业务安全 SUSE Linux 主机安全加固

业务安全 SUSE Linux 主机安全加固通用操作指导书

业务安全 SUSE Linux 主机安全

加固

通用操作指导书

目录

1 文档使用说明 ........................................................................................................... 4

1.1 适用范围 .............................................................................................................................. 4

2 实施前准备 ............................................................................................................... 4

2.2 系统检查 .............................................................................................................................. 5 2.3 业务检查 .............................................................................................................................. 5 2.4 备份 ...................................................................................................................................... 5

3 加固实施 ................................................................................................................... 7

3.1 帐号 ...................................................................................................................................... 8 3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 .................................................................. 8 3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 ................................................................. 9 3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 ........................................................................ 11 3.2 口令 .................................................................................................................................... 12 3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 ............................................................. 12 3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 ................................................................. 13 3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 ................................................. 15 3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 ................................................. 15 3.3 服务 .................................................................................................................................... 18 3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 .......................................................... 18 3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 ..................................................... 19 3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 ................................................................. 20 3.3.4 SEC-SUSE-SVC-04-停用NFS服务 ......................................................................... 21 3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 .................................................................. 23 3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 .......................................................... 25 3.4 访问控制 ............................................................................................................................ 26 3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 ........................................... 26

第1页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 ............................................... 28 3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 ............................................................. 29 3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 ..................................... 29 3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 .......................................................... 30 3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 .............................................................. 32 3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 .................................. 33 3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 ....................................................... 34 3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 ............................................... 35 3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 ................................ 36 3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 ............. 37 3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 ..................................... 39 3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del ................................................................. 40 3.5 日志审计 ............................................................................................................................ 40 3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 .................................................................. 40 3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 .................................................................. 41 3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 .................................................................. 43 3.5.4 SEC-SUSE-LOG-04-日志集中存放 .......................................................................... 44 3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 ........................................................... 46 3.5.6 SEC-SUSE-LOG-06-系统服务日志 .......................................................................... 46 3.6 登陆显示 ............................................................................................................................ 48 3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner ......................................... 48 3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner ...................................................... 48 3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner .................................................. 49 3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner ....................................................... 50 3.7 IP协议 ................................................................................................................................. 52 3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 ....................................................................... 52 3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 ................................................................... 53 3.8 内核参数 ............................................................................................................................ 54 3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 .......................................................... 54 3.9 补丁/软件 ........................................................................................................................... 54 3.9.1 SEC-SUSE-SW-01-安装OS补丁 ............................................................................. 54

4 实施后验证 ............................................................................................................. 55

4.1 系统检查 ............................................................................................................................ 55 4.2 启动双机和业务 ................................................................................................................. 56 4.3 业务检查 ............................................................................................................................ 56

5 风险回退 ................................................................................................................. 56

第2页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

5.1 故障信息收集： ................................................................................................................. 57 5.2 系统恢复： ........................................................................................................................ 59

第3页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

1 1.1 适用范围

1. 适用OS版本： SLES 9，SLES 10

SLES：SUSE Linux Enterprise Edition

文档使用说明

2. 适用人员：

一线维护工程师和安全专业服务工程师。要求使用人员熟悉Unix命令、系统管理和维护，熟悉安全加固流程。

2 1. 预计操作时间: 30分钟，可提前完成 2. 操作人员:

实施前准备

华为办事处业务维护工程师、华为专业安全服务工程师或交付合作方

第4页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3. 操作影响： 无影响

1) 现网设备加固需要提前提交现网施工申请，一般要求凌晨0:00后才

能开始实施。 2) 加固前一定要对机器作健康检查，确认无软硬件故障、重启正常、双

机切换正常和业务运行正常后，才能对主机进行加固操作。否则建议修复后再加固。 3) 双机加固应该严格按照如下顺序执行：双机切换－》备机重启－》备

机检查－》备机加固－》备机重启－》加固后检查－》备机启动业务－》双机切换－》业务测试－》加固当前备机。

2.2 系统检查

步骤 1 执行# dmesg查看系统硬件配置。

步骤 2 执行#more /var/log/messages检查是否有错误日志。 步骤 3 检查系统性能情况。

# top # vmstat 5 10 # sar 5 10

并把相关结果记录下来

2.3 业务检查

根据业务加固策略要求，检查业务运行状态，详细请参考对应产品的主机安全加固项目交付指导书。

2.4 备份（需要具体步骤及相应执行命令）

步骤 1 对操作系统进行全备份

可以使用YAST工具中的系统备份功能实现。 # yast

System -> System Backup 根据提示进行系统备份

步骤 2 对数据库进行备份

第5页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

根据业务备份要求备份数据库。

步骤 3 对实施过程需修改的安全配置文件进行备份

加固过程中可能会修改如下文件： /etc/passwd /etc/shadow /etc/group

/etc/security/pam_pwcheck.conf /etc/pam.d/passwd /etc/login.defs /etc/default/useradd /etc/pam.d/login /etc/pam.d/sshd /etc/ssh/sshd_config /etc/xinetd.d/* /etc/ntp.conf /etc/fstab

/etc/exports (may no exist) /etc/snmpd.conf (SUSE 9) /etc/snmp/snmpd.conf (SUSE 10) /etc/profile

$home/.profile(或.bash_profile) #即用户家目录下的.profile文件或者.bash_profile文件 /etc/securetty /etc/pam.d/su /etc/ftpusers /etc/vsftpd.conf

/etc/pure-ftpd/pure-ftpd.conf /etc/hosts.allow /etc/hosts.deny /etc/inittab

/etc/syslog.conf (SUSE 9)

第6页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

/etc/syslog-ng/syslog-ng.conf (SUSE 10) /etc/motd

/etc/sshbanner (may no exist) /etc/ssh/sshd_config /etc/issue /etc/issue.net /etc/sysctl.conf 备份相关系统文件：

#cp –p 系统文件 备份文件 //其中参数-p表示拷贝文件权限。

3 1. 预计操作时间: 60分钟 2. 操作人员:

华为专业安全服务工程师或交付合作方 3. 操作影响： 4. 其他约定：

加固实施

部分策略实施可能会造成业务中断, 在双机系统中，实施时需先实施备机，确保备机没问题后，再实施主机。

如果没有特殊说明，文中的操作均以root用户完成。

第7页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.1 帐号

3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号

安全要求：

应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。

通用策略：

需要按维护人员角色新增维护帐号，利用工号等唯一标志做识别，需询问客户意见。通常华为业务系统上需新增两个华为方维护帐号：maintain和admin_hw。

风险说明：

无

操作方法：

步骤 1 创建帐号

# useradd [-d homedir] [-G group,...] [-g gid] [-m] [-p password] [-u uid] [-s shell] account 参数说明： d表示帐号主目录 G表示帐号所属组的列表 g表示帐号主所属组ID

m表示帐号组目录不存在时是否创建 p表示密码 u表示帐号ID s表示Shell类型

步骤 2 设置密码：

# passwd account 修改权限： # chmod 755 homedir

第8页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

其中755为设置的权限，可根据实际情况设置相应的权限，homedir是要更改权限的目录

步骤 3 修改帐号

# usermod [-d homedir] [-G group,...] [-g gid] [-m] [-p password] [-u uid] [-s shell] [-L] [-U] account 参数说明： d表示帐号主目录 G表示帐号所属组的列表 g表示帐号主所属组ID

m表示帐号组目录改变时是否移动原目录中文件 p表示密码 u表示帐号ID s表示Shell类型 L表示锁定帐号 U表示解除锁定帐号

步骤 4 删除帐号

# userdel [-r[-f]] account 参数说明：

r表示是否删除帐号主目录

f表示当帐号主目录存在其他帐号所有文件时是否强制删除

操作验证：

1. 验证方法： # more /etc/passwd 2. 预期结果：

不同用户使用各自不同帐号。

3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号

安全要求：

锁定/删除与设备运行、维护等工作无关的账号。 被锁定的账号无法使用交互式登陆。

第9页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

通用策略：

根据业务加固策略确定系统账号、业务账号的锁定/删除操作，根据客户意见确定维护账号的锁定/删除操作。

建议锁定的系统账号：bin daemon ftp nobody nobody4 lp games named at irc mysql ldap postfix postgres wwwrun mail pop snort squid mail man news uucp

在实际加固过程中，对于系统帐号，建议只锁定，不删除。

风险说明：

1. 可能有第三方系统使用了被锁定的帐号，造成第三方系统不可用，

请在实施方案制定时，收集第三方系统对账号加固的要求。 2. 锁定的用户不能直接登录系统，需经管理员帐号解锁后方可登录。

操作方法：

步骤 1 锁定用户：

# passwd -l username

步骤 2 更改帐号默认登陆SHELL：

#usermod –s /bin/false username

步骤 3 删除用户：

# userdel [-r[-f]] account 参数说明：

r表示是否删除帐号主目录

f表示当帐号主目录存在其他帐号所有文件时是否强制删除

步骤 4 解除对帐号的锁定：

# passwd -u username

操作验证：

1. 验证方法：

使用已经锁定的帐号尝试登陆 2. 预期结果：

已经锁定的帐号无法登陆，系统提示： Login incorrect

第10页, 共60页

本文来源：https://www.bwwdw.com/article/o9b.html