SUSE Linux主机操作系统安全加固操作规范
用系统自带的snmpd服务,这种情况只需要停止系统snmpd服务即可,关闭方法参照3.3.5节“SEC-SUSE-SVC-05-禁用无关启动服务”。在实施时需要先了解现网是否使用了SUSE系统自带的snmpd服务。
修改默认团体名后,请务必同步修改snmp客户端上的对应信息,否则snmp客户端将无法连接snmpd服务。
4.6.3 风险说明:
修改默认团体名后,请务必同步修改snmp客户端如I2000上的对应信息,否则snmp客户端将无法连接snmpd服务。
4.6.4 操作方法:
SUSE 9:
修改snmp配置文件: #vi /etc/snmpd.conf 找到以rocommunity或rwcommunity开头的行,如: rocommunity public 127.0.0.1 其中的第二个字段(public)即为团体名,用新的团体名称替换该字段: rocommunity community_name 127.0.0.1 重启snmp服务: #rcsnmpd restart
SUSE 10:
修改snmp配置文件: #vi /etc/snmp/snmpd.conf
找到以rocommunity或rwcommunity开头的行,如: rocommunity public 127.0.0.1
其中的第二个字段(public)即为团体名,用新的团体名称替换该字段: rocommunity community_name 127.0.0.1
26
SUSE Linux主机操作系统安全加固操作规范
重启snmp服务: #rcsnmpd restart 操作验证: 验证方法:
查看snmpd服务状态: #chkconfig snmpd
若snmpd服务状态为开启状态,则检查其团体名称是否修改: snmp客户端不修改对应团体名,重新连接snmpd服务; snmp客户端修改对应的团体名,重新连接snmpd服务。 预期结果:
Snmpd服务状态为off 若Snmpd服务状态为on:
snmp客户端不修改对应团体名,重新连接snmpd服务,无法查询系统信息; snmp客户端修改对应的团体名,重新连接snmpd服务,能够正常查询系统信息。 访问控制
4.7 SUSE-AUTH-01-限制关键文件和目录访问权限
4.7.1 安全要求:
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。
4.7.2 通用策略:
实施时根据业务加固策略决定对业务业务系统的哪些重要文件和目录需要加强权限。
4.7.3 风险说明:
对Oracle文件权限加固后,可能出现NBU备份软件不能正常备份等现象。 2、如果业务系统目录内存在非业务用户的文件,业务用户将无法使用。
4.7.4 操作方法:
/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r—
27
SUSE Linux主机操作系统安全加固操作规范
/etc/group 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- 使用如下命令设置: # chmod 644 /etc/passwd # chmod 644 /etc/group # chmod 400 /etc/shadow
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外) 执行命令:
# chmod -R go-w /etc
4.7.5 操作验证:
验证方法:
# ls -la /etc/passwd # ls -la /etc/group # ls -la /etc/shadow # ls -la /etc 预期结果:
文件和目录属性符合预期设置
4.8 SUSE-AUTH-02-设置用户文件默认访问权限
4.8.1 安全要求:
控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
4.8.2 通用策略:
默认UMASK值建议设置为027,需要根据产品安全策略设置相应UMASK值。
4.8.3 风险说明:
有些产品用会使用一个帐号创建话单文件,另一个用户通过ftp取话单,如果设置umask值为027,取话单会失败。这种情况下建议设置umask值为022。
28
SUSE Linux主机操作系统安全加固操作规范
4.8.4 操作方法:
设置全局默认权限:
在/etc/profile末尾增加umask 027 #vi /etc/profile umask 027
设置单个用户默认权限:
如果用户需要使用一个不同于默认全局系统设置的umask,可以编辑其家目录下的.profile文件或.bash_profile文件:
#vi $home/.profile (或.bash_profile)
在里面修改或者添加UMASK 022 #具体值可以根据实际需要进行设置
4.8.5 操作验证:
验证方法: 尝试新建目录或文件 预期结果:
用户新建目录或文件属性符合预期设置
4.9 SUSE-AUTH-03-设置EEPROM密码 4.9.1 安全要求:
设置eeprom 安全密码,硬件启动要求输入密码才能启动。
4.9.2 通用策略:
SUSE系统不涉及操作系统EEPROM密码,一般通过设置硬件启动密码来满足此安全需求
目前SUSE系统所在的硬件环境以ATAE单板、IBM PC服务器及HP PC服务器居多,其中ATAE单板不能设置硬件启动密码。
4.9.3 风险说明:
忘记eeprom密码将无法开机。
29
SUSE Linux主机操作系统安全加固操作规范
4.9.4 操作方法:
计算机开启时,按照提示进入BIOS界面,参照主板说明进行BIOS密码设置,注意设置密码应尽量复杂。
4.9.5 操作验证:
验证方法: 重启主机 预期结果:
启动硬件时需要输入密码
4.10 SUSE-AUTH-04-使用SSH代替TELNET远程登陆
4.10.1 安全要求:
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。 4.10.2 通用策略: 如果系统已经安装ssh,启动ssh服务即可。如果没有安装ssh软件,请联系总部技术支持先安装ssh,再启动服务。
4.10.3 风险说明:
无
4.10.4 操作方法:
打开ssh服务: #chkconfig sshd on 启动ssh 服务:
#/etc/init.d/sshd start 查看SSH服务状态: # /etc/init.d/sshd status 若为running,即为生效。
30