Suse Linux主机安全加固操作指导
内部公开
访问的内容,查看权限配置策略是否生效。 2.预期结果:
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2.10 安全要求-设备-SUSE LINUX-配置-12-可选
要求内容:
控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 说明:研发确认对系统是否有影响,如有影响,请具体说明。 USDP/RBT/VXML后需要执行命令对业务目录进行权限修改。 chmod +x ./bin/*.sh ./bin/watchdog/*.sh ./jboss/bin/*.sh 操作方法:
1、设置默认权限:
#vi /etc/profile 在末尾增加umask 027 #umask 027
修改文件或目录的权限,操作举例如下:
#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限;
2、如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。 操作验证: 1.验证方法:
1、查看新建的文件或目录的权限,操作举例如下: #ls -l dir ; #查看目录dir的权限
#cat /etc/proflie 查看是否有umask 027内容
2013-8-15
第11页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2.预期结果:
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2.11 安全要求-设备-SUSE LINUX-配置-13-可选
要求内容:
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
说明:安装USDP、RBT Portal、VXML的服务器时,打开FTP服务,安装完毕之后不需要启动FTP服务,可以关闭FTP服务,使用SFTP代替。
2.12 安全要求-设备-SUSE LINUX-配置-12
要求内容:
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 操作方法:
编辑/etc/login.defs,将LASTLOG_ENAB改成\(Suse9默认为yes)
Suse Linux是wtmp,wtmps,文件中记录着所有登录过主机的用户,时间,来源等内容,这两个文件不具可读性,可用last命令来看。 操作验证: 1.验证方法:
/var/adm/wtmpx或者wtmp,wtmps文件中记录着所有登录过主机的用户,时间,来源等内容,该文件不具可读性,可用last命令来看。 # last 2.预期结果:
列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。
2013-8-15
第12页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2.13 安全要求-设备-SUSE LINUX-配置-15-可选
要求内容:
设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。需记录要包含用户账号,操作时间,操作内容以及操作结果。
说明:系统记帐可能存在性能问题,研发确认对系统是否有影响, 或业务需作的调整 (彩铃业务不建议打开。), 操作方法:
NA 操作验证:
1.验证方法:# history
2.预期结果:能够显示出用户的历史命令。
2.14 安全要求-设备-SUSE LINUX-配置-24-可选
要求内容:
设备应配置日志功能,记录对与设备相关的安全事件。 操作方法:
修改配置文件vi /etc/syslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice; /var/log/messages 定义为需要保存的设备相关安全事件。 操作验证: 1. 验证方法:
修改配置文件vi /etc/syslog.conf, 配置如下类似语句:
*.err;kern.debug;daemon.notice; /var/log/messages 定义为需要保存的设备相关安全事件。 2. 预期结果:
2013-8-15
第13页, 共27页
Suse Linux主机安全加固操作指导
内部公开
查看/var/log/messages,记录有需要的设备相关的安全事件。
2.15 安全要求-设备-SUSE LINUX-配置-14-可选
要求内容:
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。不建议打开此功能,如果一定需要此功能可以通过corn进行系统日志和业务日志的转存。 操作方法:
修改配置文件 ,/etc/syslog.conf
加上这一行: *.* @192.168.0.1
可以将\替换为你实际需要的日志信息。比如:kern.* / mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名。 重新启动syslog服务,依次执行下列命令:
/etc/init.d/syslog stop /etc/init.d/syslog start
操作验证:
1.验证方法:查看日志服务器上的所收到的日志文件。
2.预期结果:设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器
2.16 安全要求-设备-SUSE LINUX-配置-18-可选
要求内容:
设备应配置日志功能,记录用户使用SU命令的情况,记录不良的尝试记录。 操作方法:
查看sulog日志,记载着普通用户尝试su成为其它用户的纪录, more /var/log/messages 操作验证:
1.验证方法:查看sulog日志,记载着普通用户尝试su成为其它用户的纪录 more /var/adm/sulog
2.预期结果:有类似如下格式记录:
2013-8-15
第14页, 共27页
Suse Linux主机安全加固操作指导
内部公开
SU 01/01 00:30 + console root-root 或
SU 08/20 13:44 + pts/2 xll-root
2.17 安全要求-设备-SUSE LINUX-配置-19-可选
要求内容:
系统上运行的应用/服务也应该配置相应日志选项,比如cron。 操作方法:
对所有的cron行为进行审计: 修改/etc/syslog.conf添加: cron.info /var/log/cron
操作验证:
1.验证方法:查看日志存放文件,如cron的日志:more /var/log/cron 2.预期结果:日志中能够列出相应的应用/服务的详细日志信息;
2.18 安全要求-设备-SUSE LINUX-配置-17-可选
要求内容:
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。 操作方法:
打开ssh服务: #chkconfig sshd on 启动ssh 服务: /etc/init.d/sshd start 2、
查看SSH服务状态: # /etc/init.d/sshd status 若为running,即为生效。 操作验证: 1. 验证方法:
2013-8-15
第15页, 共27页