3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限
安全要求:
在设备权限配置能力内,根据用户的业务需要,配置其所需的昀小权限。 涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。 通用策略:
实施时根据业务加固策略决定对业务业务系统的哪些重要文件和目录需要加强权限。 风险说明:
1. 对 Oracle文件权限加固后,可能出现 NBU备份软件不能正常备份等现象。 2、如果业务系统目录内存在非业务用户的文件,业务用户将无法使用。 操作方法:
/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/group必须所有用户都可读, root用户可写 –rw-r—r— /etc/shadow 只有 root可读 –r-------?使用如下命令设置:
# chmod 644 /etc/passwd # chmod 644 /etc/group # chmod 400 /etc/shadow如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外) 执行命令:
# chmod -R go-w /etc
操作验证:
1. 验证方法: # ls -la /etc/passwd # ls -la /etc/group # ls -la /etc/shadow # ls -la /etc 2. 预期结果:文件和目录属性符合预期设置
3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限
安全要求:
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 通用策略:
默认 UMASK值建议设置为 027,需要根据产品安全策略设置相应 UMASK值。 风险说明:
有些产品用会使用一个帐号创建话单文件,另一个用户通过 ftp取话单,如果设置 umask值为 027,取话单会失败。这种情况下建议设置 umask值为 022。
操作方法:步骤 1设置全局默认权限:在/etc/profile末尾增加 umask 027 #vi /etc/profile umask 027
步骤 2设置单个用户默认权限:
如果用户需要使用一个不同于默认全局系统设置的 umask,可以编辑其家目录下的.profile文件或.bash_profile文件: #vi $home/.profile (或.bash_profile)在里面修改或者添加 UMASK 022 #具体值可以根据实际需要进行设置 操作验证:
1. 验证方法:尝试新建目录或文件
2. 预期结果:用户新建目录或文件属性符合预期设置
3.4.3 SEC-SUSE-AUTH-03-设置 EEPROM密码
安全要求:
设置 eeprom安全密码,硬件启动要求输入密码才能启动。 通用策略:
SUSE系统不涉及操作系统 EEPROM密码,一般通过设置硬件启动密码来满足此安全需求
目前 SUSE系统所在的硬件环境以 ATAE单板、IBM PC服务器及 HP PC服务器居多,其中 ATAE单板不能设置硬件启动密码。 风险说明:
忘记 eeprom密码将无法开机。 操作方法:
计算机开启时,按照提示进入 BIOS界面,参照主板说明进行 BIOS密码设置,注意设置密码应尽量复杂。 操作验证:
1.验证方法:
重启主机
2.预期结果:
启动硬件时需要输入密码
3.4.4 SEC-SUSE-AUTH-04-使用 SSH代替 TELNET远程登陆
安全要求:
对于使用 IP协议进行远程维护的设备,设备应配置使用 SSH等加密协议。 通用策略:
如果系统已经安装 ssh,启动 ssh服务即可。如果没有安装 ssh软件,请联系总部技术支持先安装 ssh,再启动服务。 风险说明: 无
操作方法:
步骤 1 打开 ssh服务: #chkconfig sshd on启动 ssh 服务: #/etc/init.d/sshd start
步骤 2 查看 SSH服务状态: # /etc/init.d/sshd status若为 running,即为生效。 操作验证:
1. 验证方法:查看 SSH服务状态: # /etc/init.d/sshd status 2. 预期结果:显示 SSH正在运行
3.4.5 SEC-SUSE-AUTH-05-限制 ROOT远程登录
安全要求:
1 console台的设备,限制 root用户只能从 console台本地登录。 2 远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
通用策略:
现场实施时根据业务需要选择可以切换到管理员权限的用户,集中划入 wheel组 风险说明:
1. 如果业务直接以 root身份运行,限制 root远程登录可能对业务正常使用造成影响。 2. 需要以 root直接登录进行操作的工具(如巡检工具)会失效。 3. 要求转变维护习惯。需要询问客户后确定是否实施。
4. 如果主机上没有维护帐号或者该帐号没有添加到 wheel组,限制 root远程登录后将无法远程登录主机,须到控制台上操作。 操作方法:
限制管理员帐号 Telnet登录:步骤 1 修改 /etc/pam.d/login文件 # vi /etc/pam.d/login 添加以下内容,如果已经存在请确保未被注释
auth required pam_securetty.so 步骤 2 修改 /etc/securetty文件 #vi /etc/securetty 注释掉以下内容: pts/1 pts/2 ......... ptsn
步骤 3限制管理员帐号 SSH登录:修改/etc/ssh/sshd_config文件 #vi /etc/ssh/sshd_config 将
PermitRootLogin yes 改为
PermitRootLogin no重启 sshd服务: # rcsshd restart
步骤 4限制可以通过 su切换到 root的用户: #vi /etc/pam.d/su 在文件的头部加入下面三行:
auth sufficient pam_rootok.so auth required pam_wheel.so auth required pam_unix.so把可以执行 su的账号放入 wheel组 # usermod –G 10 username 操作验证:
1. 验证方法: Root用户使用 telnet、SSH登录;普通用户使用 telnet、SSH登录;普通用户登录后使用 su切换到 root用户(需要输入管理员口令)。
2. 预期结果: root无法登录普通用户无法登录 Wheel组里的用户可以成功切换到 root用户(需要输入管理员口令)
3.4.6 SEC-SUSE-AUTH-06-限制用户 FTP登录
安全要求:
控制 FTP进程缺省访问权限,当通过 FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
通用策略:
以下用户名不允许 ftp登陆: root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4
根据实际情况添加修改不能登录的用户帐号。 风险说明:
有些局点直接使用 root用户 ftp登录取话单,禁用 root ftp登录后,可能无法正常取话单。 操作方法:
通过修改 ftpusers文件,增加不能登录的用户 # vi /etc/ftpusers 操作验证:
1. 验证方法:使用列表中的帐号登录 ftp 2. 预期结果:列表中的帐号无法登录 ftp
3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录
安全要求:
应该从应用层面进行必要的安全访问控制,比如 FTP服务器应该限制 ftp可以使用的目录范围。 通用策略:
全局生效,对所有用户有效。加固后 ftp仅能在家目录下活动。 风险说明:
用户 ftp登录后,通常并不只需要在自己的家目录下活动,限制后业务可能无法正常运行,如不能正常取话单文件。 操作方法:
步骤 1 vsftp修改/etc/vsftpd.conf # vi /etc/vsftpd.conf 确保以下行未被注释掉,如果没有该行,请添加: chroot_local_user=YES 重启网络服务 # rcxinetd restart
步骤 2 pure-ftp修改/etc/pure-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf 确保以下行未被注释掉(并且值为以下值),如果没有该行,请添加:
由于安装时 pure-ftp可能落在 xinetd服务里,pure-ftpd服务由 xinetd服务拉起,重启 ftp服务时可能会出现失败现象,这时可以修改 /etc/xinetd.d/pure-ftpd文件中的 disable值为 yes,然后再重启服务。 操作验证:
1. 验证方法:登录 ftp后尝试切换到上级目录
2. 预期结果:用户登陆后只能在自己当前目录以及子目录下活动。
3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间
要求内容:
对于具备字符交互界面的设备,应配置定时帐户自动登出。 通用策略:
可根据实际要求设置超时退出时间,一般情况下设置为 180秒 风险说明:
设置 shell会话超时退出时间后,用户在本次会话中没有用 nohup启动的用户进程可能会随会话自动退出。 操作方法:
编辑文件/etc/profile #vi /etc/profile 增加如下行:
TMOUT=180 export TMOUT
改变这项设置后,重新登录才能有效。 操作验证:
1. 验证方法:用 root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出。 2. 预期结果:若在设定时间内没有操作动作,能够自动退出,即为符合;
3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间
要求内容:
对于具备图形界面(含 WEB界面)的设备,应配置定时自动屏幕锁定。 通用策略:
如无必要,建议不要使用 GUI。 风险说明: 无
操作方法:
方案一:禁用 GUI服务设置: #/etc/init.d/xdm stop #chkconfig xdm off 方案二:自动屏幕锁定设置: 步骤 1 KDE
在屏幕保护中设置,Console对所有用户生效, Terminate对除 root外其他用户生效。 在桌面空白处单击鼠标右键,选择“configure desktop?”—>“Screen saver”,在右栏设置自动锁屏时间并选中“ Require password to stop screen saver”。 步骤 2 GNOME
在屏幕保护中设置,Console、Terminate均对除 root外其他用户生效。 在桌面菜单单击“Applications”—>“Desktop Preferences”—>“Advanced” —>“Screensaver”,在弹出的对话框中选中 “Lock Screen After ? minutes”并设置好自动锁屏时间。 操作验证:
1. 验证方法:以普通用户登录图形界面,不做任何操作
2. 预期结果:如果 GUI被禁用,则无法进入图形界面;如果 GUI启用,在设定的时间内不做任何操作,会进入屏保状态,重新