登入时需要输入口令。
3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的 IP地址范围
安全要求:
对于通过 IP协议进行远程维护的设备,设备应支持控制访问该设备特定服务的 IP地址范围。 通用策略:
使用 tcpd程序可以控制以下服务的 IP地址范围: telnet, ssh, ftp, exec, rsh, rlogin, tftp, finger, talk, comsat
需研发给出网元访问关系。 风险说明:
1. 容易造成网络连通性问题,建议通过硬件防火墙来统一控制。 2. 维护比较麻烦,需询问客户后确定是否实施。
操作方法:
编辑文件/etc/hosts.allow,设置允许访问的范围 # vi /etc/hosts.allow
增加一行
1. 验证方法:查看/etc/hosts.allow和/etc/hosts.deny两个文件使用受限制的 IP访问 2. 预期结果:受限制的 IP无法访问上述服务
3.4.11 SEC-SUSE-AUTH-11-设置 FTP用户登录后对文件、目录的存取权限
安全要求:
设置 ftp用户登录后对文件目录的存取权限 通用策略:
全局生效,对所有用户有效。
如果以下不设置,默认情况下 vsftp上传之后文件的权限是 600,目录权限是 700。 风险说明: 无
由于安装时 pure-ftp可能落在 xinetd服务里,pure-ftpd服务由 xinetd服务拉起,重启 ftp服务时可能会出现失败现象,这时可以修改 /etc/xinetd.d/pure-ftpd文件中的 disable值为 yes,然后再重启服务。
文件创建或者上传时的权限默认去除了可执行权限。即如果上面的 UMASK值设置为 022,实际创建或者上传的文件权限为 644。 操作验证:
1. 验证方法:登录 FTP后上传文件
2. 预期结果:用户行为受到控制,文件权限符合预期设置。
3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性安全要求:
去掉所有文件“系统文件”属性,防止用户滥用及提升权限的可能性 通用策略:
如无特殊需求,建议取消文件的 SUID、SGID属性。
改变文件的 SUID、SGID属性前,先备份该文件(带权限): # cp -p /dir/filename /dir/filename.bak 风险说明:
某些文件的执行需要使用属主或属组权限,如果去除,可能会造成对执行结果有影响甚至影响业务,需与客户沟通确认后执行。 操作方法:
找出系统中所有含有“ s”属性的文件,把不必要的“ s”属性去掉,或者把不用的直接删除。
# find / -type f \\( -perm -04000 -o -perm -02000 \\) -exec ls -lg {} \\; # chmod a-s filename 操作验证: 1. 验证方法:再次使用以下命令查找含有“s”属性的文件 # find / -type f \\( -perm -04000 -o -perm -02000 \\) -exec ls -lg {} \\;
2. 预期结果:无法再次找到含有“s”属性的文件
3.4.13 SEC-SUSE-AUTH-13-禁止 ctrl+alt+del
安全要求:
禁止 ctrl+alt+del,防止非法重新启动服务器。 通用策略: 无
风险说明: 无
操作方法: # vi /etc/inittab 将以下行
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now 修改为:
ca::ctrlaltdel:/bin/true 操作验证:
1. 验证方法:按键盘 ctrl+alt+del 2. 预期结果:服务器没有任何反应
3.5 日志审计
3.5.1 SEC-SUSE-LOG-01-记录用户登录信息
安全要求:
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功、登录时间、以及远程登录时、用户使用的 IP地址 通用策略: 无
风险说明: 无
操作方法:
编辑/etc/login.defs: #vi /etc/login.defs 修改 LASTLOG_ENAB的属性: LASTLOG_ENAB yes 操作验证:
1. 验证方法:使用 last命令察看登陆日志
2. 预期结果: # last root :0/10.164.10 10.164.104.73 Fri Feb 20 14:29 - 16:53 (02:24) root 10.164.104.7 10.164.104.73 Fri Feb 20 14:29 - 16:53 (02:23) root pts/3 Fri Feb 20 14:21 -14:28
(00:06) rokay pts/3 10.164.104.73 Fri Feb 20 14:16 - 14:19 (00:03)
3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能
安全要求:
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号,操作时间,操作内容以及操作结果
通用策略:
系统记帐可能存在影响性能问题,建议根据现场情况,征求局方意见后再实施此操作。 风险说明:
1 用户操作比较频繁,或者系统持续执行 shell脚本时,记帐功能会产生大量日志。要注意监控磁盘可用空间,及时备份清理记帐日志文件。 2 对维护有要求,需询问客户后确定是否实施。
操作方法:
步骤 1通过设置日志文件可以对每个用户的每一条命令进行纪录,这一功能默认是不开放的,为了打开它,需要执行 /usr/lib/acct目录下的 accton文件,格式如下
#/usr/lib/acct/accton /var/adm/pact步骤 2 开启 acct服务: #chkconfig acct on步骤 3执行读取命令#lastcomm [user name] 注:
如果系统提示“lastcomm: command not found”,请安装 acct软件包,可以使用 YAST安装,系统盘已经包含此软件包。如果系统提示找不到/usr/lib/acct/accton文件,可以执行如下命令:
#/usr/sbin/accton /var/adm/pacct如果系统提示找不到/var/adm/pacct文件,可以自行创建该文件,然后执行上述命令。 操作验证:
1. 验证方法: # lastcomm [user name]
2. 预期结果:能够显示出包含配置内容中所要求的全部内容
3.5.3 SEC-SUSE-LOG-03-记录系统安全事件
安全要求:
设备应配置日志功能,记录对与设备相关的安全事件 通用策略:
Linux使用的 syslog守护进程主要有两种, syslog和 syslog-ng,SLES9默认使用 syslog服务,SLES10默认使用 syslog-ng服务。 风险说明:
1 增加安全日志后,日志将会大大增加。要注意监控磁盘可用空间,及时备份清理安全日志文件。
2 对维护有要求,需询问客户后确定是否实施
操作方法:步骤 1 syslog #vi /etc/syslog.conf 添加以下行:
*.err /var/log/errors authpriv.info /var/log/authpriv_info *.info /var/log/info auth.none /var/log/auth_none重启 syslog服务: # rcsyslog restart 步骤 2 syslog-ng # vi /etc/syslog-ng/syslog-ng.conf 添加以下行:
destination d_errors { file(\}; filter f_errors { level(err); }; log { source(s_sys); filter(f_errors); destination(d_errors); };
destination d_authpriv { file(\
filter f_authpriv { level(info) and facility(authpriv); }; log { source(src); filter(f_authpriv); destination(d_authpriv); };
destination d_auth { file(\log { source(src); filter(f_auth); destination(d_auth); };
destination d_info { file(\}; filter f_info { level(info); }; log { source(src); filter(f_info); destination(d_info); }; 重启 syslog-ng服务 # rcsyslog restart
其中 log { source(s_sys); filter(f_errors); destination(d_errors); };中“s_sys”视其源不同可能会为“src”,配置时需注意。 操作验证:
1.验证方法:查看/var/log/errors,/var/log/messages #more /var/log/errors #more /var/log/authpriv_info
#more /var/log/info #more /var/log/auth_none
2.预期结果:记录有需要的设备相关的安全事件
3.5.4 SEC-SUSE-LOG-04-日志集中存放
安全要求:
配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。 通用策略:
此项需要配备有远程日志服务器支持
查看 logserver中的日志
2.预期结果: logserver上已经包含本地服务器日志。 3.5.5 SEC-SUSE-LOG-05-记录用户 SU命令操作 安全要求:
设备应配置日志功能,记录用户使用 SU命令的情况,记录不良的尝试记录 通用策略:
此项是对设备本身的要求,SUSE系统均满足此项要求,不需要配置。 风险说明: 无
操作方法:
查看 sulog日志,记载着普通用户尝试 su成为其它用户的纪录, 操作验证:
1. : 查看/var/log/messages # more /var/log/messages 2. 预期结果:记录有所有的 SU操作