返回
Linux系统安全配置标准V1.0

Linux系统安全配置标准V1.0

ID:40156991

大小:148.51 KB

页数:16页

时间:2019-07-23

Linux系统安全配置标准V1.0_第1页
Linux系统安全配置标准V1.0_第2页
Linux系统安全配置标准V1.0_第3页
Linux系统安全配置标准V1.0_第4页
Linux系统安全配置标准V1.0_第5页
资源描述:

《Linux系统安全配置标准V1.0》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、服务器系统安全加固技术要求——Linux服务器中国电信股份有限公司广州研究院2009年3月目 录1补丁11.1系统补丁11.2其他应用补丁12账号和口令安全配置基线22.1账号安全控制要求22.2口令策略配置要求22.3root登录策略的配置要求22.4root的环境变量基线33网络与服务安全配置标准43.1最小化启动服务43.2最小化xinetd网络服务54文件与目录安全配置74.1临时目录权限配置标准74.2重要文件和目录权限配置标准74.3umask配置标准74.4SUID/SGID配置标准75信任主机

2、的设置96系统Banner的配置107内核参数118syslog日志的配置13附件:选装安全工具14服务器系统安全加固技术要求—Linux服务器1补丁1.1系统补丁要求及时安装系统补丁。更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证。系统补丁安装方法为(以下示例若无特别说明,均以RedHatLinux为例):使用up2date命令自动升级或在ftp://update.redhat.com下载对应版本补丁手工单独安装。对于企业版5及之后的版本,可以直接使用yum工具进行系统补丁升级:yumupdat

3、e1.2其他应用补丁除Linux开发商官方提供的系统补丁之外,基于Linux系统开发的服务和应用(如APACHE、PHP、OPENSSL、MYSQL等)也必须安装最新的安全补丁。以RedHatLinux为例,具体安装方法为:首先确认机器上安装了gcc及必要的库文件。然后再应用官方网站下载对应的源代码包,如*.tar.gz,并解压:tarzxfv*.tar.gz根据使用情况对编译配置进行修改,或直接采用默认配置。cd*./configure进行编译和安装:makemakeinstall注意:补丁更新要慎重,可能

4、出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前,应该在测试机上进行测试。14服务器系统安全加固技术要求—Linux服务器1账号和口令安全配置基线1.1账号安全控制要求系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHatLinux为例,设置方法如下:锁定账号:/usr/sbin/usermod-L-s/dev/null$name删除账号:/usr/sbin/user$name1.2口令策略配置要求要求设置口令策略以提高系统的安全性。例如要将口令策略设置为:非root用户强制在90天内更该

5、口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。以RedHatLinux为例,可在/etc/login.def文件中进行如下设置:vi/etc/login.defPASS_MAX_DAYS90PASS_MIN_DAYS7PASS_MIN_LEN6PASS_WARN_AGE281.3root登录策略的配置要求禁止直接使用root登陆,必须先以普通用户登录,然后再su成root。禁止root账号远程登录,以RedHatLinux为例,设置方法为:touch/etc

6、/securettyecho“console”>/etc/securetty14服务器系统安全加固技术要求—Linux服务器1.1root的环境变量基线root环境变量基线设置要求如表2-1所示:表21root环境变量基线设置修改文件安全设置操作说明/etc/profilePATH设置中不含本地目录(.)1.查看root账号的环境变量,env2.如果root的PATH变量包含本地目录,则去掉本地目录”.”。14服务器系统安全加固技术要求—Linux服务器1网络与服务安全配置标准1.1最小化启动服务1、Xin

7、etd服务如果xinetd服务中的服务,都不需要开放,则可以直接关闭xinetd服务。chkconfig--level12345xinetdoff2、关闭邮件服务1)如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。chkconfig--level12345sendmailoff2)如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置Sendmail不运行在daemon模式。编辑/etc/sysconfig/senmail文件,增添以下行:DAEMON=noQUEUE=1h设置配置

8、文件访问权限:cd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail3、关闭图形登录服务(XWindows)在不需要图形环境进行登录和操作的情况下,要求关闭XWindows。编辑/etc/inittab文件,修改id:5:initdefault:行为id:3:initdefault:设置配置文件访问权限:14服务器系统安全加固

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。