中国电信Linux操作系统安全配置规范.doc

《中国电信Linux操作系统安全配置规范.doc》由会员分享，可在线阅读，更多相关《中国电信Linux操作系统安全配置规范.doc（19页珍藏版）》请在咨信网上搜索。

保密等级：公开发放 中国电信集团公司 发布 2023-4实行 2023-4发布 中国电信Linux操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom Q/CT 2339-2023 中国电信集团公司技术标准 目 录 目 录 I 前 言 II 1 范围 1 2 规范性引用文献 1 3 缩略语 2 3.1 缩略语 2 4 安全配置规定 2 4.1 账号 2 4.2 口令 4 4.3 文献及目录权限 6 4.4 远程登录 7 4.5 补丁安全 9 4.6 日记安全规定 9 4.7 不必要的服务、端口 11 4.8 系统Banner设立 12 4.9 登陆超时时间设立 12 4.10 删除潜在危险文献 13 4.11 FTP设立 13 附录A：端口及服务 14 前 言 为了在工程验收、运营维护、安全检查等环节，规范并贯彻安全配置规定，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置规定。 本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下： （1）AIX操作系统安全配置规范 （2）HP-UX操作系统安全配置规范 （3）Solaris操作系统安全配置规范 （4）Linux操作系统安全配置规范（本标准） （5）Windows 操作系统安全配置规范 （6）MS SQL server数据库安全配置规范 （7）MySQL数据库安全配置规范 （8）Oracle数据库安全配置规范 （9）Apache安全配置规范 （10）IIS安全配置规范 （11）Tomcat安全配置规范 （12）WebLogic安全配置规范 本标准由中国电信集团公司提出并归口。 1　 范围 合用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本规定，合用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同，配置操作有所不同，本规范以内核版本2.6及以上为例，给出参考配置操作。 2　 规范性引用文献 Linux操作系统配置规范符合下列规范性文献： GB/T22239-2023《信息安全技术 信息系统安全等级保护基本规定》 YD/T 1732-2023《固定通信网安全防护规定》 YD/T 1734-2023《移动通信网安全防护规定》 YD/T 1736-2023《互联网安全防护规定》 YD/T 1738-2023《增值业务网—消息网安全防护规定》 YD/T 1740-2023《增值业务网—智能网安全防护规定》 YD/T 1758-2023《非核心生产单元安全防护规定》 YD/T 1742-2023《接入网安全防护规定》 YD/T 1744-2023《传送网安全防护规定》 YD/T 1746-2023《IP承载网安全防护规定》 YD/T 1748-2023《信令网安全防护规定》 YD/T 1750-2023《同步网安全防护规定》 YD/T 1752-2023《支撑网安全防护规定》 YD/T 1756-2023《电信网和互联网管理安全等级保护规定》 3　 缩略语 下列缩略语合用于本标准： FTP File Transfer Protocol 文献传输协议 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 4　 安全配置规定 4.1　 账号 编号： 1 规定内容 应按照不同的用户分派不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设立密码 修改权限： #chmod 750 directory #其中750为设立的权限，可根据实际情况设立相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分派不同的账号，设立不同的口令及权限信息等。 2、补充操作说明 检测方法 1、鉴定条件 可以登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号： 2 规定内容 应删除或锁定与设备运营、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文献，用户名后加*LK* 2)将/etc/passwd文献中的shell域设立成/bin/false 3)#passwd -l username 只有具有超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保存原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 注：无关的账号重要指测试帐户、共享帐号、长期不用账号（半年以上未用）等 检测方法 1、鉴定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 编号： 3 规定内容 根据系统规定及用户的业务需求，建立多帐户组，将用户账号分派到相应的帐户组。 操作指南 1、参考配置操作 Cat /etc/passwd Cat /etc/group 2、补充操作说明 检测方法 1、鉴定条件 人工分析判断 2、检测操作 编号：4 规定内容 使用PAM严禁任何人su为root 操作指南 参考操作： 编辑su文献(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表白只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为： # chmod –G10 username 检测方法 1、鉴定条件 2、检测操作 Cat /etc/pam.d/su 4.2　 口令 编号：1 规定内容 对于采用静态口令认证技术的设备，口令长度至少8位，并涉及数字、小写字母、大写字母和特殊符号4类中至少3类。 操作指南 1、参考配置操作 vi /etc/login.defs ，修改设立如下 PASS_MIN_LEN=8 #设定最小用户密码长度为8位 Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设立 检测方法 1、鉴定条件 不符合密码强度的时候，系统对口令强度规定进行提醒； 符合密码强度的时候，可以成功设立； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简朴口令以及长度短于8的口令，查看系统是否对口令强度规定进行提醒；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设立。 3、补充说明 pam_cracklib重要参数说明:     tretry=N:重试多少次后返回密码修改错误     difok=N:新密码必需与旧密码不同的位数     dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字.     lcredit=N:小宝字母的个数     ucredit=N大宝字母的个数     credit=N:特殊字母的个数     minclass=N:密码组成(大/小字母,数字,特殊字符) pam_passwdqc重要参数说明: mix:设立口令字最小长度，默认值是mix=disabled。 max:设立口令字的最大长度，默认值是max=40。 passphrase:设立口令短语中单词的最少个数，默认值是passphrase=3，假如为0则禁用口令短语。 atch:设立密码串的常见程序，默认值是match=4。 similar:设立当我们重设口令时，重新设立的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。 random:设立随机生成口令字的默认长度。默认值是random=42。设为0则严禁该功能。 enforce:设立约束范围，enforce=none表达只警告弱口令字，但不严禁它们使用；enforce=users将对系统上的全体非根用户实行这一限制；enforce=everyone将对涉及根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设立用户输入口令字时允许重试的次数，默认值是retry=3。 密码复杂度通过/etc/pam.d/system-auth实行 编号： 2 规定内容 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。 操作指南 1、参考配置操作 vi /etc/login.defs PASS_MAX_DAYS=90 #设定口令的生存期不长于90天 检测方法 1、鉴定条件 登录不成功； 2、检测操作 使用超过90天的帐户口令登录； 3、补充说明 测试时可以将90天的设立缩短来做测试； 4.3　 文献及目录权限 编号：1 规定内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 1、参考配置操作 通过chmod命令对目录的权限进行实际设立。 2、补充操作说明 /etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设立： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 假如是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc 检测方法 1、鉴定条件 1、设备系统可以提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录可以配置的权限选项内容； 3、所配置的权限规则应可以对的应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、运用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项； 3、为两个用户分别配置不同的权限，2个用户的权限差异应可以分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现； 4、分别运用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明 编号： 2 规定内容 控制用户缺省访问权限，当在创建新文献或目录时 应屏蔽掉新文献或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文献或更高限制。 操作指南 1、 参考配置操作 设立默认权限： Vi /etc/login.defs 在末尾增长umask 027，将缺省访问权限设立为750 修改文献或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设立权限； 2、补充操作说明 假如用户需要使用一个不同于默认全局系统设立的umask，可以在需要的时候通过命令行设立，或者在用户的shell启动文献中配置。 检测方法 1、鉴定条件 权限设立符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文献或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限 #cat /etc/login.defs 查看是否有umask 027内容 3、补充说明 umask的默认设立一般为022，这给新创建的文献默认权限755（777-022=755），这会给文献所有者读、写权限，但只给组成员和其他用户读权限。 umask的计算： umask是使用八进制数据代码设立的，对于目录，该值等于八进制数据代码777减去需要的默认权限相应的八进制数据代码值；对于文献，该值等于八进制数据代码666减去需要的默认权限相应的八进制数据代码值。 编号：3 规定内容 假如需要启用FTP服务，控制FTP进程缺省访问权限，当通过FTP服务创建新文献或目录时应屏蔽掉新文献或目录不应有的访问允许权限。 操作指南 1、参考配置操作 以vsftp为例 打开/etc/vsftpd/chroot_list文献，将需要限制的用户名加入到文献中 2、补充操作说明 检测方法 1、鉴定条件 权限设立符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文献或目录的权限，操作举例如下： 3、补充说明 4.4　 远程登录 编号：1 规定内容 限制具有超级管理员权限的用户远程登录。 远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 操作指南 1、 参考配置操作 编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为严禁远程登录，如要允许，则改成可以登录的shell即可，如/bin/bash 2、补充操作说明 假如限制root从远程ssh登录，修改/etc/ssh/sshd_config文献，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 检测方法 1、鉴定条件 root远程登录不成功，提醒“没有权限”； 普通用户可以登录成功，并且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文献，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 编号：2 规定内容 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设立。 操作指南 1、参考配置操作 正常可以通过#/etc/init.d/sshd start来启动SSH; 通过#/etc/init.d/sshd stop来停止SSH 2、补充操作说明 查看SSH服务状态： # ps –ef|grep ssh 注：严禁使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制； 检测方法 1、 鉴定条件 # ps –ef|grep ssh 是否有ssh进程存在 是否有telnet进程存在 2、检测操作 查看SSH服务状态： # ps –ef|grep ssh 查看telnet服务状态： # ps –ef|grep telnet 3、补充说明 4.5　 补丁安全 编号：1 规定内容 在保证业务网络稳定运营的前提下，安装最新的OS补丁。补丁在安装前需要测试拟定。 操作指南 1、 参考配置操作 看版本是否为最新版本。 执行下列命令，查看版本及大补丁号。 #uname –a 2、补充操作说明 检测方法 1、 鉴定条件 看版本是否为最新版本。 # uname –a查看版本及大补丁号 RedHat Linux： Slackware Linux：ftp:// SuSE Linux： TurboLinux： 2、检测操作 在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装。 3、补充说明 4.6　 日记安全规定 编号：1 规定内容 启用syslog系统日记审计功能 操作指南 1、参考配置操作 #cat /etc/syslog.conf 查看是否有#authpriv.* /var/log/secure 2、补充操作说明 将authpirv设备的任何级别的信息记录到/var/log/secure文献中，这重要是一些和认证、权限使用相关的信息。 检测方法 1、鉴定条件 查看是否有#authpriv.* /var/log/secure 2、检测操作 #cat /etc/syslog.conf 3、补充说明 将authpirv设备的任何级别的信息记录到/var/log/secure文献中，这重要是一些和认证、权限使用相关的信息。 编号：2 规定内容 系统日记文献由syslog创建并且不可被其他用户修改；其它的系统日记文献不是全局可写 操作指南 1、参考配置操作 查看如下等日记的访问权限 #ls –l查看下列日记文献权限 /var/log/messages、/var/log/secure、 /var/log/maillog、/var/log/cron、 /var/log/spooler、/var/log/boot.log 2、补充操作说明 检测方法 1、 鉴定条件 2、检测操作 使用ls –l 命令依次检查系统日记的读写权限 3、补充说明 编号：3（可选） 规定内容 启用记录cron行为日记功能 操作指南 1、参考配置操作 Vi /etc/syslog.conf # Log cron stuff cron.* cron.* 检测方法 1、 鉴定条件 2、检测操作 cron.* 编号：4（可选） 规定内容 设备配置远程日记功能，将需要重点关注的日记内容传输到日记服务器。 操作指南 1、参考配置操作 修改配置文献vi /etc/syslog.conf， 加上这一行：   *.*   @192.168.0.1 可以将"*.*"替换为你实际需要的日记信息。比如：kern.* ; mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名。 2、补充操作说明 检测方法 1、鉴定条件 设备配置远程日记功能，将需要重点关注的日记内容传输到日记服务器。 2、检测操作 查看日记服务器上的所收到的日记文献。 3、补充说明 4.7　 不必要的服务、端口 编号：1 规定内容 关闭不必要的服务。 操作指南 1、参考配置操作 查看所有启动的服务： #ps –ef #chkconfig --list #cat /etc/xinetd.conf 在xinetd.conf中关闭不用的服务 一方面复制/etc/xinetd.conf。 #cp /etc/xinetd.conf /etc/xinetd.conf.backup 然后用vi编辑器编辑 xinetd.conf文献，对于需要注释掉的服务在相应行开头标记"#"字符，重启xinetd服务,即可。 2、 补充操作说明 参考附录A，根据需要关闭不必要的服务 检测方法 1、鉴定条件 所需的服务都列出来； 没有不必要的服务； 2、检测操作 #ps –ef #chkconfig --list #cat /etc/xinetd.conf 3、补充说明 在/etc/xinetd.conf文献中严禁不必要的基本网络服务。 注意：改变了“/etc/xinetd.conf”文献之后，需要重新启动xinetd。 对必须提供的服务采用tcpwapper来保护 4.8　 系统Banner设立 规定内容 修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息 操作指南 1、参考配置操作 在缺省情况下，当你登录到linux系统，它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。应当尽可 能的隐藏系统信息。 一方面编辑“/etc/rc.d/rc.local” 文献，在下面显示的这些行前加一个“#”，把输出信息的命令注释掉。 # This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you reboot. #echo "" > /etc/issue #echo "$R" >> /etc/issue #echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue #cp -f /etc/issue /etc/ #echo >> /etc/issue 另一方面删除"/etc"目录下的和issue文献： # mv /etc/issue /etc/issue.bak # mv /etc/ /etc/.bak 检测方法 查看Cat /etc/rc.d/rc.local 注释住处信息 4.9　 登陆超时时间设立 规定内容 对于具有字符交互界面的设备，配置定期帐户自动登出 操作指南 1、 参考配置操作 通过修改账户中“TMOUT” 参数，可以实现此功能。TMOUT按秒计算。编辑profile文 件（vi /etc/profile），在“HISTFILESIZE=”后面加入下 面这行： 建议TMOUT=300（可根据情况设定） 2、补充操作说明 改变这项设立后，必须先注销用户，再用该用户登录才干激 活这个功能 检测方法 1、鉴定条件 查看TMOUT=300 4.10　 删除潜在危险文献 规定内容 .rhosts，.netrc，hosts.equiv等文献都具有潜在的危险，假如没有应用，应当删除 操作指南 1、参考配置操作 执行：find / -name .netrc，检查系统中是否有.netrc 文献， 执行：find / -name .rhosts ，检查系统中是否有.rhosts 文献 如无应用，删除以上文献： Mv .rhost .rhost.bak Mv .netr .netr.bak 2、补充操作说明 注意系统版本，用相应的方法执行 检测方法 1、鉴定条件 2、检测操作 4.11　 FTP设立 编号1： 规定内容 严禁root登陆FTP 操作指南 1、参考配置操作 在ftpaccess文献中加入下列行 root 检测方法 使用root帐号登录ftp会被拒绝 编号2： 规定内容 严禁匿名ftp 操作指南 1、参考配置操作 以vsftpd为例： 打开vsftd.conf文献，修改下列行为： anonymous_enable=NO 检测方法 匿名账户不能登录 编号3： 规定内容 修改FTP banner 信息 操作指南 1、参考配置操作 使用vsftpd，则修改下列文献的内容： /etc/vsftpd.d/vsftpd.conf 使用wu-ftpd，则需要修改文献/etc/ftpaccess，在其中添加： banner /path/to/ftpbanner 在指定目录下创建包含ftp的banner信息的文献 检测方法 1、 判断依据 通过外部ftp客户端登录，banner按照预先设定的显示 2、 检查操作 附录A：端口及服务 服务名称 端口 应用说明 关闭方法 处置建议 daytime 13/tcp RFC867 白天协议 chkconfig daytime off 建议关闭 13/udp RFC867 白天协议 chkconfig daytime off time 37/tcp 时间协议 chkconfig time off 37/udp 时间协议 chkconfig time-udp off echo 7/tcp RFC862_回声协议 chkconfig echo off 7/udp RFC862_回声协议 chkconfig echo-udp off discard 9/tcp RFC863 废除协议 chkconfig discard off 9/udp chkconfig discard-udp off chargen 19/tcp RFC864 字符产生协议 chkconfig chargen off 19/udp chkconfig chargen-udp off ftp 21/tcp 文献传输协议(控制) chkconfig gssftp off 根据情况选择开放 telnet 23/tcp 虚拟终端协议 chkconfig krb5-telnet off 根据情况选择开放 sendmail 25/tcp 简朴邮件发送协议 chkconfig sendmail off 建议关闭 nameserver 53/udp 域名服务 chkconfig named off 根据情况选择开放 53/tcp 域名服务 chkconfig named off 根据情况选择开放 apache 80/tcp HTTP 万维网发布服务 chkconfig httpd off 根据情况选择开放 login 513/tcp 远程登录 chkconfig login off 根据情况选择开放 shell 514/tcp 远程命令, no passwd used chkconfig shell off 根据情况选择开放 exec 512/tcp remote execution, passwd required chkconfig exec off 根据情况选择开放 ntalk 518/udp new talk, conversation chkconfig ntalk off 建议关闭 ident 113/tcp auth chkconfig ident off 建议关闭 printer 515/tcp 远程打印缓存 chkconfig printer off 强烈建议关闭 bootps 67/udp 引导协议服务端 chkconfig bootps off 建议关闭 68/udp 引导协议客户端 chkconfig bootps off 建议关闭 tftp 69/udp 普通文献传输协议 chkconfig tftp off 强烈建议关闭 kshell 544/tcp Kerberos remote shell -kfall chkconfig kshell off 建议关闭 klogin 543/tcp Kerberos rlogin -kfall chkconfig klogin off 建议关闭 portmap 111/tcp 端口映射 chkconfig portmap off 根据情况选择开放 snmp 161/udp 简朴网络管理协议（Agent） chkconfig snmp off 根据情况选择开放 snmp trap 161/tcp 简朴网络管理协议（Agent） chkconfig snmp off 根据情况选择开放 snmp-trap 162/udp 简朴网络管理协议（Traps） chkconfig snmptrap off 根据情况选择开放 syslogd 514/udp 系统日记服务 chkconfig syslog off 建议保存 lpd 515/tcp 远程打印缓存 chkconfig lpd off 强烈建议关闭 nfs 2049/tcp NFS远程文献系统 chkconfig nfs off 强烈建议关闭 2049/udp NFS远程文献系统 chkconfig nfs off 强烈建议关闭 nfs.lock 动态端口 rpc服务 chkconfig nfslock off 强烈建议关闭 ypbind 动态端口 rpc服务 chkconfig ypbind off 强烈建议关闭