SUSE Linux主机操作系统安全加固操作规范
4.22.3 风险说明: ......................................................................................................... 44 4.22.4 操作方法: ......................................................................................................... 44 4.22.5 操作验证: ......................................................................................................... 45 4.23 SUSE-LOG-04-日志集中存放 ....................................................................................... 46
4.23.1 安全要求: ......................................................................................................... 46 4.23.2 通用策略: ......................................................................................................... 46 4.23.3 风险说明: ......................................................................................................... 46 4.23.4 操作方法: ......................................................................................................... 46 4.23.5 操作验证: ......................................................................................................... 47 4.24 SUSE-LOG-05-记录用户SU命令操作 ........................................................................ 47
4.24.1 安全要求: ......................................................................................................... 47 4.24.2 通用策略: ......................................................................................................... 47 4.24.3 风险说明: ......................................................................................................... 47 4.24.4 操作方法: ......................................................................................................... 47 4.24.5 操作验证: ......................................................................................................... 47 4.25 SUSE-LOG-06-系统服务日志 ....................................................................................... 48
4.25.1 安全要求: ......................................................................................................... 48 4.25.2 通用策略: ......................................................................................................... 48 4.25.3 风险说明: ......................................................................................................... 48 4.25.4 操作方法: ......................................................................................................... 48 4.25.5 操作验证: ......................................................................................................... 49 4.26 SUSE-BANNER-01-设置登录成功后警告Banner ...................................................... 49
4.26.1 安全要求: ......................................................................................................... 49 4.26.2 通用策略: ......................................................................................................... 49 4.26.3 风险说明: ......................................................................................................... 49 4.26.4 操作方法: ......................................................................................................... 49 4.26.5 操作验证: ......................................................................................................... 49 4.27 SUSE-BANNER-02-设置ssh警告Banner ................................................................... 50
4.27.1 安全要求: ......................................................................................................... 50 4.27.2 通用策略: ......................................................................................................... 50 4.27.3 风险说明: ......................................................................................................... 50 4.27.4 操作方法: ......................................................................................................... 50 4.27.5 操作验证: ......................................................................................................... 50 4.28 SUSE-BANNER-03-更改telnet警告Banner ............................................................... 51
4.28.1 安全要求: ......................................................................................................... 51 4.28.2 通用策略: ......................................................................................................... 51 4.28.3 风险说明: ......................................................................................................... 51 4.28.4 操作方法: ......................................................................................................... 51 4.28.5 操作验证: ......................................................................................................... 51 4.29 SUSE-BANNER-04-更改ftp警告Banner .................................................................... 52
4.29.1 安全要求: ......................................................................................................... 52 4.29.2 通用策略: ......................................................................................................... 52 4.29.3 风险说明; ......................................................................................................... 52 4.29.4 操作方法: ......................................................................................................... 52
6
SUSE Linux主机操作系统安全加固操作规范
4.29.5 操作验证: ......................................................................................................... 53 4.30 SUSE-IP-01-禁止ICMP重定向 .................................................................................... 53
4.30.1 安全要求: ......................................................................................................... 53 4.30.2 通用策略: ......................................................................................................... 53 4.30.3 风险说明: ......................................................................................................... 53 4.30.4 操作方法: ......................................................................................................... 53 4.30.5 操作验证: ......................................................................................................... 54 4.31 SUSE-IP-02-关闭网络数据包转发 ............................................................................... 54
4.31.1 安全要求: ......................................................................................................... 54 4.31.2 通用策略: ......................................................................................................... 54 4.31.3 风险说明: ......................................................................................................... 54 4.31.4 操作方法: ......................................................................................................... 54 4.31.5 操作验证: ......................................................................................................... 55 4.32 SUSE-KERNEL-01-防止堆栈缓冲溢出 ....................................................................... 55
4.32.1 安全要求: ......................................................................................................... 55 4.32.2 通用策略: ......................................................................................................... 55 4.32.3 风险说明: ......................................................................................................... 55 4.32.4 操作方法: ......................................................................................................... 55 4.32.5 操作验证: ......................................................................................................... 55 4.33 SUSE-SW-01-安装OS补丁 .......................................................................................... 56 4.33.1 安全要求: ......................................................................................................... 56 4.33.2 通用策略: ......................................................................................................... 56 4.33.3 风险说明: ......................................................................................................... 56 4.33.4 操作方法: ......................................................................................................... 56 4.33.5 操作验证: ......................................................................................................... 56 4.34 端口及服务 .................................................................................................................... 61 7
SUSE Linux主机操作系统安全加固操作规范
1
文档使用说明
1.1 适用范围
本文档是SLES 9,SLES 10操作系统的对于SLES 9,SLES 10系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求。对系统的安全配置审计、加固操作起到指导性作用。
1.2 适用人员
一线维护工程师和安全专业服务工程师。要求使用人员熟悉Unix命令、系统管理和维护,熟悉安全加固流程。
2 的账号共享。
帐号 2.1 SUSE-ACCT-01-设置专用维护帐号
2.1.1 安全要求:
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用
2.1.2 通用策略:
需要按维护人员角色新增维护帐号,利用工号等唯一标志做识别,需询问客户意见。通常华为业务系统上需新增两个华为方维护帐号:maintain和admin_hw。
2.1.3 风险说明:
无
8
SUSE Linux主机操作系统安全加固操作规范
2.1.4 操作方法:
步骤 1 创建帐号
#useradd [-d homedir] [-G group,...] [-g gid] [-m] [-p password] [-u uid] [-s shell] account
参数说明:
d表示帐号主目录
G表示帐号所属组的列表 g表示帐号主所属组ID
m表示帐号组目录不存在时是否创建 p表示密码 u表示帐号ID s表示Shell类型
步骤 2 设置密码 #passwd account
步骤 3 修改权限 # chmod 755 homedir
其中755为设置的权限,可根据实际情况设置相应的权限,homedir是要更改权限的目录
步骤 4 修改帐号
# usermod [-d homedir] [-G group,...] [-g gid] [-m] [-p password] [-u uid] [-s shell] [-L] [-U] account 参数说明: d表示帐号主目录 G表示帐号所属组的列表 g表示帐号主所属组ID
m表示帐号组目录改变时是否移动原目录中文件 p表示密码 u表示帐号ID s表示Shell类型 L表示锁定帐号 U表示解除锁定帐号 步骤 5 删除帐号
# userdel [-r[-f]] account 参数说明:
r表示是否删除帐号主目录
f表示当帐号主目录存在其他帐号所有文件时是否强制删除
9
SUSE Linux主机操作系统安全加固操作规范
2.1.5 操作验证:
步骤 1 验证方法: # more /etc/passwd 步骤 2 预期结果:
不同用户使用各自不同帐号。
2.2 SUSE-ACCT-02-锁定/删除无用帐号
2.2.1 安全要求:
锁定/删除与设备运行、维护等工作无关的账号。 被锁定的账号无法使用交互式登陆。
2.2.2 通用策略:
根据业务加固策略确定系统账号、业务账号的锁定/删除操作,根据客户意见确定维护账号的锁定/删除操作。
建议锁定的系统账号:bin daemon ftp nobody nobody4 lp games named at irc mysql ldap postfix postgres wwwrun mail pop snort squid mail man news uucp
在实际加固过程中,对于系统帐号,建议只锁定,不删除。 2.2.3 风险说明:
? 可能有第三方系统使用了被锁定的帐号,造成第三方系统不可用,请在实施方案制定时,收集第三方系统对账号加固的要求。
? 锁定的用户不能直接登录系统,需经管理员帐号解锁后方可登录。
2.2.4 操作方法:
步骤 1 锁定用户: # passwd -l username
步骤 2 更改帐号默认登陆SHELL: #usermod –s /bin/false username 步骤 3 删除用户:
# userdel [-r[-f]] account
10