SUSE Linux主机操作系统安全加固操作规范V1.0(7)

SUSE Linux主机操作系统安全加固操作规范

4.10.5 操作验证：

验证方法： 查看SSH服务状态： # /etc/init.d/sshd status 预期结果： 显示SSH正在运行

4.11 SUSE-AUTH-05-限制ROOT远程登录

4.11.1 安全要求：

对于具备console台的设备，限制root用户只能从console台本地登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

4.11.2 通用策略：

现场实施时根据业务需要选择可以切换到管理员权限的用户，集中划入wheel组

4.11.3 风险说明：

如果业务直接以root身份运行，限制root远程登录可能对业务正常使用造成影响。 需要以root直接登录进行操作的工具（如巡检工具）会失效。 要求转变维护习惯。需要询问客户后确定是否实施。

如果主机上没有维护帐号或者该帐号没有添加到wheel组，限制root远程登录后将无法远程登录主机，须到控制台上操作。

4.11.4 操作方法：

限制管理员帐号Telnet登录： 修改/etc/pam.d/login文件 # vi /etc/pam.d/login

添加以下内容，如果已经存在请确保未被注释 auth required pam_securetty.so 修改/etc/securetty文件

31

SUSE Linux主机操作系统安全加固操作规范

#vi /etc/securetty 注释掉以下内容： pts/1 pts/2 ......... ptsn

限制管理员帐号SSH登录： 修改/etc/ssh/sshd_config文件 #vi /etc/ssh/sshd_config 将

PermitRootLogin yes 改为

PermitRootLogin no 重启sshd服务： # rcsshd restart 限制可以通过su切换到root的用户： #vi /etc/pam.d/su

在文件的头部加入下面三行：

auth sufficient pam_rootok.so auth required pam_wheel.so auth required pam_unix.so 把可以执行su的账号放入wheel组 # usermod –G 10 username

4.11.5 操作验证：

验证方法：

Root用户使用telnet、SSH登录； 普通用户使用telnet、SSH登录；

32

SUSE Linux主机操作系统安全加固操作规范

普通用户登录后使用su切换到root用户（需要输入管理员口令）。 预期结果： root无法登录 普通用户无法登录

Wheel组里的用户可以成功切换到root用户（需要输入管理员口令）

4.12 SEC-SUSE-AUTH-06-限制用户FTP登录

4.12.1 安全要求：

控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

4.12.2 通用策略：

以下用户名不允许ftp登陆：

root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 根据实际情况添加修改不能登录的用户帐号。

4.12.3 风险说明：

有些局点直接使用root用户ftp登录取话单，禁用root ftp登录后，可能无法正常取话单。

4.12.4 操作方法：

通过修改ftpusers文件，增加不能登录的用户 # vi /etc/ftpusers

4.12.5 操作验证：

验证方法：

使用列表中的帐号登录ftp 预期结果：

列表中的帐号无法登录ftp

33

SUSE Linux主机操作系统安全加固操作规范

4.13 SUSE-AUTH-07-限制FTP用户登录后能访问的目录

4.13.1 安全要求：

应该从应用层面进行必要的安全访问控制，比如FTP服务器应该限制ftp可以使用的目录范围。

4.13.2 通用策略：

全局生效，对所有用户有效。 加固后ftp仅能在家目录下活动。

4.13.3 风险说明：

用户ftp登录后，通常并不只需要在自己的家目录下活动，限制后业务可能无法正常运行，如不能正常取话单文件。

4.13.4 操作方法：

vsftp 修改/etc/vsftpd.conf # vi /etc/vsftpd.conf 确保以下行未被注释掉，如果没有该行，请添加： chroot_local_user=YES 重启网络服务 # rcxinetd restart

pure-ftp

修改/etc/pure-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf

确保以下行未被注释掉（并且值为以下值），如果没有该行，请添加： ChrootEveryone yes AllowUserFXP no AllowAnonymousFXP no 重启ftp服务

# /etc/init.d/pure-ftpd restart

34

SUSE Linux主机操作系统安全加固操作规范

由于安装时pure-ftp可能落在xinetd服务里，pure-ftpd服务由xinetd服务拉起，重启ftp服务时可能会出现失败现象，这时可以修改/etc/xinetd.d/pure-ftpd文件中的disable值为yes，然后再重启服务。

4.13.5 操作验证：

验证方法：

登录ftp后尝试切换到上级目录 预期结果：

用户登陆后只能在自己当前目录以及子目录下活动。

4.14 SUSE-AUTH-08-设置终端超时退出时间 4.14.1 要求内容： 对于具备字符交互界面的设备，应配置定时帐户自动登出。

4.14.2 通用策略： 可根据实际要求设置超时退出时间，一般情况下设置为180秒

4.14.3 风险说明：

设置shell会话超时退出时间后，用户在本次会话中没有用nohup启动的用户进程可能会随会话自动退出。

4.14.4 操作方法：

编辑文件/etc/profile #vi /etc/profile 增加如下行： TMOUT=180 export TMOUT

35