etc/xinetd.d目录中的包含的基本的网络服务的配置文件 建议禁止下列不必要的基本网络服务。 chargen chargen-udp cups-lpd cups daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services sgi_fam talk telnet tftp time time-udp vsftpd wu-ftpd 执行：chkconfig ${FILE} off 关闭不需要的服务 more * |grep disable 中*为/etc/xinetd.d下的文件， disable=yes说明服务关闭 disable=yes说明服务启动 安全建议 备 注

3.3.2. 只在必需NFS时，才开启NFS 配置项名称 操作步骤 安全建议 备 注

3.3.3. 常规网络服务 配置项名称 常规网络服务 询问管理员或执行以下操作检查系统运行那些常规网络服务，并记录各类服务的服务系统软件类型和版本，对于运行的服务，提取相关配置文件信息： telnet localhost 80 telnet localhost 25 telnet localhost 110 telnet localhost 143 telnet localhost 443 telnet localhost 21 确保web / mail / ftp等常规网络服务的运行正常 只在必需NFS时，才开启NFS 执行：chkconfig - -level 345 nfs on 起用NFS chkconfig - -level 345 nfs off 停用NFS 如非必要，建议停止NFS。Linux默认停止NFS 在不需要的情况下，不启用NFS 操作步骤 安全建议 备 注 5

中国联通内网Linux系统安全配置指南

3.4 日志审计

3.4.1. at/cron任务授权 配置项名称 操作步骤 安全建议 备 注

3.4.2. 登录事件记录 配置项名称 操作步骤 安全建议 备 注 3.4.3. syslog.conf配置 配置项名称 Syslog.conf的配置审核 执行：more /etc/syslog.conf，查看是否设置了下列项： kern.warning;*.err;authpriv.none\\t@loghost *.info;mail.none;authpriv.none;cron.none\\t@loghost *.emerg\\t@loghost local7.*\\t@loghost 建议配置专门的日志服务器，加强日志信息的异地同步备份。 syslog登录事件记录 执行命令：more /etc/syslog.conf 查看参数authpriv值 记录所有登录事件 Cron任务授权 执行：ls –l /etc/cron.deny /etc/at.deny 查看cron.deny、 at.deny文件的授权情况 只允许指定授权用户启用cron/at任务，删除cron.deny at.deny文件，建立cron.allow at.allow文件 操作步骤 安全建议 备 注 3.5 系统文件

3.5.1. 系统磁盘状态 配置项名称 操作步骤 安全建议 备 注

3.5.2. core dump状态 配置项名称 操作步骤 安全建议 备 注 4

评审与修订

本指南每年审查一次，并根据需要进行修订。如遇国家相关法律法规发生变化或中

6

系统磁盘状态 执行：df –k，检查当前系统文件配置情况 及时处理磁盘空间不足情况 系统core dump状态 执行：more /etc/security/limits.conf 检查是否包含下列项： * soft core 0 * hard core 0 关闭系统的core dump core dump中可能包括系统信息，易被入侵者利用 中国联通内网Linux系统安全配置指南

国联通企业信息安全策略发生重大变更等情况时，本指南将适时修订。

7

本文来源：https://www.bwwdw.com/article/b1mr.html