SUSE Linux主机操作系统安全加固操作规范
4.3 SUSE-SVC-03-配置NTP时间同步
4.3.1 安全要求:
如果网络中存在信任的NTP服务器,应该配置系统使用NTP服务保持时间同步。
4.3.2 通用策略:
实施时根据业务加固策略确定是否需要接入ntp服务器
4.3.3 风险说明:
需要有正确的时间同步服务器支撑,否则会导致日后审计困难(尤其是双机); 业务软件的功能逻辑可能与时间强相关,时间同步可能引起逻辑紊乱;
Oracle等数据库对时间的要求也比较严格,如果主机时间往回跳,Oracle可能无法启动,逻辑备份也会失效。
4.3.4 操作方法:
如果产品本身有ntp时间同步要求的,请按照产品发布的ntp时间同步方案实施。 步骤 1 修改ntp的配置文件: # vi /etc/ntp.conf
server IP地址(提供ntp服务的机器) 步骤 2 打开服务 SUSE 9:
#chkconfig xntpd on SUSE 10:
# chkconfig ntp on 步骤 3 启动服务 SUSE 9
# /etc/rc.d/xntpd start SUSE 10
# /etc/rc.d/ntp start 步骤 4 停止服务 SUSE 9
21
SUSE Linux主机操作系统安全加固操作规范
# /etc/rc.d/xntpd stop SUSE 10
# /etc/rc.d/ntp stop
4.3.5 操作验证:
步骤 1 验证方法:
查看ntp 的配置文件:# more /etc/ntp.conf 查看ntp进程: SUSE 9:
#ps –elf | grep xntpd SUSE 10:
# ps –elf | grep ntp 查看当前时间:# date 步骤 2 预期结果:
与NTP服务器保持时间同步。 4.4 SUSE-SVC-04-停用NFS服务
4.4.1 安全要求:
NFS服务:如果没有必要,需要停止NFS服务;如果需要NFS服务,需要限制能够访问NFS服务的IP范围。
4.4.2 通用策略:
实施时根据业务加固策略确定是否能够禁用NFS服务。如果确实需要开启NFS服务,需要限制能访问本机NFS服务的客户端IP。
Suse 10 中没有nfslock服务
4.4.3 风险说明:
如果限制IP错误,NFS客户端将无法访问共享目录。需要事先确定能使用本机NFS服务的客户端及其读写权限。
22
SUSE Linux主机操作系统安全加固操作规范
4.4.4 操作方法:
4.4.4.1 需要停止NFS服务:
步骤 1 关闭NFS服务: #chkconfig nfs off #chkconfig nfsserver off #chkconfig nfsboot off #chkconfig nfslock off #/etc/init.d/nfs stop #/etc/init.d/nfsserver stop #/etc/init.d/nfsboot stop #/etc/init.d/nfslock stop 步骤 2 配置/etc/fstab文件: #vi /etc/fstab /etc/fstab的格式如下: fs_spec fs_file fs_type fs_options fs_dump fs_pass
上述格式为该文件中的六个字段的名称,如fs_type即表示文件系统类型。 注释掉里面fs_spec字段或fs_type字段中含有NFS字样的行。 步骤 3 删除NFS目录文件: #rm /etc/exports
4.4.4.2 需要开启NFS服务:
步骤 1 如果需要NFS服务,需要限制能够访问NFS服务的IP范围: 编辑/etc/exports文件: #vi /etc/exports 添加如下行:
/dir/work 192.168.1.12(ro,root_squash) 其中/dir/work为欲分享的目录;
192.168.1.12为登录此目录的主机IP(也可以是主机名),这里可以是一个IP段;
23
SUSE Linux主机操作系统安全加固操作规范
ro表示是只读模式;
root_squash表示禁止root写入该目录。
步骤 2 配置完成后执行#exportfs –a命令使改动立刻生效。
4.4.5 操作验证:
步骤 1 验证方法: 查看nfs服务是否关闭 #chkconfig nfs #chkconfig nfsserver #chkconfig nfsboot
#chkconfig nfslock(suse 10下不用检查此服务)
若nfs服务状态为开启,则查看/etc/exports文件,通过不在文件允许范围的主机访问该服务端共享的目录
步骤 2 预期结果: nfs服务为关闭状态; 若nfs服务为开启状态,通过不在/etc/exports文件允许范围的主机访问该服务端共享的目录失败。
4.5 SUSE-SVC-05-禁用无关启动服务 4.5.1 安全要求:
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
4.5.2 通用策略:
仅关闭产品确认的允许关闭的服务。
在SUSE Linux系统中以下系统服务必须启动:
auditd、cron、haldaemon、kbd、network、portmap、random、resmgr、running-kernel、syslog 建议关闭以下服务(需根据各产品线实际加固策略实施,某些服务如vsftp、pure-ftp等等关闭可能会影响业务):
Makefile、SuSEfirewall2_init、SuSEfirewall2_setup、aaeventd、acpid、alsasound、apache2、atd、autofs、autoyast、boot.apparmor、boot.evms、boot.multipath、boot.sched、boot.scsidev、chargen、chargen-udp、cups、cups-lpd、cupsrenice、daytime、daytime-udp、drbd、earlykbd、
24
SUSE Linux主机操作系统安全加固操作规范
echo、echo-udp、esound、evms、fam、gpm、gssd、heartbeat、idmapd、ipmi、ipvsadm、iscsitarget、joystick、ksysguardd、ldap、ldirectord、lm_sensors、mdadmd、microcode、multipathd、netstat、nfsserver、novell-zmd、nscd、ntp、o2cb、ocfs2、open-iscsi、openct、oracle、owcimomd、pcscd、postfix、powerd、powersaved、pure-ftpd、rexec、rlogin、rpasswdd、rpmconfigcheck、rsh、rsync、rsyncd、sapinit、saslauthd、servers、services、skeleton.compat、slurpd、smartd、smbfs、smpppd、snmpd、splash、splash_early、suseRegister、svcgssd、systat、time、time-udp、vsftpd、xend、xendomains、xfs、ypbind
4.5.3 风险说明:
? 第三方系统可能需要使用这里禁用的服务。
? Unix/Linux上的很多软件对系统服务具有依赖性,服务之间也具有依赖性。关闭服务可能造成软件或者服务不能正常运行。
? 禁用服务可能影响以后的业务升级和新业务的上线。
4.5.4 操作方法:
步骤 1 服务关闭方法: # chkconfig 服务名 off 步骤 2 停止系统启动服务: 将/etc/rcn.d下的不需要启动的服务改名成不以S打头(其中n=0~6)。
4.5.5 操作验证:
步骤 1 验证方法: # chkconfig -l 步骤 2 预期结果:
仅有允许的服务处于开启状态
4.6 SUSE-SVC-06-修改SNMP默认团体名
4.6.1 安全要求:
如果没有必要,需要停止SNMP服务;如果确实需要使用NFS服务,需要修改SNMP Community。
4.6.2 通用策略:
网管软件可能使用snmp协议获取网元信息,I2000网管的UOA组件实现了snmp代理功能,不使
25