Suse Linux主机安全加固操作指导
内部公开
Suse Linux主机安全加固
操作指导
目录
1
实施前准备............................................................................................................................... 2 1.1 1.2 1.3 2
系统检查 ....................................................................................................................... 2 业务检查 ....................................................................................................................... 3 备份............................................................................................................................... 3
加固实施................................................................................................................................... 3 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12 2.13 2.14
安全要求-设备-SUSE LINUX-配置-1........................................................................ 4 安全要求-设备-SUSE LINUX-配置-2........................................................................ 4 安全要求-设备-SUSE LINUX-配置-3........................................................................ 5 安全要求-设备-SUSE LINUX-配置-4-可选 .............................................................. 6 安全要求-设备-SUSE LINUX-配置-5-可选 .............................................................. 7 安全要求-设备-SUSE LINUX-配置-4........................................................................ 8 安全要求-设备-SUSE LINUX-配置-5........................................................................ 9 安全要求-设备-SUSE LINUX-配置-6-可选 ............................ 错误!未定义书签。 安全要求-设备-SUSE LINUX-配置-7-可选 .............................................................. 9 安全要求-设备-SUSE LINUX-配置-9 .................................................................. 10 安全要求-设备-SUSE LINUX-配置-12-可选 .......................................................... 11 安全要求-设备-SUSE LINUX-配置-13-可选 ...................................................... 12 安全要求-设备-SUSE LINUX-配置-12 ................................................................ 12 安全要求-设备-SUSE LINUX-配置-15-可选 ...................................................... 13
第1页, 共27页
2013-8-15
Suse Linux主机安全加固操作指导
内部公开
2.15 2.16 2.17 2.18 2.19 2.20 2.21 2.22 2.23 2.24 2.25 2.26 2.27 2.28 2.29 2.30 2.31 2.32 2.33 2.34 2.35 2.36 3
安全要求-设备-SUSE LINUX-配置-24-可选 ...................................................... 13 安全要求-设备-SUSE LINUX-配置-14-可选 ...................................................... 14 安全要求-设备-SUSE LINUX-配置-18-可选 ...................................................... 14 安全要求-设备-SUSE LINUX-配置-19-可选 ...................................................... 15 安全要求-设备-SUSE LINUX-配置-17-可选 ...................................................... 15 安全要求-设备-SUSE LINUX-配置-21-可选 ...................................................... 16 安全要求-设备-SUSE LINUX-配置-22-可选 ...................................................... 17 安全要求-设备-SUSE LINUX-配置-23-可选 ...................................................... 18 安全要求-设备-SUSE LINUX-配置-24-可选 ...................................................... 19 安全要求-设备-SUSE LINUX-配置-19-可选 ...................................................... 19 安全要求-设备-SUSE LINUX-配置-20-可选 ...................................................... 20 安全要求-设备-SUSE LINUX-配置-27-可选 ...................................................... 20 安全要求-设备-SUSE LINUX-配置-28-可选 ...................... 错误!未定义书签。 安全要求-设备-SUSE LINUX-配置-27-可选 ...................................................... 21 安全要求-设备-SUSE LINUX-配置-30-可选 ...................................................... 21 安全要求-设备-SUSE LINUX-配置-31-可选 ...................................................... 22 安全要求-设备-SUSE LINUX-配置-32-可选 ...................................................... 23 安全要求-设备-SUSE LINUX-配置-33-可选 ...................................................... 23 安全要求-设备-SUSE LINUX-配置-34-可选 ...................................................... 24 安全要求-设备-SUSE LINUX-配置-35-可选 ...................................................... 24 安全要求-设备-SUSE LINUX-配置-36-可选 ...................................................... 25 安全要求-设备-SUSE LINUX-配置-37-可选 ...................................................... 25
实施后验证............................................................................................................................. 26 3.1 3.2
系统检查 ..................................................................................................................... 26 业务检查 ..................................................................................................................... 27
4 风险回退................................................................................................................................. 27
1 实施前准备
预计操作时间: 30分钟,可提前完成 操作人员: 操作影响:无影响
1.1 系统检查
1. 执行dmesg检查是否有硬件故障
2013-8-15
第2页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2. 执行more /var/log/messages检查是否有报错 3. 检查系统性能情况。 #top #vmstat 5 10 #sar 5 10
并把相关结果记录下来
1.2 业务检查
在做加固之前,做一次巡检检查系统状态是否都正常
1.3 备份
1. 对操作系统进行备份。 2. 对数据库进行备份。
#根据各业务特点补充要备份的内容和方法 3. 对实施过程需修改的安全配置文件进行备份: /etc/passwd /etc/group /etc/shadow /etc/xinetd.conf /etc/login.defs
从备份目录恢复相关文件
#cp –p 系统文件 备份文件 //其中参数-p表示拷贝文件权限
2 加固实施
预计操作时间: 60分钟 操作人员:
操作影响:部分策略实施可能会造成业务中断, 在双机系统中,实施时需先实施备机,确保备机没问题后,再实施主机.
2013-8-15
第3页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2.1 安全要求-设备-SUSE LINUX-配置-1
要求内容:
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
说明:建议按维护人员角色新增维护帐号,根据工号创建唯一维护帐号即可。 操作方法: 为用户创建账号:
#useradd -m username #创建账号 #passwd username #设置密码 修改权限:
#chmod 750 user directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 操作验证:
1.验证方法:以新增的用户登录
2.预期结果:登录成功,并能进行常用操作
2.2 安全要求-设备-SUSE LINUX-配置-2
要求内容:
应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号,包括root,bin等。
说明:需研发确认用户列表,系统用户类,业务用户类,维护用户类。请现场将所有用户列表发回,确认需要锁定的用户列表。可以通过cat /etc/passwd命令获取。 操作方法:
说明:需要锁定的用户:lp games named at irc mysql ldap postfix postgres wwwrun
mail pop snort squid mailman news uucp。
删除用户:#userdel username; 锁定用户:
2013-8-15
第4页, 共27页
Suse Linux主机安全加固操作指导
内部公开
1)将/etc/passwd文件中的shell域设置成/bin/false 2)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。 操作验证:
1.验证方法:使用删除或锁定的与工作无关的账号登录系统; 2.预期结果:被删除或锁定的账号无法登录成功;
2.3 安全要求-设备-SUSE LINUX-配置-3
要求内容:
限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。 说明:需研发确认该业务产品建议的帐户分组 Suse Linux 默认支持root用户不能telnet 操作方法:
执行下面的命令创建/etc/securetty文件:
#vi /etc/securetty 增加 tty1 tty2 tty3 tty4
2、如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。 操作验证: 1.验证方法:
root从远程使用telnet登录; 普通用户从远程使用telnet登录;
2013-8-15
第5页, 共27页