中国电信Linux操作系统安全配置规范详解.doc

目 录 目 录 I 前 言 II 1 范围 1 2 规范性引用文件 1 3 缩略语 2 3.1 缩略语 2 4 安全配置要求 2 4.1 账号 2 4.2 口令 4 4.3 文件及目录权限 6 4.4 远程登录 7 4.5 补丁安全 9 4.6 日志安全要求 9 4.7 不必要的服务、端口 11 4.8 系统Banner设置 12 4.9 登陆超时时间设置 12 4.10 删除潜在危险文件 13 4.11 FTP设置 13 附录A：端口及服务 14 前 言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列的结构及名称预计如下：YD/T 1732-2008《固定通信网安全防护要求》 YD/T 1734-2008《移动通信网安全防护要求》 YD/T 1736-2008《互联网安全防护要求》 YD/T 1738-2008《增值业务网—消息网安全防护要求》 YD/T 1740-2008《增值业务网—智能网安全防护要求》 YD/T 1758-2008《非核心生产单元安全防护要求》 YD/T 1742-2008《接入网安全防护要求》 YD/T 1744-2008《传送网安全防护要求》 YD/T 1746-2008《IP承载网安全防护要求》 YD/T 1748-2008《信令网安全防护要求》 YD/T 1750-2008《同步网安全防护要求》 YD/T 1752-2008《支撑网安全防护要求》 YD/T 1756-2008《电信网和互联网管理安全等级保护要求》 缩略语 下列缩略语适用于本标准： FTP File Transfer Protocol 文件传输协议 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 安全配置要求 账号 编号： 1 要求内容 应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号： 2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加*LK*将/etc/passwd文件中的shell域设置成/bin/falspasswd -l username 只有具备超级用户权限的使用者方可使用passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess 操作指南 1、参考配置操作 Cat /etc/passwd Cat /etc/group 2、补充操作说明 检测方法 1、判定条件 人工分析判断 2、检测操作 编号：4 要求内容 使用PAM禁止任何人su为root 操作指南 参考操作： 编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。添加方法为： # chmod –G10 username 检测方法 1、判定条件 2、检测操作 Cat /etc/pam.d/su 口令 编号：1 要求内容 对于采用静态口令认证技术的设备，口令长度至少8位，并