SUSE Linux主机加固

Suse Linux主机安全加固操作指导

内部公开

Suse Linux主机安全加固

操作指导

目录

1

实施前准备............................................................................................................................... 2 1.1 1.2 1.3 2

系统检查 ....................................................................................................................... 2 业务检查 ....................................................................................................................... 3 备份............................................................................................................................... 3

加固实施................................................................................................................................... 3 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12 2.13 2.14

安全要求-设备-SUSE LINUX-配置-1........................................................................ 4 安全要求-设备-SUSE LINUX-配置-2........................................................................ 4 安全要求-设备-SUSE LINUX-配置-3........................................................................ 5 安全要求-设备-SUSE LINUX-配置-4-可选 .............................................................. 6 安全要求-设备-SUSE LINUX-配置-5-可选 .............................................................. 7 安全要求-设备-SUSE LINUX-配置-4........................................................................ 8 安全要求-设备-SUSE LINUX-配置-5........................................................................ 9 安全要求-设备-SUSE LINUX-配置-6-可选 ............................ 错误！未定义书签。 安全要求-设备-SUSE LINUX-配置-7-可选 .............................................................. 9 安全要求-设备-SUSE LINUX-配置-9 .................................................................. 10 安全要求-设备-SUSE LINUX-配置-12-可选 .......................................................... 11 安全要求-设备-SUSE LINUX-配置-13-可选 ...................................................... 12 安全要求-设备-SUSE LINUX-配置-12 ................................................................ 12 安全要求-设备-SUSE LINUX-配置-15-可选 ...................................................... 13

第1页, 共27页

2013-8-15

Suse Linux主机安全加固操作指导

内部公开

2.15 2.16 2.17 2.18 2.19 2.20 2.21 2.22 2.23 2.24 2.25 2.26 2.27 2.28 2.29 2.30 2.31 2.32 2.33 2.34 2.35 2.36 3

安全要求-设备-SUSE LINUX-配置-24-可选 ...................................................... 13 安全要求-设备-SUSE LINUX-配置-14-可选 ...................................................... 14 安全要求-设备-SUSE LINUX-配置-18-可选 ...................................................... 14 安全要求-设备-SUSE LINUX-配置-19-可选 ...................................................... 15 安全要求-设备-SUSE LINUX-配置-17-可选 ...................................................... 15 安全要求-设备-SUSE LINUX-配置-21-可选 ...................................................... 16 安全要求-设备-SUSE LINUX-配置-22-可选 ...................................................... 17 安全要求-设备-SUSE LINUX-配置-23-可选 ...................................................... 18 安全要求-设备-SUSE LINUX-配置-24-可选 ...................................................... 19 安全要求-设备-SUSE LINUX-配置-19-可选 ...................................................... 19 安全要求-设备-SUSE LINUX-配置-20-可选 ...................................................... 20 安全要求-设备-SUSE LINUX-配置-27-可选 ...................................................... 20 安全要求-设备-SUSE LINUX-配置-28-可选 ...................... 错误！未定义书签。 安全要求-设备-SUSE LINUX-配置-27-可选 ...................................................... 21 安全要求-设备-SUSE LINUX-配置-30-可选 ...................................................... 21 安全要求-设备-SUSE LINUX-配置-31-可选 ...................................................... 22 安全要求-设备-SUSE LINUX-配置-32-可选 ...................................................... 23 安全要求-设备-SUSE LINUX-配置-33-可选 ...................................................... 23 安全要求-设备-SUSE LINUX-配置-34-可选 ...................................................... 24 安全要求-设备-SUSE LINUX-配置-35-可选 ...................................................... 24 安全要求-设备-SUSE LINUX-配置-36-可选 ...................................................... 25 安全要求-设备-SUSE LINUX-配置-37-可选 ...................................................... 25

实施后验证............................................................................................................................. 26 3.1 3.2

系统检查 ..................................................................................................................... 26 业务检查 ..................................................................................................................... 27

4 风险回退................................................................................................................................. 27

1 实施前准备

预计操作时间: 30分钟，可提前完成 操作人员: 操作影响：无影响

1.1 系统检查

1. 执行dmesg检查是否有硬件故障

2013-8-15

第2页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2. 执行more /var/log/messages检查是否有报错 3. 检查系统性能情况。 #top #vmstat 5 10 #sar 5 10

并把相关结果记录下来

1.2 业务检查

在做加固之前，做一次巡检检查系统状态是否都正常

1.3 备份

1. 对操作系统进行备份。 2. 对数据库进行备份。

#根据各业务特点补充要备份的内容和方法 3. 对实施过程需修改的安全配置文件进行备份： /etc/passwd /etc/group /etc/shadow /etc/xinetd.conf /etc/login.defs

从备份目录恢复相关文件

#cp –p 系统文件 备份文件 //其中参数-p表示拷贝文件权限

2 加固实施

预计操作时间: 60分钟 操作人员:

操作影响：部分策略实施可能会造成业务中断, 在双机系统中，实施时需先实施备机，确保备机没问题后，再实施主机.

2013-8-15

第3页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2.1 安全要求-设备-SUSE LINUX-配置-1

要求内容：

应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。

说明：建议按维护人员角色新增维护帐号，根据工号创建唯一维护帐号即可。 操作方法： 为用户创建账号：

#useradd -m username #创建账号 #passwd username #设置密码 修改权限：

#chmod 750 user directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 操作验证:

1.验证方法：以新增的用户登录

2.预期结果：登录成功,并能进行常用操作

2.2 安全要求-设备-SUSE LINUX-配置-2

要求内容：

应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号，包括root,bin等。

说明：需研发确认用户列表，系统用户类，业务用户类，维护用户类。请现场将所有用户列表发回，确认需要锁定的用户列表。可以通过cat /etc/passwd命令获取。 操作方法：

说明：需要锁定的用户：lp games named at irc mysql ldap postfix postgres wwwrun

mail pop snort squid mailman news uucp。

删除用户：#userdel username; 锁定用户：

2013-8-15

第4页, 共27页

Suse Linux主机安全加固操作指导

内部公开

1)将/etc/passwd文件中的shell域设置成/bin/false 2)#passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 操作验证:

1.验证方法：使用删除或锁定的与工作无关的账号登录系统； 2.预期结果：被删除或锁定的账号无法登录成功；

2.3 安全要求-设备-SUSE LINUX-配置-3

要求内容：

限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 说明：需研发确认该业务产品建议的帐户分组 Suse Linux 默认支持root用户不能telnet 操作方法：

执行下面的命令创建/etc/securetty文件：

#vi /etc/securetty 增加 tty1 tty2 tty3 tty4

2、如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 操作验证: 1.验证方法：

root从远程使用telnet登录； 普通用户从远程使用telnet登录；

2013-8-15

第5页, 共27页

Suse Linux主机安全加固操作指导

内部公开

root从远程使用ssh登录； 普通用户从远程使用ssh登录； 2.预期结果：

root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户；

2.4 安全要求-设备-SUSE LINUX-配置-4-可选

要求内容：

根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。 操作方法：

安装USDP前，需要新建USDP用户和用户组，RBT和VXML操作同下。 新建USDP用户和用户组，供USDP运行使用。 添加USDP用户的过程：

创建usdp用户组。（root用户下）

groupadd -g 113 usdp

113表示用户组ID，如果提示已存在，可以用其他数字替换。

检查usdp用户组是否创建成功。

more /etc/group | grep usdp 屏幕显示如下信息则表示创建成功。 usdp:!:113:

创建usdp用户。

useradd -u 1108 -d /home/usdp -g usdp -s /bin/bash -m usdp 1108表示用户ID，如果提示已存在，可以用其他数字替换

设定usdp用户的密码

执行命令：passwd usdp 然后分别输入密码，密码确认 1、 创建帐户组：

2013-8-15

第6页, 共27页

Suse Linux主机安全加固操作指导

内部公开

#groupadd –g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；

#usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。

2、可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。

当group_name字段长度大于八个字符，groupadd命令会执行失败；

当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行； 操作验证: 1.验证方法：

查看组文件：cat /etc/group 2.预期结果：

可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username

2.5 安全要求-设备-SUSE LINUX-配置-5-可选

要求内容：

对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。 说明：需研发确认用户列表，系统用户类，业务用户类，维护用户类。请现场将所有用户列表发回，确认需要锁定的用户列表。可以通过cat /etc/passwd命令获取。 操作方法：

说明： 禁止交互登录的系统账号，比如lp games named at irc mysql ldap postfix

postgres wwwrun mail pop snort squid mailman news uucp等等

2013-8-15

第7页, 共27页

Suse Linux主机安全加固操作指导

内部公开

禁止账号交互式登录：

修改/etc/shadow文件，用户名后密码列为NP； 删除账号：#userdel username; 操作验证: 1.验证方法：

用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出； 2.预期结果：

被禁止账号交互式登录的帐户远程登录不成功；

2.6 安全要求-设备-SUSE LINUX-配置-4

要求内容：

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

说明：需研发确认口令策略对业务的影响和注意事项或业务需要调整的地方 操作方法：

设置口令规则：至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9

在/etc/pam.d/passwd中添加如下行： Password required pam_cracklib.so retry=3 密码至少6个字符长

修改 /etc/login.defs,设置PASS_MIN_LEN 6 操作验证: 1.验证方法：

1、检查口令强度配置选项是否可以进行如下配置：

i. 配置口令的最小长度； ii. 将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

2013-8-15

第8页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2.预期结果：

不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置；

2.7 安全要求-设备-SUSE LINUX-配置-5

要求内容：

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

说明：需研发确认口令策略对业务的影响和注意事项或业务需要调整的地方（业务运行帐号可能不能超期，需要验证后答复） 操作方法：

修改/etc/login.defs文件，添加如下内容： PASS_MAX_DAYS 90

操作验证:

1.验证方法：使用超过90天的帐户口令登录； 2.预期结果：登录不成功；

2.8 安全要求-设备-SUSE LINUX-配置-7-可选

要求内容：

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

说明：需研发确认口令策略对业务的影响和注意事项或业务需要调整的地方 不建议使用，如果使用的话次数可以设置大一点。 操作方法：

修改/etc/login.defs文件，设置 LOGIN_RETRIES 6 操作验证: 1.验证方法：

创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）

2013-8-15

第9页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2.预期结果：

帐户被锁定，不再提示让再次登录

2.9 安全要求-设备-SUSE LINUX-配置-9

要求内容：

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

说明：需研发确认哪些该业务产品涉及哪此关键文件，权限如何。 业务目录：业务安装时的目录，请现场确认。（USDP用户可读写） 配置目录：本地话单目录（USDP用户可读写）。

操作方法：

1、通过chmod命令对目录的权限进行实际设置。

2、

/etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r--------

/etc/group 必须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc 操作验证: 1.验证方法：

1、利用管理员账号登录系统，并创建2个不同的用户；

2、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；

3、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许

2013-8-15

第10页, 共27页

Suse Linux主机安全加固操作指导

内部公开

访问的内容，查看权限配置策略是否生效。 2.预期结果：

1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。

2.10 安全要求-设备-SUSE LINUX-配置-12-可选

要求内容：

控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 说明：研发确认对系统是否有影响，如有影响，请具体说明。 USDP/RBT/VXML后需要执行命令对业务目录进行权限修改。 chmod +x ./bin/*.sh ./bin/watchdog/*.sh ./jboss/bin/*.sh 操作方法：

1、设置默认权限：

#vi /etc/profile 在末尾增加umask 027 #umask 027

修改文件或目录的权限，操作举例如下：

#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限；

2、如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。 操作验证: 1.验证方法：

1、查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限

#cat /etc/proflie 查看是否有umask 027内容

2013-8-15

第11页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2.预期结果：

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2.11 安全要求-设备-SUSE LINUX-配置-13-可选

要求内容：

控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

说明：安装USDP、RBT Portal、VXML的服务器时，打开FTP服务，安装完毕之后不需要启动FTP服务，可以关闭FTP服务，使用SFTP代替。

2.12 安全要求-设备-SUSE LINUX-配置-12

要求内容：

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 操作方法：

编辑/etc/login.defs，将LASTLOG_ENAB改成\（Suse9默认为yes）

Suse Linux是wtmp,wtmps,文件中记录着所有登录过主机的用户，时间，来源等内容，这两个文件不具可读性，可用last命令来看。 操作验证: 1.验证方法：

/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户，时间，来源等内容，该文件不具可读性，可用last命令来看。 # last 2.预期结果：

列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。

2013-8-15

第12页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2.13 安全要求-设备-SUSE LINUX-配置-15-可选

要求内容：

设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号，操作时间，操作内容以及操作结果。

说明：系统记帐可能存在性能问题，研发确认对系统是否有影响, 或业务需作的调整 （彩铃业务不建议打开。）, 操作方法：

NA 操作验证:

1.验证方法：# history

2.预期结果：能够显示出用户的历史命令。

2.14 安全要求-设备-SUSE LINUX-配置-24-可选

要求内容：

设备应配置日志功能，记录对与设备相关的安全事件。 操作方法：

修改配置文件vi /etc/syslog.conf，

配置如下类似语句：

*.err;kern.debug;daemon.notice; /var/log/messages 定义为需要保存的设备相关安全事件。 操作验证: 1. 验证方法：

修改配置文件vi /etc/syslog.conf， 配置如下类似语句：

*.err;kern.debug;daemon.notice; /var/log/messages 定义为需要保存的设备相关安全事件。 2. 预期结果：

2013-8-15

第13页, 共27页

Suse Linux主机安全加固操作指导

内部公开

查看/var/log/messages，记录有需要的设备相关的安全事件。

2.15 安全要求-设备-SUSE LINUX-配置-14-可选

要求内容：

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。不建议打开此功能，如果一定需要此功能可以通过corn进行系统日志和业务日志的转存。 操作方法：

修改配置文件 ，/etc/syslog.conf

加上这一行： *.* @192.168.0.1

可以将\替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名。 重新启动syslog服务，依次执行下列命令：

/etc/init.d/syslog stop /etc/init.d/syslog start

操作验证:

1.验证方法：查看日志服务器上的所收到的日志文件。

2.预期结果：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器

2.16 安全要求-设备-SUSE LINUX-配置-18-可选

要求内容：

设备应配置日志功能，记录用户使用SU命令的情况，记录不良的尝试记录。 操作方法：

查看sulog日志，记载着普通用户尝试su成为其它用户的纪录， more /var/log/messages 操作验证:

1.验证方法：查看sulog日志，记载着普通用户尝试su成为其它用户的纪录 more /var/adm/sulog

2.预期结果：有类似如下格式记录：

2013-8-15

第14页, 共27页

Suse Linux主机安全加固操作指导

内部公开

SU 01/01 00:30 + console root-root 或

SU 08/20 13:44 + pts/2 xll-root

2.17 安全要求-设备-SUSE LINUX-配置-19-可选

要求内容：

系统上运行的应用/服务也应该配置相应日志选项，比如cron。 操作方法：

对所有的cron行为进行审计： 修改/etc/syslog.conf添加: cron.info /var/log/cron

操作验证:

1.验证方法：查看日志存放文件，如cron的日志：more /var/log/cron 2.预期结果：日志中能够列出相应的应用/服务的详细日志信息；

2.18 安全要求-设备-SUSE LINUX-配置-17-可选

要求内容：

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 操作方法：

打开ssh服务： #chkconfig sshd on 启动ssh 服务： /etc/init.d/sshd start 2、

查看SSH服务状态： # /etc/init.d/sshd status 若为running，即为生效。 操作验证: 1. 验证方法：

2013-8-15

第15页, 共27页

Suse Linux主机安全加固操作指导

内部公开

查看SSH服务状态： # /etc/init.d/sshd status 2. 预期结果： 显示SSH正在运行

2.19 安全要求-设备-SUSE LINUX-配置-21-可选

要求内容：

设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。 说明：需研发对该业务产品涉及端口和进程进行梳理。

除了业务配置文件配置的端口（这些可以通过现场将配置文件发回确认）外还有一些业务需要提供的服务端口（需要在代码中确认）。 操作方法： 开放的服务列表

#chkconfig --list 开放的端口列表 命令: # netstat -an 服务端口和进程对应表： 命令：cat /etc/services ftp-data 20/tcp ftp 21/tcp ssh 22/tcp telnet 23/tcp smtp 25/tcp pop2 109/tcp pop3 110/tcp imap 143/tcp ldap 389/udp tftp 69/udp

2013-8-15

第16页, 共27页

Suse Linux主机安全加固操作指导

内部公开

rje 77/tcp finger 79/tcp link 87/tcp supdup 95/tcp iso-tsap 102/tcp x400 103/tcp x400-snd 104/tcp ntp 123/tcp login 513/tcp shell 514/tcp syslog 514/udp 操作验证: 1.验证方法：

能够列出端口和服务对应表。 2.预期结果： 开放的服务列表 命令: # chkconfig --list 开放的端口列表 命令: # netstat -an 服务端口和进程对应表： 命令：cat /etc/services

2.20 安全要求-设备-SUSE LINUX-配置-22-可选

要求内容：

对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。

说明：需研发给出网元访问关系。

彩铃业务组网较复杂，且各局点组网方式各不相同。需要根据每个局点的情况单独配置。

2013-8-15

第17页, 共27页

Suse Linux主机安全加固操作指导

内部公开

操作方法：

1、编辑/etc/hosts.allow和/etc/hosts.deny两个文件

vi /etc/hosts.allow

增加一行 : 允许访问的IP；举例如下： all:192.168.4.44:allow #允许单个IP；

ssh:192.168.1.:allow #允许192.168.1的整个网段 vi /etc/hosts.deny 增加一行 all:all

重启进程：#pkill -HUP inetd 操作验证: 1. 验证方法：

使用192.168.4.44这台机器能够访问，而其它机器不能访问。

2.21 安全要求-设备-SUSE LINUX-配置-23-可选

要求内容：

主机系统应该禁止ICMP重定向，采用静态路由。 操作方法：

禁止系统发送ICMP重定向包：

在/etc/sysctl.conf中做如下参数调整，增加： net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 操作验证: 1. 验证方法：

查看/etc/sysctl.conf文件

2. 预期结果：

net.ipv4.conf.all.accept_redirects值为0 net.ipv4.conf.default.accept_redirects值为0

2013-8-15

第18页, 共27页

Suse Linux主机安全加固操作指导

内部公开

2.22 安全要求-设备-SUSE LINUX-配置-24-可选

要求内容：

对于不做路由功能的系统，应该关闭数据包转发功能。 操作方法：

#vi /etc/sysctl.conf IP Forwarding (IP转发) a. 关闭IP转发

net.ipv4.ip_forward = 0 b. 关闭转发源路由包

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

操作验证: 1. 验证方法：

查看/etc/sysctl.conf文件 cat /etc/sysctl.conf 2. 预期结果：

net.ipv4.ip_forward 值为0

net.ipv4.conf.all.accept_source_route值为0

net.ipv4.conf.default.accept_source_route值为0

2.23 安全要求-设备-SUSE LINUX-配置-19-可选

要求内容：

对于具备字符交互界面的设备，应配置定时帐户自动登出。 操作方法：

可以在用户的/etc/profile文件中后面增加如下行：

vi /etc/profile

$ TMOUT=180;export TMOUT 改变这项设置后，重新登录才能有效。

2013-8-15

第19页, 共27页

Suse Linux主机安全加固操作指导

内部公开

操作验证:

1.验证方法：用root帐户登录后，在设定时间内不进行任何操作，检查帐户是否登出。 2.预期结果：若在设定时间内没有操作动作，能够自动退出，即为符合；

2.24 安全要求-设备-SUSE LINUX-配置-20-可选

要求内容：

对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。 操作方法：

1． 通过# xset q 查看当前屏保的设置情况 2． 通过xset的s参数设置屏保

# xset s 60 //60表示进入屏保时间为60秒 操作验证:

1.验证方法：登录后，在设定时间内不进行任何操作，检查屏幕是否被锁定。 2.预期结果：登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。

2.25 安全要求-设备-SUSE LINUX-配置-27-可选

要求内容：

涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。

说明:需研发确认涉及重要文件及其权限。

业务安装目录、话单目录，不能被任意人员删除，修改。 操作方法：

查看重要文件和目录权限：ls –l

更改权限：

对于重要目录，建议执行如下类似操作： # chmod -R 750 /etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。 操作验证:

1.验证方法：查看重要文件和目录权限：ls –l

2013-8-15

第20页, 共27页

Suse Linux主机安全加固操作指导

内部公开

用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作

2.预期结果：用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。

2.26 安全要求-设备-SUSE LINUX-配置-27-可选

要求内容：

对于具备console口的设备，限制root 用户只能从console口本地登录。不建议实施 操作方法：

设置不允许root用户远程登录系统 执行下面的命令创建/etc/securetty文件：

#vi /etc/securetty 增加: tty1 tty2 tty3 tty4 操作验证：

验证方法：以root用户远程telnet登录，输入正常密码 预期结果：登录不成功。

2.27 安全要求-设备-SUSE LINUX-配置-30-可选

要求内容：

设置eeprom 安全密码。不建议实施 操作方法：

HP系统无此项设置 操作验证: 1.验证方法： 无

2.预期结果：

2013-8-15

第21页, 共27页

Suse Linux主机安全加固操作指导

内部公开

无

2.28 安全要求-设备-SUSE LINUX-配置-31-可选

要求内容：

在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。

说明：请研发确认实施建议。

彩铃业务需要单独安装JDK，并禁用安装操作系统的过程中默认安装的HTTP Server服务。

操作方法：

执行下列命令，查看版本及大补丁号。 #uname -a

执行下列命令，查看安装软件包 #rpm -qa

rpm命令是用来安装软件包，这个命令参数非常多rpm是为 了解决软件的安装问题而开发的，有了rpm以可以一条命令完成软件的安装，rpm自动的帮我们完成复杂的安装 步骤.例如：

#rpm –i db2-98979-2.0-9.rpm //安装IBMjava包 #rpm -qa //查询目前系统中安装的全部软件包 #rpm -qi nfs-utils //查询某一特定的软件包 #rpm -ivh zsh-4.0.1-1.i386.rpm //安装zsh软件包 操作验证: 1. 验证方法：

# uname -a 查看版本及大补丁号 # pm -qa 命令检查软件包 2.预期结果：

在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的

2013-8-15

第22页, 共27页

Suse Linux主机安全加固操作指导

内部公开

包就不装。

2.29 安全要求-设备-SUSE LINUX-配置-32-可选

要求内容：

应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。 说明：需研发确定补丁清单和实施建议 Suse9sp02版本。测试部已做过业务测试。 操作方法：

请各业务产品提供研发发布的各产品最新的SUSE LINUX补丁清单列表

由于各系统安装的软件包不同，所以实施加固补丁存在差异，但补丁级别应是相同的。 实施补丁安装时存在较大风险，在实施建议不实施和部分实施，只收集现网补丁列表。 # rpm -qa 命令检补丁号；

或通过SPident -vv（这里是两个v）查看 #rpm -ivh 命令给系统打补丁； 更新更安全的补丁请研发提供！ 操作验证:

1.验证方法：#rpm -ivh 命令检补丁号

2.预期结果：查看最新的补丁号，确认已打上了最新补丁；

2.30 安全要求-设备-SUSE LINUX-配置-33-可选

要求内容：

列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。 说明：需研发确认具体业务的实施建议 操作方法：

在suse linux系统中建议只关闭以下xinetd服务

chargen daytime-udp netstat rexec servers chargen-udp echo ntalk rlogin services time amanda cups-lpd

echo-udp pidents rsh swat time-udp amandaidx cvs finger rstatd systat uucp amidxtape daytime i4l-vbox qpoper rsync talk vnc'由于各服务之间及服务与业务应

2013-8-15

第23页, 共27页

Suse Linux主机安全加固操作指导

内部公开

用之间存在关联性，建议不实施，只收集现网开放服务列表。

服务关闭方法:

1.#chkconfig 服务名 off 2.重启inetd服务

#/etc/init.d/xinetd restart 操作验证：

验证方法：查看系统当前开放服务 # chkconfig -list 预期结果：无用服务被关闭

2.31 安全要求-设备-SUSE LINUX-配置-34-可选

要求内容：

如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步。 说明：按照发布的时间同步文档实施

操作方法：

按照发布的时间同步文档实施

操作验证: 1. 验证方法：

查看ntp 的配置文件：#cat /etc/inet/ntp.conf 查看xntpd进程：#ps –elf|grep ntp 2.预期结果：与NTP服务器保持时间同步

2.32 安全要求-设备-SUSE LINUX-配置-35-可选

要求内容：

NFS服务：如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP范围。

说明：请研发确认对业务的影响

2013-8-15

第24页, 共27页

Suse Linux主机安全加固操作指导

内部公开

彩铃业务可以停止NFS服务。在文件服务器侧提供此服务即可。 操作方法：

停止NFS服务。 # cd /etc/init.d/ # ./nfsserver stop 操作验证: 1. 验证方法：

输入./nfsserver status命令查看NFS服务是否为Running状态，若是则表示NFS服务正常。 预期结果：

NFS状态显示为：unused

2.33 安全要求-设备-SUSE LINUX-配置-36-可选

要求内容： 防止堆栈缓冲溢出

说明：请研发确认是否有影响。风险非常大，建议不要实施！ 操作方法：

Linux设置防止堆栈缓冲溢出需重新编译内核，风险非常大，建议不要实施！ 操作验证: 1. 验证方法： 无 2.预期结果： 无

2.34 安全要求-设备-SUSE LINUX-配置-37-可选

要求内容：

列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。

说明：需确认研发业务产品涉及服务清单和影响 操作方法：

2013-8-15

第25页, 共27页

Suse Linux主机安全加固操作指导

内部公开

在suse linux系统中建议只关闭以下系统启动服务

'SuSEfirewall2_final SuSEfirewall2_init SuSEfirewall2_setup acct adsl apache argus arpwatch atalk autofs avgate bgpd

boot.sysctl cipe cpus dhcpd dhcrelay drbd evlog fam gpm heartbeat inn ippl ipsec ipvsadm ipxmount ipxrip ircd isdn joystick joystick kdc

ksysguardd ldap ldirectord lisa mailman microcode miplv6 mon mrtd mysql nagios named nessusd nfs nfslock nfsserver nmb

ntop nwe ospf6d ospfd pcscd pkcipe pkcsslotd postfix postgresql xdm'

由于各服务之间及服务与业务应用之间存在关联性，建议不实施，只收集现网开放服务列表。

服务关闭方法:

1.#chkconfig 服务名 off 2.停止系统启动服务 #/etc/init.d/服务名 stop 操作验证: 1. 验证方法：

验证方法：查看系统当前开放系统启动服务 # chkconfig -list

用ps -elf检查是否还有无关进程启动。 2. 预期结果：

所列进程和服务都是必需的；

3 实施后验证

预计操作时间: 30分钟 操作人员: 操作影响：无影响

3.1 系统检查

1.执行dmesg检查是否有硬件故障

2. 执行more /var/log/messages检查是否有报错

2013-8-15

第26页, 共27页

Suse Linux主机安全加固操作指导

内部公开

3. 检查系统性能情况，与实施前性前进行对比 #top #vmstat 5 10 #sar 5 10

并把相关结果记录下来

3.2 业务检查

在做加固之后，做一次巡检检查系统状态是否都正常

4 风险回退

预计操作时间: 30分钟 操作人员:

操作影响：可能会造成业务中断。

当发现相关操作对业务造成运行或性能造成影响时，可按如下步骤恢复相关配置至实施前状态。

1. 对实施前备份的配置文件进行恢复

/etc/passwd /etc/group /etc/shadow /etc/inetd.conf /etc/login.defs

从备份目录恢复相关文件 #cp –p 备份文件 系统文件 2. 重新启动相关服务

#/etc/init.d/xinetd restart

3. 当备份文件恢复失败等紧急情况时用磁带进行操作系统恢复。 .4. 恢复后进行业务验证,业务验证方法同上。

2013-8-15

第27页, 共27页

本文来源：https://www.bwwdw.com/article/v1kg.html