SUSE Linux主机操作系统安全加固操作规范
改变这项设置后,重新登录才能有效。
4.14.5 操作验证:
验证方法:
用root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出。 预期结果:
若在设定时间内没有操作动作,能够自动退出,即为符合;
4.15 SUSE-AUTH-09-设置图形界面超时退出时间
4.15.1 要求内容:
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定。
4.15.2 通用策略:
如无必要,建议不要使用GUI。 4.15.3 风险说明: 无
4.15.4 操作方法: 方案一:禁用GUI服务设置: #/etc/init.d/xdm stop #chkconfig xdm off 方案二:自动屏幕锁定设置: KDE
在屏幕保护中设置,Console对所有用户生效,Terminate对除root外其他用户生效。 在桌面空白处单击鼠标右键,选择“configure desktop?”—>“Screen saver”,在右栏设置自动锁屏时间并选中“Require password to stop screen saver”。
GNOME
在屏幕保护中设置,Console、Terminate均对除root外其他用户生效。
在桌面菜单单击“Applications”—>“Desktop Preferences”—>“Advanced”—>“Screensaver”,
36
SUSE Linux主机操作系统安全加固操作规范
在弹出的对话框中选中“Lock Screen After ? minutes”并设置好自动锁屏时间。
4.15.5 操作验证:
验证方法:
以普通用户登录图形界面,不做任何操作 预期结果:
如果GUI被禁用,则无法进入图形界面;
如果GUI启用,在设定的时间内不做任何操作,会进入屏保状态,重新登入时需要输入口令。
4.16 SUSE-AUTH-10-限制允许登录到设备的IP地址范围
4.16.1 安全要求:
对于通过IP协议进行远程维护的设备,设备应支持控制访问该设备特定服务的IP地址范围。
4.16.2 通用策略: 使用tcpd程序可以控制以下服务的IP地址范围:
telnet, ssh, ftp, exec, rsh, rlogin, tftp, finger, talk, comsat 需研发给出网元访问关系。 4.16.3 风险说明:
容易造成网络连通性问题,建议通过硬件防火墙来统一控制。 维护比较麻烦,需询问客户后确定是否实施。 操作方法:
编辑文件/etc/hosts.allow,设置允许访问的范围 # vi /etc/hosts.allow 增加一行
all:192.168.4.44 : ALLOW #允许单个IP;
sshd:192.168.1. : ALLOW #允许192.168.1的整个网段 in.telnetd : ALL : ALLOW #允许所有
37
SUSE Linux主机操作系统安全加固操作规范
编辑文件/etc/hosts.deny,设置拒绝访问的范围 # vi /etc/hosts.deny 增加一行 ALL : ALL
4.16.4 操作验证:
验证方法:
查看/etc/hosts.allow和/etc/hosts.deny两个文件 使用受限制的IP访问 预期结果:
受限制的IP无法访问上述服务
4.17 SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取
权限 4.17.1 安全要求: 设置ftp用户登录后对文件目录的存取权限
4.17.2 通用策略: 全局生效,对所有用户有效。
如果以下不设置,默认情况下vsftp上传之后文件的权限是600,目录权限是700。
4.17.3 风险说明:
无
4.17.4 操作方法:
vsftp
修改/etc/vsftpd.conf # vi /etc/vsftpd.conf
确保以下行未被注释掉,如果没有该行,请添加: write_enable=YES //允许上传
38
SUSE Linux主机操作系统安全加固操作规范
ls_recurse_enable=YES
local_umask=022 //设置用户上传文件的属性为755 anon_umask=022 //匿名用户上传文件(包括目录)的 umask 重启网络服务 # rcxinetd restart pure-ftp
修改/etc/pure-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf
确保以下行未被注释掉,如果没有该行,请添加: Umask 177:077 重启ftp服务
#/etc/init.d/pure-ftpd restart
由于安装时pure-ftp可能落在xinetd服务里,pure-ftpd服务由xinetd服务拉起,重启ftp服务时可能会出现失败现象,这时可以修改/etc/xinetd.d/pure-ftpd文件中的disable值为yes,然后再重启服务。
文件创建或者上传时的权限默认去除了可执行权限。即如果上面的UMASK值设置为022,实际创建或者上传的文件权限为644。
4.17.5 操作验证:
验证方法: 登录FTP后上传文件
39
SUSE Linux主机操作系统安全加固操作规范
预期结果:
用户行为受到控制,文件权限符合预期设置。
4.18 SUSE-AUTH-12-取消所有文件“系统文件”属性
4.18.1 安全要求:
去掉所有文件“系统文件”属性,防止用户滥用及提升权限的可能性
4.18.2 通用策略:
如无特殊需求,建议取消文件的SUID、SGID属性。
改变文件的SUID、SGID属性前,先备份该文件(带权限): # cp -p /dir/filename /dir/filename.bak 4.18.3 风险说明: 某些文件的执行需要使用属主或属组权限,如果去除,可能会造成对执行结果有影响甚至影响业务,需与客户沟通确认后执行。 4.18.4 操作方法:
找出系统中所有含有“s”属性的文件,把不必要的“s”属性去掉,或者把不用的直接删除。 # find / -type f \\( -perm -04000 -o -perm -02000 \\) -exec ls -lg {} \\; # chmod a-s filename
4.18.5 操作验证:
验证方法:
再次使用以下命令查找含有“s”属性的文件
# find / -type f \\( -perm -04000 -o -perm -02000 \\) -exec ls -lg {} \\; 预期结果:
无法再次找到含有“s”属性的文件
40