Linux安全配置标准规定.docx
《Linux安全配置标准规定.docx》由会员分享,可在线阅读,更多相关《Linux安全配置标准规定.docx(9页珍藏版)》请在冰点文库上搜索。
Linux安全配置标准规定
Linux安全配置标准
一.目的
《Linux安全配置标准》是Qunar信息系统安全标准的一部分,主要目的是根据信息安全管理政策的要求,为我司的Linux系统提供配置基准,并作为Linux系统设计、实施及维护的技术和安全参考依据。
二.范围
安全标准所有条款默认适用于所有Linux系统,某些特殊的会明确指定适用范围。
三.内容
3.1软件版本及升级策略
操作系统内核及各应用软件,默认采用较新的稳定版本,不开启自动更新功能。
安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。
3.2账户及口令管理
3.2.1远程登录帐号管理
符合以下条件之一的,属"可远程登录帐号":
(1)设置了密码,且帐号处于未锁定状态。
(2)在$HOME/.ssh/authorized_keys放置了publickey
"可远程登录帐号"的管理要求为:
(1)帐号命名格式与邮件命名格式保持一致
(2)不允许多人共用一个帐号,不允许一人有多个帐号。
(3)每个帐号均需有明确的属主,离职人员帐号应当天清除。
(4)特殊帐号需向安全组报批
3.2.2守护进程帐号管理
守护进程启动帐号管理要求
(1)应建立独立帐号,禁止赋予sudo权限,禁止加入root或wheel等高权限组。
(2)禁止使用"可远程登录帐号"启动守护进程
(3)禁止使用root帐号启动WEBSERVER/DB等守护进程。
3.2.3系统默认帐号管理(仅适用于财务管理重点关注系统)
删除默认的帐号,包括:
lp,sync,shutdown,halt,news,uucp,operator,games,gopher等
3.2.4口令管理
口令管理应遵循《密码口令管理制度》,具体要求为
(1)启用密码策略
/etc/login.defs
PASS_MAX_DAYS90
PASS_MIN_DAYS1
PASS_MIN_LEN7
PASS_WARN_AGE7
/etc/pam.d/system-auth
passwordsufficientpam_unix.so**remember=5
passwordrequisitepam_cracklib.so**minlen=7lcredit=1ucredit=1dcredit=1ocredit=0
(2)启用帐号锁定策略,连续输错3次口令,锁定用户30分钟
/etc/pam.d/system-auth
authrequiredpam_env.so
authrequiredpam_tally2.sodeny=3unlock_time=1800
3.2.5OpenSSH安全配置
只使用协议版本2,禁止root登录,禁止空口令登录,独立记录日志到/var/log/secure。
具体配置为:
/etc/ssh/sshd_config
#defaultis2,1
Protocol2
#defaultisyes
PermitRootLoginno
#defaultisno
PermitEmptyPasswordsno
#defaultisAUTH
SyslogFacilityAUTHPRIV
3.3认证授权
3.3.1远程管理方式
(1)默认仅允许ssh一种远程管理方式,禁止使用telnet、rlogin等,如存在以下文件,必须删除:
$HOME/.rhosts
/etc/hosts.equiv
/etc/xinetd.d/rsh
/etc/xinetd.d/rlogin
(2)跳板机只允许RSATOKEN方式登录,其它Linux服务器只允许通过密码和publickey方式登录。
(3)生产环境Linux服务器,只允许来自跳板机和其它指定IP的登录,通过tcpwarp实现。
生产环境范围由安全组指定,允许登录的IP源由安全组指定。
BETA/DEV环境登录限制同生产环境。
3.3.2其它(仅适用于财务管理重点关注系统)
(1)仅允许非wheel组用户通过远程管理,配置方法:
/etc/security/access.conf
-:
wheel:
ALLEXCEPTLOCAL.win.tue.nl
/etc/pam.d/sshd
accountrequiredpam_access.so
(2)限制普通用户控制台访问权限
禁止普通用户在控制台执行shutdown、halt以及reboot等命令。
rm-f/etc/security/console.apps/reboot
rm-f/etc/security/console.apps/halt
rm-f/etc/security/console.apps/shutdown
rm-f/etc/security/console.apps/poweroff
3.4其它
3.4.1关键文件权限(仅适用于财务管理重点关注系统)
将以下文件设置为600权限
/$HOME/.bash_logout
/$HOME/.bash_profile
/$HOME/.bashrc
3.4.2日志管理
开启以下行为日志:
用户登录日志、crontab执行日志
配置方法:
/etc/syslog.conf
authpriv.*/var/log/secure
cron.*/var/log/cron
对于PCIDSS覆盖范围内的系统,所有日志应实时发送到集中的日志管理服务器,并确保由程序自动分析与告警。
3.4.3用户界面TIMEOUT
设置用户30分钟无操作自动退出。
设置方法:
/etc/profile
TMOUT=1800
对于PCIDSS以及SOX404范围内的系统,空闲超时时间需设置为15分钟。
3.4.4设置NTP时间同步,确保各服务器时间保持一致
配置同机房的自行运维的NTP服务器为NTP源。
示例(每个机房可能不一样):
driftfile/var/db/ntp.drift
pidfile/var/run/ntpd.pid
server192.168.0.117
server192.168.0.78
server192.168.0.77
restrictdefaultignore
restrict127.0.0.1
restrict192.168.0.0mask255.255.0.0nomodify
restrict192.168.0.117
restrict192.168.0.78
restrict192.168.0.77
内部NTP服务必须采用行业认可的NTP源。
示例:
server133.100.9.2minpoll4maxpoll8iburstburstprefer
server140.112.4.189minpoll4maxpoll8iburstburstprefer
server128.250.33.242minpoll4maxpoll8iburstburstprefer
server216.218.254.202minpoll4maxpoll8iburstburstprefer
server209.51.161.238minpoll4maxpoll8iburstburstprefer
server218.21.130.42minpoll4maxpoll8iburstburstprefer
server202.130.120.114minpoll4maxpoll8iburstburstprefer
server66.187.233.4minpoll4maxpoll8iburstburstprefer
server210.72.145.44minpoll4maxpoll8iburstburstprefer
server209.81.9.7minpoll4maxpoll8iburstburstprefer
#individualservers
restrictdefaultignore
restrict133.100.9.2
restrict140.112.4.189
restrict128.250.33.242
restrict216.218.254.202
restrict209.51.161.238
restrict218.21.130.42
restrict202.130.120.114
restrict66.187.233.4
restrict210.72.145.44
restrict209.81.9.7
3.4.5禁止安装/运行不必要的服务
当前禁止安装/运行的服务列表为
nfs
samba
telnet
rsh-server
3.4.6安装防病毒软件(仅适用于PCIDSS范围内系统)
安装经安全组认可的防病毒软件。
每周至少升级一次防病毒定义,并使用最新定义执行系统扫描。
升级以及定期扫描应设置为自动执行任务。
对于扫描出来的结果只告警,由安全组成员手工清除病毒,禁止设置自动删除。
扫描范围至少包括:
•bin
•sbin
•home
•lib
•lib64
•opt
•usr
•var
如果日志(系统、应用)目录被包含于以上目录,需做排除处理。
3.4.7安装完整性检测工具(仅适用于PCIDSS范围内系统)
由安全组安装文件完整性检测工具,确保以下文件被篡改时及时告警:
•所有日志文件
•/etc/profile.d
•/etc/inittab
•/etc/sysconfig/init
•/etc/hosts.allow
•/etc/hosts.deny
•/etc/modprobe.conf
•/etc/ntp.conf
•/etc/snmp/snmpd.conf
•/etc/ssh/ssh_config
•/etc/ssh/sshd_config
•/etc/ssh/ssh_host_key
•/etc/sysctl.conf
•/etc/syslog.conf
•/etc/grub.conf
•/etc/shadow
•/etc/sudoers
•/etc/group
•/etc/passwd
•/etc/login.defs
•/etc/securetty
3.4.8memcached安全配置
memcached统一监听在以下端口之一:
6666/11211/11212/11213,安全组将在网络边界对这些端口实施访问控制。
memcached应以nobody权限启用,禁止使用root权限启动。
3.4.9rsyncd安全配置
rsyncd配置必须符合以下安全要求
配置项
默认配置
要求配置
list
默认为true,即允许枚举模块列表。
注意:
通过帐号认证和ACL无法限制枚举行为。
在全局配置设置为false或no
auth_users
默认为空,即允许匿名访问,不需要帐号密码认证。
应建立帐号/密码进行认证,密码必须符合复杂度要求
hosts_allow
默认为空,即允许从任意源IP访问。
应精确限制可访问的源IP或主机名,禁止设置整个网段。
3.4.10WEB目录下禁止存放危险文件
WEB目录下禁止存在以下类型的危险文件:
•各种类型的压缩文件,如:
zip|gz|tgz|bz|7z|tar|rar|arj|bz2|bzip2|cab|cpio|gzip|lzh|lha|iso|lzma|taz|tbz|tbz2|tpz|xar|z|xz
•各种类型的备份或临时文件,如:
bak|back|backup|old|tmp|ext~|orig|save
•各种类型的sql和日志文件,如:
sql|log
•各种类型的版本管理特殊文件,如:
.svn|.git
少量特殊的请联系安全组加白名单
升级会员 