auth required pam_tally.so no_magic_root account required pam_tally.so deny=6 no_magic_root
SUSE 10:修改/etc/pam.d/login文件,添加如下两行: #vi /etc/pam.d/login auth required pam_tally.so deny=6 account required pam_tally.so
以任一普通账号通过错误的口令进行系统登录 6次以上; 2.预期结果:帐户被锁定,需要联系系统管理员解锁
3.3 服务
3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口安全要求:
设备应支持列出对外开放的 IP服务端口和设备内部进程的对应表。 通用策略:
此项是对操作系统本身的要求,SUSE系统均满足此项要求。 风险说明: 无
操作方法:步骤 1查看已使用服务列表: # chkconfig --list
步骤 2查看开放的端口列表: # netstat -an
步骤 3服务端口和进程对应表: # more /etc/services 操作验证:
1.验证方法:步骤 1 # chkconfig - - list步骤 2 # netstat -an 步骤 3 # more /etc/services 2.预期结果:
步骤 1能够列出开放的服务列表步骤 2能够列出开放的端口列表步骤 3可以看到详细的服务端口和进程对应表
3.3.2 SEC-SUSE-SVC-02-禁用无用 inetd/xinetd服务
安全要求:
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。 通用策略:
仅关闭产品确认的可以关闭的服务。
建议关闭的服务(需要根据各产品线加固策略决定是否关闭): chargen、chargen-udp、cups-lpd、cvs、daytime、daytime-udp、echo、echo-udp、 fam、netstat、rsync、servers、services、systat、time、time-udp请根据需要开启相应的服务 风险说明:
1. 第三方系统可能需要使用这里禁用的服务。
2. Unix/Linux上的很多软件对系统服务具有依赖性,服务之间也具有依赖性。关闭服务可能造成软件或者服务不能正常运行。
3. 禁用服务可能影响以后的业务升级和新业务的上线。
操作方法:步骤 1 关闭 inetd服务 # chkconfig服务名 off
步骤 2 关闭 xinetd服务修改其配置文件,在其属性中修改 Disable 为 yes,如没有,请添加 #vi /etc/xinetd.d/服务名
disable = yes 步骤 3 重启 inetd服务 # /etc/init.d/xinetd restart 操作验证:
1. 验证方法: # chkconfig -l
2. 预期结果:仅有允许的服务处于开启状态
3.3.3 SEC-SUSE-SVC-03-配置 NTP时间同步
安全要求:
如果网络中存在信任的 NTP服务器,应该配置系统使用 NTP服务保持时间同步。 通用策略:
实施时根据业务加固策略确定是否需要接入 ntp服务器 风险说明:
1. 需要有正确的时间同步服务器支撑,否则会导致日后审计困难(尤其是双机);
2. 业务软件的功能逻辑可能与时间强相关,时间同步可能引起逻辑紊乱;
3. Oracle等数据库对时间的要求也比较严格,如果主机时间往回跳, Oracle可能无法启动,逻辑备份也会失效。
操作方法:
如果产品本身有 ntp时间同步要求的,请按照产品发布的 ntp时间同步方案实施。
步骤 1 修改 ntp的配置文件: # vi /etc/ntp.conf server IP地址(提供 ntp服务的机器) 步骤 2打开服务 SUSE 9: #chkconfig xntpd on SUSE 10: # chkconfig ntp on 步骤 3启动服务
SUSE 9 # /etc/rc.d/xntpd start SUSE 10 # /etc/rc.d/ntp start 步骤 4停止服务
SUSE 9 # /etc/rc.d/xntpd stop SUSE 10 # /etc/rc.d/ntp stop
操作验证:
1. 验证方法:查看 ntp 的配置文件: # more /etc/ntp.conf查看 ntp进程: SUSE 9: #ps –elf | grep xntpd SUSE 10: # ps –elf | grep ntp查看当前时间:# date 2. 预期结果:与 NTP服务器保持时间同步。
3.3.4 SEC-SUSE-SVC-04-停用 NFS服务
安全要求: NFS服务:如果没有必要,需要停止 NFS服务;如果需要 NFS服务,需要限制能够访问 NFS服务的 IP范围。 通用策略:
实施时根据业务加固策略确定是否能够禁用 NFS服务。如果确实需要开启 NFS服务,需要限制能访问本机 NFS服务的客户端 IP。
Suse 10 中没有 nfslock服务 风险说明:
如果限制 IP错误,NFS客户端将无法访问共享目录。需要事先确定能使用本机 NFS服务的客户端及其读写权限。 操作方法:
1.需要停止 NFS服务:步骤 2 关闭 NFS服务: #chkconfig nfs off #chkconfig nfsserver off #chkconfig nfsboot off #chkconfig nfslock off #/etc/init.d/nfs stop #/etc/init.d/nfsserver stop #/etc/init.d/nfsboot stop #/etc/init.d/nfslock stop
步骤 3 配置 /etc/fstab文件: #vi /etc/fstab /etc/fstab的格式如下: fs_spec fs_file fs_type fs_options fs_dump fs_pass
上述格式为该文件中的六个字段的名称,如 fs_type即表示文件系统类型。注释掉里面 fs_spec字段或 fs_type字段中含有 NFS字样的行。步骤 4 删除 NFS目录文件: #rm /etc/exports
2.需要开启 NFS服务:
步骤 1如果需要 NFS服务,需要限制能够访问 NFS服务的 IP范围:编辑/etc/exports文件: #vi /etc/exports
添加如下行: /dir/work 192.168.1.12(ro,root_squash)其中/dir/work为欲分享的目录; 192.168.1.12为登录此目录的主机 IP(也可以是主机名),这里可以是一个 IP段; ro表示是只读模式; root_squash表示禁止 root写入该目录。步骤 2配置完成后执行#exportfs –a命令使改动立刻生效。
步骤 3通过限制允许访问 NFS服务端的主机 IP来限制对 NFS的访问,具体请参照 3.4.10节“SEC-SUSE-AUTH-10-限制允许登录到设备的 IP地址”。 操作验证:
1.验证方法:步骤 1 查看 nfs服务是否关闭 #chkconfig nfs
#chkconfig nfsserver #chkconfig nfsboot #chkconfig nfslock(suse 10下不用检查此服务)
步骤 2 若 nfs服务状态为开启,则查看 /etc/exports文件,通过不在文件允许范围的主机访问该服务端共享的目录
2.预期结果:步骤 1 nfs服务为关闭状态;步骤 2 若 nfs服务为开启状态,通过不在 /etc/exports文件允许范围的主机访问该 服务端共享的目录失败。
3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务
安全要求:
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。 通用策略:
仅关闭产品确认的允许关闭的服务。
在 SUSE Linux系统中以下系统服务必须启动: auditd、cron、haldaemon、kbd、network、portmap、random、resmgr、 running-kernel、syslog 建议关闭以下服务(需根据各产品线实际加固策略实施,某些服务如 vsftp、pure-ftp等等关闭可能会影响业务):
Makefile、SuSEfirewall2_init、SuSEfirewall2_setup、aaeventd、acpid、 alsasound、apache2、atd、autofs、autoyast、boot.apparmor、boot.evms、 boot.multipath、boot.sched、boot.scsidev、chargen、chargen-udp、cups、 cups-lpd、cupsrenice、daytime、daytime-udp、drbd、earlykbd、echo、echo-udp、 esound、evms、fam、gpm、gssd、heartbeat、idmapd、ipmi、ipvsadm、iscsitarget、 joystick、ksysguardd、ldap、ldirectord、lm_sensors、mdadmd、microcode、 multipathd、netstat、nfsserver、novell-zmd、nscd、ntp、o2cb、ocfs2、open-iscsi、 openct、oracle、owcimomd、pcscd、postfix、powerd、powersaved、pure-ftpd、 rexec、rlogin、rpasswdd、rpmconfigcheck、rsh、rsync、rsyncd、sapinit、 saslauthd、servers、services、skeleton.compat、slurpd、smartd、smbfs、smpppd、 snmpd、splash、splash_early、suseRegister、svcgssd、systat、time、time-udp、 vsftpd、xend、xendomains、xfs、ypbind 风险说明:
1. 第三方系统可能需要使用这里禁用的服务。
2. Unix/Linux上的很多软件对系统服务具有依赖性,服务之间也具有依赖性。关闭服务可能造成软件或者服务不能正常运行。
3. 禁用服务可能影响以后的业务升级和新业务的上线。
操作方法:
步骤 1服务关闭方法: # chkconfig服务名 off
步骤 2停止系统启动服务:
将/etc/rcn.d下的不需要启动的服务改名成不以 S打头(其中 n=0~6)。 操作验证: 1 验证方法: 2 预期结果:
# chkconfig -l
仅有允许的服务处于开启状态
3.3.6 SEC-SUSE-SVC-06-修改 SNMP默认团体名 安全要求:
如果没有必要,需要停止 SNMP服务;如果确实需要使用 NFS服务,需要修改 SNMP
Community。 通用策略:
网管软件可能使用 snmp协议获取网元信息,I2000网管的 UOA组件实现了 snmp代理功能,不使用系统自带的 snmpd服务,这种情况只需要停止系统 snmpd服务即可,关闭方法参照 3.3.5节“SEC-SUSE-SVC-05-禁用无关启动服务”。在实施时需要先了解现网是否使用了 SUSE系统自带的 snmpd服务。
修改默认团体名后,请务必同步修改 snmp客户端上的对应信息,否则 snmp客户端将无法连接 snmpd服务。 风险说明:
修改默认团体名后,请务必同步修改 snmp客户端如 I2000上的对应信息,否则 snmp客户端将无法连接 snmpd服务。 操作方法: SUSE 9:
步骤 1 修改 snmp配置文件: #vi /etc/snmpd.conf找到以 rocommunity或 rwcommunity开头的行,如: rocommunity public 127.0.0.1其中的第二个字段(public)即为团体名,用新的团体名称替换该字段: rocommunity community_name 127.0.0.1 步骤 2 重启 snmp服务: #rcsnmpd restart SUSE 10:
步骤 1 修改 snmp配置文件: #vi /etc/snmp/snmpd.conf找到以 rocommunity或 rwcommunity开头的行,如: rocommunity public 127.0.0.1其中的第二个字段(public)即为团体名,用新的团体名称替换该字段: rocommunity community_name 127.0.0.1 步骤 2 重启 snmp服务: #rcsnmpd restart 操作验证:
1.验证方法:步骤 1 查看 snmpd服务状态: #chkconfig snmpd
步骤 2 若 snmpd服务状态为开启状态,则检查其团体名称是否修改: snmp客户端不修改对应团体名,重新连接 snmpd服务; snmp客户端修改对应的团体名,重新连接 snmpd服务。
2.预期结果:步骤 1 Snmpd服务状态为 off 步骤 2 若 Snmpd服务状态为 on:
snmp客户端不修改对应团体名,重新连接 snmpd服务,无法查询系统信
息; snmp客户端修改对应的团体名,重新连接 snmpd服务,能够正常查询系统信息。
3.4 访问控制