SUSE Linux主机操作系统安全加固操作规范
4.23 SUSE-LOG-04-日志集中存放
4.23.1 安全要求:
配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
4.23.2 通用策略:
此项需要配备有远程日志服务器支持
Linux使用的syslog守护进程主要有两种,syslog和syslog-ng,SLES9默认使用syslog服务,SLES10默认使用syslog-ng服务。
4.23.3 风险说明:
当远程日志服务器连接不上时会造成日志丢失。
4.23.4 操作方法:
syslog
# vi /etc/syslog.conf 添加以下行: *.* @logserver
可以将\替换为你实际需要的日志信息。比如:kern.* / mail.* 等等。 logserver为日志服务器的IP或者主机名,主机明必须能正确解析到日志服务器IP。 重启syslog服务: # rcsyslog restart syslog-ng
# vi /etc/syslog-ng/syslog-ng.conf 添加以下行:
destination d_udp { udp(\
46
SUSE Linux主机操作系统安全加固操作规范
log { source(src); destination(d_udp); }; 重启syslog-ng服务 # rcsyslog restart
4.23.5 操作验证:
验证方法:
查看logserver中的日志 预期结果:
logserver上已经包含本地服务器日志。
4.24 SUSE-LOG-05-记录用户SU命令操作
4.24.1 安全要求:
设备应配置日志功能,记录用户使用SU命令的情况,记录不良的尝试记录 4.24.2 通用策略: 此项是对设备本身的要求,SUSE系统均满足此项要求,不需要配置。
4.24.3 风险说明: 无
4.24.4 操作方法:
查看sulog日志,记载着普通用户尝试su成为其它用户的纪录,
4.24.5 操作验证:
验证方法:
查看/var/log/messages # more /var/log/messages 预期结果:
记录有所有的SU操作
47
SUSE Linux主机操作系统安全加固操作规范
4.25 SUSE-LOG-06-系统服务日志
4.25.1 安全要求:
系统上运行的应用/服务也应该配置相应日志选项,比如cron
4.25.2 通用策略:
Linux使用的syslog守护进程主要有两种,syslog和syslog-ng,SLES9默认使用syslog服务,SLES10默认使用syslog-ng服务。
4.25.3 风险说明:
无
4.25.4 操作方法:
syslog #vi /etc/syslog.conf 添加以下行:
cron.info /var/log/cron 重启syslog服务: # rcsyslog restart
syslog-ng
# vi /etc/syslog-ng/syslog-ng.conf 添加以下行:
destination d_cron { file(\filter f_cron { level(info) and facility(cron); };
log { source(s_sys); filter(f_cron); destination(d_cron); }; 重启syslog-ng服务 # rcsyslog restart
其中log { source(s_sys); filter(f_errors); destination(d_errors); };中“s_sys”视其
48
SUSE Linux主机操作系统安全加固操作规范
源不同可能会为“src”,配置时需注意。
另外,实施此项需要开启cron服务。
4.25.5 操作验证:
验证方法
查看日志存放文件,如cron的日志:#more /var/log/cron 预期结果:
日志中能够列出相应的应用/服务的详细日志信息 登陆显示
入侵者通常通过操作系统,服务及应用程序版本来攻击,漏洞列表和攻击程序也是按此来分类,隐藏系统回显版本,加大入侵的难度。
4.26 SUSE-BANNER-01-设置登录成功后警告Banner
4.26.1 安全要求: 用户通过网络或者本地成功登录系统后,显示一些警告信息。
4.26.2 通用策略:
无
4.26.3 风险说明:
无
4.26.4 操作方法:
修改文件/etc/motd的内容,如没有该文件,则创建它。
#echo \Authorized users only. All activity may be monitored and reported \> /etc/motd 可根据实际需要修改该文件的内容。
4.26.5 操作验证:
验证方法:
49
SUSE Linux主机操作系统安全加固操作规范
使用telnet或者SSH登录该服务器 预期结果:
登录成功后显示文件/etc/motd中的内容
4.27 SUSE-BANNER-02-设置ssh警告Banner
4.27.1 安全要求:
ssh登录时显示警告信息,在登录成功前不泄漏服务器信息。
4.27.2 通用策略:
无
4.27.3 风险说明:
无
4.27.4 操作方法: 执行如下命令创建ssh banner信息文件: #touch /etc/sshbanner #chown bin:bin /etc/sshbanner #chmod 644 /etc/sshbanner
# echo \Authorized users only. All activity may be monitored and reported \ >/etc/sshbanner
可根据实际需要修改该文件的内容。
修改/etc/ssh/sshd_config文件,添加如下行: Banner /etc/sshbanner 重启sshd服务: #rcsshd restart
4.27.5 操作验证:
验证方法:
使用ssh命令登录服务器,输入一个用户名;
50