配置名稱(chēng)

賬號(hào)分配檢查，避免共享賬號(hào)存在

配置要求

1、系統(tǒng)需按照實(shí)際用戶(hù)分配賬號(hào)；

2、避免不同用戶(hù)間共享賬號(hào)，避免用戶(hù)賬號(hào)和服務(wù)器間通信使用的賬號(hào)共享。

操作指南

參考配置操作：cat /etc/passwd查看當(dāng)前所有用戶(hù)的情況；

檢查方法

命令cat /etc/passwd查看當(dāng)前所有用戶(hù)的信息，與管理員確認(rèn)是否有共享賬號(hào)情況存在。

配置方法

如需建立用戶(hù)，參考如下：

????????? useradd username? #創(chuàng)建賬號(hào)

????????? passwd username?? #設(shè)置密碼

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

多余賬戶(hù)鎖定策略

配置要求

應(yīng)鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。

操作指南

參考配置操作，查看鎖定用戶(hù)：

?# cat /etc/password，查看哪些賬戶(hù)的shell域中為nologin；

檢查方法

人工檢查：

cat /etc/password后查看多余賬戶(hù)的shell域?yàn)閚ologin為符合；

BVS基線檢查：

多余賬戶(hù)處于鎖定狀態(tài)為符合。

配置方法

1、一般情況下，需要鎖定的用戶(hù)：lp,nuucp,hpdb,www,demon

2、針對(duì)需要鎖定的用戶(hù)：可以修改/etc/password文件，將需要鎖定的用戶(hù)的shell域設(shè)為 nologin；

或通過(guò)#passwd –l username鎖定賬戶(hù)；

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

操作系統(tǒng)口令復(fù)雜度策略

配置要求

口令長(zhǎng)度至少12位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)。

操作指南

1、參考配置操作

?? ?cat /etc/pam.d/system-auth，找到password模塊接口的配????? 置部分，找到類(lèi)似如下的配置行：

??? password requisite? /lib/security/$ISA/pam_cracklib.so minlen =6

2、補(bǔ)充操作說(shuō)明

??? 參數(shù)說(shuō)明如下：

1、retry=N，確定用戶(hù)創(chuàng)建密碼時(shí)允許重試的次數(shù)；

2、minlen=N，確定密碼最小長(zhǎng)度要求，事實(shí)上，在默認(rèn)配置下，此參數(shù)代表密碼最小長(zhǎng)度為N-1；

3、dcredit=N，當(dāng)N小于0時(shí)，代表新密碼中數(shù)字字符數(shù)量不得少于（-N）個(gè)。

4、ucredit=N，當(dāng)N小于0時(shí)，代表則新密碼中大寫(xiě)字符數(shù)量不得少于（-N）個(gè)；

5、lcredit=N，當(dāng)N小于0時(shí)，代表則新密碼中小寫(xiě)字符數(shù)量不得少于（-N）個(gè)；

6、ocredit=N，當(dāng)N小于0時(shí)，代表則新密碼中特殊字符數(shù)量不得少于（-N）個(gè)；

檢查方法

?cat /etc/pam.d/system-auth，參考操作指南檢查對(duì)應(yīng)參數(shù)

???????? 口令的最小長(zhǎng)度至少12位

???????? 口令最少應(yīng)包含的字符數(shù)量

???????? 口令中最少應(yīng)包含的字母字符數(shù)量

???????? 口令中最少應(yīng)包含的非字母數(shù)字字符數(shù)量

???????? 通過(guò)以上4子項(xiàng)的輸出綜合判斷該項(xiàng)是否滿(mǎn)足。

配置方法

?vi /etc/pam.d/system-auth，找到password模塊接口的配置部分，按照配置要求內(nèi)容修改對(duì)應(yīng)屬性。

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

口令最長(zhǎng)生存期策略

配置要求

要求操作系統(tǒng)的賬戶(hù)口令的最長(zhǎng)生存期不長(zhǎng)于90天

操作指南

?cat /etc/login.defs文件中指定配置項(xiàng)，其中：

?PASS_MAX_DAYS配置項(xiàng)決定密碼最長(zhǎng)使用期限；

?PASS_MIN_DAYS配置項(xiàng)決定密碼最短使用期限；

?PASS_WARN_AGE配置項(xiàng)決定密碼到期提醒時(shí)間。

檢查方法

PASS_MAX_DAYS值小于等于90為符合；

配置方法

vi /etc/login.defs文件，修改PASS_MAX_DAYS值為小于等于90

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

Root賬號(hào)遠(yuǎn)程登錄限制

配置要求

1、限制具備超級(jí)管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄。

2、遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶(hù)遠(yuǎn)程登錄后，再切換到

　　超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。

操作指南

使用root賬戶(hù)遠(yuǎn)程嘗試登陸

檢查方法

1、root遠(yuǎn)程登錄不成功，提示“Not on system console”；

2、普通用戶(hù)可以登錄成功，而且可以切換到root用戶(hù)；

配置方法

修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

關(guān)鍵目錄權(quán)限控制

配置要求

1、根據(jù)安全需要，配置某些關(guān)鍵目錄其所需的最小權(quán)限；

2、補(bǔ)充操作說(shuō)明：

重點(diǎn)要求password配置文件、shadow文件、group文件權(quán)限。

當(dāng)前主流版本的linux系統(tǒng)在默認(rèn)情況下即對(duì)重要文件做了必要的權(quán)限設(shè)置，在日常管理和操作過(guò)程

中應(yīng)避免修改此類(lèi)文件權(quán)限，除此以外，應(yīng)定期對(duì)權(quán)限進(jìn)行檢查及復(fù)核，確保權(quán)限設(shè)置正確。

操作指南

查看關(guān)鍵目錄的用戶(hù)對(duì)應(yīng)權(quán)限參考命令

????????? ls -l /etc/passwd

????????? ls -l /etc/shadow

????????? ls -l /etc/group

檢查方法

與管理員確認(rèn)已有權(quán)限為最小權(quán)限。

配置方法

參考配置操作：

通過(guò)chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。

補(bǔ)充操作說(shuō)明：

?? /etc/passwd 所有用戶(hù)都可讀，root用戶(hù)可寫(xiě) –rw-r—r—

??? 配置命令：chmod 644 /etc/passwd

?? /etc/shadow 只有root可讀 –r--------

??? 配置命令：chmod 400 /etc/shadow；

?? /etc/group 必須所有用戶(hù)都可讀，root用戶(hù)可寫(xiě) –rw-r—r—

??? 配置命令：chmod 644 /etc/group；

如果是有寫(xiě)權(quán)限，就需移去組及其它用戶(hù)對(duì)/etc的寫(xiě)權(quán)限（特殊情況除外）

　　執(zhí)行命令chmod -R go-w,o-r /etc

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

用戶(hù)缺省權(quán)限控制

配置要求

控制用戶(hù)缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限,

防止同屬于該組的其它用戶(hù)及別的組的用戶(hù)修改該用戶(hù)的文件或更高限制。

操作指南

查看/etc/profile里全局用戶(hù)的umask值。

檢查方法

查看全局默認(rèn)設(shè)置umask值為027或更小權(quán)限為符合（如有特許權(quán)限需求，可根據(jù)實(shí)際情況判斷）；

查看具體用戶(hù)的umask，本著最小權(quán)限的原則。

配置方法

參考配置操作：

修改/etc/profile文件，例如要將默認(rèn)umask值設(shè)置為027，那么可以在文件中增加一行“umask 027”。

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

登錄終端的超時(shí)鎖定

配置要求

應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。

操作指南

查看具體/etc/profile里是否配置TMOUT值

檢查方法

查看具體/etc/profile里是否配置TMOUT值

配置方法

參考配置操作：

修改/etc/profile文件，可以在文件中增加一行“export TMOUT=540”（時(shí)間可選）

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

安全日志完備性要求

配置要求

系統(tǒng)應(yīng)配置完備日志記錄，記錄對(duì)與系統(tǒng)相關(guān)的安全事件

操作指南

1、# cat /etc/syslog.conf查看是否有對(duì)應(yīng)配置

2、# cat /var/log/secure查看是否有對(duì)應(yīng)配置

檢查方法

1、cat /etc/syslog.conf確認(rèn)是否存在相應(yīng)配置；

（例如：authpriv.*????????? /var/log/secure）

2、查看/var/log/secure，應(yīng)記錄有需要的設(shè)備相關(guān)的安全事件。

配置方法

參考配置操作：

修改配置文件vi /etc/syslog.conf添加下面一行：

?authpriv.*?? ? /var/log/secure （中間的分隔符是tab）

補(bǔ)充操作說(shuō)明：

//將authpirv設(shè)備的任何級(jí)別的信息記錄到/var/log/secure文件中,這主要是一些和權(quán)限使用相關(guān)的信息。

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

安全日志完備性要求

配置要求

當(dāng)前系統(tǒng)應(yīng)配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器進(jìn)行備份。

操作指南

# cat /etc/syslog.conf查看是否有對(duì)應(yīng)配置

檢查方法

檢查是否配置遠(yuǎn)程日志服務(wù)

配置方法

參考配置操作：

修改配置文件vi /etc/syslog.conf，加上這一行：

??? *.* ???@192.168.0.1（*.*和@之間為用tab分隔）

重新啟動(dòng)syslog服務(wù)，執(zhí)行下列命令：

?? ?services syslogd restart

?

補(bǔ)充操作說(shuō)明：

可以將"*.*"替換為你實(shí)際需要的日志信息。比如：kern.* / mail.* 等等；可以將此處192.168.0.1替換為實(shí)際的IP或域名

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

設(shè)置history時(shí)間戳

配置要求

設(shè)置history時(shí)間戳，方便審計(jì)

操作指南

# cat /etc/profile查看是否有對(duì)應(yīng)配置

檢查方法

檢查是否為日志配置時(shí)間戳

配置方法

參考配置操作：

修改配置文件vi /etc/profile，配置如下：

HISTFILESIZE=2000????? #設(shè)置保存歷史命令的文件大小???????

HISTSIZE=2000?????????? #保存歷史命令條數(shù)???????

HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:`whoami`:"（#記錄每條歷史命令的執(zhí)行時(shí)間和執(zhí)行者）?????

export HISTTIMEFORMAT??

source /etc/profile執(zhí)行使變更生效

?

補(bǔ)充操作說(shuō)明：

可以使用“echo”命令快速配置：

echo 'export HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:'whoami':? " ' >> /etc/profile && source /etc/profile

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

關(guān)閉非必要的系統(tǒng)服務(wù)

配置要求

根據(jù)每臺(tái)機(jī)器的不同角色，關(guān)閉不需要的系統(tǒng)服務(wù)。操作指南中的服務(wù)項(xiàng)提供參考，根據(jù)服務(wù)器的角色和應(yīng)用情況對(duì)

啟動(dòng)項(xiàng)進(jìn)行修改。如無(wú)特殊需要，應(yīng)關(guān)閉Sendmail、Telnet、Bind等服務(wù)。

操作指南

執(zhí)行命令 chkconfig –list或service -–status-all查看哪些服務(wù)開(kāi)放。

檢查方法

與管理員確定非必要服務(wù)

配置方法

1、參考配置操作

?? 使用如下方式禁用不必要的服務(wù)

??? service <服務(wù)名> stop

??? chkconfig --level 35 off

2、參考說(shuō)明

Linux/Unix系統(tǒng)服務(wù)中，部分服務(wù)存在較高安全風(fēng)險(xiǎn)，應(yīng)當(dāng)禁用，包括：

“l(fā)pd”，此服務(wù)為行式打印機(jī)后臺(tái)程序，用于假脫機(jī)打印工作的UNIX后臺(tái)程序，此服務(wù)通常情況下不用，建議禁用；

“telnet”，此服務(wù)采用明文傳輸數(shù)據(jù)，登陸信息容易被竊取，建議用ssh代替；

“routed”，此服務(wù)為路由守候進(jìn)程，使用動(dòng)態(tài)RIP路由選擇協(xié)議，建議禁用；

“sendmail”，此服務(wù)為郵件服務(wù)守護(hù)進(jìn)程，非郵件服務(wù)器應(yīng)將其關(guān)閉；

“Bluetooth”，此服務(wù)為藍(lán)牙服務(wù)，如果不需要藍(lán)牙服務(wù)時(shí)應(yīng)關(guān)閉；

“identd”，此服務(wù)為AUTH服務(wù)，在提供用戶(hù)信息方面與finger類(lèi)似，一般情況下該服務(wù)不是必須的，建議關(guān)閉；

“xfs”，此服務(wù)為L(zhǎng)inux中X Window的字體服務(wù)，關(guān)于該服務(wù)歷史上出現(xiàn)過(guò)信息泄露和拒絕服務(wù)等漏洞，應(yīng)以減少系統(tǒng)風(fēng)險(xiǎn)；

R服務(wù)（“rlogin”、“rwho”、“rsh”、“rexec”），R服務(wù)設(shè)計(jì)上存在嚴(yán)重的安全缺陷，

僅適用于封閉環(huán)境中信任主機(jī)之間便捷訪問(wèn)，其他場(chǎng)合下均必須禁用；

基于inetd/xinetd的服務(wù)（daytime、chargen、echo等），此類(lèi)服務(wù)建議禁用。

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本

配置名稱(chēng)

禁止Control-Alt-Delete鍵盤(pán)關(guān)閉命令

配置要求

應(yīng)禁止使用Control-Alt-Delete組合鍵重啟服務(wù)器，防止誤操作

操作指南

1、redhat系統(tǒng)使用cat /etc/inittab，查看配置

2、ubantu 系統(tǒng)使用 cat /etc/init/control-alt-delete.conf查看配置

檢查方法

查看是否有做相關(guān)配置

配置方法

參考配置操作

1、redhat系統(tǒng)在“/etc/inittab” 文件中注釋掉下面這行（使用#）： ca::ctrlaltdel:/sbin/shutdown -t3 -r now?

改為： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now?

為了使此改動(dòng)生效，輸入下面這個(gè)命令：

?/sbin/init q或telinit q執(zhí)行生效

?

2、ubantu系統(tǒng)“/etc/init/control-alt-delete.conf”用#分別注釋：

#start on control-alt-delete

#exec shutdown -r now "Control-Alt-Delete pressed"

適用版本

暫時(shí)未發(fā)現(xiàn)不適用版本