ImageVerifierCode 换一换
格式:DOC , 页数:15 ,大小:537KB ,
资源ID:1632977      下载积分:10 文钱
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,省得不是一点点
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenke99.com/d-1632977.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(中国移动liunx操作系统安全配置规.doc)为本站会员(99****p)主动上传,文客久久仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文客久久(发送邮件至hr@wenke99.com或直接QQ联系客服),我们立即给予删除!

中国移动liunx操作系统安全配置规.doc

1、 中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 1 页 共 15 页Linux 系统安全配置基线中国移动通信有限公司 管理信息系统部2009 年 3 月中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 2 页 共 15 页版本 版本控制信息 更新日期 更新人 审批人V1.0 创建 2009 年 1 月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 3 页 共 15 页目 录第 1 章 概述 .11.1 目的 .11.2 适用范围 .11.3 适用版本 .11.4 实施 .11.

2、5 例外条款 .1第 2 章 账号管理、认证授权 .22.1 账号 .22.1.1 用户口令设置 .22.1.2 root 用户远程登录限制 .22.1.3 检查是否存在除 root 之外 UID 为 0 的用户 .32.1.4 root 用户环境变量的安全性 .32.2 认证 .42.2.1 远程连接的安全性配置 .42.2.2 用户的 umask 安全配置 .42.2.3 重要目录和文件的权限设置 .42.2.4 查找未授权的 SUID/SGID 文件 .52.2.5 检查任何人都有写权限的目录 .62.2.6 查找任何人都有写权限的文件 .62.2.7 检查没有属主的文件 .72.2.8

3、 检查异常隐含文件 .7第 3 章 日志审计 .93.1 日志 .93.1.1 syslog 登录事件记录 .93.2 审计 .93.2.1 Syslog.conf 的配置审核 .9第 4 章 系统文件 .114.1 系统状态 .114.1.1 系统 core dump 状态 .11第 5 章 评审与修订 .12中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 1 页 共 15 页第 1 章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 LINUX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行 LINUX

4、 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的 LINUX 服务器系统。1.3 适用版本LINUX 系列服务器;1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 2 页

5、 共 15 页第 2 章 账号管理、认证授权2.1 账号2.1.1 用户口令设置安全基线项目名称操作系统 Linux 用户口令安全基线要求项安全基线编号SBL-Linux-02-01-01 安全基线项说明 帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root12342、执行:more /etc/login.defs,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE 参数3、执行:awk -F: ($2 = “) print $1

6、/etc/shadow, 检查是否存在空口令账号基线符合性判定依据建议在/etc/login.defs 文件中配置:PASS_MIN_LEN=6不允许存在简单密码,密码设置符合策略,如长度至少为 6不存在空口令账号备注2.1.2 root 用户远程登录限制安全基线项目名称操作系统 Linux 远程登录安全基线要求项安全基线编号SBL-Linux-02-01-02 安全基线项说明 帐号与口令-root 用户远程登录限制检测操作步 执行:more /etc/securetty,检查 Console 参数中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 3 页 共 15 页骤基线符合性判定

7、依据建议在/etc/securetty 文件中配置: CONSOLE = /dev/tty01备注2.1.3 检查是否存在除 root 之外 UID 为 0 的用户安全基线项目名称操作系统 Linux 超级用户策略安全基线要求项安全基线编号SBL-Linux-02-01-03 安全基线项说明 帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户检测操作步骤执行:awk -F: ($3 = 0) print $1 /etc/passwd基线符合性判定依据返回值包括“root”以外的条目,则低于安全要求;备注 补充操作说明UID 为 0 的任何用户都拥有系统的最高特权,保证只有 ro

8、ot 用户的 UID 为02.1.4 root 用户环境变量的安全性安全基线项目名称操作系统 Linux 超级用户环境变量安全基线要求项安全基线编号SBL-Linux-02-01-04 安全基线项说明 帐号与口令-root 用户环境变量的安全性检测操作步骤执行:echo $PATH | egrep (|:)(.|:|$),检查是否包含父目录,执行:find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls,检查是否包含组目录权限为 777 的目录基线符合性判定依据返回值包含以上条件,则低于安全要求;备注 补充操作说明确保 ro

9、ot 用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为 777 的目录中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 4 页 共 15 页2.2 认证2.2.1 远程连接的安全性配置安全基线项目名称操作系统 Linux 远程连接安全基线要求项安全基线编号SBL-Linux-02-02-01 安全基线项说明 帐号与口令-远程连接的安全性配置检测操作步骤执行:find / -name .netrc,检查系统中是否有.netrc 文件,执行:find / -name .rhosts ,检查系统中是否有.rhosts 文件基线符合性判定依据返回值包含以上条件,则低于安全要求

10、;备注 补充操作说明如无必要,删除这两个文件2.2.2 用户的 umask 安全配置安全基线项目名称操作系统 Linux 用户 umask 安全基线要求项安全基线编号SBL-Linux-02-02-02 安全基线项说明 帐号与口令-用户的 umask 安全配置检测操作步骤执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值基线符合性判定依据umask 值是默认的,则低于安全要求备注 补充操作说明建议设置用户的默认 umask=0772.2.3 重要目录和文件的权限

11、设置安全基线项目名称操作系统 Linux 目录文件权限安全基线要求项安全基线编号SBL-Linux-02-02-03 中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 5 页 共 15 页安全基线项说明 文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况:ls l /etc/ls l /etc/rc.d/init.d/ls l /tmpls l /etc/inetd.confls l /etc/passwdls l /etc/shadowls l /etc/groupls l /etc/securityls l /etc/servicesls -l

12、 /etc/rc*.d基线符合性判定依据若权限过低,则低于安全要求;备注 补充操作说明对于重要目录,建议执行如下类似操作:# chmod -R 750 /etc/rc.d/init.d/*这样只有 root 可以读、写和执行这个目录下的脚本。2.2.4 查找未授权的 SUID/SGID 文件安全基线项目名称操作系统 Linux SUID/SGID 文件安全基线要求项安全基线编号SBL-Linux-02-02-04 安全基线项说明 文件系统-查找未授权的 SUID/SGID 文件检测操作步骤用下面的命令查找系统中所有的 SUID 和 SGID 程序,执行:for PART in grep -v

13、# /etc/fstab | awk ($6 != “0“) print $2 ; dofind $PART ( -perm -04000 -o -perm -02000 ) -type f -xdev -printDone基线符合性判定依据若存在未授权的文件,则低于安全要求;中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 6 页 共 15 页备注 补充操作说明建议经常性的对比 suid/sgid 文件列表,以便能够及时发现可疑的后门程序2.2.5 检查任何人都有写权限的目录安全基线项目名称操作系统 Linux 目录写权限安全基线要求项安全基线编号SBL-Linux-02-02-0

14、5 安全基线项说明 文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令:for PART in awk ($3 = “ext2“ | $3 = “ext3“) print $2 /etc/fstab; dofind $PART -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合性判定依据若返回值非空,则低于安全要求;备注2.2.6 查找任何人都有写权限的文件安全基线项目名称操作系统 Linux 文件写权限安全基线要求项安全基线编号SBL-Linux-02-02-06 安全基线项说

15、明 文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令:for PART in grep -v # /etc/fstab | awk ($6 != “0“) print $2 ; dofind $PART -xdev -type f ( -perm -0002 -a ! -perm -1000 ) -printDone基线符合性判定依据若返回值非空,则低于安全要求;备注中国移动集团管理信息系统部安全加固项目中国移动集团公司 第 7 页 共 15 页2.2.7 检查没有属主的文件安全基线项目名称操作系统 Linux 文件所有权安全基线要求项安全基线编号

16、SBL-Linux-02-02-07 安全基线项说明 文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令:for PART in grep -v # /etc/fstab | awk ($6 != “0“) print $2 ; dofind $PART -nouser -o -nogroup -printdone注意:不用管“/dev”目录下的那些文件。基线符合性判定依据若返回值非空,则低于安全要求;备注 补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有主人的文件存在。如果在系统中发现了没有主人的文件或目录,先查看它的完整性,如果一切正常

17、,给它一个主人。有时候卸载程序可能会出现一些没有主人的文件或目录,在这种情况下可以把这些文件和目录删除掉。2.2.8 检查异常隐含文件安全基线项目名称操作系统 Linux 隐含文件安全基线要求项安全基线编号SBL-Linux-02-02-08 安全基线项说明 文件系统-检查异常隐含文件检测操作步骤用“find”程序可以查找到这些隐含文件。例如:# find / -name “. *“ -print xdev# find / -name “*“ -print -xdev | cat -v同时也要注意象“.xx”和“.mail”这样的文件名的。 (这些文件名看起来都很象正常的文件名)基线符合性判定依据若返回值非空,则低于安全要求;

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。