29操作系统安全技术规范.docx

29操作系统安全技术规范.docx

《29操作系统安全技术规范.docx》由会员分享，可在线阅读，更多相关《29操作系统安全技术规范.docx（14页珍藏版）》请在冰点文库上搜索。

29操作系统安全技术规范

文件名称

密级

内部

文件编号

版本号

V1.0

编写部门

编写人

审批人

发布时间

xxxx网络与信息安全

操作系统安全规范

保密申明

本文档版权由中国人民大学所有。

未经中国人民大学书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播

目的

各类主机操作系统由于设计缺陷，不可避免地存在着各种安全漏洞，给移动各系统带来安全隐患。

如果没有对操作系统进行安全配置，操作系统的安全性远远不能达到它的安全设计级别。

绝大部分的入侵事件都是利用操作系统的安全漏洞和不安全配置的隐患得手的。

为提高操作系统的安全性，确保系统安全高效运行，必须对操作系统进行安全配置。

本规范的目的是指导主机操作系统的安全配置，各业务系统管理员可根据本指南和业务情况制定各主机操作系统的安全配置规程。

从而规范主机操作系统的安全配置，提高主机操作系统的抗攻击能力，提高主机操作系统的性能，提高主机操作系统的稳定性。

1范围

本规范适用于各主流主机操作系统的安全配置，其中Unix系统安全配置适用于Solaris、AIX、HP-UX、SCOOpenServer和Linux等Unix操作系统，Windows系统安全配置适用于Windows2000/XP/2003操作系统，其他操作系统安全配置在此规范中仅给出了安全配置指导，请查阅相关资料并同系统供应商确认后作出详细配置。

2原则

xxxx系统安全应该遵循以下原则：

⏹有限授权原则应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。

⏹访问控制原则对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。

⏹日志使用原则日志内容应包括：

软件及磁盘错误记录；登录系统及退出系统的时间；属于系统管理员权限范围的操作。

⏹审计原则计算机系统能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

⏹分离与制约原则将用户与系统管理人员分离；将系统管理人员与软件开发人员分离；将系统的开发与系统运行分离；将密钥分离管理；将系统访问权限分级管理。

3主要内容

本文主要阐述了UNIX和Windows主机安全配置时应该遵循的原则和基本规范。

UNIX系统安全规范

安全控制对于一个UNIX系统来说非常重要，系统的安全管理主要分为四个方面：

⏹防止未授权存取：

这是计算机安全最重要的问题，即未被授权使用系统的人进入系统。

用户意识、良好的口令管理（由系统管理员和用户双方配合）、登录活动记录和报告、用户和网络活动的周期检查、这些都是防止未授权存取的关键。

⏹防止泄密：

这也是计算机安全的一个重要问题。

防止已授权或未授权的用户存取相互的重要信息。

文件系统查帐，SU登录和报告，用户意识，加密都是防止泄密的关键。

⏹防止用户拒绝系统的管理：

这一方面的安全应由操作系统来完成。

一个系统不应被一个有意试图使用过多资源的用户损害。

不幸的是，UNIX不能很好地限制用户对资源的使用，一个用户能够使用文件系统的整个磁盘空间，而UNIX基本不能阻止用户这样做。

系统管理员最好用PS命令，记帐程序DF和DU周期地检查系统。

查出过多占用CPU的进程和大量占用磁盘的文件。

⏹防止丢失系统的完整性：

这一安全方面与一个好系统管理员的实际工作（例如：

周期地备份文件系统，系统崩溃后运行FSCK检查，修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件）和保持一个可靠的操作系统有关（即用户不能经常性地使系统崩溃）。

用户账号控制

UNIX每个用户有唯一的用户名、用户ID和口令，文件属主取决于用户ID；root可以更改文件属主；系统缺省root为超级用户；系统用户adm、sys、bin等不允许登录；需要共享同一类文件的用户可以归入同一个组。

大多数默认安装的UNIX/Linux系统，没有对账户口令进行强制限制，因此为了保证系统的安全应该调整系统的规范对账户的密码进行长度和复杂性的限制。

特殊用户

除了正常的系统账户，UNIX系统还存在很多系统账户，例如：

root、bin、system、admin、nobody等。

3.1.1root账户

root是UNIX系统中最为特殊的一个账户，它具有最大的系统权限，能够控制系统的所有资源。

若系统管理员的root口令泄密了，则系统安全便岌岌可危了，拥有了root口令便使得系统安全防线只有一步之遥了。

即使su命令通常要在任何都不可读的文件中记录所有想成为root的企图，还可用记帐数据或ps命令识别运行su命令的用户。

正因为如此，系统管理员作为root运行程序时应当特别小心，对于root账户的使用应该注意以下问题：

⏹应严格限制使用root特权的人数。

⏹不要作为root或以自己的登录户头运行其他用户的程序，首先用su命令进入用户的户头。

⏹决不要把当前工作目录排在PATH路径表的前边，那样容易招引特洛伊木马。

当系统管理员用su命令进入root时，他的PATH将会改变，就让PATH保持这样，以避免特洛伊木马的侵入。

⏹敲入/usr/bin/su执行su命令。

若有su源码，将其改成必须用全路径名运行（即su要确认argv[0]的头一个字符是"/"才运行）。

随着时间的推移，用户和管理员将养成使用/usr/bin/su的习惯。

⏹不要未注销户头就离开终端，特别是作为root用户时更不能这样。

⏹不允许root在除控制台外的任何终端登录（这是login的编译时的选项），如果没有login源码，就将登录名root改成别的名，造成破坏者不能在root登录名下猜测各种可能的口令，从而非法进入root的户头。

⏹确认su命令记下了想运行su企图的记录/var/adm/sulog，该记录文件的许可方式是600，并属root所有。

这是非法者喜欢选择来替换成特洛伊木马的文件。

⏹不要让某人作为root运行，即使是几分钟，即使是系统管理员在一旁注视着也不行。

⏹root口令应由系统管理员以不公开的周期更改。

⏹不同的机器采用不同的root口令。

⏹Linux系统把root的权限进行了更细粒度的划分，更小的单位成为能力（capability），为了安全可以使用能力约束集放弃部分root的权限。

3.1.2系统账户

在Unix系统上，大多数系统账户平时是没什么用的，包括：

bindaemonadmlpmailnewsuucpoperatorgamesgopherrpc等，即使不把它们删除，也不要让它们拥有真正的shell，检查/etc/passwd文件，检查这些账户的最后一个字段（shell）是否被置/sbin/nologin或/bin/false。

另外，还要禁止这些账户使用系统的ftp服务，把这些系统用户放入/etc/ftpusers或者/etc/ftpd/ftpusers文件。

资源控制

3.1.3基线控制

基线是一个系统快照数据库，保存操作系统文件、应用和用户。

通过基线检查，对比系统当前和原始的快照，可以快速检测系统非授权及没有记录的变化，系统出现非授权的修改表示系统可能遭到入侵。

系统中的配置文件、可执行文件、动态连接库等不会经常变动的文件应该纳入基线控制的范畴，而/tmp、/var等系统目录，以及其它一些经常发生变动的文件不可以进行基线控制。

在UNIX系统中经常用到的基线控制工具包括：

Tripwire、AIDE等。

3.1.4补丁管理

补丁对于系统安全和稳定具有重要的意义，因此应该密切关注每个系统的补丁。

各种UNIX/Linux系统的厂商都会不定期地针对新出现的漏洞发布安全补丁或者软件升级包，下表是一些常见UNIX/Linux系统的补丁发布方式和获取手段：

操作系统

补丁类型

修补方式

Solaris

单个补丁和补丁集

pkgadd、installpatch

Linux（Redhat、RedFlag、Turbo）

替代的升级软件包

rpm

HP-UX

单个补丁和补丁集

swinstall

AIX

单个补丁和补丁集

instfix

3.1.5文件/目录控制

UNIX文件和目录有一组许可权位，采用标准的读、写和执行来定义三个级别的许可权：

用户（文件属主）、组和其他人，另外附加的三种许可权位是SUID、SGID和t（粘着位）。

带SUID位的可执行文件意味着文件运行时，其进程以文件的有效UID运行。

Shell程序不支持SUID，SUID对目录无意义；带SGID位的可执行文件意味着文件运行时，其进程以文件属组的有效GID运行；带SGID的目录表示在该目录下创建的文件/目录将继承目录的组ID，而忽略创建者的属组；UNIX中的粘着位对文件无意义，带粘着位的目录意味着：

即使对目录具有写许可权（如/tmp）,用户也不能随便删除目录下的文件，除非是文件属主或目录属主。

系统记账和日志

安全性日志是系统安全的重要保障，有经验的系统管理员经常使用其做安全性检查。

网络服务

作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。

所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：

一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：

fingerauth等服务关掉，以减少系统漏洞。

3.1.6inetd启动的服务

inetd在系统启动时可由启动程序（/etc/rc.d/init.d/inet）启动。

inetd监视文件（/etc/inetd.conf）中所设置的端口并等待连接要求（请求包）。

一旦有连接请求时，判断与inetd.conf所指定的端口相对应的服务，进而启动提供该服务的服务器程序,连接请求本身当连接终止时，被启动的服务也随之停止运行，从而节省了大量的系统资源。

通过inetd启动的服务多属于没有必要的网络服务，这些网络服务或者本身的安全非常低，例如：

rlogin、rsh等；或者提供此种网络服务的软件存在安全缺陷，因此为了系统的安全和稳定，需要关闭这些服务。

比较便捷的方式是重新创建一个/etc/inetd.conf文件，在里面加入必须的网络服务，例如：

telnet、ftp等。

3.1.7网络服务的访问控制

对于启用的服务，应该使用TCP_Wrapper进行封装，实现基于IP地质的访问控制。

TCP_Wrapper（tcpd）在inetd接到客户的请求时启动，具有存取管理启动目标服务器程序的功能。

tcpd启动时,可读入允许/etc/hosts.allow服务的主机和禁止/etc/hosts.deny主机的设置文件。

3.1.8其它服务

除了由inetd/xinetd启动的服务之外，系统在缺省的情况下会自动启用一些没用的服务，例如：

LPD、Sendmail、NFS。

这些服务给系统带来了极大的安全隐患，而且系统功能越单纯，结构越简单，可能出现的漏洞越少，因此越容易进行安全维护。

因此，应该禁止这些不必要的服务，检查/etc/rc.d/目录下的各个目录中的文件，删除不必要的文件。

3.1.9替代不安全的服务

在UNIX系统中，很多服务经常会被用到，但是本身安全性比较低。

例如，telnet服务使用明文进行网络的数据传输，很容易遭到网络窃听，泄漏用户名、密码等敏感数据。

因此，需要使用更为安全的ssh协议进行替代，SSH是一个使用加密连接的安全的远程管理/数据传输协议。

它可以用来替代telnet,r命令、ftp等传统的不安全的协议/命令。

OpenSSH是SSH（SecureSHell）协议的免费开源实现，支持SSH协议的版本1.3、1.5、2。

OpenSSH几乎可以用于所有的UNIX/Linux系统。

at/cron的安全

在UNIX/Linux下使用cron和at进行任务日程安排。

在多数系统上通常只有系统管理员才需要运行这些命令。

Windows系统安全规范

Windows系统安全基本原则

⏹所有磁盘分区都是NTFS文件系统。

⏹管理员账户有一个强口令。

⏹禁止所有不必要的服务。

⏹删除或禁止所有不必要的账号。

⏹关闭所有不必要的共享目录。

⏹设置访问控制列表。

⏹设置严格的安全规范。

⏹安装最新的服务包和补丁程序。

⏹安装反病毒软件。

Windows安全流程

下面的图表显示了帮助实现服务器安全（获得安全）和保持其安全性（保持安全）所需的步骤。

图1.Windows系统安全过程

系统修补

3.1.10Windows系统修补流程

图2.Windows系统修补流程

⏹分析，了解当前环境和潜在的威胁。

确定必须部署的修补程序以减少对您的环境的威胁。

⏹规划，确定应部署哪些修补程序以抵御潜在的威胁和弥补已经发现的漏洞。

确定执行测试和部署任务的人选和执行步骤。

⏹测试，检查可用的修补程序并根据您的环境对它们进行分类，测试所有已经确定的修补程序，以确保它们可以在您的环境中工作，并且不会产生任何副作用。

了解修补程序的作用以及它会对您的环境产生何种影响。

验证它是否能按规划的要求运行。

⏹部署，部署正确的修补程序以保护您的环境安全。

⏹监视，在部署修补程序后检查所有系统，以确认没有任何副作用。

⏹审查，作为日常管理过程的一部分，您需要定期审查已发布的新修补程序、您的环境以及您的xxxx需要哪些修补程序。

如果您在审查过程中发现需要新的修补程序，请重新开始管理过程的第一个步骤。

基于的角色保护

3.1.11密码规范

默认情况下，将对域中的所有服务器强制执行一个标准密码规范。

下表列出了一个标准密码规范的设置以及针对您的环境建议的最低设置。

规范

默认设置

推荐最低设置

强制执行密码历史记录

记住1个密码

记住24个密码

密码最长期限

42天

42天

密码最短期限

0天

2天

最短密码长度

0个字符

8个字符

密码必须符合复杂性要求

禁用

启用

为域中所有用户使用可还原的加密来储存密码

禁用

禁用

3.1.12密码复杂性要求

组规范的“密码必须符合复杂性要求”设置启用后，它要求密码必须为6个字符长（但我们建议您将此值设置为8个字符）。

它还要求密码中必须包含下面类别中至少三个类别的字符：

⏹英语大写字母A,B,C,…Z。

⏹英语小写字母a,b,c,…z。

⏹西方阿拉伯数字0,1,2,…9。

⏹非字母数字字符，如标点符号。

服务器基准规范

基准规范配置设定的一些方面包括：

⏹审计规范，确定如何在您的服务器上执行审计。

⏹安全选项，使用注册表值确定特定的安全设置。

⏹注册表访问控制列表，确定谁可以访问注册表。

⏹文件访问控制列表，确定谁可以访问文件系统。

⏹服务配置，确定哪些服务需要启动、停止、禁用等。

3.1.13审计规范

应用程序、安全性和系统事件日志的设置都在该规范中配置并应用到域中的所有成员服务器。

各日志的大小都设置为10兆字节（MB），而且各日志都配置为不改写事件。

所以，管理员必须定期查看日志并根据需要进行归档或清理。

3.1.14账户锁定规范

有效的账户锁定规范有助于防止攻击者猜出账户的密码。

3.1.15安全选项规范

⏹对匿名连接的附加限制对服务器的任何匿名访问都将被禁止，而且对任何资源都将要求显式访问。

⏹LANManager身份验证级别通过使用NTLMv2对Windows9x和WindowsNT强制执行一个更安全的身份验证协议。

⏹在关机时清理虚拟内存页面交换文件如果启用此选项，Windows2000将在关机时清理页面交换文件，将存储在那里的所有信息清除掉。

⏹禁用Lmhash创建相比之下LM散列运算的能力比NTLM弱，因而易在猛烈攻击下被攻破。

如果没有需要LM身份验证的客户机，则应禁用LM散列的存储。

Windows2000ServicePack2提供了一个注册表设置以禁用LM散列的存储。

⏹禁用自动运行功能为防止可能有恶意的程序在媒体插入时就启动，组规范禁用了所有驱动器的自动运行功能。

针对网络攻击的安全事项

有些拒绝服务攻击可能会给Windows2000服务器上的TCP/IP协议栈造成威胁。

这些注册表设置有助于提高Windows2000TCP/IP协议栈抵御标准类型的拒绝服务网络攻击的能力。

有关这些设置的信息，请参见知识库文章Q315669，“HOWTO:

HardentheTCP/IPStackinWindows2000AgainstDenialofService”（加固Windows2000中的TCP/IP协议栈以抵御拒绝服务攻击）。

4附则

4.1文档信息

1.本规范由xxxx信息安全办公室制定，并负责修订。

由xxxx信息安全领导小组讨论通过，发布执行。

2.本规范自发布之日起执行。

版本控制

对本规范所有修改及审批、发布都按时间顺序记录在此。

版本

日期

修改内容

修改人

审批人

其他信息

《xxxx网络与信息安全总纲》定义了xxxx信息安全体系的整体结构、xxxx安全组织及各角色岗位的职责、以及覆盖xxxx各项安全内容的安全管理规范。

xxxx所有员工均应把《xxxx网络与信息安全总纲》的规定作为信息安全工作的基本要求，其内容一经颁布将在一定时间内长期有效，其涉及的所有部门或个人均需对其负责。