3.5.6 SEC-SUSE-LOG-06-系统服务日志
安全要求:
系统上运行的应用/服务也应该配置相应日志选项,比如 cron 通用策略:
Linux使用的 syslog守护进程主要有两种, syslog和 syslog-ng,SLES9默认使用 syslog服务,SLES10默认使用 syslog-ng服务。
其中 log { source(s_sys); filter(f_errors); destination(d_errors); };中“s_sys”视其源不同可能会为“src”,配置时需注意。
另外,实施此项需要开启 cron服务。 操作验证:
1. 验证方法查看日志存放文件,如 cron的日志:#more /var/log/cron 2. 预期结果:日志中能够列出相应的应用/服务的详细日志信息
3.6 登陆显示
入侵者通常通过操作系统,服务及应用程序版本来攻击,漏洞列表和攻击程序也是按此来分类,隐藏系统回显版本,加大入侵的难度。
SEC-SUSE-BANNER-01-设置登录成功后警告 Banner
安全要求:
用户通过网络或者本地成功登录系统后,显示一些警告信息。 通用策略: 无
风险说明: 无
操作方法:
修改文件/etc/motd的内容,如没有该文件,则创建它。
#echo \可根据实际需要修改该文件的内容。 操作验证:
1. 验证方法:使用 telnet或者 SSH登录该服务器 2. 预期结果:登录成功后显示文件/etc/motd中的内容
3.6.2 SEC-SUSE-BANNER-02-设置 ssh警告 Banner
安全要求:
ssh登录时显示警告信息,在登录成功前不泄漏服务器信息。 通用策略: 无
风险说明: 无
操作方法:
步骤 1执行如下命令创建 ssh banner信息文件: #touch /etc/sshbanner
#chown bin:bin /etc/sshbanner #chmod 644 /etc/sshbanner
# echo \ reported \ >/etc/sshbanner
可根据实际需要修改该文件的内容。
步骤 2 修改 /etc/ssh/sshd_config文件,添加如下行: Banner /etc/sshbanner 步骤 3 重启 sshd服务: #rcsshd restart 操作验证:
1. 验证方法:使用 ssh命令登录服务器,输入一个用户名; #ssh localhost 在用户名提示后输入 1 个用户名
2. 预期结果:可以看到警告信息。
3.6.3 SEC-SUSE-BANNER-03-更改 telnet警告 Banner
安全要求:
telnet登录时显示警告信息,在登录成功前不泄漏服务器信息。 通用策略: 无
风险说明: 无
操作方法:
步骤 1 修改 Telnet回显信息
修改文件/etc/issue和/etc/issue.net中的内容:
#echo \
reported \\
可根据实际需要修改该文件的内容。
步骤 2重启服务: # /etc/init.d/xinetd restart 操作验证:
1. 验证方法: # telnet localhost 2. 预期结果:可以看到警告信息。
3.6.4 SEC-SUSE-BANNER-04-更改 ftp警告 Banner
安全要求:
ftp登录时需要显示警告信息,隐藏操作系统和 ftp服务器相关信息。 通用策略: 无
风险说明; 无
操作方法:
1.修改 Pure-FTP回显信息 Pure-ftp回显信息分为两种: 自带回显信息:
Pure-ftp自带回显信息没法通过更改配置来更改,只能在安装的时候选择 without banner选项去掉自带 BANNER信息。自定义回显信息: Pure-ftp还有自定义回显信息,配置方法如下:
步骤 1 修改 pure-ftp配置文件: #vi /etc/pure-ftpd/pure-ftpd.conf 找到以下行,确保该行未被注释。 FortunesFile /usr/share/fortune/zippy
步骤 2 编辑 /usr/share/fortune/zippy文件(如没有 fortune文件夹或者 zippy文件,则新建该文件夹或该文件): #vi /usr/share/fortune/zippy 将自定义 BANNER写入其中。 步骤 3重启服务:
# /etc/init.d/xinetd restart
2.修改 vsftp回显信息 # vi /etc/vsftpd.conf ftpd_banner=” Authorized users only. All activity may be monitored and reported.”
可根据实际需要修改该文件内容。 重启服务:
# /etc/init.d/xinetd restart 操作验证:
1. 验证方法: # ftp localhost 2. 预期结果:可以看到警告信息
3.7 IP协议
3.7.1 SEC-SUSE-IP-01-禁止 ICMP重定向安全要求:
主机系统应该禁止 ICMP重定向,采用静态路由。 通用策略:
根据业务需求情况确定是否禁止 ICMP重定向 风险说明: 无
操作方法:
禁止系统发送 ICMP重定向包: # vi /etc/sysctl.conf 只接受有可靠来源的重定向。
net.ipv4.conf.default.secure_redirects=1 net.ipv4.conf.all.secure_redirects=1 如果这个服务器不做路由器,那么可以关闭该功能 net.ipv4.conf.default.send_redirects=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 执行以下命令使设置生效: # sysctl -p 操作验证:
1. 验证方法:使用 sysctl -a查看配置: #sysctl -a 2. 预期结果:相关设置符合预期
3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发安全要求:
对于不做路由功能的系统,应该关闭数据包转发功能。 通用策略: 无
风险说明: 无
操作方法:
关闭数据包转发功能:
# vi /etc/sysctl.conf 关闭 IP转发: net.ipv4.ip_forward = 0 关闭转发源路由包:
net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 执行以下命令使设置生效: # sysctl -p 操作验证:
1. 验证方法:使用 sysctl -a查看配置: #sysctl -a 2. 预期结果:相关设置符合预期
3.8 内核参数
3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出安全要求:
防止堆栈缓冲区溢出 通用策略:
SUSE linux 无此项设置。 风险说明: 无
操作方法: 无
操作验证:
1. 验证方法:无 2. 预期结果:无
3.9 补丁/软件
3.9.1 SEC-SUSE-SW-01-安装 OS补丁安全要求:
应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。 通用策略:
业务加固策略中的相关项:根据业务对补丁进行兼容性测试。 风险说明:
安装未经过产品进行兼容性测试的补丁,对业务正常运行造成的影响难以预料。 操作方法:
可以使用 Online Update或 Patch CD Update等方式升级系统补丁。 操作验证:
1. 验证方法: # uname -a
2. 预期结果:系统安装必要的补丁。
4 实施后验证
预计操作时间: 30分钟操作人员: 操作影响:无影响
4.1 系统检查
步骤 1检查是否有硬件故障