資源描述:
《linux安全系統(tǒng)配置地要求地要求規(guī)范》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)���。
1�、實(shí)用標(biāo)準(zhǔn)文案Linux安全配置規(guī)范2010年11月精彩文檔實(shí)用標(biāo)準(zhǔn)文案第一章概述1.1適用范圍適用于中國(guó)電信使用Linux操作系統(tǒng)的設(shè)備��。本規(guī)范明確了安全配置的基本要求,可作為編制設(shè)備入網(wǎng)測(cè)試�����、安全驗(yàn)收��、安全檢查規(guī)范等文檔的參考。第二章安全配置要求2.1賬號(hào)編號(hào):1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào)��,避免不同用戶間共享賬號(hào),避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享�����。操作指南1�����、參考配置操作為用戶創(chuàng)建賬號(hào):#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限:#c
2、hmod750directory#其中750為設(shè)置的權(quán)限��,可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限�����,directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號(hào),設(shè)置不同的口令及權(quán)限信息等��。2���、補(bǔ)充操作說(shuō)明檢測(cè)方法1��、判定條件能夠登錄成功并且可以進(jìn)行常用操作����;2���、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作���;3���、補(bǔ)充說(shuō)明編號(hào):2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行��、維護(hù)等工作無(wú)關(guān)的賬號(hào)���。操作指南1����、參考配置操作刪除用戶:#userdelusername;鎖定用戶:精彩文檔實(shí)用標(biāo)準(zhǔn)文案1)修改/etc/
3���、shadow文件�����,用戶名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd-lusername只有具備超級(jí)用戶權(quán)限的使用者方可使用�����,#passwd-lusername鎖定用戶,用#passwd–dusername解鎖后原有密碼失效,登錄需輸入新密碼�,修改/etc/shadow能保留原有密碼��。2、補(bǔ)充操作說(shuō)明需要鎖定的用戶:listen,gdm,webservd,nobody,nobody4��、noaccess���。檢測(cè)方法1�、判定條件被刪除或鎖定的賬號(hào)無(wú)
4、法登錄成功����;2��、檢測(cè)操作使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng)�;3����、補(bǔ)充說(shuō)明需要鎖定的用戶:listen,gdm,webservd,nobody,nobody4��、noaccess����。編號(hào):3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作�,應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后��,再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作��。操作指南1、參考配置操作編輯/etc/passwd���,帳號(hào)信息的shell為/sbin/nologin的為禁止遠(yuǎn)程登錄,如要允許�,則改成可以登錄的shell即可���,如/bin/b
5、ash2��、補(bǔ)充操作說(shuō)明如果限制root從遠(yuǎn)程ssh登錄,修改/etc/ssh/sshd_config文件��,將PermitRootLoginyes改為PermitRootLoginno,重啟sshd服務(wù)���。檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功��,提示“沒有權(quán)限”���;普通用戶可以登錄成功�,而且可以切換到root用戶�����;2�、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄���;普通用戶從遠(yuǎn)程使用telnet登錄;root從遠(yuǎn)程使用ssh登錄����;普通用戶從遠(yuǎn)程使用ssh登錄���;3���、補(bǔ)充說(shuō)明限制root從遠(yuǎn)程ssh登錄,修改/
6�����、etc/ssh/sshd_config文件���,將PermitRootLoginyes改為PermitRootLoginno����,重啟sshd服務(wù)。編號(hào):4要求內(nèi)容對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備����,設(shè)備應(yīng)配置使用SSH等加密協(xié)議�,并安全配置SSHD的設(shè)置��。精彩文檔實(shí)用標(biāo)準(zhǔn)文案操作指南1、參考配置操作正?��?梢酝ㄟ^(guò)#/etc/init.d/sshdstart來(lái)啟動(dòng)SSH;通過(guò)#/etc/init.d/sshdstop來(lái)停止SSH2��、補(bǔ)充操作說(shuō)明查看SSH服務(wù)狀態(tài):#ps–ef
7���、grepssh禁止使用telnet
8、等明文傳輸協(xié)議進(jìn)行遠(yuǎn)程維護(hù)����;如特別需要��,需采用訪問(wèn)控制策略對(duì)其進(jìn)行限制;檢測(cè)方法1�、判定條件#ps–ef
9���、grepssh是否有ssh進(jìn)程存在是否有telnet進(jìn)程存在2、檢測(cè)操作查看SSH服務(wù)狀態(tài):#ps–ef
10�����、grepssh查看telnet服務(wù)狀態(tài):#ps–ef
11��、greptelnet3�、補(bǔ)充說(shuō)明2.2口令編號(hào):1要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備��,口令長(zhǎng)度至少8位��,并包括數(shù)字、小寫字母�、大寫字母和特殊符號(hào)4類中至少3類�����。操作指南1、參考配置操作vi/etc/login.defs����,修改設(shè)置如下PA
12����、SS_MIN_LEN=8#設(shè)定最小用戶密碼長(zhǎng)度為8位Linux用戶密碼的復(fù)雜度可以通過(guò)pam_cracklibmodule或pam_passwdqcmodule進(jìn)行設(shè)置檢測(cè)方法1、判定條件不符合密碼強(qiáng)度的時(shí)候�,系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示�����;符合密碼強(qiáng)度的時(shí)候�,可以成功設(shè)置��;2、檢測(cè)操作1���、檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置:i.配置口令的最小長(zhǎng)度����;精彩文檔實(shí)用標(biāo)準(zhǔn)文案i.將口令配置為強(qiáng)口令���。2、創(chuàng)建一個(gè)普通賬號(hào)�����,為用戶配置與用戶名相同的口令�����、只包含字
