Linux安全配置基线….docVIP

Linux 系统安全配置基线 帐号管理、认证授权 帐号 用户口令设置 安全基线项目名称 操作系统Linux用户口令设置安全基线要求项 安全基线编号 SBL-Linux-02-01-01 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。 检测操作步骤 1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root1234 2、执行：more /etc/login.defs，检查PASS_MAX_DAYS/ PASS_MIN_DAYS/PASS_WARN_AGE参数 3、执行：awk -F: ($2 == ) { print $1 } /etc/shadow, 检查是否存在空口令帐号 基线符合性判定依据 建议在/etc/login.defs文件中配置： PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 不存在空口令帐号 备注 用户口令强度要求 安全基线项目名称 操作系统Linux用户口令强度安全基线要求项 安全基线编号 SBL-Linux-02-01-02 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 检测操作步骤 /etc/pam.d/system-auth文件中是否对pam_cracklib.so的参数进行了正确设置。 基线符合性判定依据 建议在/etc/pam.d/system-auth 文件中配置： password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=1 至少8位，包含一位大写字母，一位小写字母和一位数字 备注 用户锁定策略 安全基线项目名称 操作系统Linux用户口令锁定策略安全基线要求项 安全基线编号 SBL-Linux-02-01-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。 检测操作步骤 /etc/pam.d/system-auth文件中是否对pam_tally.so的参数进行了正确设置。 基线符合性判定依据 设置连续输错10次密码，帐号锁定5分钟， 使用命令“vi /etc/pam.d/ system-auth”修改配置文件，添加 auth required pam_tally.so onerr=fail deny=10 unlock_time=300 注：解锁用户 faillog -u 用户名 -r 备注 root用户远程登录限制 安全基线项目名称 操作系统Linux远程登录安全基线要求项 安全基线编号 SBL-Linux-02-01-04 安全基线项说明 帐号与口令-root用户远程登录限制 检测操作步骤 执行：more /etc/securetty，检查Console参数 基线符合性判定依据 建议在/etc/securetty文件中配置：CONSOLE = /dev/tty01 备注 检查是否存在除root之外UID为0的用户 安全基线项目名称 操作系统Linux超级用户策略安全基线要求项 安全基线编号 SBL-Linux-02-01-05 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户 检测操作步骤 执行：awk -F: ($3 == 0) { print $1 } /etc/passwd 基线符合性判定依据 返回值包括“root”以外的条目，则低于安全要求； 备注 补充操作说明 UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0 root用户环境变量的安全性 安全基线项目名称 操作系统Linux超级用户环境变量安全基线要求项 安全基线编号 SBL-Linux-02-01-06 安全基线项说明 帐号与口令-root用户环境变量的安全性 检测操作步骤 执行：echo $PATH | egrep (^|:)(\.|:|$)，检查是否包含父目录， 执行：find `echo $PATH | tr : ` -type d \( -perm -002 -o -perm -020 \) -ls，检查是否包含组目录权限为777的目录 基线符合性判定依据 返回值包含以上条件，则低于安全要求； 备注 补