SUSE Linux主机操作系统安全加固操作规范
4.19 SUSE-AUTH-13-禁止ctrl+alt+del
4.19.1 安全要求:
禁止ctrl+alt+del,防止非法重新启动服务器。
4.19.2 通用策略:
无
4.19.3 风险说明:
无
4.19.4 操作方法:
# vi /etc/inittab 将以下行
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now 修改为:
ca::ctrlaltdel:/bin/true 4.19.5 操作验证: 验证方法:
按键盘ctrl+alt+del 预期结果: 服务器没有任何反应 日志审计
4.20 SUSE-LOG-01-记录用户登录信息
4.20.1 安全要求:
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功、登录时间、以及远程登录时、用户使用的IP地址
41
SUSE Linux主机操作系统安全加固操作规范
4.20.2 通用策略:
无
4.20.3 风险说明:
无 操作方法:
编辑/etc/login.defs: #vi /etc/login.defs 修改LASTLOG_ENAB的属性: LASTLOG_ENAB yes
4.20.4 操作验证:
验证方法:
使用last命令察看登陆日志 预期结果: # last
root :0/10.164.10 10.164.104.73 Fri Feb 20 14:29 - 16:53 (02:24) root 10.164.104.7 10.164.104.73 Fri Feb 20 14:29 - 16:53 (02:23) root pts/3 Fri Feb 20 14:21 - 14:28 (00:06) rokay pts/3 10.164.104.73 Fri Feb 20 14:16 - 14:19 (00:03)
4.21 SUSE-LOG-02-开启系统记帐功能
4.21.1 安全要求:
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号,操作时间,操作内容以及操作结果
4.21.2 通用策略:
系统记帐可能存在影响性能问题,建议根据现场情况,征求局方意见后再实施此操作。
42
SUSE Linux主机操作系统安全加固操作规范
4.21.3 风险说明:
用户操作比较频繁,或者系统持续执行shell脚本时,记帐功能会产生大量日志。要注意监控磁盘可用空间,及时备份清理记帐日志文件。
对维护有要求,需询问客户后确定是否实施。
4.21.4 操作方法:
通过设置日志文件可以对每个用户的每一条命令进行纪录,这一功能默认是不开放的,为了打开它,需要执行/usr/lib/acct目录下的accton文件,格式如下
#/usr/lib/acct/accton /var/adm/pact 开启acct服务: #chkconfig acct on
执行读取命令#lastcomm [user name] 注:
如果系统提示“lastcomm: command not found”,请安装acct软件包,可以使用YAST安装,系统盘已经包含此软件包。
如果系统提示找不到/usr/lib/acct/accton文件,可以执行如下命令: #/usr/sbin/accton /var/adm/pacct
如果系统提示找不到/var/adm/pacct文件,可以自行创建该文件,然后执行上述命令。
4.21.5 操作验证:
验证方法:
# lastcomm [user name] 预期结果:
能够显示出包含配置内容中所要求的全部内容
43
SUSE Linux主机操作系统安全加固操作规范
4.22 SUSE-LOG-03-记录系统安全事件
4.22.1 安全要求:
设备应配置日志功能,记录对与设备相关的安全事件
4.22.2 通用策略:
Linux使用的syslog守护进程主要有两种,syslog和syslog-ng,SLES9默认使用syslog服务,SLES10默认使用syslog-ng服务。
4.22.3 风险说明:
增加安全日志后,日志将会大大增加。要注意监控磁盘可用空间,及时备份清理安全日志文件。 对维护有要求,需询问客户后确定是否实施
4.22.4 操作方法: syslog #vi /etc/syslog.conf 添加以下行:
*.err /var/log/errors authpriv.info /var/log/authpriv_info *.info /var/log/info auth.none /var/log/auth_none 重启syslog服务: # rcsyslog restart
syslog-ng
# vi /etc/syslog-ng/syslog-ng.conf 添加以下行:
destination d_errors { file(\filter f_errors { level(err); };
log { source(s_sys); filter(f_errors); destination(d_errors); };
44
SUSE Linux主机操作系统安全加固操作规范
destination d_authpriv { file(\filter f_authpriv { level(info) and facility(authpriv); }; log { source(src); filter(f_authpriv); destination(d_authpriv); };
destination d_auth { file(\filter f_auth { level(none) and facility(auth); }; log { source(src); filter(f_auth); destination(d_auth); };
destination d_info { file(\filter f_info { level(info); };
log { source(src); filter(f_info); destination(d_info); };
重启syslog-ng服务 # rcsyslog restart
其中log { source(s_sys); filter(f_errors); destination(d_errors); };中“s_sys”视其源不同可能会为“src”,配置时需注意。
4.22.5 操作验证:
验证方法:
查看/var/log/errors,/var/log/messages #more /var/log/errors #more /var/log/authpriv_info #more /var/log/info #more /var/log/auth_none 预期结果:
记录有需要的设备相关的安全事件
45