linux系统基线检查操作手册.docxVIP

LINUX操作系统3.1 账号与口令安全3.1.1 帐号管理，按用户需求分配不同帐号，避免不同用户间共享账号方法：现场访谈，测试3.1.2 锁定或删除所有系统安装时自动建立且不需要的账号，删除系统特殊的组账号方法：登陆系统，查找未锁定的系统帐号3.1.3 账号登陆设置：设置账户锁定登陆失败锁定次数、锁定时间方法：登陆系统查看配置文件3.1.4 限制su的权限，防止随意用户su作为root3.1.5 禁止从ssh登录root，修改ssh服务配置文件，使ssh服务不允许直接使用root用户来登录，这样减少系统被恶意登录攻击的机会3.1.6 空闲退出时间3.1.7 屏蔽CTRL-ALT-DELETE，禁止Control-Alt-Delete键盘关闭命令3.1.8 禁止登陆设置，部分用户不需要login权限（nologin），禁止部分用户登录3.1.9 密码安全策略，对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类；有效期180天，密码历史10次方法：现场访谈，查看密码策略3.2 远程登录3.1.1禁止直接使用root帐号，只允许普通权限帐号直接登录3.1.2 限制FTP登陆，限制FTP登陆用户，取消FTP匿名登陆方法：登陆系统查看配置文件3.1.3 不允许从不同的控制台进行root登陆方法：/etc/securetty文件允许你定义root用户可以从哪个TTY设备登陆3.1.4 banner预警在/etc/issue文件里加入登录警告；在/etc/motd文件里加入对登录成功者的警告方法：访谈，登陆设备查看3.3 内核参数调整内核参数，提高系统防止IP欺骗及DOS攻击的能力3.4 文件系统安全3.4.1 更改文件系统默认umask配置暂未实现，需计划整改，加固系统安全3.4.2 文件系统管理涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改3.4.3 访问控制使用NFS文件共享时，明确配置允许mount此NFS共享的服务器ip和权限（ro或rw）方法：访谈控制，查看系统3.4.4 在为多个用户分配某个文件或目录的权限时，禁止使用修改用户所属组，使用ACL实现方法：访谈控制，查看系统3.5 日志安全日志集中存放到日志主机上,本地保存4周的日志备份（默认配置）3.6 入侵检测与防护配置相关检测工具与策略3.7 安全审计配置相关检测工具与策略3.8 其他安全配置3.8.1 设置IPTABLES防火墙暂未实施，需增强安全防护3.8.2 安装最小化在系统安装时建议只安装基本的OS部份，其余的软件包则以必要为原则，非必需的包就不装3.8.3 SHELL使用控制禁止除root帐号,系统维护人员帐号和监控机帐号之外所有帐号使用SHELL的权限并限制限制Shell命令记录大小方法：访谈控制，查看系统3.8.4 服务最小化关闭系统不必要的服务方法：登陆系统查看配置文件3.8.5 限制SNMP服务方法：登陆系统查看配置文件