SUSELinux主机安全加固.docx

1、SUSELinux主机安全加固SUSE Linux 主机安全加固通用操作指导书目录1 文档使用说明 61.1 适用范围 62 实施前准备 62.2 系统检查 72.3 业务检查 72.4 备份 73 加固实施 93.1 帐号 103.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 103.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 113.1.3 SEC-SUSE-ACCT-03-用户帐号分组 133.2 口令 143.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 143.2.2 SEC-SUSE-PWD-02-配置用户口令期限 153.2.3 SE

2、C-SUSE-PWD-03-配置用户口令重复使用次数 173.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 183.3 服务 203.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 203.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 213.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 223.3.4 SEC-SUSE-SVC-04-停用NFS服务 243.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 263.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 273.4 访问控制 293

3、.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 293.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 303.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 313.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 323.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 333.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 353.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 353.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时

4、间 373.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 383.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 393.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 403.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 413.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del 423.5 日志审计 433.5.1 SEC-SUSE-LOG-01-记录用户登录信息 433.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 443.5.3 SE

5、C-SUSE-LOG-03-记录系统安全事件 453.5.4 SEC-SUSE-LOG-04-日志集中存放 473.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 493.5.6 SEC-SUSE-LOG-06-系统服务日志 493.6 登陆显示 513.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner 513.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner 513.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner 523.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner

6、533.7 IP协议 553.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 553.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 563.8 内核参数 573.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 573.9 补丁/软件 573.9.1 SEC-SUSE-SW-01-安装OS补丁 574 实施后验证 584.1 系统检查 584.2 启动双机和业务 594.3 业务检查 595 风险回退 595.1 故障信息收集： 605.2 系统恢复： 62文档使用说明适用范围适用OS版本：SLES 9，SLES 10SLES：SUSE Linux Ente

7、rprise Edition适用人员：一线维护工程师和安全专业服务工程师。要求使用人员熟悉Unix命令、系统管理和维护，熟悉安全加固流程。实施前准备预计操作时间: 30分钟，可提前完成操作人员:华为办事处业务维护工程师、华为专业安全服务工程师或交付合作方操作影响：无影响1) 现网设备加固需要提前提交现网施工申请，一般要求凌晨0:00后才能开始实施。2) 加固前一定要对机器作健康检查，确认无软硬件故障、重启正常、双机切换正常和业务运行正常后，才能对主机进行加固操作。否则建议修复后再加固。3) 双机加固应该严格按照如下顺序执行：双机切换备机重启备机检查备机加固备机重启加固后检查备机启动业务双机切换

8、业务测试加固当前备机。系统检查执行# dmesg查看系统硬件配置。执行#more /var/log/messages检查是否有错误日志。检查系统性能情况。# top# vmstat 5 10# sar 5 10并把相关结果记录下来业务检查根据业务加固策略要求，检查业务运行状态，详细请参考对应产品的主机安全加固项目交付指导书。备份（需要具体步骤及相应执行命令）对操作系统进行全备份可以使用YAST工具中的系统备份功能实现。# yastSystem - System Backup根据提示进行系统备份对数据库进行备份根据业务备份要求备份数据库。对实施过程需修改的安全配置文件进行备份加固过程中可能会修改

9、如下文件：/etc/passwd/etc/shadow/etc/group/etc/security/pam_pwcheck.conf/etc/pam.d/passwd/etc/login.defs/etc/default/useradd/etc/pam.d/login/etc/pam.d/sshd/etc/ssh/sshd_config/etc/xinetd.d/*/etc/ntp.conf/etc/fstab/etc/exports (may no exist)/etc/snmpd.conf (SUSE 9)/etc/snmp/snmpd.conf (SUSE 10)/etc/profil

10、e$home/.profile(或.bash_profile) #即用户家目录下的.profile文件或者.bash_profile文件/etc/securetty/etc/pam.d/su/etc/ftpusers/etc/vsftpd.conf/etc/pure-ftpd/pure-ftpd.conf/etc/hosts.allow/etc/hosts.deny/etc/inittab/etc/syslog.conf (SUSE 9)/etc/syslog-ng/syslog-ng.conf (SUSE 10)/etc/motd/etc/sshbanner (may no exist)/e

11、tc/ssh/sshd_config/etc/issue/etc/etc/sysctl.conf备份相关系统文件：#cp p 系统文件 备份文件 /其中参数-p表示拷贝文件权限。加固实施预计操作时间: 60分钟操作人员:华为专业安全服务工程师或交付合作方操作影响：部分策略实施可能会造成业务中断, 在双机系统中，实施时需先实施备机，确保备机没问题后，再实施主机。其他约定：如果没有特殊说明，文中的操作均以root用户完成。1.1 帐号SEC-SUSE-ACCT-01-设置专用维护帐号安全要求：应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。通用策略：

12、需要按维护人员角色新增维护帐号，利用工号等唯一标志做识别，需询问客户意见。通常华为业务系统上需新增两个华为方维护帐号：maintain和admin_hw。风险说明：无操作方法：创建帐号# useradd -d homedir -G group,. -g gid -m -p password -u uid -s shell account参数说明：d表示帐号主目录G表示帐号所属组的列表g表示帐号主所属组IDm表示帐号组目录不存在时是否创建p表示密码u表示帐号IDs表示Shell类型设置密码：# passwd account修改权限：# chmod 755 homedir其中755为设置的权限，可

13、根据实际情况设置相应的权限，homedir是要更改权限的目录修改帐号# usermod -d homedir -G group,. -g gid -m -p password -u uid -s shell -L -U account参数说明：d表示帐号主目录G表示帐号所属组的列表g表示帐号主所属组IDm表示帐号组目录改变时是否移动原目录中文件p表示密码u表示帐号IDs表示Shell类型L表示锁定帐号U表示解除锁定帐号删除帐号# userdel -r-f account参数说明：r表示是否删除帐号主目录f表示当帐号主目录存在其他帐号所有文件时是否强制删除操作验证：验证方法：# more /et

14、c/passwd预期结果：不同用户使用各自不同帐号。SEC-SUSE-ACCT-02-锁定/删除无用帐号安全要求：锁定/删除与设备运行、维护等工作无关的账号。被锁定的账号无法使用交互式登陆。通用策略：根据业务加固策略确定系统账号、业务账号的锁定/删除操作，根据客户意见确定维护账号的锁定/删除操作。建议锁定的系统账号：bin daemon ftp nobody nobody4 lp games named at irc mysql ldap postfix postgres wwwrun mail pop snort squid mail man news uucp在实际加固过程中，对于系统帐号

15、，建议只锁定，不删除。风险说明：可能有第三方系统使用了被锁定的帐号，造成第三方系统不可用，请在实施方案制定时，收集第三方系统对账号加固的要求。锁定的用户不能直接登录系统，需经管理员帐号解锁后方可登录。操作方法：锁定用户：# passwd -l username更改帐号默认登陆SHELL：#usermod s /bin/false username 删除用户：# userdel -r-f account参数说明：r表示是否删除帐号主目录f表示当帐号主目录存在其他帐号所有文件时是否强制删除解除对帐号的锁定：# passwd -u username操作验证：验证方法：使用已经锁定的帐号尝试登陆预期结

16、果：已经锁定的帐号无法登陆，系统提示：Login incorrectSEC-SUSE-ACCT-03-用户帐号分组要求内容：根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。通用策略：主要区分数据库用户组、业务维护帐号组、业务运行帐号和业务维护帐号。实施时根据业务加固策略判断是否需要创建用户组，并且帐号修改为对应组。风险说明：尽量避免一个帐号属于多个组，避免额外授权造成安全隐患。更改业务安装运行帐号组可能造成业务不可用。请参考产品加固策略制定实施方案，确定哪些帐号需要进行例外设置。操作方法：创建帐户组：#groupadd g GID groupname #创建一个组，并

17、为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g groupname username #改变用户的组id为groupname#groupmod A username groupname #将用户username分配到groupname组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当用户希望以其他用户组成员身份出现时，

18、需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；操作验证:验证方法：查看组文件：#cat /etc/group 预期结果：可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 口令SEC-SUSE-PWD-01-配置用户口令复杂度安全要求：对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。通用策略：该操作立即生效，对所有修改密码的命令有效。可根据现场需求设置密码复杂度，一般设置为最短长度6个字符，至少包含两个字母，一个特殊字符。风险说明：对于存在

19、密码关联的用户，修改密码时须注意同步修改业务相关配置文件，否则会造成业务不可用。操作方法：设置密码规则：至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9修改/etc/security/pam_pwcheck.conf 文件：#vi /etc/security/pam_pwcheck.conf确保下面行未被注释，如没有，请添加：password: nullok use_cracklib修改/etc/pam.d/passwd文件：#vi /etc/pam.d/passwd确保下面行未被注释，如没有，请添加：auth required pam_unix2.so nullokaccoun

20、t required pam_unix2.sopassword required pam_pwcheck.so nullokpassword requisite pam_cracklib.so minlen=6 lcredit=-2 ocredit=-1 use_authtokpassword required pam_unix2.so nullok use_first_pass use_authtoksession required pam_unix2.so操作验证：验证方法：创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令

21、强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。root使用passwd命令修改其它用户的密码时不受密码复杂度的限制。预期结果：不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置SEC-SUSE-PWD-02-配置用户口令期限安全要求：对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。通用策略：一般对维护帐号和系统帐号启用口令过期策略，实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。风险说明：如果口令在过期前不及时修改，密码会失效锁定，帐号不能使用，可能造成业务中断。请参考产品加固策略制定实施

22、方案，确定哪些帐号需要进行例外设置。如果存在关联密码的情况，在修改密码时没同步修改业务相关配置文件，会导致业务不可用。有些openssh版本不能正确提示密码即将到期，可能错过更改密码的时机，导致用户被锁定。操作方法：设置密码最大有效期限为90天修改/etc/login.defs，添加或修改如下内容：#vi /etc/login.defsPASS_MAX_DAYS 90对系统已经存在帐号进行设置：# passwd x 90 account设置在密码过期之前7天内发出报警信息。修改/etc/login.defs，添加或修改如下内容：#vi /etc/login.defsPASS_WARN_AGE

23、7对系统已经存在帐号进行设置：# passwd w 7 account设置密码过期7天未修改则锁定帐号：编辑文件/etc/default/useradd#vi /etc/default/useradd添加或修改行：INACTIVE=7对系统已经存在帐号进行设置：# passwd i 7 account查看帐号密码策略：#passwd -aS操作验证：验证方法：使用密码过期的帐户尝试登录系统；使用密码即将到期的账号尝试登陆系统；使用密码过期7天以上的账号尝试登陆系统。预期结果：登录不成功；系统提示修改密码；系统不再提示修改密码，直接拒绝登陆。SEC-SUSE-PWD-03-配置用户口令重复使用次

24、数安全要求：对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。通用策略：实施时根据业务加固策略决定是否允许设置此项。风险说明：无操作方法：禁止使用最近5次使用的密码修改/etc/pam.d/passwd，添加如下内容#vi /etc/pam.d/passwdpassword required pam_unix.so remember=5 use_authtok md5 shadow操作验证：验证方法：使用用户帐号修改自己的密码，设置新密码与最近几次的旧密码相同；预期结果：如果设置的新密码与最近5次的旧密码相同，系统不接受该新密码。root使用pas

25、swd命令修改其它用户的密码时不受密码复杂度的限制。SEC-SUSE-PWD-04-配置用户认证失败锁定策略安全要求：对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。通用策略：实施时根据现场需求决定业务帐号和数据库帐号是否不允许设置认证失败次数。Pam模块根据系统版本不同，可能配置的方法也不一样，需要参考实际情况来进行配置，以下两种配置方法可以解决绝大多数系统的配置问题。需要注意的是：某些SUSE 9系统中，使用telnet错误登录一次，FAILLOG里计数器会计两次数，设置次数时需要根据实际情况进行设置。风险说明：如果业务帐号被锁定，帐

26、号不能使用，可能造成业务中断。请参考产品加固策略制定实施方案，确定哪些帐号需要进行例外设置。帐号可能被恶意重试导致被锁定。需要询问客户决定是否实施。操作方法：终端登录：步骤 1 设置登录时连续认证失败6次后断开会话：修改/etc/login.defs文件，进行如下设置：#vi /etc/login.defsLOGIN_RETRIES 6设置连续登陆6次后帐号锁定：SUSE 9：修改/etc/pam.d/login文件，添加如下两行：#vi /etc/pam.d/loginauth required pam_tally.so no_magic_rootaccount required pam_t

27、ally.so deny=6 no_magic_rootSUSE 10：修改/etc/pam.d/login文件，添加如下两行：#vi /etc/pam.d/loginauth required pam_tally.so deny=6account required pam_tally.so1. SSH登录：SUSE 9:步骤 2 设置连续登陆6次后帐号锁定：修改/etc/pam.d/sshd文件，添加如下两行：#vi /etc/pam.d/sshdauth required pam_tally.so no_magic_root #此行的位置需要在该文件的第一行。account require

28、d pam_tally.so deny=6 no_magic_root重启sshd服务：#/etc/init.d/sshd restartSUSE 10:步骤 3 设置登录时连续认证失败6次后断开会话：修改/etc/ssh/sshd_config文件，进行如下设置：#vi /etc/ssh/sshd_configMaxAuthTries 6设置连续登陆6次后帐号锁定：修改/etc/pam.d/sshd文件，添加如下两行：#vi /etc/pam.d/sshdauth required pam_tally.so deny=6account required pam_tally.so重启sshd服

29、务：#/etc/init.d/sshd restart1. 解锁方法：以管理员用户登录，执行如下操作：步骤 4 查看哪些用户被锁定：#pam_tally为用户解锁：# pam_tally -user username -reset=0操作验证：验证方法：以任一普通账号通过错误的口令进行系统登录6次以上；预期结果：帐户被锁定，需要联系系统管理员解锁服务SEC-SUSE-SVC-01-查看开放系统服务端口安全要求：设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。通用策略：此项是对操作系统本身的要求，SUSE系统均满足此项要求。风险说明：无操作方法：查看已使用服务列表：# chkconfig -list查看开放的端口列表：# netstat -an服务端口和进程对应表：# more /etc/services操作验证：验证方法：步骤 5 # chkconfig - - list# netstat -an # more /etc/services1. 预期结果：步骤 6 能够列出开放的服务列表能够列出开放的端口列表可以看到详细的服务端口和进程对应表SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务安全要求：列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。通用策略：仅关闭产品确认的可以关闭的服务。建议关闭的服务（需要根据各