第1章 概述

1.1 目的

本文档规定了所有维护管理的Linux操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Linux操作系统的安全合规性检查和配置。

1.2 适用范围

本配置标准的使用者包括：服务器管理员、应用管理员、网络安全管理员、运维工程师。
本设置标准适用于Linux服务器系统。

1.3 实施

在本标准的执行过程中若有任何疑问或建议，应及时反馈。

第2章 身份鉴别

2.1 身份标识唯一性

安全基线项目名称：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换
实施操作
编辑/etc/login.defs添加身份标识基线配置

vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7

备注 系统默认配置如下
PASS_MAX_DAYS 99999 --密码最长使用期限
PASS_MIN_DAYS 0 --密码最短使用期限
PASS_MIN_LEN 5 --密码最短长度
PASS_WARN_AGE 7 --密码到期提醒时间

2.2 登录失败处理功能

安全基线项目名称 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
实施操作
1、编辑/etc/pam.d/system-auth添加登录失败处理功能基线，如下配置部分为新增

auth        required      /lib/security/pam_tally.so onerr=fail no_magic root
account     required      /lib/security/pam_tally.so deny=3 no_magic root reset

完整的配置如下：

vi /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      /lib/security/pam_tally.so onerr=fail no_magic root
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
account     required      /lib/security/pam_tally.so deny=3 no_magic root reset

2、编辑/etc/profile添加登录连接超时自动退出配置

vi /etc/profile
TMOUT= 300s
source /etc/profile

备注
（1）onerr=fail
如果一些奇怪的事情发生，例如不能打开文件，这个决定了模块应该如何反应。
（2）no_magic_root
表示如果这个模块是由一个uid=0的用户触发，那么计数器就增加。系统管理员应该使用这个选项用于例如：telnet/rsh/login之类的服务。
（3）deny=3
这个选项表明如果这个用户登录3次失败，就拒绝访问。
（4）reset
这个选项指示模块对成功的实体，应复位到0。

2.3 防止网络信息被窃听

安全基线项目名称 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听
实施操作 1、通过iptables防火墙关闭23端口，确认仅22端口可以进行远程操作

iptables -A INPUT -p tcp --dport 23
iptables save
netstat -an|grep 22
netstat -an|grep 23

2、通过firewall-cmd防火墙关闭23端口，确认仅22端口可以进行远程操作

firewall-cmd --list-ports
firewall-cmd --zone=public --remove-port=23/tcp --permanent
firewall-cmd --reload

第3章 访问控制

3.1 权限控制

安全基线项目名称 应对登录的用户分配账户和权限；应授予管理用户所需的最小权限，实现管理用户的权限分离；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；
实施操作
1、检查存在不符合再更改
建议配置文件的权限值不大于644，可执行文件不大于755
通过ls -l 可以查看权限值大小
2、建议做到三权分立，即拥有最高管理员（root，可视为安全员）、应用账户（视为操作员）、审计账户（审计员，仅有日志查看权限），所有用户一一对应使用方或具体人员
3、查看/etc/sudo.conf文件，核查root级用户的权限都授予哪些账户

more /etc/sudo.conf

3.2 用户安全控制

安全基线项目名称 应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在
实施操作 1、检查/etc/passwd文件，对不启用的用户登录配置为/sbin/nologin或以#号注释，举例如下

vi /etc/passwd
mysql:x:1000:1000::/home/mysql:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

2、检查是否已修改默认账户的默认密码，例如查看是否存在如：root/root，oracle/oracle等的用户
3、是否存在空密码用户，查看/etc/shadow文件，询问相应账户是否为过期、多余账户，查看/etc/passwd文件各用户第二字段是否不为空，/etc/shadow文件中密码字段是否不为空

mre /etc/passwd
1

4、应及时删除或停用多余的、过期的账户，避免共享账户的存在，将无用账户删除，如games、news、ftp、lp、halt、shutdown等默认账户，其余自建账户需明确负责人

cd /home && ls
userdel -r 用户名

3.3 禁用root用户登录，修改默认远程控制端口

安全基线项目名称 应禁用root用户远程登录，使得攻击者无法通过暴力破解来获取root权限；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；
实施操作
1、添加一个普通用户，如admin，并配置满足复杂度要求的密码

useradd admin
passwd admin

2、使用admin用户与配置的密码验证是否正常通过ssh登录到服务器，并验证是否正常切换到root用户

su - root

3、修改/etc/ssh/sshd_config配置文件，修改ssh默认连接端口并禁止root用户远程登录

vi /etc/ssh/sshd_config
Port 3122
PermitRootLogin no

重启sshd服务

service sshd restart  或  systemctl restart sshd

3、passwd、shadow、group等重要文件夹仅root权限可以修改
（1）/etc/passwd 所有用户都可读，root用户可写 –rw-r—r—
配置命令：

ls -l /etc/passwd
chmod 644 /etc/passwd

（2）/etc/shadow 只有root可读 –r--------
配置命令：

ls -l /etc/shadow
chmod 400 /etc/shadow

（3）/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—
配置命令：

ls -l /etc/group
chmod 644 /etc/group

（4）个别特殊环境，可对文件进行锁定

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

备注
1、请切记：一定要验证新增的admin用户可正常登录到操作系统，否则重启sshd服务将会失去对系统的控制！！！！
2、解锁文件请使用如下命令

chattr -i /etc/passwd
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow

第4章 安全审计

4.1 启用系统安全审计

安全基线项目名称 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
实施操作
查看审计服务并启动审计服务

ps -ef | grep auditd
service auditd status   或  systemctl status auditd
service auditd start   或  systemctl start auditd

4.2 审计日志的记录与保护

安全基线项目名称 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经授权的中断
实施操作
1、配置远程日志存储服务器

vi /etc/rsyslog.conf
注：格式如下*.*后面跟tab建，端口小于1024时需要配置设置selinux
#*.* @@remote-host:514
*.* @192.168.31.100

services syslogd restart  或  systemctl restart rsyslog

2、查看/etc/rsyslog.conf配置文件，确认是否添加authpriv.* /var/log/secure配置（中间的分隔符是tab键）

grep "^authpriv.*" /etc/rsyslog.conf

3、设置history时间戳

vi /etc/profile
HISTFILESIZE=2000
HISTSIZE=2000
HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:`whoami`:"
export HISTTIMEFORMAT
source /etc/profile

备注 Linux系统默认启用以下类型日志：
系统日志（默认）/var/log/messages
cron日志（默认）/var/log/cron
安全日志（默认）/var/log/secure
审计日志（默认）/var/log/audit/audit.log
注意：部分系统可能使用syslog-ng日志，配置文件为：/etc/syslog-ng/syslog-ng.conf。请根据实际环境配置。

第5章 入侵防范

5.1 关闭非必要的服务

安全基线项目名称 应关闭不需要的系统服务、默认共享和高危端口；
实施操作 1、查看开放的服务列表

chkconfig --list   或  systemctl list-unit-files|grep

2、如下方式禁用不必要的服务

service <服务名> stop
chkconfig --level 2345 <服务名> off
或
systemctl stop <服务名>
systemctl disable <服务名>

3、查看并确认是否开放的端口都为业务需要端口，是否已经关闭非必需的端口

netstat -ntlp

备注 参考说明
Linux/Unix系统服务中，部分服务存在较高安全风险，应当禁用，包括：
“lpd”，此服务为行式打印机后台程序，用于假脱机打印工作的UNIX后台程序，此服务通常情况下不用，建议禁用；
“telnet”，此服务采用明文传输数据，登陆信息容易被窃取，建议用ssh代替；
“routed”，此服务为路由守护进程，使用动态RIP路由选择协议，建议禁用；
“sendmail”，此服务为邮件服务守护进程，非邮件服务器应将其关闭；
“Bluetooth”，此服务为蓝牙服务，如果不需要蓝牙服务时应关闭等

5.2 系统最小化安装原则

安全基线项目名称 应遵循最小安装的原则，仅安装需要的组件和应用程序；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞
实施操作
1、查看操作系统中已安装的程序包，询问是否有目前不需要的组件和应用程序，高风险且不需要的组件，建议卸载

yum list installed

2、查看并确认是否开放的端口都为业务需要端口，是否已经关闭非必需的端口

netstat -ntlp

3、查看在/etc/hosts.deny中是否有“ALL:ALL"，禁止所有的请求：在/etc/hosts.allow中，是否有如下配置（举例）：sshd：192.168.31.100/255.255.255.0）如果安装有主机防火墙则查看有无登录地址限制

cat /etc/hosts.deny
cat /etc/hosts.allow

4、访谈并查看入侵检测的措施
（1）经常通过如下命令查看入侵的重要线索（例如Telnet.FTP等），涉及命令

more /var/log/secure l grep refused

（2）查看是否启用了主机防火墙、TCPSYN保护机制等设置。
（3）访谈系统管理员是否安装了主机入侵检测软件。查看已安装的主机入侵，检查系统的配置情况，是否具备报警功能。
（4）检查是否安装了主机入侵检测软件，如Dragon Squire by Enterasys Networks，ITA by Symantec.Hostsentry by Psionic Software.Logcheck by Psiomc Software.RealSecure-agent by ISS。
（5）查看网络拓扑图，查看网络上是否部署了网络入侵检测系统，如IDS。
备注
需要安装net-tools以支持netstat命令

yum -y install net-tools