SUSE Linux 主机安全加固 适用9.0和10.0版本
目录
1 文档使用说明 ........................................................................................................... 4
1.1 适用范围 .............................................................................................................................. 4 2 实施前准备 ............................................................................................................... 4
2.2 系统检查 .............................................................................................................................. 5 2.3 业务检查 .............................................................................................................................. 5 2.4 备份 ...................................................................................................................................... 5 3 加固实施 ................................................................................................................... 7
3.1 帐号 ...................................................................................................................................... 8 3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 .................................................................. 8 3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 ................................................................. 9 3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 ........................................................................ 11
3.2 口令 .................................................................................................................................... 12 3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 ............................................................. 12 3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 ................................................................. 13 3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 ................................................. 15 3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 ................................................. 15
3.3 服务 .................................................................................................................................... 18 3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 .......................................................... 18 3.3.2 SEC-SUSE-SVC-02-禁用无用 inetd/xinetd服务 ..................................................... 19 3.3.3 SEC-SUSE-SVC-03-配置 NTP时间同步 ................................................................. 20 3.3.4 SEC-SUSE-SVC-04-停用 NFS服务 ......................................................................... 21 3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 .................................................................. 23 3.3.6 SEC-SUSE-SVC-06-修改 SNMP默认团体名 .......................................................... 25
3.4 访问控制 ............................................................................................................................ 26 3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 ........................................... 26 3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 ............................................... 28 3.4.3 SEC-SUSE-AUTH-03-设置 EEPROM密码 ............................................................. 29 3.4.4 SEC-SUSE-AUTH-04-使用 SSH代替 TELNET远程登陆 ..................................... 29 3.4.5 SEC-SUSE-AUTH-05-限制 ROOT远程登录 .......................................................... 30 3.4.6 SEC-SUSE-AUTH-06-限制用户 FTP登录 .............................................................. 32 3.4.7 SEC-SUSE-AUTH-07-限制 FTP用户登录后能访问的目录 .................................. 33 3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 ....................................................... 34 3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 ............................................... 35 3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的 IP地址范围 ................................ 36 3.4.11 SEC-SUSE-AUTH-11-设置 FTP用户登录后对文件、目录的存取权限 ............. 37 3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 ..................................... 39 3.4.13 SEC-SUSE-AUTH-13-禁止 ctrl+alt+del ................................................................. 40
3.5 日志审计 ............................................................................................................................ 40 3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 .................................................................. 40 3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 .................................................................. 41 3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 .................................................................. 43 3.5.4 SEC-SUSE-LOG-04-日志集中存放 .......................................................................... 44
3.5.5 SEC-SUSE-LOG-05-记录用户 SU命令操作 ........................................................... 46 3.5.6 SEC-SUSE-LOG-06-系统服务日志 .......................................................................... 46
3.6 登陆显示 ............................................................................................................................ 48 3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告 Banner ......................................... 48 3.6.2 SEC-SUSE-BANNER-02-设置 ssh警告 Banner ...................................................... 48 3.6.3 SEC-SUSE-BANNER-03-更改 telnet警告 Banner .................................................. 49 3.6.4 SEC-SUSE-BANNER-04-更改 ftp警告 Banner ....................................................... 50
3.7 IP协议 ................................................................................................................................. 52 3.7.1 SEC-SUSE-IP-01-禁止 ICMP重定向 ....................................................................... 52 3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 ................................................................... 53
3.8 内核参数 ............................................................................................................................ 54 3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 .......................................................... 54
3.9 补丁/软件 ........................................................................................................................... 54 3.9.1 SEC-SUSE-SW-01-安装 OS补丁 ............................................................................. 54 4 实施后验证 ............................................................................................................. 55
4.1 系统检查 ............................................................................................................................ 55 4.2 启动双机和业务 ................................................................................................................. 56 4.3 业务检查 ............................................................................................................................ 56 5 风险回退 ................................................................................................................. 56
5.1 故障信息收集: ................................................................................................................. 57 5.2 系统恢复: ......................................................................................................................... 59
1 文档使用说明
1.1 适用范围
1.适用 OS版本: SLES 9,SLES 10
SLES:SUSE Linux Enterprise Edition
2.适用人员:
一线维护工程师和安全专业服务工程师。要求使用人员熟悉 Unix命令、系统管理和维护,熟悉安全加固流程。
2 实施前准备
2.1准备工作
1.预计操作时间: 30分钟,可提前完成
2.操作人员: 华为办事处业务维护工程师、华为专业安全服务工程师或交付合作方 3.操作影响:无影响
1 ) 现网设备加固需要提前提交现网施工申请,一般要求凌晨 0:00后才能开始实施。 2 ) 加固前一定要对机器作健康检查,确认无软硬件故障、重启正常、双机切换正常和业务运行正常后,才能对主机进行加固操作。否则建议修复后再加固。
3 ) 双机加固应该严格按照如下顺序执行:双机切换-》备机重启-》备机检查-》备机加固-》备机重启-》加固后检查-》备机启动业务-》双机切换-》业务测试-》加固当前备机。
2.2 系统检查
步骤 1 执行 # dmesg查看系统硬件配置。步骤 2 执行 #more /var/log/messages检查是否有错误日志。步骤 3检查系统性能情况。 # top # vmstat 5 10 # sar 5 10 并把相关结果记录下来
2.3 业务检查
根据业务加固策略要求,检查业务运行状态,详细请参考对应产品的主机安全加固项目交付指导书。
2.4 备份(需要具体步骤及相应执行命令)
步骤 1对操作系统进行全备份可以使用 YAST工具中的系统备份功能实现。 # yast System -> System Backup
根据提示进行系统备份步骤 2对数据库进行备份 根据业务备份要求备份数据库。
步骤 3对实施过程需修改的安全配置文件进行备份加固过程中可能会修改如下文件: /etc/passwd /etc/shadow /etc/group /etc/security/pam_pwcheck.conf /etc/pam.d/passwd /etc/login.defs /etc/default/useradd /etc/pam.d/login /etc/pam.d/sshd /etc/ssh/sshd_config /etc/xinetd.d/* /etc/ntp.conf /etc/fstab /etc/exports (may no exist) /etc/snmpd.conf (SUSE 9) /etc/snmp/snmpd.conf (SUSE 10) /etc/profile
$home/.profile(或.bash_profile) #即用户家目录下的 .profile文件或者.bash_profile文件 /etc/securetty /etc/pam.d/su /etc/ftpusers /etc/vsftpd.conf /etc/pure-ftpd/pure-ftpd.conf /etc/hosts.allow /etc/hosts.deny /etc/inittab /etc/syslog.conf (SUSE 9)
/etc/syslog-ng/syslog-ng.conf (SUSE 10) /etc/motd /etc/sshbanner (may no exist) /etc/ssh/sshd_config /etc/issue /etc/issue.net /etc/sysctl.conf
备份相关系统文件: #cp –p系统文件备份文件 //其中参数-p表示拷贝文件权限。
3 加固实施
1.预计操作时间: 60分钟
2.操作人员: 华为专业安全服务工程师或交付合作方
3.操作影响:
部分策略实施可能会造成业务中断, 在双机系统中,实施时需先实施备机,确保备机没问题后,再实施主机。
4.其他约定:如果没有特殊说明,文中的操作均以 root用户完成。