Suse Linux主机安全加固操作指导
内部公开
root从远程使用ssh登录; 普通用户从远程使用ssh登录; 2.预期结果:
root远程登录不成功,提示“Not on system console”; 普通用户可以登录成功,而且可以切换到root用户;
2.4 安全要求-设备-SUSE LINUX-配置-4-可选
要求内容:
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。 操作方法:
安装USDP前,需要新建USDP用户和用户组,RBT和VXML操作同下。 新建USDP用户和用户组,供USDP运行使用。 添加USDP用户的过程:
创建usdp用户组。(root用户下)
groupadd -g 113 usdp
113表示用户组ID,如果提示已存在,可以用其他数字替换。
检查usdp用户组是否创建成功。
more /etc/group | grep usdp 屏幕显示如下信息则表示创建成功。 usdp:!:113:
创建usdp用户。
useradd -u 1108 -d /home/usdp -g usdp -s /bin/bash -m usdp 1108表示用户ID,如果提示已存在,可以用其他数字替换
设定usdp用户的密码
执行命令:passwd usdp 然后分别输入密码,密码确认 1、 创建帐户组:
2013-8-15
第6页, 共27页
Suse Linux主机安全加固操作指导
内部公开
#groupadd –g GID groupname #创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID:#id username 可以根据实际需求使用如上命令进行设置。
2、可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号,因此最好指定该值大于 499。如果新组名或者 GID 已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrp sys 即把当前用户以sys组身份运行; 操作验证: 1.验证方法:
查看组文件:cat /etc/group 2.预期结果:
可以查看到用户账号分配到相应的帐户组中; 或都通过命令检查账号是否属于应有的组: #id username
2.5 安全要求-设备-SUSE LINUX-配置-5-可选
要求内容:
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号。 说明:需研发确认用户列表,系统用户类,业务用户类,维护用户类。请现场将所有用户列表发回,确认需要锁定的用户列表。可以通过cat /etc/passwd命令获取。 操作方法:
说明: 禁止交互登录的系统账号,比如lp games named at irc mysql ldap postfix
postgres wwwrun mail pop snort squid mailman news uucp等等
2013-8-15
第7页, 共27页
Suse Linux主机安全加固操作指导
内部公开
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP; 删除账号:#userdel username; 操作验证: 1.验证方法:
用root登录后,新建一账号,密码不设,从远程用此帐户登录,登录会显示login incorrect,如果root用户没设密码没有任何提示信息直接退出; 2.预期结果:
被禁止账号交互式登录的帐户远程登录不成功;
2.6 安全要求-设备-SUSE LINUX-配置-4
要求内容:
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
说明:需研发确认口令策略对业务的影响和注意事项或业务需要调整的地方 操作方法:
设置口令规则:至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9
在/etc/pam.d/passwd中添加如下行: Password required pam_cracklib.so retry=3 密码至少6个字符长
修改 /etc/login.defs,设置PASS_MIN_LEN 6 操作验证: 1.验证方法:
1、检查口令强度配置选项是否可以进行如下配置:
i. 配置口令的最小长度; ii. 将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
2013-8-15
第8页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2.预期结果:
不符合密码强度的时候,系统对口令强度要求进行提示; 符合密码强度的时候,可以成功设置;
2.7 安全要求-设备-SUSE LINUX-配置-5
要求内容:
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
说明:需研发确认口令策略对业务的影响和注意事项或业务需要调整的地方(业务运行帐号可能不能超期,需要验证后答复) 操作方法:
修改/etc/login.defs文件,添加如下内容: PASS_MAX_DAYS 90
操作验证:
1.验证方法:使用超过90天的帐户口令登录; 2.预期结果:登录不成功;
2.8 安全要求-设备-SUSE LINUX-配置-7-可选
要求内容:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
说明:需研发确认口令策略对业务的影响和注意事项或业务需要调整的地方 不建议使用,如果使用的话次数可以设置大一点。 操作方法:
修改/etc/login.defs文件,设置 LOGIN_RETRIES 6 操作验证: 1.验证方法:
创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次)
2013-8-15
第9页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2.预期结果:
帐户被锁定,不再提示让再次登录
2.9 安全要求-设备-SUSE LINUX-配置-9
要求内容:
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
说明:需研发确认哪些该业务产品涉及哪此关键文件,权限如何。 业务目录:业务安装时的目录,请现场确认。(USDP用户可读写) 配置目录:本地话单目录(USDP用户可读写)。
操作方法:
1、通过chmod命令对目录的权限进行实际设置。
2、
/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r--------
/etc/group 必须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外) 执行命令#chmod -R go-w /etc 操作验证: 1.验证方法:
1、利用管理员账号登录系统,并创建2个不同的用户;
2、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
3、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许
2013-8-15
第10页, 共27页